يمكنك حماية أعباء العمل شديدة الحساسية وعزلها باستخدام جيب آمن
يوضح هذا الدليل كيف يمكنك إنشاء بنية سحابية شاملة لأحمال العمل الحساسة في الأمن القومي والدفاع وإنفاذ القانون الوطني. باستخدام بنية متعددة الحسابات على AWS، يمكنك تنفيذ مهامك مع الحفاظ على أمان البيانات وأعباء العمل الحساسة. تم تصميم هذا الدليل لمساعدتك على تلبية متطلبات الأمان والامتثال الصارمة والفريدة، ومعالجة الهوية المركزية وإدارة الوصول، والحوكمة، وأمن البيانات، والتسجيل الشامل، وتصميم الشبكة وتقسيمها بما يتماشى مع مختلف أطر الأمان الأمريكية.
يرجى ملاحظة ما يلي: [إخلاء المسؤولية]
مخطط التصميم
-
نظرة عامة
-
حساب إدارة المؤسسة
-
حسابات الأمان
-
حسابات البنية التحتية
-
حسابات التطبيق أو المجتمع أو الفريق أو المجموعة (الحساسة)
-
نظرة عامة
-
يوفر مخطط البنية هذا نظرة عامة حول كيفية تكوين أحمال عمل شاملة ومتعددة الحسابات مع متطلبات الأمان والتوافق الفريدة. لمزيد من التفاصيل حول كيفية نشر هذه الإرشادات، افتح علامات التبويب الأخرى.
انقر للتكبير
الخطوة 1
مؤسسة في AWS Organizations ذات حسابات متعددة، تسترشد بسياسات التحكم في الخدمة (SCPs): تجمع المؤسسة عدة حسابات AWS منفصلة يتم التحكم فيها بواسطة كيان عميل واحد. توفر حسابات AWS المنفصلة عزلًا قويًا على مستوى التحكم ومستوى البيانات بين أحمال العمل أو البيئات، كما لو كانت مملوكة لعملاء AWS مختلفين.الخطوة 2
يتم استخدام حساب الإدارة لإنشاء المؤسسة. من حساب إدارة المؤسسة، يمكنك القيام بما يلي:- إنشاء حسابات في المؤسسة وإدارة السياسات لجميع الوحدات التنظيمية (OUs).
- انضم إلى الوحدات التنظيمية (OUs) التالية إلى المنظمة:
- الوحدة التنظيمية (OU) الخاصة بالأمان
- الوحدة التنظيمية (OU) الخاصة بالبنية التحتية
- الوحدة التنظيمية (OU) الخاصة بالتطبيق الحساس
سيكون لكل وحدة تنظيمية (OU) حساب عضو واحد أو أكثر أو وحدة OU متداخلة، لكل تصميم.
الخطوة 3
ستحتوي الوحدة التنظيمية (OU) الخاصة بالتطبيق على العديد من وحدات التشغيل المتداخلة المخصصة لتسليم التطبيقات وإدارة دورة الحياة وستتضمن ما يلي:- الوحدة التنظيمية الخاصة بالعمليات (Dev OU)
- الوحدة التنظيمية الخاصة بالاختبار (Test OU)
- الوحدة التنظيمية الخاصة بالإنتاج (Prod OU)
- الوحدة التنظيمية المشتركة (Shared OU)
بالإضافة إلى ذلك، يمكن أيضًا توفير وحدات الحماية كأحمال عمل غير حساسة.
الخطوة 1
مؤسسة في AWS Organizations ذات حسابات متعددة، تسترشد بسياسات التحكم في الخدمة (SCPs): تجمع المؤسسة عدة حسابات AWS منفصلة يتم التحكم فيها بواسطة كيان عميل واحد. توفر حسابات AWS المنفصلة عزلًا قويًا على مستوى التحكم ومستوى البيانات بين أحمال العمل أو البيئات، كما لو كانت مملوكة لعملاء AWS مختلفين.الخطوة 2
يتم استخدام حساب الإدارة لإنشاء المؤسسة. من حساب إدارة المؤسسة، يمكنك القيام بما يلي:- إنشاء حسابات في المؤسسة وإدارة السياسات لجميع الوحدات التنظيمية (OUs).
