Contoh beban kerja: Perangkat lunak COTS di Amazon EC2

Beban kerja ini adalah contoh dari. Tema 3: Kelola infrastruktur yang bisa berubah dengan otomatisasi

Beban kerja yang berjalan di Amazon EC2 dibuat secara manual dengan menggunakan file. AWS Management Console Pengembang memperbarui sistem secara manual dengan masuk ke EC2 instance dan memperbarui perangkat lunak.

Untuk beban kerja ini, tim cloud dan aplikasi mengambil tindakan berikut untuk mengatasi strategi Esential Eight.

Kontrol aplikasi

• Tim cloud mengonfigurasi pipeline AMI terpusat mereka untuk menginstal dan mengonfigurasi AWS Systems Manager Agen (Agen SSM), CloudWatch agen, dan. SELinux Mereka membagikan AMI yang dihasilkan di semua akun di organisasi.

• Tim cloud menggunakan AWS Config aturan untuk mengonfirmasi bahwa semua EC2 instans yang berjalan dikelola oleh Systems Manager dan memiliki Agen SSM, CloudWatch agen, dan SELinux diinstal.

• Tim cloud mengirimkan output Amazon CloudWatch Logs ke solusi manajemen informasi dan peristiwa keamanan terpusat (SIEM) yang berjalan di Amazon OpenSearch Service.

• Tim aplikasi menerapkan mekanisme untuk memeriksa dan mengelola temuan dari AWS Config, GuardDuty, dan Amazon Inspector. Tim cloud mengimplementasikan mekanisme mereka sendiri untuk menangkap temuan apa pun yang terlewatkan oleh tim aplikasi. Untuk panduan selengkapnya tentang membuat program manajemen kerentanan untuk mengatasi temuan, lihat Membangun program manajemen kerentanan yang dapat diskalakan. AWS

Aplikasi tambalan

• Tim aplikasi menambal instance berdasarkan temuan Amazon Inspector.

• Tim cloud menambal AMI dasar, dan tim aplikasi menerima peringatan ketika AMI itu berubah.

• Tim aplikasi membatasi akses langsung ke EC2 instance mereka dengan mengonfigurasi aturan grup keamanan untuk mengizinkan lalu lintas hanya pada port yang dibutuhkan beban kerja.

• Tim aplikasi menggunakan Patch Manager untuk menambal instance alih-alih masuk ke instance individual.

• Untuk menjalankan perintah arbitrer pada grup EC2 instance, tim aplikasi menggunakan Run Command.

• Pada kesempatan langka ketika tim aplikasi membutuhkan akses langsung ke sebuah instance, mereka menggunakan Session Manager. Pendekatan akses ini menggunakan identitas federasi dan mencatat aktivitas sesi apa pun untuk tujuan audit.

Batasi hak administratif

• Tim aplikasi mengonfigurasi aturan grup keamanan untuk mengizinkan lalu lintas hanya pada port yang dibutuhkan beban kerja. Ini membatasi akses langsung ke EC2 instans Amazon dan mengharuskan pengguna mengakses EC2 instans melalui Session Manager.

• Tim aplikasi mengandalkan federasi identitas tim cloud terpusat untuk rotasi kredensil dan pencatatan terpusat.

• Tim aplikasi membuat CloudTrail jejak dan CloudWatch filter.

• Tim aplikasi menyiapkan peringatan Amazon SNS untuk CodePipeline penerapan dan penghapusan tumpukan. CloudFormation

Sistem operasi patch

• Tim cloud menambal AMI dasar, dan tim aplikasi menerima peringatan ketika AMI itu berubah. Tim aplikasi menyebarkan instance baru dengan menggunakan AMI ini, dan kemudian mereka menggunakan State Manager, kemampuan Systems Manager, untuk menginstal perangkat lunak yang diperlukan.

• Tim aplikasi menggunakan Patch Manager untuk menambal instance, instance login ke instance individual.

• Untuk menjalankan perintah arbitrer pada grup EC2 instance, tim aplikasi menggunakan Run Command.

• Pada kesempatan langka ketika tim aplikasi membutuhkan akses langsung, mereka menggunakan Session Manager.

Otentikasi multi-faktor

• Tim aplikasi bergantung pada solusi federasi identitas terpusat yang dijelaskan di bagian ini. Arsitektur inti Solusi ini memberlakukan MFA, otentikasi log, dan peringatan pada atau secara otomatis merespons peristiwa MFA yang mencurigakan.

Pencadangan reguler

• Tim aplikasi membuat AWS Backup rencana untuk EC2 instance-nya dan volume Amazon Elastic Block Store (Amazon EBS).

• Tim aplikasi menerapkan mekanisme untuk melakukan restorasi cadangan secara manual setiap bulan.