AWS SRA 的值 - AWS 規範指引
如何使用 AWS SRAAWS SRA 的關鍵實作指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS SRA 的值

進行簡短的調查,影響 AWS 安全參考架構 (AWS SRA) 的未來。

AWS 具有一組大型 (和不斷增加) 的安全和安全相關服務。客戶對我們的服務文件、部落格文章、教學課程、峰會和會議提供的詳細資訊表示感謝。他們也告訴我們,他們想要更了解全局,並取得 AWS 安全服務的策略性檢視。當我們與客戶合作以更深入地了解他們需要什麼時,會出現三個優先順序:

  • 客戶希望取得如何全面部署、設定和操作 AWS 安全服務的詳細資訊和建議模式。服務應該部署和管理於哪些帳戶和哪些安全目標?  是否有一個安全帳戶,其中所有或大部分服務都應操作?  選擇位置 (組織單位或 AWS 帳戶) 如何通知安全目標? 客戶應該注意哪些權衡 (設計考量)?

  • 客戶有興趣查看不同的觀點,以邏輯方式組織許多 AWS 安全服務。除了每個服務的主要功能 (例如身分服務或記錄服務) 之外,這些替代觀點還協助客戶規劃、設計和實作其安全架構。本指南稍後分享的範例會根據符合 AWS 環境建議結構的保護層來分組服務。

  • 客戶正在尋找以最有效方式整合安全服務的指引和範例。例如,他們應該如何最好地將 AWS Config 與其他 服務保持一致並連線,以便在自動化稽核和監控管道中繁重繁重?  客戶請求指導,了解每個 AWS 安全服務如何依賴或支援其他安全服務。

我們會在 AWS 中解決這些問題SRA。清單中的第一個優先順序 (事情的進行位置) 是主架構圖和本文件中隨附討論的重點。我們提供建議的 AWS Organizations 架構,以及服務目的地的 account-by-account 描述。 若要開始使用清單中的第二優先順序 (如何考慮整組安全服務),請閱讀章節:將安全服務套用至您的 AWS 組織。本節說明根據 AWS 組織中元素結構將安全服務分組的方法。此外,這些相同的想法也反映在 Application 帳戶的討論中,其中強調了如何操作安全服務以專注於帳戶的某些層:Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、Amazon Virtual Private Cloud (Amazon VPC) 網路,以及更廣泛的帳戶。最後,第三個優先順序 (服務整合) 會反映在整個指南中,特別是在本文件的帳戶深入探討區段中個別服務的討論,以及 SRAAWS 程式碼儲存庫中的程式碼。

如何使用 AWS SRA

SRA 根據您在雲端採用旅程中的位置,有多種不同的 AWS 使用方式。以下是從 AWS SRA資產 (架構圖、書面指引和程式碼範例) 中取得最多洞見的方法清單。

  • 定義您自身安全架構的目標狀態。

無論您是剛開始您的 AWS Cloud 旅程,或是設定您的第一組帳戶,或是打算增強已建立的 AWS 環境,AWS SRA 都是開始建置安全架構的地方。從帳戶結構和安全服務的全面基礎開始,然後根據您的特定技術堆疊、技能、安全目標和合規要求進行調整。如果您知道要建置並啟動更多工作負載,則可以使用自訂版本的 AWS SRA做為組織安全參考架構的基礎。若要了解如何達成 AWS SRA 所述的目標狀態,請參閱建置安全架構 – 分階段方法一節。

