Bitdefender Security for AWS ist eine speziell für Cloud-Infrastrukturen entwickelte Sicherheitslösung, die mit dem GravityZone Cloud Control Center integriert ist. Als umfassende Lösung schützt Bitdefender Security for AWS Amazon EC2-Instanzen unter Windows und Linux.

Sollten Sie ein Abonnement für Bitdefender Security for AWS über den Amazon Web Services Marketplace abschließen müssen, finden Sie alle notwendigen Informationen in diesem Artikel in der Wissensdatenbank.

Dieser Artikel beschreibt die Integration Ihres Amazon-Web-Services-Kontos mit dem GravityZone Control Center über eine kontoübergreifende Rolle.

Übersicht

GravityZone administrators can integrate Control Center with Amazon EC2 by using a cross-account role associated with an IAM (Identity and Access Managament) user. To learn more about IAM, refer to this kb article provided by Amazon Web Services.

Dieses Verfahren ersetzt die alte Integrationsmethode auf Grundlage von AWS-Schlüsselpaaren und spiegelt die neueste Version der von AWS bereitgestellten APIs wieder.

Die GravityZone-Integration mit Amazon EC2 beinhaltet die folgenden Sicherheitselemente:

• Konto-ID – die eindeutige Kennung für das Bitdefender-AWS-Konto. Die Konto-ID wird benötigt, damit der IAM-Benutzer eine GravityZone-spezifische Rolle für den kontoübergreifenden Zugriff anlegen kann.
• Externe ID – eine eindeutige Kennung, die mit Ihrem GravityZone-Unternehmen verknüpft ist. Sie dient Sicherheitszwecken und wird zur Anlage der GravityZone-spezifischen Rolle für den kontoübergreifenden Zugriff benötigt.
• ARN (Amazon Resource Name) – eine eindeutige Erkennung für AWS-Ressourcen, die mit einer Ihrem AWS-Benutzerkonto zugehörigen Rolle verknüpft sind.

Beachten Sie: Es wird empfohlen, die Amazon-Integration mit einem eigens für diesen Zweck angelegten Benutzerkonto einzurichten. Der IAM-Benutzer benötigt die IAMFullAccess-Berechtigung, um die für die AWS-Integration in GravityZone benötigte Rolle anzulegen.

Vorbereitende Maßnahmen

Vor der Konfiguration der AWS-Integration:

• Stellen Sie sicher, dass Sie die entsprechenden Anmeldedaten für das AWS-Benutzerkonto zur Hand haben.
• Öffnen Sie die AWS-Konsole und GravityZone Control Center in zwei getrennten Browser-Tabs. Für eine erfolgreiche AWS-Integration müssen Sie in beiden Tabs arbeiten.

Bevor Sie den Vorgang starten müssen Sie zunächst den Sitzungstimeout unter Control Center &t; Mein Konto von 15 Minuten auf mindestens 1 Stunde umstellen. Falls Ihre Sitzung abläuft, müssen Sie die Integrationsschritte wiederholen.

Integration von GravityZone mit Amazon Web Services

1. Melden Sie sich mit Ihren GravityZone-Anmeldedaten beim Control Center an.
2. Rufen Sie oben rechts in der Konsole den Eintrag Integrationen auf.
3. Falls Sie über keine aktive Integration verfügen, klicken Sie auf Hinzufügen > Amazon EC2-Integration hinzufügen. Das Fenster für die Amazon EC2-Integrationseinstellungen wird angezeigt.
   
4. Klicken Sie unter Externe ID auf Generieren.
5. Öffnen Sie in Ihrem Browser einen neuen Tab und melden Sie sich bei der AWS-Konsole an.
6. Klicken Sie oben in der AWS-Konsole auf Services und danach auf Security, Identity and Compliance > IAM.
   
