การติดตั้ง Trend Cloud One Workload Security ใน EC2 Instance บน AWS

ในบทความนี้ผมจะมาแนะนำเกี่ยวกับการติดตั้ง Trend Cloud One Workload Security ใน EC2 Instance บน AWS ที่เป็นหนึ่งใน SaaS (Software as a Service) ตระกูล Cloud One ของทางบริษัท Trend Micro โดยอธิบายเนื้อหาไปพร้อมกับการใช้งานจริง

#Classmethod Thailand

#Thai Language

#Trend Micro

#Cloud One

#Cloud One Workload Security

Tinnakorn Maneewong

2024.09.25

ครั้งนี้จะมาแนะนำการติดตั้ง Trend Cloud One Workload Security ใน EC2 Instance บน AWS

ก่อนที่จะเริ่มทำขั้นตอนในบทความนี้ แนะนำให้ทำความเข้าใจเกี่ยวกับโมดูลต่างๆ ในลิงก์บทความด้านล่างนี้ก่อน
สรุปฟังก์ชันของ Cloud One Workload Security แบบง่าย ๆ

สิ่งที่ต้องมี

※มีบัญชี Trend Cloud One ที่เชื่อมต่อกับ AWS แล้ว

ดูตัวอย่างที่ลิงก์ด้านล่างนี้
การสร้างบัญชี Trend Cloud One และเชื่อมต่อกับ AWS

ข้อควรระวัง: ในระหว่างที่ทำตามขั้นตอนในบทความนี้โปรด Login บัญชี Trend Cloud One และบัญชี AWS ที่เชื่อมต่อกันไว้เสมอ

ติดตั้ง Cloud One Workload Security

※ดำเนินการฝั่ง Trend Cloud One

เข้ามาที่หน้าจอ Home ใน Trend Cloud One แล้วคลิก Endpoint & Workload Security แล้วรอสักครู่
install_c1ws-1

แล้วจะเข้ามาหน้าจอแท็บ Dashboard ก็ให้เลือกแท็บ Computers แล้วคลิก + Add และเลือก Add AWS Account...
install_c1ws-2

แล้วหน้าจอ "Setup Type" จะแสดงขึ้นมา ให้เลือก Quick(Default) แล้วคลิก Next >
install_c1ws-3

ต่อไปหน้าจอ "Account Setup" คลิก Next > โดยไม่ต้องเปลี่ยนแปลงอะไร
install_c1ws-4

※ดำเนินการฝั่ง AWS
แล้วจะลิงก์เข้ามายังหน้าจอ AWS Console ในบัญชี AWS ที่เรากำลัง Login ไว้โดยอัตโนมัติ (การดำเนินการนี้จะอยู่ใน Region N. Virginia)
ซึ่งหน้าจอที่กำลังแสดงอยู่นี้จะอยู่ในหน้าจอ "Step 1 - Create stack" ในบริการ CloudFormation
ก็ไม่ต้องเปลี่ยนแปลงอะไร ให้เลื่อนลงมาด้านล่างสุดแล้วคลิก Next
install_c1ws-5

ต่อไปหน้าจอ "Step 2 - Specify stack details" แล้วคลิก Next โดยไม่ต้องเปลี่ยนแปลงอะไร
install_c1ws-6

ต่อไปหน้าจอ "Step 3 - Configure stack options" แล้วคลิก Next โดยไม่ต้องเปลี่ยนแปลงอะไร
install_c1ws-7

ต่อไปหน้าจอ "Step 4 - Review and create" ให้เลื่อนลงมาด้านล่างสุด แล้วติ๊ก ✅️ I acknowledge that AWS CloudFormation might create IAM resources. แล้วคลิก Submit
install_c1ws-8

จากนั้น Stack (DeepSecuritySetup-xxxxxxxxx) ใน CloudFormation จะทำงานโดยอัตโนมัติใน Region "N. Virginia" บน AWS ซึ่งในส่วนนี้จะมีการดำเนินการต่างๆ ต้องรอจนกว่าจะเสร็จสมบูรณ์ทั้งหมด ก็ให้รอสักครู่
install_c1ws-9

แล้วคลิกที่ไอคอน Reload แล้วดูที่ Stack หาก Status แสดงเป็น ✅️ CREATE_COMPLETE ก็ถือว่าเสร็จสมบูรณ์ (ครั้งนี้ใช้เวลาประมาณ 1 นาที)
install_c1ws-10

