Comment intégrer App-Embedded Defender dans les tâches Fargate ... - Knowledge Base - Palo Alto Networks

Comment intégrer App-Embedded Defender dans les tâches Fargate dans AWS Prisma Cloud Compute?

12949

Created On 12/08/21 07:32 AM - Last Modified 03/02/23 02:41 AM

Objective

Comment intégrer App-Embedded Defender dans les tâches Fargate dans Prisma Cloud Compute?

Environment

Prisma Cloud Calculer
AWS

Procedure

Avant de passer par les étapes de configuration, reportez-vous aux « Informations supplémentaires » pour confirmer les conditions préalables

Étapes de configuration :

Connectez-vous à Prisma Cloud la console.
Accédez à Gérer > défenseurs > déployer > défenseurs.
Sélectionnez un défenseur simple
Dans la liste déroulante Type de défenseur, choisissez App- Embedded
Définir la tâche Déployer App-Embedded Defender surFargate
Intégrez Fargate Defender dans votre définition de tâche.

6A.Copiez et collez votre définition de tâche dans la zone de gauche.
6b.Cliquez sur Générer la tâche protégée
6c.Copiez la définition de tâche mise à jour à partir de la zone de droite.

CLOUD Étape 2 Déployer Defenders Étape 3 Étape 6a Étape 4 Étape 5 Étape 6b Étape 6c

Création d’une définition de tâche dans AWS

Créez une nouvelle définition de tâche avec AWS la sortie de la section précédente.
Si vous disposez déjà d’une définition de tâche existante, créez une nouvelle révision.

Cette section est destinée à créer une nouvelle définition de tâche basée sur l’exemple de tâche.

Connectez-vous à la AWS console de gestion.
Aller à Services > ECS
Cliquez sur Définitions de tâches, puis surCréer une définition de tâche.

3.1 Sélectionnez Fargate, puis cliquez sur Étape suivante
3.2 Faites défiler jusqu’au bas de la page, puis cliquez sur Configurer via JSON3.3
Supprimez le prérempli JSON, puis collez la tâche générée pour la JSON section précédente.
3.4 Cliquez sur Enregistrer

4. Validez le contenu de la tâche.

4.1 Le nom de la tâche doit être tel que décrit dans le JSONfichier .
4.2 Sélectionnez le rôle
de tâche 4.3 La tâche doit inclure le conteneur TwistlockDefender.
4.4 Cliquez sur Créer
4.5 Cliquez sur Afficher la définition de la tâche

Test de la tâche

Connectez-vous à la AWS console de gestion.
Aller à Services > ECS
Cliquez sur Clusters , puis sélectionnez l’un de vos clusters Fargate.
Cliquez sur l’onglet Services , puis sur Créer

D Nouveaux ECS clusters d’expérience Un cluster Amazon ECS est un regroupement régional d’une ou plusieurs instances de conteneur sur lequel vous pouvez exécuter des demandes de tâche. Chaque compte reçoit un cluster par défaut la première fois que vous utilisez Amazon le service Amazon ECS ECS . Les clusters peuvent contenir plusieurs types d’instance Amazon EC2. Clusters Pour plus d’informations, consultez la ECS documentation. Définitions des tâches Paramètres de compte Liste EKS Amazon Clusters Amazon ECR Repositories AWS Marketplace Découvrez le logiciel ubscriotio Créer une vue de cluster Mise en route Create.new carte de cluster Afficher tout I-la surveillance lofl CloudWatch Surveillance par défaut de > CCP

Nouveau ECS Thé d’expérience Amazon Clusters Définitions des tâches Paramètres du compte Amazon ECS EKS Clusters Amazon ECR Repositories AWS Marketplace Découvrez le logiciel Abonnements Clusters > PCC Cluster : pcc Obtenez une vue détaillée des ressources de votre cluster. Mettre à jour le cluster Supprimer l’état du cluster ARN Instances de conteneur enregistrées Nombre de tâches en attente Nombre de tâches en cours Nombre de tâches en cours Nombre de services actifs Nombre de services drainant arn:aws:ecs:us-east- 1 :482660645658:cluster/pcc ACTIVE O Fargate, EC2, Fargate, EC2 Fargate, EC2 Fargate, EC2 O O, O O O O Externe , O O O O Externe O Tâches planifiées externes Services Créer des tâches ECS Instances Métriques Balises Mettre à jour les fournisseurs de capacité Dernière mise à jour le 20 novembre 2021 7:24:04 PM (il y a 0m) Supprimer des actions Type de lancement Filtre dans cette page Nom ALL du service Type ALL de service État du service Service ty. Définition de la tâche. Aucun résultat Désiré ta... Plate-forme de lancement en cours d’exécution

