AWS SRA 範例的程式碼儲存庫 - AWS 規範指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS SRA 範例的程式碼儲存庫

進行簡短的問卷,以影響 AWS 安全參考架構 (AWS SRA) 的未來。

為了協助您開始建置和實作 AWS SRA 中的指引, https://https://github.com/aws-samples/aws-security-reference-architecture-examples 的基礎設施即程式碼 (IaC) 儲存庫隨附本指南。此儲存庫包含程式碼,可協助開發人員和工程師部署本文件中呈現的一些指引和架構模式。此程式碼取自 AWS Professional Services 顧問與客戶的第一手體驗。這些範本本質上是一般性的,其目標是說明實作模式,而不是提供完整的解決方案。AWS 服務組態和資源部署刻意非常嚴格。您可能需要修改和量身打造這些解決方案,以滿足您的環境和安全需求。

AWS SRA 程式碼儲存庫提供具有 AWS CloudFormation 和 Terraform 部署選項的程式碼範例。解決方案模式支援兩個環境:一個環境需要 AWS Control Tower,另一個環境使用 AWS Organizations 而沒有 AWS Control Tower。此儲存庫中需要 AWS Control Tower 的解決方案已使用 AWS CloudFormation 和 Customizations for AWS Control Tower (CfCT) 在 AWS Control Tower 環境中部署和測試。不需要 AWS Control Tower 的解決方案已使用 AWS CloudFormation 在 AWS Organizations 環境中進行測試。 AWS CloudFormation CfCT 解決方案可協助客戶根據 AWS 最佳實務快速設定安全的多帳戶 AWS 環境。其可透過自動化環境的設定,以執行安全且可擴展的工作負載,同時透過建立帳戶和資源來實作初始安全基準,從而節省時間。AWS Control Tower 也提供基準環境,以開始使用多帳戶架構、身分和存取管理、控管、資料安全、網路設計和記錄。AWS SRA 儲存庫中的解決方案提供額外的安全組態,以實作本文件中所述的模式。

以下是 AWS SRA 儲存庫中解決方案的摘要。每個解決方案都包含一個 README.md 檔案,其中包含詳細資訊。 

  • CloudTrail Organization 解決方案會在 Org Management 帳戶中建立組織追蹤,並將管理委派給成員帳戶,例如 Audit 或 Security Tooling 帳戶。此追蹤會使用在安全工具帳戶中建立的客戶受管金鑰進行加密,並將日誌交付至 Log Archive 帳戶中的 S3 儲存貯體。或者,可為 Amazon S3 和 AWS Lambda 函數啟用資料事件。組織追蹤會記錄 AWS 組織中所有 AWS 帳戶的事件,同時防止成員帳戶修改組態。

  • GuardDuty Organization 解決方案透過將管理委派給 Security Tooling 帳戶來啟用 Amazon GuardDuty。它會為所有現有和未來的 AWS 組織帳戶設定 Security Tooling 帳戶中的 GuardDuty。GuardDuty 調查結果也會使用 KMS 金鑰加密,並傳送至 Log Archive 帳戶中的 S3 儲存貯體。

  • Security Hub Organization 解決方案透過將管理委派給 Security Tooling 帳戶來設定 AWS Security Hub。它會為所有現有和未來的 AWS 組織帳戶設定 Security Tooling 帳戶中的 Security Hub。解決方案也提供參數,用於同步所有帳戶和區域的已啟用安全標準,以及設定 Security Tooling 帳戶中的區域彙總器。將 Security Hub 集中在 Security Tooling 帳戶中,提供 AWS 服務和第三方 AWS 合作夥伴整合中安全標準合規和調查結果的跨帳戶檢視。

  • Inspector 解決方案會針對 AWS 組織下的所有帳戶和受管區域,在委派的管理員 (安全工具) 帳戶中設定 Amazon Inspector。

  • Firewall Manager 解決方案透過將管理委派給 Security Tooling 帳戶,並使用 AWS Firewall Manager 安全群組政策和多個 AWS WAF 政策來設定 Firewall Manager,來設定 AWS Firewall Manager 安全政策。 AWS WAF 安全群組政策需要 VPC (由解決方案現有或建立) 內允許的安全群組上限,而該 VPC 是由解決方案部署。