- انضم إلى الوحدات التنظيمية (OUs) التالية إلى المنظمة:
- الوحدة التنظيمية (OU) الخاصة بالأمان
- الوحدة التنظيمية (OU) الخاصة بالبنية التحتية
- الوحدة التنظيمية (OU) الخاصة بالتطبيق الحساس
سيكون لكل وحدة تنظيمية (OU) حساب عضو واحد أو أكثر أو وحدة OU متداخلة، لكل تصميم.
الخطوة 3
ستحتوي الوحدة التنظيمية (OU) الخاصة بالتطبيق على العديد من وحدات التشغيل المتداخلة المخصصة لتسليم التطبيقات وإدارة دورة الحياة وستتضمن ما يلي:- الوحدة التنظيمية الخاصة بالعمليات (Dev OU)
- الوحدة التنظيمية الخاصة بالاختبار (Test OU)
- الوحدة التنظيمية الخاصة بالإنتاج (Prod OU)
- الوحدة التنظيمية المشتركة (Shared OU)
بالإضافة إلى ذلك، يمكن أيضًا توفير وحدات الحماية كأحمال عمل غير حساسة.
-
حساب إدارة المؤسسة
-
يوضح مخطط البنية هذا كيف يمكن للمؤسسة تجميع حسابات متعددة، يتم التحكم فيها جميعًا بواسطة كيان عميل واحد. اتبع الخطوات الواردة في مخطط البنية هذا لنشر جزء حساب إدارة المؤسسة من هذا الدليل.
انقر للتكبير
الخطوة 1
مؤسسة ذات حسابات متعددة: تقوم المؤسسة بتجميع عدة حسابات AWS منفصلة، والتي يتم التحكم فيها بواسطة كيان عميل واحد. يعمل هذا على توحيد الفواتير، ومجموعات الحسابات التي تستخدم وحدات التشغيل، ويسهل نشر الضوابط الوقائية للمؤسسة باستخدام سياسات التحكم في الخدمة (SCPs).الخطوة 2
ضوابط الأمان الوقائية: تعمل عناصر التحكم هذه، التي تنفذها SCPs، على حماية البنية ومنع تعطيل حاجز الحماية وحظر سلوك المستخدم غير المرغوب فيه. توفر سياسات SCPs آلية حاجز حماية تُستخدم أساسًا لرفض فئات محددة أو كاملة من عمليات API على حساب AWS أو الوحدة التنظيمية (OU) أو مستوى المؤسسة. يمكن استخدامها للتأكد من نشر أحمال العمل فقط في مناطق AWS المحددة أو رفض الوصول إلى خدمات AWS محددة.
الخطوة 3
الأتمتة: تضمن الأتمتة تطبيق حواجز الحماية باستمرار عندما تضيف المؤسسة حسابات AWS جديدة مع انضمام فرق وأعباء عمل جديدة. إنه يعالج مخالفة الامتثال ويوفر حواجز حماية في الحساب الجذري للمؤسسة.
الخطوة 4
التشفير: تقوم خدمة إدارة مفاتيح AWS (AWS KMS) مع المفاتيح المُدارة من قِبل العميل بتشفير البيانات المخزنة في وضع السكون باستخدام التشفير الذي تم التحقق من صحته وفقًا لمعيار FIPS 1402-2، سواء في حاويات خدمة التخزين البسيطة في Amazon (Amazon S3)، أو وحدات تخزين مخزن المجموعات المرن بــ Amazon (Amazon EBS)، أو قواعد بيانات خدمة قاعدة البيانات الارتباطية في Amazon (Amazon RDS)، أو خدمات تخزين AWS الأخرى. إنه يحمي البيانات المتنقلة باستخدام TLS 1.2 أو الإصدارات الأعلى.الخطوة 5
تسجيل الدخول الأحادي: إحدى ميزات إدارة الهوية والوصول في AWS (IAM)، يُستخدم مركز هوية IAM لتوفير تولي دور IAM مركزيًا في حسابات AWS عبر المؤسسة للمستخدمين الأساسيين المعتمدين. يمكن الحصول على الهويات الحالية للمؤسسة من مخزن هوية Active Directory (AD) الحالي للعميل أو موفر هوية تابع لجهة خارجية (IdP).تعمل AWS على تسهيل إجراء المصادقة متعددة العوامل باستخدام تطبيقات المصادقة ومفاتيح الأمان والمصادقات المضمنة، مما يدعم أجهزة ومصادقة WebAuthn وFIDO2 وUniversal 2nd Factor (U2F).
