Referenzbereitstellung
Standardisierte Architektur für UK-OFFICIAL on AWS
Eine Cloud-Architektur zur Unterstützung von NCSC und CIS für UK-OFFICIAL-Workloads
Dieses Quick Starts richtet eine standardisierte Amazon Web Services (AWS) Cloud-Umgebung ein, die Workloads unterstützt, die als "United Kingdom (UK) OFFICIAL" klassifiziert sind. Diese Datenklassifizierung ist verbunden mit Anleitungen und Kontrollen, die Organisationen im öffentlichen Sektor dabei helfen, Risikomanagement durchzuführen und die Sicherheit beim Umgang mit Informationsressourcen zu gewährleisten.
Die durch den Quick Start entwickelte AWS-Umgebung richtet sich nach den folgenden Richtlinien, die unter UK-OFFICIAL fallen:
- Grundsätze der Cloud-Sicherheit des National Cyber Security Centre (NCSC)
- Kritische Sicherheitskontrollen des Center for Internet Security (CIS)
Die Quick Start-Vorlage konfiguriert automatisch die AWS-Ressourcen und stellt eine mehrschichtige, Linux-basierte Webanwendung zur Verfügung. Die Sicherheitskontrollenmatrix (Microsoft Excel-Tabelle) zeigt, wie die Quick Start-Komponenten die Sicherheitsanforderungen des NCSC und CIS abbilden.
Dieser Quick Start ist Teil mehrerer AWS Compliance-Angebote, die sicherheitsrelevante Architekturlösungen bieten, um Managed Service Provider (MSPs), Cloud-Bereitstellungsteams, Entwickler, Integratoren und Informationssicherheitsteams dabei zu unterstützen, strenge Sicherheits-, Compliance- und Risikomanagement-Kontrollen zu befolgen. Weitere Bereitstellungen in dieser Kategorie finden Sie im Quick-Starts-Katalog.
Dieser Quick Start wurde von AWS entwickelt.
-
Ihre Möglichkeiten
-
Bereitstellungsanleitung
-
Kosten und Lizenzen
-
Ihre Möglichkeiten
-
Dieser Quick Start stellt die folgenden Komponenten und Funktionen bereit:
- Vier Amazon Virtual Private Clouds (VPCs), jede mit einer Architektur mit mehreren Availability Zones (Multi-AZ):
- Eine Produktions-VPC für Anwendungen Workloads mit privaten Subnetzen zur Unterstützung gemeinsam genutzter Services.
- Eine VPC für gemeinsam genutzte Dienste mit privaten Subnetzen zur Unterstützung gemeinsam genutzter Services (z. B. Active Directory).
- Eine Internet-VPC für den kontrollierten Internetzugang mit getrennten öffentlichen und privaten Kommunikationskanälen.
- Eine Endpunkt-VPC mit privaten Subnetzen, um den direkten Zugriff auf AWS-Services zu ermöglichen.
- AWS Transit Gateway für Inter-VPC-Kommunikation und Virtual Private Network(VPN)-Abschluss.
- Eine Peering-Verbindung für den Inter-VPC-Verkehr zwischen dem Internet-VPC und der Endpunkt-VPC.
- Ausgehende Proxys zur Bearbeitung externer Anfragen zur Protokollierung und Einhaltung von Vorschriften.
- Standard-Amazon-VPC-Sicherheitsgruppen (nicht abgebildet) für Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Load Balancer und Endpunkte.
- (Nicht abgebildet) Eine LAMP (Linux Apache MySQL PHP)-Anwendung (Linux Apache MySQL PHP) mit Auto Scaling und Elastic Load Balancing, die mithilfe von Kundenanwendungen modifiziert oder gebootet werden kann.
- Amazon GuardDuty zur Erfassung und Analyse von Sicherheitsereignissen und deren Einhaltung.
- Protokollierung, Überwachung und Alarmierung mittels AWS Config-Regeln, Amazon CloudWatch und AWS CloudTrail.
- Eine grundlegende AWS Identity and Access Management (IAM)-Konfiguration mit benutzerdefinierten IAM-Richtlinien, zugehörigen Gruppen, Rollen und Instance-Profilen.
- AWS Security Hub für Prüfungscompliance.
- Amazon Route 53, ein Resolver zur Verwaltung des Shared Private Domain Name System (DNS) für gemeinsam genutzte Services und Endpunkte über VPCs hinweg.
- AWS Systems Manager, ein Session Manager für den administrativen Zugriff auf Produktions-VPC Instanzen.
- AWS Certificate Manager (ACM) zum Speichern und Bereitstellen von Secure Sockets Layer (SSL)-Zertifikaten an Endpunkten (um Verschlüsselung bei der Übertragung zu ermöglichen).
- Vier Amazon Virtual Private Clouds (VPCs), jede mit einer Architektur mit mehreren Availability Zones (Multi-AZ):
-
Bereitstellungsanleitung
-
Vor der Bereitstellung des Quick Start müssen Sie bestätigen, dass Ihr AWS-Konto korrekt eingerichtet ist, indem Sie die Service Limits und SSH-Schlüsselpaare überprüfen und AWS Config einrichten. Nachdem Sie diese Voraussetzungen erfüllt haben, können Sie die Referenzumgebung für den Quick Start erstellen, indem Sie die Anweisungen im Bereitstellungshandbuch befolgen. Der Bereitstellungsprozess umfasst folgende Schritte:
- Melden Sie sich auf https://aws.amazon.com bei Ihrem AWS-Konto an.
- Führen Sie den Quick Start aus. Die Bereitstellung dauert ungefähr 30 Minuten.
- Prüfen Sie Ihre Bereitstellung, indem Sie eine Verbindung mit der durch den Quick Start entwickelten WordPress-Seite herstellen.
Der Quick Start ist modular aufgebaut und anpassbar. Er umfasst verschachtelte AWS CloudFormation-Vorlagen, die die Bereitstellung und Konfiguration von Ressourcen für IAM, die Protokollierung, die Produktion und Verwaltung von VPC, die AWS Config-Regeln, NAT und die Webanwendung automatisieren. Sie können die gesamte Architektur bereitstellen oder bestimmte Ressourcen anpassen bzw. auslassen.
Amazon kann Benutzerbereitstellungsinformationen an den AWS-Partner weitergeben, der mit AWS bei dieser Partnerlösung zusammengearbeitet hat.
-
Kosten und Lizenzen
-
Sie sind für die Kosten der AWS-Services verantwortlich, die während der Ausführung dieses Quick Starts verwendet werden. Durch die Verwendung des Quick Start entstehen keine zusätzlichen Kosten.
Die AWS CloudFormation-Vorlage für diesen Quick Start enthält Konfigurationsparameter, die individuell angepasst werden können. Einige der Einstellungen, wie z. B. der Instance-Typ, wirken sich auf die Kosten der Bereitstellung aus. In der Preisübersicht finden Sie Kostenvoranschläge für jeden AWS-Service, den Sie nutzen. Preisänderungen sind vorbehalten.
Hinweis: Nachdem Sie den Quick Start bereitgestellt haben, aktivieren Sie den AWS-Kosten- und Nutzungsbericht, um Fakturierungsmetriken an einen Amazon Simple Storage Service (Amazon S3) Bucket in Ihrem Konto zu liefern. Er liefert Kostenschätzungen auf der Grundlage der Nutzung während jedes Monats und aggregiert die Daten am Ende des Monats. Weitere Informationen über den Bericht finden Sie unter Was sind AWS-Kosten und Nutzungsberichte?
