As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tema 3: gerenciar infraestrutura mutável com automação
Estratégias Essential Eight abordadas
Controle de aplicações, aplicações de patches, sistemas operacionais de patches
Semelhante à infraestrutura imutável, você gerencia a infraestrutura mutável como IaC e modifica ou atualiza essa infraestrutura por meio de processos automatizados. Muitas das etapas de implementação da infraestrutura imutável também se aplicam à infraestrutura mutável. No entanto, para uma infraestrutura mutável, você também deve implementar controles manuais para garantir que as workloads modificadas ainda sigam as práticas recomendadas.
Para uma infraestrutura mutável, você pode automatizar o gerenciamento de patches usando o Patch Manager, um recurso de. AWS Systems Manager Habilite o Gerenciador de Patches em todas as contas da sua organização da AWS .
Evite o acesso direto via SSH e RDP e exija que os usuários usem o Gerenciador de Sessões ou o Run Command, que também são recursos do Systems Manager. Diferentemente do SSH e do RDP, esses recursos podem registrar em log o acesso e as alterações do sistema.
Para monitorar e relatar a conformidade, você deve realizar análises contínuas da conformidade de patches. Você pode usar AWS Config regras para garantir que todas as instâncias do Amazon EC2 sejam gerenciadas pelo Systems Manager, tenham as permissões necessárias e os aplicativos instalados e estejam em conformidade com os patches.
Melhores práticas relacionadas no AWS Well-Architected Framework
Implementação deste tema
Automatizar a aplicação de patches
-
Implemente as etapas em Habilitar o Gerenciador de Patches em todas as contas na sua organização da AWS
-
Para todas as instâncias do EC2, inclua
CloudWatchAgentServerPolicyeAmazonSSMManagedInstanceCoreno perfil de instância ou no perfil do IAM que o Systems Manager usa para acessar sua instância
Usar automação em vez de processos manuais
-
Implemente a orientação em Implementar a AMI e os pipelines de criação de contêineres em Tema 2: gerenciar infraestrutura imutável por meio de pipelines seguros
-
Use o Gerenciador de Sessões ou o Run Command em vez do acesso direto por SSH ou RDP
Usar a automação para instalar os recursos a seguir nas instâncias do EC2
-
AWS Systems Manager Agente (Agente SSM), que é usado para descoberta e gerenciamento de instâncias
-
Ferramentas de segurança para controle de aplicativos, como Security Enhanced Linux (SELinux) (GitHub)
, File Access Policy Daemon (fapolicyd) () ou OpenSCAP GitHub -
Amazon CloudWatch Agent, que é usado para registro
Usar a revisão por pares antes de qualquer lançamento para garantir que as mudanças estejam de acordo com as práticas recomendadas
-
Políticas do IAM que são muito permissivas, como as que usam curingas
-
Regras de grupo de segurança que são muito permissivas, como as que usam curingas ou permitem acesso SSH
-
Logs de acesso que não estão habilitados
-
Criptografia que não está habilitada
-
Literais de senha
-
Políticas seguras do IAM
Usar controles em nível de identidade
-
Para exigir que os usuários modifiquem recursos por meio de processos automatizados e evitar a configuração manual, conceda permissões somente de leitura para perfis que os usuários possam assumir
-
Conceder permissões para modificar recursos somente para perfis de serviço, como o perfil usado pelo Systems Manager
Implementar verificação de vulnerabilidades
-
Implementar a orientação em Implementar a verificação de vulnerabilidades em Tema 2: gerenciar infraestrutura imutável por meio de pipelines seguros
-
Escanear suas instâncias do EC2 usando o Amazon Inspector
Monitoramento deste tema
Monitorar continuamente a conformidade dos patches
-
Relatar a conformidade de patches usando automação e painéis
-
Implementar um mecanismo para revisar os painéis para verificar a conformidade dos patches
Monitorar o IAM e os logs continuamente
-
Revise periodicamente suas políticas do IAM para se certificar de que:
-
Somente os pipelines de implantação têm acesso direto aos recursos
-
Somente serviços aprovados têm acesso direto aos dados
-
Seus usuários não têm acesso direto aos recursos ou dados
-
-
Monitore AWS CloudTrail os registros para garantir que os usuários estejam modificando recursos por meio de pipelines e não estejam modificando recursos ou acessando dados diretamente
-
Revise periodicamente AWS Identity and Access Management Access Analyzer os resultados
-
Configure um alerta para notificar você se as credenciais do usuário-raiz de uma Conta da AWS forem usadas
Implemente as seguintes AWS Config regras
-
EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK -
EC2_INSTANCE_MANAGED_BY_SSM -
EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent -
EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps -
IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM -
EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK -
REQUIRED_TAGS -
RESTRICTED_INCOMING_TRAFFIC - 22, 3389
