Repositori kode untuk AWS contoh SRA - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Repositori kode untuk AWS contoh SRA

Mempengaruhi masa depan AWS Security Reference Architecture (AWS SRA) dengan mengambil survei singkat.

Untuk membantu Anda mulai membangun dan menerapkan panduan di AWS SRA, repositori infrastruktur sebagai kode (IAc) di https://github.com/aws-samples/aws-security-reference-architecture-examples menyertai panduan ini. Repositori ini berisi kode untuk membantu pengembang dan insinyur menyebarkan beberapa panduan dan pola arsitektur yang disajikan dalam dokumen ini. Kode ini diambil dari pengalaman langsung konsultan Layanan AWS Profesional dengan pelanggan. Template bersifat umum―tujuannya adalah untuk mengilustrasikan pola implementasi daripada memberikan solusi lengkap. Layanan AWS Konfigurasi dan penyebaran sumber daya sengaja sangat membatasi. Anda mungkin perlu memodifikasi dan menyesuaikan solusi ini agar sesuai dengan kebutuhan lingkungan dan keamanan Anda.

Repositori kode AWS SRA menyediakan contoh kode dengan keduanya AWS CloudFormation dan opsi penerapan Terraform. Pola solusi mendukung dua lingkungan: satu membutuhkan AWS Control Tower dan yang lainnya menggunakan AWS Organizations tanpa AWS Control Tower. Solusi dalam repositori ini yang membutuhkan AWS Control Tower telah diterapkan dan diuji dalam AWS Control Tower lingkungan dengan menggunakan AWS CloudFormation dan Kustomisasi untuk (CFCT). AWS Control Tower Solusi yang tidak memerlukan AWS Control Tower telah diuji dalam AWS Organizations lingkungan dengan menggunakan AWS CloudFormation. Solusi CFCT membantu pelanggan dengan cepat mengatur AWS lingkungan multi-akun yang aman berdasarkan praktik AWS terbaik. Ini membantu menghemat waktu dengan mengotomatiskan pengaturan lingkungan untuk menjalankan beban kerja yang aman dan terukur sambil menerapkan dasar keamanan awal melalui pembuatan akun dan sumber daya. AWS Control Tower juga menyediakan lingkungan dasar untuk memulai dengan arsitektur multi-akun, identitas dan manajemen akses, tata kelola, keamanan data, desain jaringan, dan logging. Solusi dalam repositori AWS SRA menyediakan konfigurasi keamanan tambahan untuk mengimplementasikan pola yang dijelaskan dalam dokumen ini.

Berikut adalah ringkasan solusi dalam repositori AWS SRA. Setiap solusi menyertakan README.md file dengan detail. 

  • Solusi CloudTrail Organisasi membuat jejak organisasi dalam akun Manajemen Org dan mendelegasikan administrasi ke akun anggota seperti akun Audit atau Perkakas Keamanan. Jejak ini dienkripsi dengan kunci terkelola pelanggan yang dibuat di akun Security Tooling dan mengirimkan log ke bucket S3 di akun Arsip Log. Secara opsional, peristiwa data dapat diaktifkan untuk Amazon S3 AWS Lambda dan fungsi. Jejak organisasi mencatat peristiwa untuk semua orang Akun AWS di AWS organisasi sambil mencegah akun anggota memodifikasi konfigurasi.

  • Solusi GuardDuty Organisasi memungkinkan Amazon GuardDuty dengan mendelegasikan administrasi ke akun Security Tooling. Ini mengkonfigurasi GuardDuty dalam akun Security Tooling untuk semua akun AWS organisasi yang ada dan yang akan datang. GuardDuty Temuan ini juga dienkripsi dengan kunci KMS dan dikirim ke bucket S3 di akun Log Archive.

  • Solusi Organisasi CSPM Security Hub mengonfigurasi CSPM Security Hub dengan mendelegasikan administrasi ke akun Security Tooling. Ini mengonfigurasi CSPM Security Hub dalam akun Security Tooling untuk semua akun organisasi yang ada dan yang akan datang. AWS Solusi ini juga menyediakan parameter untuk menyinkronkan standar keamanan yang diaktifkan di semua akun dan Wilayah serta mengonfigurasi agregator Wilayah dalam akun Security Tooling. Sentralisasi Security Hub CSPM dalam akun Security Tooling memberikan pandangan lintas akun tentang kepatuhan standar keamanan dan temuan dari integrasi kedua dan pihak ketiga. Layanan AWS AWS Partner

  • Solusi Inspector mengonfigurasi Amazon Inspector dalam akun administrator yang didelegasikan (Perkakas Keamanan) untuk semua akun dan Wilayah yang diatur di bawah organisasi. AWS

  • Solusi Firewall Manager mengonfigurasi kebijakan AWS Firewall Manager keamanan dengan mendelegasikan administrasi ke akun Security Tooling dan mengonfigurasi Firewall Manager dengan kebijakan grup keamanan dan beberapa kebijakan. AWS WAF Kebijakan grup keamanan memerlukan grup keamanan maksimum yang diizinkan dalam VPC (ada atau dibuat oleh solusi), yang digunakan oleh solusi.

