快速构建安全规范和架构完善的云上多账户运行环境

“源浚者流长，根深者叶茂”。如果您希望云上各种生产应用和工作负载“行稳致远”，安全稳健的云上运行环境是重中之重。为了协助您更好更快的构建高质量的云上运行环境，亚马逊云科技提出了一系列的倡议、建议、指导、服务和工具。我们尝试梳理其中的重要内容，共同探讨高效稳健的构建之道。

架构完善的框架及其辅助工具在构建理念的高度，从卓越操作、安全、可靠、性能效率、成本优化和可持续等六大支柱介绍了构建完善框架的最佳实践。而《构建良好云上基础环境》白皮书则以功能导览为视角，在纷繁复杂的上云历程中，提取出管治风控合规、操作、安全、业务连续、财政、基础设施等六大类，以功能为导向，协助您搭建易于部署、操作和治理工作负载的良好云上环境。

所谓“万事开头难”，《多账户组织云上环境白皮书》提倡的多账户战略，是响应完善架构和构建良好环境的重要第一步。鉴于此，亚马逊云科技配套提供了诸如 Amazon Organizations, Amazon IAM, AWS Control Tower 等服务。为弥合中国区域的服务差异，以及更好的为您做云上环境定制化开发，我们也提供了 Cloud Foundations 快速启动包解决方案。下图简要展示了上述内容的大致关系。

如何获取解决方案

即刻访问 Cloud Foundations 解决方案页面联系亚马逊云科技专家以获取解决方案。

解决方案概览

Cloud Foundations 系统地定义了企业云上生产环境所需的数十种信息技术“功能”，范围涵盖基础设施、安全、业务连续性、财务、运维、治理与合规等六大支柱，是继云上着陆区后，对企业上云基础能力的全面提升。 Cloud Foundations 快速启动包是专为亚马逊云科技中国区域的客户，特别是新客户打造的，完全按照 Cloud Foundations 理念开发的云上基础设施部署工具。旨在两周内，利用云原生技术和自动化方案，快速搭建一个包括着陆区、安全基线和运维功能的上云就绪环境，以迅速供生产系统使用。用户可以此为基础，持续构建和加强 Cloud Foundations 定义的技术功能。本方案主要有以下优势：

• 快速交付：Cloud Foundations 快速启动包加快了客户实现价值的时间并降低了实施成本，促进了安全最佳实践的使用。客户可以将有限的信息技术资源集中在诸如大规模迁移、构建下一代无服务器应用程序和云上重塑业务流程等高价值的机会上。
• 提高安全性：用户使用一套集中管理的部署代码，可以提高质量和安全性。Cloud Foundations 快速启动包内置了安全和合规的基本配置。用户提出的新安全要求可以很容易的集成到目前的代码中，有利于持续改善安全状况。
• 简化工作：Cloud Foundations 快速启动包简化了为客户构建多账户亚马逊云科技环境所采用的复杂方法。通过预先完成大部分工程、代码的开发和测试工作，从而降低了出现缺陷的可能性。

适用客户及量身定制

Cloud Foundations 快速启动包适合所有客户使用，特别适合：

• 新客户，刚使用亚马逊云科技，不知道如何应对安全合规以及日常账户管理等运维需求；
• 有迁移计划的客户，为云上环境打下良好基础；
• 其他客户，希望可以降低风险和提高自动化程度。

本方案有亚马逊云科技云开发包（CDK）和 Terraform 两种实现，以满足您不同的资源即代码要求。

根据您业务和生产的实际情况，我们可以 Cloud Foundations 快速启动包为基础，在用户联合认证，网络互联互通，安全证书加密，数据文件迁移，资源降本增效等方面，为您量身定制 Cloud Foundations 专属启动包，使其更好的适应实际业务场景，更贴近生产一线的需求。