และถ้า Stack ดำเนินการเสร็จแล้ว คลิก Delete
install_c1ws-11_1

แล้วคลิก Delete ในหน้าจอ POPUP "Delete stack?" อีกครั้ง แล้วรอสักครู่
install_c1ws-11_2

แล้วจะแสดงสถานะ DELETE_IN_PROGRESS แบบนี้ แล้วรอสักครู่
install_c1ws-12

เมื่อผ่านไปประมาณ 1-2 นาทีแล้ว คลิกไอคอน Reload ในหัวข้อ Stacks อีกครั้ง จะเห็นว่าเทมเพลต CloudFormation ถูกลบไปแล้ว
install_c1ws-13

หากต้องการดูแบบละเอียด สามารถเลือก Stacks จากเมนูด้านซ้ายได้ ก็จะเห็นว่า Stack นี้ไม่มีเทมเพลต CloudFormation แล้ว
install_c1ws-14

※ดำเนินการฝั่ง Trend Cloud One
ต่อไปกลับมาที่หน้าจอ Trend Cloud One ในแท็บ Computers ที่แสดงหน้าจอ POPUP "Account Setup" อีกครั้ง จะเห็นว่าแสดงข้อความดังนี้
・✅️ Your AWS Account has been added to Workload Security. = บัญชี AWS ของเราได้รับการเพิ่มลงใน Workload Security แล้ว
・Please delete the CloudFormation template from your AWS account. = ให้ลบเทมเพลต CloudFormation จากบัญชี AWS ของเรา (ลบไปจากขั้นตอนที่แล้ว)
・คลิก Close ได้เลย
install_c1ws-15

แล้วดูที่ช่องเมนูด้านซ้าย จะเห็นว่ามี "Display name - AWS Account ID" อยู่ภายใต้ Computers
ให้คลิก > ข้างหน้า "Display name - AWS Account ID" เพื่อขยายลงมา แล้วลองคลิก Display name - AWS Account ID จะเห็นว่าด้านขวาไม่มีข้อมูลอะไรเลย
install_c1ws-16

สร้าง Instance ใน EC2

※ดำเนินการฝั่ง AWS
ให้สร้าง Instance ใน EC2 ใน Region Singapore โดยที่มีการเพิ่ม IAM instance profile สำหรับ SSM ตามลิงก์ด้านล่างนี้ (หากไม่ได้เพิ่ม IAM instance profile สามารถรันคำสั่งผ่านโปรแกรม PuTTY หรือโปรแกรมอื่นๆ ได้)

ตัวอย่างสำหรับการเพิ่ม IAM instance profile ให้กับ Instance ใน (กรณีที่ต้องการรันคำสั่งใน SSM)
[Update] การใช้งาน SSM Role เชื่อมต่อเข้า AWS EC2 Instance โดยไม่ต้องมี Inbound rules

ตัวอย่างสำหรับการสร้าง Instance ใน EC2
วิธีติดตั้ง Amazon Linux 2023 บน EC2 และเชื่อมต่อเซิร์ฟเวอร์ด้วยโปรแกรม PuTTY

ตัวอย่างการสร้าง EC2 Instance ครั้งนี้

Name and tags: tinnakorn-c1-test
Application and OS Images (Amazon Machine Image): Amazon Linux 2023 AMI
Instance type: t3a.micro
Key pair name - required: Proceed without a key pair (Not recommended)
Network settings
・Security group name - required / Description - required: tinnakorn-c1-test (*ไม่แนะนำให้ใช้ Security Group Default)
・Inbound Security Group Rules: Remove
IAM instance profile: ec2-ssm-role

ตอนนี้ผมได้สร้าง EC2 Instance ใน Region Singapore เตรียมไว้แล้ว (*โปรดตรวจสอบ Region ก่อนสร้าง EC2 Instance เสมอ)
install_c1ws-17

