View a markdown version of this page

Esempio di carico di lavoro: software COTS su Amazon EC2 - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempio di carico di lavoro: software COTS su Amazon EC2

Questo carico di lavoro è un esempio di. Tema 3: Gestisci l'infrastruttura mutabile con l'automazione

Il carico di lavoro in esecuzione su Amazon EC2 è stato creato manualmente utilizzando. Console di gestione AWS Gli sviluppatori aggiornano manualmente il sistema accedendo alle istanze EC2 e aggiornando il software.

Per questo carico di lavoro, i team del cloud e delle applicazioni intraprendono le seguenti azioni per affrontare le strategie Essential Eight.

Controllo delle applicazioni

  • Il team cloud configura la propria pipeline AMI centralizzata per installare e configurare AWS Systems Manager l'agente (agente SSM), CloudWatch l'agente e. SELinux Condividono l'AMI risultante tra tutti gli account dell'organizzazione.

  • Il team cloud utilizza AWS Config le regole per confermare che tutte le istanze EC2 in esecuzione siano gestite da Systems Manager e abbiano un agente, CloudWatch un agente e un'installazione SSM. SELinux

  • Il team cloud invia l'output di Amazon CloudWatch Logs a una soluzione SIEM (Security Information and Event Management) centralizzata che funziona su Amazon Service. OpenSearch

  • Il team applicativo implementa meccanismi per ispezionare e gestire i risultati da e per AWS Config Amazon GuardDuty Inspector. Il team cloud implementa i propri meccanismi per catturare eventuali risultati non rilevati dal team applicativo. Per ulteriori indicazioni sulla creazione di un programma di gestione delle vulnerabilità per risolvere i problemi, consulta Building a scalable vulnerability management program on. AWS

Applicazioni di patch

Limita i privilegi amministrativi

  • Il team dell'applicazione configura le regole dei gruppi di sicurezza per consentire il traffico solo sulle porte richieste dal carico di lavoro. Ciò limita l'accesso diretto alle istanze Amazon EC2 e richiede che gli utenti accedano alle istanze EC2 tramite Session Manager.

  • Il team applicativo si affida alla federazione delle identità del team cloud centralizzato per la rotazione delle credenziali e la registrazione centralizzata.

  • Il team dell'applicazione crea un percorso e filtri. CloudTrail CloudWatch

  • Il team applicativo configura gli avvisi di Amazon SNS per le CodePipeline distribuzioni e le eliminazioni di stack. CloudFormation

Patch i sistemi operativi

  • Il team cloud applica le patch all'AMI di base e il team dell'applicazione riceve un avviso quando l'AMI cambia. Il team dell'applicazione distribuisce nuove istanze utilizzando questa AMI, quindi utilizza State Manager, una funzionalità di Systems Manager, per installare il software richiesto.

  • Il team dell'applicazione utilizza Patch Manager per applicare patch alle istanze, ad esempio per l'accesso a singole istanze.

  • Per eseguire comandi arbitrari su gruppi di istanze EC2, il team dell'applicazione utilizza Run Command.

  • Nelle rare occasioni in cui il team dell'applicazione necessita di un accesso diretto, utilizza Session Manager.

Autenticazione a più fattori

  • Il team dell'applicazione si affida alla soluzione centralizzata di federazione delle identità descritta nella Architettura di base sezione. Questa soluzione applica l'MFA, registra le autenticazioni e gli avvisi o risponde automaticamente a eventi MFA sospetti.

Backup regolari

  • Il team applicativo crea un AWS Backup piano per le sue istanze EC2 e i volumi Amazon Elastic Block Store (Amazon EBS).

  • Il team dell'applicazione implementa un meccanismo per eseguire manualmente un ripristino del backup ogni mese.