Référentiel de code pour les AWS exemples de SRA - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Référentiel de code pour les AWS exemples de SRA

Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête.

Pour vous aider à commencer à élaborer et à mettre en œuvre les directives de la AWS SRA, un référentiel d'infrastructure en tant que code (IaC) sur https://github.com/aws-samples/aws-security-reference-architecture-examples accompagne ce guide. Ce référentiel contient du code destiné à aider les développeurs et les ingénieurs à déployer certains des conseils et modèles d'architecture présentés dans ce document. Ce code est tiré de l'expérience directe des consultants en services AWS professionnels avec les clients. Les modèles sont de nature générale : leur objectif est d'illustrer un modèle de mise en œuvre plutôt que de fournir une solution complète. Les Service AWS configurations et les déploiements de ressources sont délibérément très restrictifs. Vous devrez peut-être modifier et adapter ces solutions en fonction de votre environnement et de vos besoins en matière de sécurité.

Le référentiel de code AWS SRA fournit des exemples de code avec les options de déploiement à la fois AWS CloudFormation et Terraform. Les modèles de solution prennent en charge deux environnements : l'un nécessite AWS Control Tower et l'autre n'en utilise AWS Organizations pas AWS Control Tower. Les solutions requises dans ce référentiel AWS Control Tower ont été déployées et testées dans un AWS Control Tower environnement à l'aide de AWS CloudFormation et de personnalisations pour AWS Control Tower (CfCT). Les solutions qui n'en nécessitent pas AWS Control Tower ont été testées dans un AWS Organizations environnement à l'aide de AWS CloudFormation. La solution CfCT aide les clients à configurer rapidement un AWS environnement multi-comptes sécurisé basé sur les AWS meilleures pratiques. Il permet de gagner du temps en automatisant la configuration d'un environnement permettant d'exécuter des charges de travail sécurisées et évolutives tout en mettant en œuvre une base de sécurité initiale via la création de comptes et de ressources. AWS Control Tower fournit également un environnement de base pour démarrer avec une architecture multi-comptes, la gestion des identités et des accès, la gouvernance, la sécurité des données, la conception du réseau et la journalisation. Les solutions du référentiel AWS SRA fournissent des configurations de sécurité supplémentaires pour implémenter les modèles décrits dans ce document.

Voici un résumé des solutions du référentiel AWS SRA. Chaque solution inclut un README.md fichier contenant des informations détaillées. 

  • La solution CloudTrail Organization crée une trace de l'organisation dans le compte de gestion de l'organisation et délègue l'administration à un compte membre tel que le compte Audit ou Security Tooling. Ce journal est chiffré à l'aide d'une clé gérée par le client créée dans le compte Security Tooling et transmet les journaux à un compartiment S3 du compte Log Archive. En option, les événements de données peuvent être activés pour Amazon S3 et AWS Lambda ses fonctions. Un journal d'organisation enregistre les événements pour tous les Comptes AWS membres de l' AWS organisation tout en empêchant les comptes des membres de modifier les configurations.

  • La solution GuardDuty Organization active Amazon GuardDuty en déléguant l'administration au compte Security Tooling. Il est configuré GuardDuty dans le compte Security Tooling pour tous les comptes d' AWS organisation existants et futurs. Les GuardDuty résultats sont également chiffrés à l'aide d'une clé KMS et envoyés vers un compartiment S3 du compte Log Archive.

  • La solution Security Hub CSPM Organization configure Security Hub CSPM en déléguant l'administration au compte Security Tooling. Il configure Security Hub CSPM dans le compte Security Tooling pour tous les comptes d'organisation existants et futurs. AWS La solution fournit également des paramètres pour synchroniser les normes de sécurité activées sur tous les comptes et régions, ainsi que pour configurer un agrégateur de régions au sein du compte Security Tooling. La centralisation du Security Hub CSPM au sein du compte Security Tooling fournit une vue multicompte de la conformité aux normes de sécurité et des résultats des intégrations effectuées à la fois et par des tiers. Services AWS AWS Partner

  • La solution Inspector configure Amazon Inspector au sein du compte administrateur délégué (Security Tooling) pour tous les comptes et régions gouvernées au sein de l' AWS organisation.

  • La solution Firewall Manager configure les politiques AWS Firewall Manager de sécurité en déléguant l'administration au compte Security Tooling et en configurant Firewall Manager avec une politique de groupe de sécurité et plusieurs politiques. AWS WAF La politique des groupes de sécurité exige un groupe de sécurité maximal autorisé au sein d'un VPC (existant ou créé par la solution), qui est déployé par la solution.

