本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
主题 3:通过自动化管理可变基础设施
涵盖八大要点策略
应用程序控制、修补应用程序、修补操作系统
与不可变基础设施类似,您可以将可变基础设施作为 IaC 来管理,并通过自动化流程修改或更新此基础设施。不可变基础设施的许多实现步骤也适用于可变基础设施。但是,对于可变基础设施,您还必须实施手动控制,以确保修改的工作负载仍遵循最佳实践。
对于可变基础架构,您可以使用 Patch Manager(一项功能)来自动管理补丁。 AWS Systems Manager在 AWS 组织的所有账户中启用补丁管理器。
防止直接访问 SSH 和 RDP,并要求用户使用会话管理器或运行命令,这也是 Systems Manager 的功能。与 SSH 和 RDP 不同,这些功能可以记录系统访问和更改。
要监控和报告合规性,您必须持续审查补丁合规性。您可以使用 AWS Config 规则来确保所有 Amazon EC2 实例均由 Systems Manager 管理,拥有所需的权限和已安装的应用程序,并且符合补丁合规性。
Well-Architecte AWS d Framework 中的相关最佳实践
实现此主题
自动修补
-
对于所有 EC2 实例,请在实例配置文件或 Systems Manager 用于访问实例的 IAM 角色中包含
CloudWatchAgentServerPolicy和AmazonSSMManagedInstanceCore。
使用自动化而不是手动流程
-
在 主题 2:通过安全管线管理不可变基础设施 中遵循实施 AMI 和容器构建管线中的指引
使用自动化在 EC2 实例上安装以下项
发布任何版本之前都应进行同行审查,以确保变更符合最佳实践。
-
过于宽松的 IAM 策略,例如使用通配符的策略
-
过于宽松的安全组规则,例如使用通配符或允许 SSH 访问的规则
-
未启用的访问日志
-
未启用的加密
-
密码文本
-
安全的 IAM 策略
使用身份级别的控件
-
为了要求用户通过自动化流程修改资源并防止手动配置,请允许用户对可代入的角色授予只读权限。
-
仅向服务角色授予修改资源的权限,例如 Systems Manager 使用的角色
实施漏洞扫描
-
遵循 主题 2:通过安全管线管理不可变基础设施 中的实施漏洞扫描中的指引
-
使用 Amazon Inspector 扫描您的 EC2 实例
监控此主题
持续监控补丁合规性
-
实施一种机制来审查控制面板的补丁合规性
持续监控 IAM 和日志
-
定期查看您的 IAM 策略,以确保:
-
只有部署管线可以直接访问资源
-
只有经批准的服务才能直接访问数据
-
用户没有直接访问资源或数据的权限。
-
-
监控 AWS CloudTrail 日志,确保用户通过管道修改资源,而不是直接修改资源或访问数据
-
定期审查 AWS Identity and Access Management Access Analyzer 调查结果
-
设置提醒,以便在 AWS 账户 的根用户凭证被使用时通知您。
实施以下 AWS Config 规则
-
EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK -
EC2_INSTANCE_MANAGED_BY_SSM -
EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent -
EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps -
IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM -
EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK -
REQUIRED_TAGS -
RESTRICTED_INCOMING_TRAFFIC - 22, 3389
