Repositório de código para exemplos de AWS SRA - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Repositório de código para exemplos de AWS SRA

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWSSRA) respondendo a uma breve pesquisa.

Para ajudar você a começar a criar e implementar a orientação no AWS SRA, um repositório de infraestrutura como código (IaC) em https://github.com/aws-samples/ aws-security-reference-architecture -examples acompanha este guia. Esse repositório contém código para ajudar desenvolvedores e engenheiros a implantar alguns dos padrões de orientação e arquitetura apresentados neste documento. Esse código foi extraído da experiência em primeira mão dos consultores do AWS Professional Services com os clientes. Os modelos são de natureza geral — seu objetivo é ilustrar um padrão de implementação em vez de fornecer uma solução completa. As configurações de serviços e implantações de recursos da AWS são deliberadamente muito restritivas. Talvez seja necessário modificar e adaptar essas soluções para atender às suas necessidades de ambiente e segurança.

O repositório de códigos do AWS SRA fornece dois padrões de solução: um exige o AWS Control Tower e o outro usa o AWS Organizations sem o AWS Control Tower. As soluções nesse repositório que exigem o AWS Control Tower foram implantadas e testadas em um ambiente da AWS Control Tower usando a AWS CloudFormation e as personalizações da AWS Control Tower (cFct). Soluções que não exigem o AWS Control Tower foram testadas em um ambiente do AWS Organizations usando a AWS CloudFormation. A solução cFct ajuda os clientes a configurar rapidamente um ambiente seguro e com várias contas da AWS com base nas melhores práticas da AWS. Isso ajuda a economizar tempo automatizando a configuração de um ambiente para executar cargas de trabalho seguras e escaláveis, ao mesmo tempo em que implementa uma linha de base de segurança inicial por meio da criação de contas e recursos. O AWS Control Tower também fornece um ambiente básico para começar a usar uma arquitetura de várias contas, gerenciamento de identidade e acesso, governança, segurança de dados, design de rede e registro. As soluções no repositório AWS SRA fornecem configurações de segurança adicionais para implementar os padrões descritos neste documento.

Aqui está um resumo das soluções no repositório AWS SRA. Cada solução inclui um arquivo README.md com detalhes. 

  • A solução CloudTrail Organização cria uma trilha organizacional na conta de gerenciamento da organização e delega a administração a uma conta de membro, como a conta de ferramentas de auditoria ou segurança. Essa trilha é criptografada com uma chave gerenciada pelo cliente criada na conta do Security Tooling e entrega os registros para um bucket do S3 na conta do Log Archive. Opcionalmente, os eventos de dados podem ser habilitados para as funções do Amazon S3 e do AWS Lambda. Uma trilha organizacional registra eventos para todas as contas da AWS na organização da AWS, ao mesmo tempo em que impede que as contas membros modifiquem as configurações.

  • A solução GuardDuty Organization habilita a Amazon GuardDuty delegando a administração à conta do Security Tooling. Ele é configurado GuardDuty na conta do Security Tooling para todas as contas existentes e futuras da organização da AWS. As GuardDuty descobertas também são criptografadas com uma chave KMS e enviadas para um bucket do S3 na conta do Log Archive.

  • A solução Security Hub Organization configura o AWS Security Hub delegando a administração à conta do Security Tooling. Ele configura o Security Hub na conta do Security Tooling para todas as contas existentes e futuras da organização da AWS. A solução também fornece parâmetros para sincronizar os padrões de segurança habilitados em todas as contas e regiões, bem como configurar um agregador de regiões na conta do Security Tooling. A centralização do Security Hub na conta do Security Tooling fornece uma visão cruzada da conformidade com os padrões de segurança e das descobertas dos serviços da AWS e das integrações de parceiros da AWS de terceiros.

  • A solução Inspector configura o Amazon Inspector dentro da conta de administrador delegado (Security Tooling) para todas as contas e regiões governadas sob a organização da AWS.

  • A solução Firewall Manager configura as políticas de segurança do AWS Firewall Manager delegando a administração à conta do Security Tooling e configurando o Firewall Manager com uma política de grupo de segurança e várias políticas do AWS WAF. A política de grupo de segurança exige um grupo de segurança máximo permitido em uma VPC (existente ou criada pela solução), que é implantada pela solução.

  • A solução Macie Organization habilita o Amazon Macie delegando a administração à conta do Security Tooling. Ele configura o Macie na conta do Security Tooling para todas as contas existentes e futuras da organização da AWS. O Macie está ainda configurado para enviar seus resultados de descoberta para um bucket central do S3 que é criptografado com uma chave KMS.

  • AWS Config

    • A solução Config Aggregator configura um agregador do AWS Config delegando a administração à conta do Security Tooling. Em seguida, a solução configura um agregador do AWS Config na conta do Security Tooling para todas as contas existentes e futuras na organização da AWS.

    • A solução Conformance Pack Organization Rules implanta regras do AWS Config delegando a administração à conta do Security Tooling. Em seguida, ele cria um pacote de conformidade organizacional dentro da conta de administrador delegado para todas as contas existentes e futuras na organização da AWS. A solução está configurada para implantar o modelo de amostra de pacote de conformidade com as melhores práticas operacionais para criptografia e gerenciamento de chaves.

    • A solução AWS Config Control Tower Management Account habilita o AWS Config na conta de gerenciamento da AWS Control Tower e atualiza adequadamente o agregador AWS Config na conta do Security Tooling. A solução usa o CloudFormation modelo AWS Control Tower para habilitar o AWS Config como referência para garantir a consistência com as outras contas na organização da AWS.

  • IAM

    • A solução Access Analyzer habilita o AWS IAM Access Analyzer delegando a administração à conta do Security Tooling. Em seguida, ele configura um analisador de acesso em nível organizacional dentro da conta do Security Tooling para todas as contas existentes e futuras na organização da AWS. A solução também implanta o Access Analyzer em todas as contas e regiões dos membros para apoiar a análise de permissões em nível de conta.

    • A solução IAM Password Policy atualiza a política de senha da conta da AWS em todas as contas em uma organização da AWS. A solução fornece parâmetros para definir as configurações da política de senha para ajudá-lo a se alinhar aos padrões de conformidade do setor.

  • A solução EC2 Default EBS Encryption permite a criptografia padrão do Amazon EBS em nível de conta em cada conta da AWS e região da AWS na organização da AWS. Ele impõe a criptografia dos novos volumes e snapshots do EBS que você cria. Por exemplo, o Amazon EBS criptografa os volumes do EBS que são criados quando você executa uma instância e os snapshots que você copia de um snapshot não criptografado.

  • A solução S3 Block Account Public Access permite configurações em nível de conta do Amazon S3 em cada conta da AWS na organização da AWS. O recurso Bloqueio de acesso público do Amazon S3 fornece configurações para pontos de acesso, buckets e contas para ajudar você a gerenciar o acesso público aos recursos do Amazon S3. Por padrão, novos buckets, pontos de acesso e objetos não permitem acesso público. No entanto, os usuários podem modificar políticas de bucket, políticas de ponto de acesso ou permissões de objeto para permitir acesso público. As configurações do Amazon S3 Block Public Access substituem essas políticas e permissões para que você possa limitar o acesso público a esses recursos.

  • A solução Detective Organization automatiza a habilitação do Amazon Detective delegando a administração a uma conta (como a conta de ferramentas de auditoria ou segurança) e configurando o Detective para todas as contas atuais e futuras da AWS Organization.