Esempio di carico di lavoro: servizio web containerizzato - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempio di carico di lavoro: servizio web containerizzato

Questo carico di lavoro è un esempio di. Tema 2: Gestione dell'infrastruttura immutabile tramite pipeline sicure

Il servizio Web viene eseguito su Amazon ECS e utilizza un database in Amazon RDS. Il team dell'applicazione definisce queste risorse in un AWS CloudFormation modello. I contenitori vengono creati con EC2 Image Builder e archiviati in Amazon ECR. Il team dell'applicazione implementa le modifiche al sistema tramite. AWS CodePipeline Questa pipeline è limitata al team dell'applicazione. Quando il team dell'applicazione effettua una pull request per l'archivio del codice, viene utilizzata la regola delle due persone.

Per questo carico di lavoro, il team dell'applicazione intraprende le seguenti azioni per affrontare le strategie Essential Eight.

Controllo delle applicazioni

Applicazioni di patch

  • Il team dell'applicazione consente la scansione delle immagini dei container Amazon ECR in Amazon Inspector e configura gli avvisi per le librerie obsolete o vulnerabili.

  • Il team addetto all'applicazione automatizza le risposte ai risultati di Amazon Inspector. Le nuove scoperte avviano la loro pipeline di implementazione tramite un EventBridge trigger di Amazon, ed CodePipeline è l'obiettivo.

  • Il team dell'applicazione consente di AWS Config tenere traccia AWS delle risorse per l'individuazione delle risorse.

Limita i privilegi amministrativi

  • Il team addetto all'applicazione sta già limitando l'accesso alle implementazioni di produzione mediante una regola di approvazione sulla relativa pipeline di distribuzione.

  • Il team addetto all'applicazione si affida alla federazione delle identità del team cloud centralizzato per la rotazione delle credenziali e la registrazione centralizzata.

  • Il team dell'applicazione crea un percorso e filtri. CloudTrail CloudWatch

  • Il team applicativo configura gli avvisi di Amazon SNS per le CodePipeline distribuzioni e le eliminazioni di stack. CloudFormation

Patch i sistemi operativi

  • Il team dell'applicazione consente la scansione delle immagini dei container Amazon ECR in Amazon Inspector e configura gli avvisi per gli aggiornamenti delle patch del sistema operativo.

  • Il team addetto all'applicazione automatizza la risposta ai risultati di Amazon Inspector. Le nuove scoperte avviano la loro pipeline di implementazione tramite un EventBridge trigger e CodePipeline costituiscono l'obiettivo.

  • Il team dell'applicazione si iscrive alle notifiche degli eventi di Amazon RDS in modo da essere informato sugli aggiornamenti. Prendono una decisione basata sul rischio con il titolare dell'attività se applicare questi aggiornamenti manualmente o lasciare che Amazon RDS li applichi automaticamente.

  • Il team dell'applicazione configura l'istanza Amazon RDS come cluster Multi-Availability Zone al fine di ridurre l'impatto degli eventi di manutenzione.

Autenticazione a più fattori

  • Il team dell'applicazione si affida alla soluzione centralizzata di federazione delle identità descritta nella sezione. Architettura di base Questa soluzione applica l'MFA, registra le autenticazioni e gli avvisi o risponde automaticamente a eventi MFA sospetti.

Backup regolari

  • Il team dell'applicazione si configura AWS Backup per automatizzare il backup dei dati nel proprio cluster Amazon RDS.

  • Il team dell'applicazione archivia i CloudFormation modelli in un repository di codice.

  • Il team dell'applicazione sviluppa una pipeline automatizzata per creare una copia del carico di lavoro in un'altra regione ed eseguire test automatici (AWS post sul blog). Dopo l'esecuzione dei test automatici, la pipeline distrugge lo stack. Questa pipeline viene eseguita automaticamente una volta al mese e convalida l'efficacia delle procedure di ripristino.