Archivio di codice per esempi AWS SRA - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Archivio di codice per esempi AWS SRA

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio.

Per aiutarti a iniziare a creare e implementare le linee guida contenute nella AWS SRA, questa guida è corredata da un repository Infrastructure as Code (IaC) all'indirizzo https://github.com/aws-samples/aws-security-reference-architecture-examples. Questo repository contiene codice per aiutare sviluppatori e ingegneri a implementare alcune delle linee guida e dei modelli di architettura presentati in questo documento. Questo codice è tratto dall'esperienza diretta dei consulenti dei Servizi AWS Professionali con i clienti. I modelli sono di natura generale: il loro obiettivo è illustrare un modello di implementazione piuttosto che fornire una soluzione completa. Le Servizio AWS configurazioni e le distribuzioni delle risorse sono volutamente molto restrittive. Potrebbe essere necessario modificare e personalizzare queste soluzioni per adattarle all'ambiente e alle esigenze di sicurezza.

L'archivio di codici AWS SRA fornisce esempi di codice con entrambe le opzioni di implementazione AWS CloudFormation e Terraform. I modelli di soluzione supportano due ambienti: uno richiede AWS Control Tower e l'altro lo utilizza senza. AWS Organizations AWS Control Tower Le soluzioni di questo repository che lo richiedono AWS Control Tower sono state implementate e testate all'interno di un AWS Control Tower ambiente utilizzando AWS CloudFormation and Customizations for AWS Control Tower (cFCT). Le soluzioni che non lo richiedono AWS Control Tower sono state testate all'interno di un AWS Organizations ambiente utilizzando. AWS CloudFormation La soluzione cFCT aiuta i clienti a configurare rapidamente un AWS ambiente sicuro e multi-account basato sulle AWS migliori pratiche. Aiuta a risparmiare tempo automatizzando la configurazione di un ambiente per l'esecuzione di carichi di lavoro sicuri e scalabili, implementando al contempo una linea di base di sicurezza iniziale attraverso la creazione di account e risorse. AWS Control Tower fornisce inoltre un ambiente di base per iniziare con un'architettura multi-account, la gestione delle identità e degli accessi, la governance, la sicurezza dei dati, la progettazione della rete e la registrazione. Le soluzioni nell'archivio AWS SRA forniscono configurazioni di sicurezza aggiuntive per implementare i modelli descritti in questo documento.

Di seguito è riportato un riepilogo delle soluzioni presenti nell'archivio SRA.AWS Ogni soluzione include un README.md file con i dettagli. 

  • La soluzione CloudTrail Organization crea un percorso organizzativo all'interno dell'account Org Management e delega l'amministrazione a un account membro come l'account Audit o Security Tooling. Questo percorso è crittografato con una chiave gestita dal cliente creata nell'account Security Tooling e invia i log a un bucket S3 nell'account Log Archive. Facoltativamente, gli eventi relativi ai dati possono essere abilitati per Amazon S3 AWS Lambda e le sue funzioni. Un percorso organizzativo registra gli eventi per tutti Account AWS i membri AWS dell'organizzazione, impedendo allo stesso tempo agli account dei membri di modificare le configurazioni.

  • La soluzione GuardDuty Organization abilita Amazon GuardDuty delegando l'amministrazione all'account Security Tooling. Si configura GuardDuty all'interno dell'account Security Tooling per tutti gli account AWS aziendali esistenti e futuri. I GuardDuty risultati vengono inoltre crittografati con una chiave KMS e inviati a un bucket S3 nell'account Log Archive.

  • La soluzione Security Hub CSPM Organization configura Security Hub CSPM delegando l'amministrazione all'account Security Tooling. Configura Security Hub CSPM all'interno dell'account Security Tooling per tutti gli account aziendali esistenti e futuri. AWS La soluzione fornisce anche parametri per la sincronizzazione degli standard di sicurezza abilitati su tutti gli account e le regioni, nonché per configurare un aggregatore di regioni all'interno dell'account Security Tooling. La centralizzazione di Security Hub CSPM all'interno dell'account Security Tooling offre una visione trasversale della conformità agli standard di sicurezza e dei risultati delle integrazioni sia di terze parti che di quelle di terze parti. Servizi AWS AWS Partner

  • La soluzione Inspector configura Amazon Inspector all'interno dell'account amministratore delegato (Security Tooling) per tutti gli account e le regioni governate dell'organizzazione. AWS

  • La soluzione Firewall Manager configura le politiche di AWS Firewall Manager sicurezza delegando l'amministrazione all'account Security Tooling e configurando Firewall Manager con una politica di gruppo di sicurezza e più politiche. AWS WAF La policy del gruppo di sicurezza richiede un gruppo di sicurezza massimo consentito all'interno di un VPC (esistente o creato dalla soluzione), che viene distribuito dalla soluzione.

