Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Thema 2: Verwaltung einer unveränderlichen Infrastruktur durch sichere Pipelines
**Die acht wichtigsten Strategien werden behandelt**
Anwendungssteuerung, Patchanwendungen, Patch-Betriebssysteme
Für eine unveränderliche Infrastruktur müssen Sie die Bereitstellungspipelines für Systemänderungen sichern. AWS Der angesehene Ingenieur Colm MacCárthaigh erläuterte dieses Prinzip in der Video-Präsentation [Zero-Privilege Operations: Running Services Without Access to Data](https://www.youtube.com/watch?v=kNbNWxVQP4w) (YouTubeVideo) auf der re:Invent-Konferenz 2022. AWS
Indem Sie den direkten Zugriff auf konfigurierte Ressourcen einschränken, können Sie verlangen, dass alle AWS Ressourcen über genehmigte, sichere und automatisierte Pipelines bereitgestellt oder geändert werden. In der Regel erstellen Sie [AWS Identity and Access Management (IAM-)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) Richtlinien, die es Benutzern ermöglichen, nur auf das Konto zuzugreifen, das die Bereitstellungspipeline hostet. Sie konfigurieren auch IAM-Richtlinien, die einer begrenzten Anzahl von [Benutzern den Zugriff auf die Sicherheitslücke](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html) ermöglichen. Um manuelle Änderungen zu verhindern, können Sie Sicherheitsgruppen verwenden, um den SSH- und RDP-Zugriff (WindowsRemote Desktop Protocol) auf Server zu blockieren. [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html), eine Funktion von AWS Systems Manager, kann den Zugriff auf Instanzen ermöglichen, ohne dass eingehende Ports geöffnet oder Bastion-Hosts verwaltet werden müssen.
Amazon Machine Images (AMIs) und Container-Images müssen sicher und wiederholbar erstellt werden. Für EC2 Amazon-Instances können Sie [EC2 Image Builder verwenden AMIs , um Builds](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html) mit integrierten Sicherheitsfunktionen wie Instance-Erkennung, Anwendungssteuerung und Protokollierung zu erstellen. Weitere Informationen zur Anwendungssteuerung finden Sie unter [Implementing Application Control](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/implementing-application-control) auf der ACSC-Website. Sie können Image Builder auch verwenden, um Container-Images zu erstellen, und Sie können [Amazon Elastic Container Registry (Amazon ECR)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/what-is-ecr.html) verwenden, um diese Images für mehrere Konten gemeinsam zu nutzen. Ein zentrales Sicherheitsteam kann den automatisierten Prozess zur Erstellung dieser AMIs und Container-Images genehmigen, sodass jedes resultierende AMI oder Container-Image für die Verwendung durch die Anwendungsteams genehmigt wird.
Anwendungen müssen in Infrastructure as Code (IaC) mithilfe von Diensten wie [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)oder [AWS Cloud Development Kit (AWS CDK)](https://docs.aws.amazon.com/cdk/v2/guide/home.html)definiert werden. Codeanalysetools wie AWS CloudFormation Guard cfn-nag oder cdk-nag können Code automatisch anhand der bewährten Sicherheitsverfahren in Ihrer genehmigten Pipeline testen.
Wie bei [Thema 1: Managed Services nutzen](theme-1.md) kann Amazon Inspector Sicherheitslücken in Ihrem Bereich melden AWS-Konten. Zentralisierte Cloud- und Sicherheitsteams können anhand dieser Informationen überprüfen, ob das Anwendungsteam die Sicherheits- und Compliance-Anforderungen erfüllt.
Führen Sie fortlaufende Überprüfungen der IAM-Ressourcen und -Protokolle durch, um die Einhaltung der Vorschriften zu überwachen und darüber Bericht zu erstatten. Stellen Sie mithilfe von AWS Config Regeln sicher, dass nur genehmigte Ressourcen verwendet AMIs werden, und stellen Sie sicher, dass Amazon Inspector so konfiguriert ist, dass Amazon ECR-Ressourcen auf Sicherheitslücken gescannt werden.
