Exemplo de carga de trabalho: software COTS na Amazon EC2 - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplo de carga de trabalho: software COTS na Amazon EC2

Essa carga de trabalho é um exemplo de. Tema 3: Gerenciar infraestrutura mutável com automação

A carga de trabalho em execução na Amazon EC2 foi criada manualmente usando o. AWS Management Console Os desenvolvedores atualizam manualmente o sistema fazendo login nas EC2 instâncias e atualizando o software.

Para essa carga de trabalho, as equipes de nuvem e aplicativos realizam as seguintes ações para abordar as estratégias Essential Eight.

Controle de aplicativos

  • A equipe de nuvem configura seu pipeline centralizado de AMI para instalar e configurar o AWS Systems Manager agente (agente SSM), o CloudWatch agente e. SELinux Eles compartilham a AMI resultante em todas as contas da organização.

  • A equipe de nuvem usa AWS Config regras para confirmar que todas as EC2 instâncias em execução são gerenciadas pelo Systems Manager e têm o SSM Agent, o CloudWatch agente e SELinux instalados.

  • A equipe de nuvem envia a saída do Amazon CloudWatch Logs para uma solução centralizada de gerenciamento de informações e eventos de segurança (SIEM) que é executada no Amazon OpenSearch Service.

  • A equipe de aplicação implementa mecanismos para inspecionar e gerenciar descobertas do AWS Config GuardDuty, e do Amazon Inspector. A equipe de nuvem implementa seus próprios mecanismos para capturar quaisquer descobertas que a equipe de aplicativos não tenha percebido. Para obter mais orientações sobre a criação de um programa de gerenciamento de vulnerabilidades para abordar as descobertas, consulte Criando um programa de gerenciamento de vulnerabilidades escalável em AWS.

Aplicativos de patch

  • A equipe de aplicativos corrige instâncias com base nas descobertas do Amazon Inspector.

  • A equipe de nuvem corrige a AMI básica, e a equipe de aplicativos recebe um alerta quando essa AMI é alterada.

  • A equipe de aplicativos restringe o acesso direto às suas EC2 instâncias configurando regras de grupos de segurança para permitir tráfego somente nas portas exigidas pela carga de trabalho.

  • A equipe de aplicativos usa o Patch Manager para corrigir instâncias em vez de fazer login em instâncias individuais.

  • Para executar comandos arbitrários em grupos de EC2 instâncias, a equipe de aplicativos usa o Run Command.

  • Nas raras ocasiões em que a equipe de aplicativos precisa de acesso direto a uma instância, ela usa o Gerenciador de Sessões. Essa abordagem de acesso usa identidades federadas e registra qualquer atividade da sessão para fins de auditoria.

Restringir privilégios administrativos

  • A equipe de aplicativos configura as regras do grupo de segurança para permitir o tráfego somente nas portas exigidas pela carga de trabalho. Isso restringe o acesso direto às EC2 instâncias da Amazon e exige que os usuários acessem as EC2 instâncias por meio do Session Manager.

  • A equipe de aplicativos depende da federação de identidade da equipe de nuvem centralizada para rotação de credenciais e registro centralizado.

  • A equipe do aplicativo cria uma CloudTrail trilha e CloudWatch filtra.

  • A equipe do aplicativo configura alertas do Amazon SNS para CodePipeline implantações e CloudFormation exclusões de pilhas.

Patch de sistemas operacionais

  • A equipe de nuvem corrige a AMI básica, e a equipe de aplicativos recebe um alerta quando essa AMI é alterada. A equipe de aplicativos implanta novas instâncias usando essa AMI e, em seguida, usa o State Manager, um recurso do Systems Manager, para instalar o software necessário.

  • A equipe de aplicativos usa o Patch Manager para corrigir instâncias, instância de login em instâncias individuais.

  • Para executar comandos arbitrários em grupos de EC2 instâncias, a equipe de aplicativos usa o Run Command.

  • Nas raras ocasiões em que a equipe de aplicativos precisa de acesso direto, ela usa o Gerenciador de Sessões.

Autenticação multifator

  • A equipe de aplicativos conta com a solução centralizada de federação de identidades descrita na Arquitetura principal seção. Essa solução aplica a MFA, registra autenticações e alerta ou responde automaticamente a eventos suspeitos de MFA.

Backups regulares

  • A equipe de aplicativos cria um AWS Backup plano para suas EC2 instâncias e volumes do Amazon Elastic Block Store (Amazon EBS).

  • A equipe de aplicativos implementa um mecanismo para realizar uma restauração de backup manualmente todos os meses.