Cloud Accounts機能を使用すると、クラウドプロバイダーをTrend Cloud Oneに簡単に接続でき、Cloud Oneがクラウドアカウント内のリソースを保護します。
サポートされているクラウドプロバイダー
現在、一般的なCloud Accounts機能は、AWSおよびGoogle Cloud Platform (GCP) 上のFile Storage Security保護に使用されています。将来的には、さらに多くのサポートと統合が追加される予定です。Cloud
Oneの残りのサービスについては、それらのサービスにクラウドアカウントを直接接続してください。
- Workload Security: コンピュータの追加について
- Network Security: クラウドアカウントとAppliancesを追加
- File Storage Security (AWSおよびAzure): File Storage Securityについて
- Conformity: Cloud Accountを追加
- Cloud Sentry: Cloud Sentryについて
Cloud Oneにはどのような権限が必要ですか?
必要なRead-only権限は、各クラウドプロバイダのセットアップ手順に記載されています。GCPアカウントを追加する際には、Cloud Oneにviewer Roleを付与する必要があります。これにより、リソースやデータを変更する権限は付与されません。
Cloud One - Network Security の権限
ホスト型インフラストラクチャ展開には書き込み権限が必要です。以下に、要求される書き込みアクセス権限とそれによって可能になることの内訳を示します。Network Securityは書き込み権限がなくても顧客環境に関する情報を読み取ることができます。
|
許可のリクエスト
|
理由
|
|
cloudformation:スタックの作成
|
これらの権限により、Cloud OneはCloudFormationを使用して、ホストされたインフラストラクチャでNetwork SecurityのサブネットとVPCエンドポイントを維持することができます。
Cloud Oneは、セキュリティサブネットとエンドポイントのためにInfrastructure as Codeの利点を得るためにCloudFormationテンプレートを使用します。
AWSは、Cloud One CloudFormationスタックをここに記載されている他の権限のみに制限します。
|
|
cloudformation:DeleteStack
|
|
|
ec2:CreateSubnet
|
これらの権限により、Cloud OneはサブネットとVPCエンドポイントを作成して、ホストされたインフラストラクチャでNetwork Securityをお客様のアカウントにデプロイすることができます。
これらは、Cloud Oneがホストされたインフラストラクチャを使用してNetwork Securityでトラフィックを検査するために、AWSアカウントに必要なリソースをデプロイするために必要です。
|
|
ec2:CreateTags
|
|
|
ec2:CreateVpcEndpoint
|
|
|
ec2:DeleteSubnet
|
|
|
ec2:DeleteVpcEndpoints
|
|
|
logs:CreateLogGroup
|
これらの権限により、Cloud OneはNetwork Securityのホストインフラストラクチャを使用して、AWSアカウントのCloudWatch Logsにログを送信することができます。
これらのログには、Network Securityがブロックするフローなどの項目が含まれます。
|
|
logs:CreateLogStream
|
|
|
logs:PutLogEvents
|
これはどのようにして私のクラウドプロバイダに接続しますか?
Cloud OneはOpenID Connect (OIDC) を使用して、外部アイデンティティプロバイダとして機能するCloud Oneと、AWSやGCPなどのサードパーティクラウドプロバイダとの間に信頼関係を構築します。