AMS porta il tuo EPS - Guida per l'utente avanzato di AMS
Attiva BYOEPS per il tuo account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AMS porta il tuo EPS

Utilizza la funzionalità AMS «bring your own end point security» (BYOEPS) per sostituire l'agente Trend Micro Deep Security predefinito con la tua soluzione di sicurezza degli endpoint o con la tua licenza Trend Micro. Se disponi già di licenze convenienti per prodotti diversi da Trend Micro Deep Security o di un team che fornisce il tuo EPS, o se desideri utilizzare uno strumento EPS specifico, utilizza BYOEPS nelle tue istanze.

BYOEPS funziona a livello di account. Le istanze nell'account utilizzano BYOEPS o l'EPS predefinito gestito da AMS:

  • multi-account landing zone (MALZ): designate gli account delle applicazioni che utilizzano BYOEPS o managed EPS.

  • single-account landing zone (SALZ): i tuoi account AMS utilizzano BYOEPS o managed EPS.

BYOEPS, riduce la AWS bolletta del costo di Trend Micro Deep Security. Continuate a sostenere un costo per EPS perché l'EPS gestito da AMS è ancora necessario per proteggere le EC2 istanze create e gestite da AMS e necessarie per la gestione degli accessi (bastioni e host di gestione). Per calcolare l'impatto totale sui costi, è necessario tenere conto del costo delle licenze per il nuovo strumento e del costo di gestione dell'EPS ai livelli di servizio richiesti.

L'uso di BYOEPS modifica i ruoli e le responsabilità di AMS per la gestione della sicurezza:

  • R sta per parte responsabile che fa il lavoro per raggiungere l'obiettivo.

  • C sta per consultato; una parte i cui pareri vengono richiesti, in genere in qualità di esperti in materia, e con la quale esiste una comunicazione bilaterale.

  • I sta per informato; una parte che viene informata sui progressi, spesso solo al completamento del compito o del risultato.

Gestione della sicurezza Customer AWS Managed Services

Mantenimento di licenze valide di Managed EPS per EC2 le istanze di AMS Shared Services

R

C

Configura Managed EPS per le EC2 istanze di AMS Shared Services

I

R

Aggiorna Managed EPS per le EC2 istanze di AMS Shared Services

I

R

Monitoraggio del malware sulle EC2 istanze di AMS Shared Services

I

R

Manutenzione e aggiornamento delle firme dei virus per le EC2 istanze di AMS Shared Services

I

R

Correzione delle istanze infette da malware per le istanze di AMS Shared EC2 Services

C

R

Quando utilizzi BYOEPS, perdi uno dei controlli di sicurezza offerti da AMS. La gestione della sicurezza è ancora fornita tramite strumenti come Amazon GuardDuty, Amazon Macie e controlli di processo, come le revisioni delle configurazioni IAM. L'uso di BYOEPS non influisce sulle certificazioni e sugli attestati di conformità AMS. Tuttavia, molti framework e certificazioni di sicurezza prevedono requisiti per la protezione da malware e codice dannoso. Per mantenere il tuo account sicuro e conforme, valuta i controlli pianificati per assicurarti che soddisfino i requisiti di sicurezza per le certificazioni di conformità del tuo carico di lavoro.

Attiva BYOEPS per il tuo account

Il processo di attivazione del BYOEPS prevede tre fasi e ne utilizza diverse. RFCs Consulta le seguenti informazioni per conoscere le tre fasi necessarie per attivare il BYOEPS. Quindi, coordinati con il tuo CSDM per attivare il BYOEPS per il tuo account.

Fase 1: Prerequisiti

  • Il profilo di EC2 istanza Amazon predefinito ècustomer-mc-ec2-instance-profile. Se utilizzi un profilo di EC2 istanza Amazon diverso da quello predefinito, consenti l'ssm:GetParameterazione della /ams/end-point-security risorsa al tuo profilo di EC2 istanza.

    Se non riesci EC2 ad aggiornare i profili delle istanze, invia una RFC che specifichi i profili di istanza da aggiornare.

  • Comprendi l'ambito di questa modifica.

    Le implementazioni tramite un tipo di modifica automatica (CT) AMS consentono di specificare l'AMI utilizzata nella creazione.

