Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Thema 3: Verwaltung veränderbarer Infrastrukturen mit Automatisierung
Die acht wichtigsten Strategien werden behandelt
Anwendungssteuerung, Patchanwendungen, Patch-Betriebssysteme
Ähnlich wie bei einer unveränderlichen Infrastruktur verwalten Sie eine veränderliche Infrastruktur als IaC und ändern oder aktualisieren diese Infrastruktur mithilfe automatisierter Prozesse. Viele der Implementierungsschritte für eine unveränderliche Infrastruktur gelten auch für eine veränderliche Infrastruktur. Bei veränderlicher Infrastruktur müssen Sie jedoch auch manuelle Kontrollen implementieren, um sicherzustellen, dass die modifizierten Workloads weiterhin den bewährten Methoden entsprechen.
Bei veränderlicher Infrastruktur können Sie das Patch-Management mithilfe von Patch Manager automatisieren, einer Funktion von. AWS Systems Manager Aktivieren Sie Patch Manager in allen Konten in Ihrer AWS Organisation.
Verhindern Sie direkten SSH- und RDP-Zugriff und verlangen Sie, dass Benutzer Session Manager oder Run Command verwenden, die ebenfalls Funktionen von Systems Manager sind. Im Gegensatz zu SSH und RDP können mit diesen Funktionen Systemzugriffe und Änderungen protokolliert werden.
Um die Einhaltung von Patches zu überwachen und darüber Bericht zu erstatten, müssen Sie fortlaufend die Patch-Konformität überprüfen. Mithilfe von AWS Config Regeln können Sie sicherstellen, dass alle EC2 Amazon-Instances von Systems Manager verwaltet werden, über die erforderlichen Berechtigungen und installierten Anwendungen verfügen und die Patch-Konformität einhalten.
Verwandte Best Practices im AWS Well-Architected Framework
Implementierung dieses Themas
Automatisieren Sie das Patchen
-
Implementieren Sie die Schritte unter Patch Manager aktivieren in allen Konten Ihrer Organisation AWS
-
Fügen Sie für alle EC2 Instances das
CloudWatchAgentServerPolicyundAmazonSSMManagedInstanceCorein das Instanzprofil oder die IAM-Rolle ein, die Systems Manager für den Zugriff auf Ihre Instance verwendet
Verwenden Sie Automatisierung statt manueller Prozesse
-
Implementieren Sie die Anweisungen unter AMI implementieren und Pipelines zum Erstellen von Containern in Thema 2: Verwaltung einer unveränderlichen Infrastruktur durch sichere Pipelines
-
Verwenden Sie Session Manager oder Run Command anstelle des direkten SSH- oder RDP-Zugriffs
Verwenden Sie die Automatisierung, um Folgendes auf Instanzen zu installieren EC2
-
AWS Systems Manager Agent (SSM-Agent), der für die Erkennung und Verwaltung von Instanzen verwendet wird
-
Sicherheitstools für die Anwendungskontrolle, wie Security Enhanced Linux (SELinux) (GitHub)
, File Access Policy Daemon (fapolicyd) () oder OpenSCAP GitHub -
Amazon CloudWatch Agent, der für die Protokollierung verwendet wird
Führen Sie vor jeder Veröffentlichung einen Peer-Review-Prozess durch, um sicherzustellen, dass die Änderungen den bewährten Verfahren entsprechen
-
IAM-Richtlinien, die zu freizügig sind, z. B. solche, die Platzhalter verwenden
-
Zu freizügige Sicherheitsgruppenregeln, z. B. solche, die Platzhalter verwenden oder SSH-Zugriff zulassen
-
Zugriffsprotokolle, die nicht aktiviert sind
-
Verschlüsselung, die nicht aktiviert ist
-
Passwortliterale
-
Sichere IAM-Richtlinien
Verwenden Sie Kontrollen auf Identitätsebene
-
Um zu verlangen, dass Benutzer Ressourcen mithilfe automatisierter Prozesse ändern, und um eine manuelle Konfiguration zu verhindern, sollten Sie nur Leseberechtigungen für Rollen zulassen, die Benutzer annehmen können
-
Gewähren Sie Berechtigungen zum Ändern von Ressourcen nur für Servicerollen, z. B. für die von Systems Manager verwendete Rolle
Implementieren Sie das Scannen nach Schwachstellen
-
Implementieren Sie die Hinweise unter Implementieren Sie das Scannen nach Sicherheitslücken in Thema 2: Verwaltung einer unveränderlichen Infrastruktur durch sichere Pipelines
-
Scannen Sie Ihre EC2 Instances mithilfe von Amazon Inspector
Dieses Thema wird überwacht
Überwachen Sie die Patch-Konformität kontinuierlich
-
Mithilfe von Automatisierung und Dashboards können Sie Berichte zur Patch-Compliance erstellen
-
Implementieren Sie einen Mechanismus zur Überprüfung von Dashboards auf Patch-Konformität
Überwachen Sie IAM und die Protokolle kontinuierlich
-
Überprüfen Sie Ihre IAM-Richtlinien regelmäßig, um sicherzustellen, dass:
-
Nur Bereitstellungspipelines haben direkten Zugriff auf Ressourcen
-
Nur zugelassene Dienste haben direkten Zugriff auf Daten
-
Benutzer haben keinen direkten Zugriff auf Ressourcen oder Daten
-
-
Überwachen Sie AWS CloudTrail Protokolle, um sicherzustellen, dass Benutzer Ressourcen über Pipelines ändern und nicht direkt Ressourcen ändern oder auf Daten zugreifen
-
Überprüfen Sie die Ergebnisse AWS Identity and Access Management Access Analyzer regelmäßig
-
Richten Sie eine Benachrichtigung ein, um Sie zu benachrichtigen, wenn die Root-Benutzeranmeldeinformationen für eine verwendet AWS-Konto werden
Implementieren Sie die folgenden AWS Config Regeln
-
EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK -
EC2_INSTANCE_MANAGED_BY_SSM -
EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent -
EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps -
IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM -
EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK -
REQUIRED_TAGS -
RESTRICTED_INCOMING_TRAFFIC - 22, 3389
