Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AMS membawa EPS Anda sendiri
Gunakan fitur AMS “bring your own end point security” (BYOEPS) untuk mengganti agen Trend Micro Deep Security default dengan solusi keamanan titik akhir Anda sendiri, atau lisensi Trend Micro. Jika Anda sudah memiliki lisensi hemat biaya untuk produk selain Trend Micro Deep Security, atau tim yang menyediakan EPS Anda, atau jika Anda ingin menggunakan alat EPS tertentu, gunakan BYOEPS dalam instans Anda.
BYOEPS bekerja di tingkat akun. Instance Anda di akun menggunakan BYOEPS atau EPS default yang dikelola AMS:
multi-account landing zone (MALZ): Anda menunjuk akun aplikasi yang menggunakan BYOEPS atau EPS terkelola.
single-account landing zone (SALZ): Akun AMS Anda menggunakan BYOEPS atau EPS terkelola.
BYOEPS, mengurangi AWS tagihan Anda dengan biaya untuk Trend Micro Deep Security. Anda terus dikenakan biaya untuk EPS karena EPS yang dikelola AMS masih diperlukan untuk melindungi EC2 instans yang dibuat dan dikelola AMS yang diperlukan untuk manajemen akses (benteng, dan host manajemen). Untuk menghitung dampak biaya total, Anda harus memperhitungkan biaya lisensi untuk alat baru Anda, dan biaya pengelolaan EPS pada tingkat layanan yang Anda butuhkan.
Penggunaan BYOEPS mengubah peran dan tanggung jawab AMS untuk manajemen keamanan:
R adalah singkatan dari pihak yang bertanggung jawab yang melakukan pekerjaan untuk mencapai tugas.
C adalah singkatan dari konsultasikan; pihak yang pendapatnya dicari, biasanya sebagai ahli materi pelajaran; dan dengan siapa ada komunikasi bilateral.
Saya singkatan dari Informed; sebuah pihak yang diinformasikan tentang kemajuan, seringkali hanya pada penyelesaian tugas atau deliverable.
| Manajemen keamanan | Pelanggan | AWS Managed Services |
|---|---|---|
Mempertahankan lisensi EPS Terkelola yang valid untuk EC2 instance AMS Shared Services |
R |
C |
Konfigurasikan EPS Terkelola untuk EC2 instance AMS Shared Services |
I |
R |
Memperbarui EPS Terkelola untuk EC2 instance AMS Shared Services |
I |
R |
Memantau malware pada EC2 contoh AMS Shared Services |
I |
R |
Mempertahankan dan memperbarui tanda tangan virus untuk EC2 instance AMS Shared Services |
I |
R |
Memulihkan instans yang terinfeksi malware untuk EC2 instance AMS Shared Services |
C |
R |
Ketika Anda menggunakan BYOEPS, Anda kehilangan salah satu kontrol keamanan yang ditawarkan oleh AMS. Anda masih memiliki manajemen keamanan yang disediakan melalui alat seperti Amazon GuardDuty, Amazon Macie, dan kontrol proses, seperti ulasan konfigurasi IAM. Penggunaan BYOEPS tidak memengaruhi sertifikasi dan pengesahan kepatuhan AMS. Namun, banyak kerangka kerja keamanan dan sertifikasi memiliki persyaratan untuk perlindungan dari malware dan kode berbahaya. Untuk membantu menjaga akun Anda tetap aman dan sesuai, evaluasi kontrol yang direncanakan untuk memastikan bahwa kontrol tersebut memenuhi persyaratan keamanan untuk sertifikasi kepatuhan beban kerja Anda.
Aktifkan BYOEPS untuk akun Anda
Proses untuk menghidupkan BYOEPS berisi tiga tahap dan menggunakan beberapa. RFCs Tinjau informasi berikut untuk mempelajari tentang tiga tahap yang diperlukan untuk mengaktifkan BYOEPS. Kemudian, koordinasikan dengan CSDM Anda untuk mengaktifkan BYOEPS untuk akun Anda.
Tahap 1: Prasyarat
Profil EC2 instans Amazon default adalah
customer-mc-ec2-instance-profile. Jika Anda menggunakan profil EC2 instans Amazon yang berbeda selain profil default, izinkanssm:GetParametertindakan untuk/ams/end-point-securitysumber daya ke profil EC2 instans Anda.Jika Anda tidak dapat memperbarui profil EC2 instans, kirimkan RFC yang menentukan profil instans yang perlu Anda perbarui.
Pahami ruang lingkup perubahan ini.
Penerapan melalui tipe perubahan otomatis AMS (CT) memungkinkan Anda menentukan AMI yang digunakan dalam pembuatan.
