AMS bring dein eigenes EPS mit - AMS-Benutzerhandbuch für Fortgeschrittene
Aktivieren Sie BYOEPS für Ihr Konto

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AMS bring dein eigenes EPS mit

Verwenden Sie die AMS-Funktion „Bring Your Own End Point Security“ (BYOEPS), um den standardmäßigen Trend Micro Deep Security Agent durch Ihre eigene Endpunkt-Sicherheitslösung oder Trend Micro Lizenz zu ersetzen. Wenn Sie bereits über kostengünstige Lizenzen für andere Produkte als Trend Micro Deep Security verfügen oder ein Team, das Ihr EPS bereitstellt, oder wenn Sie ein bestimmtes EPS-Tool verwenden möchten, verwenden Sie BYOEPS in Ihren Instanzen.

BYOEPS funktioniert auf Kontoebene. Ihre Instances im Konto verwenden entweder BYOEPS oder das standardmäßige, von AMS verwaltete EPS:

  • Multi-Account-Landingzone (MALZ): Sie legen Anwendungskonten fest, die BYOEPS oder verwaltete EPS verwenden.

  • Single-Account-Landing Zone (SALZ): Ihre AMS-Konten verwenden BYOEPS oder Managed EPS.

BYOEPS reduziert Ihre AWS Rechnung um die Kosten für Trend Micro Deep Security. Für EPS fallen weiterhin Kosten an, da das vom AMS verwaltete EPS weiterhin zum Schutz der vom AMS erstellten und verwalteten EC2 Instanzen benötigt wird, die für die Zugriffsverwaltung (Bastionen und Management-Hosts) erforderlich sind. Um die Gesamtkostenauswirkung zu berechnen, müssen Sie die Lizenzkosten für Ihr neues Tool und die Kosten für die Verwaltung von EPS auf den von Ihnen benötigten Service Levels berücksichtigen.

Durch den Einsatz von BYOEPS ändern sich die Rollen und Zuständigkeiten von AMS für das Sicherheitsmanagement:

  • R steht für verantwortliche Partei, die die Arbeit zur Erfüllung der Aufgabe erledigt.

  • C steht für konsultiert; eine Partei, deren Meinung eingeholt wird, in der Regel als Fachexperten, und mit der bilaterale Kommunikation besteht.

  • I steht für informiert, d. h. eine Partei, die über den Fortschritt informiert wird, oft erst, wenn die Aufgabe oder das Ergebnis abgeschlossen ist.

Sicherheitsmanagement Customer AWS Managed Services

Aufrechterhaltung gültiger Lizenzen von Managed EPS für EC2 Instanzen von AMS Shared Services

R

C

Konfigurieren Sie Managed EPS für EC2 Instanzen von AMS Shared Services

I

R

Aktualisieren Sie Managed EPS für EC2 Instanzen von AMS Shared Services

I

R

Überwachung von Malware auf EC2 Instanzen von AMS Shared Services

I

R

Pflege und Aktualisierung von Virensignaturen für EC2 Instanzen von AMS Shared Services

I

R

Behebung von mit Malware infizierten EC2 Instanzen für AMS Shared Services-Instanzen

C

R

Wenn Sie BYOEPS verwenden, verlieren Sie eine der von AMS angebotenen Sicherheitskontrollen. Sie verfügen weiterhin über Sicherheitsmanagement durch Tools wie Amazon GuardDuty, Amazon Macie und Prozesskontrollen wie Überprüfungen von IAM-Konfigurationen. Die Verwendung von BYOEPS hat keinen Einfluss auf AMS-Konformitätszertifizierungen und -bescheinigungen. Viele Sicherheitsrahmen und Zertifizierungen enthalten jedoch Anforderungen zum Schutz vor Malware und bösartigem Code. Um die Sicherheit und Einhaltung der Vorschriften für Ihr Konto zu gewährleisten, sollten Sie Ihre geplanten Kontrollen überprüfen, um sicherzustellen, dass sie die Sicherheitsanforderungen für die Compliance-Zertifizierungen Ihres Workloads erfüllen.

Aktivieren Sie BYOEPS für Ihr Konto

Der Vorgang zur Aktivierung von BYOEPS besteht aus drei Schritten und umfasst mehrere. RFCs Lesen Sie die folgenden Informationen, um mehr über die drei Phasen zu erfahren, die für die Aktivierung von BYOEPS erforderlich sind. Stimmen Sie sich dann mit Ihrem CSDM ab, um BYOEPS für Ihr Konto zu aktivieren.

Stufe 1: Voraussetzungen

  • Das standardmäßige EC2 Amazon-Instance-Profil istcustomer-mc-ec2-instance-profile. Wenn Sie zusätzlich zum Standardprofil ein anderes EC2 Amazon-Instance-Profil verwenden, lassen Sie die ssm:GetParameter Aktion für die /ams/end-point-security Ressource Ihrem EC2 Instance-Profil zu.

    Wenn Sie EC2 Instance-Profile nicht aktualisieren können, reichen Sie einen RFC ein, der die Instance-Profile angibt, die Sie aktualisieren müssen.

  • Machen Sie sich mit dem Umfang dieser Änderung vertraut.

    Bereitstellungen über einen AMS Automated Change Type (CT) ermöglichen es Ihnen, das bei der Erstellung verwendete AMI anzugeben.

