Beispiel für eine Arbeitslast: COTS-Software bei Amazon EC2 - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiel für eine Arbeitslast: COTS-Software bei Amazon EC2

Dieser Workload ist ein Beispiel fürThema 3: Verwaltung veränderbarer Infrastrukturen mit Automatisierung.

Der auf Amazon ausgeführte Workload EC2 wurde manuell mithilfe von erstellt AWS Management Console. Entwickler aktualisieren das System manuell, indem sie sich bei den EC2 Instanzen anmelden und die Software aktualisieren.

Für diese Arbeitslast ergreifen die Cloud- und Anwendungsteams die folgenden Maßnahmen, um die Essential Eight-Strategien umzusetzen.

Steuerung von Anwendungen

  • Das Cloud-Team konfiguriert seine zentralisierte AMI-Pipeline für die Installation und Konfiguration von AWS Systems Manager Agent (SSM Agent), CloudWatch Agent und. SELinux Sie teilen das resultierende AMI für alle Konten in der Organisation.

  • Das Cloud-Team verwendet AWS Config Regeln, um zu bestätigen, dass alle laufenden EC2 Instanzen von Systems Manager verwaltet werden und SSM-Agent, CloudWatch -Agent und SELinux installiert sind.

  • Das Cloud-Team sendet die Daten von Amazon CloudWatch Logs an eine zentralisierte SIEM-Lösung (Security Information and Event Management), die auf Amazon OpenSearch Service läuft.

  • Das Anwendungsteam implementiert Mechanismen, um die Ergebnisse von AWS Config GuardDuty, und Amazon Inspector zu überprüfen und zu verwalten. Das Cloud-Team implementiert seine eigenen Mechanismen, um alle Ergebnisse zu erkennen, die das Anwendungsteam übersehen hat. Weitere Hinweise zur Erstellung eines Schwachstellen-Management-Programms zur Behebung von Ergebnissen finden Sie unter Aufbau eines skalierbaren Schwachstellen-Management-Programms auf AWS.

Patchen Sie Anwendungen

  • Das Anwendungsteam patcht Instances auf der Grundlage der Ergebnisse von Amazon Inspector.

  • Das Cloud-Team patcht das Basis-AMI, und das Anwendungsteam erhält eine Warnung, wenn sich dieses AMI ändert.

  • Das Anwendungsteam schränkt den direkten Zugriff auf seine EC2 Instances ein, indem es Sicherheitsgruppenregeln so konfiguriert, dass Datenverkehr nur an den Ports zugelassen wird, die für die Arbeitslast erforderlich sind.

  • Das Anwendungsteam verwendet Patch Manager, um Instanzen zu patchen, anstatt sich bei einzelnen Instanzen anzumelden.

  • Um beliebige Befehle auf Gruppen von EC2 Instanzen auszuführen, verwendet das Anwendungsteam Run Command.

  • In den seltenen Fällen, in denen das Anwendungsteam direkten Zugriff auf eine Instanz benötigt, verwendet es Session Manager. Dieser Zugriffsansatz verwendet föderierte Identitäten und protokolliert alle Sitzungsaktivitäten zu Prüfungszwecken.

Beschränken Sie Administratorrechte

  • Das Anwendungsteam konfiguriert Sicherheitsgruppenregeln so, dass Datenverkehr nur an den Ports zugelassen wird, die für die Arbeitslast erforderlich sind. Dies schränkt den direkten Zugriff auf EC2 Amazon-Instances ein und erfordert, dass Benutzer über Session Manager auf EC2 Instances zugreifen.

  • Das Anwendungsteam stützt sich bei der Rotation der Anmeldeinformationen und der zentralen Protokollierung auf den Identitätsverbund des zentralen Cloud-Teams.

  • Das Anwendungsteam erstellt einen CloudTrail Trail und CloudWatch filtert.

  • Das Anwendungsteam richtet Amazon SNS SNS-Benachrichtigungen für CodePipeline Bereitstellungen und CloudFormation Stack-Löschungen ein.

Betriebssysteme patchen

  • Das Cloud-Team patcht das Basis-AMI, und das Anwendungsteam erhält eine Warnung, wenn sich dieses AMI ändert. Das Anwendungsteam stellt mithilfe dieses AMI neue Instances bereit und installiert anschließend mithilfe von State Manager, einer Funktion von Systems Manager, die erforderliche Software.

  • Das Anwendungsteam verwendet Patch Manager, um Instanzen zu patchen, d. h. um sich bei einzelnen Instanzen anzumelden.

  • Um beliebige Befehle auf Gruppen von EC2 Instanzen auszuführen, verwendet das Anwendungsteam Run Command.

  • In den seltenen Fällen, in denen das Anwendungsteam direkten Zugriff benötigt, verwendet es Session Manager.

Multifaktor-Authentifizierung

  • Das Anwendungsteam stützt sich auf die zentralisierte Identitätsverbundlösung, die im Kernarchitektur Abschnitt beschrieben wird. Diese Lösung erzwingt MFA, protokolliert Authentifizierungen und warnt bei verdächtigen MFA-Ereignissen oder reagiert automatisch darauf.

Regelmäßige Backups

  • Das Anwendungsteam erstellt einen AWS Backup Plan für seine EC2 Instances und Amazon Elastic Block Store (Amazon EBS) -Volumes.

  • Das Anwendungsteam implementiert einen Mechanismus, um jeden Monat manuell eine Backup-Wiederherstellung durchzuführen.