本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 平台工程
**使用封裝、可重複使用的雲端產品,建置安全且合規的多帳戶雲端環境。**
為了讓開發團隊能夠支援創新,平台需要快速調整以因應業務需求。(請參閱 [AWS CAF Business 的觀點](https://docs.aws.amazon.com/whitepapers/latest/aws-caf-business-perspective/aws-caf-business-perspective.html)。) 它必須這樣做, 同時具有足夠彈性以適應產品管理需求、足夠嚴格以遵守安全限制,以及足夠快速以啟用營運需求。此程序需要建置具有增強安全性功能的 合規多帳戶雲端環境,以及封裝、可重複使用的雲端產品。
有效的雲端環境可讓您的團隊輕鬆佈建新帳戶,同時確保這些帳戶符合組織政策。一組精選的雲端產品可讓您編寫最佳實務、協助您管理,並協助提高雲端部署的速度和一致性。部署您的最佳實務藍圖,以及偵測和預防性[護欄](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-lens/controlsandguardrails.html)。[整合](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-lens/networkconnectivity.html)您的雲端環境與現有的環境,以啟用所需的混合雲端使用案例。
自動化帳戶佈建工作流程,並使用[多個帳戶](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)來支援您的安全和控管目標。設定內部部署和雲端環境之間以及不同雲端帳戶之間的連線。在現有身分提供者 (IdP) 和雲端環境之間實作[聯合](https://aws.amazon.com/single-sign-on/),讓使用者可以使用其現有的登入憑證進行身分驗證。集中記錄、建立跨帳戶安全稽核、建立傳入和傳出 DNS 解析程式,以及取得您帳戶和護欄的儀表板可見性。
評估和認證雲端服務的耗用量,以符合公司標準和組態管理。將企業標準封裝為自助式可部署產品和消耗品服務,並持續改善。利用[基礎設施即程式碼 (IaC)](https://aws.amazon.com/cloudformation/) 以宣告方式定義組態。建立支援團隊,將平台傳播給開發人員和商業使用者,並讓他們能夠建置整合,以加速整個組織的採用。
完成以下章節中討論的任務需要您建置[功能](https://docs.aws.amazon.com/whitepapers/latest/establishing-your-cloud-foundation-on-aws/capabilities.html)和團隊,讓您的組織發展為現代平台工程。如需技術詳細資訊,請參閱在白皮書[上建立您的雲端基礎 AWS](https://docs.aws.amazon.com/whitepapers/latest/establishing-your-cloud-foundation-on-aws/welcome.html)。
## Start
### 建置登陸區域並部署護欄
當您開始成熟平台工程的旅程時,您必須先使用平台架構功能中定義的偵測性和預防性護欄來部署[登陸區域](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/understanding-landing-zones.html)。護欄可確保不會因為應用程式擁有者使用雲端資源而違反組織標準。透過此機制,您可以自動化帳戶佈建工作流程,以使用[多個支援安全和控管目標的帳戶](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html)。 [https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html) [https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/governance-perspective.html](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/governance-perspective.html)
### 建立身分驗證
根據 [AWS CAF 安全角度](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html)中規定的標準,在所有環境、系統、工作負載和程序中實作[身分管理和存取控制](https://aws.amazon.com/solutions/guidance/identity-management-and-access-control-on-aws)。對於人力身分,請限制 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 使用者的使用,並改用可讓您在集中位置管理身分的身分提供者。這可讓您更輕鬆地管理多個應用程式與服務的存取權,因為您是從單一位置建立、管理和撤銷存取權。使用現有程序來管理建立、更新和移除存取權,以包含您的 AWS 環境。
### 部署您的網路
根據您的[平台架構](platform-arch.md)設計,建立[集中式網路帳戶](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/infrastructure-ou-and-accounts.html#network-account),以控制進出您環境的傳入和傳出流量。我們建議您設計網路,以便在內部部署網路和 AWS 環境之間、網際網路之間以及整個 AWS 環境中快速佈建連線。集中網路管理可讓您部署網路控制,透過使用預防性和被動控制來隔離整個環境的網路和連線。
### 收集、彙總和保護事件和日誌資料
使用 [Amazon CloudWatch 跨帳戶可觀測性](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)。它提供統一的界面來搜尋、視覺化和分析連結帳戶的指標、日誌和追蹤,並消除帳戶界限。
如果您的組織有集中式日誌控制和安全性的特定合規要求,請考慮設定專用[日誌封存帳戶](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account)。這提供專門用於日誌資料的集中式加密儲存庫。透過定期輪換加密金鑰來增強此封存的安全性。
實作保護敏感日誌資料的強大政策,並視需要使用[遮罩技術](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/mask-sensitive-log-data.html)。將日誌彙總用於合規、安全性和稽核日誌,並確保使用嚴格的護欄和身分建構,以防止對日誌組態進行未經授權的變更。
