Bitdefender Security for AWS este o soluție de securitate creată pentru infrastructuri cloud și integrată cu GravityZone Cloud Control Center. Fiind o soluție completă, Bitdefender Security for AWS protejează instanțele Amazon EC2 ce rulează pe sistemele de operare Windows și Linux.

Dacă aveți nevoie să vă abonați la Bitdefender Security for AWS din Amazon Web Services Marketplace, consultați acest articol KB.

Acest articol descrie cum puteți integra contul Amazon Web Services cu GravityZone Control Center folosind un rol de tip cross-account.

Descriere generală

Administratorii GravityZone pot integra Control Center cu Amazon EC2 folosind un rol de tip cross-account asociat cu un utilizator IAM (Identity and Access Management). Pentru a afla mai multe despre IAM, consultați acest articol KB furnizat de Amazon Web Services.

Această procedură înlocuiește vechea metodă de integrare bazată pe perechile de chei AWS și reflectă ultima versiune a API-urilor furnizate de AWS.

Integrarea GravityZone cu Amazon EC2 implică următoarele elemente de securitate:

• ID-ul contului – codul unic de identificare al contului AWS Bitdefender. ID-ul contului este necesar utilizatorului IAM în vederea creării rolului specific GravityZone pentru accesul de tip cross-account.
• ID-ul extern – un cod unic de identificare asociat companiei dumneavoastră GravityZone, utilizat în scopuri de securitate și necesar pentru crearea rolului GravityZone specific pentru accesul de tip cross-account.
• ARN (Amazon Resource Name) – un cod unic de identificare pentru resursele AWS, asociat unui rol atașat contului dvs. de utilizator AWS.

Notă: Se recomandă configurarea integrării cu Amazon folosind un cont de utilizator IAM creat special pentru acest scop. Utilizatorul IAM necesită permisiunea IAMFullAccess pentru a crea rolul necesar pentru integrarea AWS în GravityZone.

Cerințe preliminare

Înainte de a începe configurarea integrării AWS:

• Asigurați-vă că aveți la îndemână datele de acces ale contului AWS.
• Deschideți simultan Consola AWS și GravityZone Control Center în două tab-uri de browser separate. Va fi necesar să lucrați în amândouă pentru a crea cu succes integrarea cu AWS.

Înainte de a începe acest proces, asigurați-vă că modificați intervalul de expirare a sesiunii din Control Center > Contul meu de la 15 minute la cel puțin 1 oră. Dacă această sesiune expiră, este necesar să luați de la capăt pașii de integrare.

Integrarea GravityZone cu Amazon Web Services

1. Conectați-vă la Control Center folosind datele dumneavoastră de autentificare pentru GravityZone.
2. În colțul din dreapta sus al consolei, accesați Integrări.
3. Dacă nu aveți nicio integrare activă, efectuați clic pe Adăugare > Adăugare integrare cu Amazon EC2. Se va deschide fereastra Setări de integrare cu Amazon EC2.
   
4. La ID extern, efectuați clic pe butonul Generare.
5. Deschideți un nou tab în browser-ul dumneavoastră și conectați-vă la consola AWS.
6. Efectuați clic pe Services din partea de sus a consolei AWS și selectați Security, Identity and Compliance > IAM.
   
7. Din meniul din partea stângă, efectuați clic pe Roles. Va fi afișată o nouă pagină.
   
8. Efectuați clic pe butonul Create role.
   
9. Selectați Another AWS account.
   
10. Comutați la Control Center și copiați ID-ul de cont din fereastra Setări de integrare cu Amazon EC2.
11. Reveniți la consola AWS și copiați string-ul în câmpul Account ID.
12. Selectați Require external ID (Best practice when a third party will assume this role).
13. Comutați la Control Center și copiați ID extern din fereastra Setări de integrare cu Amazon EC2. Puteți face acest lucru prin două modalități:
    1. Selectați string-ul și utilizați CTRL + C.
    2. Efectuați clic pe pictograma Copiere în clipboard de la sfârșitul string-ului.
14. Revenind în consola AWS, copiați string-ul în câmpul External ID.
15. Efectuați clic pe Next: Permissions.
16. Verificați existența permisiunii AmazonEC2ReadOnlyAccess și efectuați clic pe Next: Review.
17. În noua pagină, introduceți în câmpurile corespunzătoare denumirea și descrierea.
18. Efectuați clic pe Create Role. Se va afișa lista rolurilor existente. Așteptați timp de aproximativ 1 minut până când modificările sunt propagate în toate regiunile AWS.
19. Efectuați clic pe numele rolului dumneavoastră pentru a vizualiza detaliile.
20. Copiați codul ARN.
    
21. Comutați la tab-ul Control Center și lipiți codul ARN în câmpul corespunzător.
22. Faceți clic pe Salvează.

    GravityZone va importa instanțele Amazon EC2 în rețea, unde vor fi vizibile după regiuni și zone de disponibilitate.

    Control Center se sincronizează automat cu inventarul Amazon EC2 la fiecare 15 minute. De asemenea, puteți efectua manual sincronizarea cu inventarul Amazon folosind butonul Sincronizare cu Amazon EC2 situat în partea de sus a paginii Rețea.

    GravityZone Control Center also synchronizes with AWS console each time you click Save in the Amazon EC2 Integration Settings window.

Instalare protecție

Pentru a vă proteja instanțele Amazon EC2, este necesar să instalați pe acestea agentul Bitdefender Endpoint Security Tools.

