本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
工作负载示例:Amazon 上的 COTS 软件 EC2
此工作负载就是一个示例主题 3:通过自动化管理可变基础架构。
在 Amazon 上运行的工作负载 EC2 是使用手动创建的 AWS Management Console。开发人员通过登录 EC2 实例并更新软件来手动更新系统。
对于这种工作负载,云和应用程序团队采取以下措施来解决基本八大策略。
应用程序控制
-
云团队配置其集中式 AMI 管道,以安装和配置 AWS Systems Manager 代理(SSM 代理)、 CloudWatch 代理和。 SELinux他们在组织中的所有账户中共享生成的 AMI。
-
云团队使用 AWS Config 规则来确认所有正在运行的EC2 实例均由 Systems Manager 管理,并且已安装 SSM 代理、 CloudWatch 代理并 SELinux 已安装。
-
云团队将 Amazon CloudWatch Logs 输出发送到在亚马逊 OpenSearch 服务上运行的集中式安全信息和事件管理 (SIEM) 解决方案。
-
应用程序团队实施机制来检查和管理来自 AWS Config、 GuardDuty和 Amazon Inspector 的调查结果。云团队实施自己的机制来捕捉应用团队错过的任何发现。有关创建漏洞管理程序以处理发现的更多指南,请参阅在上构建可扩展的漏洞管理程序 AWS。
补丁应用程序
-
应用程序团队根据 Amazon Inspector 的调查结果修补实例。
-
云团队修补基本 AMI,当该 AMI 发生变化时,应用团队会收到警报。
-
应用程序团队通过配置安全组规则,仅允许工作负载所需的端口上的流量,从而限制对其 EC2 实例的直接访问。
-
应用程序团队使用 Patch Manager 来修补实例,而不是登录单个实例。
-
要对 EC2 实例组运行任意命令,应用程序团队使用 Run Command。
-
在极少数情况下,当应用程序团队需要直接访问实例时,他们会使用会话管理器。这种访问方法使用联合身份并记录任何会话活动以供审计。
限制管理权限
-
应用程序团队将安全组规则配置为仅允许工作负载所需的端口上的流量。这限制了对 Amazon EC2 实例的直接访问,并要求用户通过会话管理器访问 EC2 实例。
-
应用团队依靠集中式云团队的身份联合来轮换凭据和集中记录。
-
应用团队创建 CloudTrail 跟踪和 CloudWatch 过滤器。
-
应用程序团队为 CodePipeline 部署和 CloudFormation堆栈删除设置 Amazon SNS 警报。
修补操作系统
-
云团队修补基本 AMI,当该 AMI 发生变化时,应用团队会收到警报。应用团队使用此 AMI 部署新实例,然后使用状态管理器(Systems Manager 的一项功能)来安装所需的软件。
-
应用程序团队使用 Patch Manager 来修补实例,即登录单个实例的实例。
-
要对 EC2 实例组运行任意命令,应用程序团队使用 Run Command。
-
在极少数情况下,当应用程序团队需要直接访问时,他们会使用会话管理器。
多重身份验证
-
应用程序团队依赖本核心架构节中描述的集中式身份联合解决方案。此解决方案强制执行 MFA、记录身份验证和警报,或者自动响应可疑 MFA 事件。
定期备份
-
应用程序团队为其 EC2 实例和亚马逊弹性区块存储 (Amazon EBS) 卷 AWS Backup 制定计划。
-
应用程序团队实施了一种机制,可以每月手动执行备份恢复。
