工作負載範例：容器化 Web 服務

此工作負載是 的範例主題 2：透過安全管道管理不可變的基礎設施。

Web 服務會在 Amazon ECS 上執行，並使用 Amazon RDS 中的資料庫。應用程式團隊會在 AWS CloudFormation 範本中定義這些資源。使用 EC2 Image Builder 建立容器，並存放在 Amazon ECR 中。應用程式團隊透過 部署變更至系統 AWS CodePipeline。此管道僅限於應用程式團隊。當應用程式團隊對程式碼儲存庫提出提取請求時，會使用兩人規則。

對於此工作負載，應用程式團隊會採取下列動作來解決 Essential Eight 策略。

應用程式控制

• 應用程式團隊可在 Amazon Inspector 中掃描 Amazon ECR 容器映像。

• 應用程式團隊會將檔案存取政策 Daemon (fapolicyd) 安全工具建置至 EC2 Image Builder 管道。如需詳細資訊，請參閱 ACSC 網站上的實作應用程式控制。

• 應用程式團隊會設定 Amazon ECS 任務定義，將輸出記錄到 Amazon CloudWatch Logs。

• 應用程式團隊實作機制來檢查和管理 Amazon Inspector 調查結果。

修補程式應用程式

• 應用程式團隊可在 Amazon Inspector 中掃描 Amazon ECR 容器映像，並設定已棄用或易受攻擊程式庫的提醒。

• 應用程式團隊會自動回應 Amazon Inspector 調查結果。新的問題清單會透過 Amazon EventBridge 觸發程序啟動其部署管道，而 CodePipeline 是目標。

• 應用程式團隊可讓 AWS Config 追蹤資產探索 AWS 的資源。

限制管理權限

• 應用程式團隊已透過其部署管道上的核准規則，限制對生產部署的存取。

• 應用程式團隊倚賴集中式雲端團隊的聯合身分來輪換登入資料和集中式記錄。

• 應用程式團隊會建立 CloudTrail 追蹤和 CloudWatch 篩選條件。

• 應用程式團隊會為 CodePipeline 部署和 CloudFormation 堆疊刪除設定 Amazon SNS 警示。

修補程式作業系統

• 應用程式團隊可在 Amazon Inspector 中掃描 Amazon ECR 容器映像，並設定作業系統修補程式更新的提醒。

• 應用程式團隊會自動回應 Amazon Inspector 調查結果。新的問題清單會透過 EventBridge 觸發程序啟動其部署管道，而 CodePipeline 是目標。

• 應用程式團隊會訂閱 Amazon RDS 事件通知，以便通知他們更新。他們會與業務擁有者一起做出以風險為基礎的決策，以決定是否手動套用這些更新，或讓 Amazon RDS 自動套用這些更新。

• 應用程式團隊會將 Amazon RDS 執行個體設定為多可用區域叢集，以減少維護事件的影響。

多重要素驗證

• 應用程式團隊倚賴 核心架構章節所述的集中式身分聯合解決方案。此解決方案會強制執行 MFA、記錄身分驗證，以及提醒或自動回應可疑的 MFA 事件。

定期備份

• 應用程式團隊會設定 AWS Backup 來自動備份其 Amazon RDS 叢集的資料。

• 應用程式團隊會將 CloudFormation 範本存放在程式碼儲存庫中。

• 應用程式團隊會開發自動化管道，在另一個區域中建立工作負載的副本，並執行自動化測試 (AWS 部落格文章）。自動化測試執行後，管道會銷毀堆疊。此管道每月自動執行一次，並驗證復原程序的有效性。