  • La soluzione Macie Organization abilita Amazon Macie delegando l'amministrazione all'account Security Tooling. Configura Macie all'interno dell'account Security Tooling per tutti gli account aziendali esistenti e futuri. AWS Macie è inoltre configurato per inviare i risultati della scoperta a un bucket S3 centrale crittografato con una chiave KMS.

  • AWS Config:

    • La soluzione Config Aggregator configura un AWS Config aggregatore delegando l'amministrazione all'account Security Tooling. La soluzione configura quindi un AWS Config aggregatore all'interno dell'account Security Tooling per tutti gli account esistenti e futuri dell'organizzazione. AWS

    • La soluzione Conformance Pack Organization Rules viene Regole di AWS Config implementata delegando l'amministrazione all'account Security Tooling. Quindi crea un pacchetto di conformità dell'organizzazione all'interno dell'account amministratore delegato per tutti gli account esistenti e futuri dell'organizzazione. AWS La soluzione è configurata per implementare il modello di esempio del pacchetto di conformità Operational Best Practices for Encryption and Key Management.

    • La soluzione AWS Config Control Tower Management Account abilita AWS Config l'account di AWS Control Tower gestione e aggiorna di conseguenza l' AWS Config aggregatore all'interno dell'account Security Tooling. La soluzione utilizza il AWS Control Tower CloudFormation modello di abilitazione AWS Config come riferimento per garantire la coerenza con gli altri account dell' AWS organizzazione.

  • IAM/

    • La soluzione Access Analyzer abilita IAM Access Analyzer delegando l'amministrazione all'account Security Tooling. Quindi configura un IAM Access Analyzer a livello di organizzazione all'interno dell'account Security Tooling per tutti gli account esistenti e futuri dell'organizzazione. AWS La soluzione implementa inoltre IAM Access Analyzer su tutti gli account membri e le regioni per supportare l'analisi delle autorizzazioni a livello di account.

    • La soluzione IAM Password Policy aggiorna la politica delle Account AWS password all'interno di tutti gli account di un'organizzazione. AWS La soluzione fornisce parametri per la configurazione delle impostazioni delle politiche relative alle password per aiutarti ad allinearti agli standard di conformità del settore.

  • La soluzione EC2 Default EBS Encryption abilita la crittografia Amazon EBS predefinita a livello di account all'interno di ciascuna organizzazione Account AWS . Regione AWS AWS Applica la crittografia dei nuovi volumi e istantanee EBS che crei. Ad esempio, Amazon EBS crittografa i volumi EBS creati all'avvio di un'istanza e gli snapshot che copi da uno snapshot non crittografato.

  • La soluzione S3 Block Account Public Access abilita le impostazioni a livello di account Amazon S3 all'interno Account AWS di ciascuna organizzazione. AWS La caratteristica di blocco dell'accesso pubblico di Amazon S3 fornisce le impostazioni per access point, bucket e account con cui è possibile gestire l'accesso pubblico alle risorse di Amazon S3. Per impostazione predefinita, nuovi bucket, access point e oggetti non consentono l'accesso pubblico. Tuttavia, gli utenti possono modificare le policy di bucket, le policy di access point o le autorizzazioni degli oggetti per consentire l'accesso pubblico. Le impostazioni di Amazon S3 Block Public Access hanno la precedenza su queste policy e autorizzazioni in modo da poter limitare l'accesso pubblico a queste risorse.

  • La soluzione Detective Organization automatizza l'abilitazione di Amazon Detective delegando l'amministrazione a un account (come l'account Audit o Security Tooling) e configurando Detective per tutti gli account esistenti e futuri. AWS Organizations

  • La soluzione Shield Advanced automatizza l'implementazione AWS Shield Advanced per fornire una protezione DDo S avanzata per le tue applicazioni su AWS.

  • La soluzione AMI Bakery Organization aiuta ad automatizzare il processo di creazione e gestione di immagini Amazon Machine Image (AMI) standard e rinforzate. Ciò garantisce coerenza e sicurezza tra le AWS istanze e semplifica le attività di distribuzione e manutenzione.

  • La soluzione Patch Manager aiuta a semplificare la gestione delle patch su più piattaforme. Account AWSÈ possibile utilizzare questa soluzione per aggiornare AWS Systems Manager Agent (SSM Agent) su tutte le istanze gestite e per scansionare e installare patch di sicurezza e correzioni di bug critiche e importanti su istanze con tag Windows e Linux. La soluzione configura anche l'impostazione Default Host Management Configuration per rilevare la creazione di nuove soluzioni Account AWS e distribuirle automaticamente su tali account.