Ansichten:
Integrieren Sie Server- und Workload Protection mit AWS Control Tower, um sicherzustellen, dass jedes Konto, das über die Control Tower Account Factory hinzugefügt wird, automatisch in Server- und Workload Protection bereitgestellt wird. Dies bietet eine zentrale Sicht auf die Sicherheitslage der in jedem Konto bereitgestellten EC2-Instanzen sowie die Grundlage für Richtlinien- und Abrechnungsautomatisierung.

Überblick Übergeordnetes Thema

Die Lifecycle Hook-Lösung bietet eine CloudFormation-Vorlage, die beim Start im Control Tower Master-Konto AWS-Infrastruktur bereitstellt, um sicherzustellen, dass Server- und Workload Protection jedes Account Factory AWS-Konto automatisch überwacht. Die Lösung besteht aus 2 Lambda-Funktionen; eine zur Verwaltung unserer Rolle und des Zugriffs auf Server- und Workload Protection, und eine andere zur Verwaltung des Lebenszyklus der ersten Lambda. AWS Secrets Manager wird genutzt, um den API-Schlüssel für Server- und Workload Protection im Master-Konto zu speichern, und eine CloudWatch Events-Regel wird konfiguriert, um die Anpassungs-Lambda auszulösen, wenn ein Control Tower-Konto erfolgreich bereitgestellt wird.
Sobald Server- und Workload Protection in AWS Control Tower integriert ist, wird es wie folgt implementiert:

Prozedur

  1. Während des Stack-Starts wird die Lifecycle-Lambda für jedes bestehende Control Tower-Konto ausgeführt, einschließlich des Control Tower-Master-, Audit- und Log-Kontos.
  2. Nach dem Start löst eine CloudWatch-Ereignisregel die Lifecycle-Lambda für jedes erfolgreiche Control Tower CreateManagedAccount-Ereignis aus.
  3. Die Lifecycle-Lambda-Funktion ruft den Server- und Workload Protection API-Schlüssel aus dem AWS Secrets Manager ab und erhält dann die externe ID für Ihre Organisation von der Server- und Workload Protection API.
  4. Die Lambda-Funktion übernimmt die ControlTowerExecution-Rolle im Zielverwalteten Konto, um die erforderliche Kontorolle und die zugehörige Richtlinie zu erstellen.
  5. Ein Aufruf wird an die Server- und Workload Protection-API gemacht, um dieses verwaltete Konto zu Ihrem Mandanten hinzuzufügen.

Nächste Schritte

Integrieren mit AWS Control Tower Übergeordnetes Thema

Prozedur

  1. In der Server- und Workload Protection-Konsole gehen Sie zu AdministrationBenutzerverwaltungAPI Keys und klicken Sie auf Neu. Wählen Sie einen Namen für den Schlüssel und die Rolle Vollzugriff. Stellen Sie sicher, dass Sie den Schlüssel speichern, da er später nicht mehr abgerufen werden kann. Dieser Schlüssel wird verwendet, um die Automatisierung vom AWS Control Tower Master zur Konsolen-API zu authentifizieren. Weitere Informationen finden Sie unter API-Schlüssel erstellen.
  2. Melden Sie sich beim AWS Control Tower-Masterkonto an. Navigieren Sie zum CloudFormation-Dienst, wählen Sie die Region aus, in der AWS Control Tower bereitgestellt wurde, und starten Sie die Lifecycle-Vorlage.
  3. Geben Sie im Lebenszyklus-Template Ihren in Schritt 1 generierten API-Schlüssel ein. Lassen Sie den FQDN Ihrer Konsole als Standardeintrag.
  4. Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass AWS CloudFormation IAM-Ressourcen erstellen könnte. Wählen Sie Create Stack aus, und die Integration beginnt mit dem Hinzufügen Ihrer AWS-Konten zu Server- und Workload Protection.
  5. Sobald alle Ihre Konten importiert wurden, automatisieren Sie die Agenteninstallation und aktivieren Sie den Schutz.

Nächste Schritte

AWS Control Tower-Integration aktualisieren Übergeordnetes Thema

Da neue Funktionen zu Server- und Workload Protection hinzugefügt werden, kann es notwendig sein, die Berechtigungen für die Kontorolle der Anwendung zu aktualisieren. Um die Rolle zu aktualisieren, die durch den Lifecycle-Hook bereitgestellt wird, aktualisieren Sie den Server- und Workload Protection-Stack mit der neuesten Vorlage, die unter der ursprünglichen URL zu finden ist. Die Parameterwerte sollten nicht von ihren ursprünglichen Werten geändert werden, es sei denn, dies wird von Trend Micro Support angewiesen. Das Aktualisieren des CloudFormation-Stacks wird die Rolle für alle bestehenden Konten und die Rolle, die für zukünftige Anmeldungen erstellt wird, aktualisieren.

AWS Control Tower-Integration entfernen Übergeordnetes Thema

Um den Lifecycle-Hook zu entfernen, identifizieren und löschen Sie den CloudFormation-Stack. Der Schutz für bereits hinzugefügte verwaltete Konten bleibt bestehen. Das Entfernen eines AWS-Kontos aus der Trend Vision One-Konsole wird jetzt von der Cloud Accounts-App verwaltet. Einzelheiten zum Entfernen eines AWS-Kontos aus Cloud Accounts finden Sie unter AWS-Konten.