As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Estudo de caso indicativo para atingir a maturidade do Essential Eight em AWS
Este capítulo apresenta um estudo de caso indicativo para uma agência governamental que visa a maturidade do Essential Eight na AWS.
**Topics**
+ [Visão geral do cenário e da arquitetura](scenario.md)
+ [Exemplo de workload: data lake sem servidor](serverless-data-lake.md)
+ [Exemplo de workload: serviço web em contêineres](containerised-web-service.md)
+ [Exemplo de workload: software COTS no Amazon EC2](cots-software.md)
# Visão geral do cenário e da arquitetura
A agência governamental tem três workloads na Nuvem AWS:
+ Um [data lake sem servidor que usa](serverless-data-lake.md) o Amazon Simple Storage Service (Amazon S3) para armazenamento AWS Lambda e operações de extração, transformação e carregamento (ETL)
+ Um [serviço web em contêiner](containerised-web-service.md) executado no Amazon Elastic Container Service (Amazon ECS) e que usa um banco de dados no Amazon Relational Database Service (Amazon RDS)
+ Um [software comercial off-the-shelf (COTS)](cots-software.md) executado no Amazon EC2
Uma *equipe de nuvem* fornece uma plataforma centralizada para a organização, executando os principais serviços para o AWS meio ambiente. Uma equipe de nuvem fornece serviços essenciais para o AWS meio ambiente. Cada workload pertence a uma *equipe de aplicações* distinta, também conhecida como *equipe de desenvolvedores* ou *equipe de entrega*.
## Arquitetura principal
A equipe de nuvem já estabeleceu os seguintes recursos na Nuvem AWS:
+ A federação de identidades Centro de Identidade do AWS IAM é vinculada à instância do Microsoft Entra ID (antigo *Azure Active Directory*). A federação impõe o MFA, a expiração automática das contas de usuário e o uso de credenciais AWS Identity and Access Management de curta duração por meio de funções (IAM).
+ Um pipeline de AMI centralizado é usado para corrigir sistemas operacionais e aplicações principais com o EC2 Image Builder.
+ O Amazon Inspector está habilitado para identificar vulnerabilidades, e todas as descobertas de segurança são enviadas à Amazon GuardDuty para gerenciamento centralizado.
+ Mecanismos estabelecidos são usados para atualizar as regras de controle de aplicações, responder a eventos de segurança cibernética e analisar as lacunas de conformidade.
+ AWS CloudTrail é usado para registro e monitoramento.
+ Eventos de segurança, como login do usuário-raiz, iniciam alertas.
+ SCPs e as políticas de VPC endpoint estabelecem perímetros de dados para seus ambientes. AWS
+ SCPs impedir que as equipes de aplicativos desativem serviços de segurança e registro, como CloudTrail e. AWS Config
+ AWS Config as descobertas são agregadas de toda a AWS organização em uma única Conta da AWS para fins de segurança.
+ O [pacote de conformidade AWS Config ACSC Essential 8 está disponível](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-acsc_essential_8.html) Contas da AWS em toda a sua organização.
# Exemplo de workload: data lake sem servidor
Essa workload é um exemplo de [Tema 1: usar serviços gerenciados](theme-1.md).
O data lake usa o Amazon S3 para armazenamento e ETL AWS Lambda . Esses recursos são definidos em um AWS Cloud Development Kit (AWS CDK) aplicativo. As alterações no sistema são implantadas por meio AWS CodePipeline de. Esse pipeline é restrito à equipe de aplicações. Quando a equipe de aplicações faz uma pull request para o repositório de código, a [regra de duas pessoas](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/best-practice-5.2---implement-least-privilege-policies-for-source-and-downstream-systems..html) é usada.
Para essa workload, a equipe de aplicações realiza as ações a seguir para abordar as estratégias Essential Eight.
