Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Esempio di carico di lavoro: software COTS su Amazon EC2 Questo carico di lavoro è un esempio di. [Tema 3: Gestisci l'infrastruttura mutabile con l'automazione](theme-3.md) Il carico di lavoro in esecuzione su Amazon EC2 è stato creato manualmente utilizzando. Console di gestione AWS Gli sviluppatori aggiornano manualmente il sistema accedendo alle istanze EC2 e aggiornando il software. Per questo carico di lavoro, i team del cloud e delle applicazioni intraprendono le seguenti azioni per affrontare le strategie Essential Eight. *Controllo delle applicazioni* + Il team cloud configura la propria pipeline AMI centralizzata per installare e configurare AWS Systems Manager l'agente (agente SSM), CloudWatch l'agente e. SELinux Condividono l'AMI risultante tra tutti gli account dell'organizzazione. + Il team cloud utilizza AWS Config le regole per confermare che tutte le [istanze EC2 in esecuzione siano gestite da Systems Manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) e abbiano un [agente, CloudWatch un agente e un'installazione SSM](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-applications-required.html). SELinux + Il team cloud invia l'output di Amazon CloudWatch Logs a una soluzione SIEM (Security Information and Event Management) centralizzata che funziona su Amazon Service. OpenSearch + Il team applicativo implementa meccanismi per ispezionare e gestire i risultati da e per AWS Config Amazon GuardDuty Inspector. Il team cloud implementa i propri meccanismi per catturare eventuali risultati non rilevati dal team applicativo. Per ulteriori indicazioni sulla creazione di un programma di gestione delle vulnerabilità per risolvere i problemi, consulta [Building a scalable vulnerability](https://docs.aws.amazon.com/prescriptive-guidance/latest/vulnerability-management/introduction.html) management program on. AWS *Applicazioni di patch* + Il team dell'applicazione applica le patch alle istanze in base ai risultati di Amazon Inspector. + Il team cloud applica le patch all'AMI di base e il team dell'applicazione riceve un avviso quando l'AMI cambia. + Il team dell'applicazione limita l'accesso diretto alle proprie istanze EC2 configurando le [regole del gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) per consentire il traffico solo sulle porte richieste dal carico di lavoro. + Il team dell'applicazione utilizza [Patch Manager per applicare patch](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html) alle istanze anziché accedere alle singole istanze. + [Per eseguire comandi arbitrari su gruppi di istanze EC2, il team dell'applicazione utilizza Run Command.](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html) + [Nelle rare occasioni in cui il team dell'applicazione necessita dell'accesso diretto a un'istanza, utilizza Session Manager.](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) Questo approccio di accesso utilizza identità federate e registra qualsiasi attività di sessione a fini di controllo. *Limita i privilegi amministrativi* + Il team dell'applicazione configura [le regole dei gruppi di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) per consentire il traffico solo sulle porte richieste dal carico di lavoro. Ciò limita l'accesso diretto alle istanze Amazon EC2 e richiede che gli utenti accedano alle istanze EC2 tramite Session Manager. + Il team applicativo si affida alla federazione delle identità del team cloud centralizzato per la rotazione delle credenziali e la registrazione centralizzata. + Il team dell'applicazione crea un percorso e filtri. CloudTrail CloudWatch + Il team applicativo configura gli avvisi di Amazon SNS per le CodePipeline distribuzioni e le eliminazioni di stack. CloudFormation *Patch i sistemi operativi* + Il team cloud applica le patch all'AMI di base e il team dell'applicazione riceve un avviso quando l'AMI cambia. Il team dell'applicazione distribuisce nuove istanze utilizzando questa AMI, quindi utilizza [State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html), una funzionalità di Systems Manager, per installare il software richiesto. + Il team dell'applicazione utilizza Patch Manager per applicare patch alle istanze, ad esempio per l'accesso a singole istanze. + Per eseguire comandi arbitrari su gruppi di istanze EC2, il team dell'applicazione utilizza Run Command. + Nelle rare occasioni in cui il team dell'applicazione necessita di un accesso diretto, utilizza Session Manager. *Autenticazione a più fattori* + Il team dell'applicazione si affida alla soluzione centralizzata di federazione delle identità descritta nella [Architettura di base](scenario.md#core-architecture) sezione. Questa soluzione applica l'MFA, registra le autenticazioni e gli avvisi o risponde automaticamente a eventi MFA sospetti. *Backup regolari* + Il team applicativo crea un AWS Backup piano per le sue istanze EC2 e i volumi Amazon Elastic Block Store (Amazon EBS). + Il team dell'applicazione implementa un meccanismo per eseguire manualmente un ripristino del backup ogni mese.