檢視次數:
重要
重要
Trend Vision One 中的 AWS 帳戶現在由雲端帳戶應用程式管理。
若要更新您的 AWS 帳戶,請參閱 更新舊版 AWS 連線
您仍然可以使用 API 將新帳戶添加到 Server & Workload Security保護。但是,趨勢科技 建議使用雲端帳戶應用程式,該應用程式提供更先進的雲端安全性和 XDR 功能。以下主題僅供參考。
注意
注意
代理程式僅支援 Amazon WorkSpaces Windows 桌面,不支援 Linux 桌面。
如果您想使用Server & Workload Security保護保護現有的 Amazon EC2 實例和 Amazon WorkSpaces,請閱讀此頁面。
如果您想要:
要使用Server & Workload Security保護保護您現有的 Amazon EC2 實例和 Amazon WorkSpaces,請按照以下步驟操作:

步驟

  1. 將您的 AWS 帳戶新增至 Server & Workload Security保護
  2. 配置啟用類型
  3. 開放的端口
  4. 將代理程式部署到您的 Amazon EC2 實例和 WorkSpaces
  5. 驗證代理程式是否已正確安裝和啟用
  6. 指派政策

將您的 AWS 帳戶新增至 Server & Workload Security保護 上層主題

重要
重要
Trend Vision One 中的 AWS 帳戶現在由雲端帳戶應用程式管理。要新增 AWS 帳戶,請參閱 使用 CloudFormation 新增 AWS 帳戶。您仍然可以使用 API 功能將帳戶新增到 Server & Workload Security保護。然而,趨勢科技建議使用雲端帳戶應用程式,該應用程式提供更先進的雲端安全性和 XDR 功能。
對於已新增至Server & Workload Security保護但尚未在雲端帳戶應用程式中更新的 AWS 帳戶:
  • 您現有的 Amazon EC2 實例和 Amazon WorkSpaces 會顯示在 Server & Workload Security保護 控制台中。如果未安裝代理程式,它們會顯示 Status of Unmanaged (Unknown) 並在旁邊顯示灰點。如果已安裝代理程式,它們會顯示 Status of Managed (Online) 並在旁邊顯示綠點。
  • 通過此 AWS 帳戶啟動的任何新的 Amazon EC2 實例或 Amazon WorkSpaces 都會被 Server & Workload Security保護 自動檢測並顯示在電腦列表中。

配置啟用類型 上層主題

啟用是將代理註冊到管理者的過程。您需要指示是否允許代理啟動啟用。如果不允許,則僅允許管理者啟動啟用。

步驟

  1. 登入Server & Workload Security保護主控台。
  2. 點選 Administration 在頂部。
  3. 在左側點選System Settings
  4. 在主窗格中,確保選擇了Agents標籤。
  5. 選擇或取消選擇Allow Agent-Initiated Activation,請注意:
    • 代理啟動的啟用不需要您打開 Amazon EC2 實例或 Amazon WorkSpaces 的輸入端口,而管理員啟動的啟用則需要。
    • 如果已啟動代理啟動,管理員啟動將繼續運作。
  6. 如果您選擇了Allow Agent-Initiated Activation,也請選擇Reactivate cloned AgentsEnable Reactivate unknown Agents。請參閱代理設定以獲取詳細資訊。
  7. 點選 儲存
  8. 如果您使用 Amazon WorkSpaces,並且允許代理啟動激活,現在手動指派彈性 IP 位址給每個 WorkSpace,然後再繼續進行本頁的其他步驟。這樣每個 Amazon WorkSpace 都會有一個可被其他電腦聯繫的公共 IP 位址。這對於 EC2 實例來說不是必需的,因為它們已經使用公共 IP 位址。
    BakeAMI=c7f8cf30-e760-4b54-a425-a7f219378ac0.png

接下來需執行的動作

開放埠口 上層主題

您需要確保必要的端口對您的 Amazon EC2 實例或 Amazon WorkSpaces 是開放的。
要開啟埠:

