AMS が独自の EPS を導入する - AMS Advanced ユーザーガイド
アカウントの BYOEPS を有効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AMS が独自の EPS を導入する

AMS の「独自のエンドポイントセキュリティの提供」 (BYOEPS) 機能を使用して、デフォルトの Trend Micro Deep Security エージェントを独自のエンドポイントセキュリティソリューションまたは Trend Micro ライセンスに置き換えます。Trend Micro Deep Security または EPS を提供するチーム以外の製品の費用対効果の高いライセンスがすでにある場合、または特定の EPS ツールを使用する場合は、インスタンスで BYOEPS を使用します。

BYOEPS はアカウントレベルで機能します。アカウントのインスタンスは、BYOEPS またはデフォルトの AMS 管理 EPS を使用します。

  • マルチアカウントランディングゾーン (MALZ): BYOEPS またはマネージド EPS を使用するアプリケーションアカウントを指定します。

  • シングルアカウントランディングゾーン (SALZ): AMS アカウントは BYOEPS またはマネージド EPS を使用します。

BYOEPS を使用すると、Trend Micro Deep Security のコストが AWS 請求額を削減できます。AMS 管理の EPS は、アクセス管理 (踏み台、管理ホスト) に必要な AMS が作成および管理する EC2 インスタンスを保護するために引き続き必要であるため、引き続き EPS のコストが発生します。総コストへの影響を計算するには、新しいツールのライセンスコストと、必要なサービスレベルで EPS を管理するコストを考慮する必要があります。

BYOEPS を使用すると、セキュリティ管理の AMS の役割と責任が変わります。

  • R は、タスクを達成するために作業を行う責任者を表します。

  • C は、相談された当事者、通常は対象分野の専門家として意見を求める当事者、二国間通信を行う当事者を指します。

  • 「情報」の略です。多くの場合、タスクまたは成果物の完了時にのみ、進捗状況が通知される当事者です。

セキュリティ管理 お客様 AWS マネージドサービス

AMS 共有サービスの EC2 インスタンスの Managed EPS の有効なライセンスの維持

R

C

AMS 共有サービスの EC2 インスタンスのマネージド EPS を設定する

I

R

AMS 共有サービスの EC2 インスタンスのマネージド EPS を更新する

I

R

AMS 共有サービスの EC2 インスタンスでのマルウェアのモニタリング

I

R

AMS 共有サービスの EC2 インスタンスのウイルス署名の維持と更新

I

R

AMS 共有サービスの EC2 インスタンスのマルウェアに感染したインスタンスの修正

C

R

BYOEPS を使用すると、AMS が提供するセキュリティコントロールの 1 つが失われます。Amazon GuardDuty、Amazon Macie などのツール、および IAM 設定のレビューなどのプロセスコントロールを通じて、引き続きセキュリティ管理が提供されます。BYOEPS を使用しても、AMS コンプライアンスの認定や認証には影響しません。ただし、多くのセキュリティフレームワークと証明書には、マルウェアや悪意のあるコードから保護するための要件があります。アカウントの安全性とコンプライアンスを維持するために、計画されたコントロールを評価して、ワークロードのコンプライアンス証明書のセキュリティ要件を満たしていることを確認します。

アカウントの BYOEPS を有効にする

BYOEPS を有効にするプロセスには 3 つのステージが含まれており、複数の RFCsを使用します。BYOEPS を有効にするために必要な 3 つのステージについては、以下の情報を参照してください。次に、CSDM と連携して、アカウントの BYOEPS を有効にします。

ステージ 1: 前提条件

  • デフォルトの Amazon EC2 インスタンスプロファイルは ですcustomer-mc-ec2-instance-profile。デフォルトプロファイルに加えて別の Amazon EC2 インスタンスプロファイルを使用する場合は、/ams/end-point-securityリソースの ssm:GetParameterアクションを EC2 インスタンスプロファイルに許可します。

    EC2 インスタンスプロファイルを更新できない場合は、更新する必要があるインスタンスプロファイルを指定する RFC を送信します。

  • この変更の範囲を理解します。

    AMS 自動変更タイプ (CT) によるデプロイでは、作成時に使用する AMI を指定できます。

    AMS マネージド EPS を使用するアカウントで BYOEPS を使用するには、AMS を使用してそれらの EC2 インスタンスから Trend Micro エージェントをアンインストールし、それらのインスタンスの AMS コード (ブートスクリプトなど) を更新する必要があります。これらのアクションには再起動が必要になる可能性があるため、メンテナンスウィンドウの一部としてこれらのアクションを実行することをお勧めします。CSDM に連絡して、このアクティビティを実行するメンテナンスウィンドウを特定し、移行計画を作成します。移行計画では、次の質問を検討してください。

