 |
重要Trend Vision One 中的 AWS 帳戶現在由雲端帳戶應用程式管理。要新增 AWS 帳戶,請參閱 使用 CloudFormation 新增 AWS 帳戶。
您仍然可以使用 API 將新帳戶添加到 Server & Workload Security保護。但是,趨勢科技 建議使用雲端帳戶應用程式,該應用程式提供更先進的雲端安全性和 XDR 功能。以下主題僅供參考。
|
如果您想啟動內建代理程式的新 Amazon EC2 實例和 Amazon WorkSpaces,請閱讀此頁面。
如果您想要:
- 使用 Server & Workload Security保護 保護 現有的 Amazon EC2 實例和 Amazon WorkSpaces,請參閱 在 Amazon EC2 和 WorkSpace 實例上安裝代理程式。
- 在已保護您的 Amazon EC2 實例後保護 Amazon WorkSpaces,請參閱 如果您已經添加了您的 AWS 帳戶,請保護 Amazon WorkSpaces。
烘焙代理程式是指根據公共 AMI 啟動 EC2 實例,在其上安裝代理程式,然後將此自訂的 EC2 映像保存為 AMI。此 AMI(包含已烘焙的代理程式)可以在啟動新的
Amazon EC2 實例時選擇。
同樣地,如果您想在多個 Amazon WorkSpaces 上部署代理,您可以創建一個包含代理的自定義 'WorkSpace bundle'。然後在啟動新的 Amazon
WorkSpaces 時可以選擇這個自定義 bundle。
要烘焙 AMI 並創建具有預安裝和預啟動代理的自訂 WorkSpace 套件,請按照以下步驟操作:
步驟
將您的 AWS 帳戶新增到 Server & Workload Security保護 
|
重要Trend Vision One 中的 AWS 帳戶現在由雲端帳戶應用程式管理。要新增 AWS 帳戶,請參閱 使用 CloudFormation 新增 AWS 帳戶。您仍然可以使用 API 功能將帳戶新增到 Server & Workload Security保護。然而,趨勢科技建議使用雲端帳戶應用程式,該應用程式提供更先進的雲端安全性和 XDR 功能。
|
配置啟用類型
您需要指示是否允許代理啟動的啟用。
請參閱 在 Amazon EC2 和 WorkSpaces 上安裝代理程式 > 配置啟動類型 以獲取說明。
啟動主Amazon EC2 實例或 Amazon WorkSpace
您需要啟動一個主Amazon EC2 實例或 Amazon WorkSpace。主實例是您稍後將創建的 EC2 AMI 或 WorkSpace 套件的基礎。
步驟
- 在 AWS 中,啟動 Amazon EC2 實例或 Amazon WorkSpace。詳情請參閱 Amazon EC2 文件 和 Amazon WorkSpaces 文件。
- 將該實例稱為master。
在主機上部署代理
您需要在主機上安裝並啟用代理。在此過程中,您可以選擇性地安裝策略。
 |
秘訣理想情況下,如果您將代理嵌入到您的 AMI 或工作區捆綁包中,然後想要稍後使用較新的代理,您應該更新捆綁包以包含新代理。不過,如果這不可能,您可以使用啟動時自動升級代理設置,這樣當
AMI 或捆綁包中的代理啟動時,Server & Workload Security保護 可以自動將代理升級到最新版本。詳情請參閱 啟動時自動升級代理。
|
驗證代理程式是否已正確安裝和啟用
您應該在繼續之前驗證代理是否已在主機上正確安裝和啟用。
請參閱 在 Amazon EC2 和 WorkSpaces 上安裝代理程式 > 驗證代理程式是否已正確安裝和啟用 以獲取指示。
(建議)設定政策自動分配
您可能需要根據您在主機上部署代理的方式來設置策略自動分配:
- 如果您使用了部署程式檔,那麼已經分配了政策,無需進一步操作。
- 如果您手動安裝並啟用了代理,則未分配任何策略給代理,現在應該分配一個策略以保護主機。基於主機啟動的 Amazon EC2 實例和 Amazon WorkSpaces 也將受到保護。
如果您想將政策指派給主機,並自動將政策指派給使用主機啟動的未來 EC2 實例和 WorkSpaces,請按照以下說明操作:
步驟
- 在 Server & Workload Security保護 主控台中,使用以下參數建立一個基於事件的任務:
- 將Event設置為Agent-Initiated Activation。
- 將 Assign Policy 設定為您想要指派的政策。
- (可選)設置條件為Cloud Instance Metadata,使用以下任一
- 一個 tagKey 的 EC2 和一個 tagValue. 的 True(針對 EC2 實例)
- 一個 tagKey 的 WorkSpaces 和一個 tagValue. 的 True(適用於 WorkSpaces)
上述基於事件的任務說明:當代理程式啟動時,指派指定的政策,條件是 Amazon EC2 實例或 WorkSpace 中存在EC2=true或WorkSpaces=true。如果該鍵/值對不存在於 EC2 實例或 WorkSpace 中,則不會分配策略(但代理仍然會被激活)。如果您未指定條件,則在激活時無條件分配策略。如需有關建立事件型任務的詳細資訊,請參閱 根據 AWS EC2 實例標籤自動指派政策。 - 如果您在上一步中在Server & Workload Security保護控制台中添加了一個鍵/值對,請執行以下操作:
- 前往 AWS。
- 尋找您的主 EC2 實例或 WorkSpace。
- 將標籤添加到主機,Key 為 EC2 或 WorkSpaces,以及 Value 為 True。有關詳細信息,請參閱此 Amazon EC2 標籤文檔 和此 Amazon WorkSpace 標籤文檔。您現在已設置策略自動分配。使用主機啟動的新 Amazon EC2 實例和 Amazon WorkSpaces 將自動激活(因為代理已在主機上預先激活),然後通過基於事件的任務自動分配策略。
- 在主 EC2 實例或 WorkSpace 上,通過重新運行代理上的激活命令或點擊 Reactivate 按鈕來重新激活代理,位於 Server & Workload Security保護 控制台。詳情請參見 激活代理。 重新激活會使基於事件的任務將策略指派給主機。主機現在已受保護。
接下來需執行的動作
您現在已準備好製作您的 AMI 或建立自訂的 WorkSpace 套件。
根據主機建立 AMI 或自訂 WorkSpace 套件
 |
注意從 AWS 建立 AMI 時,請記得在建立之前stop實例,並且不要選擇 AWS 選項No reboot。使用No reboot選項建立的映像將不會受到代理程式的保護。
|
- 如需在 Linux 上建立 AMI,請參閱 此 Amazon 文件。
- 若要在 Windows 上建立 AMI,請參閱 此 Amazon 文件。
- 若要建立自訂的 WorkSpace 套件,請參閱 此 Amazon 文件。
您現在擁有一個包含預先安裝和預先啟用代理的 AMI 或 WorkSpace 套件。
使用 AMI
現在您有了自訂的 AMI 或 WorkSpace 套件,您可以將其用作未來 Amazon EC2 執行個體和 Amazon WorkSpaces 的基礎。使用自訂的
AMI 或套件,代理程式會自動啟動、自行啟用並套用分配給它的保護政策。它會在 Server & Workload Security保護 主控台中顯示,狀態為已管理,旁邊有一個綠點。