    Per utilizzare BYOEPS con account che utilizzano EPS gestito da AMS, è necessario collaborare con AMS per disinstallare gli agenti Trend Micro da tali EC2 istanze e aggiornare il codice AMS (ad esempio, gli script di avvio) su tali istanze. Queste azioni potrebbero richiedere un riavvio, quindi è consigliabile eseguirle come parte di una finestra di manutenzione. Contattate il vostro CSDM per identificare una finestra di manutenzione per eseguire questa attività e per creare un piano di migrazione. Per il piano di migrazione, considera le seguenti domande:

    1. Quante istanze devi migrare? Dividi il numero totale di istanze in batch incrementali più piccoli.

    2. Come dividerai le istanze in batch? Ad esempio, potresti dividere per gruppi di risorse e creare un elenco da condividere con il team operativo AMS.

    3. Quanto tempo impiegherà ogni batch? Quanto tempo totale è necessario? Considerate che potreste voler installare i vostri utensili EPS preferiti nella stessa finestra di manutenzione. Quanto tempo ci vorrà?

  • Il vostro CSDM condivide il piano di migrazione con il team operativo di AMS. Se il tuo parco istanze è superiore a 50, collabora con il CSDM per creare un evento pianificato utilizzando il processo di gestione degli eventi pianificati (PEM). Per ulteriori informazioni, consulta Gestione pianificata degli eventi in AWS Managed Services

    AMS Operations si coordina con il tuo CSDM e ti consiglia come effettuare l'invio RFCs in base alle finestre di manutenzione, in base al numero di istanze presenti nel tuo account.

  • Aggiorna le automazioni o i processi di avvio delle EC2 istanze utilizzando soluzioni personalizzate o AMS AMIs per utilizzare AMIs AMS rilasciate dopo dicembre 2020.

Fase 2: abilita BYOEPS nel tuo account

Quando utilizzi BYOEPS nel tuo account, le responsabilità di AMS per la gestione della sicurezza cambiano. Consultate il vostro team addetto alla sicurezza e alla piattaforma cloud prima di abilitare BYOEPS.

Per richiedere BYOEPS per il tuo account, invia un aggiornamento «MOO» RFC (Gestione | Altro | Altro | Aggiornamento) con ct-0xdawir96cy7k, con i seguenti dettagli:

Please enable BYOEPS for this account/these accounts
Account IDs: IDs for the accounts for BYOEPS.

AMS distribuisce gli aggiornamenti del Parameter Store all'account e aggiorna il profilo dell'istanza Amazon EC2 IAM.

Nota

  • Gli account con il lancio di nuove istanze che utilizzano l'ultima versione di AMS AMIs possono ignorare l'installazione dell'agente Trend Micro. AMIs le versioni precedenti a dicembre 2020 non supportano la funzionalità BYOEPS. Aggiorna le automazioni che utilizzano le versioni precedenti AMIs per utilizzare la versione più recente di AMS AMIs con supporto per le funzionalità BYOEPS.

  • Per la gestione delle EC2 istanze esistenti, consulta Fase 3: migrazioni di istanze

Fase 3: migrazione delle istanze

Utilizza una delle seguenti opzioni per migrare le istanze, a seconda del caso d'uso. Se non siete sicuri dell'opzione da scegliere, contattate la vostra CA o il CSDM.

Account con EC2 istanze che utilizzano EPS gestito da AMS

Durante la finestra di manutenzione, in linea con la pianificazione della Fase 1, vengono eseguite le seguenti azioni su ogni istanza che deve essere inserita in BYOEPS:

  • Eseguita da AMS: aggiorna il codice AMS (script di avvio, moduli e così via) alle versioni più recenti. Ciò è necessario perché i vecchi script di avvio AMS non supportano la funzionalità BYOEPS e reinstallano l'agente Trend Micro a ogni avvio. Inoltre, disinstallate Trend Micro Agent.

  • Eseguita dall'utente: installa e configura lo strumento EPS preferito.

    Importante

    Trend Micro Agent fornisce protezione da malware. Assicurati di installare un sostituto appropriato per proteggere le tue istanze.

Per effettuare queste modifiche, inviatele RFCs con il tipo di modifica ct-2iz9nvw8zlhst, Trend Micro DSM | Remove Trend Micro EPS Agent (è richiesta la revisione), in batch.

EC2 Account senza istanze che utilizzano EPS gestito da AMS

Gli account con il lancio di nuove istanze che utilizzano l'ultima versione di AMS AMIs possono ignorare l'installazione dell'agente Trend Micro. AMIs le versioni precedenti a dicembre 2020 non supportano la funzionalità BYOEPS. Aggiorna le automazioni che utilizzano le versioni precedenti AMIs per utilizzare la versione più recente di AMS AMIs con supporto per le funzionalità BYOEPS.

Aggiungi il tuo agente sulle istanze EC2

Puoi utilizzare AMS Patterns per implementare agenti di strumenti come CrowdStrike o Qualys, Invia una richiesta di assistenza.