Jak ustawić integrację GravityZone z Amazon EC2 używając roli cross-account
22 października 2019
FAQ – Produkty dla firmy (biznesowe) :
- Monitorowanie Integralności
- Jak wygenerować Support Tool Log dla Endpoint Security for Mac
- Jak wygenerować raport dla Bitdefender Security for Mail Servers (Linux)
- Jak wygenerować raport z Serwera Bezpieczeństwa
- Jak usunąć przestarzałe punkty końcowe w konsoli GravityZone (konsola w chmurze)
- Jak cicho odinstalować chronionego hasłem agenta Endpoint Security dla MacOS
- Najczęściej zadawane pytania dotyczące migracji do Bitdefender Endpoint Security Tools w wersji 7
- Wsparcie Bitdefender Endpoint Security Tools dla urządzeń z procesorem Apple M1
- Jak zaktualizować TLS do wersji 1.2 oraz dlaczego jest to istotne dla funkcjonalności Bitdefender Endpoint Security Tools?
- Jak ręcznie zaktualizować Bitdefender Endpoint Security Tools (BEST)
Bitdefender Security for Amazon Web Services jest rozwiązaniem bezpieczeństwa zaprojektowanym dla infrastruktur chmurowych, oraz zintegrowanym z GravityZone Cloud Control Center. Kompleksowe rozwiązanie Bitdefender Security for AWS ochrania instancje Amazon EC2 uruchomione na systemach operacyjnych Windows, oraz Linux.
Jeśli potrzebujesz subskrybować Bitdefender Security for AWS z Amazon Web Services Marketplace, zajrzyj do tego artykułu.
Ten artykuł opisuje, jak zintegrować konto Amazon Web Services z GravityZone Control Center poprzez używanie roli cross-account.
Przegląd
Administratorzy GravityZone mogą integrować Control Center z Amazon EC2, poprzez używanie roli cross-account powiązanej z użytkownikiem IAM (Identity and Access Management).
Aby dowiedzieć się więcej na temat IAM zajrzyj do artykułu dostarczonego przez Amazon Web Services.
Ta procedura zastępuje starą metodę integracji bazującej na parze kluczy AWS, oraz odzwierciedla najnowszą wersję API dostarczoną przez AWS.
Integracja GravityZone z Amazon EC2 sugeruje następujące elementy bezpieczeństwa:
– Account ID – unikalny identyfikator konta Bitdefender AWS. Identyfikator jest konieczny dla użytkownika IAM do stworzenia określonej roli dostępu cross-account dla GravityZone.
– External ID – unikalny identyfikator powiązany z Twoją firmą GravityZone, używany ze względów bezpieczeństwa, oraz niezbędny do stworzenia specyficznej roli dostępu do cross-account w GravityZone
– ARN (Amazon Resource Name) – unikalny identyfikator dla zasobów AWS powiązanych z rolą załączoną do konta użytkownika AWS.
Uwaga:
Zaleca się ustawienie integracji Amazona używając konta użytkownika IAM stworzonego w określonym celu. Użytkownik IAM wymaga uprawnienia IAMFullAccess, aby być zdolnym do stworzenia roli wymaganej dla integracji AWS w GravityZone.
Wymagania wstępne
Przed rozpoczęciem konfiguracji integracji AWS:
– Upewnij się, że masz w ręku właściwe poświadczenia konta użytkownika AWS.
– Otwórz Konsolę AWS, oraz GravityZone Control Center, w dwóch kartach przeglądarki, w tym samym czasie. Będziesz potrzebował pracować na obu z nich, aby stworzyć integrację AWS z powodzeniem.
Zanim zaczniesz proces , upewnij się, że zmieniłeś limit czasu sesji w Control Center > Moje Konto z 15 minut na co najmniej 1 godzinę. Jeśli sesja wygaśnie, będziesz musiał rozpocząć ponownie kroki integracji.
Integrowanie GravityZone z Amazon Web Services
1. Zaloguj się do Control Center za pomocą poświadczeń GravityZone.
2. W prawym, górnym rogu konsoli wejdź w Integracje.
3. Jeśli nie masz aktywnej integracji, kliknij Dodaj > Dodaj Integracja Amazon EC2. Otworzy się okno Ustawienia integracji Amazon EC2.

