主题 3：通过自动化管理可变基础架构

涵盖的八种基本策略

应用程序控制、补丁应用程序、修补操作系统

与不可变基础设施类似，您可以以 IaC 的身份管理可变基础架构，并通过自动化流程修改或更新此基础架构。不可变基础设施的许多实现步骤也适用于可变基础架构。但是，对于可变基础架构，您还必须实施手动控制，以确保修改后的工作负载仍遵循最佳实践。

对于可变基础架构，您可以使用 Patch Manager（一项功能）来自动管理补丁。 AWS Systems Manager在 AWS 组织中的所有帐户中启用补丁管理器。

防止直接访问 SSH 和 RDP，并要求用户使用会话管理器或运行命令，这也是 Systems Manager 的功能。与 SSH 和 RDP 不同，这些功能可以记录系统访问和更改。

要监控和报告合规性，必须持续检查补丁合规性。您可以使用 AWS Config 规则来确保所有 Amazon EC2 实例均由 Systems Manager 管理，拥有所需的权限和已安装的应用程序，并且符合补丁合规性。

Well-Architecte AWS d Framework 中的相关最佳实践

• SEC06-BP03 减少人工管理工作和交互式访问

• SEC06-BP05 自动计算保护

实现这个主题

自动修补

• 在AWS 组织中的所有账户中实施 “启用补丁管理器” 中的步骤

• 对于所有 EC2 实例，AmazonSSMManagedInstanceCore在 Systems Manager 用于访问您的实例的实例配置文件或 IAM 角色中包含CloudWatchAgentServerPolicy和

使用自动化而不是手动流程

• 在中实施 AMI 和容器构建管道中的指南 主题 2：通过安全管道管理不可变基础架构

• 使用会话管理器或运行命令而不是直接访问 SSH 或 RDP

使用自动化在 EC2实例上安装以下内容

• AWS Systems Manager 代理（SSM 代理），用于实例发现和管理

• 用于应用程序控制的安全工具，例如安全增强型 Linux (SELinux) (GitHub)、文件访问策略守护程序 (fapolicyd) (GitHub) 或 OpenSCAP

• Amazon A CloudWatch gent，用于记录

在发布任何版本之前使用同行评审，以确保更改符合最佳实践

• 过于宽松的 IAM 策略，例如使用通配符的策略

• 过于宽松的安全组规则，例如使用通配符或允许 SSH 访问的规则

• 未启用的访问日志

• 未启用的加密

• 密码文字

• 安全的 IAM 策略

使用身份级别的控件

• 要要求用户通过自动流程修改资源并防止手动配置，请为用户可以担任的角色允许只读权限

• 仅向服务角色授予修改资源的权限，例如 Systems Manager 使用的角色

实施漏洞扫描

• 在 “实施漏洞扫描” 中实施指南 主题 2：通过安全管道管理不可变基础架构

• 使用 Amazon Inspector 扫描您的 EC2 实例

监视此主题

持续监控补丁合规性

• 使用自动化和仪表板报告补丁合规性

• 实施一种机制来审查仪表板的补丁合规性

持续监控 IAM 和日志

• 定期查看您的 IAM 政策，以确保：

  • 只有部署管道可以直接访问资源

  • 只有经批准的服务才能直接访问数据

  • 用户无法直接访问资源或数据

• 监控 AWS CloudTrail 日志，确保用户通过管道修改资源，而不是直接修改资源或访问数据

• 定期审查 AWS Identity and Access Management Access Analyzer 调查结果

• 设置警报，以便在使用的 root 用户凭据 AWS 账户 时通知您

实施以下 AWS Config 规则

• EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

• EC2_INSTANCE_MANAGED_BY_SSM

• EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent

• EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps

• IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM

• EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

• REQUIRED_TAGS

• RESTRICTED_INCOMING_TRAFFIC - 22, 3389