Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Référentiel de code pour les exemples AWS SRA
Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête |
Pour vous aider à créer et à mettre en œuvre les directives de l'AWS SRA, un référentiel d'infrastructure en tant que code (IaC) disponible à l'adresse https://github.com/aws-samples/aws-security-reference-architecture-examples
Le référentiel de code AWS SRA fournit des exemples de code avec les options de déploiement AWS CloudFormation et Terraform. Les modèles de solution prennent en charge deux environnements : l'un nécessite AWS Control Tower et l'autre utilise AWS Organizations sans AWS Control Tower. Les solutions de ce référentiel qui nécessitent AWS Control Tower ont été déployées et testées dans un environnement AWS Control Tower à l'aide d'AWS CloudFormation et de Customizations for AWS Control Tower (CfCT)
Voici un résumé des solutions du référentiel AWS SRA
-
La solution CloudTrail Organization
crée un suivi de l'organisation dans le compte de gestion de l'organisation et délègue l'administration à un compte membre tel que le compte Audit ou Security Tooling. Ce journal est chiffré à l'aide d'une clé gérée par le client créée dans le compte Security Tooling et transmet les journaux à un compartiment S3 du compte Log Archive. Les événements de données peuvent éventuellement être activés pour les fonctions Amazon S3 et AWS Lambda. Un journal d'organisation enregistre les événements pour tous les comptes AWS de l'organisation AWS tout en empêchant les comptes membres de modifier les configurations. -
La solution GuardDuty Organization
active Amazon GuardDuty en déléguant l'administration au compte Security Tooling. Il est configuré GuardDuty dans le compte Security Tooling pour tous les comptes d'organisation AWS existants et futurs. Les GuardDuty résultats sont également chiffrés à l'aide d'une clé KMS et envoyés vers un compartiment S3 du compte Log Archive. -
La solution Security Hub Organization
configure AWS Security Hub en déléguant l'administration au compte Security Tooling. Il configure Security Hub dans le compte Security Tooling pour tous les comptes d'organisation AWS existants et futurs. La solution fournit également des paramètres pour synchroniser les normes de sécurité activées sur tous les comptes et régions, ainsi que pour configurer un agrégateur de régions au sein du compte Security Tooling. La centralisation de Security Hub au sein du compte Security Tooling fournit une vue multicompte de la conformité aux normes de sécurité et des résultats des services AWS et des intégrations de partenaires AWS tiers. -
La solution Inspector
configure Amazon Inspector au sein du compte administrateur délégué (Security Tooling) pour tous les comptes et régions régies par l'organisation AWS. -
La solution Firewall Manager
configure les politiques de sécurité d'AWS Firewall Manager en déléguant l'administration au compte Security Tooling et en configurant Firewall Manager avec une politique de groupe de sécurité et plusieurs politiques AWS WAF. La politique des groupes de sécurité exige un groupe de sécurité maximal autorisé au sein d'un VPC (existant ou créé par la solution), qui est déployé par la solution. -
La solution Macie Organization
active Amazon Macie en déléguant l'administration au compte Security Tooling. Il configure Macie dans le compte Security Tooling pour tous les comptes d'organisation AWS existants et futurs. Macie est également configuré pour envoyer ses résultats de découverte à un compartiment S3 central chiffré à l'aide d'une clé KMS. -
AWS Config
-
La solution Config Aggregator
configure un agrégateur AWS Config en déléguant l'administration au compte Security Tooling. La solution configure ensuite un agrégateur AWS Config dans le compte Security Tooling pour tous les comptes existants et futurs de l'organisation AWS. -
La solution Conformance Pack Organization Rules déploie les règles
AWS Config en déléguant l'administration au compte Security Tooling. Il crée ensuite un pack de conformité d'organisation dans le compte d'administrateur délégué pour tous les comptes existants et futurs de l'organisation AWS. La solution est configurée pour déployer le modèle d'exemple de pack de conformité aux meilleures pratiques opérationnelles pour le chiffrement et la gestion des clés. -
La solution AWS Config Control Tower Management Account
active AWS Config dans le compte de gestion AWS Control Tower et met à jour l'agrégateur AWS Config dans le compte Security Tooling en conséquence. La solution utilise le CloudFormation modèle AWS Control Tower pour activer AWS Config comme référence afin de garantir la cohérence avec les autres comptes de l'organisation AWS.
-
-
IAM
-
La solution Access Analyzer
active AWS IAM Access Analyzer en déléguant l'administration au compte Security Tooling. Il configure ensuite un analyseur d'accès au niveau de l'organisation dans le compte Security Tooling pour tous les comptes existants et futurs de l'organisation AWS. La solution déploie également Access Analyzer sur tous les comptes membres et régions afin de faciliter l'analyse des autorisations au niveau des comptes. -
La solution IAM Password Policy
met à jour la politique de mot de passe des comptes AWS pour tous les comptes d'une organisation AWS. La solution fournit des paramètres permettant de configurer les paramètres de politique de mot de passe afin de vous aider à vous aligner sur les normes de conformité du secteur.
-
-
La solution de chiffrement EBS par défaut EC2 permet le chiffrement
Amazon EBS par défaut au niveau du compte au sein de chaque compte AWS et de chaque région AWS de l'organisation AWS. Il applique le chiffrement des nouveaux volumes EBS et des instantanés que vous créez. Par exemple, Amazon EBS chiffre les volumes EBS créés lorsque vous lancez une instance et les instantanés que vous copiez à partir d'un instantané non chiffré. -
La solution S3 Block Account Public Access
active les paramètres au niveau du compte Amazon S3 au sein de chaque compte AWS de l'organisation AWS. La fonction du blocage de l'accès public Amazon S3 fournit des paramètres pour les points d'accès, les compartiments et les comptes afin de vous aider à gérer l'accès public aux ressources Amazon S3. Par défaut, les nouveaux compartiments, points d'accès et objets n'autorisent pas l'accès public. Toutefois, les utilisateurs peuvent modifier les stratégies de compartiment, les stratégies de point d'accès ou les autorisations d'objet pour autoriser l'accès public. Les paramètres de blocage de l'accès public d'Amazon S3 remplacent ces politiques et autorisations afin que vous puissiez limiter l'accès public à ces ressources. -
La solution Detective Organization
automatise l'activation d'Amazon Detective en déléguant l'administration à un compte (tel que le compte Audit ou Security Tooling) et en configurant Detective pour tous les comptes AWS Organization existants et futurs. -
La solution Shield Advanced
automatise le déploiement d'AWS Shield Advanced afin d'améliorer la protection contre les attaques DDoS pour vos applications sur AWS. -
La solution AMI Bakery Organization
permet d'automatiser le processus de création et de gestion d'images Amazon Machine Image (AMI) standard et renforcées. Cela garantit la cohérence et la sécurité de vos instances AWS et simplifie les tâches de déploiement et de maintenance.