Überspringen zum Hauptinhalt

AWS-Lösungsportfolio

Anleitung für Trusted Secure Enclaves in AWS

Schützen und isolieren Sie Ihre hochsensiblen Workloads mit einer sicheren Enklave

Übersicht

Diese Anleitung zeigt, wie Sie eine umfassende Cloud-Architektur für sensible Workloads in den Bereichen nationale Sicherheit, Verteidigung und nationale Strafverfolgung aufbauen können. Durch die Verwendung einer Architektur mit mehreren Konten in AWS können Sie Ihre Missionen erfüllen und gleichzeitig sensible Daten und Workloads schützen. Diese Anleitung soll Ihnen helfen, strenge und einzigartige Sicherheits- und Compliance-Anforderungen zu erfüllen. Sie befasst sich mit zentralem Identitäts- und Zugriffsmanagement, Governance, Datensicherheit, umfassender Protokollierung sowie Netzwerkdesign und -segmentierung in Übereinstimmung mit verschiedenen US-Sicherheitsrahmen.

Funktionsweise

Übersicht

Dieses Architekturdiagramm zeigt, wie umfassende Workloads mit mehreren Konten und besonderen Sicherheits- und Compliance-Anforderungen konfiguriert werden können.

Architekturdiagramm herunterladen
Architecture diagram illustrating AWS Trusted Secure Enclaves, showing the organization management account, security accounts, infrastructure accounts, sensitive application OUs, and network connections to a corporate data center and the internet.

Organisations-Verwaltungskonto

Dieses Architekturdiagramm zeigt, wie eine Organisation mehrere Konten gruppieren kann, die alle von einer einzigen Kundeneinheit gesteuert werden. Folgen Sie den Schritten in diesem Architekturdiagramm, um das Organisations-Verwaltungskonto bereitzustellen, das Teil dieser Anleitung ist.

Architekturdiagramm herunterladen
Architecture diagram illustrating AWS Trusted Secure Enclaves organization management. The diagram shows organizational units (Security OU, Infrastructure OU, Dev OU, Prod OU, Central OU, Test OU), AWS KMS, SCPs, and integration with a Virtual Private Cloud (VPC), AD Connector, AWS IAM Identity Center, and corporate users.

Sicherheitskonten

Dieses Architekturdiagramm zeigt, wie eine umfassende Protokollsammlung über AWS-Services und -Konten hinweg zentral konfiguriert wird. Folgen Sie den Schritten in diesem Architekturdiagramm, um die Sicherheitskonten bereitzustellen, die Teil dieser Anleitung sind.

Architekturdiagramm herunterladen
Architecture diagram illustrating AWS trusted and secure enclave organization security, showing management and security accounts, log archive (Amazon S3, CloudWatch, CloudTrail), and security tooling such as GuardDuty, Security Hub, AWS Config, Firewall Manager, Macie, IAM Access Analyzer, and Alarm.

Infrastrukturkonten

Dieses Architekturdiagramm zeigt, wie eine zentralisierte, isolierte Netzwerkumgebung mit Virtual Private Clouds (VPCs) aufgebaut wird. Folgen Sie den Schritten in diesem Architekturdiagramm, um die Infrastrukturkonten bereitzustellen, die Teil dieser Anleitung sind.

Architekturdiagramm herunterladen
Architecture diagram showing an AWS infrastructure design for trusted secure enclaves. The diagram illustrates the organization management account, infrastructure accounts for operations and DevOps, shared network components, perimeter security including AWS Network Firewall, ELB, AWS WAF, NAT gateway, and integration with corporate data centers via AWS Direct Connect. The layout demonstrates central VPCs, CI/CD tooling, firewalls, and connectivity to the internet.

Anwendungs-, Community-, Team- oder Gruppenkonten (vertraulich)

Dieses Architekturdiagramm zeigt, wie die Segmentierung und Trennung zwischen Workloads, die zu verschiedenen Phasen des Softwareentwicklungszyklus gehören, oder zwischen verschiedenen IT-Administratorrollen konfiguriert werden. Folgen Sie den Schritten in diesem Architekturdiagramm, um die Anwendungs-, Community-, Team- oder Gruppenkonten bereitzustellen, die Teil dieser Anleitung sind. 

Architekturdiagramm herunterladen
Architecture diagram showing the AWS Trusted Secure Enclaves setup for sensitive accounts, including organization management accounts, organizational units, and teams (Dev, Test, Prod, Shared) using VPCs, AWS Nitro System hosts, ELB, and AWS WAF.

