概述
AWS 登录区加速器解决方案部署了一组基础功能,旨在与 AWS 最佳实践和多个全球合规框架保持一致。借助此 AWS 解决方案,您可以更好地管理和治理具有高度管控工作负载和复杂合规性要求的多账户环境。与其他 AWS 服务配合使用时,它可以在超过 35 种 AWS 服务中提供全面的低代码解决方案。
注意:此解决方案本身不会使您符合要求。它提供基本基础设施,可在其中集成其他补充解决方案。
您可以使用此解决方案,以便与特定区域和行业保持一致。
优势
自动设置一个适合托管安全工作负载的云环境。您可以在所有 AWS 区域内部署此解决方案。这可以帮助您在 AWS 标准区域、AWS GovCloud(美国)以及 AWS 中的其他非标准分区中维持运营和监管的一致性。
在适合您数据分类的 AWS 区域部署解决方案,并使用 Amazon Macie 在 Amazon Simple Storage Service(Amazon S3)中提供敏感数据检测。此解决方案还可以帮助您使用 AWS Key Management System(AWS KMS)部署、运营和管理集中托管式加密策略。
利用基本基础设施为跨中央管理的多账户环境部署任务关键型工作负载。
技术详情
您可以使用实施指南和随附的 AWS CloudFormation 模板自动部署该架构。
第 1 步
您可以使用 AWS CloudFormation 将解决方案安装到您的环境中。在部署解决方案之前,您的环境必须满足一些先决条件。提供的 CloudFormation 模板将会部署一个 AWS CodePipeline,其中包含 AWS 登录区加速器安装引擎。
第 2 步
安装程序管线部署解决方案的核心功能。由于此安装程序独立于核心解决方案基础设施运行,因此您可以通过 CloudFormation 控制台,使用单个参数更新到解决方案的未来版本。
第 3 步
AWS CodeBuild 项目作为构建和执行解决方案的 AWS Cloud Development Kit(AWS CDK)应用程序,该应用程序跨该解决方案的每个托管 AWS 账户和区域部署 CloudFormation 堆栈。
第 4 步
该解决方案将部署 Amazon Simple Notification Service (Amazon SNS) 主题,您可以订阅这些主题以获取有关核心管线事件的警报,这样可以提高您的核心管线操作的可观测性。此外,该解决方案还将部署两个 AWS Key Management Service (AWS KMS) 客户自主管理型密钥,用于管理其余安装程序和核心管线依赖项的加密。
第 5 步
核心管线验证和合并输入,并使用 AWS CDK 部署额外的 CloudFormation 堆栈。一个名为 aws-accelerator-config 的 AWS CodeCommit 存储库将存储该解决方案使用的配置文件。这些配置文件是配置和管理解决方案的主要机制。
第 6 步
CodeBuild 项目可编译并验证解决方案的 AWS CDK 应用程序配置。
第 7 步
通过多个 CodeBuild 部署阶段来将解决方案配置文件中定义的资源部署到您的多账户环境中。可能包括一个可选的手动审查阶段,您可以通过它来查看这些阶段将应用的所有更改。
第 8 步
该解决方案部署监控 AWS Control Tower 生命周期事件的资源,以检测与已知良好状态的潜在偏差(换句话说,基础设施资源的实际配置与其预期配置不同的情况)。该解决方案还将部署可以自动将新 AWS 账户注册到您的多账户环境中的资源。
第 9 步
该解决方案在您的多账户环境中的日志存档账户中部署集中式日志记录资源。这包括用于流式传输和提取日志的 Amazon Kinesis 资源、用于促进静态加密的 AWS KMS 密钥以及作为日志存储目标的 Amazon Simple Storage Service (Amazon S3) 存储桶。
第 10 步
您可以通过解决方案的配置文件将工作负载账户注册和配置到具有额外基础设施的多账户环境中。至少为新账户预置了有助于将 Amazon CloudWatch 日志组流式传输到 Log Archive 账户中的集中式日志记录基础设施的资源。
第 1 步
