Code-Repository für AWS SRA-Beispiele - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Code-Repository für AWS SRA-Beispiele

Beeinflussen Sie die future der AWS Security Reference Architecture (AWS SRA), indem Sie an einer kurzen Umfrage teilnehmen.

Um Ihnen den Einstieg in die Erstellung und Implementierung der Leitlinien in der AWS SRA zu erleichtern, wird dieser Leitfaden von einem Infrastructure-as-Code-Repository (IaC) unter https://github.com/aws-samples/aws-security-reference-architecture-examples begleitet. Dieses Repository enthält Code, der Entwicklern und Ingenieuren bei der Implementierung einiger der in diesem Dokument vorgestellten Anleitungen und Architekturmuster hilft. Dieser Code basiert auf den Erfahrungen der Berater von AWS Professional Services mit Kunden aus erster Hand. Die Vorlagen sind allgemeiner Natur — sie dienen eher der Veranschaulichung eines Implementierungsmusters als der Bereitstellung einer vollständigen Lösung. Die AWS-Service Konfigurationen und Ressourcenbereitstellungen sind bewusst sehr restriktiv. Möglicherweise müssen Sie diese Lösungen modifizieren und an Ihre Umgebung und Ihre Sicherheitsanforderungen anpassen.

Das AWS SRA-Code-Repository bietet Codebeispiele sowohl mit Terraform-Bereitstellungsoptionen als AWS CloudFormation auch mit Terraform-Optionen. Die Lösungsmuster unterstützen zwei Umgebungen: eine erfordert AWS Control Tower und die andere ohne. AWS Organizations AWS Control Tower Die erforderlichen Lösungen in diesem Repository AWS Control Tower wurden in einer AWS Control Tower Umgebung mithilfe von und Customizations for AWS Control Tower (cFcT) bereitgestellt AWS CloudFormation und getestet. Lösungen, die dies nicht erfordern AWS Control Tower , wurden in einer AWS Organizations Umgebung getestet, indem AWS CloudFormation Die cFCT-Lösung hilft Kunden dabei, schnell eine sichere AWS Umgebung mit mehreren Konten einzurichten, die auf AWS bewährten Verfahren basiert. Sie hilft, Zeit zu sparen, indem sie die Einrichtung einer Umgebung für die Ausführung sicherer und skalierbarer Workloads automatisiert und gleichzeitig eine erste Sicherheitsbasis durch die Erstellung von Konten und Ressourcen implementiert. AWS Control Tower bietet außerdem eine Basisumgebung für den Einstieg in eine Architektur mit mehreren Konten, Identitäts- und Zugriffsmanagement, Governance, Datensicherheit, Netzwerkdesign und Protokollierung. Die Lösungen im AWS SRA-Repository bieten zusätzliche Sicherheitskonfigurationen zur Implementierung der in diesem Dokument beschriebenen Muster.

Hier finden Sie eine Zusammenfassung der Lösungen im AWS SRA-Repository. Jede Lösung enthält eine README.md Datei mit Details. 

  • Die CloudTrail Organisationslösung erstellt einen Organisationspfad innerhalb des Org Management-Kontos und delegiert die Verwaltung an ein Mitgliedskonto, z. B. das Audit- oder das Security Tooling-Konto. Dieser Trail wird mit einem vom Kunden verwalteten Schlüssel verschlüsselt, der im Security Tooling-Konto erstellt wurde, und überträgt die Protokolle an einen S3-Bucket im Log Archive-Konto. Optional können Datenereignisse für Amazon S3 und AWS Lambda Funktionen aktiviert werden. Ein Organisations-Trail protokolliert Ereignisse für alle Mitglieder AWS-Konten der AWS Organisation und verhindert gleichzeitig, dass Mitgliedskonten die Konfigurationen ändern.

  • Die GuardDuty Organization-Lösung ermöglicht Amazon GuardDuty , die Verwaltung an das Security Tooling-Konto zu delegieren. Es konfiguriert GuardDuty innerhalb des Security Tooling-Kontos für alle bestehenden und future AWS Organisationskonten. Die GuardDuty Ergebnisse werden außerdem mit einem KMS-Schlüssel verschlüsselt und an einen S3-Bucket im Log Archive-Konto gesendet.

  • Die Security Hub CSPM Organization-Lösung konfiguriert Security Hub CSPM, indem sie die Verwaltung an das Security Tooling-Konto delegiert. Es konfiguriert Security Hub CSPM innerhalb des Security Tooling-Kontos für alle bestehenden und future Unternehmenskonten. AWS Die Lösung bietet auch Parameter für die Synchronisierung der aktivierten Sicherheitsstandards für alle Konten und Regionen sowie für die Konfiguration eines Regionsaggregators innerhalb des Security Tooling-Kontos. Die Zentralisierung von Security Hub CSPM innerhalb des Security Tooling-Kontos bietet einen kontoübergreifenden Überblick über die Einhaltung von Sicherheitsstandards und die Ergebnisse von Integrationen von Drittanbietern. AWS-Services AWS Partner

  • Die Inspector-Lösung konfiguriert Amazon Inspector innerhalb des delegierten Administratorkontos (Security Tooling) für alle Konten und kontrollierten Regionen innerhalb der Organisation. AWS

  • Die Firewall Manager-Lösung konfiguriert AWS Firewall Manager Sicherheitsrichtlinien, indem sie die Verwaltung an das Security Tooling-Konto delegiert und Firewall Manager mit einer Sicherheitsgruppenrichtlinie und mehreren Richtlinien konfiguriert. AWS WAF Die Sicherheitsgruppenrichtlinie erfordert eine maximal zulässige Sicherheitsgruppe innerhalb einer VPC (vorhanden oder von der Lösung erstellt), die von der Lösung bereitgestellt wird.

