Requisitos de implantação e rede

Conheça a arquitetura de implantação baseada em certificados para conexões HTTPS e os requisitos associados de porta, armazenamento, VM e DNS.

Implantação

Com este modelo de implantação, todas as conexões ao PEG permanecem dentro das redes que você controla.

Arquitetura


Nesta arquitetura, você deve criar e gerenciar os certificados para as conexões HTTPS

Requerimentos de porta

A tabela a seguir lista os requisitos de porta para entrada e saída de endereços IP.

Porta Protocolo Finalidade Ingresso privado IP Ingresso público IP Egresso à internet pública
22 TCP conectividade ssh para Admin
443 TCP

Ingresso

Conectividade do sensor de desktop e do analista comercial sobre HTTPS (TLS 1.2)

Egresso

O PEG envia os dados para Descoberta de processos.

Também utilizado para retirar o instalador de PEG, atualizações etc. de nossos repositórios

O sensor se conecta diretamente à nuvem de Descoberta de processos para obter apenas informações de configuração. Nenhum dado coletado é enviado diretamente do sensor para a nuvem de Descoberta de processos.

80 TCP Usado para redirecionamento de http para HTTPS (443)

Criptografia de dados

Os dados serão criptografados quando forem transmitidos do PEG para o ambiente do Nuvem. Confira a seguir as políticas e práticas de criptografia de dados em vigor para garantir a privacidade e a segurança dos dados:
  • Protocolo de transmissão segura (STP): O sistema PEG emprega HTTPS para todas as transmissões de dados para a plataforma em nuvem, garantindo o uso de criptografia em trânsito e protegendo contra violações de dados.
  • Criptografia da segurança da camada de transporte (TLS): Dados transferidos do PEG para o Nuvem são criptografados usando o protocolo TLS, que é um padrão do setor para comunicações seguras na Web.
  • Confidencialidade e integridade: A criptografia oferecida pelo HTTPS preserva a confidencialidade e a integridade dos dados enviados do PEG, evitando divulgações e alterações não autorizadas.
  • Autenticação via certificados: A identidade da plataforma do Nuvem é autenticada usando certificados digitais como parte do protocolo HTTPS, o que ajuda a prevenir hacks e ataques e o acesso não autorizado a dados.
  • Algoritmos de criptografia robustos: O HTTPS incorpora algoritmos de criptografia fortes, incluindo Advanced Encryption Standard (AES) e Rivest–Shamir–Adleman (RSA), para criar um canal seguro para troca de dados.

Requisitos de tamanho de VM

Os seguintes tamanhos de VM são suportados para a instalação do PEG:
  • Microsoft Azure: NC8as T4 v3
  • AWS: g4dn.4xlarge
  • Google Cloud Platform: N1-highmem-8 com 1 GPU nvidia-tesla-t4

Observação: Cada VM PEG pode lidar com 10 sensores por semana de calendário, com cada sensor enviando dados por aproximadamente oito horas por dia durante cinco dias por semana.

Requisitos de armazenamento

Garanta que o disco-raiz ou do SO tenha 2 TB ou mais de armazenamento SSD nearline. Criptografe o disco usando os mecanismos de criptografia de armazenamento de sua plataforma.

Nota: As marcas e o logotipo MiNIO e K-Lite são marcas comerciais ou marcas registradas da MiNIO e K-Lite Codec Pack e são usados apenas para fins de identificação.

MiNIO funciona como armazenamento interno de dados não estruturados que armazena todas as imagens geradas pelo sensor do Descoberta de processos:
  • Proteção de dados: MinIO suporta codificação de eliminação e proteção bitrot para proteger os dados contra falhas de hardware e corrupção de dados.
  • Segurança: MinIO oferece recursos de segurança robustos, como criptografia em trânsito (TLS) e em repouso, gerenciamento de identidade e acesso (IAM), suporte para políticas de bucket e listas de controle de acesso (ACLs).

Além de armazenar dados não estruturados, alguns arquivos de texto, como a lista anterior e a lista de bloqueios, também são armazenados no MiNIO. Porém, as imagens são acessadas a partir da URL do K-Lite e nunca direto do MiNIO. O armazenamento tem acesso baseado no navegador, que pode ser usado no caso de um procedimento de depuração ou se for necessária uma verificação adicional de qualquer imagem original que tenha sido encaminhada.

Os seguintes cenários são possíveis:
  • Um usuário somente leitura é usado pelo K-Lite para ler imagens e exibi-las na IU
  • Um usuário administrador de armazenamento que pode ser usado em tarefas que exijam mais permissões

Requerimentos de DNS

Você fornecerá ao PEG um nome de domínio de topo que você deseja usar (por exemplo, exemplo.com). Com base nisso, o PEG o informará sobre os registros de subdomínios DNS que você deve criar.