您可以使用 AWS CloudFormation 将解决方案安装到您的环境中。在部署解决方案之前,您的环境必须满足一些先决条件。提供的 CloudFormation 模板将会部署一个 AWS CodePipeline,其中包含 AWS 登录区加速器安装引擎。
第 2 步
安装程序管线部署解决方案的核心功能。由于此安装程序独立于核心解决方案基础设施运行,因此您可以通过 CloudFormation 控制台,使用单个参数更新到解决方案的未来版本。
第 3 步
AWS CodeBuild 项目作为构建和执行解决方案的 AWS Cloud Development Kit(AWS CDK)应用程序,该应用程序跨该解决方案的每个托管 AWS 账户和区域部署 CloudFormation 堆栈。
第 4 步
该解决方案将部署 Amazon Simple Notification Service(Amazon SNS)主题,您可以订阅这些主题以获取有关核心管线事件的警报,这样可以提高您的核心管线操作的可观测性。
此外,该解决方案还将部署两个 AWS Key Management Service (AWS KMS) 客户自主管理型密钥,用于管理其余安装程序和核心管线依赖项的加密。
第 5 步
核心管线验证和合并输入,并使用 AWS CDK 部署额外的 CloudFormation 堆栈。一个名为 aws-accelerator-config 的 AWS CodeCommit 存储库将存储该解决方案使用的配置文件。这些配置文件是配置和管理解决方案的主要机制。
第 6 步
CodeBuild 项目可编译并验证解决方案的 AWS CDK 应用程序配置。
第 7 步
通过多个 CodeBuild 部署阶段来将解决方案配置文件中定义的资源部署到您的多账户环境中。可能包括一个可选的手动审查阶段,您可以通过它来查看这些阶段将应用的所有更改。
第 8 步
该解决方案部署监控 AWS Control Tower 生命周期事件的资源,以检测与已知良好状态的潜在偏差(换句话说,基础设施资源的实际配置与其预期配置不同的情况)。
该解决方案还将部署可以自动将新 AWS 账户注册到您的多账户环境中的资源。
第 9 步
该解决方案在您的多账户环境中的日志存档账户中部署集中式日志记录资源。这包括用于流式传输和提取日志的 Amazon Kinesis 资源、用于促进静态加密的 AWS KMS 密钥以及作为日志存储目标的 Amazon Simple Storage Service (Amazon S3) 存储桶。
第 10 步
您可以通过解决方案的配置文件将工作负载账户注册和配置到具有额外基础设施的多账户环境中。至少为新账户预置了有助于将 Amazon CloudWatch 日志组流式传输到 Log Archive 账户中的集中式日志记录基础设施的资源。
支持特定区域和行业
从以下选项中选择如何部署 AWS 登录区加速器解决方案以支持您的特定区域或行业。
重要提示:这些资产并非旨在实现功能完整或完全合规,而是为了帮助满足特定区域或行业安全要求的实体加快云迁移和云重构工作。虽然这些资产可以帮助您减少手动构建生产就绪型基础设施所需的工作,但您仍然需要根据自己的独特业务需求对其进行定制。有关如何按照特定要求使用 AWS 的更多信息,请参阅 AWS 合规性计划。请咨询您的 AWS 团队,了解满足您要求的控制措施。
-
区域配置
我们为 AWS 登录区加速器解决方案构建了以下特定于地理区域的配置,以符合 AWS 最佳实践和特定于国家/地区的合规性框架。选择所需的地理区域以获取部署说明。
注意:有关云安全的详细信息包含在 AWS Artifact 中的 AWS 第三方安全性与合规性报告中。
-
美国
-
英国 (UK)
-
加拿大
-
美国
-
美国 (US)
有关如何在我们的 AWS GovCloud(美国)区域部署此解决方案的说明,请参阅我们的实施指南。这样做可以帮助您与以下规范保持一致:
- 联邦风险和授权管理计划 (FedRAMP) 高影响级别
- 适用于托管影响级别 (IL) 4 和 IL5 工作负载的国防部 (DoD) 云计算安全要求指南 (CC SRG)
- DoD 网络安全成熟度模型认证 (CMMC) 就绪情况
- M-21-31 日志记录和保留要求