  • 檢閱 (和修改) 您已實作的設計和功能。

如果您已經有安全設計和實作,值得花一些時間來比較 AWS 的內容SRA。AWS SRA 旨在全面性,並提供診斷基準來檢閱您自己的安全。如果您的安全設計與 AWS 相符SRA,您可以更有信心在使用 AWS 服務時遵循最佳實務。如果您的安全設計與 SRA AWS 中的指引分歧或甚至不同意,這不一定表示您做錯了什麼。相反地,此觀察可讓您有機會檢閱決策程序。您可能偏離 AWS SRA最佳實務的正當商業和技術原因。您的特定合規、法規或組織安全要求可能需要特定的服務組態。或者,您可能會有來自 AWS Partner Network 或您所建置和管理的自訂應用程式的產品功能偏好設定,而不是使用 AWS 服務。有時,在審核期間,您可能會發現您先前的決策是基於不再適用的舊技術、AWS 功能或業務限制。這是檢閱、排定任何更新優先順序,並將更新新增至您工程待辦項目適當位置的好機會。無論您在根據 AWS 評估安全架構時發現什麼SRA,您都會發現記錄該分析很有價值。擁有決策及其理由的歷史記錄有助於通知未來決策並排定優先順序。

  • 引導您自己的安全架構實作。

AWS SRA 基礎設施作為程式碼 (IaC) 模組提供快速、可靠的方法來開始建置和實作您的安全架構。這些模組會在程式碼儲存庫區段和公有 GitHub 儲存庫中更深入地描述。它們不僅讓工程師能夠建立在 AWS SRA指引中模式的高品質範例之上,還包含建議的安全控制,例如 AWS Identity and Access Management (IAM) 密碼政策、Amazon Simple Storage Service (Amazon S3) 封鎖帳戶公開存取、Amazon EC2 預設 Amazon Elastic Block Store (Amazon EBS) 加密,以及與 AWS Control Tower 的整合,以便在新 AWS 帳戶加入或停用時套用或移除控制。

  • 進一步了解 AWS 安全服務和功能。

AWS 中的指引和討論SRA包括個別 AWS 安全和安全相關服務的重要功能,以及部署和管理考量。AWS SRA 的其中一個功能是,它提供 AWS 安全服務的廣度,以及它們如何在多帳戶環境中一起運作的高階介紹。這可補充深入探討其他來源中每個服務的功能和組態。其中一個範例是討論 AWS Security Hub 如何從各種 AWS 服務、AWS 合作夥伴產品,甚至是您自己的應用程式擷取安全調查結果。

  • 推動組織治理和安全責任的討論。

設計和實作任何安全架構或策略的一個重要元素是了解組織中的哪些人具有與安全相關的責任。例如,彙總和監控安全調查結果的位置問題與負責該活動之團隊的問題有關。整個組織的所有調查結果是否都由需要存取專用安全工具帳戶的中央團隊監控? 或者,個別應用程式團隊 (或業務單位) 是否負責特定監控活動,因此需要存取特定提醒和監控工具? 另一個範例是,如果您的組織有一個集中管理所有加密金鑰的群組,這將影響誰具有建立 AWS Key Management Service (AWS KMS) 金鑰的許可,以及這些金鑰要管理的帳戶。了解您組織的特性 — 各種團隊和責任 — 將協助您量身打造 AWS SRA以最符合您的需求。相反地,有時安全架構的討論會成為討論現有組織責任和考慮潛在變更的動力。AWS 建議使用分散式決策程序,其中工作負載團隊負責根據其工作負載函數和需求定義安全控制。集中式安全與治理團隊的目標是建置系統,讓工作負載擁有者能夠做出明智的決策,並讓所有各方都能掌握組態、調查結果和事件。AWS Word SRA可以是識別和通知這些討論的工具。

AWS SRA 的關鍵實作指南

以下是在設計和實作安全性時SRA,要記住的 AWS 的八個關鍵要點。  

  • AWS Organizations 和適當的多帳戶策略是您安全架構的必要元素。適當地分隔工作負載、團隊和函數,為職責和 defense-in-depth 策略的分離提供了基礎。本指南在稍後的章節中進一步說明這一點。

  • Defense-in-depth 是為您的組織選擇安全控制的重要設計考量。它可協助您在 AWS Organizations 結構的不同層注入適當的安全控制項,這有助於將問題的影響降至最低:如果其中一層發生問題,則有適當的控制項可隔離其他寶貴的 IT 資源。AWS SRA 示範不同 AWS 技術堆疊層的不同 AWS 服務如何運作,以及結合使用這些服務如何協助您實現 defense-in-depth。稍後章節會進一步討論 AWS 上的此 defense-in-depth 概念,其設計範例會顯示在應用程式帳戶下。