الخطوة 1
مؤسسة ذات حسابات متعددة: تقوم المؤسسة بتجميع عدة حسابات AWS منفصلة، والتي يتم التحكم فيها بواسطة كيان عميل واحد. يعمل هذا على توحيد الفواتير، ومجموعات الحسابات التي تستخدم وحدات التشغيل، ويسهل نشر الضوابط الوقائية للمؤسسة باستخدام سياسات التحكم في الخدمة (SCPs).الخطوة 2
ضوابط الأمان الوقائية: تعمل عناصر التحكم هذه، التي تنفذها SCPs، على حماية البنية ومنع تعطيل حاجز الحماية وحظر سلوك المستخدم غير المرغوب فيه. توفر سياسات SCPs آلية حاجز حماية تُستخدم أساسًا لرفض فئات محددة أو كاملة من عمليات API على حساب AWS أو الوحدة التنظيمية (OU) أو مستوى المؤسسة. يمكن استخدامها للتأكد من نشر أحمال العمل فقط في مناطق AWS المحددة أو رفض الوصول إلى خدمات AWS محددة.
الخطوة 3
الأتمتة: تضمن الأتمتة تطبيق حواجز الحماية باستمرار عندما تضيف المؤسسة حسابات AWS جديدة مع انضمام فرق وأعباء عمل جديدة. إنه يعالج مخالفة الامتثال ويوفر حواجز حماية في الحساب الجذري للمؤسسة.
الخطوة 4
التشفير: تقوم خدمة إدارة مفاتيح AWS (AWS KMS) مع المفاتيح المُدارة من قِبل العميل بتشفير البيانات المخزنة في وضع السكون باستخدام التشفير الذي تم التحقق من صحته وفقًا لمعيار FIPS 1402-2، سواء في حاويات خدمة التخزين البسيطة في Amazon (Amazon S3)، أو وحدات تخزين مخزن المجموعات المرن بــ Amazon (Amazon EBS)، أو قواعد بيانات خدمة قاعدة البيانات الارتباطية في Amazon (Amazon RDS)، أو خدمات تخزين AWS الأخرى. إنه يحمي البيانات المتنقلة باستخدام TLS 1.2 أو الإصدارات الأعلى.الخطوة 5
تسجيل الدخول الأحادي: إحدى ميزات إدارة الهوية والوصول في AWS (IAM)، يُستخدم مركز هوية IAM لتوفير تولي دور IAM مركزيًا في حسابات AWS عبر المؤسسة للمستخدمين الأساسيين المعتمدين. يمكن الحصول على الهويات الحالية للمؤسسة من مخزن هوية Active Directory (AD) الحالي للعميل أو موفر هوية تابع لجهة خارجية (IdP).تعمل AWS على تسهيل إجراء المصادقة متعددة العوامل باستخدام تطبيقات المصادقة ومفاتيح الأمان والمصادقات المضمنة، مما يدعم أجهزة ومصادقة WebAuthn وFIDO2 وUniversal 2nd Factor (U2F).
-
حسابات الأمان
-
يوضح مخطط البنية هذا كيفية تكوين مجموعة سجلات شاملة مركزيًا عبر خدمات AWS وحساباتها. اتبع الخطوات الواردة في مخطط البنية هذا لنشر جزء حسابات الأمان من هذا الدليل.
