工作负载示例：容器化 Web 服务

此工作负载就是一个示例主题 2：通过安全管道管理不可变基础架构。

该网络服务在 Amazon ECS 上运行，并使用 Amazon RDS 中的数据库。应用团队在 AWS CloudFormation 模板中定义这些资源。容器使用 EC2 Image Builder 创建并存储在 Amazon ECR 中。应用程序团队通过 AWS CodePipeline将更改部署到系统。此管道仅限应用团队使用。当应用程序团队对代码存储库提出拉取请求时，将使用两人规则。

对于这种工作负载，应用程序团队采取以下措施来解决基本八大策略。

应用程序控制

• 应用程序团队支持在 Amazon Inspector 中扫描 Amazon ECR 容器镜像。

• 应用团队在 Image B EC2 uilder 管道中构建了文件访问策略守护程序 (fapolicyd) 安全工具。有关更多信息，请参阅 ACSC 网站上的 “实现应用程序控制”。

• 应用程序团队将 Amazon ECS 任务定义配置为将输出记录到 Amazon CloudWatch 日志。

• 应用程序团队实施了检查和管理 Amazon Inspector 调查结果的机制。

补丁应用程序

• 应用程序团队支持在 Amazon Inspector 中扫描 Amazon ECR 容器映像，并为已弃用或易受攻击的库配置警报。

• 应用程序团队会自动回应 Amazon Inspector 的调查结果。新发现通过Amazon EventBridge 触发器启动其部署渠道，并且 CodePipeline 是目标。

• 应用程序团队可以跟踪 AWS 资源 AWS Config 以进行资产发现。

限制管理权限

• 应用程序团队已经通过部署管道上的批准规则来限制对生产部署的访问权限。

• 应用团队依靠集中式云团队的身份联合来轮换凭据和集中记录。

• 应用团队创建 CloudTrail 跟踪和 CloudWatch 过滤器。

• 应用程序团队为 CodePipeline 部署和 CloudFormation堆栈删除设置 Amazon SNS 警报。

修补操作系统

• 应用程序团队支持在 Amazon Inspector 中扫描 Amazon ECR 容器镜像，并为操作系统补丁更新配置警报。

• 应用程序团队会自动回应 Amazon Inspector 的调查结果。新发现通过 EventBridge 触发器启动其部署管道，并且 CodePipeline 是目标。

• 应用程序团队订阅 Amazon RDS 事件通知，以便他们了解最新情况。他们与企业主一起做出基于风险的决定，决定是手动应用这些更新，还是让 Amazon RDS 自动应用这些更新。

• 应用程序团队将 Amazon RDS 实例配置为多可用区集群，以减少维护事件的影响。

多重身份验证

• 应用程序团队依赖本核心架构节中描述的集中式身份联合解决方案。此解决方案强制执行 MFA、记录身份验证和警报，或者自动响应可疑 MFA 事件。

定期备份

• 应用程序团队配置 AWS Backup 为自动备份其 Amazon RDS 集群的数据。

• 应用团队将 CloudFormation 模板存储在代码存储库中。

• 应用程序团队开发了一个自动化管道，用于在另一个区域创建其工作负载的副本并运行自动测试（AWS 博客文章）。自动测试运行后，管道会销毁堆栈。该管道每月自动运行一次，并验证恢复程序的有效性。