Repositorio de código para AWS ejemplos de SRA - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Repositorio de código para AWS ejemplos de SRA

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta.

Para ayudarle a empezar a crear e implementar las directrices de la AWS SRA, esta guía incluye un repositorio de infraestructura como código (IaC) en https://github.com/aws-samples/aws-security-reference-architecture-examples. Este repositorio contiene código para ayudar a los desarrolladores e ingenieros a implementar algunas de las guías y patrones de arquitectura que se presentan en este documento. Este código se basa en la experiencia de primera mano de los consultores de servicios AWS profesionales con los clientes. Las plantillas son de naturaleza general; su objetivo es ilustrar un patrón de implementación en lugar de proporcionar una solución completa. Las Servicio de AWS configuraciones y los despliegues de recursos son deliberadamente muy restrictivos. Es posible que necesite modificar y adaptar estas soluciones para adaptarlas a sus necesidades de entorno y seguridad.

El repositorio de código AWS SRA proporciona ejemplos de código con ambas opciones de implementación AWS CloudFormation y las de Terraform. Los patrones de solución admiten dos entornos: uno requiere AWS Control Tower y el otro se usa AWS Organizations sin él. AWS Control Tower Las soluciones de este repositorio que se requieren se AWS Control Tower han implementado y probado en un AWS Control Tower entorno mediante AWS CloudFormation el uso de Customizations for AWS Control Tower (cFCT). Las soluciones que no lo requieren se AWS Control Tower han probado en un AWS Organizations entorno mediante el uso de. AWS CloudFormation La solución cFCT ayuda a los clientes a configurar rápidamente un AWS entorno seguro y multicuenta basado en las AWS mejores prácticas. Ayuda a ahorrar tiempo al automatizar la configuración de un entorno para ejecutar cargas de trabajo seguras y escalables, al tiempo que implementa una base de seguridad inicial mediante la creación de cuentas y recursos. AWS Control Tower también proporciona un entorno básico para empezar con una arquitectura multicuenta, la gestión de identidades y accesos, la gobernanza, la seguridad de los datos, el diseño de redes y el registro. Las soluciones del repositorio AWS SRA proporcionan configuraciones de seguridad adicionales para implementar los patrones descritos en este documento.

Este es un resumen de las soluciones del repositorio de la AWS SRA. Cada solución incluye un README.md archivo con detalles. 

  • La solución CloudTrail Organization crea un registro de la organización dentro de la cuenta de administración de la organización y delega la administración en una cuenta de miembro, como la cuenta de auditoría o de herramientas de seguridad. Este registro se cifra con una clave gestionada por el cliente creada en la cuenta de Security Tooling y envía los registros a un depósito de S3 de la cuenta de Log Archive. Opcionalmente, los eventos de datos se pueden habilitar para Amazon S3 y AWS Lambda sus funciones. Un registro de la organización registra los eventos de todos Cuentas de AWS los miembros de la AWS organización e impide que las cuentas de los miembros modifiquen las configuraciones.

  • La solución GuardDuty Organization permite a Amazon GuardDuty delegar la administración en la cuenta de Security Tooling. Se configura GuardDuty dentro de la cuenta Security Tooling para todas las cuentas de la AWS organización existentes y futuras. Los GuardDuty resultados también se cifran con una clave KMS y se envían a un bucket de S3 en la cuenta de Log Archive.

  • La solución Security Hub CSPM Organization configura el Security Hub CSPM delegando la administración en la cuenta Security Tooling. Configura el Security Hub CSPM dentro de la cuenta Security Tooling para todas las cuentas de la organización existentes y futuras. AWS La solución también proporciona parámetros para sincronizar los estándares de seguridad habilitados en todas las cuentas y regiones, así como para configurar un agregador de regiones dentro de la cuenta de Security Tooling. La centralización de Security Hub CSPM en la cuenta Security Tooling proporciona una visión transversal del cumplimiento de las normas de seguridad y de las conclusiones de las integraciones tanto de terceros como de otras integraciones. Servicios de AWS AWS Partner

  • La solución Inspector configura Amazon Inspector dentro de la cuenta del administrador delegado (Security Tooling) para todas las cuentas y regiones gobernadas por la organización. AWS

  • La solución Firewall Manager configura las políticas de AWS Firewall Manager seguridad delegando la administración en la cuenta Security Tooling y configurando el Firewall Manager con una política de grupo de seguridad y varias políticas. AWS WAF La política de grupo de seguridad requiere un grupo de seguridad máximo permitido dentro de una VPC (existente o creada por la solución), que la solución implementa.

