Code-Repository für AWS SRA — Beispiele - AWSPräskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Code-Repository für AWS SRA — Beispiele

Um Ihnen den Einstieg in die Erstellung und Implementierung der Anleitung in der AWS SRA zu erleichtern, einem Infrastructure as Code (IaC) -Repository unterhttps://github.com/aws-samples/aws-security-reference-architecture—Beispiele für dieliegt diesem Leitfaden bei. Dieses Repository enthält Code, der Entwicklern und Ingenieuren hilft, einige der in diesem Dokument vorgestellten Anleitungen und Architekturmuster bereitzustellen. Dieser Code basiert auf den Erfahrungen der Berater von AWS Professional Services aus erster Hand mit Kunden. Die Vorlagen sind allgemeiner Natur — ihr Ziel ist es, ein Implementierungsmuster zu veranschaulichen, anstatt eine vollständige Lösung bereitzustellen. Die AWS-Servicekonfigurationen und Ressourcenbereitstellungen sind bewusst sehr restriktiv. Möglicherweise müssen Sie diese Lösungen modifizieren und an Ihre Umgebungs- und Sicherheitsanforderungen anpassen.

Die Beispiele in diesem Repository wurden in einer AWS Control Tower Tower-Umgebung mithilfe von AWS bereitgestellt und getestet CloudFormation und dieAnpassungen für AWS Control Tower (CfCT)Lösung. Die CFCT-Lösung hilft Kunden dabei, schnell eine sichere AWS-Umgebung mit mehreren Konten einzurichten, die auf den Best Practices von AWS basiert. Es hilft, Zeit zu sparen, indem es die Einrichtung einer Umgebung für die Ausführung sicherer und skalierbarer Workloads automatisiert und gleichzeitig eine anfängliche Sicherheitsbasis durch die Erstellung von Konten und Ressourcen implementiert. Der AWS Control Tower bietet auch eine Basisumgebung für den Einstieg in eine Architektur mit mehreren Konten, Identitäts- und Zugriffsmanagement, Governance, Datensicherheit, Netzwerkdesign und Protokollierung. Die Lösungen im AWS SRA-Repository bieten zusätzliche Sicherheitskonfigurationen zur Implementierung der in diesem Dokument beschriebenen Muster.

Hier finden Sie eine Zusammenfassung der Lösungen in derAWS SRA-Repository. Jede Lösung enthält eine README.md-Datei mit Details. 

  • DieCloudTrail Organisation-Lösung erstellt einen Organisationspfad innerhalb des Org Management-Kontos. Dieser Trail ist mit einem vom Kunden verwalteten Schlüssel verschlüsselt, der im Security Tooling-Konto erstellt wurde, und liefert Protokolle an einen S3-Bucket im Log Archiv-Konto. Optional können Datenereignisse für Amazon S3- und AWS Lambda Lambda-Funktionen aktiviert werden. Ein Organisations-Trail protokolliert Ereignisse für alle AWS-Konten in der AWS-Organisation und verhindert gleichzeitig, dass Mitgliedskonten die Konfigurationen ändern.

  • DieGuardDuty OrganisationLösung ermöglicht Amazon GuardDuty indem Sie die Verwaltung an das Security Tooling-Konto delegieren. Es konfiguriert GuardDuty innerhalb des Security Tooling-Kontos für alle bestehenden und future AWS-Organisationskonten. Die GuardDutyErgebnisse werden auch mit einem KMS-Schlüssel verschlüsselt und an einen S3-Bucket im Log Archive-Konto gesendet.

  • DieOrganisation des Security Hub -Lösung konfiguriert AWS Security Hub, indem sie die Verwaltung an das Security Tooling-Konto delegiert. Es konfiguriert Security Hub innerhalb des Security Tooling-Kontos für alle bestehenden und future AWS-Organisationskonten. Die Lösung bietet auch Parameter für die Synchronisierung der aktivierten Sicherheitsstandards über alle Konten und Regionen hinweg sowie die Konfiguration eines Region-Aggregators innerhalb des Security Tooling-Kontos. Die Zentralisierung von Security Hub innerhalb des Security Tooling-Kontos bietet einen kontoübergreifenden Überblick über die Einhaltung von Sicherheitsstandards und Erkenntnisse sowohl von AWS-Services als auch von AWS-Partnerintegrationen von Drittanbietern.