4.1 Pour Type de lancement, sélectionnez Fargate
4.2 PourDéfinition de tâche, sélectionnez votre tâche prédéfinie.
4.3 Entrez unnom de service
4.4 PourNombre de tâches, entrez1

Créer un service Étape 1 : Configurer le service Étape 2 : Configurer le réseau Étape 3 : Définir Auto Scaling (facultatif) Étape 4 : Vérifier Configurer le service de service A vous permet de spécifier le nombre de copies de votre définition de tâche à exécuter et à gérer dans un cluster. Vous pouvez éventuellement utiliser un équilibreur de charge Elastic Load Balancing pour distribuer le trafic entrant aux conteneurs de votre service. Amazon ECS conserve ce nombre de tâches et coordonne la planification des tâches avec l’équilibreur de charge. Vous pouvez également utiliser Service Auto Scaling pour ajuster le nombre de tâches dans votre service. Type de lancement Famille de systèmes d’exploitation Définition des tâches Version de la plate-forme Nom du cluster Type de service* Nombre de tâches @ FARGATE o Passer à la stratégie du fournisseur de capacité Famille Linux twistlock-fargate-18_11 Révision 1 (dernière) LATEST pcc o o Entrez une valeur •o o o o EXTERNAL

4.5 Cliquez
sur Étape suivante 4.6 Sélectionnez uncluster VPC et des sous-réseaux , puis cliquez surÉtape suivante

Créer un service Étape 1 : Configurer le service I Étape 2 : Configurer le réseau Étape 3 : Définir Auto Scaling (facultatif) Étape 4 : Révision Configurer le réseau et les groupes de sécurité et les groupes VPC de sécurité sont configurables lorsque votre définition de tâche utilise le mode réseau VPC awsvpc. Cluster vpc• vpc-02d3df3ef91f571e1 (172.31 Sous-réseaux* sous-réseau-02c361 28f5a940c (172.31.48.0/20) - us-east-le Affecter IPv6 à la création : Sous-réseau désactivé-0664a78ae9bdc60ff (172.31.16.0/20) - us-east-Id Attribuer ipv6 à la création : Désactivé Groupes de sécurité• pccsrv- 1393 Modifier o o o o Attribuer automatiquement le délai de grâce du bilan de santé publique IP Si les tâches de ENABLED votre service prennent un certain temps à démarrer et à répondre ELB Vérifications de l’état, vous pouvez spécifier une période de grâce de vérification de l’état de santé pouvant aller jusqu’à 2 147 483 647 secondes pendant laquelle le Planificateur de service ignorera ELB l’état du contrôle d’intégritéECS. Cette période de grâce peut empêcher le planificateur de service de marquer les tâches comme non intègres et de les arrêter avant qu’elles n’aient le ECS temps de se présenter. Ceci n’est valide que si votre service est configuré pour utiliser un équilibreur de charge. La période de grâce du bilan de santé nécessite un équilibreur de charge. o

4.7 Pour Service Auto Scaling, sélectionnez puis cliquez sur Étape suivante

Ne pas ajuster le nombre souhaité du service

Créer un service Étape 1 : Configurer le service Étape 2 : Configurer le réseau Étape 3 : Définir Auto Scaling (facultatif) Étape 4 : Vérifier Définir Auto Scaling (facultatif) Ajustez automatiquement le compte à rebours souhaité de votre service dans une plage spécifiée en réponse aux alarmes CloudWatch. Vous pouvez modifier votre configuration Service Auto Scaling à tout moment pour répondre aux besoins de votre application. Service Auto Scaling *Obligatoire Ne pas ajuster le nombre souhaité du service Configurer Service Auto Scaling O pour ajuster le nombre souhaité de votre service Annuler Précédent Étape suivante