如果您想在我们的美国东部或美国西部 AWS 区域之一进行部署,请按照我们 实施指南中的一般部署说明进行操作。
- 联邦风险和授权管理计划 (FedRAMP) 高影响级别
-
英国 (UK)
-
-
原则 1:传输中数据的保护为了满足 原则 1 的要求,除了解决方案的最佳实践示例配置外,您还可以实施以下控制措施:
- 仅限 Amazon S3 — 通过服务控制策略 (SCP) 至少强制执行传输层安全协议 (TLS) 1.2,在 s3:TLSVersion 低于 1.2 时拒绝所有操作。
- 仅限 Amazon S3 对象 Lambda — 通过 SCP 至少强制执行 TLS 1.2,在 s3-object-lambda:TlsVersion 低于 1.2 时拒绝所有操作。
- 仅限 Amazon ElastiCache — 通过 SCP 对 CreateReplicationGroup 操作强制执行 TLS,在 elasticache:TransitEncryptionEnabled 为 false 时拒绝所有操作。
-
原则 2:资产保护和弹性此解决方案的最佳实践示例配置通过以下控制措施满足 原则 2 的要求:
- 配置 AWS Control Tower 以禁止访问某些区域(例如,位于没有与英国签订数据访问协议的地理区域的区域)的 AWS 服务。
- AWS Control Tower 允许并配置 AWS Config 以跟踪 AWS 资源的部署和配置。提供配置管理数据库供客户用于实现可见性并进行特定的自动审计,有助于确保合规性。
- 该解决方案将实施检测合规性控制措施,以确保与资产保护保持一致(例如,识别未加密存储和负载均衡器等控制措施未配置为将访问日志导出到中央存档账户或没有 TLS 加密的端点)。
为了提高安全性,您可以实施以下控制措施:- 禁止某些 AWS 人工智能 (AI) 服务存储和使用这些服务处理的客户内容,以开发和持续改进其他 AWS 服务。
- 通过拒绝创建或更新某些资源(除非它们已加密)来强制执行静态加密。您可以通过向 SCP 添加以下条件来实现此目的:
- Amazon EC2,通过设置 "ec2:Encrypted": "true"
- Amazon EFS,通过设置 "elasticfilesystem:Encrypted": "true"
- Amazon RDS,通过设置 "rds:StorageEncrypted": "true"
- Amazon S3,通过设置 "s3:x-amz-server-side-encryption": "aws:kms"
- Amazon ElastiCache,通过设置 "elasticache:AtRestEncryptionEnabled": "true"
-
原则 3:客户分离
AWS 云安全配置可以帮助您满足原则 3 的要求。我们建议查看《AWS 逻辑隔离》白皮书,了解有关实施的详细信息。更多信息请参见 AWS 安全性与合规性文档,例如 AWS 国际标准化组织 (ISO) 认证、支付卡行业 (PCI) 认证以及系统和组织控制 (SOC) 报告。您可以通过 AWS Artifact 下载这些报告。
-
原则 4:治理框架要了解 AWS 为其服务管理实施的更广泛的治理,请参阅 AWS 安全性与合规性文档,例如 AWS ISO 和 PCI 认证以及 SOC 报告。您可以通过 AWS Artifact 下载这些报告。满足 原则 4 要求时,治理在您的环境中同样重要。我们设计了此解决方案实施的规范架构(将安全、日志记录和核心网络功能分离到独立的账户中)和控制(参见原则 5),以帮助您了解您的 AWS 资源、集中实施自动化控制,并在您的整个云环境中建立和实施治理。
-
原则 5:操作安全该解决方案的最佳实践示例配置通过创建一个集中式安全账户(称为委托安全账户)来满足 原则 5 的要求。此账户从解决方案默认激活的安全服务接收信息,包括以下内容:
- Amazon GuardDuty 将持续监控、分析和处理解决方案环境中所有账户的以下数据来源:
- Amazon Macie,用于支持使用机器学习和模式匹配在 Amazon S3 中发现、监控和保护 Amazon S3 中的敏感数据。
- AWS Config可提供:
- 解决方案环境所有账户中 AWS 资源配置的详细视图
