Panoramica dello scenario e dell'architettura

L'agenzia governativa ha tre carichi di lavoro nei seguenti settori: Cloud AWS

Un data lake serverless che utilizza Amazon Simple Storage Service (Amazon S3) per lo storage e AWS Lambda per le operazioni di estrazione, trasformazione e caricamento (ETL)
Un servizio Web containerizzato che viene eseguito su Amazon Elastic Container Service (Amazon ECS) e utilizza un database in Amazon Relational Database Service (Amazon RDS)
Un software commerciale off-the-shelf (COTS) in esecuzione su Amazon EC2

Un team cloud fornisce una piattaforma centralizzata per l'organizzazione, che gestisce i servizi di base per l' AWS ambiente. Un team cloud fornisce i servizi di base per l' AWS ambiente. Ogni carico di lavoro è di proprietà di un team applicativo distinto, noto anche come team di sviluppo o team di consegna.

Architettura di base

Il team cloud ha già stabilito le seguenti funzionalità in Cloud AWS:

La federazione delle identità AWS IAM Identity Center si collega ai loro Microsoft Istanza Entra ID (in precedenza Azure Active Directory). La federazione applica la MFA, la scadenza automatica degli account utente e l'uso di credenziali AWS Identity and Access Management di breve durata tramite ruoli (IAM).
Una pipeline AMI centralizzata viene utilizzata per applicare patch OSs e applicazioni principali con Image EC2 Builder.
Amazon Inspector è abilitato a identificare le vulnerabilità e tutti i risultati di sicurezza vengono inviati ad Amazon GuardDuty per la gestione centralizzata.
Vengono utilizzati meccanismi consolidati per aggiornare le regole di controllo delle applicazioni, rispondere agli eventi di sicurezza informatica e esaminare le lacune di conformità.
AWS CloudTrail viene utilizzato per la registrazione e il monitoraggio.
Gli eventi di sicurezza, come l'accesso dell'utente root, avviano gli avvisi.
SCPs e le policy degli endpoint VPC stabiliscono i perimetri dei dati per i tuoi ambienti. AWS
SCPs impedisci ai team addetti alle applicazioni di disabilitare i servizi di sicurezza e registrazione, come e. CloudTrail AWS Config
AWS Config i risultati vengono aggregati dall'intera AWS organizzazione in un unico Account AWS documento per motivi di sicurezza.
Il pacchetto di conformità AWS Config ACSC Essential 8 è abilitato in tutta Account AWS l'organizzazione.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Caso di studio

Data lake senza server