本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 工作負載範例:Amazon EC2 上的 COTS 軟體 此工作負載是 的範例[佈景主題 3:使用自動化管理可變基礎設施](theme-3.md)。 Amazon EC2 上執行的工作負載是使用 手動建立 AWS 管理主控台。開發人員登入 EC2 執行個體並更新軟體,以手動更新系統。 對於此工作負載,雲端和應用程式團隊會採取下列動作來解決 Essential Eight 策略。 *應用程式控制* + 雲端團隊會設定其集中式 AMI 管道,以安裝和設定 AWS Systems Manager Agent (SSM Agent)、CloudWatch 代理程式和 SELinux。他們會在組織中的所有帳戶中共用產生的 AMI。 + 雲端團隊使用 AWS Config 規則來確認所有執行中的 [EC2 執行個體都由 Systems Manager 管理](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)[,並已安裝 SSM Agent、CloudWatch 代理程式和 SELinux](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-applications-required.html)。 + 雲端團隊會將 Amazon CloudWatch Logs 輸出傳送至在 Amazon OpenSearch Service 上執行的集中式安全資訊和事件管理 (SIEM) 解決方案。 + 應用程式團隊實作機制,以檢查和管理來自 AWS Config GuardDuty 和 Amazon Inspector 的問題清單。雲端團隊會實作自己的機制,以擷取應用程式團隊遺漏的任何調查結果。如需建立漏洞管理計劃以解決調查結果的更多指引,請參閱在 [上建立可擴展的漏洞管理計劃 AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/vulnerability-management/introduction.html)。 *修補程式應用程式* + 應用程式團隊會根據 Amazon Inspector 調查結果來修補執行個體。 + 雲端團隊會修補基本 AMI,而應用程式團隊會在 AMI 變更時收到提醒。 + 應用程式團隊透過設定[安全群組規則](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html)來限制對其 EC2 執行個體的直接存取,以僅允許工作負載所需的連接埠上的流量。 + 應用程式團隊使用[修補程式管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html)來修補執行個體,而不是登入個別執行個體。 + 若要在 EC2 執行個體群組上執行任意命令,應用程式團隊會使用 [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)。 + 在極少數情況下,當應用程式團隊需要直接存取執行個體時,他們會使用 [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html)。此存取方法使用聯合身分,並記錄任何工作階段活動以進行稽核。 *限制管理權限* + 應用程式團隊會設定[安全群組規則](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html),僅允許工作負載所需連接埠上的流量。這會限制對 Amazon EC2 執行個體的直接存取,並要求使用者透過 Session Manager 存取 EC2 執行個體。 + 應用程式團隊倚賴集中式雲端團隊的聯合身分來輪換登入資料和集中式記錄。 + 應用程式團隊會建立 CloudTrail 追蹤和 CloudWatch 篩選條件。 + 應用程式團隊會為 CodePipeline 部署和 CloudFormation 堆疊刪除設定 Amazon SNS 警示。 *修補程式作業系統* + 雲端團隊會修補基本 AMI,而應用程式團隊會在 AMI 變更時收到提醒。應用程式團隊使用此 AMI 部署新的執行個體,然後使用 Systems [Manager 的 State](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html) Manager 安裝必要的軟體。 + 應用程式團隊使用修補程式管理員來修補執行個體,也就是登入個別執行個體的執行個體。 + 若要在 EC2 執行個體群組上執行任意命令,應用程式團隊會使用 Run Command。 + 在極少數情況下,當應用程式團隊需要直接存取時,他們會使用 Session Manager。 *多重要素驗證* + 應用程式團隊依賴 [核心架構](scenario.md#core-architecture)節所述的集中式聯合身分解決方案。此解決方案會強制執行 MFA、記錄身分驗證,以及提醒或自動回應可疑的 MFA 事件。 *定期備份* + 應用程式團隊會為其 EC2 執行個體和 Amazon Elastic Block Store (Amazon EBS) 磁碟區建立 AWS Backup 計劃。 + 應用程式團隊會實作機制,每月手動執行備份還原。