AWS SRA 的價值 - AWS 規定指引
如何使用 AWS SRAAWS SRA 的主要實作準則

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS SRA 的價值

通過進行簡短的調查來影響AWS安全參考架構(AWSSRA)的 future。

AWS 擁有大量 (且不斷成長) 的安全和安全相關服務。客戶對我們的服務文檔,博客文章,教程,峰會和會議提供的詳細信息表示感謝。他們還告訴我們,他們希望更好地了解大局並獲得 AWS 安全服務的策略性觀點。當我們與客戶合作以更深入地了解他們的需求時,會出現三個優先事項:

  • 客戶需要更多有關如何全面部署、設定和操作 AWS 安全服務的資訊和建議模式。服務應在哪些帳戶中部署和管理哪些安全目標?  是否有一個安全帳戶可供所有或大部分服務運作?  選擇位置 (組織單位或 AWS 帳戶) 如何告知安全目標? 客戶應注意哪些權衡 (設計考量)?

  • 客戶有興趣了解邏輯組織許多 AWS 安全服務的不同觀點。除了每項服務的主要功能 (例如身分識別服務或記錄服務) 之外,這些替代觀點還可協助客戶規劃、設計及實作其安全性架構。本指南稍後分享的範例會根據與 AWS 環境建議結構對齊的保護層對服務進行分組。

  • 客戶正在尋找指引和範例,以最有效的方式整合安全服務。例如,他們應該如何最好地將 AWS Config 與其他服務保持一致並連接,以完成自動化稽核和監控管道的繁重工作?  客戶正在尋求有關每個 AWS 安全服務如何依賴或支援其他安全服務的指導。

我們在 AWS SRA 中解決了這些問題。列表中的第一個優先事項(事情去哪裡)是主體系結構圖的重點以及本文檔中隨附的討論。我們提供建議的 AWS Organizations 架構,並 account-by-account 說明哪些服務去向。 若要開始使用清單中的第二優先順序 (如何考慮完整的安全服務),請閱讀 AWS 組織套用安全服務一節。本節說明根據 AWS 組織中元素結構對安全服務進行分組的方法。此外,應用程式帳戶的討論也反映了這些相同的想法,其中強調如何運作安全服務以專注於帳戶的特定層級:Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、Amazon Virtual Private Cloud (Amazon VPC) 網路以及更廣泛的帳戶。最後,第三個優先順序 (服務整合) 會反映在整個指南中,特別是在本文件的帳戶深入探討區段和 AWS SRA 程式碼儲存庫中的程式碼中的個別服務時。

如何使用 AWS SRA

根據您在雲端採用過程中的位置,有多種使用 AWS SRA 的方式。以下是從 AWS SRA 資產 (架構圖、書面指導和程式碼範例) 獲得最多洞見的方法清單。

  • 為您自己的安全性架構定義目標狀態。

無論您是剛開始 AWS 雲端旅程 (設定您的第一組帳戶),或是規劃加強已建立的 AWS 環境,AWS SRA 都是您開始建置安全架構的好地方。從帳戶結構和安全服務的全面基礎開始,然後根據您的特定技術堆疊、技能、安全目標和合規性要求進行調整。如果您知道要建立和啟動更多工作負載,則可以使用自訂版本的 AWS SRA,並將其用作組織安全參考架構的基礎。若要瞭解如何達到 AWS SRA 所述的目標狀態,請參閱建立安全架構-分階段式方法一節。