## Verwandte Best Practices im AWS Well-Architected Framework
+ [OPS05-BP04 Einsatz von Systemen zur Build- und Bereitstellungsverwaltung](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_dev_integ_build_mgmt_sys.html)
+ [REL08-BP04 Bereitstellung mit einer unveränderlichen Infrastruktur](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_tracking_change_management_immutable_infrastructure.html)
+ [SEC06-BP03 Reduzieren der manuellen Verwaltung und des interaktiven Zugriffs](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_reduce_manual_management.html)
## Umsetzung dieses Themas
### Implementieren Sie AMI- und Container-Build-Pipelines
+ [Verwenden Sie EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/start-build-image-pipeline.html) und bauen Sie Folgendes in Ihr ein AMIs:
+ [AWS Systems Manager Agent (SSM-Agent)](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-linux.html), der für die Erkennung und Verwaltung von Instanzen verwendet wird
+ [Sicherheitstools für die Anwendungskontrolle, wie [Security Enhanced Linux (SELinux) (GitHub)](https://github.com/SELinuxProject), [File Access Policy Daemon (fapolicyd) ()](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md) oder OpenSCAP GitHub](https://www.open-scap.org/)
+ [Amazon CloudWatch Agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html), der für die Protokollierung verwendet wird
+ Fügen Sie für alle EC2 Instances die `AmazonSSMManagedInstanceCore` Richtlinien `CloudWatchAgentServerPolicy` und in das [Instanzprofil oder die IAM-Rolle](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) ein, die Systems Manager für den Zugriff auf Ihre Instance verwendet
+ [ AMIs Mit der gesamten Organisation teilen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/share-amis-with-organizations-and-OUs.html)
+ [ EC2 Image Builder Builder-Ressourcen teilen](https://docs.aws.amazon.com/imagebuilder/latest/userguide/manage-shared-resources.html)
+ [Stellen Sie sicher, dass die Anwendungsteams auf die neuesten Versionen verweisen AMIs](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/walkthrough-custom-resources-lambda-lookup-amiids.html)
+ [Verwenden Sie Ihre AMI-Pipeline für das Patch-Management](https://docs.aws.amazon.com/imagebuilder/latest/userguide/security-patch-management.html)
+ Implementieren Sie Container-Build-Pipelines:
+ [Erstellen Sie eine Container-Image-Pipeline mit dem EC2 Image Builder Builder-Konsolenassistenten](https://docs.aws.amazon.com/imagebuilder/latest/userguide/start-build-container-pipeline.html)
+ [Erstellen Sie eine Continuous-Delivery-Pipeline für Ihre Container-Images, indem Sie Amazon ECR als Quelle](https://aws.amazon.com/blogs/devops/build-a-continuous-delivery-pipeline-for-your-container-images-with-amazon-ecr-as-source/) verwenden (AWS Blogbeitrag)
+ [Teilen Sie ECR-Container-Images unternehmensweit über Architekturen mit mehreren Konten und Regionen](https://aws.amazon.com/blogs/containers/amazon-ecr-in-multi-account-and-multi-region-architectures/)
### Implementieren Sie sichere Pipelines zur Anwendungsentwicklung
+ Implementieren Sie Build-Pipelines für IaC, z. B. mithilfe von [EC2 Image Builder und AWS CodePipeline](https://aws.amazon.com/blogs/mt/create-immutable-servers-using-ec2-image-builder-aws-codepipeline/) (AWS Blogbeitrag)
+ Verwenden Sie Codeanalysetools wie [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html)[cfn-nag (GitHub) oder [cdk-nag](https://github.com/cdklabs/cdk-nag)](https://github.com/stelligent/cfn_nag) (GitHub) in CI/CD Pipelines, um Verstöße gegen bewährte Methoden zu erkennen, z. B.:
+ IAM-Richtlinien, die zu freizügig sind, z. B. solche, die Platzhalter verwenden
+ Zu freizügige Sicherheitsgruppenregeln, z. B. solche, die Platzhalter verwenden oder SSH-Zugriff zulassen
+ Zugriffsprotokolle, die nicht aktiviert sind
+ Verschlüsselung, die nicht aktiviert ist
+ Passwortliterale
+ [Implementieren Sie Scan-Tools in Pipelines](https://aws.amazon.com/blogs/devops/building-end-to-end-aws-devsecops-ci-cd-pipeline-with-open-source-sca-sast-and-dast-tools/) (AWS Blogbeitrag)
+ [Verwendung AWS Identity and Access Management Access Analyzer in Pipelines](https://aws.amazon.com/blogs/security/validate-iam-policies-in-cloudformation-templates-using-iam-access-analyzer/) (AWS Blogbeitrag) zur Validierung von IAM-Richtlinien, die in Vorlagen definiert sind CloudFormation
+ Konfigurieren Sie [IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#:~:text=IAM%20policies%20define%20permissions%20for,CLI%2C%20or%20the%20AWS%20API.) und [Dienststeuerungsrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) für den Zugriff mit den geringsten Rechten, um die Pipeline zu verwenden oder Änderungen daran vorzunehmen
### Implementieren Sie Sicherheitslückenscans
+ [Aktivieren Sie Amazon Inspector in allen Konten in Ihrer Organisation](https://docs.aws.amazon.com/inspector/latest/user/designating-admin.html)
+ Verwenden Sie Amazon Inspector, um Ihre AMI-Build-Pipeline zu scannen AMIs :
+ [Den Lebenszyklus von AMIs in EC2 Image Builder verwalten](https://github.com/aws-samples/ec2-imagebuilder-ami-lifecycle) (GitHub)
+ [Konfigurieren Sie erweitertes Scannen für Amazon ECR-Repositorys mithilfe von Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning-ecr.html#configure-ecr)
+ [Entwickeln Sie ein Schwachstellen-Management-Programm, um Sicherheitslücken ausfindig zu machen und zu korrigieren](https://docs.aws.amazon.com/prescriptive-guidance/latest/vulnerability-management/)
## Überwachung dieses Themas
### Überwachen Sie IAM und die Protokolle kontinuierlich
+ Überprüfen Sie Ihre IAM-Richtlinien regelmäßig, um sicherzustellen, dass:
+ Nur Bereitstellungspipelines haben direkten Zugriff auf Ressourcen
+ Nur zugelassene Dienste haben direkten Zugriff auf Daten
+ Benutzer haben keinen direkten Zugriff auf Ressourcen oder Daten
+ Überwachen Sie AWS CloudTrail Protokolle, um sicherzustellen, dass Benutzer Ressourcen über Pipelines ändern und nicht direkt Ressourcen ändern oder auf Daten zugreifen
+ Überprüfen Sie regelmäßig die Ergebnisse von IAM Access Analyzer
+ Richten Sie eine Warnung ein, um Sie zu benachrichtigen, wenn die Root-Benutzeranmeldedaten für einen verwendet AWS-Konto werden
### Implementieren Sie die folgenden AWS Config Regeln
+ `APPROVED_AMIS_BY_ID`
+ `APPROVED_AMIS_BY_TAG`
+ `ECR_PRIVATE_IMAGE_SCANNING_ENABLED`