解决方案架构图

架构图说明：

• 管理账户：包含 Amazon Organizations 组织以及必要的功能 Amazon Identity and Access Management (Amazon IAM) 角色。管理账户含有最少化的资源和功能。
• 基础账户：包含自动化部署 Amazon Step Functions 状态机、Amazon CodePipeline 流水线及其 Amazon CodeBuild 构建项目。包含 Amazon Service Catalog 新建账户产品和新建流水线产品。集中管理各类 Amazon Simple Notification Service (SNS) 主题。
• 安全账户：集中管理各类 Amazon Key Management Service 客户密钥及其密钥策略，用以加密对应的服务以及 Amazon S3 日志存储桶等。包含服务控制策略替代方案，标签策略替代方案、针对 Amazon Security Hub 的安全增强模块等。
• 日志账户：包含 Amazon Simple Storage Service (Amazon S3) 存储桶，集中存储和管理各类日志，包括 Amazon CloudTrail, Amazon Config, Amazon GuardDuty, Amazon Virtual Private Cloud (Amazon VPC) 流日志等。
• 网络账户：包含共享的 Amazon VPC 及其附属资源，例如子网，路由表，互联网网关，终端节点，流日志等。以 Amazon Transit Gateway 中转网关及其路由表实现互联互通。包含 Amazon Route 53 和 Amazon WAF 等。
• 成员账户：对各成员账户就图示中的各类服务基于亚马逊云科技最佳实践进行加载和配置，包括 Amazon CloudTrail, Amazon Config, Amazon GuardDuty, Amazon Security Hub, Amazon IAM 访问分析器和密码策略等。安全增强内容包含 Amazon Config 配置规则及其修复机制。包含 Amazon Backup 备份保险柜及相关备份计划等。

部署解决方案

回到构建良好云上环境的三要素，我们围绕易于部署、操作和治理您的工作负载来展开。具体来说，就是解决方案需要解决映射到哪些功能点以及如何映射的问题。本方案涵盖了所有的六大功能类。具体到 30 项功能点，其涵盖程度深浅有别。我们会持续保持更新，以满足客户各种各样日新月异的需求。

自动化和幂等性

本方案的实现遵循几大原则。一是最小化手工操作，尽可能自动化。二是构建操作的无状态幂等性，即操作的重复执行结果是一致的。三是在低代码和高配置之间寻求平衡。

在易于部署方面，我们通过脚本、Amazon Step Functions 部署状态机、Amazon CodePipeline 流水线等服务和工具提供“一键”部署功能。部署过程会执行流水线和相应的 Amazon CodeBuild 构建项目，按依赖关系依次有序创建资源并配置。自动化部署过程可在一小时左右执行完成。算上满足先决条件和收集用户需求的过程，非定制化的解决方案可在两周完成。

成员账户基线加载配置

本方案对成员账户进行基线加载配置，包括配置 Amazon CloudTrail, Amazon Config, Amazon GuardDuty, Amazon Security Hub, Amazon IAM 访问分析和密码策略等。

成员账户基础备份配置

本方案为成员账户预置了按不同时间周期（小时，日，周，月，年等）的备份计划和保险柜，可以在此基础上做进一步定制。

安全风险防范和安全增强

安全一直是构建云上环境的重中之重。我们遵循以下基本原则。首先是在可以使用 Amazon KMS 客户密钥的资源都进行静态加密，其次是在安全账户集中管理这些密钥，再次是对各类策略授予最小权限。

防范安全风险

本方案根据安全最佳实践配置资源。以下我们列举部分实例，说明本方案如何有效防范安全风险。

• 通过账户级别的工作负载隔离避免一个账户的管理员权限被攻破而导致所有云上资源面临危险；
• 可以通过强制密码策略防止 IAM 用户的密码过于简单或者长期不更新密码；
• 可以通过制定备份策略，在系统遭到勒索等数据不可用的情况下，使用备份将系统恢复到正常状态；
• 可以通过制定安全策略
  • 杜绝创建可以公共访问的 S3 存储桶，防止安全重要文件的意外泄露；
  • 强制使用 https 访问 S3 存储桶，防止未经授权的数据访问、数据盗窃或数据更改；
  • 避免账户中的关键资源遭到非授权的篡改和删除，以及避免恶意创建云上资源；
  • 强制加密 S3, EBS, EFS, RDS 的数据，防止敏感数据的泄露；
  • 杜绝敏感端服务器口对互联网开放，杜绝不安全的安全组规则，降低网络黑客入侵的成功率；
• 可以对资源的恶意使用、来自网络的恶意攻击和用户权限的不当使用做早期预警，并提供预先准备的响应措施。

