انتقل إلى المحتوى الرئيسي

مكتبة حلول AWS

إرشادات Trusted Secure Enclaves على AWS

يمكنك حماية أعباء العمل شديدة الحساسية وعزلها باستخدام جزء منفصل آمن

نظرة عامة

يوضح هذا الدليل كيف يمكنك إنشاء بنية سحابية شاملة لأعباء العمل الحساسة في الأمن القومي والدفاع وإنفاذ القانون الوطني. باستخدام بنية متعددة الحسابات على AWS، يمكنك تنفيذ مهامك مع الحفاظ على أمان البيانات وأعباء العمل الحساسة. صُمم هذا الدليل لمساعدتك على تلبية متطلبات الأمان والامتثال الصارمة والفريدة، ومعالجة الهوية المركزية وإدارة الوصول، والحوكمة، وأمن البيانات، والتسجيل الشامل، وتصميم الشبكة وتقسيمها بما يتماشى مع مختلف أطر الأمان الأمريكية.

كيفية العمل

نظرة عامة

يوضح مخطط البنية هذا كيفية تكوين أعباء عمل شاملة ومتعددة الحسابات مع متطلبات الأمان والتوافق الفريدة.

تنزيل مخطط البنية
Architecture diagram illustrating AWS Trusted Secure Enclaves, showing the organization management account, security accounts, infrastructure accounts, sensitive application OUs, and network connections to a corporate data center and the internet.

حساب إدارة المؤسسة

يوضح مخطط البنية هذا كيف يمكن للمؤسسة تجميع حسابات متعددة، يتم التحكم فيها جميعًا بواسطة كيان عميل واحد. اتبع الخطوات الواردة في مخطط البنية هذا لنشر جزء حساب إدارة المؤسسة من هذا الدليل.

تنزيل مخطط البنية
Architecture diagram illustrating AWS Trusted Secure Enclaves organization management. The diagram shows organizational units (Security OU, Infrastructure OU, Dev OU, Prod OU, Central OU, Test OU), AWS KMS, SCPs, and integration with a Virtual Private Cloud (VPC), AD Connector, AWS IAM Identity Center, and corporate users.

حسابات الأمان

يوضح مخطط البنية هذا كيفية تكوين مجموعة سجلات شاملة مركزيًا على مستوى خدمات AWS وحساباتها. اتبع الخطوات الواردة في مخطط البنية هذا لنشر جزء حسابات الأمان من هذا الدليل.

تنزيل مخطط البنية
Architecture diagram illustrating AWS trusted and secure enclave organization security, showing management and security accounts, log archive (Amazon S3, CloudWatch, CloudTrail), and security tooling such as GuardDuty, Security Hub, AWS Config, Firewall Manager, Macie, IAM Access Analyzer, and Alarm.

حسابات البنية التحتية

يوضح مخطط البنية هذا كيفية إنشاء بيئة شبكات مركزية ومعزولة باستخدام السحابات الخاصة الافتراضية (VPC). اتبع الخطوات الواردة في مخطط البنية هذا لنشر جزء حسابات البنية التحتية من هذا الدليل.

تنزيل مخطط البنية
Architecture diagram showing an AWS infrastructure design for trusted secure enclaves. The diagram illustrates the organization management account, infrastructure accounts for operations and DevOps, shared network components, perimeter security including AWS Network Firewall, ELB, AWS WAF, NAT gateway, and integration with corporate data centers via AWS Direct Connect. The layout demonstrates central VPCs, CI/CD tooling, firewalls, and connectivity to the internet.

حسابات التطبيق أو المجتمع أو الفريق أو المجموعة (الحساسة)

يوضح مخطط البنية هذا كيفية تكوين التقسيم والفصل بين أعباء العمل التي تنتمي إلى مراحل مختلفة من دورة حياة تطوير البرامج، أو بين الأدوار الإدارية المختلفة لتكنولوجيا المعلومات. اتبع الخطوات الواردة في مخطط البنية هذا لنشر جزء حسابات التطبيق أو المجتمع أو الفريق أو المجموعة من هذا الدليل. 

تنزيل مخطط البنية
Architecture diagram showing the AWS Trusted Secure Enclaves setup for sensitive accounts, including organization management accounts, organizational units, and teams (Dev, Test, Prod, Shared) using VPCs, AWS Nitro System hosts, ELB, and AWS WAF.

Well-Architected Pillars

يُعد مخطط البنية أعلاه مثالاً على حل أُنشئ مع وضع أفضل الممارسات المصممة جيدًا في الاعتبار. لكي يكون النظام متوافقًا بالكامل مع إطار Well-Architected، يجب اتباع أكبر عدد ممكن من أفضل الممارسات الخاصة به.

    تستخدم هذه الإرشادات Organizations التي تحتوي على مجموعات AWS CloudFormation وتكويناتها لإنشاء أساس آمن لبيئة AWS. يوفر هذا حل البنية التحتية ككود (IaC) الذي يسرع من تنفيذ ضوابط الأمان الفنية. تعالج قواعد Config أي اختلافات في التكوين تم تحديد أنها تؤثر سلبًا في البنية المحددة. يمكنك استخدام البنية AWS التحتية التجارية العالمية لأعباء العمل المصنفة الحساسة وأتمتة الأنظمة الآمنة لتسليم المهام بشكل أسرع مع تحسين عملياتك وإجراءاتك باستمرار.

