Repositori kode untuk contoh AWS SRA - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Repositori kode untuk contoh AWS SRA

Mempengaruhi masa depan AWS Security Reference Architecture (AWS SRA) dengan mengambil survei singkat.

Untuk membantu Anda mulai membangun dan menerapkan panduan di AWS SRA, repositori infrastruktur sebagai kode (IAc) di https://github.com/aws-samples/aws-security-reference-architecture-examples menyertai panduan ini. Repositori ini berisi kode untuk membantu pengembang dan insinyur menyebarkan beberapa panduan dan pola arsitektur yang disajikan dalam dokumen ini. Kode ini diambil dari pengalaman langsung konsultan AWS Professional Services dengan pelanggan. Template bersifat umum―tujuannya adalah untuk mengilustrasikan pola implementasi daripada memberikan solusi lengkap. Konfigurasi layanan AWS dan penerapan sumber daya sengaja sangat membatasi. Anda mungkin perlu memodifikasi dan menyesuaikan solusi ini agar sesuai dengan kebutuhan lingkungan dan keamanan Anda.

Repositori kode AWS SRA menyediakan contoh kode dengan opsi penerapan AWS CloudFormation dan Terraform. Pola solusi mendukung dua lingkungan: satu memerlukan AWS Control Tower dan yang lainnya menggunakan AWS Organizations tanpa AWS Control Tower. Solusi dalam repositori ini yang memerlukan AWS Control Tower telah diterapkan dan diuji dalam lingkungan AWS Control Tower dengan menggunakan AWS CloudFormation dan Kustomisasi untuk AWS Control Tower (CFCT). Solusi yang tidak memerlukan AWS Control Tower telah diuji dalam lingkungan AWS Organizations dengan menggunakan AWS CloudFormation. Solusi CFCT membantu pelanggan dengan cepat menyiapkan lingkungan AWS multi-akun yang aman berdasarkan praktik terbaik AWS. Ini membantu menghemat waktu dengan mengotomatiskan pengaturan lingkungan untuk menjalankan beban kerja yang aman dan terukur sambil menerapkan dasar keamanan awal melalui pembuatan akun dan sumber daya. AWS Control Tower juga menyediakan lingkungan dasar untuk memulai arsitektur multi-akun, manajemen identitas dan akses, tata kelola, keamanan data, desain jaringan, dan pencatatan. Solusi dalam repositori AWS SRA menyediakan konfigurasi keamanan tambahan untuk mengimplementasikan pola yang dijelaskan dalam dokumen ini.

Berikut adalah ringkasan solusi di repositori AWS SRA. Setiap solusi menyertakan file README.md dengan detail. 

  • Solusi CloudTrail Organisasi membuat jejak organisasi dalam akun Manajemen Org dan mendelegasikan administrasi ke akun anggota seperti akun Audit atau Perkakas Keamanan. Jejak ini dienkripsi dengan kunci terkelola pelanggan yang dibuat di akun Security Tooling dan mengirimkan log ke bucket S3 di akun Arsip Log. Secara opsional, peristiwa data dapat diaktifkan untuk fungsi Amazon S3 dan AWS Lambda. Jejak organisasi mencatat peristiwa untuk semua akun AWS di organisasi AWS sambil mencegah akun anggota memodifikasi konfigurasi.

  • Solusi GuardDuty Organisasi memungkinkan Amazon GuardDuty dengan mendelegasikan administrasi ke akun Security Tooling. Ini mengonfigurasi GuardDuty dalam akun Security Tooling untuk semua akun organisasi AWS yang ada dan yang akan datang. GuardDutyTemuan ini juga dienkripsi dengan kunci KMS dan dikirim ke bucket S3 di akun Log Archive.

  • Solusi Organisasi Security Hub mengonfigurasi AWS Security Hub dengan mendelegasikan administrasi ke akun Security Tooling. Ini mengonfigurasi Security Hub dalam akun Security Tooling untuk semua akun organisasi AWS yang ada dan yang akan datang. Solusi ini juga menyediakan parameter untuk menyinkronkan standar keamanan yang diaktifkan di semua akun dan Wilayah serta mengonfigurasi agregator Wilayah dalam akun Security Tooling. Memusatkan Security Hub dalam akun Security Tooling memberikan tampilan lintas akun tentang kepatuhan dan temuan standar keamanan dari layanan AWS dan integrasi AWS Partner pihak ketiga.

