SEC01-BP01 使用帳戶區隔工作負載
透過多帳戶策略在環境 (例如生產、開發和測試) 與工作負載之間建立共通的防護機制和隔離。強烈建議帳戶層級的區隔,因為這在安全性、帳單和存取方面提供了有力的隔離界限。
預期成果:將雲端作業、不相關的工作負載和環境隔離成不同帳戶的帳戶結構,以提高雲端基礎設施間的安全性。
常見的反模式:
-
將多個具有不同資料敏感度等級且不相關的工作負載置於相同的帳戶中。
-
定義不良的組織單位 (OU) 結構。
建立此最佳實務的優勢:
-
若工作負載遭到意外存取,縮小影響範圍。
-
集中管控對 AWS 服務、資源和區域的存取。
-
利用政策以及集中管理安全服務,維護雲端基礎設施的安全性。
-
自動化帳戶建立和維護流程。
-
集中稽核您的基礎設施以滿足合規性和法規需求。
未建立此最佳實務時的風險暴露等級:高
實作指引
AWS 帳戶 在以不同的敏感度等級操作的工作負載或資源之間提供安全隔離界限。AWS 提供工具透過多帳戶策略大規模管理您的雲端工作負載,以利用此隔離界限。如需有關 AWS 上多帳戶策略的概念、模式和實作的指引,請參閱使用多個帳戶管理您的 AWS 環境。
當您集中管理多個 AWS 帳戶 時,應該將您的帳戶組織成由組織單位 (OU) 層定義的階層。接著可以組織安全控制並套用至 OU 和成員帳戶,在組織內的成員帳戶上建立一致的預防性控制。安全控制是繼承的,讓您能夠篩選位於 OU 階層較低層級的成員帳戶可用的許可。良好的設計可利用此繼承關係來降低必要的安全政策數目和複雜度,達成每個成員帳戶預期的安全控制。
您可以使用 AWS Organizations 和 AWS Control Tower 這兩個服務來實作和管理在 AWS 環境中的多帳戶結構。AWS Organizations 可讓您將帳戶組織成由一或多個 OU 層所定義的階層,各個 OU 包含數個成員帳戶。服務控制政策 (SCP) 可讓組織管理員於成員帳戶建立細微的預防性控制,而 AWS Config 可用來於成員帳戶建立主動式和偵測控制。許多 AWS 服務皆與 AWS Organizations 整合以提供委派的管理控制,並跨組織內的所有成員帳戶執行服務特定的工作。
位於 AWS Organizations 分層之上的 AWS Control Tower 透過登陸區域為多帳戶 AWS 環境提供了一鍵式最佳實務設定。該登陸區域是通往由 Control Tower 所建立之多帳戶環境的進入點。Control Tower 提供數項優於 AWS Organizations 的優點
-
整合式強制性安全防護機制,會自動套用至獲准加入組織的帳戶。
-
選擇性防護機制,可針對指定 OU 集合開啟或關閉。
-
AWS Control Tower Account Factory 提供帳戶的自動化部署,當中包含組織內部預先核准的基準和設定選項。
實作步驟
-
設計組織單位結構:設計妥善的組織單位結構可減輕建立和維護服務控制政策及其他安全控制所需的管理負擔。您的組織單位結構應該與您的業務需求、資料敏感度和工作負載結構協調一致
。 -
為您的多帳戶環境建立登陸區域:登陸區域提供一致的安全和基礎設施,您的組織可以從該基礎迅速開發、啟動和部署工作負載。您可以使用定製的登陸區域或 AWS Control Tower 來協調您的環境。
-
建立防護機制:透過您的登陸區域為您的環境實作一致的安全性防護機制。AWS Control Tower 提供可部署的強制性和選擇性控制清單。實作 Control Tower 時會自動部署強制性控制。檢閱強烈建議和選擇性控制清單,並實作符合您需求的控制。
-
限制對新增區域的存取:對於新的 AWS 區域,IAM 資源 (例如使用者和角色) 只會傳播到您指定的區域。當使用 Control Tower 時可以透過主控台,或透過調整 AWS Organizations 中的 IAM 許可政策
執行此動作。 -
考慮 AWS CloudFormation StackSets:StackSets 可幫助您將資源 (包括 IAM 政策、角色和群組) 從核准的範本部署到不同的 AWS 帳戶 和區域中。
資源
相關的最佳實務:
相關文件:
相關影片:
相關研討會:
