¿Cómo incrustar App-Embedded Defender en las tareas de Fargate ... - Knowledge Base - Palo Alto Networks

¿Cómo incrustar App-Embedded Defender en las tareas de Fargate en AWS Prisma Cloud Compute?

12945

Created On 12/08/21 07:32 AM - Last Modified 03/02/23 02:33 AM

Objective

¿Cómo incrustar App-Embedded Defender en las tareas de Fargate en Prisma Cloud Compute?

Environment

Prisma Cloud Calcular
AWS

Procedure

Antes de seguir los pasos de configuración, consulte la "Información adicional" para confirmar los requisitos previos

Pasos de configuración:

Inicie sesión en Prisma Cloud la consola.
Vaya a Administrar > Defenders > Implementar > Defenders.
Seleccione Defensor individual
En la lista desplegable Tipo de defensor, elija AppIncrustado
Establecer la tarea Deploy App-Embedded Defender toFargate
Incruste Fargate Defender en la definición de su tarea.

6a.Copie y pegue la definición de la tarea en el cuadro de la izquierda.
6b.Haga clic en Generar tarea protegida
6c.Copie la definición de tarea actualizada del cuadro de la derecha.

CLOUD Paso 2 Implementar Defenders Paso 3 Paso 6a Paso 4 Paso 5 Paso 6b Paso 6c

Creación de una definición de tarea en AWS

Cree una nueva definición de tarea con AWS el resultado de la sección anterior.
Si ya tiene una definición de tarea existente, cree una nueva revisión.

Esta sección está orientada a crear una nueva definición de tarea basada en la tarea de ejemplo.

Inicie sesión en la AWS consola de administración.
Ir a Servicios > ECS
Haga clic en Definiciones de tareas y, a continuación, haga clic enCrear nueva definición de tarea

3.1 Seleccione Fargate y luego haga clic en Siguiente paso
3.2 Desplácese hasta la parte inferior de la página y haga clic en Configurar a través JSONde 3.3
Eliminar el rellenado JSONpreviamente y, a continuación, pegue la tarea generada para la JSON sección anterior.
3.4 Haga clic en Guardar

4. Validar el contenido de la tarea.

4.1 El nombre de la tarea debe ser como se describe en el JSONarchivo .
4.2 Seleccione el rol
de tarea 4.3 La tarea debe incluir el contenedor TwistlockDefender.
4.4 Haga clic en Crear
4.5 Haga clic en Ver definición de tarea

Prueba de la tarea

Inicie sesión en la AWS consola de administración.
Ir a Servicios > ECS
Haga clic en Clusters (Clústeres ) y, a continuación, seleccione uno de los clústeres de Fargate.
Haga clic en la ficha Servicios y, a continuación, haga clic enCrear

D Nuevos ECS clústeres de experiencia Un clúster de Amazon ECS es una agrupación regional de una o varias instancias de contenedor en las que puede ejecutar solicitudes de tareas. Cada cuenta recibe un clúster predeterminado la primera vez que utiliza ECS Amazon el servicio de Amazon ECS . Los clústeres pueden contener más de un tipo de instancia Amazon EC2. Clústeres Para obtener más información, consulte la ECS documentación. Definiciones de tareas Configuración de la cuenta Lista ECR de Amazon Clusters Amazon EKS Repositories AWS Marketplace Descubrir software ubscriotio Crear vista de clúster Empezar Create.new tarjeta de clúster Ver todo I-lofl Supervisión de CloudWatch Supervisión de PCC > Supervisión predeterminada

Nueva ECS experiencia Té Amazon ECS Clusters Definiciones de tareas Configuración de la cuenta Amazon Clusters Amazon EKS ECR Repositories Marketplace Descubrir software Suscripciones Clústeres AWS > PCC Clúster : pcc Obtenga una vista detallada de los recursos de su clúster. Actualizar clúster Eliminar estado del clúster de clúster ARN Instancias de contenedor registradas Recuento de tareas pendientes Recuento de tareas en ejecución Recuento de servicios activos Recuento de servicios de drenaje arn:aws:ecs:us-east- 1 :482660645658:cluster/pcc ACTIVE O Fargate, EC2, Fargate, EC2 Fargate, EC2 O Fargate, EC2O, O O O O Externo, O O O O Externo O Externo Tareas programadas Tareas programadas de Servic s Crear tareas ECS Instancias Métricas Etiquetas Actualizar proveedores de capacidad Última actualización en noviembre 20, 2021 7:24:04 PM (0m ago) Eliminar acciones Tipo de inicio Filtro en esta página Nombre ALL del servicio Tipo ALL de servicio Estado Servicio ty. Definición de tarea. No hay resultados deseados ta... Plataforma de lanzamiento en ejecución