7. Klicken Sie im Menü links auf Roles. Eine neue Seite wird angezeigt.
   
8. Klicken Sie auf Create role aus.
   
9. Wählen Sie Another AWS account.
   
10. Wechseln Sie zum Control Center und kopieren Sie die Konto-ID aus dem Fenster Amazon EC2-Integrationseinstellungen.
11. Rufen Sie die AWS-Konsole erneut auf und fügen Sie die Zeichenfolge in das Feld Account ID ein.
12. Wählen Sie Require external ID (Best practice when a third party will assume this role) aus.
13. Wechseln Sie zum Control Center und kopieren Sie die Externe ID aus dem Fenster Amazon EC2-Integrationseinstellungen. Sie haben dazu zwei Möglichkeiten:
    1. Markieren Sie die Zeichenfolge und drücken Sie Strg (CTRL) + C.
    2. Klicken Sie hinter der Zeichenfolge auf das In Ablage kopieren-Symbol.
14. Rufen Sie die AWS-Konsole erneut auf und fügen Sie die Zeichenfolge in das Feld External ID ein.
15. Klicken Sie auf Next: Permissions.
16. Markieren Sie die Berechtigung AmazonEC2ReadOnlyAccess und klicken Sie auf Next: Review.
17. Geben Sie auf der neuen Seite einen Namen und eine Beschreibung in die erforderlichen Felder ein.
18. Klicken Sie auf Create Role. Ihnen wird eine Liste mit allen bestehenden Rollen angezeigt. Warten Sie ca. 1 Minute bis die Änderungen in allen AWS-Regionen verteilt wurden.
19. Klicken Sie auf Ihre Rolle, um alle Einzelheiten anzuzeigen.
20. Kopieren Sie die ARN.
    
21. Wechseln Sie zum Control Center-Tab und fügen Sie die ARN in das entsprechende Feld ein.
22. Klicken Sie auf Speichern.

    GravityZone importiert die Amazon EC2-Instanzen ins Netzwerk, wo Sie nach Regionen und Verfügbarkeitszonen sichtbar sind.

    Control Center führt alle 15 Minuten automatisch eine Synchronisation mit dem Amazon EC2-Inventar durch. Sie können diese Synchronisation auch manuell durchführen, indem Sie auf die Schaltfläche Mit Amazon EC2 synchronisieren am oberen Rand der Netzwerk-Seite klicken.

    GravityZone Control Center also synchronizes with AWS console each time you click Save in the Amazon EC2 Integration Settings window.

Schutz installieren

Um Ihre Amazon EC2-Instanzen zu schützen, müssen Sie auf diesen den Bitdefender Endpoint Security Tools-Agenten installieren. Bei der Installation des Agenten müssen Sie einen Security Server zuordnen. GravityZone verfügt über Security Server in einer Reihe von AWS-Regionen. Wählen Sie einen Security Server aus der gleichen Region, in der sich auch Ihre Instanz befindet.

For more information on installing security agents, refer to GravityZone Installation Guide.

Nützliche Hinweise

Nach der Einrichtung Ihrer Integration müssen Sie noch einige Punkte beachten, damit in Zukunft keine Probleme auftreten.

Ändern der externen ID für Ihre Amazon EC2-Integration

If needed, you can regenerate anytime in Control Center the External ID for your Amazon EC2 integration. This action will invalidate the currently used External ID and the integration. To restore the integration, you have the update your role in the AWS console with the new External ID.

Gehen Sie zum Ändern der externen ID wie folgt vor:

1. Rufen Sie die Seite Integrationen auf.
2. Klicken Sie auf die bestehende Amazon EC2-Integration. Das Fenster für die Amazon-EC2-Integrationseinstellungen wird angezeigt.
3. Klicken Sie auf Generieren. Eine Warnmeldung informiert Sie darüber, dass die neue externe ID die aktuelle ID ungültig machen wird. Darüber hinaus wird auch Ihre aktuelle Integration ungültig, bis Sie Ihre AWS-Rolle mit der externen ID aktualisieren.
4. Klicken Sie auf Bestätigen.
5. Kopieren Sie die neue externe ID.
6. Melden Sie sich in einem neuen Browser-Tab bei der AWS-Konsole an.
7. Rufen Sie Services > IAM > Roles auf und wählen Sie Ihre Rolle aus.
8. Klicken Sie unter Summary > Trust Relationship auf Edit trust relationship.
   