La instalarea unui agent, este necesar să atribuiți un server de securitate. GravityZone are servere de securitate distribuite în mai multe regiuni AWS. Selectați serverul de securitate din aceeași regiune ca și instanța dumneavoastră.

Pentru mai multe informații cu privire la instalarea agenților de securitate, consultați Ghidul de instalare GravityZone.

Considerente utile

După configurarea integrării, este necesar să luați în considerare anumite aspecte astfel încât să nu întâmpinați probleme mai încolo.

Modificarea ID-ului extern pentru integrarea dvs. cu Amazon EC2

Dacă este necesar, puteți regenera în orice moment în Control Center ID-ul extern pentru integrarea dvs. cu Amazon EC2. Această acțiune va duce la invalidarea ID-ului extern utilizat în prezent și a integrării. Pentru a restabili integrarea, este necesar să actualizați rolul dumneavoastră în consola AWS cu noul ID extern.

Iată cum puteți modifica ID-ul extern:

1. Accesați Integrări.
2. Efectuați clic pe integrarea cu Amazon EC2 existentă. Se va deschide fereastra Setări de integrare cu Amazon EC2.
3. Faceți clic pe Generare. Un mesaj de avertizare vă va informa că noul ID extern va cauza invalidarea celui actual. De asemenea, integrarea dvs. actuală nu va ma fi validă până când nu vă vă actualizați rolul AWS cu ID-ul extern.
4. Efectuați clic pe Confirmare.
5. Copiați noul ID extern generat.
6. Conectați-vă la consola AWS într-un nou tab de browser.
7. Accesați Services > IAM > Roles și selectați rolul dumneavoastră.
8. Accesați Summary > Trust Relationship și efectuați clic pe Edit trust relationship.
   
9. Introduceți noul ID extern în câmpul sts:ExternalID.
   
10. Efectuați clic pe Update Trust Policy.
11. Reveniți la fereastra Setări de integrare cu Amazon EC2 din GravityZone Control Center. Intervalul de timp necesar pentru propagarea modificărilor în AWS poate varia. Așteptați timp de aproximativ 1 minut și apoi efectuați clic pe Salvare.

Mesaje de eroare

Anumite mesaje de eroare vă vor informa atunci când este ceva în neregulă cu integrarea dvs. cu Amazon EC2:

• Modificările nu au putut fi salvate. Fie ID-ul extern furnizat este incorect, fie rolul AWS nu a fost propagat în toate regiunile.

  Această eroare apare atunci când efectuați clic pe Salvare în fereastra Setări de integrare cu Amazon EC2, în următoarele situații:

  • Politica Amazon EC2 pentru rolul dumneavoastră nu s-a propagat în nicio regiune AWS. Așteptați câteva secunde și apoi efectuați clic din nou pe Salvare.
  • Ați introdus un ID extern incorect la crearea sau actualizarea rolului dumneavoastră în consola AWS.
• Politica Amazon EC2 nu a fost aplicată pentru toate regiunile. Vă rugăm să așteptați câteva secunde și să încercați din nou.

  Această eroare apare atunci când efectuați clic pe Salvare în fereastra Setări de integrare cu Amazon EC2 și politica Amazon EC2 s-a propagat numai pe anumite regiuni AWS, însă nu pe toate. Mai așteptați puțin și efectuați din nou clic pe Salvare.

• Nu aveți permisiunea de a efectua această operațiune. Asigurați-vă că politica AmazonEC2ReadOnlyAccess este atașată utilizatorului/rolului.

  Această eroare apare atunci când efectuați clic pe Salvare in fereastra Setări de integrare cu Amazon EC2, dacă politica AmazonEC2ReadOnly nu este atașată rolului. Pentru a remedia această problemă, conectați-vă la consola AWS, accesați Roles > [your role] > Permissions > Attach policy și selectați politica lipsă.

• ARN nevalid pentru rolul specificat.

  Această eroare apare atunci când efectuați clic pe Salvare în fereastra Setări de integrare cu Amazon EC2 după ce introduceți un cod ARN nevalid. Verificați codul ARN și efectuați clic din nou pe Salvare.

• Eroare de comunicare necunoscută.

  Această eroare apare dacă se produce o eroare de comunicație atunci când se efectuează clic pe Salvare în fereastra Setări de integrare cu Amazon EC2. Așteptați câteva secunde și apoi efectuați clic din nou pe Salvare.

• Date de autentificare utilizator Amazon incorecte.

  Primiți această notificare prin e-mail atunci când:

  • Politica de integrare din consola AWS (AmazonEC2ReadOnlyAccess) a fost detașată de rolul dvs. IAM.
  • Ați generat un nou ID extern fără a vă modifica rolul IAM sau rolul dvs. are un ID extern diferit de cel existent în GravityZone Control Center.
  • Rolul dvs. IAM a fost șters din AWS pentru o integrare Amazon EC2 existentă.

  Acest mesaj de eroare este trimis o dată pe zi, după:

  • Sincronizarea manuala, când faci clic pe butonul Sincronizează cu Amazon EC2 în Control Center > Network.
  • Sincronizarea automată a GravityZone cu AWS, care se produce o dată la 15 minute.

   

Ștergerea integrării

Dacă nu mai doriți să administrați securitatea instanțelor dvs. Amazon EC2 prin intermediul Bitdefender, puteți șterge integrarea din Control Center. Pentru detalii, consultați acest articol KB.