Wie bette ich -Embedded Defender in Fargate-Aufgaben in AWS Pri... - Knowledge Base - Palo Alto Networks

Wie bette ich -Embedded Defender in Fargate-Aufgaben in AWS Prisma Cloud Compute ein?App

12945

Created On 12/08/21 07:32 AM - Last Modified 03/02/23 03:09 AM

Objective

Wie Appbette ich -Embedded Defender in Fargate-Aufgaben in Prisma Cloud Compute ein?

Environment

Prisma Cloud Berechnen
AWS

Procedure

Bevor Sie die Konfigurationsschritte ausführen, lesen Sie die "zusätzlichen Informationen", um die Voraussetzungen zu bestätigen.

Konfigurationsschritte:

Melden Sie sich bei der Konsole an Prisma Cloud .
Wechseln Sie zu Verwalten > Defenders > stellen Sie > Defenders bereit.
Einzelner Verteidiger auswählen
Wählen Sie in der Dropdown-Liste AppDefender-Typ die Option Eingebettet aus.
Festlegen des Tasks deploy App-embedded defender tofargate
Betten Sie den Fargate Defender in Ihre Aufgabendefinition ein.

6a.Kopieren Sie Ihre Aufgabendefinition und fügen Sie sie in das linke Feld ein.
6b.Klicken Sie auf Geschützte Aufgabe 6c generieren
.Kopieren Sie die aktualisierte Aufgabendefinition aus dem rechten Feld.

CLOUD Schritt 2 Bereitstellen von Verteidigern Schritt 3 Schritt 6a Schritt 4 Schritt 5 Schritt 6b Schritt 6c

Erstellen einer Aufgabendefinition in AWS

Erstellen Sie eine neue Aufgabendefinition mit AWS der Ausgabe aus dem vorherigen Abschnitt.
Wenn bereits eine Aufgabendefinition vorhanden ist, erstellen Sie eine neue Revision.

In diesem Abschnitt wird eine neue Aufgabendefinition basierend auf der Beispielaufgabe erstellt.

Melden Sie sich bei der AWS Management Console an.
Gehen Sie zu Services > ECS
Klicken Sie auf Aufgabendefinitionen und dann aufNeue Aufgabendefinition erstellen

3.1 Wählen Sie Fargate und klicken Sie dann auf Nächster Schritt
3.2 Scrollen Sie zum Ende der Seite und klicken Sie auf Konfigurieren über JSON3.3
Löschen Sie die vorausgefüllte JSONAufgabe und fügen Sie dann die generierte JSON Aufgabe aus dem vorherigen Abschnitt ein.
3.4 Klicken Sie auf Speichern

4. Überprüfen Sie den Aufgabeninhalt.

4.1 Der Aufgabenname sollte wie in beschrieben JSONsein.
4.2 Auswählen der Aufgabenrolle
4.3 Die Aufgabe sollte den TwistlockDefender-Container enthalten.
4.4 Klicken Sie auf Erstellen
4.5 Klicken Sie auf Aufgabendefinition anzeigen

Testen der Aufgabe

Melden Sie sich bei der AWS Management Console an.
Gehen Sie zu Services > ECS
Klicken Sie auf Cluster und wählen Sie einen Ihrer Fargate-Cluster aus.
Klicken Sie auf die Registerkarte Dienste und dann aufErstellen

D Neue ECS Erlebniscluster Ein Amazon-Cluster ist eine regionale Gruppierung einer oder mehrerer Container-Instances ECS , auf denen Sie Aufgabenanforderungen ausführen können. Jedes Konto erhält einen Standardcluster, wenn Sie Amazon ECS den Amazon-Service ECS zum ersten Mal verwenden. Cluster können mehr als einen Amazon EC2-Instance-Typ enthalten. Cluster Weitere Informationen finden Sie in der ECS Dokumentation. Aufgabendefinitionen Kontoeinstellungen Amazon EKS Cluster-Liste Amazon ECR Repositories AWS Marketplace Software ubscriotio entdecken Cluster-Ansicht erstellen Erste Schritte Create.new Cluster-Karte Alle I-anzeigen LOFL CloudWatch-Überwachung PCC>Standardüberwachung

Neue ECS Erfahrung Tee Amazon Clusters Aufgabendefinitionen Kontoeinstellungen Amazon Cluster Amazon ECS ECR EKS Repositories AWS Marketplace Software entdecken Abonnements Cluster > PCC Cluster : pcc Erhalten Sie einen detaillierten Überblick über die Ressourcen in Ihrem Cluster. Cluster aktualisieren Clusterclusterstatus ARN löschen Registrierte Container-Instances Anzahl ausstehender Aufgaben Anzahl der ausgeführten Aufgaben Anzahl der aktiven Dienste Anzahl der Dienste Leeren der Serviceanzahl arn:aws:ecs:us-east- 1 :482660645658:cluster/pcc ACTIVE O Fargate, EC2, Fargate, EC2 Fargate, EC2 Fargate, EC2 O O O, External , O O External , O O O O O O External Scheduled Tasks Servic s Create Tasks ECS Instances-Metrik-Tags Kapazitätsanbieter aktualisieren Zuletzt aktualisiert am 20. November 2021 07:24:04 PM (vor 0m) Aktionen löschen Starttyp Filter auf dieser Seite Dienstname ALL Diensttyp ALL Status Dienst ty. Aufgabendefinition. Keine Ergebnisse Gewünschte Ta... Ausführen der Startplattform

