Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Tema 3: Kelola infrastruktur yang bisa berubah dengan otomatisasi
<a name="theme-3"></a>

**Esensi Delapan strategi tercakup**  
Kontrol aplikasi, aplikasi patch, sistem operasi patch

Mirip dengan infrastruktur yang tidak dapat diubah, Anda mengelola infrastruktur yang dapat berubah sebagai IAc, dan Anda memodifikasi atau memperbarui infrastruktur ini melalui proses otomatis. Banyak langkah implementasi untuk infrastruktur yang tidak dapat diubah juga berlaku untuk infrastruktur yang dapat berubah. Namun, untuk infrastruktur yang dapat berubah, Anda juga harus menerapkan kontrol manual untuk memastikan bahwa beban kerja yang dimodifikasi tetap mengikuti praktik terbaik.

Untuk infrastruktur yang bisa berubah, Anda dapat mengotomatiskan manajemen patch dengan menggunakan [Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html), kemampuan. AWS Systems Manager Aktifkan Patch Manager di semua akun di AWS organisasi Anda.

Mencegah akses SSH dan RDP langsung dan mengharuskan pengguna untuk menggunakan [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) atau [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html), yang juga merupakan kemampuan Systems Manager. Tidak seperti SSH dan RDP, kemampuan ini dapat mencatat akses dan perubahan sistem.

Untuk memantau dan melaporkan kepatuhan, Anda harus melakukan tinjauan kepatuhan patch yang sedang berlangsung. Anda dapat menggunakan AWS Config aturan untuk memastikan bahwa semua instans Amazon EC2 dikelola oleh Systems Manager, memiliki izin yang diperlukan dan aplikasi yang diinstal, serta dalam kepatuhan patch.

## Praktik terbaik terkait dalam Kerangka AWS Well-Architected
<a name="theme-3-best-practices"></a>
+ [SEC06- BP03 Mengurangi manajemen manual dan akses interaktif](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_reduce_manual_management.html)
+ [SEC06- BP05 Mengotomatiskan perlindungan komputasi](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_auto_protection.html)

## Menerapkan tema ini
<a name="theme-3-implementation"></a>

### Otomatiskan penambalan
<a name="t3-automate-patching"></a>
+ Terapkan langkah-langkah di [Aktifkan Patch Manager di semua akun di AWS organisasi Anda](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)
+ Untuk semua instans EC2, sertakan `CloudWatchAgentServerPolicy` dan `AmazonSSMManagedInstanceCore` dalam [profil instans atau peran IAM](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) yang digunakan Systems Manager untuk mengakses instans Anda

### Gunakan otomatisasi daripada proses manual
<a name="t3-automate"></a>
+ Menerapkan panduan dalam [Implementasikan AMI dan pipeline build container](theme-2.md#theme-2-implementation) di [Tema 2: Mengelola infrastruktur yang tidak dapat diubah melalui jaringan pipa yang aman](theme-2.md)
+ Gunakan [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) atau [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html) alih-alih akses SSH atau RDP langsung

### Gunakan otomatisasi untuk menginstal yang berikut ini pada instans EC2
<a name="t3-ec2"></a>
+ [AWS Systems Manager Agen (SSM Agent)](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-linux.html), yang digunakan misalnya penemuan dan manajemen
+ [Alat keamanan untuk kontrol aplikasi, seperti [Security Enhanced Linux (SELinux) (GitHub)](https://github.com/SELinuxProject), [Daemon Kebijakan Akses File (fapolicyd) (](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md)), atau OpenSCAP GitHub](https://www.open-scap.org/)
+ [Amazon CloudWatch Agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html), yang digunakan untuk logging

### Gunakan peer review sebelum rilis apa pun untuk memastikan bahwa perubahan memenuhi praktik terbaik
<a name="t3-peer-review"></a>
+ Kebijakan IAM yang terlalu permisif, seperti yang menggunakan wildcard
+ Aturan grup keamanan yang terlalu permisif, seperti yang menggunakan wildcard atau mengizinkan akses SSH
+ Akses log yang tidak diaktifkan
+ Enkripsi yang tidak diaktifkan
+ Literal kata sandi
+ Kebijakan IAM yang aman

### Gunakan kontrol tingkat identitas
<a name="t3-identity-controls"></a>
+ Untuk mengharuskan pengguna memodifikasi sumber daya melalui proses otomatis dan mencegah konfigurasi manual, izinkan izin hanya-baca untuk peran yang dapat diasumsikan pengguna
+ Berikan izin untuk mengubah sumber daya hanya untuk peran layanan, seperti peran yang digunakan oleh Systems Manager

### Menerapkan pemindaian kerentanan
<a name="t3-vulnerability-scanning"></a>
+ Menerapkan panduan dalam [Menerapkan pemindaian kerentanan](theme-2.md#theme-2-implementation) di [Tema 2: Mengelola infrastruktur yang tidak dapat diubah melalui jaringan pipa yang aman](theme-2.md)
+ Memindai instans EC2 Anda dengan menggunakan Amazon Inspector

## Memantau tema ini
<a name="theme-3-monitoring"></a>

### Memantau kepatuhan patch secara berkelanjutan
<a name="t3-patch-compliance"></a>
+ [Laporkan kepatuhan patch dengan menggunakan otomatisasi dan dasbor](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)
+ Menerapkan mekanisme untuk meninjau dasbor untuk kepatuhan tambalan

### Memantau IAM dan log secara berkelanjutan
<a name="t3-monitor-iam"></a>
+ Tinjau kebijakan IAM Anda secara berkala untuk memastikan bahwa:
  + Hanya pipeline penyebaran yang memiliki akses langsung ke sumber daya
  + Hanya layanan yang disetujui yang memiliki akses langsung ke data
  + Pengguna tidak memiliki akses langsung ke sumber daya atau data
+ Pantau AWS CloudTrail log untuk memastikan bahwa pengguna memodifikasi sumber daya melalui saluran pipa dan tidak secara langsung memodifikasi sumber daya atau mengakses data
+ Tinjau AWS Identity and Access Management Access Analyzer temuan secara berkala
+ Siapkan peringatan untuk memberi tahu Anda jika kredensi pengguna root untuk sebuah digunakan Akun AWS 

### Menerapkan AWS Config aturan berikut
<a name="t3-cc-rules"></a>
+ `EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK`
+ `EC2_INSTANCE_MANAGED_BY_SSM`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps`
+ `IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM`
+ `EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK`
+ `REQUIRED_TAGS`
+ `RESTRICTED_INCOMING_TRAFFIC - 22, 3389`