Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Tema 3: administración de la infraestructura mutable con automatización
Estrategias de Essential Eight que se abarcan
Control de aplicaciones, revisiones para las aplicaciones, revisiones para los sistemas operativos
Al igual que la infraestructura inmutable, administra la infraestructura mutable como IaC y modifica o actualiza esta infraestructura a través de procesos automatizados. Muchos de los pasos de implementación de la infraestructura inmutable también se aplican a la infraestructura mutable. Sin embargo, en el caso de una infraestructura mutable, también debe implementar controles manuales para asegurarse de que las cargas de trabajo modificadas aún sigan las prácticas recomendadas.
Para una infraestructura mutable, puede automatizar la administración de parches mediante el Administrador de parches, una capacidad de AWS Systems Manager. Habilite el Administrador de parches en todas las cuentas de su organización de AWS .
Evite el acceso directo por SSH y RDP y exija a los usuarios que utilicen el Administrador de sesiones o Run Command, que también son funcionalidades de Systems Manager. A diferencia de SSH y RDP, estas funcionalidades pueden registrar los cambios y el acceso al sistema.
Para supervisar el cumplimiento e informar al respecto, debe hacer evaluaciones continuas del cumplimiento de la aplicación de las revisiones. Puede utilizar AWS Config reglas para asegurarse de que todas las instancias de Amazon EC2 estén gestionadas por Systems Manager, tengan los permisos necesarios y las aplicaciones instaladas y cumplan con los parches.
Mejores prácticas relacionadas en el AWS Well-Architected Framework
Implementación de este tema
Automatización de la aplicación de revisiones
-
Implemente los pasos sobre cómo habilitar el Administrador de parches en todas las cuentas de su organización de AWS
-
En el caso de todas las instancias de EC2, incluya
CloudWatchAgentServerPolicyyAmazonSSMManagedInstanceCoreen el perfil de instancia o rol de IAM que utiliza System Manager para acceder a la instancia
Uso de la automatización en lugar de los procesos manuales
-
Implemente las directrices de Implement AMI and container build pipelines en Tema 2: gestión de la infraestructura inmutable mediante canalizaciones seguras
-
Utilice Administrador de sesiones o Run Command en lugar del acceso directo por SSH o RDP
Uso de la automatización para instalar lo siguiente en las instancias de EC2
-
AWS Systems Manager Agente (SSM Agent), que se utiliza para la detección y la administración de instancias
-
Herramientas de seguridad para el control de aplicaciones, como Security Enhanced Linux (SELinux) (GitHub)
, File Access Policy Daemon (fapolicyd) (GitHub) u OpenSCAP -
Amazon CloudWatch Agent, que se utiliza para el registro
Uso de la revisión entre compañeros antes de los lanzamientos para garantizar que los cambios cumplen con las prácticas recomendadas
-
Políticas de IAM demasiado permisivas, como las que utilizan caracteres comodines
-
Reglas de grupos de seguridad que son demasiado permisivas, como las que utilizan caracteres comodines o permiten el acceso por SSH
-
Registros de acceso que no están habilitados
-
Cifrado que no está habilitado
-
Literales de contraseñas
-
Políticas de IAM seguras
Uso de controles de identidad
-
Para exigir que los usuarios modifiquen los recursos a través de procesos automatizados y evitar la configuración manual, conceda permisos de solo lectura a los roles que pueden asumir los usuarios.
-
Conceda permisos para modificar los recursos solo a los roles de servicio, como el rol que utiliza Systems Manager
Implementación del escaneo de vulnerabilidades
-
Implemente las directrices de Implementación del escaneo de vulnerabilidades en Tema 2: gestión de la infraestructura inmutable mediante canalizaciones seguras
-
Escanee las instancias de EC2 con Amazon Inspector
Supervisión de este tema
Supervisión del cumplimiento de las revisiones de manera continua
-
Informe sobre el cumplimiento de las revisiones mediante la automatización y los paneles
-
Implemente un mecanismo para revisar los paneles de control para comprobar el cumplimiento de las revisiones
Supervisión de IAM y registros de manera continua
-
Revise periódicamente las políticas de IAM para asegurarse de que:
-
Solo las canalizaciones de implementación tengan acceso directo a los recursos
-
Solo los servicios aprobados tengan acceso directo a los datos
-
Los usuarios no tengan acceso directo a los recursos o datos
-
-
Supervise AWS CloudTrail los registros para asegurarse de que los usuarios modifican los recursos a través de procesos y no los modifican directamente ni acceden a los datos
-
Revise AWS Identity and Access Management Access Analyzer periódicamente los hallazgos
-
Configure una alerta para que le notifique si se utilizan las credenciales del usuario raíz de una Cuenta de AWS
Implemente las siguientes AWS Config reglas
-
EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK -
EC2_INSTANCE_MANAGED_BY_SSM -
EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent -
EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps -
IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM -
EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK -
REQUIRED_TAGS -
RESTRICTED_INCOMING_TRAFFIC - 22, 3389
