Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Thema 3: Verwaltung veränderbarer Infrastrukturen mit Automatisierung
<a name="theme-3"></a>

**Die acht wichtigsten Strategien werden behandelt**  
Anwendungssteuerung, Patchanwendungen, Patch-Betriebssysteme

Ähnlich wie bei einer unveränderlichen Infrastruktur verwalten Sie eine veränderliche Infrastruktur als IaC und ändern oder aktualisieren diese Infrastruktur mithilfe automatisierter Prozesse. Viele der Implementierungsschritte für eine unveränderliche Infrastruktur gelten auch für eine veränderliche Infrastruktur. Bei veränderlicher Infrastruktur müssen Sie jedoch auch manuelle Kontrollen implementieren, um sicherzustellen, dass die modifizierten Workloads weiterhin den bewährten Methoden entsprechen.

Bei veränderlicher Infrastruktur können Sie das Patch-Management mithilfe von [Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html) automatisieren, einer Funktion von. AWS Systems Manager Aktivieren Sie Patch Manager in allen Konten in Ihrer AWS Organisation.

Verhindern Sie direkten SSH- und RDP-Zugriff und verlangen Sie, dass Benutzer [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) oder [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html) verwenden, die ebenfalls Funktionen von Systems Manager sind. Im Gegensatz zu SSH und RDP können mit diesen Funktionen Systemzugriffe und Änderungen protokolliert werden.

Um die Einhaltung von Patches zu überwachen und darüber Bericht zu erstatten, müssen Sie fortlaufend die Patch-Konformität überprüfen. Mithilfe von AWS Config Regeln können Sie sicherstellen, dass alle EC2 Amazon-Instances von Systems Manager verwaltet werden, über die erforderlichen Berechtigungen und installierten Anwendungen verfügen und die Patch-Konformität einhalten.

## Verwandte Best Practices im AWS Well-Architected Framework
<a name="theme-3-best-practices"></a>
+ [SEC06-BP03 Reduzieren der manuellen Verwaltung und des interaktiven Zugriffs](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_reduce_manual_management.html)
+ [SEC06-BP05 Automatisieren Sie den Computerschutz](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_auto_protection.html)

## Implementierung dieses Themas
<a name="theme-3-implementation"></a>

### Automatisieren Sie das Patchen
<a name="t3-automate-patching"></a>
+ Implementieren Sie die Schritte [unter Patch Manager aktivieren in allen Konten Ihrer Organisation AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)
+ Fügen Sie für alle EC2 Instances das `CloudWatchAgentServerPolicy` und `AmazonSSMManagedInstanceCore` in das [Instanzprofil oder die IAM-Rolle](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) ein, die Systems Manager für den Zugriff auf Ihre Instance verwendet

### Verwenden Sie Automatisierung statt manueller Prozesse
<a name="t3-automate"></a>
+ Implementieren Sie die Anweisungen unter [AMI implementieren und Pipelines zum Erstellen von Containern](theme-2.md#theme-2-implementation) in [Thema 2: Verwaltung einer unveränderlichen Infrastruktur durch sichere Pipelines](theme-2.md)
+ Verwenden Sie [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) oder [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html) anstelle des direkten SSH- oder RDP-Zugriffs

### Verwenden Sie die Automatisierung, um Folgendes auf Instanzen zu installieren EC2
<a name="t3-ec2"></a>
+ [AWS Systems Manager Agent (SSM-Agent)](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-linux.html), der für die Erkennung und Verwaltung von Instanzen verwendet wird
+ [Sicherheitstools für die Anwendungskontrolle, wie [Security Enhanced Linux (SELinux) (GitHub)](https://github.com/SELinuxProject), [File Access Policy Daemon (fapolicyd) ()](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md) oder OpenSCAP GitHub](https://www.open-scap.org/)
+ [Amazon CloudWatch Agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html), der für die Protokollierung verwendet wird

### Führen Sie vor jeder Veröffentlichung einen Peer-Review-Prozess durch, um sicherzustellen, dass die Änderungen den bewährten Verfahren entsprechen
<a name="t3-peer-review"></a>
+ IAM-Richtlinien, die zu freizügig sind, z. B. solche, die Platzhalter verwenden
+ Zu freizügige Sicherheitsgruppenregeln, z. B. solche, die Platzhalter verwenden oder SSH-Zugriff zulassen
+ Zugriffsprotokolle, die nicht aktiviert sind
+ Verschlüsselung, die nicht aktiviert ist
+ Passwortliterale
+ Sichere IAM-Richtlinien

### Verwenden Sie Kontrollen auf Identitätsebene
<a name="t3-identity-controls"></a>
+ Um zu verlangen, dass Benutzer Ressourcen mithilfe automatisierter Prozesse ändern, und um eine manuelle Konfiguration zu verhindern, sollten Sie nur Leseberechtigungen für Rollen zulassen, die Benutzer annehmen können
+ Gewähren Sie Berechtigungen zum Ändern von Ressourcen nur für Servicerollen, z. B. für die von Systems Manager verwendete Rolle

### Implementieren Sie das Scannen nach Schwachstellen
<a name="t3-vulnerability-scanning"></a>
+ Implementieren Sie die Hinweise unter [Implementieren Sie das Scannen nach Sicherheitslücken](theme-2.md#theme-2-implementation) in [Thema 2: Verwaltung einer unveränderlichen Infrastruktur durch sichere Pipelines](theme-2.md)
+ Scannen Sie Ihre EC2 Instances mithilfe von Amazon Inspector

## Dieses Thema wird überwacht
<a name="theme-3-monitoring"></a>

### Überwachen Sie die Patch-Konformität kontinuierlich
<a name="t3-patch-compliance"></a>
+ [Mithilfe von Automatisierung und Dashboards können Sie Berichte zur Patch-Compliance erstellen](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)
+ Implementieren Sie einen Mechanismus zur Überprüfung von Dashboards auf Patch-Konformität

### Überwachen Sie IAM und die Protokolle kontinuierlich
<a name="t3-monitor-iam"></a>
+ Überprüfen Sie Ihre IAM-Richtlinien regelmäßig, um sicherzustellen, dass:
  + Nur Bereitstellungspipelines haben direkten Zugriff auf Ressourcen
  + Nur zugelassene Dienste haben direkten Zugriff auf Daten
  + Benutzer haben keinen direkten Zugriff auf Ressourcen oder Daten
+ Überwachen Sie AWS CloudTrail Protokolle, um sicherzustellen, dass Benutzer Ressourcen über Pipelines ändern und nicht direkt Ressourcen ändern oder auf Daten zugreifen
+ Überprüfen Sie die Ergebnisse AWS Identity and Access Management Access Analyzer regelmäßig
+ Richten Sie eine Benachrichtigung ein, um Sie zu benachrichtigen, wenn die Root-Benutzeranmeldeinformationen für eine verwendet AWS-Konto werden

### Implementieren Sie die folgenden AWS Config Regeln
<a name="t3-cc-rules"></a>
+ `EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK`
+ `EC2_INSTANCE_MANAGED_BY_SSM`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps`
+ `IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM`
+ `EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK`
+ `REQUIRED_TAGS`
+ `RESTRICTED_INCOMING_TRAFFIC - 22, 3389`