Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Présentation du scénario et de l'architecture
L'agence gouvernementale a trois charges de travail dans les AWS Cloud domaines suivants :
-
Un lac de données sans serveur qui utilise Amazon Simple Storage Service (Amazon S3) pour le stockage AWS Lambda et pour les opérations d'extraction, de transformation et de chargement (ETL)
-
Un service Web conteneurisé qui s'exécute sur Amazon Elastic Container Service (Amazon ECS) et utilise une base de données dans Amazon Relational Database Service (Amazon RDS)
-
Un logiciel commercial off-the-shelf (COTS) exécuté sur Amazon EC2
Une équipe cloud fournit une plate-forme centralisée à l'organisation, exécutant les principaux services pour l' AWS environnement. Une équipe cloud fournit des services de base pour l' AWS environnement. Chaque charge de travail appartient à une équipe d'application distincte, également appelée équipe de développement ou équipe de livraison.
Architecture de base
L'équipe cloud a déjà mis en place les fonctionnalités suivantes dans AWS Cloud :
-
Liens de la fédération d'identité AWS IAM Identity Center vers leur Microsoft Instance Entra ID (anciennement Azure Active Directory). La fédération applique le MFA, l'expiration automatique des comptes utilisateurs et l'utilisation d'informations d'identification de courte durée par le AWS Identity and Access Management biais de rôles (IAM).
-
Un pipeline d'AMI centralisé est utilisé pour appliquer des correctifs OSs et des applications de base avec EC2 Image Builder.
-
Amazon Inspector est activé pour identifier les vulnérabilités, et tous les résultats de sécurité sont envoyés à Amazon GuardDuty pour une gestion centralisée.
-
Les mécanismes établis sont utilisés pour mettre à jour les règles de contrôle des applications, répondre aux événements de cybersécurité et examiner les lacunes en matière de conformité.
-
AWS CloudTrail est utilisé pour la journalisation et la surveillance.
-
Les événements de sécurité, tels que la connexion de l'utilisateur root, déclenchent des alertes.
-
SCPs et les politiques relatives aux points de terminaison VPC établissent les périmètres de données de vos environnements. AWS
-
SCPs empêcher les équipes chargées des applications de désactiver les services de sécurité et de journalisation, tels que CloudTrail et AWS Config.
-
AWS Config les résultats sont regroupés pour l'ensemble de AWS l'organisation en un seul Compte AWS pour la sécurité.
-
Le pack de conformité AWS Config ACSC Essential 8 est activé dans l'ensemble de votre Comptes AWS organisation.
