Ejemplo de carga de trabajo: software COTS en Amazon EC2

El equipo de la nube configura su canalización de AMI centralizada para instalar y configurar el AWS Systems Manager agente (agente SSM), CloudWatch el agente y. SELinux Comparten la AMI resultante en todas las cuentas de la organización.

El equipo de nube usa AWS Config reglas para confirmar que todas las instancias de EC2 en ejecución son administradas por Systems Manager y tienen SSM Agent, CloudWatch agente e SELinux instalado.

El equipo de la nube envía CloudWatch los resultados de Amazon Logs a una solución centralizada de gestión de eventos e información de seguridad (SIEM) que se ejecuta en Amazon OpenSearch Service.

El equipo de aplicaciones implementa mecanismos para inspeccionar y gestionar los hallazgos de AWS Config Amazon Inspector. GuardDuty El equipo de la nube implementa sus propios mecanismos para detectar los resultados que no detecte el equipo de aplicaciones. Para más información sobre cómo crear un programa de administración de vulnerabilidades para abordar los resultados, consulte Building a scalable vulnerability management program on AWS.

El equipo de aplicaciones aplica revisiones a las instancias según los resultados de Amazon Inspector.

El equipo de la nube corrige la AMI base y el equipo de aplicaciones recibe una alerta cuando cambia esa AMI.

El equipo de aplicaciones restringe el acceso directo a sus instancias de EC2 mediante la configuración de las reglas de los grupos de seguridad para permitir el tráfico solo en los puertos necesarios para la carga de trabajo.

El equipo de aplicaciones utiliza Administrador de parches para aplicar las revisiones a las instancias en lugar de iniciar sesión en instancias individuales.

Para ejecutar los comandos arbitrarios en grupos de instancias de EC2, el equipo de aplicaciones utiliza Run Command.

En las pocas ocasiones en que el equipo de aplicaciones necesita acceso directo a una instancia, utiliza el Administrador de sesiones. Este enfoque de acceso utiliza las identidades federadas y registra la actividad de la sesión con fines de auditoría.

El equipo de aplicaciones configura las reglas de los grupos de seguridad para permitir el tráfico solo en los puertos necesarios para la carga de trabajo. Esto restringe el acceso directo a las instancias de Amazon EC2 y es necesario que los usuarios accedan a las instancias de EC2 a través del Administrador de sesiones.

El equipo de aplicaciones confía en la federación de identidades del equipo de la nube centralizada para la rotación de credenciales y el registro centralizado.

El equipo de la aplicación crea un CloudTrail registro y CloudWatch los filtra.

El equipo de aplicaciones configura las alertas de Amazon SNS para las CodePipeline implementaciones y CloudFormation las eliminaciones de pilas.

El equipo de la nube corrige la AMI base y el equipo de aplicaciones recibe una alerta cuando cambia esa AMI. El equipo de aplicaciones implementa instancias nuevas mediante esta AMI y, a continuación, utiliza State Manager, una funcionalidad de Systems Manager, para instalar el software necesario.

El equipo de aplicaciones utiliza Administrador de parches para aplicar las revisiones a las instancias en lugar de iniciar sesión en instancias individuales.

Para ejecutar los comandos arbitrarios en grupos de instancias de EC2, el equipo de aplicaciones utiliza Run Command.

En las pocas ocasiones en que el equipo de aplicaciones necesita acceso directo, utiliza el Administrador de sesiones.

El equipo de aplicaciones confía en la solución de federación de identidades centralizada que se describe en la sección Arquitectura principal. Esta solución aplica la MFA, registra las autenticaciones y las alertas o responde de manera automática a los eventos de MFA sospechosos.

El equipo de aplicaciones crea un AWS Backup plan para sus instancias EC2 y los volúmenes de Amazon Elastic Block Store (Amazon EBS).

El equipo de aplicaciones implementa un mecanismo para hacer una restauración de copias de seguridad de manera manual todos los meses.