Nilai dari AWS SRA - AWS Bimbingan Preskriptif
Cara menggunakan AWS SRAPedoman implementasi utama dari AWS SRA

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Nilai dari AWS SRA

Mempengaruhi future of the AWS Security Reference Architecture (AWS SRA) dengan mengambil survei singkat.

AWSmemiliki serangkaian layanan keamanan dan keamanan yang besar (dan terus berkembang). Pelanggan telah menyatakan penghargaan atas informasi terperinci yang tersedia melalui dokumentasi layanan kami, posting blog, tutorial, pertemuan puncak, dan konferensi. Mereka juga memberi tahu kami bahwa mereka ingin lebih memahami gambaran besar dan mendapatkan pandangan strategis tentang layanan AWS keamanan. Ketika kami bekerja dengan pelanggan untuk mendapatkan apresiasi yang lebih dalam atas apa yang mereka butuhkan, tiga prioritas muncul:

  • Pelanggan menginginkan informasi lebih lanjut dan pola yang direkomendasikan untuk bagaimana mereka dapat menyebarkan, mengkonfigurasi, dan mengoperasikan layanan AWS keamanan secara holistik. Di akun mana dan ke arah tujuan keamanan mana layanan harus digunakan dan dikelola?  Apakah ada satu akun keamanan di mana semua atau sebagian besar layanan harus beroperasi?  Bagaimana pilihan lokasi (unit organisasi atau AWS akun) menginformasikan tujuan keamanan? Trade-off (pertimbangan desain) mana yang harus diperhatikan pelanggan?

  • Pelanggan tertarik untuk melihat perspektif yang berbeda untuk secara logis mengatur banyak layanan AWS keamanan. Di luar fungsi utama setiap layanan (misalnya, layanan identitas atau layanan logging), sudut pandang alternatif ini membantu pelanggan merencanakan, merancang, dan mengimplementasikan arsitektur keamanan mereka. Contoh yang dibagikan nanti dalam panduan ini mengelompokkan layanan berdasarkan lapisan perlindungan yang selaras dengan struktur AWS lingkungan yang direkomendasikan.

  • Pelanggan mencari panduan dan contoh untuk mengintegrasikan layanan keamanan dengan cara yang paling efektif. Misalnya, bagaimana cara terbaik mereka menyelaraskan dan menghubungkan AWS Config dengan layanan lain untuk melakukan pekerjaan berat dalam jalur audit dan pemantauan otomatis?  Pelanggan meminta panduan tentang bagaimana setiap layanan AWS keamanan mengandalkan, atau mendukung, layanan keamanan lainnya.

Kami membahas masing-masing ini di AWSSRA. Prioritas pertama dalam daftar (ke mana perginya) adalah fokus diagram arsitektur utama dan diskusi yang menyertainya dalam dokumen ini. Kami menyediakan arsitektur AWS Organizations yang direkomendasikan dan account-by-account deskripsi layanan mana yang digunakan.  Untuk memulai dengan prioritas kedua dalam daftar (bagaimana memikirkan rangkaian lengkap layanan keamanan), baca bagian, Terapkan layanan keamanan di seluruh AWS organisasi Anda. Bagian ini menjelaskan cara untuk mengelompokkan layanan keamanan sesuai dengan struktur elemen dalam AWS organisasi Anda. Selain itu, ide-ide yang sama tercermin dalam diskusi tentang akun Aplikasi, yang menyoroti bagaimana layanan keamanan dapat dioperasikan untuk fokus pada lapisan akun tertentu: instance Amazon Elastic Compute Cloud (AmazonEC2), Amazon Virtual Private Cloud (AmazonVPC) jaringan, dan akun yang lebih luas. Akhirnya, prioritas ketiga (integrasi layanan) tercermin di seluruh pedoman — terutama dalam diskusi layanan individu di bagian mendalam akun dokumentasi ini dan kode dalam repositori kode. AWS SRA

Cara menggunakan AWS SRA

Ada berbagai cara untuk menggunakan AWS SRA tergantung di mana Anda berada dalam perjalanan adopsi cloud Anda. Berikut adalah daftar cara untuk mendapatkan wawasan paling banyak dari AWS SRA aset (diagram arsitektur, panduan tertulis, dan contoh kode).

  • Tentukan status target untuk arsitektur keamanan Anda sendiri.

