Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Tema 3: Gestisci l'infrastruttura mutabile con l'automazione
<a name="theme-3"></a>

**Otto strategie essenziali coperte**  
Controllo delle applicazioni, applicazioni di patch, sistemi operativi di patch

Analogamente all'infrastruttura immutabile, l'infrastruttura mutabile viene gestita come IaC e la si modifica o si aggiorna tramite processi automatizzati. Molte delle fasi di implementazione per un'infrastruttura immutabile si applicano anche all'infrastruttura mutabile. Tuttavia, per un'infrastruttura mutabile, è necessario implementare anche controlli manuali per assicurarsi che i carichi di lavoro modificati seguano comunque le migliori pratiche.

Per un'infrastruttura mutabile, è possibile automatizzare la gestione delle [patch utilizzando Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html), una funzionalità di. AWS Systems Manager Abilita Patch Manager in tutti gli account della tua AWS organizzazione.

Impedisci l'accesso diretto a SSH e RDP e richiedi agli utenti di utilizzare [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) o [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html), che sono anche funzionalità di Systems Manager. A differenza di SSH e RDP, queste funzionalità possono registrare l'accesso e le modifiche al sistema.

Per monitorare e segnalare la conformità, è necessario eseguire revisioni continue della conformità delle patch. Puoi utilizzare AWS Config le regole per assicurarti che tutte le istanze Amazon EC2 siano gestite da Systems Manager, dispongano delle autorizzazioni richieste e delle applicazioni installate e siano conformi alle patch.

## Best practice correlate nel AWS Well-Architected Framework
<a name="theme-3-best-practices"></a>
+ [SEC06- BP03 Ridurre la gestione manuale e l'accesso interattivo](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_reduce_manual_management.html)
+ [SEC06- BP05 Automatizza la protezione dell'elaborazione](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_auto_protection.html)

## Implementazione di questo tema
<a name="theme-3-implementation"></a>

### Automatizza l'applicazione delle patch
<a name="t3-automate-patching"></a>
+ Implementa i passaggi di [Enable Patch Manager in tutti gli account della tua organizzazione AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)
+ Per tutte le istanze EC2, includi il parametro `CloudWatchAgentServerPolicy` and `AmazonSSMManagedInstanceCore` nel [profilo di istanza o nel ruolo IAM](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) che Systems Manager utilizza per accedere all'istanza

### Utilizza l'automazione anziché i processi manuali
<a name="t3-automate"></a>
+ Implementa le linee guida in [Implementazione di AMI e pipeline di costruzione di container](theme-2.md#theme-2-implementation) in [Tema 2: Gestione dell'infrastruttura immutabile tramite pipeline sicure](theme-2.md)
+ Utilizza [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) o [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html) anziché l'accesso diretto SSH o RDP

### Utilizza l'automazione per installare quanto segue sulle istanze EC2
<a name="t3-ec2"></a>
+ [AWS Systems Manager Agente (SSM Agent)](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-linux.html), utilizzato per il rilevamento e la gestione delle istanze
+ [Strumenti di sicurezza per il controllo delle applicazioni, come [Security Enhanced Linux (SELinux) (GitHub)](https://github.com/SELinuxProject), [File Access Policy Daemon (fapolicyd) (](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md)) o OpenSCAP GitHub](https://www.open-scap.org/)
+ [Amazon CloudWatch Agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html), utilizzato per la registrazione

### Utilizza la revisione tra pari prima di qualsiasi versione per assicurarti che le modifiche soddisfino le migliori pratiche
<a name="t3-peer-review"></a>
+ Policy IAM troppo permissive, come quelle che utilizzano caratteri jolly
+ Regole dei gruppi di sicurezza troppo permissive, come quelle che utilizzano caratteri jolly o consentono l'accesso SSH
+ Registri di accesso non abilitati
+ Crittografia non abilitata
+ Valori letterali delle password
+ Politiche IAM sicure

### Utilizza controlli a livello di identità
<a name="t3-identity-controls"></a>
+ Per richiedere agli utenti di modificare le risorse tramite processi automatizzati e impedire la configurazione manuale, consenti le autorizzazioni di sola lettura per i ruoli che gli utenti possono assumere
+ Concedi le autorizzazioni per modificare le risorse solo ai ruoli di servizio, come il ruolo utilizzato da Systems Manager

### Implementa la scansione delle vulnerabilità
<a name="t3-vulnerability-scanning"></a>
+ Implementa la guida in [Implementare la scansione delle vulnerabilità](theme-2.md#theme-2-implementation) in [Tema 2: Gestione dell'infrastruttura immutabile tramite pipeline sicure](theme-2.md)
+ Scansiona le tue istanze EC2 utilizzando Amazon Inspector

## Monitoraggio di questo tema
<a name="theme-3-monitoring"></a>

### Monitora la conformità delle patch su base continuativa
<a name="t3-patch-compliance"></a>
+ [Segnala la conformità delle patch utilizzando l'automazione e i dashboard](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)
+ Implementa un meccanismo per rivedere le dashboard per verificare la conformità delle patch

### Monitora IAM e log su base continuativa
<a name="t3-monitor-iam"></a>
+ Esamina periodicamente le tue politiche IAM per assicurarti che:
  + Solo le pipeline di implementazione hanno accesso diretto alle risorse
  + Solo i servizi approvati hanno accesso diretto ai dati
  + Gli utenti non hanno accesso diretto a risorse o dati
+ Monitora AWS CloudTrail i log per assicurarti che gli utenti stiano modificando le risorse attraverso le pipeline e non stiano modificando direttamente le risorse o accedendo ai dati
+  AWS Identity and Access Management Access Analyzer Esamina periodicamente i risultati
+ Imposta un avviso per avvisarti se Account AWS vengono utilizzate le credenziali dell'utente root per an

### Implementa le seguenti regole AWS Config
<a name="t3-cc-rules"></a>
+ `EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK`
+ `EC2_INSTANCE_MANAGED_BY_SSM`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps`
+ `IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM`
+ `EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK`
+ `REQUIRED_TAGS`
+ `RESTRICTED_INCOMING_TRAFFIC - 22, 3389`