Référentiel de code pour les AWS SRA exemples - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Référentiel de code pour les AWS SRA exemples

Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête.

Pour vous aider à commencer à créer et à mettre en œuvre les conseils contenus dans le AWSSRA, un référentiel d'infrastructure en tant que code (IaC) sur https://github.com/aws-samples/aws-security-reference-architecture-examples accompagne ce guide. Ce référentiel contient du code destiné à aider les développeurs et les ingénieurs à déployer certains des conseils et modèles d'architecture présentés dans ce document. Ce code est tiré de l'expérience directe des consultants en services AWS professionnels avec les clients. Les modèles sont de nature générale : leur objectif est d'illustrer un modèle de mise en œuvre plutôt que de fournir une solution complète. Les configurations des AWS services et les déploiements de ressources sont délibérément très restrictifs. Vous devrez peut-être modifier et adapter ces solutions en fonction de votre environnement et de vos besoins en matière de sécurité.

Le référentiel de AWS SRA code fournit des exemples de code avec les options de déploiement à la fois AWS CloudFormation et Terraform. Les modèles de solution prennent en charge deux environnements : l'un nécessite AWS Control Tower et l'autre utilise AWS Organizations without AWS Control Tower. Les solutions de ce référentiel qui nécessitent AWS Control Tower ont été déployées et testées dans un environnement AWS Control Tower en utilisant AWS CloudFormation et Customizations for AWS Control Tower (CfCT). Les solutions qui ne nécessitent pas AWS de Control Tower ont été testées dans un environnement AWS Organizations en utilisant AWS CloudFormation. La solution CfCT aide les clients à configurer rapidement un AWS environnement multi-comptes sécurisé basé sur les AWS meilleures pratiques. Il permet de gagner du temps en automatisant la configuration d'un environnement permettant d'exécuter des charges de travail sécurisées et évolutives tout en mettant en œuvre une base de sécurité initiale via la création de comptes et de ressources. AWSControl Tower fournit également un environnement de base pour démarrer avec une architecture multi-comptes, la gestion des identités et des accès, la gouvernance, la sécurité des données, la conception du réseau et la journalisation. Les solutions du AWS SRA référentiel fournissent des configurations de sécurité supplémentaires pour implémenter les modèles décrits dans ce document.

Voici un résumé des solutions du AWSSRAréférentiel. Chaque solution inclut un fichier README .md contenant des informations détaillées. 

  • La solution CloudTrail Organization crée un suivi de l'organisation dans le compte de gestion de l'organisation et délègue l'administration à un compte membre tel que le compte Audit ou Security Tooling. Ce journal est chiffré à l'aide d'une clé gérée par le client créée dans le compte Security Tooling et transmet les journaux à un compartiment S3 du compte Log Archive. Les événements de données peuvent éventuellement être activés pour les fonctions Amazon S3 et AWS Lambda. Un journal d'organisation enregistre les événements pour tous les AWS comptes de l'AWSorganisation tout en empêchant les comptes des membres de modifier les configurations.

  • La solution GuardDuty Organization active Amazon GuardDuty en déléguant l'administration au compte Security Tooling. Il est configuré GuardDuty dans le compte Security Tooling pour tous les comptes d'AWSorganisation existants et futurs. Les GuardDuty résultats sont également chiffrés à l'aide d'une KMS clé et envoyés vers un compartiment S3 du compte Log Archive.

  • La solution Security Hub Organization configure AWS Security Hub en déléguant l'administration au compte Security Tooling. Il configure Security Hub dans le compte Security Tooling pour tous les comptes d'AWSorganisation existants et futurs. La solution fournit également des paramètres pour synchroniser les normes de sécurité activées sur tous les comptes et régions, ainsi que pour configurer un agrégateur de régions au sein du compte Security Tooling. La centralisation de Security Hub au sein du compte Security Tooling fournit une vue multicompte de la conformité aux normes de sécurité et des résultats issus des AWS services et des intégrations de partenaires tiersAWS.

  • La solution Inspector configure Amazon Inspector au sein du compte administrateur délégué (Security Tooling) pour tous les comptes et régions gouvernées au sein de l'AWSorganisation.

  • La solution Firewall Manager configure les politiques de sécurité de AWS Firewall Manager en déléguant l'administration au compte Security Tooling et en configurant Firewall Manager avec une stratégie de groupe de sécurité et plusieurs politiques. AWS WAF La politique des groupes de sécurité exige un groupe de sécurité maximal autorisé au sein d'un groupe VPC (existant ou créé par la solution), qui est déployé par la solution.

