Exemple de charge de travail : logiciel COTS sur Amazon EC2 - AWS Directives prescriptives

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemple de charge de travail : logiciel COTS sur Amazon EC2

Cette charge de travail en est un exempleThème 3 : Gérer une infrastructure mutable grâce à l'automatisation.

La charge de travail exécutée sur Amazon EC2 a été créée manuellement à l'aide du AWS Management Console. Les développeurs mettent à jour le système manuellement en se connectant aux EC2 instances et en mettant à jour le logiciel.

Pour cette charge de travail, les équipes du cloud et des applications prennent les mesures suivantes pour mettre en œuvre les stratégies Essential Eight.

Contrôle des applications

  • L'équipe cloud configure son pipeline d'AMI centralisé pour installer et configurer l' AWS Systems Manager agent (agent SSM), CloudWatch l'agent et. SELinux Ils partagent l'AMI qui en résulte sur tous les comptes de l'organisation.

  • L'équipe cloud utilise des AWS Config règles pour confirmer que toutes les EC2 instances en cours d'exécution sont gérées par Systems Manager et que l'agent SSM, l'agent et CloudWatch l'agent sont SELinux installés.

  • L'équipe du cloud envoie CloudWatch les résultats d'Amazon Logs à une solution centralisée de gestion des informations et des événements de sécurité (SIEM) qui s'exécute sur Amazon OpenSearch Service.

  • L'équipe chargée de l'application met en œuvre des mécanismes afin d'inspecter et de gérer les résultats provenant d' AWS Config Amazon Inspector et d'Amazon Inspector. GuardDuty L'équipe du cloud met en œuvre ses propres mécanismes pour détecter les résultats manqués par l'équipe chargée de l'application. Pour plus d'informations sur la création d'un programme de gestion des vulnérabilités adapté aux résultats, voir Création d'un programme de gestion des vulnérabilités évolutif sur AWS.

Applications de correctifs

  • L'équipe chargée de l'application corrige les instances en fonction des résultats d'Amazon Inspector.

  • L'équipe du cloud applique des correctifs à l'AMI de base et l'équipe chargée de l'application reçoit une alerte lorsque cette AMI change.

  • L'équipe chargée de l'application restreint l'accès direct à ses EC2 instances en configurant des règles de groupe de sécurité pour autoriser le trafic uniquement sur les ports requis par la charge de travail.

  • L'équipe chargée de l'application utilise le gestionnaire de correctifs pour appliquer des correctifs aux instances au lieu de se connecter à des instances individuelles.

  • Pour exécuter des commandes arbitraires sur des groupes d' EC2 instances, l'équipe de l'application utilise Run Command.

  • Dans les rares cas où l'équipe chargée de l'application a besoin d'un accès direct à une instance, elle utilise le gestionnaire de session. Cette approche d'accès utilise des identités fédérées et enregistre toute activité de session à des fins d'audit.

Restreindre les privilèges administratifs

  • L'équipe chargée de l'application configure les règles du groupe de sécurité pour autoriser le trafic uniquement sur les ports requis par la charge de travail. Cela restreint l'accès direct aux EC2 instances Amazon et oblige les utilisateurs à accéder aux EC2 instances via le gestionnaire de session.

  • L'équipe chargée des applications s'appuie sur la fédération d'identité de l'équipe cloud centralisée pour la rotation des informations d'identification et la journalisation centralisée.

  • L'équipe chargée de l'application crée une CloudTrail trace et des CloudWatch filtres.

  • L'équipe chargée de l'application configure les alertes Amazon SNS pour les CodePipeline déploiements et CloudFormation les suppressions de piles.

Corrigez les systèmes d'exploitation

  • L'équipe du cloud applique des correctifs à l'AMI de base et l'équipe chargée de l'application reçoit une alerte lorsque cette AMI change. L'équipe chargée de l'application déploie de nouvelles instances à l'aide de cette AMI, puis utilise State Manager, une fonctionnalité de Systems Manager, pour installer le logiciel requis.

  • L'équipe chargée de l'application utilise le gestionnaire de correctifs pour appliquer des correctifs aux instances, par exemple pour se connecter à des instances individuelles.

  • Pour exécuter des commandes arbitraires sur des groupes d' EC2 instances, l'équipe de l'application utilise Run Command.

  • Dans les rares cas où l'équipe chargée de l'application a besoin d'un accès direct, elle utilise le gestionnaire de session.

Authentification multifacteur

  • L'équipe chargée de l'application s'appuie sur la solution de fédération d'identité centralisée décrite dans la Architecture de base section. Cette solution applique l'authentification MFA, enregistre les authentifications et émet des alertes ou répond automatiquement aux événements MFA suspects.

Sauvegardes régulières

  • L'équipe chargée de l'application crée un AWS Backup plan pour ses EC2 instances et les volumes Amazon Elastic Block Store (Amazon EBS).

  • L'équipe chargée de l'application met en œuvre un mécanisme permettant d'effectuer une restauration de sauvegarde manuellement chaque mois.