  • La solution Macie Organization active Amazon Macie en déléguant l'administration au compte Security Tooling. Il configure Macie dans le compte Security Tooling pour tous les comptes d'organisation existants et futurs. AWS Macie est également configuré pour envoyer ses résultats de découverte à un compartiment S3 central chiffré à l'aide d'une clé KMS.

  • AWS Config:

    • La solution Config Aggregator configure un AWS Config agrégateur en déléguant l'administration au compte Security Tooling. La solution configure ensuite un AWS Config agrégateur au sein du compte Security Tooling pour tous les comptes existants et futurs de l'organisation. AWS

    • La solution Conformance Pack Organization Rules se déploie AWS Config Rules en déléguant l'administration au compte Security Tooling. Il crée ensuite un pack de conformité d'organisation dans le compte d'administrateur délégué pour tous les comptes existants et futurs de l' AWS organisation. La solution est configurée pour déployer le modèle d'exemple de pack de conformité aux meilleures pratiques opérationnelles pour le chiffrement et la gestion des clés.

    • La solution AWS Config Control Tower Management Account active l'accès AWS Config au compte AWS Control Tower de gestion et met à jour l' AWS Config agrégateur du compte Security Tooling en conséquence. La solution utilise le AWS Control Tower CloudFormation modèle d'activation AWS Config comme référence afin de garantir la cohérence avec les autres comptes de l' AWS organisation.

  • IAM :

    • La solution Access Analyzer active IAM Access Analyzer en déléguant l'administration au compte Security Tooling. Il configure ensuite un analyseur d'accès IAM au niveau de l'organisation dans le compte Security Tooling pour tous les comptes existants et futurs de l'organisation. AWS La solution déploie également IAM Access Analyzer sur tous les comptes membres et régions afin de faciliter l'analyse des autorisations au niveau des comptes.

    • La solution IAM Password Policy met à jour la politique Compte AWS de mot de passe pour tous les comptes d'une AWS organisation. La solution fournit des paramètres permettant de configurer les paramètres de politique de mot de passe afin de vous aider à vous aligner sur les normes de conformité du secteur.

  • La solution de chiffrement EBS EC2 par défaut permet le chiffrement Amazon EBS par défaut au niveau du compte au sein de chaque compte Compte AWS et Région AWS au sein de l'organisation. AWS Il applique le chiffrement des nouveaux volumes EBS et des instantanés que vous créez. Par exemple, Amazon EBS chiffre les volumes EBS créés lorsque vous lancez une instance et les instantanés que vous copiez à partir d'un instantané non chiffré.

  • La solution S3 Block Account Public Access permet de configurer les paramètres au niveau du compte Amazon S3 au sein de chaque Compte AWS entreprise. AWS La fonction du blocage de l'accès public Amazon S3 fournit des paramètres pour les points d'accès, les compartiments et les comptes afin de vous aider à gérer l'accès public aux ressources Amazon S3. Par défaut, les nouveaux compartiments, points d'accès et objets n'autorisent pas l'accès public. Toutefois, les utilisateurs peuvent modifier les stratégies de compartiment, les stratégies de point d’accès ou les autorisations d’objet pour autoriser l’accès public. Les paramètres de blocage de l'accès public d'Amazon S3 remplacent ces politiques et autorisations afin que vous puissiez limiter l'accès public à ces ressources.

  • La solution Detective Organization automatise l'activation d'Amazon Detective en déléguant l'administration à un compte (tel que le compte Audit ou Security Tooling) et en configurant Detective pour tous les comptes existants et futurs. AWS Organizations

  • La solution Shield Advanced automatise le déploiement de AWS Shield Advanced afin de fournir une protection DDo S améliorée à vos applications sur AWS.

  • La solution AMI Bakery Organization permet d'automatiser le processus de création et de gestion d'images Amazon Machine Image (AMI) standard et renforcées. Cela garantit la cohérence et la sécurité de vos AWS instances et simplifie les tâches de déploiement et de maintenance.

  • La solution Patch Manager permet de rationaliser la gestion des correctifs sur plusieurs sites Comptes AWS. Vous pouvez utiliser cette solution pour mettre à jour AWS Systems Manager l'agent (agent SSM) sur toutes les instances gérées, ainsi que pour scanner et installer des correctifs de sécurité et des corrections de bogues critiques et importants sur les instances étiquetées Windows et Linux. La solution configure également le paramètre de configuration de gestion des hôtes par défaut afin de détecter la création de nouveaux comptes Comptes AWS et de déployer automatiquement la solution sur ces comptes.