本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AMS 自備 EPS
使用 AMS「使用您自己的端點安全」(BYOEPS) 功能,將預設的 Trend Micro Deep Security 代理程式取代為您自己的端點安全解決方案或 Trend Micro 授權。如果您已經擁有 Trend Micro Deep Security 以外的產品具成本效益的授權,或是提供 EPS 的團隊,或是您想要使用特定的 EPS 工具,請在執行個體中使用 BYOEPS。
BYOEPS 在帳戶層級運作。您帳戶中的執行個體使用 BYOEPS 或預設的 AMS 受管 EPS:
多帳戶登陸區域 (MALZ):您可以指定使用 BYOEPS 或受管 EPS 的應用程式帳戶。
單一帳戶登陸區域 (SALZ):您的 AMS 帳戶使用 BYOEPS 或受管 EPS。
BYOEPS,將您的 AWS 帳單減少為 Trend Micro Deep Security 的成本。您繼續產生 EPS 的成本,因為 AMS 受管 EPS 仍然需要保護存取管理 (基礎和管理主機) 所需的 AMS 建立和維護 EC2 執行個體。若要計算總成本影響,您必須考慮新工具的授權成本,以及在您需要的服務層級管理 EPS 的成本。
使用 BYOEPS 會變更 AMS 角色和安全管理的責任:
R 代表負責方,其會執行工作以達成任務。
C 代表已諮詢的對象;尋求意見的對象,通常是主題專家;以及與之進行雙邊溝通的對象。
我代表知情;在進度上收到通知的一方,通常只在完成任務或可交付項目時。
| 安全管理 | 客戶 | AWS Managed Services |
|---|---|---|
為 AMS Shared Services 的 EC2 執行個體維護有效的 Managed EPS 授權 |
R |
C |
為 AMS 共用服務的 EC2 執行個體設定受管 EPS |
I |
R |
更新 AMS Shared Services EC2 執行個體的受管 EPS |
I |
R |
在 AMS Shared Services 的 EC2 執行個體上監控惡意軟體 |
I |
R |
維護和更新 AMS Shared Services EC2 執行個體的病毒簽章 |
I |
R |
針對 AMS Shared Services 的 EC2 執行個體,修復受惡意軟體感染的執行個體 |
C |
R |
當您使用 BYOEPS 時,您會失去 AMS 提供的其中一個安全控制。您仍然可以透過 Amazon GuardDuty、Amazon Macie 和程序控制等工具提供安全管理,例如檢閱 IAM 組態。使用 BYOEPS 不會影響 AMS 合規認證和證明。不過,許多安全架構和認證都有保護惡意軟體和惡意程式碼的要求。為了協助確保您的帳戶安全且合規,請評估您規劃的控制項,以確保其符合您工作負載合規認證的安全要求。
為您的帳戶開啟 BYOEPS
開啟 BYOEPS 的程序包含三個階段,並使用數個 RFCs。檢閱以下資訊,以了解開啟 BYOEPS 所需的三個階段。然後,與您的 CSDM 協調,為您的帳戶開啟 BYOEPS。
階段 1:先決條件
預設 Amazon EC2 執行個體描述檔為
customer-mc-ec2-instance-profile。如果您除了預設設定檔之外,還使用不同的 Amazon EC2 執行個體設定檔,則允許/ams/end-point-security對 EC2 執行個體設定檔的資源執行ssm:GetParameter動作。如果您無法更新 EC2 執行個體描述檔,請提交 RFC,以指定您需要更新的執行個體描述檔。
了解此變更的範圍。
透過 AMS 自動化變更類型 (CT) 部署可讓您指定用於建立的 AMI。
若要搭配使用 AMS 受管 EPS 的帳戶使用 BYOEPS,您必須使用 AMS 從這些 EC2 執行個體解除安裝 Trend Micro 代理程式,並更新這些執行個體上的 AMS 程式碼 (例如開機指令碼)。這些動作可能需要重新開機,因此最佳實務是執行這些動作,做為維護時段的一部分。請聯絡您的 CSDM 以識別執行此活動的維護時段,並建立遷移計劃。針對遷移計劃,請考慮下列問題:
您需要遷移多少個執行個體? 將執行個體總數分割為較小的增量批次。
您將如何分批分割執行個體? 例如,您可以依資源群組分割,並建立清單與 AMS 操作團隊共用。
每個批次需要多少時間? 總共需要多少時間? 請考慮您可能想要在相同的維護時段安裝偏好的 EPS 工具。這需要多少時間?
