跳至主要内容

AWS 解决方案库

AWS 上 Trusted Secure Enclaves 的指南

使用安全的隔区保护和隔离高度敏感的工作负载

概览

本指南展示如何为国家安全、国防和国家执法中的敏感工作负载构建全面的云架构。通过在 AWS 上使用多账户架构,您可以在确保敏感数据和工作负载的安全的同时完成任务。本指南旨在帮助您满足严格而独特的安全和合规性要求,解决中央身份和访问管理、治理、数据安全、全面日志记录以及网络设计和分段问题,以符合各种美国安全框架的要求。

工作原理

概览

此架构图显示了如何配置具有独特安全性和合规性要求的全面的多账户工作负载。

下载架构图
Architecture diagram illustrating AWS Trusted Secure Enclaves, showing the organization management account, security accounts, infrastructure accounts, sensitive application OUs, and network connections to a corporate data center and the internet.

组织管理账户

该架构图显示了组织如何对多个账户进行分组,所有账户均由单个客户实体控制。 按照此架构图中的步骤部署本指南的组织管理账户部分。

下载架构图
Architecture diagram illustrating AWS Trusted Secure Enclaves organization management. The diagram shows organizational units (Security OU, Infrastructure OU, Dev OU, Prod OU, Central OU, Test OU), AWS KMS, SCPs, and integration with a Virtual Private Cloud (VPC), AD Connector, AWS IAM Identity Center, and corporate users.

安全账户

该架构图显示如何集中配置跨 AWS 服务和账户的全面日志收集。 按照此架构图中的步骤部署本指南的安全账户部分。

下载架构图
Architecture diagram illustrating AWS trusted and secure enclave organization security, showing management and security accounts, log archive (Amazon S3, CloudWatch, CloudTrail), and security tooling such as GuardDuty, Security Hub, AWS Config, Firewall Manager, Macie, IAM Access Analyzer, and Alarm.

基础设施账户

此架构图显示如何使用 Virtual Private Clouds(VPC)构建集中式、隔离的网络环境。 按照此架构图中的步骤部署本指南的“基础设施账户”部分。

下载架构图
Architecture diagram showing an AWS infrastructure design for trusted secure enclaves. The diagram illustrates the organization management account, infrastructure accounts for operations and DevOps, shared network components, perimeter security including AWS Network Firewall, ELB, AWS WAF, NAT gateway, and integration with corporate data centers via AWS Direct Connect. The layout demonstrates central VPCs, CI/CD tooling, firewalls, and connectivity to the internet.

应用程序、社区、团队或群组账户(敏感)

此架构图显示如何在属于软件开发生命周期不同阶段的工作负载之间或不同 IT 管理角色之间配置分段和分离。按照此架构图中的步骤部署本指南中的应用程序、社区、团队或组帐户部分。 

下载架构图
Architecture diagram showing the AWS Trusted Secure Enclaves setup for sensitive accounts, including organization management accounts, organizational units, and teams (Dev, Test, Prod, Shared) using VPCs, AWS Nitro System hosts, ELB, and AWS WAF.

Well-Architected 支柱

上面的架构图是按照 Well-Architected 最佳实践创建的解决方案示例。要做到完全的良好架构,您应该遵循尽可能多的 Well-Architected 最佳实践。

本指南使用拥有 AWS CloudFormation 堆栈和配置的组织为您的 AWS 环境奠定安全的基础。这提供了基础设施即代码(IaC)解决方案,有助于加速实施技术安全控制。配置规则会修复任何已确定会对规定架构产生负面影响的配置增量。您可以将 AWS 全球商业基础设施用于敏感机密工作负载,并自动运行安全系统以更快地交付任务,同时不断改进流程和程序。

阅读“卓越运营”白皮书

本指南使用组织来促进组织护栏的部署,例如使用 CloudTrail 进行 API 记录。本指南还使用规范的 AWS SCP 作为防护机制来提供预防性控制,主要用于拒绝环境中特定或整个类别的 API(以确保工作负载仅部署在规定的区域中)或拒绝访问特定的 AWS 服务。CloudTrail CloudWatch 日志支持对 AWS 服务和账户进行规定的全面日志收集和集中管理。AWS 安全功能和众多与安全相关的服务以定义的模式配置,可帮助您满足世界上一些最严格的安全要求。

阅读《安全性》白皮书

本指南使用多个可用区(AZ),因此,一个 AZ 失效不会影响应用程序可用性。您可以使用 CloudFormation 以安全和可控的方式自动配置和更新基础架构。本指南还为评估环境中的 AWS 资源配置和配置更改提供了预建规则,或者您可以在 AWS Lambda 中创建自定义规则来定义最佳实践和指南。您可以自动扩展环境以满足需求并缓解配置错误或瞬态网络问题等中断。

阅读《可靠性》白皮书

本指南使用 T ransit Gateway 简化了云基础设施管理,Transit Gatew ay充当中心枢纽,通过单个网关连接多个 VPC,从而更容易扩展和维护网络架构。这可以简化您的网络架构并促进组织内不同 AWS 账户之间的高效流量路由。

阅读《性能效率》白皮书

本指南提供了避免或消除不必要的成本或使用次优资源的能力。组织提供集中和整合账单,促进资源使用和成本优化的严格分离。本指南规定将 AWS 公共 API 端点移动到您的专用 VPC 地址空间,从而使用集中式端点来提高成本效率。此外,您可以使用 AWS 成本和使用情况报告 (AWS CUR) 来跟踪您的 AWS 使用情况和估算费用。

阅读《成本优化》白皮书

本指南可帮助您减少与管理自己数据中心内的工作负载相关的碳足迹。AWS 全球基础设施提供支持性基础设施(例如电源、冷却和网络)、比传统数据中心更高的利用率和更快的技术更新。此外,工作负载的分段和分离有助于减少不必要的数据移动,Amazon S3 提供存储层和自动将数据移动到高效存储层的能力。

阅读《可持续性》白皮书

免责声明

示例代码;软件库;命令行工具;概念验证;模板;或其他相关技术(包括由我方人员提供的任何前述项)作为 AWS 内容按照《AWS 客户协议》或您与 AWS 之间的相关书面协议(以适用者为准)向您提供。您不应将这些 AWS 内容用在您的生产账户中,或用于生产或其他关键数据。您负责根据特定质量控制规程和标准测试、保护和优化 AWS 内容,例如示例代码,以使其适合生产级应用。部署 AWS 内容可能会因创建或使用 AWS 可收费资源(例如,运行 Amazon EC2 实例或使用 Amazon S3 存储)而产生 AWS 费用。

找到今天要查找的内容了吗?

请提供您的意见,以便我们改进网页内容的质量。