Tema 3: Gestisci l'infrastruttura mutabile con l'automazione

Otto strategie essenziali coperte

Controllo delle applicazioni, applicazioni di patch, sistemi operativi di patch

Analogamente all'infrastruttura immutabile, l'infrastruttura mutabile viene gestita come IaC e la si modifica o si aggiorna tramite processi automatizzati. Molte delle fasi di implementazione per un'infrastruttura immutabile si applicano anche all'infrastruttura mutabile. Tuttavia, per un'infrastruttura mutabile, è necessario implementare anche controlli manuali per assicurarsi che i carichi di lavoro modificati seguano comunque le migliori pratiche.

Per un'infrastruttura mutabile, è possibile automatizzare la gestione delle patch utilizzando Patch Manager, una funzionalità di. AWS Systems Manager Abilita Patch Manager in tutti gli account della tua AWS organizzazione.

Impedisci l'accesso diretto a SSH e RDP e richiedi agli utenti di utilizzare Session Manager o Run Command, che sono anche funzionalità di Systems Manager. A differenza di SSH e RDP, queste funzionalità possono registrare l'accesso e le modifiche al sistema.

Per monitorare e segnalare la conformità, è necessario eseguire revisioni continue della conformità delle patch. Puoi utilizzare AWS Config le regole per assicurarti che tutte le EC2 istanze Amazon siano gestite da Systems Manager, dispongano delle autorizzazioni richieste e delle applicazioni installate e siano conformi alle patch.

Best practice correlate nel AWS Well-Architected Framework

• SEC06-BP03 Riduzione della gestione manuale e dell'accesso interattivo

• SEC06-BP05 Automatizza la protezione dell'elaborazione

Implementazione di questo tema

Automatizza l'applicazione delle patch

• Implementa i passaggi di Enable Patch Manager in tutti gli account della tua organizzazione AWS

• Per tutte le EC2 istanze, includi la CloudWatchAgentServerPolicy e AmazonSSMManagedInstanceCore nel profilo dell'istanza o nel ruolo IAM che Systems Manager utilizza per accedere all'istanza

Utilizza l'automazione anziché i processi manuali

• Implementa le linee guida in Implementazione di AMI e pipeline di costruzione di container in Tema 2: Gestione dell'infrastruttura immutabile tramite pipeline sicure

• Utilizza Session Manager o Run Command anziché l'accesso diretto SSH o RDP

Utilizza l'automazione per installare quanto segue sulle istanze EC2

• AWS Systems Manager Agente (SSM Agent), utilizzato per il rilevamento e la gestione delle istanze

• Strumenti di sicurezza per il controllo delle applicazioni, come Security Enhanced Linux (SELinux) (GitHub), File Access Policy Daemon (fapolicyd) () o OpenSCAP GitHub

• Amazon CloudWatch Agent, utilizzato per la registrazione

Utilizza la revisione tra pari prima di qualsiasi versione per assicurarti che le modifiche soddisfino le migliori pratiche

• Policy IAM troppo permissive, come quelle che utilizzano caratteri jolly

• Regole dei gruppi di sicurezza troppo permissive, come quelle che utilizzano caratteri jolly o consentono l'accesso SSH

• Registri di accesso non abilitati

• Crittografia non abilitata

• Valori letterali delle password

• Politiche IAM sicure

Utilizza controlli a livello di identità

• Per richiedere agli utenti di modificare le risorse tramite processi automatizzati e impedire la configurazione manuale, consenti le autorizzazioni di sola lettura per i ruoli che gli utenti possono assumere

• Concedi le autorizzazioni per modificare le risorse solo ai ruoli di servizio, come il ruolo utilizzato da Systems Manager

Implementa la scansione delle vulnerabilità

• Implementa la guida in Implementare la scansione delle vulnerabilità in Tema 2: Gestione dell'infrastruttura immutabile tramite pipeline sicure

• Scansiona le tue EC2 istanze utilizzando Amazon Inspector

Monitoraggio di questo tema

Monitora la conformità delle patch su base continuativa

• Segnala la conformità delle patch utilizzando l'automazione e i dashboard

• Implementa un meccanismo per rivedere i dashboard per verificare la conformità delle patch

Monitora IAM e log su base continuativa

• Esamina periodicamente le tue politiche IAM per assicurarti che:

  • Solo le pipeline di implementazione hanno accesso diretto alle risorse

  • Solo i servizi approvati hanno accesso diretto ai dati

  • Gli utenti non hanno accesso diretto a risorse o dati

• Monitora AWS CloudTrail i log per assicurarti che gli utenti stiano modificando le risorse attraverso le pipeline e non stiano modificando direttamente le risorse o accedendo ai dati

• AWS Identity and Access Management Access Analyzer Esamina periodicamente i risultati

• Imposta un avviso per avvisarti se Account AWS vengono utilizzate le credenziali dell'utente root per an

Implementa le seguenti regole AWS Config

• EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

• EC2_INSTANCE_MANAGED_BY_SSM

• EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent

• EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps

• IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM

• EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

• REQUIRED_TAGS

• RESTRICTED_INCOMING_TRAFFIC - 22, 3389