  • Die Macie Organization-Lösung ermöglicht Amazon Macie, indem sie die Verwaltung an das Security Tooling-Konto delegiert. Es konfiguriert Macie innerhalb des Security Tooling-Kontos für alle bestehenden und future AWS Organisationskonten. Macie ist außerdem so konfiguriert, dass es seine Erkennungsergebnisse an einen zentralen S3-Bucket sendet, der mit einem KMS-Schlüssel verschlüsselt ist.

  • AWS Config:

    • Die Config Aggregator-Lösung konfiguriert einen AWS Config Aggregator, indem sie die Verwaltung an das Security Tooling-Konto delegiert. Die Lösung konfiguriert dann einen AWS Config Aggregator innerhalb des Security Tooling-Kontos für alle bestehenden und future Konten in der Organisation. AWS

    • Die Conformance Pack Organization Rules-Lösung wird bereitgestellt, AWS-Config-Regeln indem die Verwaltung an das Security Tooling-Konto delegiert wird. Anschließend erstellt es ein Organization Conformance Pack innerhalb des delegierten Administratorkontos für alle vorhandenen und future Konten in der AWS Organisation. Die Lösung ist so konfiguriert, dass sie die Beispielvorlage für das Konformitätspaket Operational Best Practices for Encryption and Key Management bereitstellt.

    • Die AWS Config Control Tower Management Account-Lösung aktiviert AWS Config das AWS Control Tower Verwaltungskonto und aktualisiert den AWS Config Aggregator im Security Tooling-Konto entsprechend. Die Lösung verwendet die AWS Control Tower CloudFormation Vorlage für die Aktivierung AWS Config als Referenz, um die Konsistenz mit den anderen Konten in der AWS Organisation sicherzustellen.

  • IAM:

    • Die Access Analyzer-Lösung ermöglicht IAM Access Analyzer, indem sie die Verwaltung an das Security Tooling-Konto delegiert. Anschließend konfiguriert es einen IAM Access Analyzer auf Organisationsebene innerhalb des Security Tooling-Kontos für alle vorhandenen und future Konten in der Organisation. AWS Die Lösung stellt außerdem IAM Access Analyzer für alle Mitgliedskonten und Regionen bereit, um die Analyse von Berechtigungen auf Kontoebene zu unterstützen.

    • Die IAM Password Policy-Lösung aktualisiert die AWS-Konto Passwortrichtlinie für alle Konten in einer Organisation. AWS Die Lösung bietet Parameter für die Konfiguration der Passwortrichtlinieneinstellungen, damit Sie sich an die branchenüblichen Compliance-Standards anpassen können.

  • Die EC2 Standard-EBS-Verschlüsselungslösung ermöglicht die standardmäßige Amazon EBS-Verschlüsselung auf Kontoebene innerhalb jedes Unternehmens AWS-Konto . AWS-Region AWS Sie erzwingt die Verschlüsselung neuer EBS-Volumes und -Snapshots, die Sie erstellen. Amazon EBS verschlüsselt beispielsweise die EBS-Volumes, die beim Starten einer Instance erstellt werden, und die Snapshots, die Sie aus einem unverschlüsselten Snapshot kopieren.

  • Die S3 Block Account Public Access-Lösung ermöglicht Einstellungen auf Amazon S3 S3-Kontoebene innerhalb jedes AWS-Konto Unternehmens. AWS Die Amazon S3 Block Public Access-Funktion bietet Einstellungen für Zugriffspunkte, Buckets und Konten, mit denen Sie den öffentlichen Zugriff auf Amazon-S3-Ressourcen verwalten können. Standardmäßig erlauben neue Buckets, Zugriffspunkte und Objekte keinen öffentlichen Zugriff. Benutzer können jedoch Bucket-Richtlinien, Zugriffspunkt-Richtlinien oder Objektberechtigungen ändern, um öffentlichen Zugriff zu ermöglichen. Die Einstellungen von Amazon S3 Block Public Access setzen diese Richtlinien und Berechtigungen außer Kraft, sodass Sie den öffentlichen Zugriff auf diese Ressourcen einschränken können.

  • Die Detective Organization-Lösung automatisiert die Aktivierung von Amazon Detective, indem sie die Verwaltung an ein Konto (z. B. das Audit- oder Security Tooling-Konto) delegiert und Detective für alle bestehenden und future Konten konfiguriert. AWS Organizations

  • Die Shield Advanced-Lösung automatisiert die Bereitstellung von AWS Shield Advanced , um einen erweiterten DDo S-Schutz für Ihre Anwendungen zu AWS bieten.

  • Die AMI Bakery Organization-Lösung hilft dabei, den Prozess für die Erstellung und Verwaltung von standardmäßigen, gehärteten Amazon Machine Image (AMI) -Images zu automatisieren. Dies gewährleistet Konsistenz und Sicherheit in Ihren AWS Instances und vereinfacht die Bereitstellungs- und Wartungsaufgaben.

  • Die Patch Manager-Lösung hilft dabei, das Patch-Management für mehrere AWS-Konten Benutzer zu optimieren. Sie können diese Lösung verwenden, um den AWS Systems Manager Agenten (SSM Agent) auf allen verwalteten Instanzen zu aktualisieren und kritische und wichtige Sicherheitspatches und Bugfixes auf markierten Windows- und Linux-Instanzen zu scannen und zu installieren. Die Lösung konfiguriert auch die Einstellung für die Standard-Host-Management-Konfiguration, um die Erstellung neuer Konten zu erkennen AWS-Konten und die Lösung automatisch für diese Konten bereitzustellen.