Tema 3: Gestione la infraestructura mutable con automatización

Se describen ocho estrategias esenciales

Control de aplicaciones, parches de aplicaciones, parches de sistemas operativos

Al igual que la infraestructura inmutable, usted administra la infraestructura mutable como iAC y modifica o actualiza esta infraestructura mediante procesos automatizados. Muchos de los pasos de implementación de la infraestructura inmutable también se aplican a la infraestructura mutable. Sin embargo, en el caso de una infraestructura mutable, también debe implementar controles manuales para asegurarse de que las cargas de trabajo modificadas sigan siguiendo las mejores prácticas.

En el caso de una infraestructura mutable, puede automatizar la administración de parches mediante el Administrador de parches, una función de. AWS Systems Manager Habilite Patch Manager en todas las cuentas de su AWS organización.

Impida el acceso directo a SSH y RDP y exija a los usuarios que utilicen Session Manager o Run Command, que también son funciones de Systems Manager. A diferencia de SSH y RDP, estas capacidades pueden registrar los cambios y el acceso al sistema.

Para supervisar el cumplimiento e informar al respecto, debe realizar revisiones continuas del cumplimiento de los parches. Puedes usar AWS Config reglas para asegurarte de que todas las EC2 instancias de Amazon estén gestionadas por Systems Manager, tengan los permisos necesarios y las aplicaciones instaladas, y cumplan con los parches.

Mejores prácticas relacionadas en el AWS Well-Architected Framework

Implementación de este tema

Automatice la aplicación de parches

Implemente los pasos de Enable Patch Manager en todas las cuentas de su organización AWS
Para todas las EC2 instancias, incluya el CloudWatchAgentServerPolicy y AmazonSSMManagedInstanceCore en el perfil de la instancia o la función de IAM que System Manager utiliza para acceder a la instancia

Utilice la automatización en lugar de los procesos manuales

Implemente las directrices de Implemente la AMI y las canalizaciones de creación de contenedores en Tema 2: Gestionar la infraestructura inmutable mediante canalizaciones seguras
Utilice el administrador de sesiones o Run Command en lugar del acceso directo por SSH o RDP

Usa la automatización para instalar lo siguiente en las instancias EC2

AWS Systems Manager Agente (SSM Agent), que se utiliza para la detección y la administración de instancias
Herramientas de seguridad para el control de aplicaciones, como Security Enhanced Linux (SELinux) (GitHub), File Access Policy Daemon (fapolicyd) (GitHub) u OpenSCAP
Amazon CloudWatch Agent, que se utiliza para el registro

Utilice la revisión por pares antes de cualquier lanzamiento para asegurarse de que los cambios cumplen con las mejores prácticas

Políticas de IAM demasiado permisivas, como las que utilizan caracteres comodín
Reglas de grupos de seguridad que son demasiado permisivas, como las que utilizan caracteres comodín o permiten el acceso por SSH
Acceda a los registros que no están habilitados
Cifrado que no está activado
Contraseñas literales
Políticas de IAM seguras

Utilice controles a nivel de identidad

Para exigir que los usuarios modifiquen los recursos mediante procesos automatizados y evitar la configuración manual, permita permisos de solo lectura para las funciones que puedan asumir los usuarios
Otorgue permisos para modificar los recursos únicamente a las funciones de servicio, como la función que utiliza Systems Manager

Implemente el análisis de vulnerabilidades

Implemente la guía de Implemente el escaneo de vulnerabilidades en Tema 2: Gestionar la infraestructura inmutable mediante canalizaciones seguras
Escanea tus EC2 instancias con Amazon Inspector

¿Monitoreando este tema

Supervise el cumplimiento de los parches de forma continua

Informe sobre el cumplimiento de los parches mediante la automatización y los paneles
Implemente un mecanismo para revisar los paneles de control para comprobar el cumplimiento de los parches

Supervise la IAM y los registros de forma continua

Revise periódicamente sus políticas de IAM para asegurarse de que:
- Solo las canalizaciones de despliegue tienen acceso directo a los recursos
- Solo los servicios aprobados tienen acceso directo a los datos
- Los usuarios no tienen acceso directo a los recursos o los datos
Supervise AWS CloudTrail los registros para asegurarse de que los usuarios modifican los recursos a través de canalizaciones y no los modifican directamente ni acceden a los datos
Revise AWS Identity and Access Management Access Analyzer periódicamente los hallazgos
Configure una alerta para que le notifique si se Cuenta de AWS utilizan las credenciales del usuario raíz de un

Implemente las siguientes AWS Config reglas

EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK
EC2_INSTANCE_MANAGED_BY_SSM
EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent
EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps
IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM
EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK
REQUIRED_TAGS
RESTRICTED_INCOMING_TRAFFIC - 22, 3389

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Tema 2: Infraestructura inmutable

Tema 4: Identidades