本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
主題 3:使用自動化管理可變基礎設施
涵蓋的基本八大策略
應用程式控制、修補程式應用程式、修補程式作業系統
與不可變基礎設施類似,您會將可變基礎設施管理為 IaC,並透過自動化程序修改或更新此基礎設施。許多不可變基礎設施的實作步驟也適用於不可變基礎設施。不過,對於可變基礎設施,您還必須實作手動控制,以確保修改後的工作負載仍遵循最佳實務。
對於可變基礎設施,您可以使用 的修補程式管理員功能來自動化修補程式管理 AWS Systems Manager。在您 AWS 組織的所有帳戶中啟用修補程式管理員。
防止直接 SSH 和 RDP 存取,並要求使用者使用 Session Manager 或 Run Command,這也是 Systems Manager 的功能。與 SSH 和 RDP 不同,這些功能可以記錄系統存取和變更。
若要監控和報告合規性,您必須持續執行修補程式合規性的審核。您可以使用 AWS Config 規則來確保所有 Amazon EC2 執行個體都由 Systems Manager 管理、具有必要的許可和已安裝的應用程式,以及符合修補程式合規。
AWS Well-Architected Framework 中的相關最佳實務
實作此主題
自動化修補
-
在您組織的所有帳戶中 AWS 實作啟用修補程式管理員中的步驟
-
對於所有 EC2 執行個體,請在 Systems Manager 用來存取執行個體的執行個體設定檔或 IAM 角色
AmazonSSMManagedInstanceCore中包含CloudWatchAgentServerPolicy和
使用自動化而非手動程序
-
在 中實作 AMI 和容器建置管道中的 指南 主題 2:透過安全管道管理不可變的基礎設施
-
使用 Session Manager 或 Run Command 而非直接 SSH 或 RDP 存取
使用自動化在 EC2 執行個體上安裝下列項目
-
AWS Systems Manager Agent (SSM Agent),用於執行個體探索和管理
-
應用程式控制的安全工具,例如 Security Enhanced Linux (SELinux)
(GitHub)、File Access Policy Daemon (fapolicyd) (GitHub) 或 OpenSCAP
在任何版本之前使用同儕審查,以確保變更符合最佳實務
-
過於寬鬆的 IAM 政策,例如使用萬用字元的政策
-
過於寬鬆的安全群組規則,例如使用萬用字元或允許 SSH 存取的安全群組規則
-
未啟用的存取日誌
-
未啟用的加密
-
密碼常值
-
安全 IAM 政策
使用身分層級控制項
-
若要要求使用者透過自動化程序修改資源並防止手動設定,請允許使用者可擔任之角色的唯讀許可
-
准許僅修改資源給服務角色,例如 Systems Manager 使用的角色
實作漏洞掃描
-
在 中實作漏洞掃描中實作指引 主題 2:透過安全管道管理不可變的基礎設施
-
使用 Amazon Inspector 掃描 EC2 執行個體
監控此主題
持續監控修補程式合規
-
實作機制來檢閱儀表板的修補程式合規
持續監控 IAM 和日誌
-
定期檢閱您的 IAM 政策,以確保:
-
只有部署管道可以直接存取資源
-
只有核准的服務可以直接存取資料
-
使用者無法直接存取資源或資料
-
-
監控 AWS CloudTrail 日誌,以確保使用者透過管道修改資源,且不會直接修改資源或存取資料
-
定期檢閱 AWS Identity and Access Management Access Analyzer 問題清單
-
設定提醒,以便在 AWS 帳戶 使用 的根使用者登入資料時通知您
實作下列 AWS Config 規則
-
EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK -
EC2_INSTANCE_MANAGED_BY_SSM -
EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent -
EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps -
IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM -
EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK -
REQUIRED_TAGS -
RESTRICTED_INCOMING_TRAFFIC - 22, 3389
