AMS에서 자체 EPS 사용 - AMS 고급 사용 설명서
계정에 대해 BYOEPS 활성화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AMS에서 자체 EPS 사용

AMS "자체 엔드포인트 보안 제공"(BYOEPS) 기능을 사용하여 기본 Trend Micro Deep Security 에이전트를 자체 엔드포인트 보안 솔루션 또는 Trend Micro 라이선스로 바꿉니다. Trend Micro Deep Security 이외의 제품에 대한 비용 효율적인 라이선스가 이미 있거나 EPS를 제공하는 팀이 있거나 특정 EPS 도구를 사용하려는 경우 인스턴스에서 BYOEPS를 사용합니다.

BYOEPS는 계정 수준에서 작동합니다. 계정의 인스턴스는 BYOEPS 또는 기본 AMS 관리형 EPS를 사용합니다.

  • 다중 계정 랜딩 존(MALZ): BYOEPS 또는 관리형 EPS를 사용하는 애플리케이션 계정을 지정합니다.

  • 단일 계정 랜딩 존(SALZ): AMS 계정은 BYOEPS 또는 관리형 EPS를 사용합니다.

BYOEPS는 Trend Micro Deep Security AWS 비용을 절감합니다. 액세스 관리(배스천 및 관리 호스트)에 필요한 AMS 생성 및 유지 관리 EC2 인스턴스를 보호하려면 AMS 관리형 EPS가 여전히 필요하기 때문에 EPS 비용은 계속 발생합니다. 총 비용 영향을 계산하려면 새 도구의 라이선스 비용과 필요한 서비스 수준에서 EPS를 관리하는 비용을 고려해야 합니다.

BYOEPS를 사용하면 보안 관리에 대한 AMS 역할과 책임이 변경됩니다.

  • R은 작업을 수행하기 위해 작업을 수행하는 책임 당사자를 나타냅니다.

  • C는 컨설팅, 일반적으로 주제 전문가로서 의견을 구하는 당사자, 양자 간 커뮤니케이션이 있는 당사자를 의미합니다.

  • 나는 정보, 즉 종종 작업 또는 결과물 완료 시에만 진행 상황에 대한 정보를 받는 당사자를 의미합니다.

보안 관리 Customer AWS Managed Services

AMS 공유 서비스의 EC2 인스턴스용 Managed EPS의 유효한 라이선스 유지

R

C

AMS 공유 서비스의 EC2 인스턴스에 대한 관리형 EPS 구성

정보

R

AMS 공유 서비스의 EC2 인스턴스에 대한 관리형 EPS 업데이트

정보

R

AMS 공유 서비스의 EC2 인스턴스에서 맬웨어 모니터링

정보

R

AMS 공유 서비스의 EC2 인스턴스에 대한 바이러스 서명 유지 관리 및 업데이트

정보

R

AMS 공유 서비스의 EC2 인스턴스에 대한 맬웨어로 감염된 인스턴스 문제 해결

C

R

BYOEPS를 사용하면 AMS에서 제공하는 보안 제어 중 하나가 손실됩니다. Amazon GuardDuty, Amazon Macie와 같은 도구와 IAM 구성 검토와 같은 프로세스 제어를 통해 보안 관리가 계속 제공됩니다. BYOEPS 사용은 AMS 규정 준수 인증 및 증명에 영향을 주지 않습니다. 그러나 많은 보안 프레임워크 및 인증에는 맬웨어 및 악성 코드로부터 보호하기 위한 요구 사항이 있습니다. 계정을 안전하게 유지하고 규정을 준수할 수 있도록 계획된 제어를 평가하여 워크로드의 규정 준수 인증에 대한 보안 요구 사항을 충족하는지 확인합니다.

계정에 대해 BYOEPS 활성화

BYOEPS를 켜는 프로세스는 세 단계로 구성되며 여러 RFCs 사용합니다. BYOEPS를 켜는 데 필요한 세 단계에 대해 알아보려면 다음 정보를 검토하세요. 그런 다음 CSDM과 조정하여 계정에 대해 BYOEPS를 켭니다.

1단계: 사전 조건

  • 기본 Amazon EC2 인스턴스 프로파일은 입니다customer-mc-ec2-instance-profile. 기본 프로파일 외에도 다른 Amazon EC2 인스턴스 프로파일을 사용하는 경우 /ams/end-point-security 리소스에 대한 ssm:GetParameter 작업을 EC2 인스턴스 프로파일로 허용합니다.

    EC2 인스턴스 프로파일을 업데이트할 수 없는 경우 업데이트해야 하는 인스턴스 프로파일을 지정하는 RFC를 제출합니다.

  • 이 변경의 범위를 이해합니다.

    AMS 자동 변경 유형(CT)을 통한 배포를 통해 생성에 사용되는 AMI를 지정할 수 있습니다.

    AMS 관리형 EPS를 사용하는 계정에서 BYOEPS를 사용하려면 AMS와 협력하여 해당 EC2 인스턴스에서 Trend Micro 에이전트를 제거하고 해당 인스턴스에서 AMS 코드(예: 부팅 스크립트)를 업데이트해야 합니다. 이러한 작업을 수행하려면 재부팅이 필요할 수 있으므로 유지 관리 기간의 일부로 이러한 작업을 수행하는 것이 가장 좋습니다. CSDM에 문의하여이 활동을 수행하고 마이그레이션 계획을 생성할 유지 관리 기간을 식별합니다. 마이그레이션 계획의 경우 다음 질문을 고려하세요.