步驟

  1. 按如下方式開放到您 Amazon EC2 實例的端口:
    a. 登入您的 Amazon Web Services 控制台。 b. 前往 EC2 Network & Security Security Groups。 c. 選擇與您的 EC2 實例相關聯的安全群組,然後選擇 Actions > Edit outbound rules。 d. 開啟必要的端口。請參閱下方的 應該開啟哪些端口?
  2. 按如下方式開放到您 Amazon WorkSpaces 的端口:
    a. 前往保護您 Amazon WorkSpaces 的防火牆軟體,並打開上述列出的埠。

接下來需執行的動作

您現在已經開啟了必要的端口,以便代理和Server & Workload Security保護可以通信。

應該開啟哪些埠? 上層主題

一般來說:
  • 代理到管理器的通信需要您開啟輸出TCP端口(預設為443或80)
  • 管理者與代理之間的通信需要您開啟一個輸入TCP埠(4118)。
更具體地說:
  • 如果您已啟動Allow Agent-Initiated Activation,您需要開啟輸出 TCP 埠(預設為 443 或 80)
  • 如果您禁用了Allow Agent-Initiated Activation,您需要打開輸入 TCP 端口 4118。

將代理程式部署到您的 Amazon EC2 實例和 WorkSpaces 上層主題

您需要將代理部署到您的 Amazon EC2 實例和 Amazon WorkSpaces。以下是幾個選項。
  • Option 1: Use a deployment script to install, activate, and assign a policy
    如果您需要將代理程式部署到多個 Amazon EC2 實例和 Amazon WorkSpaces,請使用選項 1。
    使用此選項,您必須在 Amazon EC2 實例或 Amazon WorkSpaces 上執行部署程式檔。該程式檔會安裝並啟動代理程式,然後分配政策。詳情請參閱 使用部署程式檔新增並保護電腦
  • Option 2: Manually install and activate
    如果您只需要將代理部署到少數 EC2 實例和 Amazon WorkSpaces,請使用選項 2。
    取得代理軟體,將其複製到 Amazon EC2 實例或 Amazon WorkSpace,然後安裝。詳情請參閱 取得代理軟體手動安裝代理
    b. 啟動代理。您可以在代理上啟動(如果已啟動代理啟動),或在Server & Workload Security保護中啟動。詳情請參閱啟動代理。
您現在已在 Amazon EC2 實例或 Amazon WorkSpace 上安裝並啟用了代理程式。根據您選擇的選項,可能已指派或未指派政策。如果您選擇了選項 1(您使用了部署程式檔),則在啟用期間已指派政策給代理程式。如果您選擇了選項 2(您手動安裝並啟用了代理程式),則未指派任何政策,您需要按照本頁面下方的說明來指派政策。

驗證代理程式是否已正確安裝和啟用 上層主題

您應該驗證您的代理程式是否已正確安裝和啟用。

步驟

  1. 登入Server & Workload Security保護主控台。
  2. 點選上方的Computers
  3. 在左側的導航窗格中,確保您的 Amazon EC2 實例或 Amazon WorkSpace 出現在 Computers > your_AWS_account > your_region 下。(在 WorkSpaces 子節點中查找 WorkSpaces。)
  4. 在主窗格中,確保您的 Amazon EC2 實例或 Amazon WorkSpaces 顯示 StatusManaged (Online),並且旁邊有一個綠點。

接下來需執行的動作

指派政策 上層主題

如果您已執行部署程式檔來安裝和啟用代理程式,則可跳過此步驟。該程式檔已經分配了政策,因此無需進一步操作。
如果您手動安裝並啟用了代理,您必須指派一個政策給代理。指派政策會將必要的防護模組發送給代理,以便保護您的電腦防護。
若要指派政策,請參閱 將政策指派給電腦防護
在指派政策後,您的 Amazon EC2 實例或 Amazon WorkSpace 現在已受到保護。