As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Tema 3: gerenciar infraestrutura mutável com automação
<a name="theme-3"></a>

**Estratégias Essential Eight abordadas**  
Controle de aplicações, aplicações de patches, sistemas operacionais de patches

Semelhante à infraestrutura imutável, você gerencia a infraestrutura mutável como IaC e modifica ou atualiza essa infraestrutura por meio de processos automatizados. Muitas das etapas de implementação da infraestrutura imutável também se aplicam à infraestrutura mutável. No entanto, para uma infraestrutura mutável, você também deve implementar controles manuais para garantir que as workloads modificadas ainda sigam as práticas recomendadas.

Para uma infraestrutura mutável, você pode automatizar o gerenciamento de patches usando o [Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html), um recurso de. AWS Systems Manager Habilite o Gerenciador de Patches em todas as contas da sua organização da AWS .

Evite o acesso direto via SSH e RDP e exija que os usuários usem o [Gerenciador de Sessões](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) ou o [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html), que também são recursos do Systems Manager. Diferentemente do SSH e do RDP, esses recursos podem registrar em log o acesso e as alterações do sistema.

Para monitorar e relatar a conformidade, você deve realizar análises contínuas da conformidade de patches. Você pode usar AWS Config regras para garantir que todas as instâncias do Amazon EC2 sejam gerenciadas pelo Systems Manager, tenham as permissões necessárias e os aplicativos instalados e estejam em conformidade com os patches.

## Melhores práticas relacionadas no AWS Well-Architected Framework
<a name="theme-3-best-practices"></a>
+ [SEC06- BP03 Reduzir o gerenciamento manual e o acesso interativo](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_reduce_manual_management.html)
+ [SEC06- BP05 Automatize a proteção computacional](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_auto_protection.html)

## Implementação deste tema
<a name="theme-3-implementation"></a>

### Automatizar a aplicação de patches
<a name="t3-automate-patching"></a>
+ Implemente as etapas em [Habilitar o Gerenciador de Patches em todas as contas na sua organização da AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)
+ Para todas as instâncias do EC2, inclua `CloudWatchAgentServerPolicy` e `AmazonSSMManagedInstanceCore` no [perfil de instância ou no perfil do IAM](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html) que o Systems Manager usa para acessar sua instância

### Usar automação em vez de processos manuais
<a name="t3-automate"></a>
+ Implemente a orientação em [Implementar a AMI e os pipelines de criação de contêineres](theme-2.md#theme-2-implementation) em [Tema 2: gerenciar infraestrutura imutável por meio de pipelines seguros](theme-2.md)
+ Use o [Gerenciador de Sessões](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) ou o [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html) em vez do acesso direto por SSH ou RDP

### Usar a automação para instalar os recursos a seguir nas instâncias do EC2
<a name="t3-ec2"></a>
+ [AWS Systems Manager Agente (Agente SSM)](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-linux.html), que é usado para descoberta e gerenciamento de instâncias
+ [Ferramentas de segurança para controle de aplicativos, como [Security Enhanced Linux (SELinux) (GitHub)](https://github.com/SELinuxProject), [File Access Policy Daemon (fapolicyd) ()](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md) ou OpenSCAP GitHub](https://www.open-scap.org/)
+ [Amazon CloudWatch Agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html), que é usado para registro

### Usar a revisão por pares antes de qualquer lançamento para garantir que as mudanças estejam de acordo com as práticas recomendadas
<a name="t3-peer-review"></a>
+ Políticas do IAM que são muito permissivas, como as que usam curingas
+ Regras de grupo de segurança que são muito permissivas, como as que usam curingas ou permitem acesso SSH
+ Logs de acesso que não estão habilitados
+ Criptografia que não está habilitada
+ Literais de senha
+ Políticas seguras do IAM

### Usar controles em nível de identidade
<a name="t3-identity-controls"></a>
+ Para exigir que os usuários modifiquem recursos por meio de processos automatizados e evitar a configuração manual, conceda permissões somente de leitura para perfis que os usuários possam assumir
+ Conceder permissões para modificar recursos somente para perfis de serviço, como o perfil usado pelo Systems Manager

### Implementar verificação de vulnerabilidades
<a name="t3-vulnerability-scanning"></a>
+ Implementar a orientação em [Implementar a verificação de vulnerabilidades](theme-2.md#theme-2-implementation) em [Tema 2: gerenciar infraestrutura imutável por meio de pipelines seguros](theme-2.md)
+ Escanear suas instâncias do EC2 usando o Amazon Inspector

## Monitoramento deste tema
<a name="theme-3-monitoring"></a>

### Monitorar continuamente a conformidade dos patches
<a name="t3-patch-compliance"></a>
+ [Relatar a conformidade de patches usando automação e painéis](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)
+ Implementar um mecanismo para revisar os painéis para verificar a conformidade dos patches

### Monitorar o IAM e os logs continuamente
<a name="t3-monitor-iam"></a>
+ Revise periodicamente suas políticas do IAM para se certificar de que:
  + Somente os pipelines de implantação têm acesso direto aos recursos
  + Somente serviços aprovados têm acesso direto aos dados
  + Seus usuários não têm acesso direto aos recursos ou dados
+ Monitore AWS CloudTrail os registros para garantir que os usuários estejam modificando recursos por meio de pipelines e não estejam modificando recursos ou acessando dados diretamente
+ Revise periodicamente AWS Identity and Access Management Access Analyzer os resultados
+ Configure um alerta para notificar você se as credenciais do usuário-raiz de uma Conta da AWS forem usadas

### Implemente as seguintes AWS Config regras
<a name="t3-cc-rules"></a>
+ `EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK`
+ `EC2_INSTANCE_MANAGED_BY_SSM`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps`
+ `IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM`
+ `EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK`
+ `REQUIRED_TAGS`
+ `RESTRICTED_INCOMING_TRAFFIC - 22, 3389`