ワークロードの例: Amazon EC2 の COTS ソフトウェア - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ワークロードの例: Amazon EC2 の COTS ソフトウェア

このワークロードは の例ですテーマ 3: 自動化による変更可能なインフラストラクチャの管理

Amazon EC2 で実行されているワークロードは、 を使用して手動で作成されました AWS Management Console。デベロッパーは、EC2 インスタンスにログインし、ソフトウェアを更新することで、システムを手動で更新します。

このワークロードでは、クラウドチームとアプリケーションチームは、Essential Eight 戦略に対応するために以下のアクションを実行します。

アプリケーションコントロール

  • クラウドチームは、エージェント (SSM AWS Systems Manager エージェント)、CloudWatch エージェント、SELinux をインストールして設定するように、一元化された AMI パイプラインを設定します。結果の AMI は、組織内のすべてのアカウントで共有されます。

  • クラウドチームは AWS Config ルールを使用して、実行中のすべての EC2 インスタンスが Systems Manager によって管理され、SSM エージェント、CloudWatch エージェント、SELinux がインストールされていることを確認します。

  • クラウドチームは、Amazon OpenSearch Service で実行される一元化されたセキュリティ情報およびイベント管理 (SIEM) ソリューションに Amazon CloudWatch Logs 出力を送信します。 OpenSearch

  • アプリケーションチームは、、GuardDuty AWS Config、Amazon Inspector からの検出結果を検査および管理するためのメカニズムを実装します。クラウドチームは、アプリケーションチームが見逃した検出結果をキャッチするための独自のメカニズムを実装します。検出結果に対処するための脆弱性管理プログラムの作成に関する詳細なガイダンスについては、「 でのスケーラブルな脆弱性管理プログラム AWSの構築」を参照してください。

パッチアプリケーション

  • アプリケーションチームは、Amazon Inspector の検出結果に基づいてインスタンスにパッチを適用します。

  • クラウドチームは基本 AMI にパッチを適用し、その AMI が変更されるとアプリケーションチームはアラートを受け取ります。

  • アプリケーションチームは、ワークロードが必要とするポートでのみトラフィックを許可するようにセキュリティグループルールを設定することで、EC2 インスタンスへの直接アクセスを制限します。

  • アプリケーションチームは、個々のインスタンスにログインする代わりに、Patch Manager を使用してインスタンスにパッチを適用します。

  • EC2 インスタンスのグループで任意のコマンドを実行するために、アプリケーションチームは Run Command を使用します。

  • まれに、アプリケーションチームがインスタンスに直接アクセスする必要がある場合は、Session Manager を使用します。このアクセスアプローチでは、フェデレーティッド ID を使用し、監査目的でセッションアクティビティを記録します。

管理者権限を制限する

  • アプリケーションチームは、ワークロードに必要なポートでのみトラフィックを許可するようにセキュリティグループルールを設定します。これにより、Amazon EC2 インスタンスへの直接アクセスが制限され、ユーザーは Session Manager を介して EC2 インスタンスにアクセスする必要があります。

  • アプリケーションチームは、認証情報のローテーションと一元的なログ記録のために、一元化されたクラウドチームの ID フェデレーションに依存しています。

  • アプリケーションチームは CloudTrail 証跡と CloudWatch フィルターを作成します。

  • アプリケーションチームは、CodePipeline デプロイと CloudFormation スタック削除の Amazon SNS アラートを設定します。

パッチオペレーティングシステム

  • クラウドチームは基本 AMI にパッチを適用し、その AMI が変更されるとアプリケーションチームはアラートを受け取ります。アプリケーションチームは、この AMI を使用して新しいインスタンスをデプロイし、Systems Manager の一機能であるステートマネージャーを使用して必要なソフトウェアをインストールします。

  • アプリケーションチームは Patch Manager を使用して、個々のインスタンスにログインするインスタンスにパッチを適用します。

  • EC2 インスタンスのグループで任意のコマンドを実行するために、アプリケーションチームは Run Command を使用します。

  • まれに、アプリケーションチームが直接アクセスする必要がある場合は、Session Manager を使用します。

多要素認証

  • アプリケーションチームは、コアアーキテクチャ「」セクションで説明されている一元化された ID フェデレーションソリューションに依存しています。このソリューションは、疑わしい MFA イベントに対して MFA を適用し、認証とアラートをログに記録し、自動的に応答します。

定期的なバックアップ

  • アプリケーションチームは、EC2 インスタンスと Amazon Elastic Block Store (Amazon EBS) ボリュームの AWS Backup プランを作成します。

  • アプリケーションチームは、毎月バックアップ復元を手動で実行するメカニズムを実装します。