Repositório de código para exemplos de AWS SRA - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Repositório de código para exemplos de AWS SRA

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWS SRA) respondendo a uma breve pesquisa.

Para ajudar você a começar a criar e implementar a orientação no AWS SRA, um repositório de infraestrutura como código (IaC) em https://github.com/aws-samples/aws-security-reference-architecture-examples acompanha este guia. Esse repositório contém código para ajudar desenvolvedores e engenheiros a implantar alguns dos padrões de orientação e arquitetura apresentados neste documento. Esse código foi extraído da experiência em primeira mão dos consultores de Serviços AWS Profissionais com os clientes. Os modelos são de natureza geral — seu objetivo é ilustrar um padrão de implementação em vez de fornecer uma solução completa. As AWS service (Serviço da AWS) configurações e as implantações de recursos são deliberadamente muito restritivas. Talvez seja necessário modificar e adaptar essas soluções para atender às suas necessidades de ambiente e segurança.

O repositório de código AWS SRA fornece exemplos de código com ambas as opções de implantação AWS CloudFormation e do Terraform. Os padrões de solução oferecem suporte a dois ambientes: um requer AWS Control Tower e o outro usa AWS Organizations sem AWS Control Tower. As soluções necessárias neste repositório AWS Control Tower foram implantadas e testadas em um AWS Control Tower ambiente usando AWS CloudFormation e personalizações para AWS Control Tower (cFct). As soluções que não exigem AWS Control Tower foram testadas em um AWS Organizations ambiente usando AWS CloudFormation. A solução cFct ajuda os clientes a configurar rapidamente um AWS ambiente seguro com várias contas com base nas AWS melhores práticas. Isso ajuda a economizar tempo automatizando a configuração de um ambiente para executar cargas de trabalho seguras e escaláveis, ao mesmo tempo em que implementa uma linha de base de segurança inicial por meio da criação de contas e recursos. AWS Control Tower também fornece um ambiente básico para começar com uma arquitetura de várias contas, gerenciamento de identidade e acesso, governança, segurança de dados, design de rede e registro. As soluções no repositório AWS SRA fornecem configurações de segurança adicionais para implementar os padrões descritos neste documento.

Aqui está um resumo das soluções no repositório AWS SRA. Cada solução inclui um README.md arquivo com detalhes. 

  • A solução CloudTrail Organização cria uma trilha organizacional na conta de gerenciamento da organização e delega a administração a uma conta de membro, como a conta de ferramentas de auditoria ou segurança. Essa trilha é criptografada com uma chave gerenciada pelo cliente criada na conta do Security Tooling e entrega os registros para um bucket do S3 na conta do Log Archive. Opcionalmente, os eventos de dados podem ser habilitados para o Amazon S3 AWS Lambda e suas funções. Uma trilha da organização registra eventos para todos Contas da AWS na AWS organização, evitando que as contas dos membros modifiquem as configurações.

  • A solução GuardDuty Organization habilita a Amazon GuardDuty delegando a administração à conta do Security Tooling. Ele é configurado GuardDuty na conta do Security Tooling para todas as contas existentes e futuras AWS da organização. As GuardDuty descobertas também são criptografadas com uma chave KMS e enviadas para um bucket do S3 na conta do Log Archive.

  • A solução Security Hub CSPM Organization configura o CSPM do Security Hub delegando a administração à conta do Security Tooling. Ele configura o CSPM do Security Hub na conta do Security Tooling para todas as contas existentes e futuras da organização. AWS A solução também fornece parâmetros para sincronizar os padrões de segurança habilitados em todas as contas e regiões, bem como configurar um agregador de regiões na conta do Security Tooling. A centralização do CSPM do Security Hub na conta do Security Tooling fornece uma visão cruzada da conformidade com os padrões de segurança e das descobertas de integrações e de terceiros. Serviços da AWS AWS Partner

  • A solução Inspector configura o Amazon Inspector dentro da conta de administrador delegado (Security Tooling) para todas as contas e regiões governadas da organização. AWS

  • A solução Firewall Manager configura as políticas AWS Firewall Manager de segurança delegando a administração à conta do Security Tooling e configurando o Firewall Manager com uma política de grupo de segurança e várias políticas. AWS WAF A política de grupo de segurança exige um grupo de segurança máximo permitido em uma VPC (existente ou criada pela solução), que é implantada pela solução.