4.1 Wählen Sie fürStarttyp Fargate
4.2 Wählen Sie fürAufgabendefinition Ihre vordefinierte Aufgabe aus.
4.3 Geben Sie einenDienstnamen
ein 4.4 Geben Sie fürAnzahl der Aufgaben 1 ein

Dienst erstellen Schritt 1: Dienst konfigurieren Schritt 2: Konfigurieren des Netzwerks Schritt 3: Festlegen von Auto Scaling (optional) Schritt 4: Überprüfen Unter Dienstdienst A konfigurieren können Sie angeben, wie viele Kopien Ihrer Aufgabendefinition in einem Cluster ausgeführt und verwaltet werden sollen. Sie können optional einen Elastic Load Balancing-Load Balancer verwenden, um eingehenden Datenverkehr an Container in Ihrem Service zu verteilen. Amazon ECS verwaltet diese Anzahl von Aufgaben und koordiniert die Aufgabenplanung mit dem Load Balancer. Sie können optional auch Service Auto Scaling verwenden, um die Anzahl der Aufgaben in Ihrem Dienst anzupassen. Starttyp Betriebssystemfamilie Aufgabendefinition Plattformversion Name des Clusterdiensts Diensttyp* Anzahl der Aufgaben @ FARGATE o Zur Strategie des Kapazitätsanbieters wechseln Linux-Familie twistlock-fargate-18_11 Revision 1 (neueste) LATEST pcc o o Geben Sie einen Wert ein •o o o o EXTERNAL

4.5 Klicken
Sie auf Nächster Schritt 4.6 Wählen Sie einenCluster VPC und Subnetze aus und klicken Sie dann aufNächster Schritt

Dienst erstellen Schritt 1: Dienst I konfigurieren Schritt 2: Netzwerk konfigurieren Schritt 3: Festlegen von Auto Scaling (optional) Schritt 4: Überprüfen Sie Konfigurieren von Netzwerk VPC - und Sicherheitsgruppen und Sicherheitsgruppen VPC können konfiguriert werden, wenn Ihre Aufgabendefinition den awsvpc-Netzwerkmodus verwendet. Cluster vpc• vpc-02d3df3ef91f571e1 (172.31 Subnetze* subnet-02c361 28f5a940c (172.31.48.0/20) - us-east-le ipv6 bei der Erstellung zuweisen: Disabled subnet-0664a78ae9bdc60ff (172.31.16.0/20) - us-east-Id assign ipv6 on creation: Disabled Security groups• pccsrv- 1393 Edit o o o Automatische Zuweisung öffentlicher IP Integritätsprüfungs-Kulanzfrist ENABLED Wenn das Starten und Reagieren ELB auf die Aufgaben Ihres Diensts eine Weile dauert Integritätsprüfungen können Sie einen Kulanzzeitraum für die Zustandsprüfung von bis zu 2.147.483.647 Sekunden angeben, in dem der Dienstplaner den Status der ECS Zustandsprüfung ignoriert ELB . Diese Kulanzfrist kann verhindern, dass der ECS Dienstplaner Aufgaben als fehlerhaft markiert und sie beendet, bevor sie Zeit haben, sie auszuführen. Dies ist nur gültig, wenn Ihr Dienst für die Verwendung eines Lastenausgleichs konfiguriert ist. Für die Kulanzfrist für die Zustandsprüfung ist ein Lastenausgleich erforderlich. o

4.7 Wählen Sie fürService Auto Scaling die Option Nächster Schritt aus , und klicken Sie dann aufNächster Schritt

Passen Sie die gewünschte Anzahl des Dienstes nicht an

Dienst erstellen Schritt 1: Dienst konfigurieren Schritt 2: Netzwerk konfigurieren Schritt 3: Festlegen von Auto Scaling (optional) Schritt 4: Lesen Sie Festlegen von Auto Scaling (optional) Passen Sie die gewünschte Anzahl Ihres Service als Reaktion auf CloudWatch-Alarme automatisch innerhalb eines bestimmten Bereichs nach oben und unten an. Sie können Ihre Service Auto Scaling-Konfiguration jederzeit ändern, um die Anforderungen Ihrer Anwendung zu erfüllen. Service Auto Scaling *Erforderlich Passen Sie die gewünschte Anzahl des Diensts nicht an Konfigurieren von Service Auto Scaling O , um die gewünschte Anzahl Ihres Diensts anzupassen Abbrechen Zurück Nächster Schritt

