Esempi di repository di codice per AWS SRA - AWSGuida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di repository di codice per AWS SRA

Influenza il future dellaAWS Security Reference Architecture (AWSSRA) partecipando a un breve sondaggio.

Per aiutarti a iniziare a creare e implementare le linee guida nell'AWS SRA, questa guida è accompagnata da un repository Infrastructure as Code (IaC) all'indirizzo https://github.com/aws-samples/aws-security-reference-architecture -examples. Questo repository contiene codice per aiutare sviluppatori e ingegneri a implementare alcune delle linee guida e dei modelli di architettura presentati in questo documento. Questo codice è tratto dall'esperienza diretta dei consulenti di AWS Professional Services con i clienti. I modelli sono di natura generale: il loro obiettivo è illustrare un modello di implementazione piuttosto che fornire una soluzione completa. Le configurazioni dei servizi AWS e l'implementazione delle risorse sono volutamente molto restrittive. Potrebbe essere necessario modificare e personalizzare queste soluzioni in base alle esigenze di ambiente e sicurezza.

Gli esempi all'interno di questo repository sono stati distribuiti e testati all'interno di un ambiente AWS Control Tower utilizzando AWS CloudFormation e la soluzione Customizations for AWS Control Tower (cFCT). La soluzione cFCT aiuta i clienti a configurare rapidamente un ambiente AWS sicuro e con più account basato sulle best practice di AWS. Aiuta a risparmiare tempo automatizzando la configurazione di un ambiente per l'esecuzione di carichi di lavoro sicuri e scalabili, implementando al contempo una base di sicurezza iniziale attraverso la creazione di account e risorse. AWS Control Tower fornisce anche un ambiente di base per iniziare con un'architettura multi-account, gestione delle identità e degli accessi, governance, sicurezza dei dati, progettazione di rete e registrazione. Le soluzioni nel repository AWS SRA forniscono configurazioni di sicurezza aggiuntive per implementare i modelli descritti in questo documento.

Ecco un riepilogo delle soluzioni nel repository AWS SRA. Ogni soluzione include un file README.md con dettagli. 

  • La soluzione CloudTrail Organization crea un percorso organizzativo all'interno dell'account Org Management. Questo percorso è crittografato con una chiave gestita dal cliente creata nell'account Security Tooling e invia i log a un bucket S3 nell'account Log Archive. Facoltativamente, eventi di dati possono essere abilitati per le funzioni Amazon S3 e AWS Lambda. Un percorso organizzativo registra gli eventi per tutti gli account AWS dell'organizzazione AWS, impedendo agli account dei membri di modificare le configurazioni.

  • La soluzione GuardDuty Organization abilita Amazon GuardDuty delegando l'amministrazione all'account Security Tooling. Si configura GuardDuty all'interno dell'account Security Tooling per tutti gli account aziendali AWS esistenti e future. I GuardDuty risultati vengono inoltre crittografati con una chiave KMS e inviati a un bucket S3 nell'account Log Archive.

  • La soluzione Security Hub Organization configura AWS Security Hub delegando l'amministrazione all'account Security Tooling. Configura Security Hub all'interno dell'account Security Tooling per tutti gli account aziendali AWS esistenti e future. La soluzione fornisce anche parametri per la sincronizzazione degli standard di sicurezza abilitati in tutti gli account e le regioni, nonché per la configurazione di un aggregatore di regioni all'interno dell'account Security Tooling. La centralizzazione di Security Hub all'interno dell'account Security Tooling fornisce una visione multiaccount della conformità degli standard di sicurezza e dei risultati derivanti dai servizi AWS e dalle integrazioni di partner AWS di terze parti.

  • La soluzione Firewall Manager configura le politiche di sicurezza di AWS Firewall Manager delegando l'amministrazione all'account Security Tooling e configurando Firewall Manager con una policy di gruppo di sicurezza e più politiche AWS WAF. La policy dei gruppi di sicurezza richiede un gruppo di sicurezza massimo consentito all'interno di un VPC (esistente o creato dalla soluzione), che viene distribuito dalla soluzione.

  • La soluzione Macie Organization abilita Amazon Macie delegando l'amministrazione all'account Security Tooling. Configura Macie all'interno dell'account Security Tooling per tutti gli account aziendali AWS esistenti e future. Macie è ulteriormente configurato per inviare i risultati della scoperta a un bucket S3 centrale crittografato con una chiave KMS.

  • AWS Config

    • La soluzione Config Aggregator configura un aggregatore AWS Config delegando l'amministrazione all'account Security Tooling. La soluzione configura quindi un aggregatore AWS Config all'interno dell'account Security Tooling per tutti gli account esistenti e future dell'organizzazione AWS.

    • La soluzione Conformance Pack Organization Rules implementa le regole di AWS Config delegando l'amministrazione all'account Security Tooling. Quindi crea un pacchetto di conformità aziendale all'interno dell'account amministratore delegato per tutti gli account esistenti e future dell'organizzazione AWS. La soluzione è configurata per implementare il modello di pacchetto di conformità Operational Best Practices for Encryption and Key Management.

    • La soluzione AWS Config Control Tower Management Account abilita AWS Config nell'account di gestione di AWS Control Tower e aggiorna di conseguenza l'aggregatore AWS Config all'interno dell'account Security Tooling. La soluzione utilizza il CloudFormation modello AWS Control Tower per abilitare AWS Config come riferimento per garantire la coerenza con gli altri account dell'organizzazione AWS.

  • IAM

    • La soluzione Access Analyzer abilita AWS IAM Access Analyzer delegando l'amministrazione all'account Security Tooling. Quindi configura un Access Analyzer a livello di organizzazione all'interno dell'account Security Tooling per tutti gli account esistenti e future dell'organizzazione AWS. La soluzione implementa inoltre Access Analyzer su tutti gli account dei membri e le regioni per supportare l'analisi delle autorizzazioni a livello di account.

    • La soluzione IAM Password Policy aggiorna la politica delle password degli account AWS all'interno di tutti gli account di un'organizzazione AWS. La soluzione fornisce parametri per la configurazione delle impostazioni della politica delle password per aiutarti ad allinearti agli standard di conformità del settore.

  • La soluzione EC2 Default EBS Encryption consente la crittografia Amazon EBS predefinita a livello di account all'interno di ogni account AWS e regione AWS dell'organizzazione AWS. Applica la crittografia dei nuovi volumi EBS e delle istantanee che crei. Ad esempio, Amazon EBS esegue la crittografia dei volumi EBS creati all'avvio di un'istanza e delle snapshot copiate a partire da uno snapshot non crittografato.

  • La soluzione S3 Block Account Public Access consente le impostazioni a livello di account Amazon S3 all'interno di ogni account AWS dell'organizzazione AWS. La caratteristica di blocco dell'accesso pubblico di Amazon S3 fornisce le impostazioni per access point, bucket e account con cui è possibile gestire l'accesso pubblico alle risorse di Amazon S3. Per impostazione predefinita, nuovi bucket, access point e oggetti non consentono l'accesso pubblico. Tuttavia, gli utenti possono modificare le policy di bucket, le policy di access point o le autorizzazioni degli oggetti per consentire l'accesso pubblico. Le impostazioni di blocco dell'accesso pubblico in Amazon S3 sostituiscono le policy e le autorizzazioni, in modo da limitare l'accesso pubblico a queste risorse.