    1. 마이그레이션해야 하는 인스턴스 수는 몇 개입니까? 총 인스턴스 수를 더 작은 증분 배치로 나눕니다.

    2. 인스턴스를 배치로 나누려면 어떻게 해야 합니까? 예를 들어 리소스 그룹으로 나누고 목록을 생성하여 AMS 운영 팀과 공유할 수 있습니다.

    3. 각 배치에는 시간이 얼마나 걸리나요? 총 시간이 얼마나 필요합니까? 동일한 유지 관리 기간에 원하는 EPS 도구를 설치할 수 있습니다. 시간이 얼마나 걸리나요?

  • CSDM은 마이그레이션 계획을 AMS 운영 팀과 공유합니다. 인스턴스 플릿이 50을 초과하는 경우 CSDM과 협력하여 계획된 이벤트 관리(PEM) 프로세스를 사용하여 계획된 이벤트를 생성합니다. 자세한 내용은 AWS Managed Services의 계획된 이벤트 관리 섹션을 참조하세요.

    AMS Operations는 CSDM과 조정하고 계정의 인스턴스 수에 따라 유지 관리 기간에 따라 RFCs를 제출하는 방법을 조언합니다.

  • 2020년 12월 이후에 릴리스된 AMS AMI를 사용하도록 사용자 지정 또는 AMS AMI를 사용하여 EC2 인스턴스 시작 자동화 또는 프로세스를 업데이트합니다. AMIs AMIs

2단계: 계정에서 BYOEPS 활성화

계정에서 BYOEPS를 사용하면 보안 관리에 대한 AMS의 책임이 변경됩니다. BYOEPS를 활성화하기 전에 보안 및 클라우드 플랫폼 팀에 문의하십시오.

계정에 BYOEPS를 요청하려면 다음 세부 정보와 함께 ct-0xdawir96cy7k를 사용하여 "MOO" 업데이트 RFC(관리 | 기타 | 기타 | 업데이트)를 제출합니다.

Please enable BYOEPS for this account/these accounts
Account IDs: IDs for the accounts for BYOEPS.

AMS는 파라미터 스토어 업데이트를 계정에 배포하고 Amazon EC2 IAM 인스턴스 프로파일을 업데이트합니다.

참고

  • 최신 AMS AMIs를 사용하는 새 인스턴스가 시작된 계정은 Trend Micro 에이전트 설치를 건너뛸 수 있습니다. 2020년 12월 이전 AMIs BYOEPS 기능을 지원하지 않습니다. 이전 AMIs 사용하는 자동화를 업데이트하여 BYOEPS 기능 지원과 함께 최신 AMS AMIs 사용합니다.

  • 기존 EC2 인스턴스 처리는 3단계: 인스턴스 마이그레이션을 참조하세요.

3단계: 인스턴스 마이그레이션

사용 사례에 따라 다음 옵션 중 하나를 사용하여 인스턴스를 마이그레이션합니다. 어떤 옵션을 선택해야 할지 잘 모르는 경우 CA 또는 CSDM에 문의하십시오.

AMS 관리형 EPS를 사용하는 EC2 인스턴스가 있는 계정

유지 관리 기간 동안 1단계의 계획에 따라 BYOEPS에 온보딩해야 하는 각 인스턴스에 대해 다음 작업이 수행됩니다.

  • AMS에서 수행: AMS 코드(부트 스크립트, 모듈 등)를 최신 버전으로 업데이트합니다. 이는 이전 AMS 부팅 스크립트에 BYOEPS 기능 지원이 없고 부팅할 때마다 Trend Micro 에이전트를 다시 설치하기 때문에 필요합니다. 또한 Trend Micro Agent를 제거합니다.

  • 사용자가 수행: 선호하는 EPS 도구를 설치하고 구성합니다.

    중요

    Trend Micro Agent는 맬웨어 보호를 제공합니다. 인스턴스를 보호하기 위해 적절한 교체를 설치해야 합니다.

이러한 변경을 수행하려면 변경 유형 ct-2iz9nvw8zlhst인 RFCs를 배치https://docs.aws.amazon.com/managedservices/latest/ctref/management-host-trend-micro-dsm-remove-trend-micro-eps-agent-review-required로 제출합니다.

AMS 관리형 EPS를 사용하는 EC2 인스턴스가 없는 계정

최신 AMS AMIs를 사용하는 새 인스턴스가 시작된 계정은 Trend Micro 에이전트 설치를 건너뛸 수 있습니다. 2020년 12월 이전 AMIs BYOEPS 기능을 지원하지 않습니다. 이전 AMIs 사용하는 자동화를 업데이트하여 BYOEPS 기능 지원과 함께 최신 AMS AMIs 사용합니다.

EC2 인스턴스에 에이전트 추가

AMS 패턴을 사용하여 CrowdStrike 또는 Qualys, 서비스 요청 제출과 같은 도구의 에이전트를 배포할 수 있습니다.