Esempio di carico di lavoro: software COTS su Amazon EC2 - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempio di carico di lavoro: software COTS su Amazon EC2

Questo carico di lavoro è un esempio di. Tema 3: Gestisci l'infrastruttura mutabile con l'automazione

Il carico di lavoro in esecuzione su Amazon EC2 è stato creato manualmente utilizzando. AWS Management Console Gli sviluppatori aggiornano manualmente il sistema accedendo alle EC2 istanze e aggiornando il software.

Per questo carico di lavoro, i team del cloud e delle applicazioni intraprendono le seguenti azioni per affrontare le strategie Essential Eight.

Controllo delle applicazioni

  • Il team cloud configura la propria pipeline AMI centralizzata per installare e configurare AWS Systems Manager l'agente (agente SSM), CloudWatch l'agente e. SELinux Condividono l'AMI risultante tra tutti gli account dell'organizzazione.

  • Il team cloud utilizza AWS Config regole per confermare che tutte le EC2 istanze in esecuzione siano gestite da Systems Manager e che siano installati un agente, CloudWatch un agente e SELinux SSM.

  • Il team cloud invia l'output di Amazon CloudWatch Logs a una soluzione SIEM (Security Information and Event Management) centralizzata che funziona su Amazon Service. OpenSearch

  • Il team applicativo implementa meccanismi per ispezionare e gestire i risultati di Amazon Inspector e AWS Config Amazon GuardDuty Inspector. Il team cloud implementa i propri meccanismi per catturare eventuali risultati non rilevati dal team applicativo. Per ulteriori indicazioni sulla creazione di un programma di gestione delle vulnerabilità per risolvere i problemi, consulta Building a scalable vulnerability management program on. AWS

Applicazioni di patch

  • Il team dell'applicazione applica le patch alle istanze in base ai risultati di Amazon Inspector.

  • Il team cloud applica le patch all'AMI di base e il team dell'applicazione riceve un avviso quando l'AMI cambia.

  • Il team dell'applicazione limita l'accesso diretto alle proprie EC2 istanze configurando le regole del gruppo di sicurezza per consentire il traffico solo sulle porte richieste dal carico di lavoro.

  • Il team dell'applicazione utilizza Patch Manager per applicare le patch alle istanze anziché accedere alle singole istanze.

  • Per eseguire comandi arbitrari su gruppi di EC2 istanze, il team dell'applicazione utilizza Run Command.

  • Nelle rare occasioni in cui il team dell'applicazione necessita dell'accesso diretto a un'istanza, utilizza Session Manager. Questo approccio di accesso utilizza identità federate e registra qualsiasi attività di sessione a fini di controllo.

Limita i privilegi amministrativi

  • Il team dell'applicazione configura le regole dei gruppi di sicurezza per consentire il traffico solo sulle porte richieste dal carico di lavoro. Ciò limita l'accesso diretto alle EC2 istanze Amazon e richiede che gli utenti accedano alle EC2 istanze tramite Session Manager.

  • Il team applicativo si affida alla federazione delle identità del team cloud centralizzato per la rotazione delle credenziali e la registrazione centralizzata.

  • Il team dell'applicazione crea un percorso e filtri. CloudTrail CloudWatch

  • Il team applicativo configura gli avvisi di Amazon SNS per le CodePipeline distribuzioni e le eliminazioni di stack. CloudFormation

Patch i sistemi operativi

  • Il team cloud applica le patch all'AMI di base e il team dell'applicazione riceve un avviso quando l'AMI cambia. Il team dell'applicazione distribuisce nuove istanze utilizzando questa AMI, quindi utilizza State Manager, una funzionalità di Systems Manager, per installare il software richiesto.

  • Il team dell'applicazione utilizza Patch Manager per applicare patch alle istanze, ad esempio per l'accesso a singole istanze.

  • Per eseguire comandi arbitrari su gruppi di EC2 istanze, il team dell'applicazione utilizza Run Command.

  • Nelle rare occasioni in cui il team dell'applicazione necessita dell'accesso diretto, utilizza Session Manager.

Autenticazione a più fattori

  • Il team dell'applicazione si affida alla soluzione centralizzata di federazione delle identità descritta nella Architettura di base sezione. Questa soluzione applica l'MFA, registra le autenticazioni e gli avvisi o risponde automaticamente a eventi MFA sospetti.

Backup regolari

  • Il team dell'applicazione crea un AWS Backup piano per le sue EC2 istanze e i volumi Amazon Elastic Block Store (Amazon EBS).

  • Il team dell'applicazione implementa un meccanismo per eseguire manualmente un ripristino del backup ogni mese.