انقر للتكبير
الخطوة 1
التسجيل المركزي: تنص هذه البنية على جمع السجلات الشامل والمركزية عبر خدمات AWS وحساباتها. تسجل AWS CloudTrail العمل على مستوى المؤسسة لتوفير إمكانية تدقيق كاملة على مستوى التحكم عبر البيئة السحابية.تُستخدم سجلات Amazon CloudWatch، وهي خدمة تسجيل أصلية في السحابة من AWS، لالتقاط مجموعة متنوعة من السجلات بما في ذلك سجلات نظام التشغيل والتطبيقات وسجلات تدفق VPC وسجلات نظام أسماء النطاقات، والتي تصبح بعد ذلك مركزية ومتاحة فقط لموظفي الأمن المحددين.
الخطوة 2
المراقبة الأمنية المركزية: تظهر مخالفة الامتثال والتهديدات الأمنية عبر مؤسسة AWS organization الخاصة بالعميل من خلال النشر التلقائي للعديد من الأنواع المختلفة من عناصر التحكم الأمنية. يتضمن ذلك تنشيط العديد من خدمات أمان AWS في كل حساب في المؤسسة.تشمل خدمات الأمان هذه Amazon GuardDuty وAWS Security Hub وAWS Config وAWS Firewall Manager وAmazon Macie وIAM Access Analyzer وCloudWatch. يجب تفويض التحكم والرؤية عبر بيئة الحسابات المتعددة إلى حساب أدوات أمان مركزي واحد لسهولة الرؤية على مستوى المؤسسة لجميع نتائج الأمان ومخالفة الامتثال.
الخطوة 3
الوصول للعرض فقط وإمكانية البحث: يتم توفير الوصول إلى حساب الأمان للعرض فقط عبر المؤسسة (بما في ذلك الوصول إلى وحدة تحكم CloudWatch لكل حساب) لتسهيل التحقيق أثناء الحادث.يختلف الوصول للعرض فقط عن الوصول للقراءة فقط من حيث أنه لا يوفر أي وصول إلى أي بيانات. تتوفر إضافة اختيارية لاستهلاك المجموعة الشاملة من السجلات المركزية لجعلها قابلة للبحث، مما يوفر الارتباط ولوحات المعلومات الأساسية.
الخطوة 1
التسجيل المركزي: تنص هذه البنية على جمع السجلات الشامل والمركزية عبر خدمات AWS وحساباتها. تسجل AWS CloudTrail العمل على مستوى المؤسسة لتوفير إمكانية تدقيق كاملة على مستوى التحكم عبر البيئة السحابية.تُستخدم سجلات Amazon CloudWatch، وهي خدمة تسجيل أصلية في السحابة من AWS، لالتقاط مجموعة متنوعة من السجلات بما في ذلك سجلات نظام التشغيل والتطبيقات وسجلات تدفق VPC وسجلات نظام أسماء النطاقات، والتي تصبح بعد ذلك مركزية ومتاحة فقط لموظفي الأمن المحددين.
الخطوة 2
المراقبة الأمنية المركزية: تظهر مخالفة الامتثال والتهديدات الأمنية عبر مؤسسة AWS organization الخاصة بالعميل من خلال النشر التلقائي للعديد من الأنواع المختلفة من عناصر التحكم الأمنية. يتضمن ذلك تنشيط العديد من خدمات أمان AWS في كل حساب في المؤسسة.تشمل خدمات الأمان هذه Amazon GuardDuty وAWS Security Hub وAWS Config وAWS Firewall Manager وAmazon Macie وIAM Access Analyzer وCloudWatch. يجب تفويض التحكم والرؤية عبر بيئة الحسابات المتعددة إلى حساب أدوات أمان مركزي واحد لسهولة الرؤية على مستوى المؤسسة لجميع نتائج الأمان ومخالفة الامتثال.
الخطوة 3
الوصول للعرض فقط وإمكانية البحث: يتم توفير الوصول إلى حساب الأمان للعرض فقط عبر المؤسسة (بما في ذلك الوصول إلى وحدة تحكم CloudWatch لكل حساب) لتسهيل التحقيق أثناء الحادث.
يختلف الوصول للعرض فقط عن الوصول للقراءة فقط من حيث أنه لا يوفر أي وصول إلى أي بيانات. تتوفر إضافة اختيارية لاستهلاك المجموعة الشاملة من السجلات المركزية لجعلها قابلة للبحث، مما يوفر الارتباط ولوحات المعلومات الأساسية.