  • Solusi Organisasi Macie memungkinkan Amazon Macie dengan mendelegasikan administrasi ke akun Security Tooling. Ini mengonfigurasi Macie dalam akun Security Tooling untuk semua akun organisasi yang ada dan yang akan datang AWS . Macie selanjutnya dikonfigurasi untuk mengirim hasil penemuannya ke bucket S3 pusat yang dienkripsi dengan kunci KMS.

  • AWS Config:

    • Solusi Config Aggregator mengonfigurasi AWS Config agregator dengan mendelegasikan administrasi ke akun Security Tooling. Solusi tersebut kemudian mengonfigurasi AWS Config agregator dalam akun Security Tooling untuk semua akun yang ada dan yang akan datang di organisasi. AWS

    • Solusi Aturan Organisasi Paket Kesesuaian diterapkan Aturan AWS Config dengan mendelegasikan administrasi ke akun Security Tooling. Kemudian membuat paket kesesuaian organisasi dalam akun administrator yang didelegasikan untuk semua akun yang ada dan yang akan datang di organisasi. AWS Solusinya dikonfigurasi untuk menerapkan templat sampel paket kesesuaian Praktik Terbaik Operasional untuk Enkripsi dan Manajemen Kunci.

    • Solusi AWS Config Control Tower Management Account memungkinkan AWS Config di akun AWS Control Tower manajemen dan memperbarui AWS Config agregator dalam akun Security Tooling yang sesuai. Solusinya menggunakan AWS Control Tower CloudFormation template untuk memungkinkan AWS Config sebagai referensi untuk memastikan konsistensi dengan akun lain dalam AWS organisasi.

  • IAM:

    • Solusi Access Analyzer memungkinkan IAM Access Analyzer dengan mendelegasikan administrasi ke akun Security Tooling. Kemudian mengkonfigurasi IAM Access Analyzer tingkat organisasi dalam akun Security Tooling untuk semua akun yang ada dan yang akan datang di organisasi. AWS Solusi ini juga menerapkan IAM Access Analyzer ke semua akun anggota dan Wilayah untuk mendukung analisis izin tingkat akun.

    • Solusi Kebijakan Kata Sandi IAM memperbarui kebijakan Akun AWS kata sandi dalam semua akun dalam suatu AWS organisasi. Solusi ini menyediakan parameter untuk mengonfigurasi pengaturan kebijakan kata sandi untuk membantu Anda menyelaraskan dengan standar kepatuhan industri.

  • Solusi Enkripsi EBS EC2 Default memungkinkan enkripsi Amazon EBS default tingkat akun di masing-masing Akun AWS dan Wilayah AWS di organisasi. AWS Ini memberlakukan enkripsi volume dan snapshot EBS baru yang Anda buat. Misalnya, Amazon EBS mengenkripsi volume EBS yang dibuat saat Anda meluncurkan instance dan snapshot yang Anda salin dari snapshot yang tidak terenkripsi.

  • Solusi Akses Publik Akun Blok S3 memungkinkan pengaturan tingkat akun Amazon S3 dalam Akun AWS masing-masing di organisasi. AWS Fitur Blokir Akses Publik Amazon S3 menyediakan pengaturan untuk titik akses, bucket, dan akun untuk membantu Anda mengelola akses publik ke sumber daya Amazon S3. Secara bawaan, bucket baru, titik akses, dan objek baru tidak mengizinkan akses publik. Namun, pengguna dapat memodifikasi kebijakan bucket, kebijakan titik akses, atau izin objek untuk memungkinkan akses publik. Amazon S3 Blokir Pengaturan Akses Publik mengesampingkan kebijakan dan izin ini sehingga Anda dapat membatasi akses publik ke sumber daya ini.

  • Solusi Organisasi Detektif mengotomatiskan mengaktifkan Amazon Detective dengan mendelegasikan administrasi ke akun (seperti akun Audit atau Security Tooling) dan mengonfigurasi Detective untuk semua akun yang ada dan yang akan datang. AWS Organizations

  • Solusi Shield Advanced mengotomatiskan penerapan AWS Shield Advanced untuk memberikan perlindungan DDo S yang ditingkatkan untuk aplikasi Anda. AWS

  • Solusi AMI Bakery Organization membantu mengotomatiskan proses pembuatan dan pengelolaan gambar Amazon Machine Image (AMI) standar yang diperkeras. Ini memastikan konsistensi dan keamanan di seluruh AWS instans Anda, dan menyederhanakan tugas penerapan dan pemeliharaan.

  • Solusi Patch Manager membantu merampingkan manajemen patch di beberapa Akun AWS. Anda dapat menggunakan solusi ini untuk memperbarui AWS Systems Manager Agen (Agen SSM) pada semua instans yang dikelola, dan untuk memindai dan menginstal patch keamanan penting dan penting serta perbaikan bug pada instance yang ditandai Windows dan Linux. Solusi ini juga mengonfigurasi pengaturan Konfigurasi Manajemen Host Default untuk mendeteksi pembuatan baru Akun AWS dan secara otomatis menerapkan solusi ke akun tersebut.