Tema 3: Kelola infrastruktur yang bisa berubah dengan otomatisasi - AWS Bimbingan Preskriptif
Praktik-praktik terbaik terkaitMenerapkan tema iniMemantau tema ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tema 3: Kelola infrastruktur yang bisa berubah dengan otomatisasi

Esensi Delapan strategi tercakup

Kontrol aplikasi, aplikasi patch, sistem operasi patch

Mirip dengan infrastruktur yang tidak dapat diubah, Anda mengelola infrastruktur yang dapat berubah sebagai IAc, dan Anda memodifikasi atau memperbarui infrastruktur ini melalui proses otomatis. Banyak langkah implementasi untuk infrastruktur yang tidak dapat diubah juga berlaku untuk infrastruktur yang dapat berubah. Namun, untuk infrastruktur yang dapat berubah, Anda juga harus menerapkan kontrol manual untuk memastikan bahwa beban kerja yang dimodifikasi tetap mengikuti praktik terbaik.

Untuk infrastruktur yang bisa berubah, Anda dapat mengotomatiskan manajemen tambalan dengan menggunakan Patch Manager, kemampuan. AWS Systems Manager Aktifkan Patch Manager di semua akun di AWS organisasi Anda.

Mencegah akses SSH dan RDP langsung dan mengharuskan pengguna untuk menggunakan Session Manager atau Run Command, yang juga merupakan kemampuan Systems Manager. Tidak seperti SSH dan RDP, kemampuan ini dapat mencatat akses dan perubahan sistem.

Untuk memantau dan melaporkan kepatuhan, Anda harus melakukan tinjauan kepatuhan patch yang sedang berlangsung. Anda dapat menggunakan AWS Config aturan untuk memastikan bahwa semua EC2 instans Amazon dikelola oleh Systems Manager, memiliki izin yang diperlukan dan aplikasi yang diinstal, serta dalam kepatuhan patch.

Praktik terbaik terkait dalam Kerangka AWS Well-Architected

Menerapkan tema ini

Otomatiskan penambalan

Gunakan otomatisasi daripada proses manual

Gunakan otomatisasi untuk menginstal yang berikut ini pada EC2 instance

Gunakan peer review sebelum rilis apa pun untuk memastikan bahwa perubahan memenuhi praktik terbaik

  • Kebijakan IAM yang terlalu permisif, seperti yang menggunakan wildcard

  • Aturan grup keamanan yang terlalu permisif, seperti yang menggunakan wildcard atau mengizinkan akses SSH

  • Akses log yang tidak diaktifkan

  • Enkripsi yang tidak diaktifkan

  • Literal kata sandi

  • Kebijakan IAM yang aman

Gunakan kontrol tingkat identitas

  • Untuk mengharuskan pengguna memodifikasi sumber daya melalui proses otomatis dan mencegah konfigurasi manual, izinkan izin hanya-baca untuk peran yang dapat diasumsikan pengguna

  • Berikan izin untuk mengubah sumber daya hanya untuk peran layanan, seperti peran yang digunakan oleh Systems Manager

Menerapkan pemindaian kerentanan

Memantau tema ini

Memantau kepatuhan patch secara berkelanjutan

Memantau IAM dan log secara berkelanjutan

  • Tinjau kebijakan IAM Anda secara berkala untuk memastikan bahwa:

    • Hanya pipeline penyebaran yang memiliki akses langsung ke sumber daya

    • Hanya layanan yang disetujui yang memiliki akses langsung ke data

    • Pengguna tidak memiliki akses langsung ke sumber daya atau data

  • Pantau AWS CloudTrail log untuk memastikan bahwa pengguna memodifikasi sumber daya melalui saluran pipa dan tidak secara langsung memodifikasi sumber daya atau mengakses data

  • Tinjau AWS Identity and Access Management Access Analyzer temuan secara berkala

  • Siapkan peringatan untuk memberi tahu Anda jika kredensi pengguna root untuk sebuah digunakan Akun AWS

Menerapkan AWS Config aturan berikut

  • EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

  • EC2_INSTANCE_MANAGED_BY_SSM

  • EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent

  • EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps

  • IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM

  • EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

  • REQUIRED_TAGS

  • RESTRICTED_INCOMING_TRAFFIC - 22, 3389