  • 檢閱 (並修訂) 您已實作的設計與功能。

如果您已經有安全設計和實作,則值得花一些時間來比較 AWS SRA 所擁有的內容。AWS SRA 旨在提供全面性,並提供診斷基準以檢閱您自己的安全性。如果您的安全設計與 AWS SRA 保持一致,您可以更有信心在使用 AWS 服務時遵循最佳實務。如果您的安全設計差異甚至不同意 AWS SRA 中的指導,這並不一定表明您做錯了什麼。相反地,此觀察提供您檢閱決策程序的機會。您可能會偏離 AWS SRA 最佳實務的合法商業和技術原因。您的特定合規性、法規或組織安全性需求可能需要特定的服務組態。或者,您可能會偏好 AWS 合作夥伴網路中的產品或您建立和管理的自訂應用程式,而不是使用 AWS 服務。有時候,在此審查期間,您可能會發現先前的決定是根據不再適用的舊技術、AWS 功能或業務限制而做出的。這是一個很好的機會,可讓您檢閱、排定任何更新的優先順序,並將其新增至工程積壓的適當位置。無論您在根據 AWS SRA 評估安全架構時發現什麼,都會發現記錄該分析非常有用。擁有決策的歷史記錄及其理由可以幫助告知並確定 future 決策的優先順序。

  • 引導您自己的安全架構的實現。

AWS SRA 基礎設施即程式碼 (IaC) 模組提供快速、可靠的方式來開始建置和實作安全架構。這些模塊在代碼存儲庫部分和公共 GitHub 存儲庫中更深入地描述。它們不僅可讓工程師根據 AWS SRA 指導中的高品質模式範例進行建置,而且還納入建議的安全控制,例如 AWS Identity and Access Management (IAM) 密碼政策、Amazon S3 簡單儲存服務 (Amazon S3) 區塊帳戶公開存取、Amazon EC2 預設 Amazon 彈性區塊存放區 (Amazon EBS) 加密,以及與 AWS Control Tower 整合,以便將控制套用或移除為新的 AWS 帳戶。

  • 進一步了解 AWS 安全服務和功能。

AWS SRA 中的指導和討論包括個別 AWS 安全和安全相關服務的重要功能以及部署和管理考量。AWS SRA 的其中一項功能是提供 AWS 安全服務廣度的高階介紹,以及它們在多帳戶環境中協同合作的方式。這補充了深入了解其他來源中每個服務的功能和配置。其中一個範例是討論 AWS Security Hub 如何從各種 AWS 服務、AWS 合作夥伴產品,甚至您自己的應用程式中擷取安全發現結果。

  • 推動組織治理和安全責任的討論。

設計和實作任何安全性架構或策略的一個重要元素,就是瞭解組織中誰負責安全性相關責任。例如,在何處彙總和監視安全發現項目的問題與哪個團隊將負責該活動的問題相關聯。組織中的所有發現項目都是由需要存取專屬安全工具帳戶的中央團隊監控嗎? 還是個別應用程式團隊 (或業務單位) 是否負責某些監視活動,因此需要存取某些警示和監視工具? 另一個範例是,如果您的組織有一個集中管理所有加密金鑰的群組,這將影響誰有權建立 AWS Key Management Service (AWS KMS) 金鑰,以及管理這些金鑰的帳戶。瞭解組織的特徵 (各種團隊和職責) 將協助您量身打造 AWS SRA 以最符合您的需求。相反,有時候,安全性架構的討論會成為討論現有組織責任並考慮潛在變更的動力。AWS 建議採用分散式決策程序,工作負載團隊負責根據工作負載功能和需求定義安全控制。集中式安全和治理團隊的目標是構建一個系統,使工作負載擁有者能夠做出明智的決策,並讓所有各方都能看到配置、發現結果和事件。AWS SRA 可以是識別和通知這些討論的工具。

AWS SRA 的主要實作準則

以下是 AWS SRA 在設計和實作安全性時要牢記的八個要點。  

  • AWS Organizations 和適當的多帳戶策略是安全架構的必要元素。適當地分離工作負載、團隊和功能,為職責和 defense-in-depth 策略分離提供了基礎。該指南在後面的章節中進一步介紹了這一點。

  • D efense-in-depth 是為您的組織選擇安全控制的重要設計考量。它可協助您在 AWS Organization 結構的不同層級插入適當的安全控制,以協助將問題的影響降到最低:如果某一層發生問題,則有可隔離其他重要 IT 資源的控制項。AWS SRA 示範不同 AWS 服務如何在 AWS 技術堆疊的不同層級運作,以及將這些服務組合使用如何協助您達成目標 defense-in-depth。在 AWS 上的這個 defense-in-depth 概念將在後面的章節中進一步討論,並在應用程式帳戶下顯示設計範例。