- 根据合规性规则审核资源(例如,识别静态未加密的存储)
- 检查不合规情况的合规性规则
- AWS Security Hub 提供单一控制面板,用于查看来自先前服务的源。这使组织的安全团队能够查看其威胁检测和合规性控制状态的汇总视图,从而在一个位置缓解威胁。
- AWS Audit Manager 为整个组织的合规性报告提供支持。
- Amazon Detective 将帮助进行安全事件调查。
-
原则 6:人员安全
此解决方案不提供支持原则 6 的特定配置。但是,用于云安全的 AWS 配置可帮助您满足这一原则的要求。更多信息请参见 AWS 安全性与合规性文档中,例如 AWS ISO 和 PCI 认证以及 SOC 报告。您可以通过 AWS Artifact 下载这些报告。
-
原则 7:安全开发
为支持原则 7,此解决方案提供已被 AWS 解决方案架构师审查为架构完善、稳健、完整、最佳实践、规范的真实世界解决方案的架构。在 AWS 上构建时,此解决方案可以通过自助服务以及自动安装和部署为您节省时间和精力。
-
原则 8:供应链安全
此解决方案不提供支持原则 8 的特定配置。但是,用于云安全的 AWS 配置可帮助您满足这一原则的要求。更多信息请参见 AWS 安全性与合规性文档中,例如 AWS ISO 和 PCI 认证以及 SOC 报告。您可以通过 AWS Artifact 下载这些报告。
-
原则 9:安全的用户管理此解决方案的最佳实践示例配置通过以下控制措施来满足 原则 9 的要求:
- 设置 AWS IAM Identity Center,帮助您在解决方案环境中管理所有 AWS 账户的访问权限和用户权限。
- 删除解决方案管理账户根用户的现有访问密钥。
- 强制执行 AWS Identity and Access Management(IAM)。
- 允许 IAM Access Analyzer 报告过于宽松的访问权限并帮助生成最低权限访问策略。
此解决方案可帮助您根据访问分析器建议部署 IAM 策略。AWS 安全博客上提供了演示。
-
原则 10:身份和认证
此解决方案不提供支持原则 10 的特定配置。但是,用于云安全的 AWS 配置可帮助您满足这一原则的要求。更多信息请参见 AWS 安全性与合规性文档中,例如 AWS ISO 和 PCI 认证以及 SOC 报告。您可以通过 AWS Artifact 下载这些报告。
-
原则 11:外部接口保护此解决方案的最佳实践示例配置通过以下控制措施来满足 原则 11 的要求:
- 设置 AWS PrivateLink,确保 AWS 服务之间的流量不会遍历公共互联网。
-
原则 12:安全的服务管理
此解决方案不提供支持原则 12 的特定配置。但是,用于云安全的 AWS 配置可帮助您满足这一原则的要求。更多信息请参见 AWS 安全性与合规性文档中,例如 AWS ISO 和 PCI 认证以及 SOC 报告。您可以通过 AWS Artifact 下载这些报告。
-
原则 13:提供审核信息和提醒
此解决方案的最佳实践示例配置通过以下控制措施来满足原则 13 的要求:
- 设置 AWS CloudTrail 以记录用户、角色或 AWS 服务在解决方案环境中所有账户上执行的所有操作,并安全存储 365 天。
- 将 CloudTrail 日志存储在具有限制只读访问权限的单独的 AWS 账户中,以防未经授权的修改。
- 当 AWS Security Hub 检测到以下严重性级别的事件时发送电子邮件提醒:
- 低
- 中
- 高
-
原则 14:安全使用服务
为了支持原则 14,我们提供此解决方案来帮助希望在 AWS 上采用规范性安全最佳实践的客户。您可以将此解决方案与其他资源和服务(例如 AWS Well Architected 框架和 AWS Trusted Advisor)一起使用,以帮助您快速实施基于设计的架构。
-
-
加拿大
-
加拿大
我们构建了加拿大网络安全中心 (CCCS) Cloud Medium(以前称为 Protected B、Medium Integrity、Medium Availability [PBMM])配置,以部署固定的规范性架构。我们设计此架构是为了帮助客户处理获得 ITSP.50.105 中所述的操作授权 (ATO) 所需的控制。
