用于自动响应的选项
务必确保在企业实施和组织结构之间取得平衡。图 4 用雷达图说明了 AWS 实施中每个自动响应选项的技术属性差异。在图表中,技术属性从图表中心移得越远,相应自动化响应的该技术属性就越强。例如,AWS Lambda 提供更快的速度,且所需的技术技能集更少。AWS Fargate 提供更大的灵活性,且需要更少的维护和技术技能组合。表 1 概述了这些自动化选项,并提供了每个选项的技术属性摘要。
图 4:不同自动响应方法的技术属性差异
表 1:自动响应的选项
| AWS 服务或功能 | 说明 | 属性摘要* |
|---|---|---|
| AWS Lambda | 系统仅使用 AWS Lambda,使用您所在组织的企业语言。 |
速度 灵活性 维护 技能组合 |
| AWS Step Functions | 系统使用 AWS Step Functions、Lambda 和 SSM Agent。 |
速度 灵活性 维护 技能组合 |
| 使用 AWS Config 规则 自动修复 | 评估环境并将其推回到已批准规范的一组 AWS Config 规则 和自动修复。 |
维护和技能组合 速度和灵活性 |
| SSM Agent | 一组自动化规则和文档,用于审查环境和内部系统的多个部分并进行更正。 |
维护和技能组合 速度 灵活性 |
| AWS Fargate | AWS Fargate 系统使用开源阶跃函数代码以及来自 Amazon CloudWatch 和其他系统的事件,从而推动检测和修复。 |
灵活性 速度 维护和技能组合 |
| Amazon EC2 | 在完整实例上运行的系统,与 AWS Fargate 选项类似。 |
灵活性 速度 维护 技能组合 |
* 每项服务或功能的属性按降序列出。例如,AWS Lambda 提供更快的速度,且所需的技术技能集更少。AWS Fargate 提供更大的灵活性,且需要更少的维护和技术技能组合。
在您的 AWS 环境中考虑这些自动化选项时,还需要考虑集中化和扫描周期(每秒事件数 [EPS])。
集中化是指推动组织的所有检测和修复工作的中央账户。这种方法似乎是开箱即用的最佳选择,也是当前的最佳实践。但在某些情况下,不能采用这种方法,并且要求您根据处理下属账户的方式了解何时采用此方法。我们建议您利用 AWS Organizations 中的多账户框架
表 2:集中化的利弊
| 集中化 | 去中心化 | |
|---|---|---|
| 优点 |
简单的配置管理 无法取消或修改响应 |
简单的架构 更快的初始设置 |
| 缺点 |
架构的复杂性增加 载入/停用账户和资源 |
要管理更多资源 难以维护软件基准 |
对这些实施的成本进行比较也可能促使您的企业作出决定以确定最佳选项。每秒事件数(EPS)是您用来最好地估算成本的指标。最后,使用集中化或去中心化方法可能会更容易和更便宜,但是我们无法审查您将如何具体评估账户中的成本。在将这些事件发送到要响应的中央账户时,请务必考虑 EPS。EPS 越多,将这些事件发送到集中化账户的成本就越高。