    1. 移行する必要があるインスタンスの数 インスタンスの合計数を小さい増分バッチに分割します。

    2. インスタンスをバッチで分割する方法 たとえば、リソースグループで分割し、AMS オペレーションチームと共有するためのリストを作成できます。

    3. 各バッチにはどのくらいの時間がかかりますか? 必要な合計時間はどれくらいですか? 同じメンテナンスウィンドウに任意の EPS ツールをインストールすることを検討してください。これにはどのくらいの時間がかかりますか?

  • CSDM は、移行計画を AMS 運用チームと共有します。インスタンスフリートが 50 を超える場合は、CSDM と協力して、計画されたイベント管理 (PEM) プロセスを使用して計画されたイベントを作成します。詳細については、AWS Managed Services での計画されたイベント管理を参照してください。

    AMS オペレーションは CSDM と連携して、アカウントのインスタンス数に基づいて、メンテナンスウィンドウに従って RFCs を送信する方法をアドバイスします。

  • カスタム AMI または AMS AMIs を使用して EC2 インスタンス起動のオートメーションまたはプロセスを更新し、2020 年 12 月以降にリリースされた AMS AMIs を使用します。

ステージ 2: アカウントで BYOEPS を有効にする

アカウントで BYOEPS を使用すると、セキュリティ管理に対する AMS の責任が変わります。BYOEPS を有効にする前に、セキュリティおよびクラウドプラットフォームチームに相談してください。

アカウントの BYOEPS をリクエストするには、ct-0xdawir96cy7k で「MOO」更新 RFC (管理 | その他 | その他 | 更新) を以下の詳細とともに送信します。

Please enable BYOEPS for this account/these accounts
Account IDs: IDs for the accounts for BYOEPS.

AMS は、パラメータストアの更新をアカウントにデプロイし、Amazon EC2 IAM インスタンスプロファイルを更新します。

注記

  • 最新の AMS AMIs を使用する新しいインスタンス起動のアカウントは、Trend Micro エージェントのインストールをスキップできます。2020 年 12 月より前の AMIs は BYOEPS 機能をサポートしていません。古い AMIs を使用するオートメーションを更新して、BYOEPS 機能をサポートする最新の AMS AMIs を使用します。

  • 既存の EC2 インスタンスの処理については、「ステージ 3: インスタンスの移行」を参照してください。

ステージ 3: インスタンスの移行

ユースケースに応じて、次のいずれかのオプションを使用してインスタンスを移行します。どのオプションを選択するかわからない場合は、CA または CSDM にお問い合わせください。

AMS マネージド EPS を使用する EC2 インスタンスを持つアカウント

メンテナンス期間中、ステージ 1 の計画に従って、BYOEPS にオンボードする必要がある各インスタンスで次のアクションを実行します。

  • AMS によって実行される: AMS コード (ブートスクリプト、モジュールなど) を最新バージョンに更新します。これは、古い AMS ブートスクリプトに BYOEPS 機能のサポートがなく、起動のたびに Trend Micro エージェントを再インストールするため必要です。また、Trend Micro エージェントをアンインストールします。

  • ユーザーが実行: 任意の EPS ツールをインストールして設定します。

    重要

    Trend Micro Agent はマルウェア保護を提供します。インスタンスを保護するために、適切な代替 をインストールしてください。

これらの変更を行うには、変更タイプ ct-2iz9nvw8zlhst の RFCs をバッチで送信します。Trend Micro DSM | Trend Micro EPS エージェントの削除 (レビューが必要)

AMS マネージド EPS を使用する EC2 インスタンスのないアカウント

最新の AMS AMIs を使用する新しいインスタンス起動のアカウントは、Trend Micro エージェントのインストールをスキップできます。2020 年 12 月より前の AMIs は BYOEPS 機能をサポートしていません。古い AMIs を使用するオートメーションを更新して、BYOEPS 機能をサポートする最新の AMS AMIs を使用します。

EC2 インスタンスにエージェントを追加する

AMS パターンを使用して、CrowdStrike や Qualys などのツールのエージェントをデプロイできます。サービスリクエストを送信してサポートを依頼してください。