  • 跨多個 AWS 服務和功能使用各種安全建置區塊,以建置強大且具彈性的雲端基礎設施。SRA 根據您的特定需求量身打造 AWS 時,不僅要考慮 AWS 服務和功能 (例如,身分驗證、加密、監控、許可政策) 的主要函數,還要考慮它們如何融入您架構的結構。本指南的稍後章節說明部分 服務如何在整個 AWS 組織中運作。其他服務在單一帳戶中運作最佳,有些服務旨在授予或拒絕個別委託人的許可。考慮這兩個觀點,可協助您建置更靈活、分層的安全方法。

  • 在可能的情況下 (如後續章節所述),請利用可部署在每個帳戶中 (分散而非集中) 的 AWS 服務,並建置一組一致的共用防護機制,以協助保護您的工作負載免於誤用,並協助降低安全事件的影響。AWS SRA 使用 AWS Security Hub (集中調查結果監控和合規檢查)、Amazon GuardDuty (威脅偵測和異常偵測)、AWS Config (資源監控和變更偵測)、IAM Access Analyzer (資源存取監控、AWS CloudTrail Word (在您環境中記錄服務 API 活動) 和 Amazon Macie (資料分類) 作為要部署在每個 AWS 帳戶的基礎 AWS 服務集。

  • 使用支援 AWS Organizations 的委派管理功能,如本指南的委派管理章節稍後所述。這可讓您將 AWS 成員帳戶註冊為受支援服務的管理員。委派的管理為企業內不同團隊提供彈性,以根據其責任使用個別帳戶,以管理整個環境中的 AWS 服務。此外,使用委派的管理員可協助您限制對 AWS Organizations 管理帳戶的存取和管理許可額外負荷。

  • 在您的 AWS 組織中實作集中式監控、管理和治理。透過使用支援多帳戶 (有時是多區域) 彙總的 AWS 服務,以及委派的管理功能,您可以授權您的中央安全、網路和雲端工程團隊對適當的安全組態和資料收集擁有廣泛的可見性和控制。此外,資料可以提供給工作負載團隊,讓他們能夠在軟體開發生命週期 (SDLC) 的早期做出有效的安全決策。

  • 使用 AWS Control Tower 透過實作預先建置的安全控制來設定和管理您的多帳戶 AWS 環境,以引導您的安全參考架構建置。AWS Control Tower 提供藍圖,提供身分管理、帳戶聯合存取、集中記錄,以及用於佈建其他帳戶的已定義工作流程。然後,您可以使用 Customizations for AWS Control Tower (CfCT) 解決方案,將 AWS Control Tower 管理的帳戶與額外的安全控制、服務組態和治理作為基準,如 AWS SRA儲存庫所示。帳戶工廠功能會根據核准的帳戶組態,自動佈建具有可設定範本的新帳戶,以標準化 AWS Organizations 中的帳戶。您也可以透過將 Word 帳戶註冊到已受 AWS Control Tower 管理的組織單位 (OU) 中,將治理擴展到個別現有的 AWS 帳戶。

  • AWS SRA 程式碼範例示範如何使用基礎設施作為程式碼 (IaC) 來自動化 AWS SRA指南中的模式實作。透過編纂模式,您可以將 IaC 視為組織中的其他應用程式,並在部署程式碼之前自動化測試。IaC 也透過在多個 (例如 SDLC 或區域特定) 環境中部署防護機制,協助確保一致性和可重複性。SRA 程式碼範例可以部署在 AWS Organizations 多帳戶環境中,無論是否具有 AWS Control Tower。此儲存庫中需要 AWS Control Tower 的解決方案已使用 AWS CloudFormation Word 和 Customizations for AWS Control Tower (CfCT) 在 Word Control Tower 環境中部署和測試。 AWS CfCT 不需要 AWS Control Tower 的解決方案已透過使用 AWS 於 AWS Organizations 環境中進行測試 CloudFormation。如果您不使用 AWS Control Tower,則可以使用 AWS Organizations 型部署解決方案。