AMS : apportez votre propre EPS - Guide de l'utilisateur avancé d'AMS
Activez BYOEPS pour votre compte

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AMS : apportez votre propre EPS

Utilisez la fonction « Bring your own end point security » (BYOEPS) d'AMS pour remplacer l'agent Trend Micro Deep Security par votre propre solution de sécurité des terminaux, ou par une licence Trend Micro. Si vous possédez déjà des licences rentables pour des produits autres que Trend Micro Deep Security, ou si vous disposez d'une équipe qui fournit votre EPS, ou si vous souhaitez utiliser un outil EPS spécifique, utilisez BYOEPS dans vos instances.

BYOEPS fonctionne au niveau du compte. Vos instances du compte utilisent soit BYOEPS, soit l'EPS géré par AMS par défaut :

  • zone de landing zone multi-comptes (MALZ) : vous désignez des comptes d'applications qui utilisent BYOEPS ou EPS géré.

  • zone de landing zone à compte unique (SALZ) : vos comptes AMS utilisent le BYOEPS ou un EPS géré.

BYOEPS, réduit votre AWS facture en réduisant le coût de Trend Micro Deep Security. L'EPS continue de vous coûter cher, car l'EPS géré par AMS est toujours nécessaire pour protéger les EC2 instances créées et gérées par AMS qui sont nécessaires à la gestion des accès (bastions et hôtes de gestion). Pour calculer l'impact financier total, vous devez prendre en compte le coût des licences de votre nouvel outil et le coût de gestion de l'EPS aux niveaux de service dont vous avez besoin.

L'utilisation du BYOEPS modifie les rôles et les responsabilités de l'AMS en matière de gestion de la sécurité :

  • R représente la partie responsable qui fait le travail pour accomplir la tâche.

  • C signifie consulté, une partie dont les opinions sont sollicitées, généralement en tant qu'experts en la matière, et avec laquelle il existe une communication bilatérale.

  • Je signifie informé ; une partie qui est informée des progrès, souvent uniquement une fois la tâche ou le résultat livrable terminé.

Gestion de la sécurité Client AWS Managed Services

Maintien de licences valides de Managed EPS pour EC2 les instances d'AMS Shared Services

R

C

Configurer Managed EPS pour EC2 les instances d'AMS Shared Services

I

R

Mettre à jour Managed EPS pour EC2 les instances d'AMS Shared Services

I

R

Surveillance des malwares sur EC2 les instances d'AMS Shared Services

I

R

Gestion et mise à jour des signatures de virus pour EC2 les instances d'AMS Shared Services

I

R

Corriger les instances infectées par des logiciels malveillants pour les EC2 instances d'AMS Shared Services

C

R

Lorsque vous utilisez BYOEPS, vous perdez l'un des contrôles de sécurité proposés par AMS. La gestion de la sécurité est toujours assurée par le biais d'outils tels qu'Amazon GuardDuty, Amazon Macie, et de contrôles de processus, tels que les révisions des configurations IAM. L'utilisation du BYOEPS n'affecte pas les certifications et attestations de conformité AMS. Cependant, de nombreux cadres de sécurité et certifications comportent des exigences en matière de protection contre les logiciels malveillants et le code malveillant. Pour garantir la sécurité et la conformité de votre compte, évaluez les contrôles que vous planifiez pour vous assurer qu'ils répondent aux exigences de sécurité relatives aux certifications de conformité de votre charge de travail.

Activez BYOEPS pour votre compte

Le processus d'activation du BYOEPS comporte trois étapes et en utilise plusieurs. RFCs Consultez les informations suivantes pour en savoir plus sur les trois étapes requises pour activer le BYOEPS. Ensuite, coordonnez-vous avec votre CSDM pour activer BYOEPS pour votre compte.

Étape 1 : Prérequis

  • Le profil d' EC2 instance Amazon par défaut estcustomer-mc-ec2-instance-profile. Si vous utilisez un profil d' EC2 instance Amazon différent en plus du profil par défaut, autorisez l'ssm:GetParameteraction relative à la /ams/end-point-security ressource sur votre profil d' EC2 instance.

    Si vous ne pouvez pas mettre à jour les profils d' EC2 instance, soumettez une RFC spécifiant les profils d'instance que vous devez mettre à jour.

  • Comprenez l'ampleur de ce changement.

    Les déploiements via un type de modification automatique (CT) AMS vous permettent de spécifier l'AMI utilisée lors de la création.