5. Vérifiez vos paramètres, puis cliquez sur Créer un service

5.1 Valider les résultats.
5.2 Cliquez sur Afficherle service

Créer un service Étape 1 : Configurer sen.'ice Étape 2 : Configurer le réseau Étape 3 : Définir Auto Scaling (facultatif) Étape 4 : Examiner le cluster Examiner Type de lancement Famille de systèmes d'exploitation Définition de la tâche Version de la plate-forme Nom du service Type de service Nombre de tâches Pourcentage minimum sain Pourcentage maximal Disjoncteur de déploiement Configurer les sous-réseaux d'ID réseau VPC Créer un nouveau groupe de sécurité Affectation IP automatique Définir Auto Scaling (facultatif) PCC FARGATE Linux twistlock-fargate- 18_ 11 : LATEST 1 pccsrv 100 200 désactivé vpc-02d3df3ef91f571e1 sous-réseau-02c361 c128f5a940c, sous-réseau- 0664a78ae9bdc60ff pccsrv REPLICA - 1393 ENABLED non configuré Annuler la modification précédente Créer un service

État du lancement État ECS du service - 3 sur 3 terminé Configurer la mise en réseau des tâches Créer un groupe de sécurité Créer un groupe de sécurité pccsrv-1393 réussi sg-Oa3fd669efcf05695 Définir des règles entrantes Définir les règles entrantes réussies sg-Oa3fd669efcf05695 Créer un service Créer un service : pccsrv Service créé Service créé. Les tâches commenceront momentanément. Mew: pccsrv Intégrations supplémentaires que vous pouvez connecter à votre service Code Pipeline Setup a CI/CD processus à partir de votre ECS service. Vous pouvez générer à partir de la source ou avoir un ECR référentiel comme source pour votre déploiement. Créer un pipeline c? Service de vue arrière

Lorsque l’état Dernier est En cours d’exécution, votre tâche Fargate est en cours d’exécution.

Les conteneurs sont en cours d’exécution.

6. Affichez le défenseur dans la console : Accédez à Gérer > Défenseurs > Gérer les défenseurs et recherchez la Prisma Cloud tâche fargate en ajoutant les filtres Fargate et État : Connecté

o CLOUD Defen&rs doit gérer gérer déployé Defenders Polkies in mnt to def«1 Akts Cmm.te 2108525 Advmi wrings Shows connected Cmted 1 O min csv t Llpgruie all

o CLOUD Defen&rs doit gérer gérer déployé Defenders Polkies in mnt to def«1 Akts Cmm.te 2108525 Advmi wrings Shows connected Cmted 1 O min csv t Llpgruie all

Fimall Host Network 20.2021 PM Not Ani Enabled Not Ani Not Available

Additional Information

Prisma Cloud sépare proprement le code produit par les développeurs des conteneurs Fargate que nous protégeons.
Les développeurs n’ont pas besoin de modifier leur code pour s’adapter Prisma Cloudà .
Les développeurs n’ont pas non plus besoin de charger des bibliothèques spéciales, d’ajouter des fichiers ou de modifier des manifestes.
Lorsqu’un conteneur est prêt à être déployé pour le test ou la production, exécutez la définition de tâche via un outil de transformation pour incorporer automatiquement Fargate Defender avant de charger la nouvelle définition de tâche dans AWS.
Cette méthode d’intégration du Fargate Defender a été conçue pour s’intégrer de manière transparente dans le CIpipeline /CD .
Les développeurs peuvent appeler le Prisma Cloud API pour intégrer Fargate Defender dans votre définition de tâche.

Prérequis :

La tâche dans laquelle vous incorporez le -Embedded Defender peut atteindre le port 8084 de la console sur le Appréseau.
A Définition de tâche valide.
Déjà créé un ECS cluster.
Cluster VPC et sous-réseaux.
Rôle de tâche.

NOTE:

La définition de tâche doit inclure les paramètres de point d’entrée et cmd correspondants du ou des fichiers Dokerfile de l’image ou des images de la tâche.
Étant donné que Prisma Cloud ne voit pas les images réelles dans le cadre du flux d’intégration, il dépend de la présence de ces paramètres pour insérer de manière fiable le -Embedded Defender dans le Appflux de démarrage de la tâche.
Si Dokerfile n’inclut pas de paramètre de point d’entrée, un paramètre par défaut tel que /bin/sh doit être utilisé dans la définition de tâche.
Toutefois, étant donné que le paramètre cmd est facultatif, si Dokerfile n’inclut pas de paramètre cmd, il n’est pas nécessaire d’en inclure un dans la définition de tâche.

Other users also viewed:

How to download GlobalProtect from the Customer Support Portal

Download and Install the GlobalProtect App for Windows

Resource List: GlobalProtect Configuring and Troubleshooting

PAN-OS Software Updates

Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)