Apakah Anda baru memulai perjalanan AWS Cloud Anda — menyiapkan kumpulan akun pertama Anda — atau berencana untuk meningkatkan AWS lingkungan yang sudah mapan, AWS SRA inilah tempat untuk mulai membangun arsitektur keamanan Anda. Mulailah dengan fondasi komprehensif struktur akun dan layanan keamanan, dan kemudian sesuaikan berdasarkan tumpukan teknologi, keterampilan, tujuan keamanan, dan persyaratan kepatuhan khusus Anda. Jika Anda tahu Anda akan membangun dan meluncurkan lebih banyak beban kerja, Anda dapat mengambil versi kustom Anda AWS SRA dan menggunakannya sebagai dasar untuk arsitektur referensi keamanan organisasi Anda. Untuk mengetahui bagaimana Anda dapat mencapai status target yang dijelaskan oleh AWSSRA, lihat bagian Membangun arsitektur keamanan Anda — Pendekatan bertahap.

  • Tinjau (dan revisi) desain dan kemampuan yang telah Anda terapkan.

Jika Anda sudah memiliki desain dan implementasi keamanan, ada baiknya meluangkan waktu untuk membandingkan apa yang Anda miliki dengan AWSSRA. AWSSRAIni dirancang untuk menjadi komprehensif dan menyediakan dasar diagnostik untuk meninjau keamanan Anda sendiri. Di mana desain keamanan Anda selaras dengan AWSSRA, Anda dapat merasa lebih yakin bahwa Anda mengikuti praktik terbaik saat menggunakan AWS layanan. Jika desain keamanan Anda berbeda atau bahkan tidak setuju dengan panduan dalam AWSSRA, ini tidak selalu merupakan tanda bahwa Anda melakukan sesuatu yang salah. Sebaliknya, pengamatan ini memberi Anda kesempatan untuk meninjau proses keputusan Anda. Ada alasan bisnis dan teknologi yang sah mengapa Anda mungkin menyimpang dari praktik AWS SRA terbaik. Mungkin kepatuhan khusus, peraturan, atau persyaratan keamanan organisasi Anda memerlukan konfigurasi layanan tertentu. Atau, alih-alih menggunakan AWS layanan, Anda mungkin memiliki preferensi fitur untuk produk dari Jaringan AWS Mitra atau aplikasi khusus yang Anda buat dan kelola. Terkadang, selama tinjauan ini, Anda mungkin menemukan bahwa keputusan Anda sebelumnya dibuat berdasarkan teknologi, AWS fitur, atau kendala bisnis lama yang tidak lagi berlaku. Ini adalah kesempatan yang baik untuk meninjau, memprioritaskan pembaruan apa pun, dan menambahkannya ke tempat yang sesuai dari backlog teknik Anda. Apa pun yang Anda temukan saat Anda menilai arsitektur keamanan Anda dalam terang AWSSRA, Anda akan merasa berharga untuk mendokumentasikan analisis itu. Memiliki catatan sejarah keputusan dan pembenarannya dapat membantu menginformasikan dan memprioritaskan keputusan masa depan.

  • Bootstrap implementasi arsitektur keamanan Anda sendiri.

Modul AWS SRA Infrastructure as code (IAc) menyediakan cara yang cepat dan andal untuk mulai membangun dan menerapkan arsitektur keamanan Anda. Modul-modul ini dijelaskan lebih dalam di bagian repositori kode dan di repositori publik GitHub . Mereka tidak hanya memungkinkan para insinyur untuk membangun contoh pola berkualitas tinggi dalam AWS SRA panduan, tetapi mereka juga menggabungkan kontrol keamanan yang direkomendasikan seperti kebijakan kata sandi AWS Identity and Access Management (IAM), Amazon Simple Storage Service (Amazon S3) memblokir akses publik akun, enkripsi Amazon Elastic Block Store (Amazon) EC2 default EBS Amazon, dan integrasi dengan Control AWS Tower sehingga kontrol diterapkan atau dihapus sebagai akun AWS baru berada di atas kapal atau dinonaktifkan.

  • Pelajari lebih lanjut tentang layanan dan kemampuan AWS keamanan.

Panduan dan diskusi di dalamnya AWS SRA mencakup fitur-fitur penting serta pertimbangan penerapan dan manajemen untuk AWS keamanan individu dan layanan terkait keamanan. Salah satu fitur dari AWS SRA ini adalah bahwa ia memberikan pengenalan tingkat tinggi untuk luasnya layanan AWS keamanan dan bagaimana mereka bekerja sama dalam lingkungan multi-akun. Ini melengkapi penyelaman mendalam ke dalam fitur dan konfigurasi untuk setiap layanan yang ditemukan di sumber lain. Salah satu contohnya adalah diskusi tentang bagaimana AWS Security Hub menyerap temuan keamanan dari berbagai AWS layanan, produk AWS Mitra, dan bahkan aplikasi Anda sendiri.