4.1 Para el tipo de lanzamiento, seleccione Fargate
4.2 Para la definición de la tarea, seleccione su tarea predefinida.
4.3 Introduzca unnombre de servicio
4.4 ParaNúmero de tareas, escriba1

Crear servicio Paso 1: Configurar el servicio Paso 2: Configurar la red Paso 3: Establecer Auto Scaling (opcional) Paso 4: Revisar Configurar servicio de servicio A le permite especificar cuántas copias de la definición de tarea se ejecutarán y mantendrán en un clúster. Opcionalmente, puede usar un balanceador de carga de Elastic Load Balancing para distribuir el tráfico entrante a los contenedores de su servicio. Amazon ECS mantiene ese número de tareas y coordina la programación de tareas con el equilibrador de carga. También puede usar opcionalmente Service Auto Scaling para ajustar el número de tareas del servicio. Tipo de lanzamiento Familia de sistemas operativos Definición de tareas Versión de la plataforma Nombre del servicio de clúster Tipo de servicio* Número de tareas @ FARGATE o Cambiar a la estrategia del proveedor de capacidad Familia Linux twistlock-fargate-18_11 Revisión 1 (más reciente) LATEST pcc o o Introduzca un valor •o o o o EXTERNAL

4.5 Haga
clic en Paso siguiente 4.6 Seleccione unclúster VPC ysubredes y, a continuación, haga clic enPaso siguiente

Crear servicio Paso 1: Configurar el servicio Paso 2: Configurar la red Paso 3: Establecer Auto Scaling (opcional) Paso 4: Revisar Configurar los grupos de red y seguridad y los grupos VPC de seguridad se pueden configurar cuando la definición de tarea utiliza el I modo de red VPC awsvpc. Cluster vpc• vpc-02d3df3ef91f571e1 (172.31 Subredes* Subred-02C361 28F5A940C (172.31.48.0/20) - us-east-le Asignar IPv6 en la creación: Subred deshabilitada-0664a78ae9bdc60ff (172.31.16.0/20) - us-east-id asignar ipv6 en la creación: Grupos de seguridad deshabilitados• pccsrv- 1393 Editar o o o o o Asignar automáticamente el período ENABLED de gracia de la comprobación de estado pública IP Si las tareas del servicio tardan un poco en iniciarse y responder ELB Comprobaciones de estado, puede especificar un período de gracia de comprobación de estado de hasta 2.147.483.647 segundos durante el cual el programador de servicios ignorará ELB el ECS estado de comprobación de estado. Este período de gracia puede evitar que el programador de servicios marque las ECS tareas como incorrectas y las detenga antes de que tengan tiempo de aparecer. Esto solo es válido si el servicio está configurado para usar un equilibrador de carga. El período de gracia de comprobación de estado requiere un equilibrador de carga. o

4.7 ParaService Auto Scaling, seleccione y, a continuación, haga clic enPaso siguiente

No ajustar el recuento deseado del servicio

Crear servicio Paso 1: Configurar el servicio Paso 2: Configurar la red Paso 3: Establecer Auto Scaling (opcional) Paso 4: Revisar Establecer Auto Scaling (opcional) Ajuste automáticamente el recuento deseado de su servicio hacia arriba y hacia abajo dentro de un rango especificado en respuesta a las alarmas de CloudWatch. Puede modificar la configuración de Service Auto Scaling en cualquier momento para satisfacer las necesidades de la aplicación. Service Auto Scaling *Obligatorio No ajustar el recuento deseado del servicio Configurar Service Auto Scaling O para ajustar el recuento deseado del servicio Cancelar Anterior Paso siguiente

