Repositório de códigos paraAWSExemplos de SRA - AWSOrientação da prescrição

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Repositório de códigos paraAWSExemplos de SRA

Este documento é acompanhado por um GitHub Um repositório dohttps://github.com/aws-samples/aws-security-reference-architecture-examples. Este repositório contém modelos e exemplos implantáveis que ilustram alguns dos padrões apresentados anteriormente neste documento. OAWSos serviços e a infraestrutura implantados nesses modelos são deliberadamente menos privilégios e são destinados a você adaptar e estender de acordo com as necessidades do seu ambiente.

O conjunto inicial de soluções é construído usandoAWS CloudFormatione scripts Python. As configurações de implantação são baseadas napersonalizações paraAWS Control Towersolução, oAWSSolução de zona de destino, eAWS CloudFormationStackSets. OAWS Control TowereAWSAs soluções Landing Zone ajudam os clientes a configurar rapidamente uma conta segura e com várias contasAWSambiente baseado emAWSpráticas recomendadas. Essas soluções ajudam a economizar tempo automatizando a configuração de um ambiente para executar cargas de trabalho seguras e escaláveis enquanto implementam uma linha de base de segurança inicial por meio da criação de contas e recursos. Eles também fornecem um ambiente de linha de base para começar a usar uma arquitetura de várias contas, gerenciamento de identidade e acesso, governança, segurança de dados, design de rede e registro em log. As soluções noAWSO repositório do SRA fornece configurações para implementar os padrões descritos neste documento.

Aqui está um resumo das soluções iniciais noAWSRepositório SRA. Cada pasta de solução inclui um arquivo README.md com detalhes.

  • OOrganização CloudTrailsolução cria uma trilha da organização dentro da conta de Gerenciamento da organização. Esta trilha é criptografada com umAWS KMSchave que é gerenciada na conta Security Tooling e entrega logs para um bucket do S3 na conta de arquivamento de logs. Opcionalmente, eventos de dados podem ser habilitados para as funções do Amazon S3 e do Lambda. Uma trilha da organização registra eventos para todosAWScontas noAWSorganização enquanto impede que as contas de membros modifiquem as configurações.

  • OAWS ConfigConta de agregadorSolução permite umAWS Configagregador em uma conta especificada e cria autorizações dentro de cada conta de membro. Esta solução pressupõe queAWS Configjá foi habilitado em cada conta de membro doAWSorganização. A solução inclui uma função programada do Lambda que verifica todos os dias se há novas contas de membro que foram adicionadas aoAWSorganização. Em caso afirmativo, a solução os adiciona ao agregador.

  • OOrganizaçãoAWS ConfigPacote de conformidadeimplementa a soluçãoAWS Config Rulesdelegando administração a uma conta de membro dentro doAWSorganização. Em seguida, ele cria um pacote de conformidade da organização dentro da conta de administrador delegado para todas as contas existentes e future daAWSorganização. Essa solução implanta os seguintes modelos de exemplo:AWS Control Tower Pacote de conformidade do Detective GuardrailsePráticas recomendadas operacionais para criptografia e gerenciamento de chaves.

  • OOrganização GuardDutySolução permite a Amazon GuardDuty delegando administração a uma conta de membro dentro doAWSorganização. Ele configura GuardDuty dentro da conta de administrador delegado para todos os existentes e futureAWSContas da organização. O GuardDuty as descobertas também são criptografadas com uma chave KMS e enviadas para um bucket do S3 na conta do Log Archive.

  • OOrganização Maciesolução permite o Amazon Macie delegando administração a uma conta de membro dentro doAWSorganização. Ele configura o Macie dentro da conta de administrador delegado para todos os existentes e futureAWSContas da organização. O Macie está configurado para enviar seus resultados de descoberta para um bucket central do S3 criptografado com uma chave KMS.

  • OHabilitador do SecurityHubSolução permiteAWS Security Hubdentro de cadaAWSConta da organização eAWSRegião configurada com a conta Security Tooling como a conta de administrador. A solução também fornece configurações opcionais para permitir padrões de segurança e integrações de parceiros de terceiros. Centralizar o Security Hub na conta Security Tooling fornece uma visão entre contas da conformidade com os padrões de segurança e as descobertas de ambosAWSIntegrações de serviços e parceiros de terceiros.

  • OOrganizaçãoAWS Firewall Managerconfigura a soluçãoAWS Firewall Managerpolíticas de segurança delegando administração à conta do Security Tooling e configurando o Firewall Manager com uma diretiva de security group e váriosAWS WAFpolíticas. A política de security group requer um security group máximo permitido dentro de uma VPC (existente ou criada pela solução), que é implantada pela solução.