  • Solusi Inspector mengonfigurasi Amazon Inspector dalam akun administrator yang didelegasikan (Security Tooling) untuk semua akun dan Wilayah yang diatur di bawah organisasi AWS.

  • Solusi Firewall Manager mengonfigurasi kebijakan keamanan AWS Firewall Manager dengan mendelegasikan administrasi ke akun Security Tooling dan mengonfigurasi Firewall Manager dengan kebijakan grup keamanan dan beberapa kebijakan AWS WAF. Kebijakan grup keamanan memerlukan grup keamanan maksimum yang diizinkan dalam VPC (ada atau dibuat oleh solusi), yang digunakan oleh solusi.

  • Solusi Organisasi Macie memungkinkan Amazon Macie dengan mendelegasikan administrasi ke akun Security Tooling. Ini mengonfigurasi Macie dalam akun Security Tooling untuk semua akun organisasi AWS yang ada dan yang akan datang. Macie selanjutnya dikonfigurasi untuk mengirim hasil penemuannya ke bucket S3 pusat yang dienkripsi dengan kunci KMS.

  • AWS Config

  • IAM

    • Solusi Access Analyzer memungkinkan AWS IAM Access Analyzer dengan mendelegasikan administrasi ke akun Security Tooling. Kemudian mengonfigurasi Access Analyzer tingkat organisasi dalam akun Security Tooling untuk semua akun yang ada dan yang akan datang di organisasi AWS. Solusi ini juga menerapkan Access Analyzer ke semua akun anggota dan Wilayah untuk mendukung analisis izin tingkat akun.

    • Solusi Kebijakan Kata Sandi IAM memperbarui kebijakan kata sandi akun AWS dalam semua akun di organisasi AWS. Solusi ini menyediakan parameter untuk mengonfigurasi pengaturan kebijakan kata sandi untuk membantu Anda menyelaraskan dengan standar kepatuhan industri.

  • Solusi Enkripsi EBS Default EC2 memungkinkan enkripsi Amazon EBS default tingkat akun dalam setiap akun AWS dan Wilayah AWS di organisasi AWS. Ini memberlakukan enkripsi volume dan snapshot EBS baru yang Anda buat. Misalnya, Amazon EBS mengenkripsi volume EBS yang dibuat saat Anda meluncurkan instance dan snapshot yang Anda salin dari snapshot yang tidak terenkripsi.

  • Solusi Akses Publik Akun Blok S3 memungkinkan pengaturan tingkat akun Amazon S3 dalam setiap akun AWS di organisasi AWS. Fitur Blokir Akses Publik Amazon S3 menyediakan pengaturan untuk titik akses, bucket, dan akun untuk membantu Anda mengelola akses publik ke sumber daya Amazon S3. Secara bawaan, bucket baru, titik akses, dan objek baru tidak mengizinkan akses publik. Namun, pengguna dapat memodifikasi kebijakan bucket, kebijakan titik akses, atau izin objek untuk memungkinkan akses publik. Amazon S3 Blokir Pengaturan Akses Publik mengesampingkan kebijakan dan izin ini sehingga Anda dapat membatasi akses publik ke sumber daya ini.

  • Solusi Organisasi Detektif mengotomatiskan mengaktifkan Amazon Detective dengan mendelegasikan administrasi ke akun (seperti akun Audit atau Security Tooling) dan mengonfigurasi Detective untuk semua akun AWS Organization yang ada dan yang akan datang.

  • Solusi Shield Advanced mengotomatiskan penerapan AWS Shield Advanced untuk memberikan perlindungan DDoS yang disempurnakan untuk aplikasi Anda di AWS.

  • Solusi AMI Bakery Organization membantu mengotomatiskan proses pembuatan dan pengelolaan gambar Amazon Machine Image (AMI) standar yang diperkeras. Ini memastikan konsistensi dan keamanan di seluruh instans AWS Anda, serta menyederhanakan tugas penerapan dan pemeliharaan.