### 建立控制項
根據 [AWS CAF 安全角度](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html)的定義,部署符合您業務需求的基礎[安全功能](https://aws.amazon.com/architecture/cloud-foundations/security-capabilities/)。部署額外的[預防性](https://docs.aws.amazon.com/prescriptive-guidance/latest/aws-security-controls/preventative-controls.html)和[偵測性控制](https://docs.aws.amazon.com/prescriptive-guidance/latest/aws-security-controls/detective-controls.html),並視需要以程式設計方式和一致地在您的所有帳戶中佈建這些控制。將偵測性控制整合到平台架構功能定義的操作工具中,以便操作機制可以檢閱不合規的資源。
### 實作雲端財務管理
根據 [AWS CAF 治理的觀點](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/governance-perspective.html),實作成本分配標籤和 AWS Cost Categories,使組織的標記策略符合雲端消費的財務責任。 AWS Cost Categories可讓您使用 中發佈的 [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/)和 帳單資料等工具,向內部成本中心收費或顯示雲端費用[AWS Cost and Usage Report](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html)。
## 進階
### 建置基礎設施自動化
在繼續之前,請評估和認證雲端服務,以符合您的[平台架構](platform-arch.md)。然後,將企業標準封裝並持續改善為可部署產品和消耗性服務,並使用基礎設施做為程式碼 (IaC),以宣告的方式定義組態。基礎設施自動化透過角色型存取控制 (RBAC) 或屬性型存取控制 (ABAC) 允許存取每個帳戶中的特定服務,來模擬軟體開發週期。部署方法以快速佈建新帳戶,並使用 APIs 或開發自助式功能,使其與您的服務和事件管理功能保持一致。在建立帳戶時自動化網路整合和 IP 配置,以確保合規性和網路安全。使用設定為使用 的原生連接器,將新帳戶與您的 IT 服務管理 (ITSM) 解決方案整合 AWS。視需要更新您的手冊和執行手冊。
### 提供集中式可觀測性服務
為了實現有效的[雲端可觀測性](https://docs.aws.amazon.com/whitepapers/latest/aws-caf-operations-perspective/observability.html),您的平台應支援本機和集中式日誌資料的即時搜尋和分析。隨著您的操作擴展,平台索引、視覺化和解譯日誌、指標和追蹤的能力,是將原始資料轉換為可行洞見的關鍵。
透過關聯日誌、指標和追蹤,您可以擷取可行的結論,並開發有針對性的明智回應。建立規則,允許主動回應日誌、指標或追蹤中識別的安全事件或模式。當您 AWS 的解決方案擴展時,請確定您的監控策略會串聯擴展,以維護和增強您的可觀測性功能。
### 實作系統管理和 AMI 控管
使用 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的組織廣泛需要操作工具來大規模管理執行個體。軟體資產管理、端點偵測和回應、庫存管理、漏洞管理和存取管理是許多組織的基礎功能。 這些功能通常透過安裝在執行個體上的軟體代理程式提供。開發將代理程式和其他自訂組態封裝到 Amazon Machine Image (AMIs) 的功能,並將這些 AMIs 提供給雲端平台的消費者。使用可控管這些 AMIs 使用的預防性和偵測性控制。AMIs 應包含可大規模管理長時間執行之 EC2 執行個體的工具,特別是不定期使用新 AMIs 的可變 Amazon EC2 工作負載。您可以使用 [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html) 大規模自動化代理程式升級、收集系統庫存、遠端存取 EC2 執行個體,以及修補作業系統漏洞。
### 管理登入資料使用
根據 [AWS CAF 安全的觀點,](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html)實作角色和臨時登入資料。使用工具透過使用預先安裝的代理程式來管理執行個體或內部部署系統的遠端存取,而不儲存秘密。減少對長期憑證的依賴,並掃描 IaC 範本中的硬式編碼憑證。如果您無法使用臨時登入資料,請使用應用程式字符和資料庫密碼等程式設計工具來自動化登入資料輪換和管理。使用 IaC 的最低權限原則來編碼使用者、群組和角色,並使用護欄防止手動建立身分帳戶。
### 建立安全工具
安全監控工具應支援跨基礎設施、應用程式和工作負載的精細安全監控,並提供彙總檢視以進行模式分析。與所有其他安全管理工具一樣,您應該擴展延伸偵測和回應 (XDR) 工具,以提供功能, AWS 以根據 [AWS CAF 安全觀點中定義的要求來評估、偵測、回應和修復 上的應用程式、資源和環境的安全性](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html)。
## Excel
### 使用自動化來來源和分發身分建構
Codify 和版本身分建構,例如使用 IaC 工具的角色、政策和範本。使用政策 驗證工具來檢查安全警告、錯誤、一般警告、IAM 政策的建議變更,以及其他問題清單。在適當的情況下,部署和移除以自動化方式提供環境臨時存取權的身分建構,並禁止使用主控台的個人進行部署。
### 針對跨環境的異常模式新增偵測和提醒
主動評估環境是否有已知漏洞,並新增異常事件和活動模式的偵測。檢閱問題清單並向平台架構團隊提出建議,以取得可進一步提高效率和創新的變更。
### 分析威脅並建立模型
根據 [AWS CAF Security 觀點](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html)的要求,針對產業和安全性基準實作持續監控和衡量。當您實作檢測方法時,請判斷哪些類型的事件資料和資訊最適合通知您的安全管理函數。此監控包含數個攻擊向量,包括服務使用量。您的安全基礎應包含跨多帳戶環境進行安全記錄和分析的全方位功能,其中包含關聯來自多個來源事件的能力。使用特定控制項和護欄防止變更此組態。
### 持續收集、檢閱和精簡許可
記錄身分角色和許可的變更,並在偵測護欄偵測到與您預期組態狀態的偏差時實作警示。使用彙總和模式識別工具來檢閱您的集中式事件集合,並視需要精簡許可。
### 選取、測量並持續改善您的平台指標
若要啟用成功的平台操作,請建立並定期檢閱完整的指標。確保它們符合組織目標和利益相關者需求。追蹤平台效能和改善指標,並使用團隊啟用和工具採用指標來結合修補程式、備份和合規等操作參數。
使用 [CloudWatch 跨帳戶可觀測性](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)進行有效率的指標管理。此服務可簡化資料彙總和視覺化 ,以啟用明智的決策和目標增強功能。使用這些指標作為成功指標和變革驅動因素,以培養持續改進的環境。