-
حسابات البنية التحتية
-
يوضح مخطط البنية هذا كيفية إنشاء بيئة شبكات مركزية ومعزولة باستخدام السُحُب الخاصة الافتراضية (VPCs). اتبع الخطوات الواردة في مخطط البنية هذا لنشر جزء حسابات البنية التحتية من هذا الدليل.
انقر للتكبير
الخطوة 1
شبكات مركزية ومعزولة: تُستخدم السُحُب الخاصة الافتراضية (VPCs) التي تم إنشاؤها من خلال السحابة الخاصة الافتراضية من Amazon (Amazon VPC) لإنشاء عزل على مستوى البيانات بين أحمال العمل، مركزيًا في حساب شبكة مشتركة. تسهل المركزية الفصل القوي بين الواجبات وتحسين التكلفة.الخطوة 2
الاتصال الوسيط: يتم التوسط في الاتصال بالبيئات المحلية وخروج الإنترنت والموارد المشتركة وواجهات برمجة تطبيقات AWS في نقطة مركزية للدخول والخروج من خلال استخدام AWS Transit Gateway، وAWS Site-to-Site VPN، وجدران الحماية المتقدمة، وAWS Direct Connect (عند الاقتضاء).الخطوة 3
خيارات بديلة: بنية سحابة VPC المركزية ليست لجميع العملاء. بالنسبة للعملاء الأقل اهتمامًا بتحسين التكلفة، يوجد خيار لسُحُب VPCs القائمة على الحساب المحلي والمترابطة من خلال Transit Gateway في حساب الشبكة المشتركة المركزية.
وفي إطار كلا الخيارين، تنص البنية على نقل نقاط نهاية AWS العامة لواجهة برمجة التطبيقات (API) إلى مساحة عنوان VPC الخاصة بالعميل، باستخدام نقاط نهاية مركزية لتحقيق الكفاءة من حيث التكلفة.
الخطوة 4
فحص ingress and egress infrastructure-as-a-service (IaaS) المركزي: من الشائع رؤية متطلبات الدخول والخروج المركزي (ingress and egress) لأحمال العمل القائمة على IaaS. البنية توفر هذه الوظيفة، حتى يتمكن العملاء من تحديد ما إذا كانت خدمات فحص جدار الحماية الأصلية للدخول والخروج من AWS - مثل AWS Network Firewall أو AWS WAF أو موازن تحميل التطبيقات من خلال موازنة التحميل المرن (ELB) - تلبي متطلباتهم.إذا لم يكن الأمر كذلك، يمكن للعملاء زيادة هذه القدرات باستخدام أجهزة جدار الحماية التابعة لجهات خارجية. تدعم البنية بدء استخدام جدار حماية AWS والتحول إلى جدار حماية تابع لجهة خارجية أو استخدام مزيج من تقنيات جدار الحماية للدخول والخروج (ingress and egress).
الخطوة 1
شبكات مركزية ومعزولة: تُستخدم السُحُب الخاصة الافتراضية (VPCs) التي تم إنشاؤها من خلال السحابة الخاصة الافتراضية من Amazon (Amazon VPC) لإنشاء عزل على مستوى البيانات بين أحمال العمل، مركزيًا في حساب شبكة مشتركة. تسهل المركزية الفصل القوي بين الواجبات وتحسين التكلفة.الخطوة 2
الاتصال الوسيط: يتم التوسط في الاتصال بالبيئات المحلية وخروج الإنترنت والموارد المشتركة وواجهات برمجة تطبيقات AWS في نقطة مركزية للدخول والخروج من خلال استخدام AWS Transit Gateway، وAWS Site-to-Site VPN، وجدران الحماية المتقدمة، وAWS Direct Connect (عند الاقتضاء).الخطوة 3
خيارات بديلة: بنية سحابة VPC المركزية ليست لجميع العملاء. بالنسبة للعملاء الأقل اهتمامًا بتحسين التكلفة، يوجد خيار لسُحُب VPCs القائمة على الحساب المحلي والمترابطة من خلال Transit Gateway في حساب الشبكة المشتركة المركزية.
