Tema 3: Gerenciar infraestrutura mutável com automação - AWS Orientação prescritiva
Práticas recomendadas relacionadas:Implementando este temaMonitorando este tema

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tema 3: Gerenciar infraestrutura mutável com automação

Oito estratégias essenciais abordadas

Controle de aplicativos, aplicativos de patches, sistemas operacionais de patches

Semelhante à infraestrutura imutável, você gerencia a infraestrutura mutável como IaC e modifica ou atualiza essa infraestrutura por meio de processos automatizados. Muitas das etapas de implementação da infraestrutura imutável também se aplicam à infraestrutura mutável. No entanto, para uma infraestrutura mutável, você também deve implementar controles manuais para garantir que as cargas de trabalho modificadas ainda sigam as melhores práticas.

Para uma infraestrutura mutável, você pode automatizar o gerenciamento de patches usando o Patch Manager, um recurso de. AWS Systems Manager Ative o Patch Manager em todas as contas AWS da sua organização.

Evite o acesso direto ao SSH e ao RDP e exija que os usuários usem o Session Manager ou o Run Command, que também são recursos do Systems Manager. Diferentemente do SSH e do RDP, esses recursos podem registrar o acesso e as alterações do sistema.

Para monitorar e relatar a conformidade, você deve realizar análises contínuas da conformidade do patch. Você pode usar AWS Config regras para garantir que todas as EC2 instâncias da Amazon sejam gerenciadas pelo Systems Manager, tenham as permissões necessárias e os aplicativos instalados e estejam em conformidade com os patches.

Melhores práticas relacionadas no AWS Well-Architected Framework

Implementando este tema

Automatize a aplicação de patches

Use automação em vez de processos manuais

Use a automação para instalar o seguinte nas EC2 instâncias

Use a revisão por pares antes de qualquer lançamento para garantir que as mudanças estejam de acordo com as melhores práticas

  • Políticas do IAM que são muito permissivas, como aquelas que usam curingas

  • Regras de grupo de segurança que são muito permissivas, como aquelas que usam curingas ou permitem acesso SSH

  • Registros de acesso que não estão habilitados

  • Criptografia que não está ativada

  • Literais de senha

  • Políticas seguras de IAM

Use controles em nível de identidade

  • Para exigir que os usuários modifiquem recursos por meio de processos automatizados e evitar a configuração manual, conceda permissões somente de leitura para funções que os usuários possam assumir

  • Conceda permissões para modificar recursos somente para funções de serviço, como a função usada pelo Systems Manager

Implementar verificação de vulnerabilidades

Monitorando este tema

Monitore a conformidade dos patches continuamente

Monitore o IAM e os registros continuamente

  • Revise periodicamente suas políticas do IAM para garantir que:

    • Somente os pipelines de implantação têm acesso direto aos recursos

    • Somente serviços aprovados têm acesso direto aos dados

    • Os usuários não têm acesso direto a recursos ou dados

  • Monitore AWS CloudTrail os registros para garantir que os usuários estejam modificando recursos por meio de pipelines e não estejam modificando recursos ou acessando dados diretamente

  • Revise periodicamente AWS Identity and Access Management Access Analyzer os resultados

  • Configure um alerta para notificá-lo se as credenciais do usuário raiz de um Conta da AWS forem usadas

Implemente as seguintes AWS Config regras

  • EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

  • EC2_INSTANCE_MANAGED_BY_SSM

  • EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent

  • EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps

  • IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM

  • EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

  • REQUIRED_TAGS

  • RESTRICTED_INCOMING_TRAFFIC - 22, 3389