AMS 自备 EPS - AMS 高级用户指南
为你的账户开启 BYOEPS

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AMS 自备 EPS

使用 AMS “自带端点安全” (BYOEPS) 功能,将默认的趋势科技趋势科技服务器深度安全防护系统代理替换为您自己的端点安全解决方案或趋势科技许可证。如果您已经拥有除趋势科技趋势科技趋势科技服务器深度安全防护系统以外的产品的经济实惠的许可证,或者您想使用特定的 EPS 工具,则在您的实例中使用 BYOEPS。

BYOEPS 在账户层面起作用。您在账户中的实例要么使用 BYOEPS,要么使用 AMS 管理的默认 EPS:

  • 多账户 landing zone (MALZ):您可以指定使用 BYOEPS 或托管 EPS 的应用程序账户。

  • 单账户着陆区 (SALZ):您的 AMS 账户使用 BYOEPS 或托管 EPS。

BYOEPS,通过趋势科技趋势科技服务器深度安全防护系统的成本来减少 AWS 账单。您仍需要支付 EPS 费用,因为仍然需要 AMS 管理的 EPS 来保护 AMS 创建和维护的访问管理所需的 EC2 实例(堡垒和管理主机)。要计算总成本影响,您必须考虑新工具的许可证成本以及按所需服务级别管理 EPS 的成本。

BYOEPS 的使用会改变 AMS 在安全管理方面的角色和职责:

  • R 代表负责任的一方,负责完成任务。

  • C 代表咨询;征求意见的当事方,通常是作为主题专家征求意见的当事方;并与之进行双边沟通。

  • 代表知情;一个通报进展情况的当事方,通常只有在任务或可交付成果完成后才会被告知。

安全管理 Customer AWS 托管服务

保持 AMS 共享服务 EC2 实例的托管 EPS 的有效许可证

R

C

为 AMS 共享服务 EC2 实例配置托管 EPS

R

更新 AMS 共享服务 EC2 实例的托管 EPS

R

监控 AMS 共享服务 EC2 实例上的恶意软件

R

维护和更新 AMS 共享服务 EC2 实例的病毒签名

R

修复 AMS 共享服务实例中感染恶意软件的 EC2 实例

C

R

当你使用 BYOEPS 时,你会丢失 AMS 提供的其中一个安全控制措施。您仍然可以通过诸如亚马逊 GuardDuty、Amazon Macie 之类的工具以及诸如审查 IAM 配置之类的流程控制来提供安全管理。使用 BYOEPS 不会影响 AMS 合规性认证和认证。但是,许多安全框架和认证都要求防范恶意软件和恶意代码。为了帮助确保您的账户安全和合规,请评估您计划的控制措施,以确保它们符合工作负载合规性认证的安全要求。

为你的账户开启 BYOEPS

开启 BYOEPS 的过程包含三个阶段,并使用多个阶段。 RFCs查看以下信息,了解开启 BYOEPS 所需的三个阶段。然后,与您的 CSDM 协调,为您的账户启用 BYOEPS。

第 1 阶段:先决条件

  • 默认的 Amazon EC2 实例配置文件是customer-mc-ec2-instance-profile。如果您除了默认配置文件之外还使用其他的 Amazon EC2 实例配置文件,则允许对您的 EC2 实例配置文件执行/ams/end-point-security资源ssm:GetParameter操作。

    如果您无法更新 EC2 实例配置文件,请提交一份指定您需要更新的实例配置文件的 RFC。

  • 了解此次变更的范围。

    通过 AMS 自动更改类型 (CT) 进行部署允许您指定创建时使用的 AMI。

    要对使用 AMS 管理的 EPS 的账户使用 BYOEPS,您必须与 AMS 合作从这些 EC2 实例中卸载趋势科技代理,并更新这些实例上的 AMS 代码(例如启动脚本)。这些操作可能需要重新启动,因此最佳做法是将这些操作作为维护时段的一部分来执行。请联系您的 CSDM,确定执行此活动的维护时段,并制定迁移计划。对于迁移计划,请考虑以下问题:

    1. 您需要迁移多少实例? 将实例总数分成较小的增量批次。

    2. 您将如何分批划分实例? 例如,您可以按资源组划分,然后创建一个列表以与 AMS 运营团队共享。

    3. 每批需要多长时间? 总共需要多少时间? 考虑一下,您可能需要在同一个维护时段内安装首选的 EPS 工具。这需要多长时间?

  • 您的 CSDM 与 AMS 运营团队共享迁移计划。如果您的实例队列大于 50,请与您的 CSDM 合作,使用计划事件管理 (PEM) 流程创建计划事件。有关更多信息,请参阅 AWS Managed Services 中的计划活动管理

    AMS Operations 会与您的 CSDM 进行协调,并根据您账户 RFCs 中的实例数量,建议如何根据您的维护时段进行提交。

  • 使用自定义或 AMS 更新 EC2 实例启动自动化或流程, AMIs 以使用 2020 年 12 月之后 AMIs 发布的 AMS。

第 2 阶段:在您的账户中启用 BYOEPS

当您在账户中使用 BYOEPS 时,AMS 对安全管理的责任会发生变化。启用 BYOEPS 之前,请咨询您的安全和云平台团队。

要为您的账户申请 BYOEPS,请使用 ct-0xdawir96cy7k 提交 “MOO” 更新 RFC(管理 | 其他 | 其他 | 更新),详细信息如下:

Please enable BYOEPS for this account/these accounts
Account IDs: IDs for the accounts for BYOEPS.

AMS 将参数存储更新部署到账户并更新 EC2 Amazon IAM 实例配置文件

注意

  • 启动新实例且使用最新 AMS 的账户 AMIs 可以跳过趋势科技代理的安装。 AMIs 2020 年 12 月之前的版本不支持 BYOEPS 功能。更新使用旧版本的自动化, AMIs 以使用支持 BYOEPS AMIs 功能的最新 AMS。

  • 有关现有 EC2 实例处理的信息,请参阅第 3 阶段:实例迁移

第 3 阶段:实例迁移

根据您的用例,使用以下选项之一来迁移您的实例。如果您不确定要选择哪个选项,请联系您的 CA 或 CSDM。

拥有使用 AMS EC2 管理的 EPS 的实例的账户

在维护时段内,为了与第 1 阶段的计划保持一致,将对需要载入 BYOEPS 的每个实例执行以下操作:

  • 由 AMS 执行:将 AMS 代码(启动脚本、模块等)更新到最新版本。这是必需的,因为旧的 AMS 启动脚本不支持 BYOEPS 功能,并且每次启动时都要重新安装趋势科技代理。另外,请卸载趋势科技代理。

  • 由您执行:安装和配置您的首选 EPS 工具。

    重要

    趋势科技代理提供恶意软件防护。请务必安装适当的替代品以保护您的实例。

要进行这些更改,请分批提交 RFCs ct-2iz9nvw8zlhst,趋势科技 DSM | 移除趋势科技 EPS 代理(需要审阅)。

没有使用 AMS EC2 管理的 EPS 的实例的账户

启动新实例且使用最新 AMS 的账户 AMIs 可以跳过趋势科技代理的安装。 AMIs 2020 年 12 月之前的版本不支持 BYOEPS 功能。更新使用旧版本的自动化, AMIs 以使用支持 BYOEPS AMIs 功能的最新 AMS。

在 EC2 实例上添加您的代理

您可以使用 AMS 模式部署工具代理,例如 CrowdStrike 或 Qualys,提交服务请求以寻求帮助。