4. W polu External ID, kliknij przycisk Generate.
5. Otwórz nową kartę w przeglądarce, a następnie zaloguj się do konsoli AWS.
6. Kliknij Services w górnej części konsoli AWS, a następnie wybierz Security -> Identity and Compliance -> IAM.

7. Po lewej stonie menu, kliknij Roles. Wyświetli się nowa strona.

8. Kliknij na przycisk Create role.

9. Wybierz Another AWS account.

10. Przejdź do Control Center i skopiuj Account ID z okna Amazon EC2 Integration Settings .
11. Wróć do konsoli AWS, a następnie wklej łańcuch znaków w pole Account ID.
12. Wybierz Require external ID (Best practice when a third party will assume this role).
13. Zmień na Control Center, a następnie skopiuj External ID z okna Amazon EC2 Integration Settings. Możesz zrobić to na dwa sposoby:
a. Zaznacz ciąg znaków o wciśnij CTRL + C.
b. Kliknij ikonkę copy to clipboard na końcu łańcucha znaków.
14. Wróć do konsoli AWS, a następnie wklej ciąg znaków w polu External ID.
15. Kliknij Next: Permissions.
16. Zaznacz zezwolenie AmazonEC2ReadOnlyAccess, a następnie kliknij Next: Review.
17. Na nowej stronie wprowadź nazwę, oraz opis w wymaganych polach.
18. Wybierz Create Role. Zobaczysz listę wszystkich istniejących ról. Zaczekaj około 1 minuty na zmiany, aby rozszerzyć je na wszystkie regiony AWS.
19. Kliknij na nazwę roli, aby zobaczyć szczegóły.
20. Skopiuj ARN.

21. Zmień na kartę z Control Center, a następnie wklej ARN do odpowiedniego pola.
22. Kliknij Zapisz.
GravityZone zaimportuje instancje Amazon EC2 w Sieci, gdzie będą widoczne dla regionów, oraz stref dostępności.
Control Center automatycznie synchronizuje się z katalogiem Amazon EC2 co każde 15 minut. Można również ręcznie zsynchronizować z katalogiem Amazon używając przycisku Synchronizacja z Amazon EC2 umieszczonego w górnej części strony Sieć.
GravityZone Control Center również synchronizuje się z konsolą AWS za każdym razem, kiedy klikniesz Save w oknie Amazon EC2 Integration Settings.
Instalacja Ochrony
Aby chronić instancje Amazon EC2 trzeba zainstalować na nich agenta Bitdefender Endpoint Security Tool. Podczas instalacji agenta trzeba przypisać Serwer Bezpieczeństwa. GravityZone posiada Serwery Bezpieczeństwa dostarczane do każdego regionu AWS. Wybierz Serwer Bezpieczeństwa z tego samego regionu co Twoja instancja.
Po więcej informacji na temat instalacji agentów bezpieczeństwa zajrzyj do Przewodnika Instalacji GravityZone.
Użyteczne rozważania: zmienianie External ID, błędy, oraz usuwanie integracji
Po skonfigurowaniu integracji musisz wziąć pod uwagę pewne aspekty, aby nie mieć problemów.
Zmiana External ID dla integracji Amazon EC2
Jeśli potrzebujesz, w każdej chwili możesz ponownie wygenerować External ID dla integracji Amazon EC2 w Control Center. Ta akcja spowoduje unieważnienie aktualnie używanego zewnętrznego identyfikatora, oraz integracji. Aby przywrócić integrację, musisz zaktualizować swoją rolę w konsoli AWS za pomocą nowego External ID.
Jak zmienić External ID:
1. Wejdź do Integrations.
2. Kliknij na istniejącą integrację Amazon EC2. Otworzy się okno AmazonEC2 Integration Settings.
3. Wybierz Generate. Okno z ostrzeżeniem poinformuje, że nowy External ID unieważni obecny. Również obecna integracja zostanie unieważniona dopóki nie zostanie zaktualizowana rola AWS z External ID.
4. Kliknij Confirm.
5. Skopiuj nowo wygenerowany External ID.
6. Zaloguj się do konsoli AWS nowej karcie przeglądarki.
7. Przejdź do Services > IAM > Roles, a następnie wybierz rolę.
8. Przejdź do Summary > Trust Relationship i wybierz Edit trust relationship.