وفي إطار كلا الخيارين، تنص البنية على نقل نقاط نهاية AWS العامة لواجهة برمجة التطبيقات (API) إلى مساحة عنوان VPC الخاصة بالعميل، باستخدام نقاط نهاية مركزية لتحقيق الكفاءة من حيث التكلفة.
الخطوة 4
فحص ingress and egress infrastructure-as-a-service (IaaS) المركزي: من الشائع رؤية متطلبات الدخول والخروج المركزي (ingress and egress) لأحمال العمل القائمة على IaaS. البنية توفر هذه الوظيفة، حتى يتمكن العملاء من تحديد ما إذا كانت خدمات فحص جدار الحماية الأصلية للدخول والخروج من AWS - مثل AWS Network Firewall أو AWS WAF أو موازن تحميل التطبيقات من خلال موازنة التحميل المرن (ELB) - تلبي متطلباتهم.إذا لم يكن الأمر كذلك، يمكن للعملاء زيادة هذه القدرات باستخدام أجهزة جدار الحماية التابعة لجهات خارجية. تدعم البنية بدء استخدام جدار حماية AWS والتحول إلى جدار حماية تابع لجهة خارجية أو استخدام مزيج من تقنيات جدار الحماية للدخول والخروج (ingress and egress).
-
حسابات التطبيق أو المجتمع أو الفريق أو المجموعة (الحساسة)
-
يوضح مخطط البنية هذا كيفية تكوين التقسيم والفصل بين أحمال العمل التي تنتمي إلى مراحل مختلفة من دورة حياة تطوير البرامج، أو بين الأدوار الإدارية المختلفة لتكنولوجيا المعلومات. اتبع الخطوات الواردة في مخطط البنية هذا لنشر جزء حسابات التطبيق أو المجتمع أو الفريق أو المجموعة من هذا الدليل.
انقر للتكبير
الخطوة 1
التقسيم والفصل: لا توفر البنية فقط تقسيمًا وفصلًا قويين بين أحمال العمل التي تنتمي إلى مراحل مختلفة من دورة حياة تطوير البرامج أو بين الأدوار الإدارية المختلفة لتكنولوجيا المعلومات (مثل الشبكات وجدران حماية الدخول والخروج وأعباء العمل).كما يوفر أيضًا بنية قوية لتقسيم الشبكات، حيث يعمل على تقسيم البيئة إلى أجزاء صغيرة عن طريق تغليف كل مثيل أو مكون في جدار الحماية يتم فرضه في أجهزة AWS Nitro System، إلى جانب خدمات مثل ELB وAWS WAF.
الخطوة 2
يتم فرض جميع تدفقات الشبكة بإحكام، مع منع الحركة الجانبية بين التطبيقات والمستويات داخل التطبيق والعقد في طبقة التطبيق ما لم يُسمح بذلك صراحةً. علاوة على ذلك، يتم منع التوجيه بين Dev وTest وProd مع توصيات بشأن بنية CI/CD لتمكين مرونة المطور وتسهيل الترويج للكود بين البيئات مع الموافقات المناسبة.
الخطوة 1
التقسيم والفصل: لا توفر البنية فقط تقسيمًا وفصلًا قويين بين أحمال العمل التي تنتمي إلى مراحل مختلفة من دورة حياة تطوير البرامج أو بين الأدوار الإدارية المختلفة لتكنولوجيا المعلومات (مثل الشبكات وجدران حماية الدخول والخروج وأعباء العمل).كما يوفر أيضًا بنية قوية لتقسيم الشبكات، حيث يعمل على تقسيم البيئة إلى أجزاء صغيرة عن طريق تغليف كل مثيل أو مكون في جدار الحماية يتم فرضه في أجهزة AWS Nitro System، إلى جانب خدمات مثل ELB وAWS WAF.