*Controle de aplicações*
+ A equipe de aplicativos habilita a [Proteção Lambda e a digitalização GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/lambda-protection.html) [Lambda no Amazon](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html) Inspector.
+ A equipe de aplicações implementa mecanismos para inspecionar e [gerenciar as descobertas do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-automating-responses.html#findings-managing-eventbridge-tutorial).
*Aplicações de patches*
+ A equipe de aplicações habilita a verificação do Lambda no Amazon Inspector e configura alertas para bibliotecas obsoletas ou vulneráveis.
+ A equipe de aplicativos AWS Config permite rastrear AWS recursos para descoberta de ativos.
*Restringir privilégios administrativos*
+ Conforme descrito na seção [Arquitetura principal](scenario.md#core-architecture), a equipe de aplicações já restringe o acesso às implantações de produção por meio de uma regra de aprovação em seu pipeline de implantação.
+ A equipe de aplicações conta com as soluções centralizadas de federação de identidades e registro em log descritas na seção [Arquitetura principal](scenario.md#core-architecture).
+ A equipe do aplicativo cria uma AWS CloudTrail trilha e CloudWatch filtros da Amazon.
+ A equipe do aplicativo configura alertas do Amazon Simple Notification Service (Amazon SNS) CodePipeline para implantações AWS CloudFormation e exclusões de pilhas.
*Sistemas operacionais de patches*
+ A equipe de aplicações habilita a verificação do Lambda no Amazon Inspector e configura alertas para bibliotecas obsoletas ou vulneráveis.
*Autenticação multifator*
+ A equipe de aplicações conta com a solução centralizada de federação de identidades descrita na seção [Arquitetura principal](scenario.md#core-architecture). Essa solução aplica a MFA, registra em log autenticações e alerta ou responde automaticamente a eventos suspeitos de MFA.
*Backups regulares*
+ [A equipe de aplicativos armazena códigos, como AWS CDK aplicativos e funções e configurações do Lambda, em um repositório de código.](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/)
+ A equipe de aplicações habilita o versionamento e o Bloqueio de Objetos do Amazon S3 para ajudar a evitar que objetos sejam excluídos ou modificados.
+ A equipe de aplicações conta com a durabilidade integrada do Amazon S3 em vez de replicar todo o conjunto de dados em outra Região da AWS.
+ A equipe de aplicativos executa uma cópia da carga de trabalho em outra Região da AWS que atenda aos requisitos de soberania de dados. Ela usa as tabelas globais do Amazon DynamoDB e a [replicação entre regiões](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html#crr-scenario) do Amazon S3 para replicar dados automaticamente da região primária para a região secundária.
# Exemplo de workload: serviço web em contêineres
Essa workload é um exemplo de [Tema 2: gerenciar infraestrutura imutável por meio de pipelines seguros](theme-2.md).
O serviço web é executado no Amazon ECS e usa um banco de dados no Amazon RDS. A equipe do aplicativo define esses recursos em um CloudFormation modelo. Os contêineres são criados com o EC2 Image Builder e armazenados no Amazon ECR. A equipe de aplicativos implanta as alterações no sistema por meio AWS CodePipeline de. Esse pipeline é restrito à equipe de aplicações. Quando a equipe de aplicações faz uma pull request para o repositório de código, a [regra de duas pessoas](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/best-practice-5.2---implement-least-privilege-policies-for-source-and-downstream-systems..html) é usada.
Para essa workload, a equipe de aplicações realiza as ações a seguir para abordar as estratégias Essential Eight.
*Controle de aplicações*
+ A equipe de aplicações permite a [verificação de imagens de contêineres do Amazon ECR no Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning-ecr.html).
+ A equipe de aplicações cria a ferramenta de segurança [File Access Policy Daemon (fapolicyd)](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md) no pipeline do EC2 Image Builder. Para obter mais informações, consulte [Implementing Application Control](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/implementing-application-control) no site do ACSC.
