Exemplo de workload: serviço web em contêineres - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplo de workload: serviço web em contêineres

Essa workload é um exemplo de Tema 2: gerenciar infraestrutura imutável por meio de pipelines seguros.

O serviço web é executado no Amazon ECS e usa um banco de dados no Amazon RDS. A equipe do aplicativo define esses recursos em um CloudFormation modelo. Os contêineres são criados com o EC2 Image Builder e armazenados no Amazon ECR. A equipe de aplicativos implanta as alterações no sistema por meio AWS CodePipeline de. Esse pipeline é restrito à equipe de aplicações. Quando a equipe de aplicações faz uma pull request para o repositório de código, a regra de duas pessoas é usada.

Para essa workload, a equipe de aplicações realiza as ações a seguir para abordar as estratégias Essential Eight.

Controle de aplicações

Aplicações de patches

  • A equipe de aplicações habilita a verificação de imagens de contêineres do Amazon ECR no Amazon Inspector e configura alertas para bibliotecas obsoletas ou vulneráveis.

  • A equipe de aplicações automatiza suas respostas para as descobertas do Amazon Inspector. Novas descobertas iniciam seu pipeline de implantação por meio de um EventBridge gatilho da Amazon e CodePipeline são o alvo.

  • A equipe de aplicativos AWS Config permite rastrear AWS recursos para descoberta de ativos.

Restringir privilégios administrativos

  • A equipe de aplicações já está restringindo o acesso às implantações de produção por meio de uma regra de aprovação em seu pipeline de implantação.

  • A equipe de aplicações depende da federação de identidades da equipe de nuvem centralizada para a alternância de credenciais e o registro em log centralizado.

  • A equipe do aplicativo cria uma CloudTrail trilha e CloudWatch filtra.

  • A equipe do aplicativo configura alertas do Amazon SNS para CodePipeline implantações e CloudFormation exclusões de pilhas.

Sistemas operacionais de patches

  • A equipe de aplicações habilita a verificação de imagens de contêineres do Amazon ECR no Amazon Inspector e configura alertas para atualizações de patches do sistema operacional.

  • A equipe de aplicações automatiza sua resposta para as descobertas do Amazon Inspector. Novas descobertas iniciam seu pipeline de implantação por meio de um EventBridge gatilho e CodePipeline são o alvo.

  • A equipe de aplicações assina as notificações de eventos do Amazon RDS para ser informada sobre as atualizações. Ela toma uma decisão baseada em riscos com o proprietário do negócio sobre se devem aplicar essas atualizações manualmente ou permitir que o Amazon RDS as aplique automaticamente.

  • A equipe de aplicações configura a instância do Amazon RDS para ser um cluster de zona de multidisponibilidade, a fim de reduzir o impacto dos eventos de manutenção.

Autenticação multifator

  • A equipe de aplicações conta com a solução centralizada de federação de identidades descrita na seção Arquitetura principal. Essa solução aplica a MFA, registra em log autenticações e alerta ou responde automaticamente a eventos suspeitos de MFA.

Backups regulares

  • A equipe do aplicativo configura AWS Backup para automatizar o backup dos dados em seu cluster Amazon RDS.

  • A equipe do aplicativo armazena CloudFormation modelos em um repositório de código.

  • A equipe de aplicativos desenvolve um pipeline automatizado para criar uma cópia de sua carga de trabalho em outra região e executar testes automatizados (postagem AWS no blog). Depois que os testes automatizados são executados, o pipeline destrói a pilha. Esse pipeline é executado automaticamente uma vez por mês e valida a eficácia dos procedimentos de recuperação.