    Um BYOEPS mit Konten zu verwenden, die AMS-verwaltetes EPS verwenden, müssen Sie mit AMS zusammenarbeiten, um die Trend Micro Agents von diesen EC2 Instances zu deinstallieren und den AMS-Code (z. B. Boot-Skripts) auf diesen Instances zu aktualisieren. Für diese Aktionen ist möglicherweise ein Neustart erforderlich. Daher empfiehlt es sich, diese Aktionen im Rahmen eines Wartungsfensters durchzuführen. Wenden Sie sich an Ihren CSDM, um ein Wartungsfenster für diese Aktivität zu ermitteln und einen Migrationsplan zu erstellen. Beachten Sie beim Migrationsplan die folgenden Fragen:

    1. Wie viele Instanzen müssen Sie migrieren? Teilen Sie die Gesamtzahl der Instanzen in kleinere, inkrementelle Batches auf.

    2. Wie werden Sie die Instanzen in Batches aufteilen? Sie könnten beispielsweise nach Ressourcengruppen aufteilen und eine Liste erstellen, die Sie mit dem AMS-Betriebsteam teilen können.

    3. Wie viel Zeit wird jede Charge in Anspruch nehmen? Wie viel Gesamtzeit wird benötigt? Denken Sie daran, dass Sie Ihre bevorzugten EPS-Tools möglicherweise im selben Wartungsfenster installieren möchten. Wie viel Zeit wird das in Anspruch nehmen?

  • Ihr CSDM teilt den Migrationsplan mit dem AMS Operations Team. Wenn Ihre Instance-Flotte über 50 ist, arbeiten Sie mit Ihrem CSDM zusammen, um ein geplantes Ereignis mithilfe des PEM-Prozesses (Planned Event Management) zu erstellen. Weitere Informationen finden Sie unter Verwaltung geplanter Ereignisse in AWS Managed Services.

    AMS Operations stimmt sich mit Ihrem CSDM ab und berät Sie anhand der Anzahl der Instances RFCs in Ihrem Konto, wie Sie Ihre Daten entsprechend Ihren Wartungsfenstern einreichen können.

  • Aktualisieren Sie die Automatisierungen oder Prozesse für den EC2 Instance-Start mithilfe benutzerdefinierter Funktionen oder AMS AMIs , um AMS zu verwenden, die nach Dezember AMIs 2020 veröffentlicht wurden.

Phase 2: Aktivieren Sie BYOEPS in Ihrem Konto

Wenn Sie BYOEPS in Ihrem Konto verwenden, ändern sich die Verantwortlichkeiten von AMS für das Sicherheitsmanagement. Konsultieren Sie Ihr Sicherheits- und Cloud-Plattform-Team, bevor Sie BYOEPS aktivieren.

Um BYOEPS für Ihr Konto anzufordern, reichen Sie mit ct-0xdawir96cy7k ein „MOO“ -Update-RFC (Management | Other | Other | Update) mit den folgenden Angaben ein:

Please enable BYOEPS for this account/these accounts
Account IDs: IDs for the accounts for BYOEPS.

AMS stellt Parameterspeicher-Updates für das Konto bereit und aktualisiert das Amazon EC2 IAM-Instance-Profil.

Anmerkung

  • Bei Konten mit neu gestarteten Instances, die das neueste AMS verwenden, AMIs kann die Installation des Trend Micro Agents übersprungen werden. AMIs älter als Dezember 2020 unterstützen die BYOEPS-Funktion nicht. Aktualisieren Sie Automatisierungen, die alte Versionen verwenden, AMIs um das neueste AMS AMIs mit Unterstützung für BYOEPS-Funktionen zu verwenden.

  • Informationen zur Handhabung vorhandener EC2 Instanzen finden Sie unter Phase 3: Instanzmigrationen

Phase 3: Instanzmigration

Verwenden Sie je nach Anwendungsfall eine der folgenden Optionen, um Ihre Instanzen zu migrieren. Wenn Sie sich nicht sicher sind, welche Option Sie wählen sollen, wenden Sie sich an Ihre CA oder CSDM.

Konten mit EC2 Instances, die von AMS verwaltetes EPS verwenden

Während des Wartungsfensters werden in Übereinstimmung mit der Planung aus Phase 1 die folgenden Aktionen für jede Instanz ausgeführt, die in BYOEPS integriert werden muss:

  • Von AMS ausgeführt: Aktualisieren Sie den AMS-Code (Boot-Skripts, Module usw.) auf die neuesten Versionen. Dies ist erforderlich, da alte AMS-Bootskripte die BYOEPS-Funktion nicht unterstützen und der Trend Micro Agent bei jedem Start neu installiert wird. Deinstallieren Sie außerdem den Trend Micro Agent.

  • Von Ihnen ausgeführt: Installieren und konfigurieren Sie Ihr bevorzugtes EPS-Tool.

    Wichtig

    Trend Micro Agent bietet Malware-Schutz. Stellen Sie sicher, dass Sie einen geeigneten Ersatz installieren, um Ihre Instanzen zu schützen.

Um diese Änderungen vorzunehmen, geben Sie ct-2iz9nvw8zlhst, Trend Micro DSM | Remove Trend Micro EPS Agent (Überprüfung erforderlich), stapelweise ein. RFCs

EC2 Konten ohne Instances, die von AMS verwaltetes EPS verwenden

Bei Konten, bei denen neue Instances gestartet werden, die das neueste AMS verwenden, AMIs kann die Installation des Trend Micro Agents übersprungen werden. AMIs älter als Dezember 2020 unterstützen die BYOEPS-Funktion nicht. Aktualisieren Sie Automatisierungen, die alte Versionen verwenden, AMIs um das neueste AMS AMIs mit Unterstützung für BYOEPS-Funktionen zu verwenden.

Fügen Sie Ihren Agenten zu Instances hinzu EC2

Sie können AMS Patterns verwenden, um Agenten von Tools wie CrowdStrike Qualys einzusetzen. Senden Sie eine Serviceanfrage, um Unterstützung zu erhalten.