9. Geben Sie die neue externe ID im Feld sts:ExternalID auf.
   
10. Klicken Sie auf Update Trust Policy.
11. Rufen Sie im GravityZone Control Center erneut die Amazon EC2 Integrationseinstellungen auf. Die Zeiten bis zur Verteilung in AWS können unterschiedlich sein. Warten Sie ca. 1 Minute und klicken Sie auf Speichern.

Fehlermeldungen

Fehlermeldungen informieren Sie über Probleme mit Ihrer Amazon EC2-Integration:

• Änderungen konnten nicht gespeichert werden. Entweder ist die angegebene externe ID nicht korrekt oder die AWS-Rolle wurde noch nicht in allen Regionen verteilt.

  Dieser Fehler tritt nach einem Klick auf Speichern in den Amazon EC2-Integrationseinstellungen unter den folgenden Umständen auf:

  • Die Amazon EC2-Richtlinie für Ihre Rolle wurde in keiner der AWS-Regionen verteilt. Warten Sie einige Sekunden und klicken Sie erneut auf Speichern.
  • Sie haben bei der Anlage oder der Aktualisierung Ihrer Rolle in der AWS-Konsole eine falsche externe ID eingegeben.
• Die Amazon EC2-Richtlinie wurde nicht in allen Regionen angewendet. Bitte warten Sie einige Sekunden und versuchen Sie es erneut.

  Dieser Fehler tritt auf, wenn Sie in den Amazon EC2-Integrationseinstellungen auf Speichern geklickt haben, die Amazon EC2-Richtlinie aber noch nicht in allen AWS-Regionen verteilt wurde. Warten Sie noch einen Moment und klicken Sie erneut auf Speichern.

• Zur Ausführung dieses Vorgangs nicht autorisiert. Stellen Sie sicher, dass die AmazonEC2ReadOnlyAccess-Richtlinie mit dem Benutzer/der Rolle verknüpft ist.

  Dieser Fehler tritt auf, wenn Sie in den Amazon EC2-Integrationseinstellungen auf Speichern geklickt haben und die AmazonEC2ReadOnly-Richtlinie nicht mit der Rolle verknüpft ist. Melden Sie sich zur Lösung dieses Problems bei der AWS-Konsole an und wählen Sie unter Roles > [Ihre Rolle] > Permissions > Attach policy die fehlende Richtlinie aus.cy.

• Ungültiger ARN für die angegebene Rolle.

  Dieser Fehler tritt nach einem Klick auf Speichern in den Amazon EC2-Integrationseinstellungen auf, wenn eine ungültige ARN angegeben wurde. Überprüfen Sie die ARN und klicken Sie erneut auf Speichern.

• Unbekannter Kommunikationsfehler.

  This error appears if a communication error has been encountered when clicking Save in the Amazon EC2 Integration Settings window. Wait a few seconds and click Save again.

• Ungültige Amazon-Anmeldeinformationen.

  Sie erhalten diese E-Mail-Benachrichtigung unter folgenden Umständen:

  • Die Integrationsrichtlinie aus der AWS-Konsole (AmazonEC2ReadOnlyAccess) nicht mehr mit Ihrer IAM-Rolle verknüpft ist.
  • Sie haben eine neue externe ID generiert, ohne Ihre IAM-Rolle anzupassen, oder die externe ID Ihrer Rolle unterscheidet sich von der im GravityZone Control Center.
  • Ihre IAM-Rolle wurde für eine bestehende Amazon EC2-Integration aus AWS gelöscht.

  Diese Fehlernachricht wird einmal täglich versendet nach einer manuellen Synchronisation per Klick auf Mit Amazon EC2 synchronisieren unter Control Center > Netzwerk bzw. nach einer fehlgeschlagenen automatischen Synchronisation von GravityZone und AWS.

Aufheben der Integration

Falls Sie Sicherheit Ihrer Amazon EC2-Instanzen nicht mehr mit Bitdefender verwalten möchten, können Sie die Integration über das Control Center löschen. Weitere Einzelheiten finden Sie in diesem Artikel in der Wissensdatenbank.