本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 工作负载示例:Amazon EC2 上的 COTS 软件 此工作负载是[主题 3:通过自动化管理可变基础设施](theme-3.md)的一个示例。 在 Amazon EC2 上运行的工作负载是使用 AWS 管理控制台手动创建的。开发者通过登录 EC2 实例并更新软件来手动更新系统。 对于此工作负载,云和应用程序团队采取以下措施来解决八大要点策略。 *应用程序控制* + 云团队配置其集中式 AMI 管道,以安装和配置 AWS Systems Manager 代理(SSM 代理)、 CloudWatch 代理和。 SELinux他们跨组织中的所有账户共享生成的 AMI。 + 云团队使用 AWS Config 规则来确认所有正在运行[的 EC2 实例均由 Systems Manager 管理](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html),并且已安装 [SSM 代理、 CloudWatch 代理并 SELinux 已安装](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-applications-required.html)。 + 云团队将 Amazon CloudWatch Logs 输出发送到在亚马逊 OpenSearch 服务上运行的集中式安全信息和事件管理 (SIEM) 解决方案。 + 应用程序团队实施机制来检查和管理来自 AWS Config、 GuardDuty和 Amazon Inspector 的调查结果。云团队实施自己的机制来捕获应用程序团队错过的任何调查发现。有关创建漏洞管理程序以处理调查发现的更多指引,请参阅[在 AWS上构建可扩展的漏洞管理程序](https://docs.aws.amazon.com/prescriptive-guidance/latest/vulnerability-management/introduction.html)。 *修补应用程序* + 应用程序团队根据 Amazon Inspector 调查发现修补实例。 + 云团队修补基本 AMI,当该 AMI 发生更改时,应用程序团队会收到提醒。 + 应用程序团队通过配置[安全组规则](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html)来限制对其 EC2 实例的直接访问,仅允许工作负载所需的端口上的流量。 + 应用程序团队使用[补丁管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html)来修补实例,而不是登录单个实例。 + 要对 EC2 实例组运行任意命令,应用程序团队可以使用 [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)。 + 在极少数情况下,当应用程序团队需要直接访问实例时,他们会使用[会话管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html)。此访问方法使用联合身份并记录任何会话活动以供审计。 *限制管理权限* + 应用程序团队配置[安全组规则](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html),仅允许工作负载所需的端口上的流量。这限制了对 Amazon EC2 实例的直接访问,并要求用户通过会话管理器访问 EC2 实例。 + 应用程序团队依赖集中式云团队的身份联合验证来轮换凭证和集中式日志记录。 + 应用团队创建 CloudTrail 跟踪和 CloudWatch 过滤器。 + 应用程序团队为 CodePipeline 部署和 CloudFormation堆栈删除设置 Amazon SNS 警报。 *修补操作系统* + 云团队修补基本 AMI,当该 AMI 发生更改时,应用程序团队会收到提醒。应用程序团队使用此 AMI 部署新实例,然后使用[状态管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html)(Systems Manager 的功能)来安装所需的软件。 + 应用程序团队使用补丁管理器来修补实例,而不是登录单个实例。 + 要对 EC2 实例组运行任意命令,应用程序团队可以使用 Run Command。 + 在极少数情况下,当应用程序团队需要直接访问时,他们会使用会话管理器。 *多重身份验证* + 应用程序团队依赖[核心架构](scenario.md#core-architecture)部分所述的集中式身份联合验证解决方案。此解决方案可强制执行 MFA,记录身份验证,并在出现可疑的 MFA 事件时发出提醒或自动做出响应。 *定期备份* + 应用程序团队为其 EC2 实例和亚马逊弹性区块存储 (Amazon EBS) 卷 AWS Backup 制定计划。 + 应用程序团队实施了一种机制,每月手动执行一次备份恢复。