5. Revisa la configuración y, a continuación, haz clic en Crear servicio

5.1 Validar los resultados.
5.2 Haga clic enVer servicio

Crear servicio Paso 1 : Configurar sen.'ice Paso 2: Configurar la red Paso 3: Establecer Auto Scaling (opcional) Paso 4: Revisar Revisar el clúster Tipo de inicio Familia de sistemas operativos Definición de tareas Versión de la plataforma Nombre del servicio Tipo de servicio Número de tareas Porcentaje mínimo saludable Porcentaje máximo Disyuntor de implementación Configurar subredes de ID de red VPC Crear nuevo grupo de seguridad Asignación IP automática Establecer Auto Scaling (opcional) PCC FARGATE Linux twistlock-fargate- 18_ 11 : LATEST 1 pccsrv 100 200 deshabilitado vpc-02d3df3ef91f571e1 subred-02c361 c128f5a940c, subred- 0664a78ae9bdc60ff pccsrv REPLICA - 1393 ENABLED no configurado Cancelar edición anterior Crear servicio

Estado ECS de inicio Estado del servicio: 3 de 3 completados Configurar redes de tareas Crear grupo de seguridad Crear grupo de seguridad pccsrv-1393 sucedió sg-Oa3fd669efcf05695 Establecer reglas de entrada Establecer reglas de entrada sucedieron sg-Oa3fd669efcf05695 Crear servicio Crear servicio: pccsrv Servicio creado Servicio creado. Las tareas comenzarán momentáneamente. Mew: pccsrv Integraciones adicionales que puede conectar a su servicio Configuración de canalización de código a CI/CD proceso desde su ECS servicio. Puede compilar desde el origen o tener un ECR repositorio como origen para la implementación. ¿Crear una canalización c? Servicio Back View

Cuando el estado Último es En ejecución, la tarea de Fargate se está ejecutando.

Los contenedores se están ejecutando.

6. Ver el defensor en la consola: Vaya a Administrar > defensores > Administrar defensores y busque la Prisma Cloud tarea fargate agregando los filtros Fargate y Estado: Conectado

o CLOUD Defen&rs debe gestionar Gestionar desplegados Defensores Polkies en mnt para def«1 Akts Cmm.te 2108525 Advmi wrings Shows conectados Cmted 1 O min csv t Llpgruie all

o CLOUD Defen&rs debe gestionar Gestionar desplegados Defensores Polkies en mnt para def«1 Akts Cmm.te 2108525 Advmi wrings Shows conectados Cmted 1 O min csv t Llpgruie all

Fimall Host Network 20.2021 PM No ani habilitado No ani No disponible

Additional Information

Prisma Cloud separa limpiamente el código que producen los desarrolladores de los contenedores Fargate que protegemos.
Los desarrolladores no necesitan cambiar su código para acomodar Prisma Cloud.
Los desarrolladores tampoco necesitan cargar ninguna biblioteca especial, agregar archivos o cambiar ningún manifiesto.
Cuando un contenedor esté listo para implementarse en pruebas o producción, ejecute la definición de tarea a través de una herramienta de transformación para incrustar automáticamente Fargate Defender antes de cargar la nueva definición de tarea en AWS.
Este método para incrustar el Fargate Defender fue diseñado para integrarse perfectamente en la CItubería /CD .
Los desarrolladores pueden llamar Prisma Cloud API al para incrustar el Fargate Defender en su definición de tarea.

Prerrequisitos:

La tarea en la que está incrustando el -Embedded Defender puede llegar al puerto 8084 de la consola a través de la Appred.
A Definición válida de tarea de tarea.
Ya se ha creado un ECS clúster.
Clúster VPC y subredes.
Rol de tarea.

NOTE:

La definición de la tarea debe incluir parámetros coincidentes de punto de entrada y cmd de Dokerfile(s) de las imágenes de la tarea.
Debido a Prisma Cloud que no ve las imágenes reales como parte del flujo de incrustación, depende de tener estos parámetros presentes para insertar de manera confiable el -Embedded Defender en el Appflujo de inicio de tareas.
Si Dokerfile no incluye un parámetro de punto de entrada, se debe utilizar uno predeterminado como /bin/sh en la definición de la tarea.
Sin embargo, dado que el parámetro cmd es opcional, si Dokerfile no incluye un parámetro cmd, no se requiere uno en la definición de la tarea.

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates

Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)