Exemplo de workload: software COTS no Amazon EC2

A equipe de nuvem configura seu pipeline centralizado de AMI para instalar e configurar o AWS Systems Manager agente (agente SSM), o CloudWatch agente e. SELinux Ela compartilha a AMI resultante em todas as contas na organização.

A equipe de nuvem usa AWS Config regras para confirmar que todas as instâncias do EC2 em execução são gerenciadas pelo Systems Manager e têm SSM Agent, CloudWatch agente e SELinux instaladas.

A equipe de nuvem envia a saída do Amazon CloudWatch Logs para uma solução centralizada de gerenciamento de informações e eventos de segurança (SIEM) que é executada no Amazon OpenSearch Service.

A equipe de aplicação implementa mecanismos para inspecionar e gerenciar descobertas do AWS Config GuardDuty, e do Amazon Inspector. A equipe de nuvem implementa seus próprios mecanismos para capturar quaisquer descobertas que a equipe de aplicações não tenha percebido. Para obter mais orientações sobre a criação de um programa de gerenciamento de vulnerabilidades para abordar as descobertas, consulte Criação de um programa escalável de gerenciamento de vulnerabilidades na AWS.

A equipe de aplicações corrige instâncias com base nas descobertas do Amazon Inspector.

A equipe de nuvem corrige a AMI básica, e a equipe de aplicações recebe um alerta quando essa AMI é alterada.

A equipe de aplicações restringe o acesso direto às suas instâncias do EC2 configurando regras de grupo de segurança para permitir tráfego somente nas portas que a workload exige.

A equipe de aplicações usa o Gerenciador de Patches para corrigir instâncias em vez de fazer login em instâncias individuais.

Para executar comandos arbitrários em grupos de instâncias do EC2, a equipe de aplicações usa o Run Command.

Nas raras ocasiões em que a equipe de aplicações precisa de acesso direto a uma instância, ela usa o Gerenciador de Sessões. Essa abordagem de acesso usa identidades federadas e registra qualquer atividade da sessão para fins de auditoria.

A equipe de aplicações configura as regras do grupo de segurança para permitir o tráfego somente nas portas exigidas pela workload. Isso restringe o acesso direto às instâncias do Amazon EC2 e exige que os usuários acessem as instâncias do EC2 por meio do Gerenciador de Sessões.

A equipe de aplicações depende da federação de identidades da equipe de nuvem centralizada para a alternância de credenciais e o registro em log centralizado.

A equipe do aplicativo cria uma CloudTrail trilha e CloudWatch filtra.

A equipe do aplicativo configura alertas do Amazon SNS para CodePipeline implantações e CloudFormation exclusões de pilhas.

A equipe de nuvem corrige a AMI básica, e a equipe de aplicações recebe um alerta quando essa AMI é alterada. A equipe de aplicações implanta novas instâncias usando essa AMI e, em seguida, usa o Gerenciador de Estados, um recurso do Systems Manager, para instalar o software necessário.

A equipe de aplicações usa o Gerenciador de Patches para corrigir instâncias, instância de login em instâncias individuais.

Para executar comandos arbitrários em grupos de instâncias do EC2, a equipe de aplicações usa o Run Command.

Nas raras ocasiões em que a equipe de aplicações precisa de acesso direto, ela usa o Gerenciador de Sessões.

A equipe de aplicações conta com a solução centralizada de federação de identidades descrita na seção Arquitetura principal. Essa solução aplica a MFA, registra em log autenticações e alerta ou responde automaticamente a eventos suspeitos de MFA.

A equipe de aplicativos cria um AWS Backup plano para suas instâncias EC2 e volumes do Amazon Elastic Block Store (Amazon EBS).

A equipe de aplicações implementa um mecanismo para realizar uma restauração de backup manualmente todos os meses.