AWS SRA 示例的代码存储库 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS SRA 示例的代码存储库

通过进行简短的调查来影响 AWS 安全参考架构 (AWS SRA) 的未来。

为了帮助您开始构建和实施 AWS SRA 中的指南,本指南附带了 https://github.com/aws-samples/aws-security-reference-architecture- examples 中的基础设施即代码 (IaC) 存储库。此存储库包含的代码可帮助开发人员和工程师部署本文档中介绍的一些指导和架构模式。此代码来自 AWS 专业服务顾问与客户的第一手经验。这些模板本质上是通用的,它们的目标是说明实现模式,而不是提供完整的解决方案。 AWS 服务 配置和资源部署故意设置了非常严格的限制。您可能需要修改和定制这些解决方案以适应您的环境和安全需求。

AWS SRA 代码存储库提供了包含两者 AWS CloudFormation 和 Terraform 部署选项的代码示例。解决方案模式支持两种环境:一种需要环境 AWS Control Tower ,另一种 AWS Organizations 不支持环境 AWS Control Tower。此存储库中需要的解决方案 AWS Control Tower 已通过使用和定制 AWS Control Tower (cfCT) 在AWS Control Tower环境中进行部署 AWS CloudFormation和测试。不需要的解决方案 AWS Control Tower 已通过使用在 AWS Organizations环境中进行了测试 AWS CloudFormation。cfcT 解决方案可帮助客户根据 AWS 最佳实践快速设置安全的多账户 AWS 环境。它通过自动设置环境来运行安全和可扩展的工作负载,同时通过创建帐户和资源来实现初始安全基准,从而帮助节省时间。 AWS Control Tower 还为开始使用多账户架构、身份和访问管理、治理、数据安全、网络设计和日志记录提供了一个基准环境。 AWS SRA 存储库中的解决方案提供了额外的安全配置来实现本文档中描述的模式。

以下是 AWS SRA 存储库中解决方案的摘要。每个解决方案都包含一个包含详细信息的README.md文件。 

  • CloudTrail 组织解决方案在组织管理账户中创建组织跟踪,并将管理委托给成员账户,例如审计或安全工具账户。此跟踪使用在 Security Tools 账户中创建的客户托管密钥进行加密,并将日志传送到日志存档账户中的 S3 存储桶。或者,可以为 Amazon S3 和 AWS Lambda 函数启用数据事件。组织跟踪记录 AWS 组织 AWS 账户 中所有人的事件,同时防止成员账户修改配置。

  • GuardDuty 组织解决方案 GuardDuty 通过将管理委托给安全工具账户来支持 Amazon。它在安全工具帐户 GuardDuty 中为所有现有和未来的 AWS 组织帐户进行配置。还会使用 KMS 密钥对 GuardDuty 发现结果进行加密,并发送到日志存档账户中的 S3 存储桶。

  • Sec urity Hub CSPM 组织解决方案通过将管理委托给安全工具帐户来配置 Security Hub CSPM。它在安全工具帐户中为所有现有和未来的 AWS 组织帐户配置 Security Hub CSPM。该解决方案还提供了用于在所有账户和区域之间同步已启用的安全标准以及在安全工具账户中配置区域聚合器的参数。将 Security Hub CSPM 集中在 Security Tooling 账户中,可以跨账户查看安全标准合规性以及两者 AWS 服务 与第三方集成的调查结果。 AWS Partner

  • Inspector 解决方案在委托管理员(安全工具)账户中为 AWS 组织下的所有账户和受管区域配置 Amazon Inspector。

  • Fi re wall Manager 解决方案通过将 AWS Firewall Manager 管理委托给安全工具帐户并使用安全组策略和多个 AWS WAF 策略配置 Firewall Manager 来配置安全策略。安全组策略要求在解决方案部署的 VPC(现有或由解决方案创建)中允许的最大安全组。

  • Macie 组织解决方案通过将管理委托给安全工具账户来支持 Amazon Macie。它在安全工具帐户中为所有现有和未来的 AWS 组织帐户配置 Macie。Macie 进一步配置为将其发现结果发送到使用 KMS 密钥加密的中央 S3 存储桶。

  • AWS Config:

    • Config Aggregato AWS Config r 解决方案通过将管理委托给安全工具帐户来配置聚合器。然后,该解决方案在安全工具帐户中为组织中所有现有和未来的帐户配置 AWS Config 聚合器。 AWS

    • Conformance Pack 组织规则解决方案 AWS Config 规则 通过将管理委托给安全工具帐户来部署。然后,它在委派的管理员账户中为组织中所有现有和将来的账户创建 AWS 组织合规包。该解决方案配置为部署加密和密钥管理最佳操作实践一致性包示例模板。

    • Cont AWS Config rol Tower 管理账户解决方案启用 AWS Config AWS Control Tower 管理账户,并相应地更新安全工具账户中的 AWS Config 聚合器。该解决方案使用启用 AWS Control Tower CloudFormation 模板 AWS Config 作为参考,以确保与 AWS 组织中的其他账户保持一致。

  • IAM:

    • A ccess Analyzer 解决方案通过将管理委托给安全工具账户来启用 IAM Access Analyzer。然后,它在安全工具账户中为组织中所有现有和未来的账户配置组织级的 IAM Access Analyzer。 AWS 该解决方案还将 IAM Access Analyzer 部署到所有成员账户和区域,以支持分析账户级权限。

    • I AM 密码策略解决方案更新 AWS 组织中所有账户的 AWS 账户 密码策略。该解决方案提供了用于配置密码策略设置的参数,以帮助您与行业合规性标准保持一致。

  • EC2 默认 EBS 加密解决方案支持在每个账户 AWS 账户 和 AWS 区域 组织内进行账户级默认 Amazon EBS 加密。 AWS 它会强制对您创建的新 EBS 卷和快照进行加密。例如,Amazon EBS 会加密您启动实例时创建的 EBS 卷以及您从未加密的快照中复制的快照。

  • S3 封禁账户公共访问解决方案在组织 AWS 账户 中的每个账户内启用 Amazon S3 账户级别设置。 AWS Amazon S3 屏蔽公共访问权限特征提供接入点、存储桶和账户设置,帮助您管理对 Amazon S3 资源的公有访问。默认情况下,新存储桶、接入点和对象不允许公有访问。但是,用户可以修改存储桶策略、接入点策略或对象权限以允许公有访问。Amazon S3 阻止公共访问设置会覆盖这些策略和权限,因此您可以限制对这些资源的公开访问。

  • Det ec tive Organization 解决方案通过将管理委托给账户(例如审计或安全工具账户),并为所有现有和未来的 AWS Organizations 账户配置 Detective,从而自动启用 Amazon Detective。

  • Shield Advanc ed 解决方案可自动部 AWS Shield Advanced 署,为您的应用程序提供增强的 DDo S 保护。 AWS

  • AMI Bakery Organization 解决方案有助于自动生成和管理标准的、经过强化的 Amazon 系统映像 (AMI) 映像。这可以确保您的 AWS 实例之间的一致性和安全性,并简化部署和维护任务。

  • 补丁管理器解决方案有助于简化多个补丁管理 AWS 账户。您可以使用此解决方案更新所有托管实例上的 AWS Systems Manager 代理(SSM 代理),并在带有 Windows 和 Linux 标签的实例上扫描和安装关键和重要的安全补丁和错误修复。该解决方案还配置了默认主机管理配置设置以检测新帐户的创建情况, AWS 账户 并自动将解决方案部署到这些帐户。