本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS SRA 範例的程式碼儲存庫
通過進行簡短的調查 |
為了協助您開始在 AWS SRA 中建置和實作指導,本指南隨附於 https://github.com/aws-samples/aws-security-reference-architecture-examples
AWS SRA 程式碼儲存庫提供具有 AWS CloudFormation 和 Terraform 部署選項的程式碼範例。解決方案模式支援兩種環境:一個需要 AWS Control Tower,另一個使用沒有 AWS Control Tower 的 AWS Organizations。此儲存庫中需要 AWS Control Tower 的解決方案已使用 AWS 和 AWS Control Tower (CFCT) 的自訂功能,在 AWS Control Tower
以下是 AWS SRA 儲存庫
-
CloudTrail 組織
解決方案會在組織管理帳戶內建立組織追蹤,並將管理委派給成員帳戶,例如稽核或安全性工具帳戶。此追蹤會使用在 Security Tocker 帳戶中建立的客戶受管金鑰加密,並將日誌傳送到日誌存檔帳戶中的 S3 儲存貯體。您也可以選擇為 Amazon S3 和 AWS Lambda 函數啟用資料事件。組織追蹤記錄 AWS 組織中所有 AWS 帳戶的事件,同時防止成員帳戶修改組態。 -
GuardDuty 組織
解決方案透 GuardDuty 過將管理委派給安全工具帳戶來啟用 Amazon。它會在安全工具帳戶 GuardDuty 中為所有現有和 future 的 AWS 組織帳戶進行設定。發 GuardDuty現項目也會使用 KMS 金鑰加密,並傳送至記錄存檔帳戶中的 S3 儲存貯體。 -
Sec urity Hub 組織
解決方案透過將管理委派給安全工具帳戶來設定 AWS 安全中樞。它會在安全工具帳戶中為所有現有和 future 的 AWS 組織帳戶設定安全中心。此解決方案也提供參數,用於同步處理所有帳戶和區域中已啟用的安全性標準,以及在 Security Tocker 帳戶中設定區域彙總工具。在安全工具帳戶中集中安全中心可提供跨帳戶檢視來自 AWS 服務和第三方 AWS 合作夥伴整合的安全標準合規和發現結果。 -
In spector
解決方案會在委派的管理員 (安全工具) 帳戶中,為 AWS 組織下的所有帳戶和受管轄區域設定 Amazon Inspector。 -
Firewall Manager 員
解決方案透過將管理委派給安全工具帳戶,並使用安全群組政策和多個 AWS WAF 政策設定 Firewall Manager 員,藉此設定 AWS Firewall Manager 安全政策。安全性群組原則需要 VPC 內允許的最大安全性群組 (現有或由解決方案建立),該群組由解決方案部署。 -
Macie 組織
解決方案透過將管理委派給安全工具帳戶來啟用 Amazon Macie。它會在安全工具帳戶中為所有現有和 future 的 AWS 組織帳戶設定 Macie。Macie 進一步設定為將其探索結果傳送到使用 KMS 金鑰加密的中央 S3 儲存貯體。 -
AWS Config
-
Con fig 彙總器
解決方案會將管理委派給安全工具帳戶,藉此設定 AWS Config 彙總工具。然後,解決方案會在安全工具帳戶中為 AWS 組織中的所有現有和 future 帳戶設定 AWS Config 彙總工具。 -
一致性套件組織規則
解決方案透過將管理委派給安全工具帳戶來部署 AWS Config 規則。接著,它會在 AWS 組織中所有現有和 future 帳戶的委派管理員帳戶中建立組織一致性套件。此解決方案設定為部署加密和金鑰管理一致性套件的作業最佳作法範例範本。 -
AWS 組態 Control Tower 管理帳戶
解決方案可在 AWS Control Tower 管理帳戶中啟用 AWS Config,並相應地更新安全工具帳戶中的 AWS Config 彙總工具。此解決方案使用 AWS Control Tower CloudFormation 範本啟用 AWS Config 作為參考,以確保與 AWS 組織中其他帳戶的一致性。
-
-
IAM
-
EC2 預設 EBS 加密
解決方案可在 AWS 帳戶和 AWS 組織中的 AWS 區域內啟用帳戶層級的預設 Amazon EBS 加密。它會強制對您建立的新 EBS 磁碟區和快照進行加密。例如,Amazon EBS 會加密您啟動執行個體時所建立的 EBS 磁碟區,以及從未加密快照複製的快照。 -
S3 區塊帳戶公共存取
解決方案可在 AWS 組織中的每個 AWS 帳戶內啟用 Amazon S3 帳戶層級設定。Amazon S3 封鎖公開存取功能可提供存取點、儲存貯體和帳戶的設定,以協助您管理對 Amazon S3 資源的公開存取。依預設,新的儲存貯體、存取點和物件不允許公開存取。不過,使用者可以修改儲存貯體政策、存取點政策或物件許可,以允許公開存取。Amazon S3 區塊公開存取設定會覆寫這些政策和許可,以便您可以限制公開存取這些資源。 -
Detective 組織
解決方案透過將管理委派給帳戶 (例如稽核或安全工具帳戶),並為所有現有和 future 的 AWS 組織帳戶設定 Detective,藉此自動啟用 Amazon Detective。 -
盾牌進階
解決方案可自動化 AWS Shield 進階的部署,為您在 AWS 上的應用程式提供增強的 DDoS 保護。 -
AMI 麵包店組織
解決方案有助於自動化建立和管理標準、強化 Amazon 機器映像 (AMI) 映像的流程。這可確保 AWS 執行個體的一致性和安全性,並簡化部署和維護任務。