As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Exemplo de workload: software COTS no Amazon EC2 Software COTS Essa workload é um exemplo de [Tema 3: gerenciar infraestrutura mutável com automação](theme-3.md). A workload em execução no Amazon EC2 foi criada manualmente usando o Console de gerenciamento da AWS. Os desenvolvedores atualizam manualmente o sistema fazendo login nas instâncias do EC2 e atualizando o software. Para essa workload, as equipes de nuvem e aplicações realizam as ações a seguir para abordar as estratégias Essential Eight. *Controle de aplicações* + A equipe de nuvem configura seu pipeline centralizado de AMI para instalar e configurar o AWS Systems Manager agente (agente SSM), o CloudWatch agente e. SELinux Ela compartilha a AMI resultante em todas as contas na organização. + A equipe de nuvem usa AWS Config regras para confirmar que todas as [instâncias do EC2 em execução são gerenciadas pelo Systems Manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) e têm [SSM Agent, CloudWatch agente e SELinux instaladas](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-applications-required.html). + A equipe de nuvem envia a saída do Amazon CloudWatch Logs para uma solução centralizada de gerenciamento de informações e eventos de segurança (SIEM) que é executada no Amazon OpenSearch Service. + A equipe de aplicação implementa mecanismos para inspecionar e gerenciar descobertas do AWS Config GuardDuty, e do Amazon Inspector. A equipe de nuvem implementa seus próprios mecanismos para capturar quaisquer descobertas que a equipe de aplicações não tenha percebido. Para obter mais orientações sobre a criação de um programa de gerenciamento de vulnerabilidades para abordar as descobertas, consulte [Criação de um programa escalável de gerenciamento de vulnerabilidades na AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/vulnerability-management/introduction.html). *Aplicações de patches* + A equipe de aplicações corrige instâncias com base nas descobertas do Amazon Inspector. + A equipe de nuvem corrige a AMI básica, e a equipe de aplicações recebe um alerta quando essa AMI é alterada. + A equipe de aplicações restringe o acesso direto às suas instâncias do EC2 configurando [regras de grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) para permitir tráfego somente nas portas que a workload exige. + A equipe de aplicações usa o [Gerenciador de Patches](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html) para corrigir instâncias em vez de fazer login em instâncias individuais. + Para executar comandos arbitrários em grupos de instâncias do EC2, a equipe de aplicações usa o [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html). + Nas raras ocasiões em que a equipe de aplicações precisa de acesso direto a uma instância, ela usa o [Gerenciador de Sessões](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html). Essa abordagem de acesso usa identidades federadas e registra qualquer atividade da sessão para fins de auditoria. *Restringir privilégios administrativos* + A equipe de aplicações configura as [regras do grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) para permitir o tráfego somente nas portas exigidas pela workload. Isso restringe o acesso direto às instâncias do Amazon EC2 e exige que os usuários acessem as instâncias do EC2 por meio do Gerenciador de Sessões. + A equipe de aplicações depende da federação de identidades da equipe de nuvem centralizada para a alternância de credenciais e o registro em log centralizado. + A equipe do aplicativo cria uma CloudTrail trilha e CloudWatch filtra. + A equipe do aplicativo configura alertas do Amazon SNS para CodePipeline implantações e CloudFormation exclusões de pilhas. *Sistemas operacionais de patches* + A equipe de nuvem corrige a AMI básica, e a equipe de aplicações recebe um alerta quando essa AMI é alterada. A equipe de aplicações implanta novas instâncias usando essa AMI e, em seguida, usa o [Gerenciador de Estados](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html), um recurso do Systems Manager, para instalar o software necessário. + A equipe de aplicações usa o Gerenciador de Patches para corrigir instâncias, instância de login em instâncias individuais. + Para executar comandos arbitrários em grupos de instâncias do EC2, a equipe de aplicações usa o Run Command. + Nas raras ocasiões em que a equipe de aplicações precisa de acesso direto, ela usa o Gerenciador de Sessões. *Autenticação multifator* + A equipe de aplicações conta com a solução centralizada de federação de identidades descrita na seção [Arquitetura principal](scenario.md#core-architecture). Essa solução aplica a MFA, registra em log autenticações e alerta ou responde automaticamente a eventos suspeitos de MFA. *Backups regulares* + A equipe de aplicativos cria um AWS Backup plano para suas instâncias EC2 e volumes do Amazon Elastic Block Store (Amazon EBS). + A equipe de aplicações implementa um mecanismo para realizar uma restauração de backup manualmente todos os meses.