และจะเปิด Terminal ผ่าน SSM บน AWS Console เตรียมไว้แบบนี้
install_c1ws-18

ตรวจสอบ Resource EC2 Instance ใน Trend Cloud One

※ดำเนินการฝั่ง Trend Cloud One
กลับมาที่หน้าจอ Trend Cloud One ในแท็บ Computers แล้ว Reload จะเห็นว่ามี EC2 Instance แสดงขึ้นมาแบบนี้ (หากยังไม่แสดงที่นี่ให้รออีกประมาณ 3-5 นาทีแล้ว Reload อีกครั้ง)
แล้วให้ขยายตรงคอลัมน์ NAME จะเห็นว่าชื่อ EC2 Instance คือชื่อเดียวกับ EC2 Instance ใน AWS Console
แล้วดูช่อง STATUS ด้านหลัง จะเห็นว่าแสดงเป็น Unmanaged (Unknown) ซึ่งต้องติดตั้ง Deployment Scripts ใน EC2 Instance ในขั้นตอนถัดไป
check_resource_instance_in_c1

ติดตั้ง Deployment Scripts ใน EC2 Instance

ต่อไปให้คลิกแท็บ Support ด้านบน แล้วเลือก Deployment Scripts
install_deployment_scripts_in_instance-1

แล้วจะมีหน้าจอ POPUP "Deployment Scripts" แสดงขึ้นมา แล้วทำตามด้านล่างนี้
・Platform: Linux Agent Deployment
・Security Policy: Base Policy
install_deployment_scripts_in_instance-2

แล้วคลิก Copy to Clipboard หน้าจอจะเลื่อนลงมาด้านล่างสุดโดยอัตโนมัติ ก็จะเห็นว่ามี Scripts ที่ต้องเอาไป Deployment ใน EC2 Instance แสดงที่นี่
install_deployment_scripts_in_instance-3

※ดำเนินการฝั่ง AWS
แล้วมาที่หน้าจอ Terminal ของ EC2 Instance ที่เปิดเตรียมไว้ก่อนหน้านี้ แล้วรันคำสั่ง sudo su - ใน Terminal เตรียมไว้
ตามด้วยวางคำสั่งที่คัดลอกจากขั้นตอนที่แล้วลงไป โดยครั้งนี้จะคลิกขวาที่หน้าจอ Terminal แล้วเลือก Paste + Enter แล้วรอระบบดำเนินการคำสั่งสักครู่ (ครั้งนี้ Deployment โดยรันคำสั่งผ่าน SSM บน AWS Console)
install_deployment_scripts_in_instance-4

เมื่อเสร็จแล้วจะแสดงหน้าจอแบบนี้ แล้วดำเนินการในขั้นตอนถัดไป
install_deployment_scripts_in_instance-5

ตรวจสอบและเปิดใช้งานสถานะโมดูลใน Details

※ดำเนินการฝั่ง Trend Cloud One
เมื่อรันคำสั่งเสร็จแล้ว ให้กลับมาที่หน้าจอ Trend Cloud One แล้วคลิก Close เพื่อปิดหน้าจอ POPUP "Deployment Scripts"
แล้วสังเกตดูช่อง STATUS ด้านหลังอีกครั้ง จะเห็นว่าแสดงเป็น Managed (Online)
ต่อไปคลิกขวาที่ชื่อ EC2 Instance ภายใต้ Computers แล้วเลือก Details...
check_module_and_enable_in_details-1

แล้วจะมีหน้าจอ POPUP ของ Computer ที่มีข้อมูลของ EC2 Instance ที่เราเชื่อมต่อไว้แสดงที่นี่
ให้ดูที่โมดูลต่างๆ ด้านล่างในแท็บ General ซึ่งตามค่าเริ่มต้นแต่ละโมดูลจะแสดงเป็นสถานะปิดใช้งานอยู่ เช่น Anti-Malware แสดงสถานะเป็น Off, not installed (การแสดงสถานะนี้อาจแตกต่างกันไปตามสภาพแวดล้อมของผู้ใช้) ซึ่งจะทำการเปิดใช้งานในขั้นตอนถัดไป
check_module_and_enable_in_details-2

ครั้งนี้จะสาธิตการเปิดใช้งานแค่โมดูล Anti-Malware เนื่องจากขั้นตอนเหมือนกัน โดยทำตามนี้ได้เลย
・คลิก Anti-Malware จากเมนูด้านซ้าย
・เลือก Configuration เป็น On ในหัวข้อ Anti-Malware
・คลิก Save
check_module_and_enable_in_details-3_1

มื่อบันทึกเสร็จแล้ว State จะแสดงเป็น Off, installation pending แบบนี้ แล้วคลิก Close
check_module_and_enable_in_details-3_2

