Exemplo de carga de trabalho: serviço web em contêineres - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplo de carga de trabalho: serviço web em contêineres

Essa carga de trabalho é um exemplo de. Tema 2: Gerenciar infraestrutura imutável por meio de tubulações seguras

O serviço web é executado no Amazon ECS e usa um banco de dados no Amazon RDS. A equipe do aplicativo define esses recursos em um AWS CloudFormation modelo. Os contêineres são criados com o EC2 Image Builder e armazenados no Amazon ECR. A equipe de aplicativos implanta as alterações no sistema por meio AWS CodePipeline de. Esse pipeline é restrito à equipe de aplicativos. Quando a equipe do aplicativo faz uma pull request para o repositório de código, a regra de duas pessoas é usada.

Para essa carga de trabalho, a equipe de aplicativos realiza as seguintes ações para abordar as estratégias Essential Eight.

Controle de aplicativos

Aplicativos de patch

  • A equipe de aplicativos permite a digitalização de imagens de contêineres do Amazon ECR no Amazon Inspector e configura alertas para bibliotecas obsoletas ou vulneráveis.

  • A equipe do aplicativo automatiza suas respostas às descobertas do Amazon Inspector. Novas descobertas iniciam seu pipeline de implantação por meio de um EventBridge gatilho da Amazon e CodePipeline são o alvo.

  • A equipe de aplicativos AWS Config permite rastrear AWS recursos para descoberta de ativos.

Restringir privilégios administrativos

  • A equipe de aplicativos já está restringindo o acesso às implantações de produção por meio de uma regra de aprovação em seu pipeline de implantação.

  • A equipe de aplicativos depende da federação de identidade da equipe de nuvem centralizada para rotação de credenciais e registro centralizado.

  • A equipe do aplicativo cria uma CloudTrail trilha e CloudWatch filtra.

  • A equipe do aplicativo configura alertas do Amazon SNS para CodePipeline implantações e CloudFormation exclusões de pilhas.

Patch de sistemas operacionais

  • A equipe de aplicativos permite a digitalização de imagens de contêineres do Amazon ECR no Amazon Inspector e configura alertas para atualizações de patches do sistema operacional.

  • A equipe de aplicação automatiza sua resposta às descobertas do Amazon Inspector. Novas descobertas iniciam seu pipeline de implantação por meio de um EventBridge gatilho e CodePipeline são o alvo.

  • A equipe do aplicativo assina as notificações de eventos do Amazon RDS para ser informada sobre as atualizações. Eles tomam uma decisão baseada em riscos com o proprietário da empresa sobre se devem aplicar essas atualizações manualmente ou permitir que o Amazon RDS as aplique automaticamente.

  • A equipe do aplicativo configura a instância do Amazon RDS para ser um cluster de zona de multidisponibilidade, a fim de reduzir o impacto dos eventos de manutenção.

Autenticação multifator

  • A equipe de aplicativos conta com a solução centralizada de federação de identidades descrita na Arquitetura principal seção. Essa solução aplica a MFA, registra autenticações e alerta ou responde automaticamente a eventos suspeitos de MFA.

Backups regulares

  • A equipe do aplicativo configura AWS Backup para automatizar o backup dos dados em seu cluster Amazon RDS.

  • A equipe do aplicativo armazena CloudFormation modelos em um repositório de código.

  • A equipe de aplicativos desenvolve um pipeline automatizado para criar uma cópia de sua carga de trabalho em outra região e executar testes automatizados (postagem AWS no blog). Depois que os testes automatizados são executados, o pipeline destrói a pilha. Esse pipeline é executado automaticamente uma vez por mês e valida a eficácia dos procedimentos de recuperação.