本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 工作负载示例:容器化 Web 服务 此工作负载是[主题 2:通过安全管线管理不可变基础设施](theme-2.md)的一个示例。 Web 服务在 Amazon ECS 上运行,并使用 Amazon RDS 中的数据库。应用团队在 CloudFormation 模板中定义这些资源。容器使用 EC2 Image Builder 创建并存储在 Amazon ECR 中。应用程序团队通过 AWS CodePipeline将更改部署到系统。此管线仅限应用程序团队使用。当应用程序团队对代码存储库提出拉取请求时,将使用[双人规则](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/best-practice-5.2---implement-least-privilege-policies-for-source-and-downstream-systems..html)。 对于此工作负载,应用程序团队采取以下措施来解决八大要点策略。 *应用程序控制* + 应用程序团队支持[在 Amazon Inspector 中扫描 Amazon ECR 容器镜像](https://docs.aws.amazon.com/inspector/latest/user/scanning-ecr.html)。 + 应用程序团队在 EC2 Image Builder 管线中构建[文件访问策略进程守护程序(fapolicyd)](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md)安全工具。有关更多信息,请参阅 ACSC 网站上的[实现应用程序控制](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/implementing-application-control)。 + 应用程序团队将 Amazon ECS 任务定义配置为将输出记录到 Amazon CloudWatch 日志。 + 应用程序团队实施用于检查和管理 Amazon Inspector 调查发现的机制。 *修补应用程序* + 应用程序团队在 Amazon Inspector 中启用扫描 Amazon ECR 容器映像,并为已弃用或易受攻击的库配置提醒。 + 应用程序团队自动对 Amazon Inspector 调查发现做出响应。新发现通过Amazon EventBridge 触发器启动其部署渠道,并且 CodePipeline 是目标。 + 应用程序团队可以跟踪 AWS 资源 AWS Config 以进行资产发现。 *限制管理权限* + 应用程序团队已通过部署管线上的批准规则限制对生产部署的访问权限。 + 应用程序团队依赖集中式云团队的身份联合验证来轮换凭证和集中式日志记录。 + 应用团队创建 CloudTrail 跟踪和 CloudWatch 过滤器。 + 应用程序团队为 CodePipeline 部署和 CloudFormation堆栈删除设置 Amazon SNS 警报。 *修补操作系统* + 应用程序团队在 Amazon Inspector 中启用扫描 Amazon ECR 容器映像,并为操作系统补丁更新配置提醒。 + 应用程序团队自动对 Amazon Inspector 调查发现做出响应。新发现通过 EventBridge 触发器启动其部署管道,并且 CodePipeline 是目标。 + 应用程序团队订阅 Amazon RDS 事件通知,以便及时了解更新。他们与企业主一起做出基于风险的决定,决定是手动应用这些更新,还是让 Amazon RDS 自动应用这些更新。 + 应用程序团队将 Amazon RDS 实例配置为多可用区集群,以减少维护事件的影响。 *多重身份验证* + 应用程序团队依赖[核心架构](scenario.md#core-architecture)部分所述的集中式身份联合验证解决方案。此解决方案可强制执行 MFA,记录身份验证,并在出现可疑的 MFA 事件时发出提醒或自动做出响应。 *定期备份* + 应用程序团队配置 AWS Backup 为自动备份其 Amazon RDS 集群的数据。 + 应用团队将 CloudFormation 模板存储在代码存储库中。 + 应用程序团队开发了一个自动化管道,用于[在另一个区域创建其工作负载的副本并运行自动测试](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iii-pilot-light-and-warm-standby/)(AWS 博客文章)。自动测试运行后,管线会销毁堆栈。此管线每月自动运行一次,并验证恢复过程的有效性。