Amazon EKS-Cluster verbinden (mit und ohne Fargate)

Prozedur

1. Navigieren Sie zu Cloud Security → Container Security → Inventory/Overview.
2. Wählen Sie den Knoten Amazon EKS in der Hierarchie aus.
3. Klicken Sie auf Add Cluster.
   Das Fenster Protect Cluster wird angezeigt.
4. Geben Sie einen eindeutigen Namen für den Cluster ein.
   • Clusternamen dürfen keine Leerzeichen enthalten und unterstützen nur alphanumerische Zeichen, Unterstriche (_) und Punkte (.).
   • Sie können den Clusternamen nach der Erstellung des Clusters nicht ändern.
5. Wenn Sie weitere Details zum Zweck des Clusters angeben möchten, verwenden Sie das Feld Beschreibung.
6. Wenn Sie möchten, dass Container Security Daten an Cloud Risk Management sendet und CREM Risk Insights empfängt, wählen Sie Map to cloud account.
   1. Wählen Sie im Dropdown-Menü AWS aus.
   2. Melden Sie sich in einem anderen Browser-Tab bei dem AWS-Konto an, das den Cluster hostet.
   3. Suchen Sie nach den Amazon Elastic Kubernetes Service-Einstellungen in AWS und gehen Sie dorthin.
   4. Klicken Sie auf den Clusternamen, den Sie mit Container Security schützen möchten.
   5. Klicken Sie auf Überblick und kopieren Sie den ARN-Wert für den Cluster.
   6. Zurück im Container Security Protect Cluster-Bildschirm, fügen Sie den Wert in das Feld ARN ein.
7. Wenn Sie bereits eine Richtlinie erstellt haben, die Sie zum Schutz des Kubernetes-Clusters verwenden möchten, wählen Sie den Richtliniennamen aus dem Dropdown-Menü Richtlinie aus.
   Sie können eine Kubernetes-Richtlinie erstellen und die Richtlinie nach dem Verbinden des Clusters zuweisen.
8. Um sicherzustellen, dass Container Security keine der folgenden Kubernetes-Managementsysteme beeinträchtigt, wählen Sie die Systeme im Dropdown-Menü Namespace Exclusions aus.
   • Calico System
   • Istio System
   • Kube System
   • OpenShift*
   • GKE System*

   Hinweis Optionen mit einem Sternchen (*) repräsentieren Gruppen verwandter Namensräume. Weitere Informationen finden Sie unter Gruppierte Namespaces.

9. Wenn Ihr Cluster einen Proxy-Server benötigt, aktivieren Sie Use Proxy und konfigurieren Sie die folgenden Einstellungen:
   • Protokoll: Wählen Sie HTTP, HTTPS oder SOCKS5.
   • Proxy address: Geben Sie die IP-Adresse des Proxy-Servers an.
   • Port: Geben Sie die Portnummer des Proxy-Servers an.
   • Require authentication credentials: Wählen und geben Sie den Konto und Kennwort des Proxy-Servers an.
   • Use self-signed certificate: Wählen Sie aus Host file, Secret oder ConfigMap und geben Sie dann die Zertifikatsinformationen ein.
10. Wenn Sie bereits wissen, welche Sicherheitsfunktionen Sie im Cluster aktivieren möchten, aktivieren Sie die gewünschten Funktionen.
    • Runtime Security: Bietet Einblick in jede Aktivität Ihrer laufenden Container, die gegen eine anpassbare Reihe von Regeln verstößt.
    • Runtime Vulnerability Scanning: Bietet Einblick in Betriebssystem- und Open-Source-Code-Schwachstellen, die Teil von Containern sind, die in Clustern ausgeführt werden.
    • Runtime Malware Scanning: Bietet Erkennung von Malware in Ihren laufenden Containern, sodass Sie Malware-Bedrohungen identifizieren und darauf reagieren können, die nach der Bereitstellung eingeführt wurden.
11. Klicken Sie auf Weiter.
    Die Informationen des Helm-Bereitstellungsskripts werden auf dem Bildschirm angezeigt.
12. Für Benutzer, die zum ersten Mal Container Security-Schutz im Cluster bereitstellen:
    1. Wenn Sie Schutz in einem Fargate-Container bereitstellen, wählen Sie Fargate environment, um den folgenden Code in das Helm-Skript einzufügen:

       fargateInjector:
               enabled: true

       Hinweis Bevor Sie ein Amazon EKS Fargate-Pod verbinden, stellen Sie sicher, dass der Container die notwendigen Systemvoraussetzungen für EKS Fargate-Bereitstellungen erfüllt. Für reine Amazon EKS Fargate-Umgebungen müssen Sie möglicherweise Ihr Fargate-Profil anpassen, um die Planung von Pods in einem nicht standardmäßigen Namespace zu ermöglichen (zum Beispiel trendmicro-system). Siehe AWS-Dokumentation für weitere Informationen zu Fargate-Profilen.

    2. Um die Konfigurationseigenschaften von Container Security in Ihrem Kubernetes-Cluster zu definieren, erstellen Sie eine YAML-Datei (zum Beispiel: overrides.yaml) und kopieren Sie den Inhalt des ersten Eingabefelds in die Datei.

       Warnung Die YAML-Datei enthält einen eindeutigen API-Schlüssel, der erforderlich ist, um den angegebenen Cluster mit Container Security zu verbinden. Der API-Schlüssel erscheint nur einmal und Sie sollten eine Kopie für zukünftige Upgrades erstellen. Trend Micro kann den API-Schlüssel nicht erneut abrufen, sobald Sie den Bildschirm schließen.

    3. Um die automatische Clusterregistrierung zu aktivieren, erstellen Sie einen API-Schlüssel und geben Sie true für clusterRegistrationKey ein, wie im folgenden Beispiel gezeigt.

       Hinweis Sie können den Schutz des Clusters konfigurieren, indem Sie clusterName, clusterNamePrefix, policyId, groupId im Abschnitt policyOperator angeben.

       Beispiel-Überschreibungsdatei:

       visionOne:
           clusterRegistrationKey: true
           endpoint: https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs
           exclusion: 
               namespaces: [kube-system]
           inventoryCollection:
               enabled: true
           complianceScan:
               enabled: false
           policyOperator:
               clusterName: xxxx (optional. A random name will be used if not specified)
               clusterNamePrefix: xxxx (optional)
               policyId: xxxx (optional)
               groupId: xxxx (required)

    4. Kopieren Sie das gesamte helm install-Skript in das zweite Eingabefeld und führen Sie das Helm-Skript auf Ihrem Cluster aus.

       Hinweis Ändern Sie den --values overrides.yaml \-Parameter, um den relativen Pfad zu der overrides.yaml zu verwenden, die Sie im vorherigen Schritt gespeichert haben.

13. Für Benutzer, die eine bestehende Bereitstellung aktualisieren, kopieren Sie das gesamte helm get values --namespace trendmicro-system trendmicro | helm upgrade \-Skript in das letzte Eingabefeld und führen Sie das Helm-Skript auf Ihrem Cluster aus.

    Hinweis In Zukunft können Sie die Helm-Bereitstellung aktualisieren, ohne Änderungen zu überschreiben, indem Sie das Helm-Argument verwenden: --reuse-values.