部署此配置可以帮助您将实施 CCCS Cloud Medium 控制所需的时间从 90 多天缩短到 2 天。继承 CCCS Cloud Medium 评测涵盖的控制,以及使用 AWS 登录区加速器来处理客户负责的常见控制,可以加速安全评估和授权(SA&A)流程。
作为 GC 云操作框架的一部分,您还可以满足加拿大政府(GC)的最低防护要求。AWS 登录区加速器解决方案满足最低防护要求还有助于在工作负载的敏感度发生变化时支持 CCCS Cloud Medium 控制。通过调整配置文件中的参数,可以部署自定义架构,以满足一系列政府和公共部门组织的要求。
要安装此配置,请在 GitHub 上使用 CCCS Cloud Medium 的登录区加速器示例配置文件和说明。
注意:对于寻求部署符合 CCCS Cloud Medium 配置文件的要求的 AWS 环境的公共部门组织,AWS 登录区加速器解决方案现在是推荐的解决方案。此前,寻求与 CCCS Cloud Medium 配置文件保持一致的加拿大公共部门客户部署了 AWS 安全环境加速器,以解决责任共担模式中属于客户责任的控制问题。AWS 登录区加速器解决方案的 1.3.0 及以上版本提供与 AWS 安全环境加速器解决方案相同的控制范围。如果您当前正在使用 AWS 安全环境加速器解决方案,则目前没有迁移到 AWS 登录区加速器解决方案的截止日期。
-
-
行业配置
我们为 AWS 登录区加速器解决方案构建了以下特定于行业的配置,以符合 AWS 最佳实践和特定于行业的合规性框架。选择所需的行业以获取部署说明。
注意:有关云安全的详细信息包含在 AWS Artifact 中的 AWS 第三方安全性与合规性报告中。
-
航空航天
-
中央 IT(美国州和地方政府)
-
教育
-
财务(税务)
-
医疗保健
-
国家安全、国防和国家执法(美国境外)
-
航空航天
-
航空航天(美国)
要支持美国的航空航天用例,请参阅我们的实施指南,了解如何在我们的 AWS GovCloud(美国)区域部署此解决方案。这样做可以帮助您与以下规范保持一致:
- 联邦风险和授权管理计划 (FedRAMP) 高影响级别
- 适用于托管影响级别 (IL) 4 和 IL5 工作负载的国防部 (DoD) 云计算安全要求指南 (CC SRG)
- DoD 网络安全成熟度模型认证 (CMMC) 就绪情况
- M-21-31 日志记录和保留要求
如果您想在我们的美国东部或美国西部 AWS 区域之一进行部署,请按照我们 实施指南中的一般部署说明进行操作。
- 联邦风险和授权管理计划 (FedRAMP) 高影响级别
-
中央 IT(美国州和地方政府)
-
中央 IT(美国州和地方政府)
我们建立了美国州和地方政府的中央 IT 配置,提供防护机制以帮助缓解中央 IT 组织面临的威胁。为了支持这些组织,此配置使用来自以下框架的控件:
- 来自美国国家标准与技术研究院 (NIST) 网络安全框架的 AWS 控件
- 符合《健康保险流通与责任法案》(HIPAA) 的可选控件配置
步骤 1.启动堆栈
在您的 AWS 账户中启动 AWS CloudFormation 模板查看模板参数并根据需要输入或调整默认值。有关更详细的说明,请参阅解决方案实施指南。
步骤 2.等待初始环境部署
等待 AWSAccelerator-Pipeline 管线成功完成。
步骤 3 和 4.复制和更新配置文件
按照 GitHub 上适用于州和地方政府中央 IT 的 AWS 登录区加速器示例配置部署概述中的步骤 3 和 4 进行操作。
-
教育
-
教育
我们构建教育配置是为了提供防护机制,帮助缓解教育组织面临的威胁。为了支持这些组织,此配置使用来自以下框架的控件:
- 国际武器贸易条例 (ITAR)
- 美国国家标准与技术研究院 (NIST) 800-171
- NIST 800-53
- 网络安全成熟度模型认证 (CMMC)
步骤 1.启动堆栈
在您的 AWS 账户中启动 AWS CloudFormation 模板查看模板参数并根据需要输入或调整默认值。有关更详细的说明,请参阅解决方案实施指南。
步骤 2.等待初始环境部署
等待 AWSAccelerator-Pipeline 管线成功完成。
步骤 3 和 4.复制和更新配置文件按照 GitHub 上适用于教育业的 AWS 登录区加速器示例配置部署概述中的步骤 3和步骤 4 进行操作。
