本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 佈景主題 3:使用自動化管理可變基礎設施
**涵蓋的基本八項策略**
應用程式控制、修補程式應用程式、修補程式作業系統
與不可變基礎設施類似,您可以將可變基礎設施管理為 IaC,並透過自動化程序修改或更新此基礎設施。許多不可變基礎設施的實作步驟也適用於可變基礎設施。不過,對於可變基礎設施,您還必須實作手動控制,以確保修改後的工作負載仍遵循最佳實務。
對於可變基礎設施,您可以使用 的修補程式[管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html)來自動化修補程式管理 AWS Systems Manager。在您 AWS 組織的所有帳戶中啟用修補程式管理員。
防止直接 SSH 和 RDP 存取,並要求使用者使用 [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) 或 [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html),這也是 Systems Manager 的功能。與 SSH 和 RDP 不同,這些功能可以記錄系統存取和變更。
若要監控和報告合規性,您必須持續審查修補程式合規性。您可以使用 AWS Config 規則來確保所有 Amazon EC2 執行個體都由 Systems Manager 管理、具有必要的許可和已安裝的應用程式,並且符合修補程式合規。
## AWS Well-Architected Framework 中的相關最佳實務
+ [SEC06-BP03 減少手動管理和互動式存取](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_reduce_manual_management.html)
+ [SEC06-BP05 自動化運算保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_auto_protection.html)
## 實作此主題
### 自動化修補
+ 在您[組織的所有帳戶中 AWS 實作啟用修補程式管理員](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)中的步驟
+ 對於所有 EC2 執行個體,請在 Systems Manager 用來存取執行個體的[執行個體設定檔或 IAM 角色](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html)`AmazonSSMManagedInstanceCore`中包含 `CloudWatchAgentServerPolicy`和
### 使用自動化而非手動程序
+ 在 中[實作 AMI 和容器建置管道](theme-2.md#theme-2-implementation)中的指引 [主題 2:透過安全管道管理不可變的基礎設施](theme-2.md)
+ 使用 [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) 或 [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html) 而非直接 SSH 或 RDP 存取
### 使用自動化在 EC2 執行個體上安裝下列項目
+ [AWS Systems Manager Agent (SSM Agent)](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-linux.html),用於執行個體探索和管理
+ 應用程式控制的安全工具,例如 [Security Enhanced Linux (SELinux)](https://github.com/SELinuxProject) (GitHub)、[File Access Policy Daemon (fapolicyd)](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md) (GitHub) 或 [OpenSCAP](https://www.open-scap.org/)
+ [Amazon CloudWatch Agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html),用於記錄
### 在任何版本之前使用對等審核,以確保變更符合最佳實務
+ IAM 政策過於寬鬆,例如使用萬用字元的政策
+ 過於寬鬆的安全群組規則,例如使用萬用字元或允許 SSH 存取的安全群組規則
+ 未啟用的存取日誌
+ 未啟用的加密
+ 密碼常值
+ 安全 IAM 政策
### 使用身分層級控制項
+ 若要要求使用者透過自動化程序修改資源並防止手動設定,請允許使用者可擔任之角色的唯讀許可
+ 授予僅修改資源給服務角色的許可,例如 Systems Manager 使用的角色
### 實作漏洞掃描
+ 在 中[實作漏洞掃描](theme-2.md#theme-2-implementation)中的指南 [主題 2:透過安全管道管理不可變的基礎設施](theme-2.md)
+ 使用 Amazon Inspector 掃描 EC2 執行個體
## 監控此佈景主題
### 持續監控修補程式合規
+ [使用自動化和儀表板報告修補程式合規](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)
+ 實作機制來檢閱儀表板的修補程式合規性
### 持續監控 IAM 和日誌
+ 定期檢閱您的 IAM 政策,以確保:
+ 只有部署管道可以直接存取 資源
+ 只有核准的服務可以直接存取資料
+ 使用者無法直接存取資源或資料
+ 監控 AWS CloudTrail 日誌,以確保使用者透過管道修改資源,且不會直接修改資源或存取資料
+ 定期檢閱 AWS Identity and Access Management Access Analyzer 問題清單
+ 設定提醒,以便在 AWS 帳戶 使用 的根使用者登入資料時通知您
### 實作下列 AWS Config 規則
+ `EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK`
+ `EC2_INSTANCE_MANAGED_BY_SSM`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps`
+ `IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM`
+ `EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK`
+ `REQUIRED_TAGS`
+ `RESTRICTED_INCOMING_TRAFFIC - 22, 3389`