  • A solução Macie Organization habilita o Amazon Macie delegando a administração à conta do Security Tooling. Ele configura o Macie na conta do Security Tooling para todas as contas existentes e futuras AWS da organização. O Macie está ainda configurado para enviar seus resultados de descoberta para um bucket central do S3 que é criptografado com uma chave KMS.

  • AWS Config:

    • A solução Config Aggregator configura um AWS Config agregador delegando a administração à conta do Security Tooling. Em seguida, a solução configura um AWS Config agregador na conta do Security Tooling para todas as contas existentes e futuras na organização. AWS

    • A solução Conformance Pack Organization Rules é Regras do AWS Config implantada delegando a administração à conta do Security Tooling. Em seguida, ele cria um pacote de conformidade organizacional dentro da conta de administrador delegado para todas as contas existentes e futuras na organização. AWS A solução está configurada para implantar o modelo de amostra de pacote de conformidade com as melhores práticas operacionais para criptografia e gerenciamento de chaves.

    • A solução AWS Config Control Tower Management Account ativa AWS Config a conta AWS Control Tower de gerenciamento e atualiza adequadamente o AWS Config agregador na conta do Security Tooling. A solução usa o AWS Control Tower CloudFormation modelo de habilitação AWS Config como referência para garantir a consistência com as outras contas na AWS organização.

  • IAM:

    • A solução Access Analyzer habilita o IAM Access Analyzer delegando a administração à conta do Security Tooling. Em seguida, ele configura um analisador de acesso IAM em nível organizacional dentro da conta do Security Tooling para todas as contas existentes e futuras na organização. AWS A solução também implanta o IAM Access Analyzer em todas as contas e regiões membros para apoiar a análise de permissões em nível de conta.

    • A solução IAM Password Policy atualiza a política de Conta da AWS senhas em todas as contas de uma AWS organização. A solução fornece parâmetros para definir as configurações da política de senha para ajudá-lo a se alinhar aos padrões de conformidade do setor.

  • A solução de criptografia EC2 padrão do EBS permite a criptografia padrão do Amazon EBS em nível de conta dentro de cada conta Conta da AWS e Região da AWS dentro da organização. AWS Ele impõe a criptografia dos novos volumes e snapshots do EBS que você cria. Por exemplo, o Amazon EBS criptografa os volumes do EBS que são criados quando você executa uma instância e os snapshots que você copia de um snapshot não criptografado.

  • A solução S3 Block Account Public Access permite configurações em nível de conta do Amazon S3 em cada uma na Conta da AWS organização. AWS O recurso Bloqueio de acesso público do Amazon S3 fornece configurações para pontos de acesso, buckets e contas para ajudar você a gerenciar o acesso público aos recursos do Amazon S3. Por padrão, novos buckets, pontos de acesso e objetos não permitem acesso público. No entanto, os usuários podem modificar políticas de bucket, políticas de ponto de acesso ou permissões de objeto para permitir acesso público. As configurações do Amazon S3 Block Public Access substituem essas políticas e permissões para que você possa limitar o acesso público a esses recursos.

  • A solução Detective Organization automatiza a habilitação do Amazon Detective delegando a administração a uma conta (como a conta Audit ou Security Tooling) e configurando o Detective para todas as contas existentes e futuras. AWS Organizations

  • A solução Shield Advanced automatiza a implantação do AWS Shield Advanced para fornecer proteção DDo S aprimorada para seus aplicativos em AWS.

  • A solução AMI Bakery Organization ajuda a automatizar o processo de criação e gerenciamento de imagens padrão e reforçadas da Amazon Machine Image (AMI). Isso garante consistência e segurança em todas as suas AWS instâncias e simplifica as tarefas de implantação e manutenção.

  • A solução Patch Manager ajuda a simplificar o gerenciamento de patches em vários Contas da AWS. Você pode usar essa solução para atualizar o AWS Systems Manager Agente (Agente SSM) em todas as instâncias gerenciadas e para verificar e instalar patches de segurança e correções de erros críticos e importantes em instâncias marcadas do Windows e do Linux. A solução também configura a configuração padrão de gerenciamento de host para detectar a criação de novas Contas da AWS e implantar automaticamente a solução nessas contas.