As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tema 2: gerenciar infraestrutura imutável por meio de pipelines seguros
Estratégias Essential Eight abordadas
Controle de aplicações, aplicações de patches, sistemas operacionais de patches
Para uma infraestrutura imutável, você deve proteger os pipelines de implantação para alterações no sistema. AWS O ilustre engenheiro, Colm MacCárthaigh, explicou esse princípio na apresentação de Operações com privilégio zero: execução de serviços sem acesso a dados (YouTubevídeo) na conferência re:Invent
Ao restringir o acesso direto para configurar AWS recursos, você pode exigir que todos os recursos sejam implantados ou alterados por meio de pipelines aprovados, protegidos e automatizados. Normalmente, você cria políticas do AWS Identity and Access Management (IAM) que permitem que os usuários acessem apenas a conta que hospeda o pipeline de implantação. Você também configura políticas do IAM que permitem acesso de emergência a um número limitado de usuários. Para evitar alterações manuais, você pode usar grupos de segurança para bloquear o acesso SSH e via protocolo de desktop remoto (RDP) do Windows aos servidores. O Gerenciador de Sessões AWS Systems Manager, um recurso do, pode fornecer acesso às instâncias sem a necessidade de abrir portas de entrada ou manter os bastion hosts.
As imagens de máquina da Amazon (AMIs) e imagens de contêineres devem ser criadas com segurança e repetição. Para instâncias do Amazon EC2, você pode usar o EC2 Image Builder para criar AMIs que tenham recursos de segurança integrados, como descoberta de instâncias, controle de aplicativos e registro em log. Para obter mais informações sobre controle da aplicação, consulte Implementing Application Control
As aplicações devem ser definidas na infraestrutura como código (IaC), usando serviços como o AWS CloudFormation ou o AWS Cloud Development Kit (AWS CDK). Ferramentas de análise de código AWS CloudFormation Guard, como cfn-nag ou cdk-nag, podem testar automaticamente o código de acordo com as melhores práticas de segurança em seu pipeline aprovado.
Assim como acontece com Tema 1: usar serviços gerenciados, o Amazon Inspector pode relatar vulnerabilidades em todas as suas Contas da AWS. As equipes centralizadas de nuvem e segurança podem usar essas informações para verificar se a equipe de aplicações está atendendo aos requisitos de segurança e conformidade.
Para monitorar e relatar a conformidade, realize análises contínuas dos recursos e logs do IAM. Use AWS Config regras para garantir que somente AMIs os aprovados sejam usados e certifique-se de que o Amazon Inspector esteja configurado para verificar se há vulnerabilidades nos recursos do Amazon ECR.
Melhores práticas relacionadas no AWS Well-Architected Framework
Implementação deste tema
Implemente a AMI e os pipelines de criação de contêineres
-
Use o EC2 Image Builder e inclua o seguinte em AMIs seu:
-
AWS Systems Manager Agente (Agente SSM), que é usado para descoberta e gerenciamento de instâncias
-
Ferramentas de segurança para controle de aplicativos, como Security Enhanced Linux (SELinux) (GitHub)
, File Access Policy Daemon (fapolicyd) () ou OpenSCAP GitHub -
Amazon CloudWatch Agent, que é usado para registro
-
-
Para todas as instâncias do EC2, inclua as políticas
CloudWatchAgentServerPolicyeAmazonSSMManagedInstanceCoreno perfil de instância ou no perfil do IAM que o Systems Manager usa para acessar sua instância -
Certifique-se de que as equipes de aplicativos estejam referenciando as últimas AMIs
-
Implemente pipelines de criação de contêineres:
Implementar pipelines seguros de criação de aplicações
-
Implemente pipelines de criação para IaC, como usando o EC2 Image Builder e AWS CodePipeline
(postagem do blog)AWS -
Use ferramentas de análise de código AWS CloudFormation Guard, como cfn-nag
(GitHub) ou cdk-nag (GitHub), em CI/CD pipelines para ajudar a detectar violações das melhores práticas, como: -
Políticas do IAM que são muito permissivas, como as que usam curingas
-
Regras de grupo de segurança que são muito permissivas, como as que usam curingas ou permitem acesso SSH
-
Logs de acesso que não estão habilitados
-
Criptografia que não está habilitada
-
Literais de senha
-
-
Implemente ferramentas de digitalização em pipelines
(postagem AWS no blog) -
Use AWS Identity and Access Management Access Analyzer em pipelines
(postagem AWS do blog) para validar políticas do IAM definidas em modelos CloudFormation -
Configurar políticas do IAM e políticas de controle de serviços para acesso com privilégio mínimo para usar o pipeline ou fazer modificações nele
Implementar verificação de vulnerabilidades
-
Habilite o Amazon Inspector em todas as contas da sua organização
-
Use o Amazon Inspector para escanear seu pipeline AMIs de criação de AMI:
-
Configure a verificação avançada para repositórios do Amazon ECR usando o Amazon Inspector
Monitoramento deste tema
Monitorar o IAM e os logs continuamente
-
Revise periodicamente suas políticas do IAM para se certificar de que:
-
Somente os pipelines de implantação têm acesso direto aos recursos
-
Somente serviços aprovados têm acesso direto aos dados
-
Seus usuários não têm acesso direto aos recursos ou dados
-
-
Monitore AWS CloudTrail os registros para confirmar se os usuários estão modificando recursos por meio de pipelines e não estão modificando recursos ou acessando dados diretamente
-
Revisar periodicamente descobertas do analisador de acesso do IAM
-
Configure um alerta para notificar você se as credenciais do usuário-raiz de uma Conta da AWS forem usadas
Implemente as seguintes AWS Config regras
-
APPROVED_AMIS_BY_ID -
APPROVED_AMIS_BY_TAG -
ECR_PRIVATE_IMAGE_SCANNING_ENABLED
