Ejemplo de carga de trabajo: servicio web contenerizado - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplo de carga de trabajo: servicio web contenerizado

Esta carga de trabajo es un ejemplo de. Tema 2: Gestionar la infraestructura inmutable mediante canalizaciones seguras

El servicio web se ejecuta en Amazon ECS y utiliza una base de datos en Amazon RDS. El equipo de aplicaciones define estos recursos en una AWS CloudFormation plantilla. Los contenedores se crean con EC2 Image Builder y se almacenan en Amazon ECR. El equipo de aplicaciones implementa los cambios en el sistema mediante. AWS CodePipeline Esta canalización está restringida al equipo de aplicaciones. Cuando el equipo de aplicaciones realiza una solicitud de incorporación de datos al repositorio de código, se utiliza la regla de dos personas.

Para esta carga de trabajo, el equipo de aplicaciones toma las siguientes medidas para abordar las ocho estrategias esenciales.

Control de aplicaciones

Aplica parches para aplicaciones

  • El equipo de aplicaciones permite escanear imágenes de contenedores de Amazon ECR en Amazon Inspector y configura alertas para bibliotecas obsoletas o vulnerables.

  • El equipo de aplicaciones automatiza sus respuestas a las conclusiones de Amazon Inspector. Los nuevos hallazgos inician su proceso de implementación a través de un EventBridge activador de Amazon, y CodePipeline es el objetivo.

  • El equipo de aplicaciones permite AWS Config realizar un seguimiento de AWS los recursos para descubrir activos.

Restrinja los privilegios administrativos

  • El equipo de aplicaciones ya está restringiendo el acceso a las implementaciones de producción mediante una regla de aprobación en su proceso de implementación.

  • El equipo de aplicaciones se basa en la federación de identidades del equipo de nube centralizada para la rotación de credenciales y el registro centralizado.

  • El equipo de aplicaciones crea un CloudTrail registro y CloudWatch filtra.

  • El equipo de aplicaciones configura las alertas de Amazon SNS para las CodePipeline implementaciones y CloudFormation las eliminaciones de pilas.

Aplica parches a los sistemas operativos

  • El equipo de aplicaciones permite escanear imágenes de contenedores de Amazon ECR en Amazon Inspector y configura las alertas para las actualizaciones de los parches del sistema operativo.

  • El equipo de aplicaciones automatiza su respuesta a las conclusiones de Amazon Inspector. Los nuevos hallazgos inician su proceso de implementación mediante un EventBridge desencadenante, y ese CodePipeline es el objetivo.

  • El equipo de aplicaciones se suscribe a las notificaciones de eventos de Amazon RDS para recibir información sobre las actualizaciones. Toman una decisión basada en el riesgo con el propietario de la empresa sobre si aplicar estas actualizaciones manualmente o dejar que Amazon RDS las aplique automáticamente.

  • El equipo de aplicaciones configura la instancia de Amazon RDS para que sea un clúster de zonas de disponibilidad múltiple a fin de reducir el impacto de los eventos de mantenimiento.

Autenticación multifactor

  • El equipo de aplicaciones confía en la solución de federación de identidades centralizada que se describe en la sección. Arquitectura principal Esta solución aplica la MFA, registra las autenticaciones y las alertas o responde automáticamente a los eventos de MFA sospechosos.

Copias de seguridad periódicas

  • El equipo de aplicaciones configura su clúster de Amazon RDS AWS Backup para automatizar la copia de seguridad de los datos.

  • El equipo de aplicaciones almacena las CloudFormation plantillas en un repositorio de código.

  • El equipo de aplicaciones desarrolla un proceso automatizado para crear una copia de su carga de trabajo en otra región y ejecutar pruebas automatizadas (entrada del AWS blog). Una vez ejecutadas las pruebas automatizadas, la canalización destruye la pila. Esta canalización se ejecuta automáticamente una vez al mes y valida la eficacia de los procedimientos de recuperación.