    قراءة المستند الفني الخاص بالتميّز التشغيلي

    تستخدم هذه الإرشادات Organizations لتسهيل نشر حواجز الحماية التنظيمية، مثل تسجيل API باستخدام CloudTrail. يوفر هذا الدليل أيضًا ضوابط وقائية باستخدام سياسات AWS SCPs الوصفية كآلية حماية، تُستخدم أساسًا لرفض فئات محددة أو كاملة من واجهات برمجة التطبيقات (APIs) داخل بيئتك (للتأكد من نشر أحمال العمل في مناطق محددة فقط) أو رفض الوصول إلى خدمات AWS محددة. تدعم سجلات CloudTrail وCloudWatch مجموعة السجلات الشاملة المحددة، والمركزية على مستوى خدمات AWS وحساباتها. يتم تكوين إمكانات أمان AWS والعديد من الخدمات ذات الصلة بالأمان في نمط محدد يساعدك على تلبية بعض متطلبات الأمان الأكثر صرامة في العالم.

    قراءة المستند الفني الخاص بالأمان

    تستخدم هذه الإرشادات مناطق توافر خدمات (AZ) متعددة، وبالتالي فإن فقدان منطقة توافر خدمات واحدة لا يؤثر في توفّر التطبيق. يمكنك استخدام CloudFormation لأتمتة توفير البنية التحتية وتحديثها بطريقة آمنة وخاضعة للرقابة. توفر هذه الإرشادات أيضًا قواعد تم إنشاؤها مسبقًا لتقييم تكوينات موارد AWS وتغييرات التكوين داخل بيئتك، أو يمكنك إنشاء قواعد مخصصة في AWS Lambda لتحديد أفضل الممارسات والإرشادات. يمكنك أتمتة القدرة على توسيع نطاق بيئتك لتلبية الطلب وتخفيف الاضطرابات مثل التكوينات الخاطئة أو مشكلات الشبكة العابرة.

    قراءة المستند الفني الخاص بالموثوقية

    تبسِّط هذه الإرشادات إدارة البنية التحتية للسحابة باستخدام Transit Gateway، التي تعمل كمحور مركزي يربط العديد من السحابات الخاصة الافتراضية (VPC) من خلال بوابة واحدة، ما يسهِّل توسيع بنية الشبكة والحفاظ عليها. يبسِّط ذلك بنية شبكتك ويسهِّل التوجيه الفعال لحركة المرور بين حسابات AWS المختلفة داخل مؤسستك.

    قراءة المستند الفني الخاص بكفاءة الأداء

    يوفر هذا الدليل القدرة على تجنب أو إزالة التكاليف غير الضرورية أو استخدام الموارد دون المستوى الأمثل. توفر Organizations المركزية والفواتير الموحدة، ما يسهِّل الفصل القوي بين استخدام الموارد وتحسين التكلفة. تنص هذه الإرشادات على نقل نقاط نهاية AWS العامة لواجهة برمجة التطبيقات (API) إلى مساحة عنوان السحابة الخاصة الافتراضية الخاصة بك، باستخدام نقاط نهاية مركزية لتحقيق الكفاءة من حيث التكلفة. بالإضافة إلى ذلك، يمكنك استخدام تقارير الاستخدام والتكلفة من AWS‏ (AWS CUR) لتتبع استخدامك لـ AWS وتقدير الرسوم.

    قراءة المستند الفني الخاص بتحسين التكلفة

    تساعدك هذه الإرشادات على تقليل البصمة الكربونية المرتبطة بإدارة أعباء العمل داخل مراكز البيانات الخاصة بك. بنية AWS التحتية العالمية توفر بنية تحتية داعمة (مثل الطاقة والتبريد والشبكات) ومعدل استخدام أعلى وتحديثات تقنية أسرع من مراكز البيانات التقليدية. بالإضافة إلى ذلك، يساعدك تقسيم أعباء العمل وفصلها على تقليل حركة البيانات غير الضرورية، وتوفر Amazon S3 مستويات تخزين والقدرة على نقل البيانات تلقائيًا إلى مستويات تخزين فعالة.

    قراءة المستند الفني الخاص بالاستدامة

إخلاء المسؤولية

يتم توفير نموذج التعليمات البرمجية أو مكتبات البرامج أو أدوات سطر الأوامر أو براهين المفهوم أو القوالب أو غيرها من التقنيات ذات الصلة (بما في ذلك أي مما سبق توفيره من قبل موظفينا) كمحتوى AWS‏ (AWS Content) بموجب اتفاقية عملاء AWS، أو الاتفاقية المكتوبة ذات الصلة بينك وبين AWS (أيهما ينطبق). يجب ألا تستخدم محتوى AWS هذا في حسابات الإنتاج الخاصة بك، أو في الإنتاج أو البيانات الهامة الأخرى. أنت مسؤول عن اختبار محتوى AWS وتأمينه وتحسينه، مثل نموذج التعليمات البرمجية، حسب الاقتضاء للاستخدام في درجة الإنتاج استنادًا إلى ممارسات ومعايير مراقبة الجودة الخاصة بك. قد يؤدي نشر محتوى AWS إلى فرض رسوم من قِبَلِ AWS لإنشاء أو استخدام موارد AWS القابلة للتحميل، مثل تشغيل مثيلات Amazon EC2 أو استخدام تخزين Amazon S3.

هل وجدت ما كنت تبحث عنه اليوم؟

أخبرنا حتى نتمكن من تحسين جودة المحتوى الموجود على صفحاتنا