AWS SRA 範例的程式碼儲存庫 - AWS 規定指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS SRA 範例的程式碼儲存庫

通過進行簡短的調查來影響 AWS 安全參考架構(AWS SRA)的 future。

為了協助您開始在 AWS SRA 中建置和實作指導,本指南隨附於 https://github.com/aws-samples/aws-security-reference-architecture-examples 的基礎設施即程式碼 (IAC) 儲存庫。此儲存庫包含的程式碼可協助開發人員和工程師部署本文件中提供的一些指引和架構模式。此程式碼取自 AWS Professional Services 顧問與客戶的第一手經驗。模板本質上是通用的-它們的目標是說明實現模式,而不是提供完整的解決方案。AWS 服務組態和資源部署的限制性非常嚴格。您可能需要修改和定制這些解決方案,以滿足您的環境和安全需求。

AWS SRA 程式碼儲存庫提供具有 AWS CloudFormation 和 Terraform 部署選項的程式碼範例。解決方案模式支援兩種環境:一個需要 AWS Control Tower,另一個使用沒有 AWS Control Tower 的 AWS Organizations。此儲存庫中需要 AWS Control Tower 的解決方案已使用 AWS 和 AWS Control Tower (CFCT) 的自訂功能,在 AWS Control Tower 環境中部署 CloudFormation 和測試。不需要 AWS Control Tower 的解決方案已在 AWS Organizations 環境中使用 AWS 進行測試 CloudFormation。CFCT 解決方案可協助客戶根據 AWS 最佳實務快速設定安全的多帳戶 AWS 環境。透過自動化環境設定以執行安全且可擴充的工作負載,同時透過建立帳戶和資源來實作初始安全性基準,有助於節省時間。AWS Control Tower 也提供基準環境,讓您開始使用多帳戶架構、身分和存取管理、控管、資料安全、網路設計和記錄。AWS SRA 儲存庫中的解決方案提供額外的安全組態,以實作本文件中描述的模式。

以下是 AWS SRA 儲存庫中的解決方案摘要。每個解決方案都包含一個 README.md 檔案,內含詳細資訊 

  • CloudTrail 組織解決方案會在組織管理帳戶內建立組織追蹤,並將管理委派給成員帳戶,例如稽核或安全性工具帳戶。此追蹤會使用在 Security Tocker 帳戶中建立的客戶受管金鑰加密,並將日誌傳送到日誌存檔帳戶中的 S3 儲存貯體。您也可以選擇為 Amazon S3 和 AWS Lambda 函數啟用資料事件。組織追蹤記錄 AWS 組織中所有 AWS 帳戶的事件,同時防止成員帳戶修改組態。

  • GuardDuty 組織解決方案透 GuardDuty 過將管理委派給安全工具帳戶來啟用 Amazon。它會在安全工具帳戶 GuardDuty 中為所有現有和 future 的 AWS 組織帳戶進行設定。發 GuardDuty現項目也會使用 KMS 金鑰加密,並傳送至記錄存檔帳戶中的 S3 儲存貯體。

  • Sec urity Hub 組織解決方案透過將管理委派給安全工具帳戶來設定 AWS 安全中樞。它會在安全工具帳戶中為所有現有和 future 的 AWS 組織帳戶設定安全中心。此解決方案也提供參數,用於同步處理所有帳戶和區域中已啟用的安全性標準,以及在 Security Tocker 帳戶中設定區域彙總工具。在安全工具帳戶中集中安全中心可提供跨帳戶檢視來自 AWS 服務和第三方 AWS 合作夥伴整合的安全標準合規和發現結果。

  • In spector 解決方案會在委派的管理員 (安全工具) 帳戶中,為 AWS 組織下的所有帳戶和受管轄區域設定 Amazon Inspector。

  • Firewall Manager 員解決方案透過將管理委派給安全工具帳戶,並使用安全群組政策和多個 AWS WAF 政策設定 Firewall Manager 員,藉此設定 AWS Firewall Manager 安全政策。安全性群組原則需要 VPC 內允許的最大安全性群組 (現有或由解決方案建立),該群組由解決方案部署。

  • Macie 組織解決方案透過將管理委派給安全工具帳戶來啟用 Amazon Macie。它會在安全工具帳戶中為所有現有和 future 的 AWS 組織帳戶設定 Macie。Macie 進一步設定為將其探索結果傳送到使用 KMS 金鑰加密的中央 S3 儲存貯體。

  • AWS Config

    • Con fig 彙總器解決方案會將管理委派給安全工具帳戶,藉此設定 AWS Config 彙總工具。然後,解決方案會在安全工具帳戶中為 AWS 組織中的所有現有和 future 帳戶設定 AWS Config 彙總工具。

    • 致性套件組織規則解決方案透過將管理委派給安全工具帳戶來部署 AWS Config 規則。接著,它會在 AWS 組織中所有現有和 future 帳戶的委派管理員帳戶中建立組織一致性套件。此解決方案設定為部署加密和金鑰管理一致性套件的作業最佳作法範例範本。

    • AWS 組態 Control Tower 管理帳戶解決方案可在 AWS Control Tower 管理帳戶中啟用 AWS Config,並相應地更新安全工具帳戶中的 AWS Config 彙總工具。此解決方案使用 AWS Control Tower CloudFormation 範本啟用 AWS Config 作為參考,以確保與 AWS 組織中其他帳戶的一致性。

  • IAM

    • 存取分析器解決方案透過將管理委派給安全工具帳戶來啟用 AWS IAM 存取分析器。然後,它會在安全工具帳戶中為 AWS 組織中的所有現有和 future 帳戶設定組織層級的存取分析器。該解決方案還將訪問分析器部署到所有成員帳戶和區域,以支持分析帳戶級權限。

    • IAM 密碼政策解決方案會更新 AWS 組織中所有帳戶內的 AWS 帳戶密碼政策。此解決方案提供用於設定密碼原則設定的參數,以協助您符合產業規範標準。

  • EC2 預設 EBS 加密解決方案可在 AWS 帳戶和 AWS 組織中的 AWS 區域內啟用帳戶層級的預設 Amazon EBS 加密。它會強制對您建立的新 EBS 磁碟區和快照進行加密。例如,Amazon EBS 會加密您啟動執行個體時所建立的 EBS 磁碟區,以及從未加密快照複製的快照。

  • S3 區塊帳戶公共存取解決方案可在 AWS 組織中的每個 AWS 帳戶內啟用 Amazon S3 帳戶層級設定。Amazon S3 封鎖公開存取功能可提供存取點、儲存貯體和帳戶的設定,以協助您管理對 Amazon S3 資源的公開存取。依預設,新的儲存貯體、存取點和物件不允許公開存取。不過,使用者可以修改儲存貯體政策、存取點政策或物件許可,以允許公開存取。Amazon S3 區塊公開存取設定會覆寫這些政策和許可,以便您可以限制公開存取這些資源。

  • Detective 組織解決方案透過將管理委派給帳戶 (例如稽核或安全工具帳戶),並為所有現有和 future 的 AWS 組織帳戶設定 Detective,藉此自動啟用 Amazon Detective。

  • 盾牌進階解決方案可自動化 AWS Shield 進階的部署,為您在 AWS 上的應用程式提供增強的 DDoS 保護。

  • AMI 麵包店組織解決方案有助於自動化建立和管理標準、強化 Amazon 機器映像 (AMI) 映像的流程。這可確保 AWS 執行個體的一致性和安全性,並簡化部署和維護任務。