本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
平台工程
使用封裝、可重複使用的雲端產品,建置安全且合規的多帳戶雲端環境。
為了讓開發團隊能夠支援創新,平台需要快速調整以因應業務需求。(請參閱 AWS CAF Business 的觀點。) 它必須在彈性足以適應產品管理需求、剛性足以遵守安全限制,以及速度足以滿足營運需求時這樣做。此程序需要建置具有增強安全功能的合規多帳戶雲端環境,以及封裝、可重複使用的雲端產品。
有效的雲端環境可讓您的團隊輕鬆佈建新帳戶,同時確保這些帳戶符合組織政策。一組精選的雲端產品可讓您編寫最佳實務、協助您管理,並協助提高雲端部署的速度和一致性。部署您的最佳實務藍圖,以及偵測和預防性護欄。整合您的雲端環境與現有的環境,以啟用所需的混合雲端使用案例。
自動化帳戶佈建工作流程,並使用多個帳戶來支援您的安全和控管目標。設定內部部署和雲端環境之間以及不同雲端帳戶之間的連線。在您的現有身分提供者 (IdP) 和雲端環境之間實作聯合
評估和認證雲端服務是否使用,以符合公司標準和組態管理。將企業標準封裝為自助服務可部署產品和消耗品服務,並持續改善。利用基礎設施即程式碼 (IaC)
完成以下章節中討論的任務需要您建置功能和團隊,讓您的組織發展為現代平台工程。如需技術詳細資訊,請參閱在白皮書上建立您的 Cloud Foundation AWS。
Start
建置登陸區域並部署護欄
當您開始成熟平台工程的旅程時,您必須先使用平台架構功能中定義的偵測性和預防性護欄來部署登陸區域。護欄可確保不會因為應用程式擁有者使用雲端資源而違反組織標準。透過此機制,您可以自動化帳戶佈建工作流程,以使用多個支援安全和控管目標的帳戶。 https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/governance-perspective.html
建立身分驗證
根據 AWS CAF 安全角度中規定的標準,在所有環境、系統、工作負載和程序中實作身分管理和存取控制
部署您的網路
根據您的平台架構設計,建立集中式網路帳戶,以控制進出您環境的傳入和傳出流量。我們建議您設計網路,以便在內部部署網路和 AWS 環境之間、網際網路之間以及整個 AWS 環境中快速佈建連線。集中網路管理可讓您部署網路控制,使用預防性和被動控制來隔離整個環境的網路和連線。
收集、彙總和保護事件和日誌資料
使用 Amazon CloudWatch 跨帳戶可觀測性。它提供統一的界面來搜尋、視覺化和分析連結帳戶的指標、日誌和追蹤,並消除帳戶界限。
如果您的組織有集中式日誌控制和安全性的特定合規要求,請考慮設定專用日誌封存帳戶。這提供專門用於日誌資料的集中式加密儲存庫。透過定期輪換加密金鑰來增強此封存的安全性。
實作保護敏感日誌資料的強大政策,並視需要使用遮罩技術。使用日誌彙總進行合規、安全性和稽核日誌,並確保使用嚴格的護欄和身分建構,以防止對日誌組態進行未經授權的變更。
建立控制項
根據 AWS CAF 安全角度的定義,部署符合您業務需求的基礎安全功能
實作雲端財務管理
根據 AWS CAF 治理的觀點,實作成本分配標籤和 AWS Cost Categories,使組織的標記策略與雲端消費的財務責任保持一致。 AWS Cost Categories可讓您使用 中發佈的 AWS Cost Explorer
進階
建置基礎設施自動化
在繼續之前,請評估和認證雲端服務是否使用 ,以符合您的平台架構。然後,以可部署產品和消耗性服務的形式封裝和持續改善企業標準,並使用基礎設施做為程式碼 (IaC),以宣告的方式定義組態。基礎設施自動化透過角色型存取控制 (RBAC) 或屬性型存取控制 (ABAC) 允許存取每個帳戶中的特定服務,來模擬軟體開發週期。部署方法以快速佈建新帳戶,並使用 APIs 或開發自助式功能,使其與您的服務和事件管理功能保持一致。在建立帳戶時自動化網路整合和 IP 配置,以確保合規性和網路安全。使用設定為使用 的原生連接器,將新帳戶與您的 IT 服務管理 (ITSM) 解決方案整合 AWS。視需要更新您的手冊和執行手冊。
