本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 主题 3:通过自动化管理可变基础设施
**涵盖八大要点策略**
应用程序控制、修补应用程序、修补操作系统
与不可变基础设施类似,您可以将可变基础设施作为 IaC 来管理,并通过自动化流程修改或更新此基础设施。不可变基础设施的许多实现步骤也适用于可变基础设施。但是,对于可变基础设施,您还必须实施手动控制,以确保修改的工作负载仍遵循最佳实践。
对于可变基础架构,您可以使用 Patch Manager(一项功能)来自动[管理补丁](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html)。 AWS Systems Manager在 AWS 组织的所有账户中启用补丁管理器。
防止直接访问 SSH 和 RDP,并要求用户使用[会话管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html)或[运行命令](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html),这也是 Systems Manager 的功能。与 SSH 和 RDP 不同,这些功能可以记录系统访问和更改。
要监控和报告合规性,您必须持续审查补丁合规性。您可以使用 AWS Config 规则来确保所有 Amazon EC2 实例均由 Systems Manager 管理,拥有所需的权限和已安装的应用程序,并且符合补丁合规性。
## Well-Architecte AWS d Framework 中的相关最佳实践
+ [SEC06-BP03 减少手动管理和交互式访问](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_reduce_manual_management.html)
+ [SEC06-BP05 自动计算保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_auto_protection.html)
## 实现此主题
### 自动修补
+ 实施[在 AWS 组织的所有账户中启用补丁管理器](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)
+ 对于所有 EC2 实例,请在[实例配置文件或 Systems Manager 用于访问实例的 IAM 角色](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html)中包含 `CloudWatchAgentServerPolicy` 和 `AmazonSSMManagedInstanceCore`。
### 使用自动化而不是手动流程
+ 在 [主题 2:通过安全管线管理不可变基础设施](theme-2.md) 中遵循[实施 AMI 和容器构建管线](theme-2.md#theme-2-implementation)中的指引
+ 使用[会话管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html)或[运行命令](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)而不是直接访问 SSH 或 RDP
### 使用自动化在 EC2 实例上安装以下项
+ [AWS Systems Manager 代理(SSM 代理)](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-linux.html),用于实例发现和管理
+ [用于应用程序控制的安全工具,例如[安全增强型 Linux (SELinux) (GitHub)](https://github.com/SELinuxProject)、[文件访问策略守护程序 (fapolicyd) (GitHub)](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md) 或 OpenSCAP](https://www.open-scap.org/)
+ [Amazon A CloudWatch gent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html),用于记录
### 发布任何版本之前都应进行同行审查,以确保变更符合最佳实践。
+ 过于宽松的 IAM 策略,例如使用通配符的策略
+ 过于宽松的安全组规则,例如使用通配符或允许 SSH 访问的规则
+ 未启用的访问日志
+ 未启用的加密
+ 密码文本
+ 安全的 IAM 策略
### 使用身份级别的控件
+ 为了要求用户通过自动化流程修改资源并防止手动配置,请允许用户对可代入的角色授予只读权限。
+ 仅向服务角色授予修改资源的权限,例如 Systems Manager 使用的角色
### 实施漏洞扫描
+ 遵循 [主题 2:通过安全管线管理不可变基础设施](theme-2.md) 中的[实施漏洞扫描](theme-2.md#theme-2-implementation)中的指引
+ 使用 Amazon Inspector 扫描您的 EC2 实例
## 监控此主题
### 持续监控补丁合规性
+ [使用自动化和控制面板报告补丁合规性](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)
+ 实施一种机制来审查控制面板的补丁合规性
### 持续监控 IAM 和日志
+ 定期查看您的 IAM 策略,以确保:
+ 只有部署管线可以直接访问资源
+ 只有经批准的服务才能直接访问数据
+ 用户没有直接访问资源或数据的权限。
+ 监控 AWS CloudTrail 日志,确保用户通过管道修改资源,而不是直接修改资源或访问数据
+ 定期审查 AWS Identity and Access Management Access Analyzer 调查结果
+ 设置提醒,以便在 AWS 账户 的根用户凭证被使用时通知您。
### 实施以下 AWS Config 规则
+ `EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK`
+ `EC2_INSTANCE_MANAGED_BY_SSM`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps`
+ `IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM`
+ `EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK`
+ `REQUIRED_TAGS`
+ `RESTRICTED_INCOMING_TRAFFIC - 22, 3389`