Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Thème 3 : Gérer une infrastructure mutable grâce à l'automatisation
Huit stratégies essentielles abordées
Contrôle des applications, applications de correctifs, correctifs de systèmes d'exploitation
Comme dans le cas d'une infrastructure immuable, vous gérez une infrastructure mutable en tant qu'IaC, et vous modifiez ou mettez à jour cette infrastructure par le biais de processus automatisés. De nombreuses étapes de mise en œuvre d'une infrastructure immuable s'appliquent également à une infrastructure mutable. Toutefois, dans le cas d'une infrastructure mutable, vous devez également implémenter des contrôles manuels pour vous assurer que les charges de travail modifiées respectent toujours les meilleures pratiques.
Pour une infrastructure mutable, vous pouvez automatiser la gestion des correctifs à l'aide du Gestionnaire de correctifs, une fonctionnalité de AWS Systems Manager. Activez Patch Manager dans tous les comptes de votre AWS organisation.
Empêchez les accès SSH et RDP directs et obligez les utilisateurs à utiliser le Gestionnaire de session ou Run Command, qui sont également des fonctionnalités de Systems Manager. Contrairement à SSH et RDP, ces fonctionnalités peuvent enregistrer les accès au système et les modifications.
Pour surveiller la conformité et établir des rapports à ce sujet, vous devez effectuer des examens continus de la conformité des correctifs. Vous pouvez utiliser des AWS Config règles pour vous assurer que toutes les EC2 instances Amazon sont gérées par Systems Manager, qu'elles disposent des autorisations requises, que les applications sont installées et qu'elles sont conformes aux correctifs.
Bonnes pratiques associées au AWS Well-Architected Framework
Implémentation de ce thème
Automatisez l'application de correctifs
-
Mettez en œuvre les étapes décrites dans Activer le gestionnaire de correctifs dans tous les comptes de votre AWS organisation
-
Pour toutes les EC2 instances, incluez le
CloudWatchAgentServerPolicyetAmazonSSMManagedInstanceCoredans le profil d'instance ou le rôle IAM que Systems Manager utilise pour accéder à votre instance.
Utilisez l'automatisation plutôt que les processus manuels
-
Mettez en œuvre les directives de la section Implémenter l'AMI et les pipelines de construction de conteneurs dans Thème 2 : Gérer une infrastructure immuable grâce à des pipelines sécurisés
-
Utiliser le gestionnaire de session ou exécuter une commande au lieu d'un accès SSH ou RDP direct
Utilisez l'automatisation pour installer les éléments suivants sur les EC2 instances
-
AWS Systems Manager Agent (agent SSM), utilisé pour la découverte et la gestion des instances
-
Outils de sécurité pour le contrôle des applications, tels que Security Enhanced Linux (SELinux)
(GitHub), File Access Policy Daemon (fapolicyd) (GitHub) ou OpenSCAP -
Amazon CloudWatch Agent, utilisé pour la journalisation
Utilisez l'évaluation par les pairs avant toute publication pour vous assurer que les modifications sont conformes aux meilleures pratiques
-
Politiques IAM trop permissives, telles que celles qui utilisent des caractères génériques
-
Règles de groupe de sécurité trop permissives, telles que celles qui utilisent des caractères génériques ou autorisent l'accès SSH
-
Journaux d'accès non activés
-
Chiffrement non activé
-
Littéraux de mot de passe
-
Politiques IAM sécurisées
Utiliser des contrôles au niveau de l'identité
-
Pour obliger les utilisateurs à modifier les ressources par le biais de processus automatisés et empêcher toute configuration manuelle, autorisez les autorisations en lecture seule pour les rôles que les utilisateurs peuvent assumer
-
Accordez des autorisations de modification des ressources uniquement aux rôles de service, tels que le rôle utilisé par Systems Manager
Mettre en œuvre l'analyse des vulnérabilités
-
Appliquez les instructions de la section Implémenter l'analyse des vulnérabilités dans Thème 2 : Gérer une infrastructure immuable grâce à des pipelines sécurisés
-
Scannez vos EC2 instances à l'aide d'Amazon Inspector
Surveillance de ce thème
Surveillez en permanence la conformité des correctifs
-
Mettre en œuvre un mécanisme pour examiner les tableaux de bord afin de vérifier la conformité des correctifs
Surveillez l'IAM et les journaux en permanence
-
Passez régulièrement en revue vos politiques IAM pour vous assurer que :
-
Seuls les pipelines de déploiement ont un accès direct aux ressources
-
Seuls les services approuvés ont un accès direct aux données
-
Les utilisateurs n'ont pas d'accès direct aux ressources ou aux données
-
-
Surveillez AWS CloudTrail les journaux pour vous assurer que les utilisateurs modifient les ressources par le biais de pipelines et qu'ils ne modifient pas directement les ressources ou n'accèdent pas aux données
-
Examiner régulièrement AWS Identity and Access Management Access Analyzer les résultats
-
Configurez une alerte pour vous avertir si les informations d'identification de l'utilisateur root pour un Compte AWS sont utilisées
Implémentez les AWS Config règles suivantes
-
EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK -
EC2_INSTANCE_MANAGED_BY_SSM -
EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent -
EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps -
IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM -
EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK -
REQUIRED_TAGS -
RESTRICTED_INCOMING_TRAFFIC - 22, 3389
