Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplo de carga de trabajo: lago de datos sin servidor
Esta carga de trabajo es un ejemplo de Tema 1: uso de servicios administrados.
El lago de datos utiliza Amazon S3 para el almacenamiento y AWS Lambda para el ETL. Estos recursos se definen en una AWS Cloud Development Kit (AWS CDK) aplicación. Los cambios en el sistema se implementan mediante AWS CodePipeline. Esta canalización está restringida al equipo de aplicaciones. Cuando el equipo de aplicaciones hace una solicitud de extracción al repositorio de código, se utiliza la regla de dos personas.
En el caso de esta carga de trabajo, el equipo de aplicaciones toma las medidas siguientes para abordar las estrategias Essential Eight.
Control de aplicaciones
-
El equipo de aplicaciones habilita Lambda Protection y el escaneo GuardDuty Lambda en Amazon Inspector.
-
El equipo de aplicaciones implementa mecanismos para inspeccionar y administrar los resultados de Amazon Inspector.
Revisiones para las aplicaciones
-
El equipo de aplicaciones habilita el escaneo de Lambda en Amazon Inspector y configura las alertas para las bibliotecas en desuso o vulnerables.
-
El equipo de aplicaciones permite realizar un seguimiento AWS Config de AWS los recursos para el descubrimiento de activos.
Restricción de los privilegios administrativos
-
Como se describe en la sección Arquitectura principal, el equipo de aplicaciones ya restringe el acceso a las implementaciones de producción mediante una regla de aprobación en su canalización de implementaciones.
-
El equipo de aplicaciones confía en las soluciones de federación de identidades y registro centralizados que se describen en la sección Arquitectura principal.
-
El equipo de la aplicación crea una AWS CloudTrail ruta y Amazon CloudWatch filtra.
-
El equipo de aplicaciones configura las alertas del Amazon Simple Notification Service (Amazon SNS) CodePipeline para las implementaciones AWS CloudFormation y las eliminaciones de pilas.
Aplicación de revisiones a sistemas operativos
-
El equipo de aplicaciones habilita el escaneo de Lambda en Amazon Inspector y configura las alertas para las bibliotecas en desuso o vulnerables.
Autenticación multifactor
-
El equipo de aplicaciones confía en la solución de federación de identidades centralizada que se describe en la sección Arquitectura principal. Esta solución aplica la MFA, registra las autenticaciones y las alertas o responde de manera automática a los eventos de MFA sospechosos.
Copias de seguridad periódicas
-
El equipo de aplicaciones almacena el código, como AWS CDK las aplicaciones y las funciones y configuraciones de Lambda, en un repositorio de código
. -
El equipo de aplicaciones habilita el control de versiones y el bloqueo de objetos de Amazon S3 para evitar que se eliminen o modifiquen los objetos.
-
El equipo de aplicaciones confía en la durabilidad integrada de Amazon S3 en lugar de replicar todo su conjunto de datos en otra Región de AWS.
-
El equipo de aplicaciones ejecuta una copia de la carga de trabajo en otro equipo Región de AWS que cumple con sus requisitos de soberanía de datos. Utilizan las tablas globales de Amazon DynamoDB y la replicación entre regiones de Amazon S3 para replicar los datos de manera automática de la región principal a la región secundaria.
