工作負載範例：無伺服器資料湖

此工作負載是 的範例主題 1：使用 受管服務。

資料湖使用 Amazon S3 儲存和 AWS Lambda ETL。這些資源在 AWS Cloud Development Kit (AWS CDK) 應用程式中定義。透過 部署對系統所做的變更 AWS CodePipeline。此管道僅限於應用程式團隊。當應用程式團隊對程式碼儲存庫提出提取請求時，會使用兩人規則。

對於此工作負載，應用程式團隊會採取下列動作來解決 Essential Eight 策略。

應用程式控制

• 應用程式團隊會在 GuardDuty 中啟用 Lambda 保護，並在 Amazon Inspector 中啟用 Lambda 掃描。

• 應用程式團隊實作機制來檢查和管理 Amazon Inspector 調查結果。

修補程式應用程式

• 應用程式團隊會在 Amazon Inspector 中啟用 Lambda 掃描，並設定已棄用或易受攻擊程式庫的提醒。

• 應用程式團隊 AWS Config 可讓 追蹤資產探索 AWS 的資源。

限制管理權限

• 如 核心架構節所述，應用程式團隊已透過其部署管道上的核准規則限制對生產部署的存取。

• 應用程式團隊倚賴 核心架構 一節所述的集中式聯合身分和集中式記錄解決方案。

• 應用程式團隊會建立 AWS CloudTrail 追蹤和 Amazon CloudWatch 篩選條件。

• 應用程式團隊會設定 CodePipeline 部署和 AWS CloudFormation 堆疊刪除的 Amazon Simple Notification Service (Amazon SNS) 提醒。

修補程式作業系統

• 應用程式團隊會在 Amazon Inspector 中啟用 Lambda 掃描，並設定已棄用或易受攻擊程式庫的提醒。

多重要素驗證

• 應用程式團隊倚賴 核心架構章節所述的集中式身分聯合解決方案。此解決方案會強制執行 MFA、記錄身分驗證，以及提醒或自動回應可疑的 MFA 事件。

定期備份

• 應用程式團隊會將程式碼，例如 AWS CDK 應用程式和 Lambda 函數和組態，存放在程式碼儲存庫中。

• 應用程式團隊會啟用版本控制和 Amazon S3 物件鎖定，以協助防止物件遭到刪除或修改。

• 應用程式團隊依賴內建的 Amazon S3 耐用性，而不是將其整個資料集複製到另一個資料集 AWS 區域。

• 應用程式團隊會在另一個 中執行工作負載的副本 AWS 區域 ，以符合其資料主權需求。他們使用 Amazon DynamoDB 全域資料表和 Amazon S3 跨區域複寫，將資料從主要區域自動複寫到次要區域。