  • La solución Macie Organization permite a Amazon Macie delegar la administración en la cuenta Security Tooling. Configura Macie dentro de la cuenta Security Tooling para todas las cuentas de la organización existentes y futuras. AWS Además, Macie está configurado para enviar los resultados de su descubrimiento a un depósito S3 central que está cifrado con una clave KMS.

  • AWS Config:

    • La solución Config Aggregator configura un AWS Config agregador al delegar la administración en la cuenta de Security Tooling. A continuación, la solución configura un AWS Config agregador dentro de la cuenta de Security Tooling para todas las cuentas existentes y futuras de la organización. AWS

    • La solución Conformance Pack Organization Rules se implementa al delegar la administración en la Reglas de AWS Config cuenta de Security Tooling. A continuación, crea un paquete de conformidad de la organización dentro de la cuenta de administrador delegado para todas las cuentas existentes y futuras de la AWS organización. La solución está configurada para implementar la plantilla de ejemplo del paquete de conformidad con las mejores prácticas operativas para el cifrado y la administración de claves.

    • La solución AWS Config Control Tower Management Account habilita AWS Config la cuenta de AWS Control Tower administración y actualiza el AWS Config agregador dentro de la cuenta de Security Tooling en consecuencia. La solución utiliza la AWS Control Tower CloudFormation plantilla de habilitación AWS Config como referencia para garantizar la coherencia con las demás cuentas de la AWS organización.

  • IAM:

    • La solución Access Analyzer permite el uso de IAM Access Analyzer al delegar la administración en la cuenta Security Tooling. A continuación, configura un analizador de acceso IAM a nivel de organización dentro de la cuenta Security Tooling para todas las cuentas existentes y futuras de la organización. AWS La solución también implementa IAM Access Analyzer en todas las cuentas de los miembros y regiones para facilitar el análisis de los permisos a nivel de cuenta.

    • La solución de política de contraseñas de IAM actualiza la política de Cuenta de AWS contraseñas de todas las cuentas de una organización. AWS La solución proporciona parámetros para configurar los ajustes de la política de contraseñas a fin de ayudarle a cumplir con los estándares de conformidad del sector.

  • La solución EC2 Default EBS Encryption permite el cifrado predeterminado de Amazon EBS a nivel de cuenta dentro de cada una Cuenta de AWS y Región de AWS dentro de la organización. AWS Aplica el cifrado de los nuevos volúmenes e instantáneas de EBS que cree. Por ejemplo, Amazon EBS cifra los volúmenes de EBS que se crean al lanzar una instancia y las instantáneas que se copian de una instantánea no cifrada.

  • La solución S3 Block Account Public Access permite la configuración a nivel de cuenta de Amazon S3 dentro de cada miembro de Cuenta de AWS la AWS organización. La característica Block Public Access de Amazon S3 proporciona la configuración de los puntos de acceso, los buckets y las cuentas, con el fin de ayudarle a administrar el acceso público a los recursos de Amazon S3. De forma predeterminada, los buckets, puntos de acceso y objetos nuevos no permiten el acceso público. Sin embargo, los usuarios pueden modificar las políticas de bucket, las políticas de punto de acceso o los permisos de objeto para permitir el acceso público. La configuración de bloqueo de acceso público de Amazon S3 anula estas políticas y permisos para que pueda limitar el acceso público a estos recursos.

  • La solución Detective Organization automatiza la activación de Amazon Detective al delegar la administración en una cuenta (como la cuenta de auditoría o de herramientas de seguridad) y la configuración de Detective para todas las cuentas existentes y futuras. AWS Organizations

  • La solución Shield Advanced automatiza la implementación AWS Shield Advanced para proporcionar una protección DDo S mejorada para sus aplicaciones en AWS.

  • La solución AMI Bakery Organization ayuda a automatizar el proceso de creación y gestión de imágenes reforzadas y estándares de Amazon Machine Image (AMI). Esto garantiza la coherencia y la seguridad en todas sus AWS instancias y simplifica las tareas de implementación y mantenimiento.

  • La solución Patch Manager ayuda a agilizar la administración de parches en múltiples Cuentas de AWS aplicaciones. Puede usar esta solución para actualizar el AWS Systems Manager agente (SSM Agent) en todas las instancias administradas y para escanear e instalar parches de seguridad y correcciones de errores críticos e importantes en las instancias etiquetadas para Windows y Linux. La solución también configura la configuración de administración de hosts predeterminada para detectar la creación de nuevas Cuentas de AWS soluciones e implementarlas automáticamente en esas cuentas.