แล้วรอประมาณ 1 นาที และคลิกที่ไอคอนรูปตา จะเห็นว่า Anti-Malware แสดงสถานะเป็น On, Real Time หากต้องการปิดหน้าต่างข้อมูลโมดูลให้คลิกที่ไอคอนรูปตาอีกครั้ง
check_module_and_enable_in_details-4

แล้วคลิกขวาที่ EC2 Instance แล้วเลือก Details... อีกครั้ง แล้วเลือก Anti-Malware จากเมนูด้านซ้าย จะเห็นว่า Anti-Malware แสดงสถานะเป็น On, Real Time เหมือนกับที่ดูผ่านไอค่อนรูปตาจากขั้นตอนที่แล้ว

ต่อไปมาดูฟังก์ชันอื่นๆ ใน Anti-Malware กัน โดยฟังก์ชัน [Real-Time Scan, Manual Scan, Scheduled Scan, Malware scan] จะถูกตั้งค่าให้เปิดใช้งาน Scan เป็นค่าเริ่มต้น
เมื่อตรวจสอบเสร็จแล้ว คลิก Close เพื่อปิดหน้าจอ POPUP ได้เลย

ซึ่งตอนนี้ก็ได้ติดตั้ง Trend Cloud One Workload Security ใน EC2 Instance และเปิดใช้งานโมดูลที่ต้องการเสร็จเรียบร้อยแล้ว
check_module_and_enable_in_details-5

การตรวจสอบบริการ Computer ที่มี EC2 Instance

※ดำเนินการฝั่ง Trend Cloud One
ต่อไปมาตรวจสอบในส่วนสุดท้ายกัน โดยเลือกแท็บ Workload Security Account Details ก็จะมีหน้าจอ POPUP "Account Details" แสดงขึ้นมา ให้ดูที่หัวข้อ Account และ Activity ก็จะแสดงข้อมูลของการเชื่อมต่อระหว่างบัญชี Trend Cloud One และบัญชี AWS ที่นี่

ที่นี้ให้ดูที่ Peak Protected Computers: 1 Computer ในหัวข้อ Activity ซึ่งในส่วนนี้จะเป็นค่าบริการ ดังนั้นเราจะอธิบายวิธีการคำนวณค่าบริการในขั้นตอนถัดไป
check_price_computer-1

※ดำเนินการฝั่ง AWS
เปิดหน้าจอ AWS Marketplace: Subscribe to Trend Cloud One ขึ้นมา แล้วเลื่อนไปด้านล่างที่หัวข้อ Pricing information แล้วป้อนคำว่า Workload ในช่องค้นหา ก็จะเห็นราคาของ Workload แต่ละอันแสดงขึ้นมาตามนี้เลย

สำหรับค่าบริการจำนวนการ Scan ต่อ 1 ชั่วโมงในครั้งนี้ราคาจะอยู่ที่ $0.011/unit เนื่องจากผมสร้าง EC2 Instance ด้วย Instance type: t3a.micro ซึ่งจะอยู่ในระดับ Micro-Med (Micro-Medium)

Unit	Cost
Workload: Per XL & larger EC2 instance, Other Cloud 4+ vCPU/Hr	$0.045/unit
Workload: Per Data Center / Not Cloud instance /Hr	$0.045/unit
Workload: Per Large EC2 instance, Other Cloud 2 vCPU/Hr	$0.031/unit
Workload: Per Micro-Med EC2 instance, WorkSpace, Other Cloud 1 vCPU/Hr	$0.011/unit
Workload Essentials: Anti-malware WRS, and XDR only, per workload /Hr	$0.007/unit

การลบ Resource ที่สร้างขึ้น

ลบ Resource ฝั่ง AWS Console

※Terminate Instance
ดูวิธีการ Terminate Instance ได้ที่ลิงก์ด้านล่างนี้
Terminate Instance

*หมายเหตุ: หาก Terminate Instance ฝั่ง AWS Console ไปแล้ว Instance ที่อยู่ใน Computer ของ Trend Cloud One จะถูกลบโดยอัตโนมัติ

สุดท้ายนี้

หากต้องการเปิดการใช้งานโมดูลอื่นๆ ที่ต้องการ ให้ทำเหมือนกันกับตอนที่เปิดใช้งานโมดูล Anti-Malware ได้เลย หากเปิดใช้งานโมดูลที่ต้องการแล้ว State ก็จะเปลี่ยนเป็น On, Real Time