As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
SEC06-BP02 Provisione computação a partir de imagens reforçadas
Ofereça menos oportunidades de acesso indesejado aos ambientes de runtime implantando-os com base em imagens reforçadas. Adquira somente dependências de runtime, como imagens de contêiner e bibliotecas de aplicações, de registros confiáveis e verifique as respectivas assinaturas. Crie seus próprios registros privados para armazenar imagens e bibliotecas confiáveis para uso nos processos de criação e implantação.
Resultado desejado: seus recursos computacionais são provisionados a partir de imagens de referência reforçadas. Você recupera dependências externas, como imagens de contêiner e bibliotecas de aplicações, somente de registros confiáveis e verifica as respectivas assinaturas. Elas são armazenadas em registros privados para que seus processos de compilação e implantação as consultem. Você verifica e atualiza imagens e dependências regularmente para ajudar a oferecer proteção contra qualquer vulnerabilidade recém-descoberta.
Práticas comuns que devem ser evitadas:
-
Adquirir imagens e bibliotecas de registros confiáveis, mas não verificar a respectiva assinatura nem realizar verificações de vulnerabilidades antes de colocá-las em uso.
-
Reforçar as imagens, mas não testá-las regularmente em busca de novas vulnerabilidades ou atualizá-las para a versão mais recente.
-
Instalar ou não remover pacotes de software que não são necessários durante o ciclo de vida previsto da imagem.
-
Confiar apenas na aplicação de patches para manter os recursos de computação de produção atualizados. Ao utilizar apenas a aplicação de patches, os recursos de computação podem se desviar do padrão reforçado com o passar do tempo. A aplicação de patches também pode não conseguir remover malware instalado por um agente de ameaças durante um evento de segurança.
Benefícios de implementar esta prática recomendada: o reforço de imagens ajuda a reduzir o número de caminhos disponíveis em seu ambiente de runtime que podem permitir acesso não intencional a usuários ou serviços não autorizados. Ele também pode reduzir o escopo do impacto caso ocorra algum acesso indesejado.
Nível de risco exposto se esta prática recomendada não for estabelecida: Alto
Orientação para implementação
Para reforçar seus sistemas, comece com as versões mais recentes de sistemas operacionais, imagens de contêiner e bibliotecas de aplicações. Aplique patches aos problemas conhecidos. Minimize o sistema removendo quaisquer aplicações, serviços, drivers de dispositivo, usuários padrão e outras credenciais desnecessários. Execute qualquer outra ação necessária, como desabilitar portas para criar um ambiente que tenha somente os recursos e capacidades essenciais para as workloads. Com base nesse parâmetro, você pode instalar software, agentes ou outros processos necessários para finalidades como monitoramento da workload ou gerenciamento de vulnerabilidades.
Você pode reduzir a carga de fortalecer os sistemas usando orientações fornecidas por fontes confiáveis, como o Center for Internet Security (CIS) e os Guias de Implementação Técnica de Segurança
Embora existam imagens reforçadas e receitas do EC2 Image Builder disponíveis que aplicam as DISA STIG recomendações CIS ou, você pode descobrir que a configuração delas impede que o software seja executado com êxito. Nessa situação, você pode começar a partir de uma imagem base não reforçada, instalar o software e, em seguida, aplicar CIS controles de forma incremental para testar seu impacto. Para qualquer CIS controle que impeça a execução do software, teste se você pode implementar as recomendações de fortalecimento mais refinadas em um. DISA Acompanhe os diferentes CIS controles e DISA STIG configurações que você pode aplicar com sucesso. Use-os para definir adequadamente suas receitas de endurecimento de imagem no EC2 Image Builder.
Para cargas de trabalho em contêineres, imagens reforçadas do Docker estão disponíveis no repositório público Amazon Elastic Container
Semelhante aos sistemas operacionais e às imagens de contêiner, você pode obter pacotes de código (ou bibliotecas) de repositórios públicos, por meio de ferramentas como pip, npm, Maven e. NuGet Recomendamos gerenciar pacotes de código integrando repositórios privados, como os do AWS CodeArtifact
Para cargas de trabalho sem servidor que usam AWS Lambda, simplifique o gerenciamento de dependências de pacotes usando camadas Lambda. Use camadas do Lambda para configurar um conjunto de dependências padrão que são compartilhadas em diferentes funções em um arquivo independente. Você pode criar e manter camadas por meio de seu próprio processo de construção, fornecendo uma forma central para que suas funções permaneçam up-to-date.
Etapas de implementação
-
Reforce os sistemas operacionais. Use imagens básicas de fontes confiáveis como base para criar seu hardware. AMIs Use o EC2Image Builder
para ajudar a personalizar o software instalado em suas imagens. -
Reforce os recursos em contêineres. Configure recursos em contêineres para atender a práticas recomendadas de segurança. Ao usar contêineres, implemente o ECRImage Scanning em seu pipeline de criação e regularmente em seu repositório de imagens para procurar CVEs em seus contêineres.
-
Ao usar a implementação sem servidor com AWS Lambda, use camadas Lambda para separar o código da função do aplicativo e as bibliotecas dependentes compartilhadas. Configure a assinatura de código para Lambda para garantir que apenas código confiável seja executado em suas funções do Lambda.
Recursos
Práticas recomendadas relacionadas:
Vídeos relacionados:
Exemplos relacionados:
