本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 安全参考架构
| 通过进行简短的调查 |
下图说明了 AWS SRA。此架构图汇集了所有 AWS 安全相关服务。它围绕一个简单的三层 Web 架构构建,可以放在单个页面上。在这样的工作负载中,有一个 Web 层,用户通过该层与应用程序层进行连接和交互,应用程序层处理应用程序的实际业务逻辑:从用户那里获取输入、进行一些计算和生成输出。应用程序层存储和检索来自数据层的信息。该架构专门采用模块化设计,为许多现代 Web 应用程序提供了高级抽象。
注意
要根据您的业务需求自定义本指南中的参考架构图,您可以下载以下.zip 文件并提取其内容。
对于此参考架构,我们特意分别通过亚马逊弹性计算云 (Amazon EC2) 实例和亚马逊 Aurora 数据库尽可能简单地表示实际的 Web 应用程序和数据层。大多数架构图都侧重并深入探讨了 Web、应用程序和数据层。为了便于阅读,它们通常会省略安全控制。此图表将重点转移到尽可能地显示安全性,并使应用程序和数据层尽可能简单,以有意义地显示安全功能。
AWS SRA 包含发布时可用的所有与 AWS 安全相关的服务。(请参阅文档历史记录。) 但是,并非每个工作负载或环境都必须根据其独特的威胁暴露情况部署每项安全服务。我们的目标是为一系列选项提供参考,包括描述这些服务在架构上是如何组合在一起的,以便您的企业可以根据风险做出最适合您的基础架构、工作负载和安全需求的决策。
以下各节将介绍每个 OU 和账户,以了解其目标以及与之相关的各个 AWS 安全服务。对于每个元素(通常是 AWS 服务),本文档提供以下信息:
-
AWS SRA 中该元素及其安全目的的简要概述。有关各项服务的更多详细描述和技术信息,请参阅附录。
-
建议放置位置,以最有效地启用和管理服务。这在每个账户和 OU 的单独架构图中捕捉到。
-
配置、管理和数据共享链接到其他安全服务。此服务如何依赖或支持其他安全服务?
-
设计注意事项。首先,本文档重点介绍了具有重要安全隐患的可选功能或配置。其次,如果我们团队的经验包括我们提出的建议中的常见差异(通常是由于其他要求或限制),则文档描述了这些选项。
