# SEC06-BP05 自動化運算保護
<a name="sec_protect_compute_auto_protection"></a>

 自動化運算保護操作以減少人工介入的需求。使用自動化掃描偵測運算資源內的潛在問題，並透過自動化的程式化回應或機群管理操作進行修復。 將自動化納入 CI/CD 程序，以部署具有最新相依項且值得信賴的工作負載。

 **預期成果：**自動化系統會執行運算資源的所有掃描和修補工作。您會使用自動化的驗證方式檢查軟體映像和相依項來自受信任的來源，且未遭到竄改。透過自動化方式檢查工作負載是否有最新的相依項，並且簽署工作負載以在 AWS 運算環境中建立可靠性。 偵測到不合規資源時，系統會啟動自動補救措施。  

 **常見的反模式：**
+  遵循不可變的基礎設施實務，但未備妥解決方案來因應緊急修補或取代實際執行系統。
+  使用自動化方式修復設定錯誤的資源，但未設置手動覆寫機制。 可能會發生需要調整需求的情況，且您可能需要暫停自動化程序，直到完成這些變更為止。

 **建立此最佳實務的優勢：**自動化可降低未經授權存取和使用您的運算資源的風險。 它有助於防止錯誤的組態進入實際執行環境，並且在發生組態錯誤時偵測到該錯誤並加以修復。 自動化還可協助偵測未經授權存取和使用運算資源的情況，進而縮短您回應的時間。 如此還能進一步縮小問題的整體影響範圍。

 **未建立此最佳實務時的曝險等級：**中 

## 實作指引
<a name="implementation-guidance"></a>

 您可以套用「安全支柱」實務中所述的自動化方式，以保護您的運算資源。[SEC06-BP01 執行漏洞管理](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_vulnerability_management.html)說明如何在您的 CI/CD 管道中使用 [Amazon Inspector](https://aws.amazon.com/inspector/)，以及如何運用它持續掃描您的執行時期環境，以找出已知的通用漏洞披露 (CVE)。 您可以透過自動化執行手冊，使用 [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 套用修補程式或從全新映像重新部署，讓您的運算機群隨時擁有最新的軟體和程式庫。 使用這些技術可減少對手動程序和互動式存取運算資源的需求。 請參閱 [SEC06-BP03 減少手動管理和互動式存取](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_reduce_manual_management.html)以了解更多資訊。

 自動化在部署值得信賴的工作負載方面，也發揮了舉足輕重的作用，如 [SEC06-BP02 從強化的映像佈建運算](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_hardened_images.html)和 [SEC06-BP04 驗證軟體完整性](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_validate_software_integrity.html)中所述。 您可以使用 [EC2 Image Builder](https://aws.amazon.com/image-builder/)、[AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html)、[AWS CodeArtifact](https://aws.amazon.com/codeartifact/) 和 [Amazon Elastic Container Registry (ECR)](https://aws.amazon.com/ecr/) 等服務來下載、驗證、建構和儲存強化且經核准的映像和程式碼相依項。  除了 Inspector 之外，這些都可在 CI/CD 程序中發揮作用。因此，只有在確認工作負載的相依項為最新狀態且來自受信任的來源時，工作負載才會進入實際執行環境。 您的工作負載也會經過簽署，如此一來，[AWS Lambda](https://aws.amazon.com/lambda/) 和 [Amazon Elastic Kubernetes Service (EKS)](https://aws.amazon.com/eks/) 等 AWS 運算環境就能在確認其未遭到竄改後，再允許其執行。

 除了這些預防性控制之外，您還可以在偵測控制中針對運算資源使用自動化。 舉例來說，[AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) 提供 [NIST 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) 標準，其中包括如下述的檢查：[[EC2.8] EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-8)。 IMDSv2 會使用工作階段驗證技術，封鎖包含 X-Forwarded-For HTTP 標頭以及網路 TTL 1 的請求，藉此阻止來自外部來源的流量擷取有關 EC2 執行個體的資訊。Security Hub CSPM 中的這項檢查可偵測 EC2 執行個體何時使用 IMDSv1，並實施自動補救措施。請參閱 [SEC04-BP04 針對不合規資源實施補救措施](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html)，進一步了解自動化偵測和補救措施。

### 實作步驟
<a name="implementation-steps"></a>

1.  使用 [EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/integ-compliance-products.html) 自動建立安全、合規且強化的 AMI。 您可以產生映像，並於當中納入來自 Center for Internet Security (CIS) Benchmarks 的控制，或來自基本 AWS 和 APN 合作夥伴映像的安全技術實作指南 (STIG) 標準。

1.  自動化組態管理。藉由使用組態管理服務或工具，在您的運算資源中自動強制執行和驗證安全組態。  

   1.  使用 [AWS Config](https://aws.amazon.com/config/) 自動化組態管理 

   1.  使用 [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) 自動化安全和合規狀態管理 

1.  自動修補或取代 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。AWSSystems Manager Patch Manager 可自動執行透過安全相關及其他更新來修補受管執行個體的程序。您可以使用修補程式管理員以套用適用於作業系統和應用程式的修補程式。

   1.  [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) 

1.  自動掃描運算資源以找出通用漏洞披露 (CVE)，並將安全掃描解決方案內嵌於您的建置管道中。

   1.  [Amazon Inspector](https://aws.amazon.com/inspector/) 

   1.  [ECR 映像掃描](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) 

1.  考慮使用 Amazon GuardDuty 執行自動化惡意軟體和威脅偵測，以保護運算資源。GuardDuty 還可在 [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) 函數於您的 AWS 環境中調用時，識別潛在問題。  

   1.  [Amazon GuardDuty](https://aws.amazon.com/guardduty/) 

1.  考慮 AWS 合作夥伴解決方案。AWS合作夥伴提供領先業界的產品，這些產品與您內部部署環境中的現有控制相當、相同或互相整合。這些產品可補充現有的 AWS 服務，讓您在雲端和內部部署環境中部署全方位的安全架構，以及擁有更流暢的體驗。

   1.  [基礎設施安全性](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [SEC01-BP06 自動部署標準安全控制](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) 

 **相關文件：**
+  [在您的 AWS 基礎設施內充分利用 IMDSv2 的優勢並停用 IMDSv1](https://aws.amazon.com/blogs/security/get-the-full-benefits-of-imdsv2-and-disable-imdsv1-across-your-aws-infrastructure/) 

 **相關影片：**
+  [Amazon EC2 執行個體中繼資料服務的安全最佳實務](https://youtu.be/2B5bhZzayjI)