Untuk menggunakan BYOEPS dengan akun yang menggunakan EPS yang dikelola AMS, Anda harus bekerja dengan AMS untuk menghapus instans Trend Micro dari EC2 instans tersebut, dan memperbarui kode AMS (misalnya, skrip boot) pada instance tersebut. Tindakan ini mungkin memerlukan reboot, jadi ini adalah praktik terbaik untuk melakukan tindakan ini sebagai bagian dari jendela pemeliharaan. Hubungi CSDM Anda untuk mengidentifikasi jendela pemeliharaan untuk melakukan aktivitas ini dan membuat rencana migrasi. Untuk rencana migrasi, pertimbangkan pertanyaan-pertanyaan berikut:
Berapa banyak contoh yang Anda butuhkan untuk bermigrasi? Bagilah jumlah total instance menjadi batch inkremental yang lebih kecil.
Bagaimana Anda akan membagi instance dalam batch? Misalnya, Anda dapat membagi berdasarkan grup sumber daya dan membuat daftar untuk dibagikan dengan tim operasi AMS.
Berapa banyak waktu yang dibutuhkan setiap batch? Berapa total waktu yang dibutuhkan? Pertimbangkan bahwa Anda mungkin ingin menginstal perkakas EPS pilihan Anda di jendela pemeliharaan yang sama. Berapa banyak waktu yang dibutuhkan?
CSDM Anda membagikan rencana migrasi dengan tim operasi AMS. Jika armada instans Anda di atas 50, maka bekerjalah dengan CSDM Anda untuk membuat acara yang direncanakan menggunakan proses manajemen acara yang direncanakan (PEM). Untuk informasi selengkapnya, lihat Manajemen acara yang direncanakan di AWS Managed Services
Operasi AMS berkoordinasi dengan CSDM Anda dan menyarankan RFCs cara mengirimkan sesuai dengan jendela pemeliharaan Anda, berdasarkan jumlah instans di akun Anda.
Perbarui otomatisasi atau proses peluncuran EC2 instans menggunakan kustom atau AMS AMIs untuk menggunakan AMS yang AMIs dirilis setelah Desember 2020.
Tahap 2: Aktifkan BYOEPS di akun Anda
Saat Anda menggunakan BYOEPS di akun Anda, tanggung jawab yang dimiliki AMS untuk manajemen keamanan berubah. Konsultasikan dengan tim keamanan dan platform cloud Anda sebelum Anda mengaktifkan BYOEPS.
Untuk meminta BYOEPS untuk akun Anda, kirimkan pembaruan “MOO” RFC (Manajemen | Lainnya | Lainnya | Pembaruan) dengan ct-0xdawir96cy7k, dengan detail berikut:
Please enable BYOEPS for this account/these accounts Account IDs:IDs for the accounts for BYOEPS.
AMS menerapkan pembaruan penyimpanan parameter ke akun dan memperbarui profil instans Amazon EC2 IAM.
catatan
Akun dengan peluncuran instans baru yang menggunakan AMS terbaru AMIs dapat melewati instalasi agen Trend Micro. AMIs lebih tua dari Desember 2020 tidak mendukung fitur BYOEPS. Perbarui otomatisasi yang menggunakan yang lama AMIs untuk menggunakan AMS terbaru AMIs dengan dukungan fitur BYOEPS.
Untuk penanganan EC2 instans yang ada, lihat Tahap 3: Migrasi instans
Tahap 3: Migrasi instans
Gunakan salah satu opsi berikut untuk memigrasikan instans Anda, tergantung pada kasus penggunaan Anda. Jika Anda tidak yakin opsi mana yang harus dipilih, hubungi CA atau CSDM Anda.
Akun dengan EC2 instans yang menggunakan EPS yang dikelola AMS
Selama jendela pemeliharaan, selaras dengan perencanaan dari Tahap 1, tindakan berikut dilakukan pada setiap instance yang perlu dionboard ke BYOEPS:
Dilakukan oleh AMS: Perbarui kode AMS (skrip boot, modul, dan sebagainya) ke versi terbaru. Ini diperlukan karena skrip boot AMS lama tidak memiliki dukungan fitur BYOEPS dan menginstal ulang agen Trend Micro di setiap boot. Juga, hapus instalan Trend Micro Agent.
Dilakukan oleh Anda: Instal dan konfigurasikan alat EPS pilihan Anda.
penting
Trend Micro Agent memberikan perlindungan malware. Pastikan Anda memasang pengganti yang sesuai untuk mengamankan instans Anda.
Untuk membuat perubahan ini dikirimkan RFCs dengan jenis perubahan ct-2iz9nvw8zlhst, Trend Micro DSM | Hapus Agen Trend Micro EPS (Review Required), dalam batch.
Akun tanpa EC2 instans yang menggunakan EPS yang dikelola AMS
Akun dengan peluncuran instans baru yang menggunakan AMS terbaru AMIs dapat melewati instalasi agen Trend Micro. AMIs lebih tua dari Desember 2020 tidak mendukung fitur BYOEPS. Perbarui otomatisasi yang menggunakan yang lama AMIs untuk menggunakan AMS terbaru AMIs dengan dukungan fitur BYOEPS.
Tambahkan agen Anda pada EC2 instans
Anda dapat menggunakan Pola AMS untuk menyebarkan agen alat seperti CrowdStrike atau Qualys, Kirim permintaan layanan untuk bantuan.
