As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Exemplo de workload: serviço web em contêineres Essa workload é um exemplo de [Tema 2: gerenciar infraestrutura imutável por meio de pipelines seguros](theme-2.md). O serviço web é executado no Amazon ECS e usa um banco de dados no Amazon RDS. A equipe do aplicativo define esses recursos em um CloudFormation modelo. Os contêineres são criados com o EC2 Image Builder e armazenados no Amazon ECR. A equipe de aplicativos implanta as alterações no sistema por meio AWS CodePipeline de. Esse pipeline é restrito à equipe de aplicações. Quando a equipe de aplicações faz uma pull request para o repositório de código, a [regra de duas pessoas](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/best-practice-5.2---implement-least-privilege-policies-for-source-and-downstream-systems..html) é usada. Para essa workload, a equipe de aplicações realiza as ações a seguir para abordar as estratégias Essential Eight. *Controle de aplicações* + A equipe de aplicações permite a [verificação de imagens de contêineres do Amazon ECR no Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning-ecr.html). + A equipe de aplicações cria a ferramenta de segurança [File Access Policy Daemon (fapolicyd)](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md) no pipeline do EC2 Image Builder. Para obter mais informações, consulte [Implementing Application Control](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/implementing-application-control) no site do ACSC. + A equipe do aplicativo configura a definição da tarefa do Amazon ECS para registrar a saída no Amazon CloudWatch Logs. + A equipe de aplicações implementa mecanismos para inspecionar e gerenciar as descobertas do Amazon Inspector. *Aplicações de patches* + A equipe de aplicações habilita a verificação de imagens de contêineres do Amazon ECR no Amazon Inspector e configura alertas para bibliotecas obsoletas ou vulneráveis. + A equipe de aplicações automatiza suas respostas para as descobertas do Amazon Inspector. Novas descobertas iniciam seu pipeline de implantação por meio de um EventBridge gatilho da Amazon e CodePipeline são o alvo. + A equipe de aplicativos AWS Config permite rastrear AWS recursos para descoberta de ativos. *Restringir privilégios administrativos* + A equipe de aplicações já está restringindo o acesso às implantações de produção por meio de uma regra de aprovação em seu pipeline de implantação. + A equipe de aplicações depende da federação de identidades da equipe de nuvem centralizada para a alternância de credenciais e o registro em log centralizado. + A equipe do aplicativo cria uma CloudTrail trilha e CloudWatch filtra. + A equipe do aplicativo configura alertas do Amazon SNS para CodePipeline implantações e CloudFormation exclusões de pilhas. *Sistemas operacionais de patches* + A equipe de aplicações habilita a verificação de imagens de contêineres do Amazon ECR no Amazon Inspector e configura alertas para atualizações de patches do sistema operacional. + A equipe de aplicações automatiza sua resposta para as descobertas do Amazon Inspector. Novas descobertas iniciam seu pipeline de implantação por meio de um EventBridge gatilho e CodePipeline são o alvo. + A equipe de aplicações assina as notificações de eventos do Amazon RDS para ser informada sobre as atualizações. Ela toma uma decisão baseada em riscos com o proprietário do negócio sobre se devem aplicar essas atualizações manualmente ou permitir que o Amazon RDS as aplique automaticamente. + A equipe de aplicações configura a instância do Amazon RDS para ser um cluster de zona de multidisponibilidade, a fim de reduzir o impacto dos eventos de manutenção. *Autenticação multifator* + A equipe de aplicações conta com a solução centralizada de federação de identidades descrita na seção [Arquitetura principal](scenario.md#core-architecture). Essa solução aplica a MFA, registra em log autenticações e alerta ou responde automaticamente a eventos suspeitos de MFA. *Backups regulares* + A equipe do aplicativo configura AWS Backup para automatizar o backup dos dados em seu cluster Amazon RDS. + A equipe do aplicativo armazena CloudFormation modelos em um repositório de código. + A equipe de aplicativos desenvolve um pipeline automatizado para [criar uma cópia de sua carga de trabalho em outra região e executar testes automatizados](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iii-pilot-light-and-warm-standby/) (postagem AWS no blog). Depois que os testes automatizados são executados, o pipeline destrói a pilha. Esse pipeline é executado automaticamente uma vez por mês e valida a eficácia dos procedimentos de recuperação.