您的 CSDM 會與 AMS 操作團隊共用遷移計劃。如果您的執行個體機群超過 50,則請使用您的 CSDM,使用規劃的事件管理 (PEM) 程序建立規劃的事件。如需詳細資訊,請參閱AWS Managed Services 中的計劃事件管理
AMS Operations 會與您的 CSDM 協調,並根據您帳戶中的執行個體數量,建議如何根據您的維護時段提交 RFCs。
使用自訂或 AMS AMIs 更新 EC2 執行個體啟動自動化或程序,以使用 2020 年 12 月之後發行的 AMS AMIs。
階段 2:在您的帳戶中啟用 BYOEPS
當您在帳戶中使用 BYOEPS 時,AMS 對安全管理的責任會變更。啟用 BYOEPS 之前,請先諮詢您的安全和雲端平台團隊。
若要為您的帳戶請求 BYOEPS,請使用 ct-0xdawir96cy7k 提交「MOO」更新 RFC (管理 | 其他 | 更新),並附上下列詳細資訊:
Please enable BYOEPS for this account/these accounts Account IDs:IDs for the accounts for BYOEPS.
AMS 會將參數存放區更新部署到帳戶,並更新 Amazon EC2 IAM 執行個體描述檔。
注意
具有使用最新 AMS AMIs 之新執行個體啟動的帳戶可以略過 Trend Micro 代理程式安裝。2020 年 12 月之前的 AMIs 不支援 BYOEPS 功能。更新使用舊 AMIs的自動化,以搭配 BYOEPS 功能支援使用最新的 AMS AMIs。
如需現有的 EC2 執行個體處理方式,請參閱階段 3:執行個體遷移
階段 3:執行個體遷移
根據您的使用案例,使用下列其中一個選項來遷移執行個體。如果您不確定要選擇哪個選項,請聯絡您的 CA 或 CSDM。
具有使用 AMS 受管 EPS 之 EC2 執行個體的帳戶
在維護時段期間,為了符合第 1 階段的規劃,每個需要加入 BYOEPS 的執行個體都會執行下列動作:
由 AMS 執行:將 AMS 程式碼 (開機指令碼、模組等) 更新至最新版本。這是必要的,因為舊的 AMS 開機指令碼沒有 BYOEPS 功能支援,並在每次開機時重新安裝 Trend Micro 代理程式。此外,請解除安裝 Trend Micro 代理程式。
由您執行:安裝和設定您偏好的 EPS 工具。
重要
Trend Micro Agent 提供惡意軟體防護。請務必安裝適當的替代 來保護您的執行個體。
若要進行這些變更,請分批提交變更類型為 ct-2iz9nvw8zlhst 的 RFCs, Trend Micro DSM | Remove Trend Micro EPS Agent (Review Required)。
沒有使用 AMS 受管 EPS 之 EC2 執行個體的帳戶
具有使用最新 AMS AMIs 之新執行個體啟動的帳戶可以略過 Trend Micro 代理程式安裝。2020 年 12 月之前的 AMIs 不支援 BYOEPS 功能。更新使用舊 AMIs的自動化,以搭配 BYOEPS 功能支援使用最新的 AMS AMIs。
在 EC2 執行個體上新增您的代理程式
您可以使用 AMS 模式來部署 CrowdStrike 或 Qualys 等工具的代理程式,提交服務請求以取得協助。