  • La solution Macie Organization active Amazon Macie en déléguant l'administration au compte Security Tooling. Il configure Macie dans le compte Security Tooling pour tous les comptes d'organisation existants et futurs. AWS Macie est en outre configuré pour envoyer les résultats de sa découverte à un compartiment S3 central chiffré à l'aide d'une KMS clé.

  • AWSConfig

    • La solution Config Aggregator configure un agrégateur AWS Config en déléguant l'administration au compte Security Tooling. La solution configure ensuite un agrégateur AWS Config dans le compte Security Tooling pour tous les comptes existants et futurs de l'organisation. AWS

    • La solution Conformance Pack Organization Rules déploie les règles AWS Config en déléguant l'administration au compte Security Tooling. Il crée ensuite un pack de conformité d'organisation dans le compte d'administrateur délégué pour tous les comptes existants et futurs de l'AWSorganisation. La solution est configurée pour déployer le modèle d'exemple de pack de conformité aux meilleures pratiques opérationnelles pour le chiffrement et la gestion des clés.

    • La solution AWSConfig Control Tower Management Account active le compte de gestion AWS Config in the AWS Control Tower et met à jour l'agrégateur AWS Config dans le compte Security Tooling en conséquence. La solution utilise le CloudFormation modèle AWS Control Tower pour activer AWS Config comme référence afin de garantir la cohérence avec les autres comptes de l'AWSorganisation.

  • IAM

    • La solution Access Analyzer active AWS IAM Access Analyzer en déléguant l'administration au compte Security Tooling. Il configure ensuite un analyseur d'accès au niveau de l'organisation dans le compte Security Tooling pour tous les comptes existants et futurs de l'organisation. AWS La solution déploie également Access Analyzer sur tous les comptes membres et régions afin de faciliter l'analyse des autorisations au niveau des comptes.

    • La solution IAMPassword Policy met à jour la AWS politique de mot de passe des comptes pour tous les comptes d'une AWS organisation. La solution fournit des paramètres permettant de configurer les paramètres de politique de mot de passe afin de vous aider à vous aligner sur les normes de conformité du secteur.

  • La solution de EBSchiffrement EC2 par défaut permet le EBS chiffrement Amazon par défaut au niveau du compte au sein de chaque AWS compte et de chaque AWS région de l'AWSorganisation. Il applique le chiffrement des nouveaux EBS volumes et instantanés que vous créez. Par exemple, Amazon EBS chiffre les EBS volumes créés lorsque vous lancez une instance et les instantanés que vous copiez à partir d'un instantané non chiffré.

  • La solution S3 Block Account Public Access active les paramètres au niveau du compte Amazon S3 au sein de chaque AWS compte de l'AWSorganisation. La fonction du blocage de l'accès public Amazon S3 fournit des paramètres pour les points d'accès, les compartiments et les comptes afin de vous aider à gérer l'accès public aux ressources Amazon S3. Par défaut, les nouveaux compartiments, points d'accès et objets n'autorisent pas l'accès public. Toutefois, les utilisateurs peuvent modifier les stratégies de compartiment, les stratégies de point d'accès ou les autorisations d'objet pour autoriser l'accès public. Les paramètres de blocage de l'accès public d'Amazon S3 remplacent ces politiques et autorisations afin que vous puissiez limiter l'accès public à ces ressources.

  • La solution Detective Organization automatise l'activation d'Amazon Detective en déléguant l'administration à un compte (tel que le compte Audit ou Security Tooling) et en configurant Detective pour tous les comptes Organization existants et futursAWS.

  • La solution Shield Advanced automatise le déploiement de AWS Shield Advanced afin d'améliorer DDoS la protection de vos applications surAWS.

  • La solution AMIBakery Organization permet d'automatiser le processus de création et de gestion d'images Amazon Machine Image (AMI) standard et renforcées. Cela garantit la cohérence et la sécurité de vos AWS instances et simplifie les tâches de déploiement et de maintenance.

  • La solution Patch Manager permet de rationaliser la gestion des correctifs sur plusieurs AWS comptes. Vous pouvez utiliser cette solution pour mettre à jour l'agent AWS Systems Manager (SSMAgent) sur toutes les instances gérées, ainsi que pour scanner et installer des correctifs de sécurité et des corrections de bogues critiques et importants sur les instances étiquetées Windows et Linux. La solution configure également le paramètre de configuration de gestion d'hôte par défaut pour détecter la création de nouveaux AWS comptes et déployer automatiquement la solution sur ces comptes.