服务控制和标签策略替代方案

本方案力图弥合 Amazon Organizations 中国区域的服务差异，提供了服务控制策略替代方案。您可以按不同组织部门，在组织根、组织部门或账户级别管理权限，提高云上环境安全性。我们强烈建议您启用该替代方案。

本方案也包含标签策略替代方案，规范化管理标签键大小写、标签值取值范围和适用操作等内容，协助您构建规范一致的云上环境。

配置检查与自助修复

本方案配置了多项 Amazon Config 资源配置检查规则，并预置了基于 Amazon Systems Manager 文档功能的自动修复操作。您可以按需进行自动修复，或者手动修复。

安全隐患联合调查和补救措施

本方案配合 Amazon Guardduty, Amazon Security Hub 等服务，对上报的安全隐患调查结果进行跨资源、跨账户联合调查，对疑似风险点创建自定义高风险调查结果，并预置数个自定义操作，协助您响应安全隐患和采取补救措施。

配置网络互联互通

本方案采用共享 VPC 网络拓扑，您可以定义一个网络互联互通的 JSON 配置文件，包括基本 VPC 参数，子网 CIDR 范围，VPC 通过中转网关相互连通的关联关系，以及子网共享到成员账户等信息，本方案会生成所需网络和 Amazon Resource Access Manager (RAM) 共享资源。

日常运维与治理

日志存储与分析

本方案在日志账户中集中存储各类服务日志。在此基础上，对日志的分析有以下两种方法：

• 日志通：您可以利用本方案在日志账户 VPC 内部署一个 Amazon OpenSearch Service 域，然后部署配置日志通解决方案来搜索和分析日志。
• SIEM on Amazon OpenSearch Service：我们可以为您集成部署 SIEM 解决方案，一套完整的安全性事件管理解决方案。从多个账户中收集各类日志，并通过日志关联与可视化协助您调查安全事件。

账户工厂创建账户产品

本方案以 Amazon Service Catalog 服务目录产品形式提供账户工厂产品。您可以在管理控制台一键创建多个新成员账户，并完成本方案规定的其他基线配置。

流水线工厂创建流水线产品

本方案以 Amazon Service Catalog 服务目录产品形式提供流水线工厂产品。您可以指定 Amazon CodeCommit 源、适用账户和适用模块，动态创建或销毁新流水线，然后通过新流水线创建或销毁资源。您可以实现流水线的动态管理，灵活自由的管理资源即代码。

非组织多账户架构

虽然我们建议您尽可能使用 Amazon Organizations 来管理多账户的云上环境，但是仍然可能有各种缘由使得您无法使用该服务。针对这种情形，本方案依然可以进行定制来支持。包括服务控制策略替代方案，我们也有针对非组织的支持。但是请注意，您必须加入组织后，才能迁移到原生服务。

卸载解决方案

本方案提供销毁状态机供您一键销毁所有资源。卸载之前务必确认您的云上环境其他资源已经销毁，对云上环境没有任何依赖。在此之后您可以关闭账户。

综上所述，本方案架构框架可由以下示意图展示，且可以根据您的实际情况，做进一步定制化改造和增强，让您在纷繁复杂的上云历程中拨云见日，更好的全神贯注于您的生产应用和工作负载。

总结

本文介绍了为什么和如何快速构建安全规范和架构完善的云上多账户组织运行环境。我们以架构完善为基础，以良好云上环境要求的易于部署、操作和治理您的工作负载为出发点，设计了 Cloud Foundations 快速启动包。在两周的时间，为您快速构建云上运行环境，让你专注于您的生产业务和工作负载本身。您可以访问 Cloud Foundations 解决方案页面了解更多信息，或者联系亚马逊云科技专家获取解决方案。

本篇作者