Repositório de código para exemplos AWS SRA - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Repositório de código para exemplos AWS SRA

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWS SRA) respondendo a uma breve pesquisa.

Para ajudar você a começar a criar e implementar as diretrizes no AWSSRA, um repositório de infraestrutura como código (IaC) em https://github.com/aws-samples/aws-security-reference-architecture-examples acompanha este guia. Esse repositório contém código para ajudar desenvolvedores e engenheiros a implantar alguns dos padrões de orientação e arquitetura apresentados neste documento. Esse código foi extraído da experiência em primeira mão dos consultores de Serviços AWS Profissionais com os clientes. Os modelos são de natureza geral — seu objetivo é ilustrar um padrão de implementação em vez de fornecer uma solução completa. As configurações AWS de serviços e as implantações de recursos são deliberadamente muito restritivas. Talvez seja necessário modificar e adaptar essas soluções para atender às suas necessidades de ambiente e segurança.

O repositório AWS SRA de código fornece exemplos de código com ambas as opções de implantação AWS CloudFormation e do Terraform. Os padrões de solução oferecem suporte a dois ambientes: um requer o AWS Control Tower e o outro usa o AWS Organizations without AWS Control Tower. As soluções desse repositório que exigem o AWS Control Tower foram implantadas e testadas em um ambiente de AWS Control Tower usando AWS CloudFormation e personalizando a Control Tower AWS (cFCT). As soluções que não exigem o AWS Control Tower foram testadas em um ambiente AWS Organizations usando AWS CloudFormation. A solução cFct ajuda os clientes a configurar rapidamente um AWS ambiente seguro com várias contas com base nas AWS melhores práticas. Isso ajuda a economizar tempo automatizando a configuração de um ambiente para executar cargas de trabalho seguras e escaláveis, ao mesmo tempo em que implementa uma linha de base de segurança inicial por meio da criação de contas e recursos. AWSO Control Tower também fornece um ambiente básico para começar com uma arquitetura de várias contas, gerenciamento de identidade e acesso, governança, segurança de dados, design de rede e registro. As soluções no AWS SRA repositório fornecem configurações de segurança adicionais para implementar os padrões descritos neste documento.

Aqui está um resumo das soluções no AWSSRArepositório. Cada solução inclui um README arquivo.md com detalhes. 

  • A solução CloudTrail Organização cria uma trilha organizacional na conta de gerenciamento da organização e delega a administração a uma conta membro, como a conta de ferramentas de auditoria ou segurança. Essa trilha é criptografada com uma chave gerenciada pelo cliente criada na conta do Security Tooling e entrega os registros para um bucket do S3 na conta do Log Archive. Opcionalmente, os eventos de dados podem ser habilitados para as funções Amazon S3 e AWS Lambda. Uma trilha da organização registra os eventos de todas as AWS contas da AWS organização, evitando que as contas dos membros modifiquem as configurações.

  • A solução GuardDuty Organization habilita a Amazon GuardDuty delegando a administração à conta do Security Tooling. Ele é configurado GuardDuty na conta do Security Tooling para todas as contas existentes e futuras AWS da organização. As GuardDuty descobertas também são criptografadas com uma KMS chave e enviadas para um bucket do S3 na conta do Log Archive.

  • A solução Security Hub Organization configura o AWS Security Hub delegando a administração à conta do Security Tooling. Ele configura o Security Hub na conta do Security Tooling para todas as contas existentes e futuras AWS da organização. A solução também fornece parâmetros para sincronizar os padrões de segurança habilitados em todas as contas e regiões, bem como configurar um agregador de regiões na conta do Security Tooling. A centralização do Security Hub na conta do Security Tooling fornece uma visão cruzada da conformidade com os padrões de segurança e das descobertas de AWS serviços e integrações de parceiros AWS terceirizados.

  • A solução Inspector configura o Amazon Inspector dentro da conta de administrador delegado (Security Tooling) para todas as contas e regiões governadas da organização. AWS

  • A solução Firewall Manager configura as políticas de segurança do AWS Firewall Manager delegando a administração à conta do Security Tooling e configurando o Firewall Manager com uma política de grupo de segurança e várias políticas. AWS WAF A política de grupo de segurança exige um grupo de segurança máximo permitido dentro de um VPC (existente ou criado pela solução), que é implantado pela solução.