الخطوة 2
يتم فرض جميع تدفقات الشبكة بإحكام، مع منع الحركة الجانبية بين التطبيقات والمستويات داخل التطبيق والعقد في طبقة التطبيق ما لم يُسمح بذلك صراحةً. علاوة على ذلك، يتم منع التوجيه بين Dev وTest وProd مع توصيات بشأن بنية CI/CD لتمكين مرونة المطور وتسهيل الترويج للكود بين البيئات مع الموافقات المناسبة.
Well-Architected Pillars
يساعدك إطار AWS Well-Architected Framework على فهم إيجابيات وسلبيات القرارات التي تتخذها عند إنشاء الأنظمة في السحابة. تتيح لك الركائز الست للإطار تعلم أفضل ممارسات البنية الأساسية لتصميم وتشغيل أنظمة موثوقة وآمنة وفعالة من حيث التكلفة ومستدامة. باستخدام AWS Well-Architected Tool، المتوفرة مجانًا في وحدة إدارة تحكم AWS، يمكنك مراجعة أعباء العمل الخاصة بك وفقًا لأفضل الممارسات هذه من خلال الإجابة على مجموعة من الأسئلة لكل ركيزة.
يعد مخطط البنية أعلاه مثالاً على حل تم إنشاؤه مع وضع أفضل الممارسات المصممة جيدًا في الاعتبار. لكي تكون Well-Architected بالكامل، يجب اتباع أكبر عدد ممكن من أفضل الممارسات المصممة جيدًا.
-
التميز التشغيلياقرأ المستند الفني الخاص بالتميز التشغيلي
تستخدم هذه الإرشادات Organizations التي تحتوي على مجموعات وتكوينات AWS CloudFormation لإنشاء أساس آمن لبيئة AWS. يوفر هذا حل البنية التحتية ككود (IaC) الذي يسرع من تنفيذ ضوابط الأمان الفنية. تقوم قواعد Config بمعالجة أي دلتا تكوين تم تحديدها للتأثير سلبًا على البنية المحددة. يمكنك استخدام البنية AWS التحتية التجارية العالمية لأحمال العمل المصنفة الحساسة وأتمتة الأنظمة الآمنة لتسليم المهام بشكل أسرع مع تحسين عملياتك وإجراءاتك باستمرار.
-
الأماناقرأ المستند الفني الخاص بالأمان
تستخدم هذه الإرشادات Organizations لتسهيل نشر حواجز الحماية التنظيمية، مثل تسجيل API باستخدام CloudTrail. يوفر هذا الدليل أيضًا ضوابط وقائية باستخدام سياسات AWS SCPs الوصفية كآلية حماية، تُستخدم أساسًا لرفض فئات محددة أو كاملة من واجهات برمجة التطبيقات (APIs) داخل بيئتك (للتأكد من نشر أحمال العمل في مناطق محددة فقط) أو رفض الوصول إلى خدمات AWS محددة. تدعم سجلات CloudTrail وCloudWatch مجموعة السجلات الشاملة المحددة، والمركزية عبر خدمات AWS وحساباتها. يتم تكوين إمكانات أمان AWS والعديد من الخدمات ذات الصلة بالأمان في نمط محدد يساعدك على تلبية بعض متطلبات الأمان الأكثر صرامة في العالم.
-
الموثوقيةاقرأ المستند الفني الخاص بالموثوقية
تستخدم هذه الإرشادات مناطق توافر متعددة (AZs)، وبالتالي فإن فقدان منطقة AZ واحدة لا يؤثر على توفر التطبيق. يمكنك استخدام CloudFormation لأتمتة توفير البنية التحتية وتحديثها بطريقة آمنة وخاضعة للرقابة. توفر هذه الإرشادات أيضًا قواعد تم إنشاؤها مسبقًا لتقييم تكوينات موارد AWS وتغييرات التكوين داخل بيئتك، أو يمكنك إنشاء قواعد مخصصة في AWS Lambda لتحديد أفضل الممارسات والإرشادات. يمكنك أتمتة القدرة على توسيع نطاق بيئتك لتلبية الطلب وتخفيف الاضطرابات مثل التكوينات الخاطئة أو مشكلات الشبكة العابرة.