  • Macie Organization 解決方案透過將管理委派給安全工具帳戶來啟用 Amazon Macie。它會為所有現有和未來的 AWS 組織帳戶設定安全工具帳戶中的 Macie。Macie 會進一步設定為將其探索結果傳送至使用 KMS 金鑰加密的中央 S3 儲存貯體。

  • AWS Config

    • Config Aggregator 解決方案透過將管理委派給 Security Tooling 帳戶來設定 AWS Config 彙總器。然後,解決方案會針對 AWS 組織中的所有現有和未來帳戶,在安全工具帳戶中設定 AWS Config 彙總器。

    • Conformance Pack Organization Rules 解決方案透過將管理委派給 Security Tooling 帳戶來部署 AWS Config 規則。然後,它會為 AWS 組織中的所有現有和未來帳戶,在委派的管理員帳戶中建立組織一致性套件。解決方案已設定為部署加密和金鑰管理一致性套件範例範本的操作最佳實務

    • AWS Config Control Tower 管理帳戶解決方案可在 AWS Config Control Tower 管理帳戶中啟用 AWS Config,並相應地更新 Security Tooling 帳戶中的 AWS Config 彙總器。解決方案使用 AWS Control Tower CloudFormation 範本來啟用 AWS Config 做為參考,以確保與 AWS 組織中的其他帳戶保持一致。

  • IAM

    • Access Analyzer 解決方案透過將管理委派給 Security Tooling 帳戶來啟用 AWS IAM Access Analyzer。然後,它會為 AWS 組織中的所有現有和未來帳戶,在安全工具帳戶中設定組織層級的 Access Analyzer。解決方案也會將 Access Analyzer 部署到所有成員帳戶和區域,以支援分析帳戶層級許可。

    • IAM 密碼政策解決方案會更新 AWS 組織中所有帳戶內的 AWS 帳戶密碼政策。解決方案提供設定密碼政策設定的參數,協助您符合產業合規標準。

  • EC2 預設 EBS 加密解決方案會在 AWS 組織中的每個 AWS 帳戶和 AWS 區域內啟用帳戶層級的預設 Amazon EBS 加密。它強制加密您建立的新 EBS 磁碟區和快照。例如,Amazon EBS 會加密啟動執行個體時建立的 EBS 磁碟區,以及從未加密快照複製的快照。

  • S3 封鎖帳戶公開存取解決方案會在 AWS 組織中的每個 AWS 帳戶中啟用 Amazon S3 帳戶層級設定。Amazon S3 封鎖公開存取功能可提供存取點、儲存貯體和帳戶的設定,以協助您管理對 Amazon S3 資源的公開存取。依預設,新的儲存貯體、存取點和物件不允許公開存取。不過,使用者可以修改儲存貯體政策、存取點政策或物件許可,以允許公開存取。Amazon S3 Block Public Access 設定會覆寫這些政策和許可,以便您可以限制對這些資源的公開存取。

  • Detective Organization 解決方案會將管理委派給 帳戶 (例如 Audit 或 Security Tooling 帳戶),並為所有現有和未來的 AWS Organization 帳戶設定 Detective,以自動化啟用 Amazon Detective。

  • Shield Advanced 解決方案可自動化 AWS Shield Advanced 的部署,為 AWS 上的應用程式提供增強的 DDoS 保護。

  • AMI Bakery Organization 解決方案有助於自動化建置和管理標準強化 Amazon Machine Image (AMI) 映像的程序。這可確保 AWS 執行個體的一致性和安全性,並簡化部署和維護任務。

  • Patch Manager 解決方案有助於簡化跨多個 AWS 帳戶的修補程式管理。您可以使用此解決方案更新所有受管執行個體上的 AWS Systems Manager Agent (SSM Agent),並在 Windows 和 Linux 標記的執行個體上掃描和安裝重要安全修補程式和錯誤修正。解決方案也會設定預設主機管理組態設定,以偵測新 AWS 帳戶的建立,並自動將解決方案部署到這些帳戶。