As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AMS: traga seu próprio EPS
Use o recurso “traga sua própria segurança de endpoint” (BYOEPS) do AMS para substituir o agente padrão do Trend Micro Deep Security por sua própria solução de segurança de endpoint ou licença da Trend Micro. Se você já tem licenças econômicas para produtos que não sejam o Trend Micro Deep Security, ou uma equipe que fornece seu EPS, ou se quiser usar uma ferramenta EPS específica, use o BYOEPS em suas instâncias.
O BYOEPS funciona no nível da conta. Suas instâncias na conta usam o BYOEPS ou o EPS padrão gerenciado pelo AMS:
multi-account landing zone (MALZ): você designa contas de aplicativos que usam BYOEPS ou EPS gerenciado.
single-account landing zone (SALZ): suas contas AMS usam BYOEPS ou EPS gerenciado.
BYOEPS, reduz sua AWS fatura pelo custo do Trend Micro Deep Security. Você continua incorrendo em custos com o EPS porque o EPS gerenciado pelo AMS ainda é necessário para proteger as EC2 instâncias criadas e mantidas pelo AMS que são necessárias para o gerenciamento de acesso (bastiões e hosts de gerenciamento). Para calcular o impacto total do custo, você deve contabilizar o custo das licenças da sua nova ferramenta e o custo do gerenciamento do EPS nos níveis de serviço necessários.
O uso do BYOEPS altera as funções e responsabilidades do AMS pelo gerenciamento de segurança:
R significa parte responsável que faz o trabalho para realizar a tarefa.
C significa consultado; uma parte cujas opiniões são solicitadas, normalmente como especialistas no assunto; e com quem há comunicação bilateral.
I significa informado; uma parte que é informada sobre o progresso, geralmente apenas após a conclusão da tarefa ou do resultado final.
| Gerenciamento de segurança | Cliente | AWS Managed Services |
|---|---|---|
Manutenção de licenças válidas de EPS gerenciado para EC2 instâncias do AMS Shared Services |
R |
C |
Configurar o EPS gerenciado para EC2 instâncias do AMS Shared Services |
eu |
R |
Atualize o EPS gerenciado para EC2 instâncias do AMS Shared Services |
eu |
R |
Monitoramento de malware em EC2 instâncias do AMS Shared Services |
eu |
R |
Manutenção e atualização de assinaturas de vírus para EC2 instâncias do AMS Shared Services |
eu |
R |
Correção de instâncias infectadas com malware para EC2 instâncias do AMS Shared Services |
C |
R |
Ao usar o BYOEPS, você perde um dos controles de segurança oferecidos pelo AMS. Você ainda tem o gerenciamento de segurança fornecido por meio de ferramentas como Amazon GuardDuty, Amazon Macie e controles de processo, como análises das configurações do IAM. O uso do BYOEPS não afeta as certificações e atestados de conformidade da AMS. No entanto, muitas estruturas e certificações de segurança têm requisitos de proteção contra malware e código malicioso. Para ajudar a manter sua conta segura e em conformidade, avalie seus controles planejados para garantir que eles atendam aos requisitos de segurança das certificações de conformidade da sua carga de trabalho.
Ative o BYOEPS para sua conta
O processo para ativar o BYOEPS contém três estágios e usa vários. RFCs Analise as informações a seguir para saber mais sobre os três estágios necessários para ativar o BYOEPS. Em seguida, coordene com seu CSDM para ativar o BYOEPS em sua conta.
Tópicos
Etapa 1: Pré-requisitos
O perfil padrão da EC2 instância da Amazon é
customer-mc-ec2-instance-profile. Se você usar um perfil de EC2 instância da Amazon diferente além do perfil padrão, permita assm:GetParameteração do/ams/end-point-securityrecurso em seu perfil de EC2 instância.Se você não conseguir atualizar perfis de EC2 instância, envie uma RFC que especifique os perfis de instância que você precisa atualizar.
Entenda o escopo dessa mudança.
As implantações por meio de um tipo de alteração automatizada (CT) do AMS permitem que você especifique a AMI usada na criação.
