Visão geral
Você é engenheiro de segurança da AnyCompany. Você é responsável pela segurança de todas as instâncias da empresa no Amazon Elastic Compute Cloud (Amazon EC2), pelos dados armazenados nas instâncias (dados em repouso) e pelos dados que trafegam entre as instâncias (dados em trânsito).
Os desenvolvedores de aplicativos da AnyCompany usam frequentemente instâncias do EC2 para servidores Web front-end e servidores de banco de dados back-end. Em vez de aplicar ajustes de segurança a cada nova instância implantada, você gostaria de disponibilizar uma imagem de base pré-configurada para todas as instâncias da empresa.
Neste laboratório, você criará uma Amazon Machine Image (AMI) personalizada que conterá várias alterações de configuração. Em seguida, você implantará uma nova instância da AMI personalizada e usará scripts de dados de usuário na instância para adicionar um novo usuário específico para a função da instância. Depois, você aprenderá como usar o AWS Systems Manager para aplicar patches nas instâncias. Por último, você usará as regras de criptografia e grupo de segurança do Amazon Elastic Block Store para proteger os dados em repouso ou em trânsito da empresa.
Objetivos
Ao final deste laboratório, você será capaz de:
- Criar uma AMI personalizada.
- Implante uma nova instância do EC2 usando uma AMI personalizada.
- Aplique um patch em uma instância do EC2 usando o AWS Systems Manager.
- Criptografe um volume do EBS.
- Entenda como a criptografia do EBS funciona e como ela impacta outras operações, como snapshots.
- Utilize grupos de segurança para limitar o tráfego entre instâncias do EC2 apenas àquelas que estão criptografadas.
Conhecimentos técnicos necessários
Para concluir este laboratório, você deve estar familiarizado com o funcionamento básico do Console de Gerenciamento da AWS e estar confortável para executar comandos em uma Command Line Interface (CLI) do Linux.
Duração
O laboratório leva aproximadamente 45 minutos para ser concluído.
Lista de ícones
Vários ícones são usados neste laboratório para chamar a atenção para diferentes tipos de instruções e observações. A lista a seguir explica a finalidade de cada ícone:
- Comando: um comando que você precisa executar.
- Saída esperada: um exemplo que você pode usar para verificar a saída de um comando ou arquivo editado.
- Observação: uma sugestão, dica ou orientação importante.
- Informações adicionais: em que local encontrar mais informações.
- Atenção: informações de interesse ou importância especial (não tão importantes a ponto de causar problemas com o equipamento ou dados caso você não as veja, mas que podem resultar na necessidade de repetir determinadas etapas).
- A considerar: um momento de parar e pensar em como aplicar um conceito no seu ambiente ou iniciar uma conversa sobre o tópico em questão.
- Atualizar: um momento em que talvez seja necessário atualizar uma página ou lista do navegador da web para mostrar novas informações
Visão geral do ambiente
O diagrama a seguir mostra a arquitetura básica do ambiente do laboratório:
A lista a seguir detalha os principais recursos no diagrama:
- Uma VPC com uma sub-rede pública e duas sub-redes privadas em uma Zona de Disponibilidade e uma sub-rede pública em uma segunda Zona de Disponibilidade.
- Um Network Load Balancer com dois nós, um em cada sub-rede pública.
- Uma EC2 instance (instância do EC2) agindo como um servidor Web na primeira sub-rede privada.
- Uma EC2 instance (instância do EC2) agindo como um servidor de banco de dados na segunda sub-rede.
- Dois grupos de segurança, um para cada instância baseada em sua finalidade.
O tráfego da rede passa de um usuário externo, por meio de um gateway de Internet para um dos dois nós do Network Load Balancer, para o servidor Web. Caso a URL do site de blog do WordPress executada no servidor Web seja solicitada, o tráfego fluirá para o servidor do banco de dados também.
