AWS 環境の手動オンボーディング

このトピックでは、レガシーオンボードエクスペリエンスを使用してAWS 環境をオンボードする方法について説明します。Unified onboarding プロセスの新しい経験については、AWS 環境のオンボード を参照してください。

オンボーディングプロセスにより、AWS アカウントのすべてのリージョン、セキュリティグループ、およびアセットがCloudGuardポータルに追加されます。これにより、CloudGuard から AWS セキュリティグループを管理できます。

これは、CloudGuardのリージョン、セキュリティグループ、およびアセットを管理するための必須かつ必須の手順です。

AWS アカウントのCloudGuardオペレーションモード

CloudGuardには、AWSアカウントを管理するための2つのオペレーションモードがあります。CloudGuard へのオンボード処理は、選択した動作モードによって異なります。

  • Monitor - CloudGuard でアカウントを監視および視覚化し、アカウントのコンプライアンステストを実行して、アクティビティのアラート、通知、レポート、およびクラウドエンティティへの変更を受信しますが、CloudGuard からアクティブに管理することはできません。

  • Full-Protection - Monitor モードのすべての機能が含まれます。CloudGuardを使用して、アセットへのアクセスと改ざん防御を実施したり、セキュリティグループを管理したり、クラウドアセットへの直接アクセスを制御したりできます。

オペレーションモードの考慮事項の詳細については、AWS Security Group の管理に関する考慮事項を参照してください。

CloudGuard にオンボードした後、環境の動作モードを変更できます。

始める前の注意点

アカウントの動作モードを選択します。AWS Security Group の管理に関する考慮事項を参照してください。

  • アカウントごとに操作モードを選択できるため、読み取り専用にすることも、完全保護にすることもできます。

  • アカウントに読み取り専用モードを使用すると、アカウント内のすべてのセキュリティグループがCloudGuardで読み取り専用になります(AWSコンソールまたは他のアプリケーションでアクティブに管理できます)。ただし、アカウントにフルプロテクションモードを使用する場合は、各セキュリティグループを読み取り専用またはフルプロテクションとして個別に管理することができます。

  • オンボード処理の最後に、アカウントの動作モードに関係なく、すべてのセキュリティグループはCloudGuardで最初は読み取り専用モードになります。次に、個々のセキュリティグループをフルプロテクション(フルプロテクションのアカウント)に変更できます。詳しくは、CloudGuardの完全保護 を参照してください。

  • CloudGuardの動作モード(モニタまたはフルプロテクション)は、アカウントがオンボードされた後で変更できます。

ポリシーについて詳しくは、CloudGuardAWS ポリシー & アクセス許可を参照してください。

AWS GovCloud アカウントのオンボードについては、「AWS GovCloud または AWS China 環境の手動オンボーディング」を参照してください。

オンボードオプション

次の方法で、AWS アカウントをオンボードでCloudGuardできます。

CloudGuard Webポータルと AWS コンソール - オンスクリーンの指示に従って、CloudGuard ポータルと AWS コンソールで 1 つの AWS アカウントをオンボードで使用します。

AWS アカウント から自動化バッチスクリプトを使用する - AWS アカウント、および必要に応じてすべての子アカウントをオンボードで、AWS コマンドラインから実行されるスクリプトを使用します。

Terraform とTerraform CloudGuard Dome9 Provider を使用- Terraform ファイル(アカウントごとに1 つ) と CloudGuard Dome9 Provider を含む1 つ以上のAWS アカウントをオンボードで使用します。

CloudGuard REST API を使用- CloudGuard REST API を使用して1 つ以上のAWS アカウントをオンボードします。まず、CloudGuard アカウントを作成し、CloudGuard WebポータルでAPI キーとシークレットを取得する必要があります。

CloudGuard ポータルからのオンボーディング

オンボーディングプロシージャは、CloudGuard ポータルで実行され、次の2 つのモードについて、画面上で段階的に説明されます。モニタと完全保護。このプロシージャでは、AWSコンソールと一部のCloudGuardポータルでいくつかの操作を実行する手順を説明します。

CloudGuard では、AWS アカウントのアクセス許可やロールの定義は変更されません。これらの操作は、画面上の指示に従ったときに実行されます。

  1. CloudGuard ポータルで、Assets>Environments に移動し、Add New をクリックしてAWS Environment を選択します。

  2. MonitorまたはFull-Protectionのいずれかのモードを選択します。

  3. AWS アカウントで IAM ポリシーを準備し、リソースの詳細について AWS アカウントにアクセスするための適切なアクセス権限を CloudGuard に付与します。ポリシーの詳細は、読み取り専用と完全保護のオンボードで異なります。

  4. AWS アカウントに IAM ロールを作成します。これは、CloudGuard が環境にアクセスするために使用します (前の手順で定義した IAM アクセス権限を使用します)。ロールを使用するCloudGuard AWSアカウントのこのロールについて詳しく説明します。

  5. オプションで、オンボード環境が関連付けられているCloudGuardで、Organizational Units(OU) を選択します。これらのアソシエーションは、Assets メニューのOrganizational Units ページから後でいつでも変更できます。

  6. Finishをクリックします。オンボード処理が開始されます。環境内のエンティティの数に応じて、数分かかる場合があります。

CloudGuard は readonly-policy を使用して、2 つのオペレーションモードで AWS アカウントから情報にアクセスします。ポスチャマネジメント、ネットワークセキュリティなど、CloudGuardのすべての機能でこの情報を使用します。

ベストプラクティス - Check Point はreadonly-policy の最新版を使用することをお勧めします。 https://github.com/dome9/policies.からダウンロードできます。

自動化スクリプトを使用したオンボード

オンボードアカウントにこのオープンソースのスクリプトセットを使用して、AWS CLI https://github.com/dome9/onboarding-scripts/tree/master/AWS/full_automation.からCloudGuardします。

これらのスクリプトは、CloudGuard が必要とするIAM ポリシーを作成するCFT スタックを作成し、CloudGuard にAWS アカウントをオンボードします。AWSアカウントがAWS Organizationとして編成されている場合は、組織をオンボードできます(個々の組織メンバアカウントはスクリプトによって自動的に検出されます)。

Terraformを使用したオンボード

Check Point CloudGuard Dome9 Terraformプロバイダを使用して、CloudGuardのAWSアカウントをオンボードおよびアップデートできます。これには、AWSアカウント用のTerraformファイルの準備が含まれます。

https://www.terraform.io/docs/providers/dome9/index.html

https://github.com/terraform-providers/terraform-provider-dome9

CloudGuard Dome9をTerraformプロバイダとして使用

CloudGuard レストAPI を使用したオンボード

CloudGuard REST API を使用して、1 つ以上のAWS アカウントをオンボードでCloudGuardできます。これには、CloudGuardアカウントのAPI キーとシークレットが必要です。

詳細とサンプルについては、CloudGuard REST API リファレンスサイトAPI V2、およびREST API を使用してCloudGuardするAWS アカウントをオンボードで参照してください。