워크로드 예제: 컨테이너화된 웹 서비스 - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

워크로드 예제: 컨테이너화된 웹 서비스

이 워크로드는의 예입니다테마 2: 보안 파이프라인을 통해 변경 불가능한 인프라 관리.

웹 서비스는 Amazon ECS에서 실행되며 Amazon RDS의 데이터베이스를 사용합니다. 애플리케이션 팀은 AWS CloudFormation 템플릿에서 이러한 리소스를 정의합니다. 컨테이너는 EC2 Image Builder로 생성되어 Amazon ECR에 저장됩니다. 애플리케이션 팀은를 통해 시스템에 변경 사항을 배포합니다 AWS CodePipeline. 이 파이프라인은 애플리케이션 팀으로 제한됩니다. 애플리케이션 팀이 코드 리포지토리에 대한 풀 요청을 하면 2인 규칙이 사용됩니다.

이 워크로드의 경우 애플리케이션 팀은 Essential Eight 전략을 해결하기 위해 다음 작업을 수행합니다.

애플리케이션 제어

패치 애플리케이션

  • 애플리케이션 팀은 Amazon Inspector에서 Amazon ECR 컨테이너 이미지를 스캔할 수 있도록 하고 더 이상 사용되지 않거나 취약한 라이브러리에 대한 알림을 구성합니다.

  • 애플리케이션 팀은 Amazon Inspector 결과에 대한 응답을 자동화합니다. 새로운 조사 결과는 Amazon EventBridge 트리거를 통해 배포 파이프라인을 시작하며 CodePipeline이 대상입니다.

  • 애플리케이션 팀은 AWS Config 가 자산 검색을 위한 AWS 리소스를 추적할 수 있도록 합니다.

관리 권한 제한

  • 애플리케이션 팀은 이미 배포 파이프라인의 승인 규칙을 통해 프로덕션 배포에 대한 액세스를 제한하고 있습니다.

  • 애플리케이션 팀은 보안 인증 정보 교체 및 중앙 집중식 로깅을 위해 중앙 집중식 클라우드 팀의 자격 증명 페더레이션에 의존합니다.

  • 애플리케이션 팀은 CloudTrail 추적 및 CloudWatch 필터를 생성합니다.

  • 애플리케이션 팀은 CodePipeline 배포 및 CloudFormation 스택 삭제에 대한 Amazon SNS 알림을 설정합니다.

패치 운영 체제

  • 애플리케이션 팀은 Amazon Inspector에서 Amazon ECR 컨테이너 이미지 스캔을 활성화하고 OS 패치 업데이트에 대한 알림을 구성합니다.

  • 애플리케이션 팀은 Amazon Inspector 결과에 대한 응답을 자동화합니다. 새로운 조사 결과는 EventBridge 트리거를 통해 배포 파이프라인을 시작하며 CodePipeline이 대상입니다.

  • 애플리케이션 팀은 Amazon RDS 이벤트 알림을 구독하여 업데이트에 대한 알림을 받습니다. 비즈니스 소유자와 함께 이러한 업데이트를 수동으로 적용할지 아니면 Amazon RDS가 자동으로 적용할지 여부에 대한 위험 기반 결정을 내립니다.

  • 애플리케이션 팀은 유지 관리 이벤트의 영향을 줄이기 위해 Amazon RDS 인스턴스를 다중 가용 영역 클러스터로 구성합니다.

멀티 팩터 인증

  • 애플리케이션 팀은 코어 아키텍처 섹션에 설명된 중앙 집중식 자격 증명 페더레이션 솔루션을 사용합니다. 이 솔루션은 의심스러운 MFA 이벤트에 대해 MFA를 적용하고 인증 및 알림을 로깅하거나 자동으로 응답합니다.

정기 백업