  • 跨多個 AWS 服務和功能使用各種安全建置區塊,建立強大且具彈性的雲端基礎設施。在根據您的特定需求量身打造 AWS SRA 時,不僅要考慮 AWS 服務和功能的主要功能 (例如身份驗證、加密、監控、許可政策),還要考慮它們如何融入您的架構結構。指南後面的章節說明某些服務在整個 AWS 組織中的運作方式。其他服務在單一帳戶內運作最佳,有些服務設計用於授予或拒絕個別主體的權限。考慮到這兩種觀點,可協助您建立更靈活、更多層次的安全性方法。

  • 在可能的情況下 (詳見後面的章節),請使用可在每個帳戶 (分散而非集中式) 部署的 AWS 服務,並建立一組一致的共用防護,以協助保護工作負載免於誤用,並協助減少安全事件的影響。AWS SRA 使用 AWS Security Hub (集中尋找監控和合規檢查)、Amazon GuardDuty (威脅偵測和異常偵測)、AWS Config (資源監控和變更偵測)、IAM 存取分析器 (資源存取監控、AWS CloudTrail (跨環境的記錄服務 API 活動) 和 Amazon Macie (資料分類) 做為要在每個 AWS 帳戶部署的 AWS 服務的基礎組合。

  • 利用支 AWS Organizations Organization 的委派管理功能,如本指南稍後的委派管理一節所述。這可讓您將 AWS 成員帳戶註冊為支援服務的管理員。委派管理可讓企業內的不同團隊彈性使用不同的帳戶 (視其職責而定) 管理整個環境中的 AWS 服務。此外,使用委派的管理員可協助您限制 AWS Organizations Organization 管理帳戶的存取和管理許可開銷。

  • 在 AWS 組織中實作集中式監控、管理和控管。透過使用支援多帳戶 (有時是多區域) 彙總的 AWS 服務以及委派的管理功能,您可以讓中央安全、網路和雲端工程團隊擁有廣泛的可見性和控制適當的安全組態和資料收集。此外,資料還可以提供給工作負載團隊,讓他們能夠在軟體開發生命週期 (SDLC) 的早期做出有效的安全決策。

  • 使用 AWS Control Tower 設定和管理您的多帳戶 AWS 環境,並實作預先建置的安全控制,以啟動安全參考架構建置作業。AWS Control Tower 提供了一個藍圖,可提供身分管理、帳戶的聯合存取、集中記錄,以及定義用於佈建其他帳戶的工作流程。然後,您可以使用 AWS Control Tower (CFCT) 的自訂解決方案,根據 AWS SRA 程式碼儲存庫所示的其他安全控制、服務組態和管理來基準 AWS Control Tower 管理的帳戶。帳戶工廠功能會根據核准的帳戶組態自動佈建具有可設定範本的新帳戶,以標準化 AWS Organizations 內的帳戶。您也可以將管理擴展到個別現有 AWS 帳戶,方法是將其註冊到已由 AWS Control Tower 管理的組織單位 (OU)。

  • AWS SRA 程式碼範例示範如何使用基礎設施即程式碼 (IAC),在 AWS SRA 指南中自動執行模式。藉由編碼模式,您可以將 IaC 視為組織中的其他應用程式,並在部署程式碼之前自動化測試。IaC 還通過在多個(例如 SDLC 或特定區域)環境中部署護欄來幫助確保一致性和可重複性。SRA 程式碼範例可部署在具有或不使用 AWS Control Tower 的 AWS Organizations 多帳戶環境中。此儲存庫中需要 AWS Control Tower 的解決方案已使用 AWS 和 AWS Control Tower (CFCT) 的自訂功能,在 AWS Control Tower 環境中部署 CloudFormation 和測試。不需要 AWS Control Tower 的解決方案已使用 AWS 在 AWS Organizations 環境中進行測試 CloudFormation。如果您未使用 AWS Control Tower,則可以使用 AWS 組織型部署解決方案。