+ A equipe do aplicativo configura a definição da tarefa do Amazon ECS para registrar a saída no Amazon CloudWatch Logs.
+ A equipe de aplicações implementa mecanismos para inspecionar e gerenciar as descobertas do Amazon Inspector.
*Aplicações de patches*
+ A equipe de aplicações habilita a verificação de imagens de contêineres do Amazon ECR no Amazon Inspector e configura alertas para bibliotecas obsoletas ou vulneráveis.
+ A equipe de aplicações automatiza suas respostas para as descobertas do Amazon Inspector. Novas descobertas iniciam seu pipeline de implantação por meio de um EventBridge gatilho da Amazon e CodePipeline são o alvo.
+ A equipe de aplicativos AWS Config permite rastrear AWS recursos para descoberta de ativos.
*Restringir privilégios administrativos*
+ A equipe de aplicações já está restringindo o acesso às implantações de produção por meio de uma regra de aprovação em seu pipeline de implantação.
+ A equipe de aplicações depende da federação de identidades da equipe de nuvem centralizada para a alternância de credenciais e o registro em log centralizado.
+ A equipe do aplicativo cria uma CloudTrail trilha e CloudWatch filtra.
+ A equipe do aplicativo configura alertas do Amazon SNS para CodePipeline implantações e CloudFormation exclusões de pilhas.
*Sistemas operacionais de patches*
+ A equipe de aplicações habilita a verificação de imagens de contêineres do Amazon ECR no Amazon Inspector e configura alertas para atualizações de patches do sistema operacional.
+ A equipe de aplicações automatiza sua resposta para as descobertas do Amazon Inspector. Novas descobertas iniciam seu pipeline de implantação por meio de um EventBridge gatilho e CodePipeline são o alvo.
+ A equipe de aplicações assina as notificações de eventos do Amazon RDS para ser informada sobre as atualizações. Ela toma uma decisão baseada em riscos com o proprietário do negócio sobre se devem aplicar essas atualizações manualmente ou permitir que o Amazon RDS as aplique automaticamente.
+ A equipe de aplicações configura a instância do Amazon RDS para ser um cluster de zona de multidisponibilidade, a fim de reduzir o impacto dos eventos de manutenção.
*Autenticação multifator*
+ A equipe de aplicações conta com a solução centralizada de federação de identidades descrita na seção [Arquitetura principal](scenario.md#core-architecture). Essa solução aplica a MFA, registra em log autenticações e alerta ou responde automaticamente a eventos suspeitos de MFA.
*Backups regulares*
+ A equipe do aplicativo configura AWS Backup para automatizar o backup dos dados em seu cluster Amazon RDS.
+ A equipe do aplicativo armazena CloudFormation modelos em um repositório de código.
+ A equipe de aplicativos desenvolve um pipeline automatizado para [criar uma cópia de sua carga de trabalho em outra região e executar testes automatizados](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iii-pilot-light-and-warm-standby/) (postagem AWS no blog). Depois que os testes automatizados são executados, o pipeline destrói a pilha. Esse pipeline é executado automaticamente uma vez por mês e valida a eficácia dos procedimentos de recuperação.
# Exemplo de workload: software COTS no Amazon EC2
Essa workload é um exemplo de [Tema 3: gerenciar infraestrutura mutável com automação](theme-3.md).
A workload em execução no Amazon EC2 foi criada manualmente usando o Console de gerenciamento da AWS. Os desenvolvedores atualizam manualmente o sistema fazendo login nas instâncias do EC2 e atualizando o software.
Para essa workload, as equipes de nuvem e aplicações realizam as ações a seguir para abordar as estratégias Essential Eight.
*Controle de aplicações*
+ A equipe de nuvem configura seu pipeline centralizado de AMI para instalar e configurar o AWS Systems Manager agente (agente SSM), o CloudWatch agente e. SELinux Ela compartilha a AMI resultante em todas as contas na organização.
