Beispiel für eine Arbeitslast: Containerisierter Webservice - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiel für eine Arbeitslast: Containerisierter Webservice

Dieser Workload ist ein Beispiel für. Thema 2: Verwaltung einer unveränderlichen Infrastruktur durch sichere Pipelines

Der Webservice läuft auf Amazon ECS und verwendet eine Datenbank in Amazon RDS. Das Anwendungsteam definiert diese Ressourcen in einer AWS CloudFormation Vorlage. Container werden mit EC2 Image Builder erstellt und in Amazon ECR gespeichert. Das Anwendungsteam implementiert Änderungen am System über. AWS CodePipeline Diese Pipeline ist auf das Anwendungsteam beschränkt. Wenn das Anwendungsteam eine Pull-Anfrage für das Code-Repository stellt, wird die Zwei-Personen-Regel verwendet.

Für diese Arbeitslast ergreift das Anwendungsteam die folgenden Maßnahmen, um die Essential Eight-Strategien zu berücksichtigen.

Steuerung von Anwendungen

Patchen Sie Anwendungen

  • Das Anwendungsteam ermöglicht das Scannen nach Amazon ECR-Container-Images in Amazon Inspector und konfiguriert Warnmeldungen für veraltete oder anfällige Bibliotheken.

  • Das Anwendungsteam automatisiert seine Antworten auf die Ergebnisse von Amazon Inspector. Neue Erkenntnisse initiieren ihre Bereitstellungspipeline über einen EventBridge Amazon-Trigger, und das CodePipeline ist das Ziel.

  • Das Anwendungsteam ermöglicht AWS Config die Nachverfolgung der AWS Ressourcen für die Erkennung von Ressourcen.

Beschränken Sie die Administratorrechte

  • Das Anwendungsteam schränkt den Zugriff auf Produktionsbereitstellungen bereits durch eine Genehmigungsregel in der Bereitstellungspipeline ein.

  • Das Anwendungsteam stützt sich auf den Identitätsverbund des zentralen Cloud-Teams für die Rotation der Anmeldeinformationen und die zentrale Protokollierung.

  • Das Anwendungsteam erstellt einen CloudTrail Trail und CloudWatch filtert.

  • Das Anwendungsteam richtet Amazon SNS SNS-Benachrichtigungen für CodePipeline Bereitstellungen und CloudFormation Stack-Löschungen ein.

Betriebssysteme patchen

  • Das Anwendungsteam ermöglicht das Scannen nach Amazon ECR-Container-Images in Amazon Inspector und konfiguriert Benachrichtigungen für Betriebssystem-Patch-Updates.

  • Das Anwendungsteam automatisiert seine Reaktion auf die Ergebnisse von Amazon Inspector. Neue Erkenntnisse leiten ihre Bereitstellungspipeline über einen EventBridge Trigger ein — und das CodePipeline ist das Ziel.

  • Das Anwendungsteam abonniert Amazon RDS-Ereignisbenachrichtigungen, damit es über Updates informiert wird. Sie treffen zusammen mit ihrem Geschäftsinhaber eine risikobasierte Entscheidung darüber, ob sie diese Updates manuell anwenden oder Amazon RDS sie automatisch anwenden lassen.

  • Das Anwendungsteam konfiguriert die Amazon RDS-Instance als Multi-Availability Zone-Cluster, um die Auswirkungen von Wartungsereignissen zu reduzieren.

Multifaktor-Authentifizierung

  • Das Anwendungsteam stützt sich auf die im Abschnitt beschriebene zentralisierte Identitätsverbundlösung. Kernarchitektur Diese Lösung erzwingt MFA, protokolliert Authentifizierungen und warnt bei verdächtigen MFA-Ereignissen oder reagiert automatisch darauf.

Regelmäßige Backups

  • Das Anwendungsteam konfiguriert AWS Backup seinen Amazon RDS-Cluster so, dass die Sicherung der Daten automatisiert wird.

  • Das Anwendungsteam speichert CloudFormation Vorlagen in einem Code-Repository.

  • Das Anwendungsteam entwickelt eine automatisierte Pipeline, um eine Kopie seines Workloads in einer anderen Region zu erstellen und automatisierte Tests durchzuführen (AWS Blogbeitrag). Nach der Ausführung der automatisierten Tests zerstört die Pipeline den Stack. Diese Pipeline wird automatisch einmal im Monat ausgeführt und bestätigt die Wirksamkeit der Wiederherstellungsverfahren.