  • A solução Macie Organization habilita o Amazon Macie delegando a administração à conta do Security Tooling. Ele configura o Macie na conta do Security Tooling para todas as contas existentes e futuras AWS da organização. O Macie está ainda configurado para enviar seus resultados de descoberta para um bucket central do S3 que é criptografado com uma KMS chave.

  • AWSConfig

    • A solução Config Aggregator configura um agregador AWS Config delegando a administração à conta do Security Tooling. Em seguida, a solução configura um agregador AWS Config na conta do Security Tooling para todas as contas existentes e futuras na organização. AWS

    • A solução Conformance Pack Organization Rules implanta regras de AWS Config delegando a administração à conta do Security Tooling. Em seguida, ele cria um pacote de conformidade organizacional dentro da conta de administrador delegado para todas as contas existentes e futuras na organização. AWS A solução está configurada para implantar o modelo de amostra de pacote de conformidade com as melhores práticas operacionais para criptografia e gerenciamento de chaves.

    • A solução AWSConfig Control Tower Management Account ativa o AWS Config na conta de gerenciamento da Control Tower AWS e atualiza adequadamente o agregador AWS Config na conta do Security Tooling. A solução usa o CloudFormation modelo AWS Control Tower para ativar o AWS Config como referência para garantir a consistência com as outras contas na AWS organização.

  • IAM

    • A solução Access Analyzer habilita o AWS IAM Access Analyzer delegando a administração à conta do Security Tooling. Em seguida, ele configura um Analisador de Acesso em nível organizacional na conta do Security Tooling para todas as contas existentes e futuras na organização. AWS A solução também implanta o Access Analyzer em todas as contas e regiões dos membros para apoiar a análise de permissões em nível de conta.

    • A solução IAMPassword Policy atualiza a política de senha da AWS conta em todas as contas de uma AWS organização. A solução fornece parâmetros para definir as configurações da política de senha para ajudá-lo a se alinhar aos padrões de conformidade do setor.

  • A solução de EBScriptografia EC2 padrão permite a EBS criptografia padrão da Amazon em nível de conta em cada AWS conta e AWS região da AWS organização. Ele impõe a criptografia dos novos EBS volumes e snapshots que você cria. Por exemplo, a Amazon EBS criptografa os EBS volumes que são criados quando você executa uma instância e os snapshots que você copia de um snapshot não criptografado.

  • A solução S3 Block Account Public Access permite configurações em nível de conta do Amazon S3 em AWS cada conta na organização. AWS O recurso Bloqueio de acesso público do Amazon S3 fornece configurações para pontos de acesso, buckets e contas para ajudar você a gerenciar o acesso público aos recursos do Amazon S3. Por padrão, novos buckets, pontos de acesso e objetos não permitem acesso público. No entanto, os usuários podem modificar políticas de bucket, políticas de ponto de acesso ou permissões de objeto para permitir acesso público. As configurações do Amazon S3 Block Public Access substituem essas políticas e permissões para que você possa limitar o acesso público a esses recursos.

  • A solução Detective Organization automatiza a habilitação do Amazon Detective delegando a administração a uma conta (como a conta Audit ou Security Tooling) e configurando o Detective para todas as contas existentes e futuras da organização. AWS

  • A solução Shield Advanced automatiza a implantação do AWS Shield Advanced para fornecer DDoS proteção aprimorada para seus aplicativos emAWS.

  • A solução AMIBakery Organization ajuda a automatizar o processo de criação e gerenciamento de imagens padrão e reforçadas do Amazon Machine Image AMI (). Isso garante consistência e segurança em todas as suas AWS instâncias e simplifica as tarefas de implantação e manutenção.

  • A solução Patch Manager ajuda a otimizar o gerenciamento de patches em várias AWS contas. Você pode usar essa solução para atualizar o AWS Systems Manager Agent (SSMAgente) em todas as instâncias gerenciadas e para verificar e instalar patches de segurança e correções de erros críticos e importantes em instâncias marcadas do Windows e do Linux. A solução também configura a configuração de gerenciamento de host padrão para detectar a criação de novas AWS contas e implantar automaticamente a solução nessas contas.