+ A equipe de nuvem usa AWS Config regras para confirmar que todas as [instâncias do EC2 em execução são gerenciadas pelo Systems Manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) e têm [SSM Agent, CloudWatch agente e SELinux instaladas](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-applications-required.html).
+ A equipe de nuvem envia a saída do Amazon CloudWatch Logs para uma solução centralizada de gerenciamento de informações e eventos de segurança (SIEM) que é executada no Amazon OpenSearch Service.
+ A equipe de aplicação implementa mecanismos para inspecionar e gerenciar descobertas do AWS Config GuardDuty, e do Amazon Inspector. A equipe de nuvem implementa seus próprios mecanismos para capturar quaisquer descobertas que a equipe de aplicações não tenha percebido. Para obter mais orientações sobre a criação de um programa de gerenciamento de vulnerabilidades para abordar as descobertas, consulte [Criação de um programa escalável de gerenciamento de vulnerabilidades na AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/vulnerability-management/introduction.html).
*Aplicações de patches*
+ A equipe de aplicações corrige instâncias com base nas descobertas do Amazon Inspector.
+ A equipe de nuvem corrige a AMI básica, e a equipe de aplicações recebe um alerta quando essa AMI é alterada.
+ A equipe de aplicações restringe o acesso direto às suas instâncias do EC2 configurando [regras de grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) para permitir tráfego somente nas portas que a workload exige.
+ A equipe de aplicações usa o [Gerenciador de Patches](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html) para corrigir instâncias em vez de fazer login em instâncias individuais.
+ Para executar comandos arbitrários em grupos de instâncias do EC2, a equipe de aplicações usa o [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html).
+ Nas raras ocasiões em que a equipe de aplicações precisa de acesso direto a uma instância, ela usa o [Gerenciador de Sessões](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html). Essa abordagem de acesso usa identidades federadas e registra qualquer atividade da sessão para fins de auditoria.
*Restringir privilégios administrativos*
+ A equipe de aplicações configura as [regras do grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) para permitir o tráfego somente nas portas exigidas pela workload. Isso restringe o acesso direto às instâncias do Amazon EC2 e exige que os usuários acessem as instâncias do EC2 por meio do Gerenciador de Sessões.
+ A equipe de aplicações depende da federação de identidades da equipe de nuvem centralizada para a alternância de credenciais e o registro em log centralizado.
+ A equipe do aplicativo cria uma CloudTrail trilha e CloudWatch filtra.
+ A equipe do aplicativo configura alertas do Amazon SNS para CodePipeline implantações e CloudFormation exclusões de pilhas.
*Sistemas operacionais de patches*
+ A equipe de nuvem corrige a AMI básica, e a equipe de aplicações recebe um alerta quando essa AMI é alterada. A equipe de aplicações implanta novas instâncias usando essa AMI e, em seguida, usa o [Gerenciador de Estados](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html), um recurso do Systems Manager, para instalar o software necessário.
+ A equipe de aplicações usa o Gerenciador de Patches para corrigir instâncias, instância de login em instâncias individuais.
+ Para executar comandos arbitrários em grupos de instâncias do EC2, a equipe de aplicações usa o Run Command.
+ Nas raras ocasiões em que a equipe de aplicações precisa de acesso direto, ela usa o Gerenciador de Sessões.
*Autenticação multifator*
+ A equipe de aplicações conta com a solução centralizada de federação de identidades descrita na seção [Arquitetura principal](scenario.md#core-architecture). Essa solução aplica a MFA, registra em log autenticações e alerta ou responde automaticamente a eventos suspeitos de MFA.
*Backups regulares*
+ A equipe de aplicativos cria um AWS Backup plano para suas instâncias EC2 e volumes do Amazon Elastic Block Store (Amazon EBS).
+ A equipe de aplicações implementa um mecanismo para realizar uma restauração de backup manualmente todos os meses.