Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Thème 3 : Gérer une infrastructure mutable grâce à l'automatisation
**Huit stratégies essentielles abordées**
Contrôle des applications, applications de correctifs, correctifs de systèmes d'exploitation
Comme dans le cas d'une infrastructure immuable, vous gérez une infrastructure mutable en tant qu'IaC, et vous modifiez ou mettez à jour cette infrastructure par le biais de processus automatisés. De nombreuses étapes de mise en œuvre d'une infrastructure immuable s'appliquent également à une infrastructure mutable. Toutefois, dans le cas d'une infrastructure mutable, vous devez également mettre en œuvre des contrôles manuels pour vous assurer que les charges de travail modifiées respectent toujours les meilleures pratiques.
Pour une infrastructure mutable, vous pouvez automatiser la gestion des correctifs à l'aide du [Gestionnaire de correctifs](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html), une fonctionnalité de AWS Systems Manager. Activez Patch Manager dans tous les comptes de votre AWS organisation.
Empêchez l'accès direct au SSH et au RDP et obligez les utilisateurs à utiliser le [Gestionnaire de session](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) ou [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html), qui sont également des fonctionnalités de Systems Manager. Contrairement au SSH et au RDP, ces fonctionnalités peuvent enregistrer les accès au système et les modifications.
Pour surveiller la conformité et établir des rapports à ce sujet, vous devez effectuer des examens continus de la conformité des correctifs. Vous pouvez utiliser des AWS Config règles pour vous assurer que toutes les instances Amazon EC2 sont gérées par Systems Manager, qu'elles disposent des autorisations requises, que les applications sont installées et qu'elles sont conformes aux correctifs.
## Bonnes pratiques associées au AWS Well-Architected Framework
+ [SEC06- BP03 Réduisez la gestion manuelle et l'accès interactif](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_reduce_manual_management.html)
+ [SEC06- BP05 Automatisez la protection informatique](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_auto_protection.html)
## Implémentation de ce thème
### Automatisez l'application de correctifs
+ Mettez en œuvre les étapes décrites dans [Activer le gestionnaire de correctifs dans tous les comptes de votre AWS organisation](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)
+ Pour toutes les instances EC2, incluez le `CloudWatchAgentServerPolicy` et `AmazonSSMManagedInstanceCore` dans le [profil d'instance ou le rôle IAM](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) que Systems Manager utilise pour accéder à votre instance
### Utilisez l'automatisation plutôt que les processus manuels
+ Mettez en œuvre les directives de la section [Implémenter l'AMI et les pipelines de construction de conteneurs](theme-2.md#theme-2-implementation) dans [Thème 2 : Gérer une infrastructure immuable grâce à des pipelines sécurisés](theme-2.md)
+ Utiliser le [gestionnaire de session](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) ou [exécuter une commande](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html) au lieu d'un accès SSH ou RDP direct
### Utilisez l'automatisation pour installer les éléments suivants sur les instances EC2
+ [AWS Systems Manager Agent (agent SSM)](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-linux.html), utilisé pour la découverte et la gestion des instances
+ [Outils de sécurité pour le contrôle des applications, tels que [Security Enhanced Linux (SELinux)](https://github.com/SELinuxProject) (GitHub), [File Access Policy Daemon (fapolicyd) (GitHub)](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md) ou OpenSCAP](https://www.open-scap.org/)
+ [Amazon CloudWatch Agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html), qui est utilisé pour la journalisation
### Utilisez l'évaluation par les pairs avant toute publication pour vous assurer que les modifications sont conformes aux meilleures pratiques
+ Politiques IAM trop permissives, telles que celles qui utilisent des caractères génériques
+ Règles de groupe de sécurité trop permissives, telles que celles qui utilisent des caractères génériques ou autorisent l'accès SSH
+ Journaux d'accès qui ne sont pas activés
+ Chiffrement non activé
+ Littéraux de mot de passe
+ Politiques IAM sécurisées
### Utiliser des contrôles au niveau de l'identité
+ Pour obliger les utilisateurs à modifier les ressources par le biais de processus automatisés et empêcher toute configuration manuelle, autorisez les autorisations en lecture seule pour les rôles que les utilisateurs peuvent assumer
+ Accordez des autorisations de modification des ressources uniquement aux rôles de service, tels que le rôle utilisé par Systems Manager
### Mettre en œuvre l'analyse des vulnérabilités
+ Mettez en œuvre les instructions de la section [Implémenter l'analyse des vulnérabilités](theme-2.md#theme-2-implementation) dans [Thème 2 : Gérer une infrastructure immuable grâce à des pipelines sécurisés](theme-2.md)
+ Scannez vos instances EC2 à l'aide d'Amazon Inspector
## Surveillance de ce thème
### Surveillez en permanence la conformité des correctifs
+ [Créez des rapports sur la conformité des correctifs à l'aide de l'automatisation et de tableaux de bord](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)
+ Mettre en œuvre un mécanisme pour examiner les tableaux de bord afin de vérifier la conformité des correctifs
### Surveillez l'IAM et les journaux en permanence
+ Passez régulièrement en revue vos politiques IAM pour vous assurer que :
+ Seuls les pipelines de déploiement ont un accès direct aux ressources
+ Seuls les services approuvés ont un accès direct aux données
+ Les utilisateurs n'ont pas d'accès direct aux ressources ou aux données
+ Surveillez AWS CloudTrail les journaux pour vous assurer que les utilisateurs modifient les ressources par le biais de pipelines et qu'ils ne modifient pas directement les ressources ou n'accèdent pas aux données
+ Examiner régulièrement AWS Identity and Access Management Access Analyzer les résultats
+ Configurez une alerte pour vous avertir si les informations d'identification de l'utilisateur root Compte AWS sont utilisées
### Implémentez les AWS Config règles suivantes
+ `EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK`
+ `EC2_INSTANCE_MANAGED_BY_SSM`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps`
+ `IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM`
+ `EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK`
+ `REQUIRED_TAGS`
+ `RESTRICTED_INCOMING_TRAFFIC - 22, 3389`