Exemple de charge de travail : service Web conteneurisé

Cette charge de travail en est un exempleThème 2 : Gérer une infrastructure immuable grâce à des pipelines sécurisés.

Le service Web s'exécute sur Amazon ECS et utilise une base de données dans Amazon RDS. L'équipe chargée de l'application définit ces ressources dans un AWS CloudFormation modèle. Les conteneurs sont créés avec EC2 Image Builder et stockés dans Amazon ECR. L'équipe chargée de l'application déploie les modifications apportées au système par le biais AWS CodePipeline de. Ce pipeline est réservé à l'équipe chargée de l'application. Lorsque l'équipe chargée de l'application effectue une pull request pour le référentiel de code, la règle des deux personnes est utilisée.

Pour cette charge de travail, l'équipe chargée des applications prend les mesures suivantes pour mettre en œuvre les stratégies Essential Eight.

Contrôle des applications

L'équipe chargée de l'application permet de numériser des images de conteneurs Amazon ECR dans Amazon Inspector.
L'équipe chargée de l'application intègre l'outil de sécurité File Access Policy Daemon (fapolicyd) au pipeline Image Builder EC2 . Pour plus d'informations, voir Implémentation du contrôle des applications sur le site Web de l'ACSC.
L'équipe chargée de l'application configure la définition de tâche Amazon ECS pour consigner les résultats dans Amazon CloudWatch Logs.
L'équipe chargée de l'application met en œuvre des mécanismes pour inspecter et gérer les résultats d'Amazon Inspector.

Applications de correctifs

L'équipe chargée de l'application permet de scanner les images des conteneurs Amazon ECR dans Amazon Inspector et de configurer les alertes pour les bibliothèques obsolètes ou vulnérables.
L'équipe chargée de l'application automatise ses réponses aux résultats d'Amazon Inspector. Les nouvelles découvertes initient leur pipeline de déploiement via un EventBridge déclencheur Amazon, et CodePipeline constituent la cible.
L'équipe d'application permet AWS Config de suivre les AWS ressources pour la découverte des actifs.

Restreindre les privilèges administratifs

L'équipe chargée des applications restreint déjà l'accès aux déploiements de production par le biais d'une règle d'approbation sur son pipeline de déploiement.
L'équipe chargée des applications s'appuie sur la fédération d'identité de l'équipe cloud centralisée pour la rotation des informations d'identification et la journalisation centralisée.
L'équipe chargée de l'application crée une CloudTrail trace et des CloudWatch filtres.
L'équipe chargée de l'application configure les alertes Amazon SNS pour les CodePipeline déploiements et CloudFormation les suppressions de piles.

Corrigez les systèmes d'exploitation

L'équipe chargée de l'application permet de scanner les images des conteneurs Amazon ECR dans Amazon Inspector et de configurer les alertes pour les mises à jour des correctifs du système d'exploitation.
L'équipe chargée de l'application automatise sa réponse aux résultats d'Amazon Inspector. Les nouvelles découvertes initient leur pipeline de déploiement par le biais d'un EventBridge déclencheur et CodePipeline constituent la cible.
L'équipe chargée de l'application s'abonne aux notifications d'événements Amazon RDS afin d'être informée des mises à jour. Ils prennent une décision basée sur les risques avec le propriétaire de leur entreprise quant à savoir s'ils doivent appliquer ces mises à jour manuellement ou laisser Amazon RDS les appliquer automatiquement.
L'équipe chargée de l'application configure l'instance Amazon RDS en tant que cluster de zones de disponibilité multiples afin de réduire l'impact des événements de maintenance.

Authentification multifacteur

L'équipe chargée de l'application s'appuie sur la solution de fédération d'identité centralisée décrite dans la Architecture de base section. Cette solution applique l'authentification MFA, enregistre les authentifications et émet des alertes ou répond automatiquement aux événements MFA suspects.

Sauvegardes régulières

L'équipe chargée de l'application configure AWS Backup pour automatiser la sauvegarde des données de son cluster Amazon RDS.
L'équipe chargée de l'application stocke les CloudFormation modèles dans un référentiel de code.
L'équipe chargée de l'application développe un pipeline automatisé pour créer une copie de sa charge de travail dans une autre région et exécuter des tests automatisés (article de AWS blog). Une fois les tests automatisés exécutés, le pipeline détruit la pile. Ce pipeline s'exécute automatiquement une fois par mois et valide l'efficacité des procédures de récupération.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Lac de données sans serveur

Logiciel COTS