워크로드 예제: 컨테이너화된 웹 서비스

애플리케이션 팀은 Amazon Inspector에서 Amazon ECR 컨테이너 이미지를 스캔하는 기능을 지원합니다.

애플리케이션 팀은 파일 액세스 정책 대몬(fapolicyd) 보안 도구를 EC2 Image Builder 파이프라인에 빌드합니다. 자세한 내용은 ACSC 웹 사이트의 Implementing Application Control을 참조하세요.

애플리케이션 팀은 Amazon CloudWatch Logs에 출력을 로깅하도록 Amazon ECS 태스크 정의를 구성합니다.

애플리케이션 팀은 Amazon Inspector 조사 결과를 관리하고 검사하는 메커니즘을 구현합니다.

애플리케이션 팀은 Amazon Inspector에서 Amazon ECR 컨테이너 이미지 스캔을 활성화하고 더 이상 사용되지 않거나 취약한 라이브러리에 대한 알림을 구성합니다.

애플리케이션 팀은 Amazon Inspector 조사 결과에 대한 응답을 자동화합니다. 새로운 조사 결과는 Amazon EventBridge 트리거를 통해 배포 파이프라인을 시작하며, 이때 CodePipeline이 대상입니다.

애플리케이션 팀은 AWS Config 가 자산 검색을 위한 AWS 리소스를 추적할 수 있도록 합니다.

애플리케이션 팀은 이미 배포 파이프라인의 승인 규칙을 통해 프로덕션 배포에 대한 액세스를 제한합니다.

애플리케이션 팀은 자격 증명 교체 및 중앙 집중식 로깅을 위해 중앙 집중식 클라우드 팀의 ID 페더레이션에 의존합니다.

애플리케이션 팀은 CloudTrail 추적 및 CloudWatch 필터를 생성합니다.

애플리케이션 팀은 CodePipeline 배포 및 CloudFormation 스택 삭제에 대한 Amazon SNS 알림을 설정합니다.

애플리케이션 팀은 Amazon Inspector에서 Amazon ECR 컨테이너 이미지 스캔을 활성화하고 OS 패치 업데이트에 대한 알림을 구성합니다.

애플리케이션 팀은 Amazon Inspector 조사 결과에 대한 응답을 자동화합니다. 새로운 조사 결과는 EventBridge 트리거를 통해 배포 파이프라인을 시작하며, 이때 CodePipeline이 대상입니다.

애플리케이션 팀은 업데이트에 대한 알림을 받을 수 있도록 Amazon RDS 이벤트 알림을 구독합니다. 이러한 업데이트를 수동으로 적용할지 아니면 Amazon RDS에서 자동으로 적용할지에 관해 비즈니스 소유자와 함께 위험 기반 의사 결정을 내립니다.

애플리케이션 팀은 유지 관리 이벤트의 영향을 줄이기 위해 Amazon RDS 인스턴스를 다중 가용 영역 클러스터로 구성합니다.

애플리케이션 팀은 핵심 아키텍처 섹션에서 설명한 대로 중앙 집중식 ID 페더레이션 솔루션을 사용합니다. 이 솔루션은 MFA를 적용하고 인증을 로깅하며 의심스러운 MFA 이벤트에 대해 알림을 생성하거나 자동으로 응답합니다.

애플리케이션 팀은 Amazon RDS 클러스터의 데이터 백업을 자동화 AWS Backup 하도록를 구성합니다.

애플리케이션 팀은 CloudFormation 템플릿을 코드 리포지토리에 저장합니다.

애플리케이션 팀은 자동화된 파이프라인을 개발하여 다른 리전에서 워크로드 사본을 생성하고 자동 테스트를 실행합니다(AWS 블로그 게시물). 자동화된 테스트가 실행되면 파이프라인이 스택을 삭제합니다. 이 파이프라인은 한 달에 한 번 자동으로 실행되며 복구 절차의 효과를 검증합니다.