  • DieFirewall Manager Lösung konfiguriert die Sicherheitsrichtlinien von AWS Firewall Manager, indem die Verwaltung an das Security Tooling-Konto delegiert wird und Firewall Manager mit einer Sicherheitsgruppenrichtlinie und mehreren AWS-WAF-Richtlinien konfiguriert wird. Die Sicherheitsgruppenrichtlinie erfordert eine maximal zulässige Sicherheitsgruppe innerhalb einer VPC (vorhanden oder von der Lösung erstellt), die von der Lösung bereitgestellt wird.

  • DieMacie-Lösung ermöglicht Amazon Macie, indem die Verwaltung an das Security Tooling-Konto delegiert wird. Es konfiguriert Macie innerhalb des Security Tooling-Kontos für alle bestehenden und future AWS-Organisationskonten. Macie ist außerdem so konfiguriert, dass es seine Ermittlungsergebnisse an einen zentralen S3-Bucket sendet, der mit einem KMS-Schlüssel verschlüsselt ist.

  • AWS Config

    • DieConfig-Aggregator -Lösung konfiguriert einen AWS Config-Aggregator, indem sie die Verwaltung an das Security Tooling-Konto delegiert. Die Lösung konfiguriert dann einen AWS Config-Aggregator innerhalb des Security Tooling-Kontos für alle vorhandenen und future Konten in der AWS-Organisation.

    • DieOrganisationsregeln für das Conformance Pack-Lösung stellt AWS Config-Regeln bereit, indem sie die Verwaltung an das Security Tooling-Konto delegiert. Anschließend wird ein Organization Conformance Pack innerhalb des delegierten Administratorkontos für alle vorhandenen und future Konten in der AWS-Organisation erstellt. Die Lösung ist für die Bereitstellung desBewährte Methoden für die Ausführung von EncryptionMustervorlage für ein Konformitätspaket.

    • DieAWS Config Control Tower Verwaltungskonto-Lösung aktiviert AWS Config im AWS Control Tower Tower-Managementkonto und aktualisiert den AWS Config-Aggregator innerhalb des Security Tooling-Kontos entsprechend. Die Lösung nutzt den AWS Control Tower CloudFormation Vorlage zur Aktivierung von AWS Config als Referenz, um die Konsistenz mit den anderen Konten in der AWS-Organisation sicherzustellen.

  • IAM

    • DieAccess Analyzer-Lösung aktiviert AWS IAM Access Analyzer, indem die Verwaltung an das Security Tooling-Konto delegiert wird. Anschließend wird ein Access Analyzer auf Organisationsebene innerhalb des Security Tooling-Kontos für alle vorhandenen und future Konten in der AWS-Organisation konfiguriert. Die Lösung stellt Access Analyzer auch für alle Mitgliedskonten und Regionen bereit, um die Analyse von Berechtigungen auf Kontoebene zu unterstützen.

    • DieIAM–Passwortrichtlinie-Lösung aktualisiert die Passwortrichtlinie für das AWS-Konto in allen Konten einer AWS-Organisation. Die Lösung bietet Parameter für die Konfiguration der Kennwortrichtlinieneinstellungen, um Sie bei der Einhaltung von Branchenstandards zu unterstützen.

  • DieEC2-Standard-EBS-Verschlüsselung-Lösung ermöglicht die standardmäßige Amazon EBS-Verschlüsselung auf Kontoebene für jedes AWS-Konto und jede AWS-Region in der AWS-Organisation. Es erzwingt die Verschlüsselung neuer EBS-Volumes und Snapshots, die Sie erstellen. Beispielsweise verschlüsselt Amazon EBS die beim Starten einer Instance erstellten EBS-Volumes und die Snapshots, die Sie aus einem nicht verschlüsselten Snapshot oder Volume erstellen.

  • DieS3 Block Account Public Access-Lösung ermöglicht Amazon S3 S3-Einstellungen auf Kontoebene innerhalb jedes AWS-Kontos in der AWS-Organisation. Die Amazon S3 Block Public Access-Funktion bietet Einstellungen für Zugriffspunkte, Buckets und Konten, mit denen Sie den öffentlichen Zugriff auf Amazon-S3-Ressourcen verwalten können. Standardmäßig erlauben neue Buckets, Zugriffspunkte und Objekte keinen öffentlichen Zugriff. Benutzer können jedoch Bucket-Richtlinien, Zugriffspunkt-Richtlinien oder Objektberechtigungen ändern, um öffentlichen Zugriff zu ermöglichen. Amazon S3 Block Public Access-Einstellungen überschreiben diese Richtlinien und Berechtigungen, damit Sie den öffentlichen Zugriff auf diese Ressourcen einschränken können.