    Pour utiliser BYOEPS avec des comptes utilisant le système EPS géré par AMS, vous devez travailler avec AMS pour désinstaller les agents Trend Micro de ces EC2 instances et pour mettre à jour le code AMS (par exemple, les scripts de démarrage) sur ces instances. Ces actions peuvent nécessiter un redémarrage. Il est donc recommandé de les exécuter dans le cadre d'une fenêtre de maintenance. Contactez votre CSDM pour identifier une fenêtre de maintenance pour effectuer cette activité et pour créer un plan de migration. En ce qui concerne le plan de migration, posez-vous les questions suivantes :

    1. Combien d'instances devez-vous migrer ? Divisez le nombre total d'instances en lots plus petits et incrémentiels.

    2. Comment allez-vous diviser les instances par lots ? Par exemple, vous pouvez diviser par groupes de ressources et créer une liste à partager avec l'équipe des opérations AMS.

    3. Combien de temps prendra chaque lot ? Combien de temps total est nécessaire ? N'oubliez pas que vous souhaiterez peut-être installer votre outillage EPS préféré dans la même fenêtre de maintenance. Combien de temps cela va-t-il prendre ?

  • Votre CSDM partage le plan de migration avec l'équipe des opérations AMS. Si votre parc d'instances est supérieur à 50, collaborez avec votre CSDM pour créer un événement planifié à l'aide du processus de gestion des événements planifiés (PEM). Pour de plus amples informations, consultez Gestion des événements planifiés dans AWS Managed Services.

    AMS Operations assure la coordination avec votre CSDM et vous conseille sur la manière de procéder RFCs à la soumission conformément à vos fenêtres de maintenance, en fonction du nombre d'instances présentes dans votre compte.

  • Mettez à jour les automatisations ou les processus de lancement d' EC2 instance à l'aide de Custom ou AMIs d'AMS pour utiliser AMS AMIs publié après décembre 2020.

Étape 2 : Activez BYOEPS dans votre compte

Lorsque vous utilisez BYOEPS sur votre compte, les responsabilités d'AMS en matière de gestion de la sécurité changent. Consultez votre équipe chargée de la sécurité et de la plateforme cloud avant d'activer BYOEPS.

Pour demander BYOEPS pour votre compte, soumettez une RFC de mise à jour « MOO » (Management | Other | Other | Update) avec ct-0xdawir96cy7k, avec les détails suivants :

Please enable BYOEPS for this account/these accounts
Account IDs: IDs for the accounts for BYOEPS.

AMS déploie les mises à jour du magasin de paramètres sur le compte et met à jour le profil d'instance Amazon EC2 IAM.

Note

  • Les comptes dotés de nouvelles instances lancées qui utilisent la dernière version d'AMS AMIs peuvent ignorer l'installation de l'agent Trend Micro. AMIs les versions antérieures à décembre 2020 ne prennent pas en charge la fonctionnalité BYOEPS. Mettez à jour les automatisations qui utilisent les anciennes AMIs pour utiliser le dernier AMS AMIs avec le support des fonctionnalités BYOEPS.

  • Pour la gestion des EC2 instances existantes, voir Étape 3 : Migrations d'instances

Étape 3 : Migration de l'instance

Utilisez l'une des options suivantes pour migrer vos instances, en fonction de votre cas d'utilisation. Si vous ne savez pas quelle option choisir, contactez votre CA ou votre CSDM.

Comptes dotés d' EC2 instances utilisant le système EPS géré par AMS

Pendant la période de maintenance, conformément à la planification de l'étape 1, les actions suivantes sont effectuées sur chaque instance devant être intégrée à BYOEPS :

  • Effectué par AMS : mise à jour du code AMS (scripts de démarrage, modules, etc.) avec les dernières versions. Cela est nécessaire car les anciens scripts de démarrage AMS ne prennent pas en charge les fonctionnalités BYOEPS et réinstallent l'agent Trend Micro à chaque démarrage. Désinstallez également l'agent Trend Micro.

  • Effectué par vos soins : installez et configurez votre outil EPS préféré.

    Important

    Trend Micro Agent fournit une protection contre les malwares. Assurez-vous d'installer une solution de remplacement appropriée pour sécuriser vos instances.

Pour que ces modifications soient soumises RFCs avec modification, tapez ct-2iz9nvw8zlhst, Trend Micro DSM | Remove Trend Micro EPS Agent (révision requise), par lots.

Comptes sans EC2 instance utilisant le système EPS géré par AMS

Les comptes dotés de nouvelles instances lancées qui utilisent la dernière version d'AMS AMIs peuvent ignorer l'installation de l'agent Trend Micro. AMIs les versions antérieures à décembre 2020 ne prennent pas en charge la fonctionnalité BYOEPS. Mettez à jour les automatisations qui utilisent les anciennes AMIs pour utiliser le dernier AMS AMIs avec le support des fonctionnalités BYOEPS.

Ajoutez votre agent sur les EC2 instances

Vous pouvez utiliser AMS Patterns pour déployer des agents CrowdStrike ou des outils tels que Qualys, Soumettre une demande de service pour obtenir de l'assistance.