提供集中式可觀測性服務
為了實現有效的雲端可觀測性,您的平台應支援本機和集中式日誌資料的即時搜尋和分析。隨著您的操作擴展,平台索引、視覺化和解譯日誌、指標和追蹤的能力,是將原始資料轉換為可行洞見的關鍵。
透過關聯日誌、指標和追蹤,您可以擷取可行的結論,並開發有針對性的明智回應。建立規則,允許主動回應日誌、指標或追蹤中識別的安全事件或模式。當您 AWS 的解決方案擴展時,請確定您的監控策略會串聯擴展,以維護和增強您的可觀測性功能。
實作系統管理和 AMI 控管
使用 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的組織廣泛需要操作工具來大規模管理執行個體。軟體資產管理、端點偵測和回應、庫存管理、漏洞管理和存取管理是許多組織的基礎功能。 這些功能通常透過安裝在執行個體上的軟體代理程式提供。開發將代理程式和其他自訂組態封裝到 Amazon Machine Image (AMIs) 的功能,並將這些 AMIs 提供給雲端平台的消費者。使用可控管這些 AMIs 使用的預防性和偵測性控制。AMIs 應包含可大規模管理長時間執行之 EC2 執行個體的工具,特別是不定期使用新 AMIs 的可變 Amazon EC2 工作負載。您可以使用 AWS Systems Manager 大規模自動化代理程式升級、收集系統庫存、遠端存取 EC2 執行個體,以及修補作業系統漏洞。
管理登入資料使用
根據 AWS CAF 安全的觀點,實作角色和臨時登入資料。使用工具透過使用預先安裝的代理程式來管理執行個體或內部部署系統的遠端存取,而不儲存秘密。減少對長期憑證的依賴,並掃描 IaC 範本中的硬式編碼憑證。如果您無法使用臨時登入資料,請使用應用程式字符和資料庫密碼等程式設計工具來自動化登入資料輪換和管理。使用 IaC 的最低權限原則來編碼使用者、群組和角色,並使用護欄防止手動建立身分帳戶。
建立安全工具
安全監控工具應支援跨基礎設施、應用程式和工作負載的精細安全監控,並提供彙總檢視以進行模式分析。與所有其他安全管理工具一樣,您應該擴展延伸偵測和回應 (XDR) 工具,以提供功能, AWS 根據 AWS CAF 安全觀點中定義的要求來評估、偵測、回應和修復 上的應用程式、資源和環境的安全性。
Excel
使用自動化來來源和分發身分建構
使用 IaC 工具來編碼和版本身分建構,例如角色、政策和範本。使用政策驗證工具來檢查安全警告、錯誤、一般警告、IAM 政策的建議變更,以及其他問題清單。在適當的情況下,部署和移除以自動化方式提供環境臨時存取權的身分建構,並禁止使用主控台的個人進行部署。
新增跨環境異常模式的偵測和提醒
主動評估已知漏洞的環境,並新增異常事件和活動模式的偵測。檢閱問題清單並向平台架構團隊提出建議,以取得可進一步提高效率和創新的變更。
分析威脅並建立模型
根據 AWS CAF 安全觀點的要求,針對產業和安全性基準實作持續監控和衡量。當您實作檢測方法時,請判斷哪些類型的事件資料和資訊最適合通知您的安全管理函數。此監控包含數個攻擊向量,包括服務使用量。您的安全基礎應包含跨多帳戶環境安全記錄和分析的全方位功能,包括關聯多個來源事件的能力。使用特定控制項和護欄防止變更此組態。
持續收集、檢閱和精簡許可
記錄身分角色和許可的變更,並在偵測護欄偵測到與您預期組態狀態的偏差時實作警示。使用彙總和模式識別工具來檢閱您的集中式事件集合,並視需要精簡許可。
選取、測量並持續改善您的平台指標
若要啟用成功的平台操作,請建立並定期檢閱完整的指標。確保它們符合組織目標和利益相關者需求。追蹤平台效能和改善指標,並使用團隊啟用和工具採用指標來結合營運參數,例如修補程式、備份和合規。
使用 CloudWatch 跨帳戶可觀測性進行高效率的指標管理。此服務可簡化資料彙總和視覺化,以啟用明智的決策和目標增強功能。使用這些指標作為成功指標和變革驅動因素,以培養持續改進的環境。
