Ejemplo de carga de trabajo: software COTS en Amazon EC2 - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplo de carga de trabajo: software COTS en Amazon EC2

Esta carga de trabajo es un ejemplo deTema 3: Gestione la infraestructura mutable con automatización.

La carga de trabajo que EC2 se ejecuta en Amazon se creó manualmente mediante AWS Management Console. Los desarrolladores actualizan el sistema manualmente iniciando sesión en las EC2 instancias y actualizando el software.

Para esta carga de trabajo, los equipos de nube y aplicaciones toman las siguientes medidas para abordar las ocho estrategias esenciales.

Control de aplicaciones

  • El equipo de la nube configura su canalización de AMI centralizada para instalar y configurar el AWS Systems Manager agente (agente SSM), CloudWatch el agente y. SELinux Comparten la AMI resultante en todas las cuentas de la organización.

  • El equipo de la nube usa AWS Config reglas para confirmar que Systems Manager administra todas las EC2 instancias en ejecución y que tienen SSM Agent, CloudWatch agente e SELinux instalado.

  • El equipo de la nube envía CloudWatch los resultados de Amazon Logs a una solución centralizada de gestión de eventos e información de seguridad (SIEM) que se ejecuta en Amazon OpenSearch Service.

  • El equipo de aplicaciones implementa mecanismos para inspeccionar y gestionar los hallazgos de AWS Config Amazon Inspector. GuardDuty El equipo de la nube implementa sus propios mecanismos para atrapar cualquier hallazgo que el equipo de aplicaciones no detecte. Para obtener más información sobre cómo crear un programa de gestión de vulnerabilidades para abordar los hallazgos, consulte Cómo crear un programa de gestión de vulnerabilidades escalable sobre la AWS base.

Aplicar parches a las aplicaciones

  • El equipo de aplicaciones parchea las instancias en función de las conclusiones de Amazon Inspector.

  • El equipo de la nube corrige la AMI base y el equipo de aplicaciones recibe una alerta cuando esa AMI cambia.

  • El equipo de aplicaciones restringe el acceso directo a sus EC2 instancias mediante la configuración de las reglas de los grupos de seguridad para permitir el tráfico únicamente en los puertos que requiere la carga de trabajo.

  • El equipo de aplicaciones usa Patch Manager para aplicar parches a las instancias en lugar de iniciar sesión en instancias individuales.

  • Para ejecutar comandos arbitrarios en grupos de EC2 instancias, el equipo de aplicaciones usa Run Command.

  • En las raras ocasiones en que el equipo de aplicaciones necesita acceso directo a una instancia, utiliza el administrador de sesiones. Este enfoque de acceso utiliza identidades federadas y registra cualquier actividad de la sesión con fines de auditoría.

Restrinja los privilegios administrativos

  • El equipo de aplicaciones configura las reglas de los grupos de seguridad para permitir el tráfico solo en los puertos que requiere la carga de trabajo. Esto restringe el acceso directo a las EC2 instancias de Amazon y requiere que los usuarios accedan a EC2 las instancias a través del Administrador de sesiones.

  • El equipo de aplicaciones se basa en la federación de identidades del equipo de nube centralizada para la rotación de credenciales y el registro centralizado.

  • El equipo de aplicaciones crea un CloudTrail registro y CloudWatch filtra.

  • El equipo de aplicaciones configura las alertas de Amazon SNS para las CodePipeline implementaciones y CloudFormation las eliminaciones de pilas.

Aplica parches a los sistemas operativos

  • El equipo de la nube corrige la AMI base y el equipo de aplicaciones recibe una alerta cuando esa AMI cambia. El equipo de aplicaciones implementa nuevas instancias mediante esta AMI y, a continuación, usa State Manager, una capacidad de Systems Manager, para instalar el software necesario.

  • El equipo de aplicaciones utiliza Patch Manager para aplicar parches a las instancias, es decir, iniciar sesión en instancias individuales.

  • Para ejecutar comandos arbitrarios en grupos de EC2 instancias, el equipo de aplicaciones usa Run Command.

  • En las raras ocasiones en que el equipo de aplicaciones necesita acceso directo, utiliza el Administrador de sesiones.

Autenticación multifactor

  • El equipo de aplicaciones confía en la solución de federación de identidades centralizada que se describe en la Arquitectura principal sección. Esta solución aplica la MFA, registra las autenticaciones y las alertas o responde automáticamente a los eventos de MFA sospechosos.

Copias de seguridad periódicas

  • El equipo de aplicaciones crea un AWS Backup plan para sus EC2 instancias y volúmenes de Amazon Elastic Block Store (Amazon EBS).

  • El equipo de aplicaciones implementa un mecanismo para realizar una restauración de copias de seguridad de forma manual todos los meses.