  • Mendorong diskusi tentang tata kelola organisasi dan tanggung jawab untuk keamanan.

Elemen penting dalam merancang dan menerapkan arsitektur atau strategi keamanan apa pun adalah memahami siapa di organisasi Anda yang memiliki tanggung jawab terkait keamanan. Misalnya, pertanyaan tentang di mana mengumpulkan dan memantau temuan keamanan terkait dengan pertanyaan tim mana yang akan bertanggung jawab atas aktivitas tersebut. Apakah semua temuan di seluruh organisasi dipantau oleh tim pusat yang membutuhkan akses ke akun Security Tooling khusus? Atau apakah tim aplikasi individu (atau unit bisnis) bertanggung jawab atas kegiatan pemantauan tertentu dan oleh karena itu memerlukan akses ke alat peringatan dan pemantauan tertentu? Sebagai contoh lain, jika organisasi Anda memiliki grup yang mengelola semua kunci enkripsi secara terpusat, itu akan memengaruhi siapa yang memiliki izin untuk membuat AWS kunci Layanan Manajemen Kunci (AWSKMS) dan akun mana kunci tersebut akan dikelola. Memahami karakteristik organisasi Anda — berbagai tim dan tanggung jawab — akan membantu Anda menyesuaikan yang paling sesuai dengan kebutuhan Anda. AWS SRA Sebaliknya, terkadang pembahasan arsitektur keamanan menjadi dorongan untuk membahas tanggung jawab organisasi yang ada dan mempertimbangkan potensi perubahan. AWSmerekomendasikan proses pengambilan keputusan yang terdesentralisasi di mana tim beban kerja bertanggung jawab untuk menentukan kontrol keamanan berdasarkan fungsi dan persyaratan beban kerja mereka. Tujuan dari tim keamanan dan tata kelola terpusat adalah untuk membangun sistem yang memungkinkan pemilik beban kerja untuk membuat keputusan berdasarkan informasi dan bagi semua pihak untuk mendapatkan visibilitas konfigurasi, temuan, dan peristiwa. Ini AWS SRA bisa menjadi kendaraan untuk mengidentifikasi dan menginformasikan diskusi ini.

Pedoman implementasi utama dari AWS SRA

Berikut adalah delapan hal penting yang AWS SRA perlu diingat saat Anda merancang dan menerapkan keamanan Anda.   

  • AWSOrganizations dan strategi multi-akun yang tepat adalah elemen penting dari arsitektur keamanan Anda. Memisahkan beban kerja, tim, dan fungsi dengan benar memberikan dasar untuk pemisahan tugas dan defense-in-depth strategi. Panduan ini mencakup ini lebih lanjut di bagian selanjutnya.

  • Defense-in-depth adalah pertimbangan desain penting untuk memilih kontrol keamanan untuk organisasi Anda. Ini membantu Anda menyuntikkan kontrol keamanan yang sesuai di berbagai lapisan struktur AWS Organizations, yang membantu meminimalkan dampak dari suatu masalah: Jika ada masalah dengan satu lapisan, ada kontrol di tempat yang mengisolasi sumber daya TI berharga lainnya. AWSSRAIni menunjukkan bagaimana AWS layanan yang berbeda berfungsi pada lapisan tumpukan AWS teknologi yang berbeda, dan bagaimana menggunakan layanan tersebut dalam kombinasi membantu Anda mencapainya defense-in-depth. defense-in-depthKonsep ini dibahas AWS lebih lanjut di bagian selanjutnya dengan contoh desain yang ditunjukkan di bawah akun Aplikasi.

  • Gunakan berbagai blok bangunan keamanan di berbagai AWS layanan dan fitur untuk membangun infrastruktur cloud yang kuat dan tangguh. Saat menyesuaikan dengan kebutuhan khusus Anda, pertimbangkan tidak hanya fungsi utama AWS layanan dan fitur (misalnya, otentikasi, enkripsi, pemantauan, kebijakan izin) tetapi juga bagaimana mereka cocok dengan struktur arsitektur Anda. AWS SRA Bagian selanjutnya dalam panduan ini menjelaskan bagaimana beberapa layanan beroperasi di seluruh AWS organisasi Anda. Layanan lain beroperasi paling baik dalam satu akun, dan beberapa dirancang untuk memberikan atau menolak izin kepada kepala sekolah individu. Mempertimbangkan kedua perspektif ini membantu Anda membangun pendekatan keamanan yang lebih fleksibel dan berlapis.