Para usar o BYOEPS com contas que usam EPS gerenciado pelo AMS, você deve trabalhar com o AMS para desinstalar os agentes da Trend Micro dessas EC2 instâncias e atualizar o código AMS (por exemplo, scripts de inicialização) nessas instâncias. Essas ações podem exigir uma reinicialização, portanto, é uma prática recomendada executá-las como parte de uma janela de manutenção. Entre em contato com seu CSDM para identificar uma janela de manutenção para realizar essa atividade e criar um plano de migração. Para o plano de migração, considere as seguintes questões:
Quantas instâncias você precisa migrar? Divida o número total de instâncias em lotes menores e incrementais.
Como você dividirá as instâncias em lotes? Por exemplo, você pode dividir por grupos de recursos e criar uma lista para compartilhar com a equipe de operações do AMS.
Quanto tempo cada lote levará? Quanto tempo total é necessário? Considere que talvez você queira instalar suas ferramentas EPS preferidas na mesma janela de manutenção. Quanto tempo isso vai levar?
Seu CSDM compartilha o plano de migração com a equipe de operações do AMS. Se sua frota de instâncias estiver acima de 50, trabalhe com seu CSDM para criar um evento planejado usando o processo de gerenciamento de eventos planejados (PEM). Para obter mais informações, consulte Gerenciamento de eventos planejados no AWS Managed Services.
As operações do AMS coordenam com seu CSDM e aconselham como enviar RFCs de acordo com suas janelas de manutenção, com base no número de instâncias em sua conta.
Atualize as automações ou processos de execução de EC2 instâncias usando o personalizado ou o AMS AMIs para usar o AMS AMIs lançado após dezembro de 2020.
Etapa 2: habilitar o BYOEPS em sua conta
Quando você usa o BYOEPS em sua conta, as responsabilidades que o AMS tem pelo gerenciamento de segurança mudam. Consulte sua equipe de segurança e plataforma de nuvem antes de ativar o BYOEPS.
Para solicitar BYOEPS para sua conta, envie um RFC de atualização “MOO” (Gerenciamento | Outro | Outro | Atualização) com ct-0xdawir96cy7k, com os seguintes detalhes:
Please enable BYOEPS for this account/these accounts Account IDs:IDs for the accounts for BYOEPS.
O AMS implanta atualizações do armazenamento de parâmetros na conta e atualiza o perfil da instância Amazon EC2 IAM.
nota
Contas com novas instâncias lançadas que usam o AMS mais recente AMIs podem ignorar a instalação do agente da Trend Micro. AMIs anteriores a dezembro de 2020 não oferecem suporte ao recurso BYOEPS. Atualize as automações que usam o antigo AMIs para usar o AMS mais recente AMIs com suporte ao recurso BYOEPS.
Para tratamento de EC2 instâncias existentes, consulte Etapa 3: migrações de instâncias
Etapa 3: migração de instâncias
Use uma das opções a seguir para migrar suas instâncias, dependendo do seu caso de uso. Se você não tiver certeza de qual opção escolher, entre em contato com sua CA ou CSDM.
Contas com EC2 instâncias que usam EPS gerenciado pelo AMS
Durante a janela de manutenção, de acordo com o planejamento da Etapa 1, as seguintes ações são executadas em cada instância que precisa ser integrada ao BYOEPS:
Executado pelo AMS: atualize o código AMS (scripts de inicialização, módulos etc.) para as versões mais recentes. Isso é necessário porque os scripts de inicialização antigos do AMS não têm suporte ao recurso BYOEPS e reinstalam o agente da Trend Micro em cada inicialização. Além disso, desinstale o Trend Micro Agent.
Executado por você: Instale e configure sua ferramenta EPS preferida.
Importante
O Trend Micro Agent fornece proteção contra malware. Certifique-se de instalar um substituto adequado para proteger suas instâncias.
Para fazer essas alterações, envie RFCs com o tipo de alteração ct-2iz9nvw8zlhst, Trend Micro DSM | Remove Trend Micro EPS Agent (revisão obrigatória), em lotes.
Contas sem EC2 instâncias que usam EPS gerenciado pelo AMS
Contas com novas instâncias lançadas que usam o AMS mais recente AMIs podem ignorar a instalação do agente da Trend Micro. AMIs anteriores a dezembro de 2020 não oferecem suporte ao recurso BYOEPS. Atualize as automações que usam o antigo AMIs para usar o AMS mais recente AMIs com suporte ao recurso BYOEPS.
Adicione seu agente nas EC2 instâncias
Você pode usar o AMS Patterns para implantar agentes de ferramentas como, CrowdStrike ou Qualys, enviar uma solicitação de serviço para obter assistência.