9. Wprowadź nowy External ID w polu sts:ExternalID.

10. Kliknij Update Trust Policy.
11. Wróć do okna Amazon EC2 Integration Settings w GravityZone Control Center. Czas wprowadzania zmian może się różnić. Zaczekaj około 1 minuty, a następnie kliknij Save.
Wiadomości z Błędami
Pewne wiadomości z błędami poinformują, kiedy coś pójdzie nie tak z integracją Amazon EC2:
1. Could not save the changes. Either the provided External ID is incorrect, or the AWS role has propagated in all regions yet.
Ten błąd pojawia się podczas kliknięcia Save w oknie Amazon EC2 Integration Settings w następujących sytuacjach:
– Polityka Amazon EC2 dla roli nie rozprzestrzeniła się do żadnego regionu AWS. Zaczekaj kilka sekund, a następnie kliknij ponownie Save.
– Wprowadzono niepoprawny identyfikator zewnętrzny podczas tworzenia lub aktualizowania roli w konsoli AWS.
2. Amazon EC2 policy was not applied on all regions. Please wait a few seconds and try again.
Błąd ten pojawia się po kliknięciu Save w okno Amazon EC2 Integration Settings, kiedy polityka Amazon EC2 jest wprowadzona do kilku, ale nie do wszystkich regionów AWS. Zaczekaj chwilę dłużej i kliknij Save ponownie.
3. Not authorized to perform this operation. Make sure the AmazonEC2ReadOnlyAccess is attached to the user/role.
Błąd ten pojawia się po kliknięciu Save w okno Amazon EC2 Integration Settings, jeśli polityka AmazonEC2ReadOnly nie jest załączona do roli. Aby rozwiązać ten problem, zaloguj się do konsoli AWS, wejdź w Roles > [twoja rola] > Permissions > Attach policy, a następnie zaznacz brakującą politykę.
4. Invalid ARN for the specified role.
Błąd ten pojawia się po kliknięciu Save w okno Amazon EC2 Integration Settings po wprowadzeniu nieważnego ARN. Sprawdź ARN i kliknij Save ponownie.
5. Unknown communication error.
Błąd ten pojawia się jeśli napotkano błąd komunikacji po kliknięciu Save w oknie Amazon EC2 Integration Settings. Zaczekaj kilka sekund i kliknij Save ponownie.
6. Invalid Amazon User Credentials.
Otrzymujesz to powiadomienie e-mailem, gdy:
– Polityka integracji z konsolą AWS (AmazonEC2ReadOnlyAccess) został odłączony od roli IAM.
– Masz wygenerowany nowy External ID bez modyfikowania roli IAM lub rola External ID różni się od istniejącej w Centrum sterowania GravityZone.
– Rola IAM została usunięta z AWS w istniejącej integracji Amazon EC2.
Ta wiadomość jest wysłana raz dziennie po:
– Synchronizacji ręcznej, podczas kliknięcia w przycisk Synchronize with Amazon EC2 w Control Center > Network.
– Automatycznej synchronizacji GravityZone z AWS, która odbywa się co 15 minut.
Usuwanie Integracji
Jeśli nie chcesz dłużej zarządzać bezpieczeństwem instancji Amazon EC2 z Bitdefenderem, możesz usunąć integrację z Control Center. Po szczegóły zajrzyj do tego artykułu.
Źródło: https://www.bitdefender.com/support/how-to-integrate-aws-with-gravity-zone-using-a-cross-account-role-2035.html