  • Jika memungkinkan (seperti yang dijelaskan di bagian selanjutnya), gunakan AWS layanan yang dapat digunakan di setiap akun (didistribusikan alih-alih terpusat) dan buat serangkaian pagar pembatas bersama yang konsisten yang dapat membantu melindungi beban kerja Anda dari penyalahgunaan dan membantu mengurangi dampak peristiwa keamanan. AWSSRAMenggunakan AWS Security Hub (pemantauan pencarian terpusat dan pemeriksaan kepatuhan), Amazon GuardDuty (deteksi ancaman dan deteksi anomali), AWS Config (pemantauan sumber daya dan deteksi perubahan), IAM Access Analyzer (pemantauan akses sumber daya, AWS CloudTrail (APIaktivitas layanan pencatatan di seluruh lingkungan Anda) dan Amazon Macie (klasifikasi data) sebagai kumpulan layanan dasar yang akan digunakan di setiap akun. AWS AWS

  • Manfaatkan fitur administrasi yang didelegasikan dari AWS Organizations, di mana ia didukung, seperti yang dijelaskan nanti di bagian administrasi yang didelegasikan dari panduan ini. Ini memungkinkan Anda untuk mendaftarkan akun AWS anggota sebagai administrator untuk layanan yang didukung. Administrasi yang didelegasikan memberikan fleksibilitas bagi tim yang berbeda dalam perusahaan Anda untuk menggunakan akun terpisah, yang sesuai dengan tanggung jawab mereka, untuk mengelola AWS layanan di seluruh lingkungan. Selain itu, menggunakan administrator yang didelegasikan membantu Anda membatasi akses ke, dan mengelola overhead izin, akun manajemen AWS Organizations.

  • Menerapkan pemantauan, manajemen, dan tata kelola terpusat di seluruh organisasi AndaAWS. Dengan menggunakan AWS layanan yang mendukung agregasi multi-akun (dan terkadang Multi-wilayah), bersama dengan fitur administrasi yang didelegasikan, Anda memberdayakan tim keamanan pusat, jaringan, dan rekayasa cloud Anda untuk memiliki visibilitas dan kontrol yang luas atas konfigurasi keamanan dan pengumpulan data yang sesuai. Selain itu, data dapat diberikan kembali ke tim beban kerja untuk memberdayakan mereka membuat keputusan keamanan yang efektif sebelumnya dalam siklus hidup pengembangan perangkat lunak (). SDLC

  • Gunakan AWS Control Tower untuk mengatur dan mengatur AWS lingkungan multi-akun Anda dengan penerapan kontrol keamanan pra-bangun untuk mem-bootstrap build arsitektur referensi keamanan Anda. AWSControl Tower menyediakan cetak biru untuk menyediakan manajemen identitas, akses federasi ke akun, pencatatan terpusat, dan alur kerja yang ditentukan untuk menyediakan akun tambahan. Anda kemudian dapat menggunakan solusi Customizations for AWS Control Tower (CFCT) untuk mendasarkan akun yang dikelola oleh Control Tower AWS dengan kontrol keamanan tambahan, konfigurasi layanan, dan tata kelola, seperti yang ditunjukkan oleh repositori kode. AWS SRA Fitur pabrik akun secara otomatis menyediakan akun baru dengan templat yang dapat dikonfigurasi berdasarkan konfigurasi akun yang disetujui untuk menstandarisasi akun dalam Organizations Anda. AWS Anda juga dapat memperluas tata kelola ke AWS akun individu yang ada dengan mendaftarkannya ke unit organisasi (OU) yang sudah diatur oleh Control TowerAWS.

  • Contoh AWS SRA kode menunjukkan bagaimana Anda dapat mengotomatiskan implementasi pola dalam AWS SRA panduan dengan menggunakan infrastruktur sebagai kode (IAc). Dengan mengkodifikasi pola, Anda dapat memperlakukan IAc seperti aplikasi lain di organisasi Anda, dan mengotomatiskan pengujian sebelum Anda menerapkan kode. IAc juga membantu memastikan konsistensi dan pengulangan dengan menerapkan pagar pembatas di beberapa lingkungan (misalnya, SDLC atau khusus Wilayah). Contoh SRA kode dapat digunakan di lingkungan multi-akun AWS Organizations dengan atau tanpa AWS Control Tower. Solusi dalam repositori ini yang memerlukan AWS Control Tower telah digunakan dan diuji di lingkungan AWS Control Tower dengan menggunakan AWS CloudFormation dan Customizations for Control AWS Tower (CFCT). Solusi yang tidak memerlukan AWS Control Tower telah diuji di lingkungan AWS Organizations dengan menggunakan AWS CloudFormation. Jika Anda tidak menggunakan AWS Control Tower, Anda dapat menggunakan solusi AWSpenyebaran berbasis Organisasi.