5. Überprüfen Sie Ihre Einstellungen und klicken Sie dann auf Dienst erstellen

5.1 Validieren Sie die Ergebnisse.
5.2 Klicken Sie aufDienst anzeigen

Dienst erstellen Schritt 1: Konfigurieren von sen.'ice Schritt 2: Netzwerk konfigurieren Schritt 3: Festlegen von Auto Scaling (optional) Schritt 4: Überprüfen Überprüfen des Starttyps des Clusters Betriebssystemfamilie Aufgabendefinition Plattformversion Dienstname Diensttyp Anzahl der Aufgaben Minimaler fehlerfreier Prozentsatz Maximaler Prozentsatz Bereitstellung Leistungsschalter Konfigurieren der Netzwerk-ID VPC Subnetze Neue Sicherheitsgruppe erstellen Automatische Zuweisung IP Festlegen von Auto Scaling (optional) PCC FARGATE Linux twistlock-fargate- 18_ 11 : LATEST 1 pccsrv 100 200 deaktiviert vpc-02d3df3ef91f571e1 subnet-02c361 c128f5a940c, subnet- 0664a78ae9bdc60ff pccsrv REPLICA - 1393 ENABLED nicht konfiguriert Vorherige Bearbeitung abbrechen Dienst erstellen

Startstatus Dienststatus ECS - 3 von 3 abgeschlossen Konfigurieren des Aufgabennetzwerks Sicherheitsgruppe erstellen Sicherheitsgruppe erstellen pccsrv-1393 erfolgreich sg-Oa3fd669efcf05695 Eingehende Regeln festlegen Eingehende Regeln festlegen sg-Oa3fd669efcf05695 Dienst erstellen Dienst erstellen: pccsrv Dienst erstellt Dienst erstellt. Die Aufgaben werden vorübergehend gestartet. Mew: pccsrv Zusätzliche Integrationen, die Sie mit Ihrem Dienst verbinden können Code Pipeline Setup a CI/CD Prozess von Ihrem ECS Dienst. Sie können aus der Quelle erstellen oder ein ECR Repository als Quelle für Ihre Bereitstellung verwenden. Erstellen Sie eine Pipeline c? Zurück Ansicht Service

Wenn der letzte Status Wird ausgeführt lautet, wird der Fargate-Task ausgeführt.

Die Container werden ausgeführt.

6. Verteidiger
in der Prisma Cloud Konsole anzeigen: Gehen Sie zuVerwalten > Verteidiger > Verteidiger verwalten und durchsuchen Sie die Fargate-Aufgabe, indem Sie die Filter Fargate und Status: Verbunden
hinzufügen
o CLOUD Defen&rs müssen verwalten Eingesetzte Verteidiger verwalten Polkies in mnt zu def«1 Akts Cmm.te 2108525 Advmi wrings Zeigt verbunden Cmted 1 O min csv t Llpgruie alle

o CLOUD Defen&rs müssen verwalten Eingesetzte Verteidiger verwalten Polkies in mnt zu def«1 Akts Cmm.te 2108525 Advmi wrings Zeigt verbunden Cmted 1 O min csv t Llpgruie alle

Fimall-Hostnetzwerk 20.2021 PM Nicht ANI aktiviert Nicht verfügbar

Additional Information

Prisma Cloud trennt den Code, den Entwickler produzieren, sauber von den Fargate-Containern , die wir schützen.
Entwickler müssen ihren Code nicht ändern, um Prisma Cloud.
Entwickler müssen auch keine speziellen Bibliotheken laden, Dateien hinzufügen oder Manifeste ändern.
Wenn ein Container bereit ist, für den Test oder die Produktion bereitgestellt zu werden, führen Sie die Aufgabendefinition über ein Transformationstool aus, um den Fargate Defender automatisch einzubetten, bevor die neue Aufgabendefinition in geladen wird AWS.
Diese Methode zur Einbettung des Fargate Defender wurde so konzipiert, dass sie sich nahtlos in die CI/CD Pipeline integrieren lässt.
Entwickler können die Prisma Cloud API aufrufen, um den Fargate Defender in Ihre Aufgabendefinition einzubetten.

Voraussetzungen:

Die Aufgabe, in die Sie den -Embedded Defender einbetten, kann den AppPort 8084 der Konsole über das Netzwerk erreichen.
A Gültige Aufgabendefinition.
Es wurde bereits ein ECS Cluster erstellt.
Cluster VPC und Subnetze.
Aufgabenrolle.

NOTE:

Die Aufgabendefinition muss übereinstimmende Einstiegspunkt- und cmd-Parameter aus Dokerfile(s) der Bilder in der Aufgabe enthalten.
Da Prisma Cloud die tatsächlichen Bilder nicht als Teil des Einbettungsablaufs angezeigt werden, ist es darauf angewiesen, dass diese Parameter vorhanden sind, um den -Embedded Defender zuverlässig in den AppStartablauf der Aufgabe einzufügen.
Wenn Dokerfile keinen Einstiegspunktparameter enthält, muss ein Standardparameter wie /bin/sh in der Aufgabendefinition verwendet werden.
Da der cmd-Parameter jedoch optional ist, ist in der Aufgabendefinition kein cmd-Parameter erforderlich, wenn Dokerfile keinen cmd-Parameter enthält.

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates

Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)