-
الكفاءة في الأداءاقرأ المستند الفني الخاص بكفاءة الأداء
تعمل هذه الإرشادات على تبسيط إدارة البنية التحتية السحابية باستخدام Transit Gateway، التي تعمل كمحور مركزي يربط العديد من VPC من خلال بوابة واحدة، مما يسهل توسيع بنية الشبكة والحفاظ عليها. يعمل ذلك على تبسيط بنية شبكتك وتسهيل التوجيه الفعال لحركة المرور بين حسابات AWS المختلفة داخل مؤسستك.
-
تحسين التكلفةاقرأ المستند الفني الخاص بتحسين التكلفة
يوفر هذا الدليل القدرة على تجنب أو إزالة التكاليف غير الضرورية أو استخدام الموارد دون المستوى الأمثل. توفر Organizations المركزية والفواتير الموحدة، مما يسهل الفصل القوي بين استخدام الموارد وتحسين التكلفة. تنص هذه الإرشادات على نقل نقاط نهاية AWS العامة لواجهة برمجة التطبيقات (API) إلى مساحة عنوان VPC الخاصة بك، باستخدام نقاط نهاية مركزية لتحقيق الكفاءة من حيث التكلفة. بالإضافة إلى ذلك، يمكنك استخدام تقارير الاستخدام والتكلفة من AWS (AWS CUR) لتتبع استخدامك لـ AWS وتقدير الرسوم.
-
الاستدامةاقرأ المستند الفني الخاص بالاستدامة
تساعدك هذه الإرشادات على تقليل البصمة الكربونية المرتبطة بإدارة أعباء العمل داخل مراكز البيانات الخاصة بك. بنية AWS التحتية العالمية توفر بنية تحتية داعمة (مثل الطاقة والتبريد والشبكات) ومعدل استخدام أعلى وتحديثات تقنية أسرع من مراكز البيانات التقليدية. بالإضافة إلى ذلك، يساعدك تقسيم أعباء العمل وفصلها على تقليل حركة البيانات غير الضرورية، وتوفر Amazon S3 مستويات تخزين والقدرة على نقل البيانات تلقائيًا إلى مستويات تخزين فعالة.
موارد التنفيذ
نموذج التعليمات البرمجية هو نقطة البداية. تم التحقق من صحتها من قبل الصناعة، ووصفية ولكنها ليست نهائية، وهي نظرة سريعة على الغطاء لمساعدتك على البدء.
المحتوى ذو الصلة
تكوين نموذج TSE-SE (مع محرك أتمتة LZA)
Trusted Secure Enclaves - الإصدار الحساس
إخلاء المسؤولية
يتم توفير نموذج التعليمات البرمجية أو مكتبات البرامج أو أدوات سطر الأوامر أو براهين المفهوم أو القوالب أو غيرها من التقنيات ذات الصلة (بما في ذلك أي مما سبق توفيره من قبل موظفينا) كمحتوى AWS (AWS Content) بموجب اتفاقية عملاء AWS، أو الاتفاقية المكتوبة ذات الصلة بينك وبين AWS (أيهما ينطبق). يجب ألا تستخدم محتوى AWS هذا في حسابات الإنتاج الخاصة بك، أو في الإنتاج أو البيانات الهامة الأخرى. أنت مسؤول عن اختبار محتوى AWS وتأمينه وتحسينه، مثل نموذج التعليمات البرمجية، حسب الاقتضاء للاستخدام في درجة الإنتاج استنادًا إلى ممارسات ومعايير مراقبة الجودة الخاصة بك. قد يؤدي نشر محتوى AWS إلى فرض رسوم من قِبَلِ AWS لإنشاء أو استخدام موارد AWS القابلة للتحميل، مثل تشغيل مثيلات Amazon EC2 أو استخدام تخزين Amazon S3.
لا تعني الإشارات إلى خدمات أو منظمات الجهات الخارجية في هذا الدليل تأييدًا أو رعاية أو انتسابًا بين Amazon أو AWS والطرف الثالث. تُعد الإرشادات من AWS نقطة انطلاق فنية، ويمكنك تخصيص تكاملك مع خدمات الجهات الخارجية عند نشر البنية.