-
财务(税务)
-
财务(税务)
我们构建了财务(税务)配置,部署通常用于税务工作负载的账户结构以及安全控制和网络配置,以保护联邦税务信息 (FTI) 数据。此配置符合美国国税局 (IRS) -1075 的要求,即在客户控制下使用客户自主管理型密钥 (CMK) 对托管 FTI 数据的 Amazon S3、Amazon EBS 和 Amazon FSx 进行加密。
步骤 1.启动堆栈
在您的 AWS 账户中启动 AWS CloudFormation 模板查看模板参数并根据需要输入或调整默认值。有关更详细的说明,请参阅解决方案实施指南。
步骤 2.等待初始环境部署
等待 AWSAccelerator-Pipeline 管线成功完成。
步骤 3 和 4.复制和更新配置文件
按照 GitHub 上适用于财务(税务)的 AWS 登录区加速器示例配置部署概述中的步骤 3 和 4 进行操作。
-
医疗保健
-
医疗保健
我们构建医疗保健配置是为了提供防护机制,帮助缓解医疗保健组织面临的威胁。为了支持这些组织,此配置使用来自以下框架的控件:
- 健康保险流通与责任法案 (HIPAA)
- 国家网络安全中心 (NCSC)
- Esquema Nacional de Seguridad (ENS) High
- 云计算合规控制目录 (C5)
- Fascicolo Sanitario Elettronico
步骤 1.启动堆栈
在您的 AWS 账户中启动 AWS CloudFormation 模板查看模板参数并根据需要输入或调整默认值。有关更详细的说明,请参阅解决方案实施指南。
步骤 2.等待初始环境部署
等待 AWSAccelerator-Pipeline 管线成功完成。
步骤 3 和 4.复制和更新配置文件
按照 GitHub 上适用于医疗保健行业的 AWS 登录区加速器示例配置部署概述中的步骤 3 和 4 进行操作。
-
国家安全、国防和国家执法(美国境外)
-
国家安全、国防和国家执法(美国境外)
世界各地的国家安全、国防和国家执法组织需要云为其关键任务带来的规模、全球足迹、敏捷性和服务,同时还需要满足适用于其数据的严格安全性与合规性要求。这些组织越来越多地利用 AWS 全球超大规模云来完成任务,同时确保敏感数据和工作负载的安全。
为了帮助您在云中加速执行这些敏感任务,我们为国家安全、国防和国家执法部门开发了 Trusted Secure Enclaves 敏感版 (TSE-SE)。 TSE-SE 参考架构是一种全面的多账户 AWS Cloud 架构,适用于敏感级别的工作负载。我们与国家安全、国防、国家执法部门以及联邦、省和市政府客户合作设计了该架构,以加快遵守严格而独特的安全性与合规性要求。
我们设计此架构是为了帮助客户解决中央身份和访问管理、治理、数据安全、综合日志记录以及网络设计和分段等安全框架问题,例如美国国家标准与技术研究院 (NIST) 800-53、信息技术标准指南 (ITSG)-33、联邦风险和授权管理计划 (FedRAMP) 中等影响级别、信息安全注册评估师计划 (IRAP) 以及其他敏感、受保护或中等级别的安全配置文件。
我们使用以下设计原则开发此参考架构:
- 提供与中级安全控制配置文件一致的安全成果。
- 最大限度地提高敏捷性、可扩展性和可用性,同时最大程度地降低成本。
- 允许启用 AWS Cloud 的全部功能。
- 对支持和整合 AWS 创新步伐和最新技术能力持开放态度。
- 允许无缝自动扩展,并在带宽需求根据实际客户负载增加(或减少)时提供无限带宽(云计算价值主张的关键方面)。
- 高可用性架构:该设计使用多个 AWS 可用区,因此丢失一个可用区不会影响应用程序的可用性。
- 以最低权限运行:账户中的所有委托人都应使用最低可行权限集进行操作。
- 帮助解决客户数据主权方面的问题。
有关架构的详细信息,请参阅 TSE-SE 参考架构。使用配置文件和说明安装架构。
-
-
AWS 选择加入区域
某些 AWS 区域在默认情况下未激活。要将 AWS 登录区加速器解决方案部署到这些 AWS 区域之一,请参阅我们的实施指南。
注意:有关云安全的详细信息包含在 AWS Artifact 中的 AWS 第三方安全性与合规性报告中。