Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Información general del escenario y de la arquitectura
La agencia gubernamental tiene tres cargas de trabajo en la Nube de AWS:
-
Un lago de datos sin servidor que utiliza Amazon Simple Storage Service (Amazon S3) para el almacenamiento AWS Lambda y para las operaciones de extracción, transformación y carga (ETL)
-
Un servicio web de contenedores que se ejecuta en Amazon Elastic Container Service (Amazon ECS) y utiliza una base de datos de Amazon Relational Database Service (Amazon RDS).
-
Un software comercial off-the-shelf (COTS) que se ejecuta en Amazon EC2
Un equipo en la nube proporciona una plataforma centralizada para la organización que ejecuta los servicios principales para el AWS medio ambiente. Un equipo de nube proporciona servicios básicos para el AWS medio ambiente. Cada carga de trabajo es responsabilidad de un equipo de aplicaciones distinto, también denominado equipo de desarrolladores o equipo de entrega.
Arquitectura principal
El equipo de la nube ya estableció las funcionalidades siguientes en la Nube de AWS:
-
La federación de identidades AWS IAM Identity Center se vincula a su instancia de Microsoft Entra ID (anteriormente Azure Active Directory). La federación aplica la MFA, la caducidad automática de las cuentas de usuario y el uso de credenciales de corta duración AWS Identity and Access Management a través de funciones (IAM).
-
Se utiliza una canalización de AMI centralizada para aplicar revisiones a los sistemas operativos y las aplicaciones principales con el Generador de imágenes de EC2.
-
Amazon Inspector puede identificar las vulnerabilidades y todos los resultados de seguridad se envían a Amazon GuardDuty para su gestión centralizada.
-
Los mecanismos establecidos se utilizan para actualizar las reglas de control de las aplicaciones, responder a los eventos de ciberseguridad y revisar las vulneraciones del cumplimiento normativo.
-
AWS CloudTrail se utiliza para el registro y la supervisión.
-
Los eventos de seguridad, tales como el inicio de sesión del usuario raíz, inician las alertas.
-
SCPs y las políticas de puntos finales de VPC establecen perímetros de datos para sus entornos. AWS
-
SCPs impiden que los equipos de aplicaciones deshabiliten los servicios de seguridad y registro, como y. CloudTrail AWS Config
-
AWS Config los resultados de toda la AWS organización se agrupan en uno solo Cuenta de AWS por motivos de seguridad.
-
El paquete de conformidad AWS Config ACSC Essential 8 está disponible Cuentas de AWS en toda la organización.