Well-Architected-Säulen

Das obige Architekturdiagramm ist ein Beispiel für eine Lösung, die unter Berücksichtigung der bewährten Methoden von Well-Architected erstellt wurde. Um eine vollständige Well-Architected-Lösung zu erhalten, sollten Sie so viele bewährte Methoden von Well-Architected wie möglich befolgen.

In dieser Anleitung werden Organisationen mit AWS-CloudFormation-Stacks und -Konfigurationen verwendet, um eine sichere Grundlage für Ihre AWS-Umgebung zu schaffen. Dies bietet eine Infrastructure-as-Code (IaC)-Lösung, die Ihre Implementierung technischer Sicherheitskontrollen beschleunigt. Konfigurationsregeln korrigieren alle Konfigurationsdeltas, von denen festgestellt wurde, dass sie sich negativ auf die vorgeschriebene Architektur auswirken. Sie können die globale kommerzielle Infrastruktur von AWS für vertrauliche, klassifizierte Workloads nutzen und sichere Systeme automatisieren, um Aufträge schneller abzuwickeln und gleichzeitig Ihre Prozesse und Verfahren kontinuierlich zu verbessern.

Whitepaper zur operativen Exzellenz lesen

In diesem Leitfaden werden Organisationen verwendet, um die Bereitstellung eines organisatorischen Integritätsschutzes wie der API-Protokollierung mit CloudTrail zu erleichtern. Diese Anleitung enthält auch präventive Kontrollen, bei denen präskriptive AWS-SCPs als Integritätsschutz eingesetzt werden. Diese werden hauptsächlich verwendet, um bestimmte APIs oder ganze Kategorien von APIs in Ihrer Umgebung zu verweigern (um sicherzustellen, dass Workloads nur in den vorgeschriebenen Regionen bereitgestellt werden) oder um den Zugriff auf bestimmte AWS-Services zu verweigern. CloudTrail- und CloudWatch-Protokolle unterstützen eine vorgeschriebene umfassende Protokollerfassung und Zentralisierung über AWS-Services und -Konten hinweg. Die AWS-Sicherheitsfunktionen und die Vielzahl sicherheitsrelevanter Services werden in einem definierten Muster konfiguriert, das Ihnen hilft, einige der strengsten Sicherheitsanforderungen der Welt zu erfüllen.

Whitepaper zur Sicherheit lesen

In dieser Anleitung werden mehrere Availability Zones (AZs) verwendet, sodass der Verlust einer AZ die Anwendungsverfügbarkeit nicht beeinträchtigt. Sie können CloudFormation verwenden, um die Bereitstellung und Aktualisierung Ihrer Infrastruktur auf sichere und kontrollierte Weise zu automatisieren. Diese Anleitung enthält auch vorgefertigte Regeln für die Bewertung von AWS-Ressourcenkonfigurationen und Konfigurationsänderungen in Ihrer Umgebung. Sie können auch benutzerdefinierte Regeln in AWS Lambda erstellen, um bewährte Methoden und Richtlinien zu definieren. Sie können die Fähigkeit zur Skalierung Ihrer Umgebung automatisieren, um den Bedarf zu decken und Störungen wie Fehlkonfigurationen oder vorübergehende Netzwerkprobleme zu minimieren.

Whitepaper zur Zuverlässigkeit lesen

Diese Anleitung vereinfacht die Verwaltung der Cloud-Infrastruktur durch die Verwendung von Transit Gateway, das als zentraler Hub dient, der mehrere VPCs über ein einziges Gateway verbindet, was die Skalierung und Wartung der Netzwerkarchitektur erleichtert. Dies vereinfacht Ihre Netzwerkarchitektur und ermöglicht eine effiziente Weiterleitung des Datenverkehrs zwischen verschiedenen AWS-Konten innerhalb Ihrer Organisation.

Whitepaper zur Leistung und Effizienz lesen

Diese Leitlinien bieten die Möglichkeit, unnötige Kosten oder den Einsatz suboptimaler Ressourcen zu vermeiden oder zu vermeiden. Organizations bietet Zentralisierung und konsolidierte Abrechnung und ermöglicht so die strikte Trennung von Ressourcennutzung und Kostenoptimierung. Diese Anleitung schreibt vor, öffentliche AWS-API-Endpunkte in Ihren privaten VPC-Adressraum zu verschieben und zur Kostenoptimierung zentralisierte Endpunkte zu verwenden. Darüber hinaus können Sie AWS-Kosten- und Nutzungsberichte (AWS CUR) verwenden, um Ihre AWS-Nutzung zu verfolgen und die Gebühren abzuschätzen.

Whitepaper zur Kostenoptimierung lesen

Diese Anleitung hilft Ihnen dabei, den CO2-Fußabdruck zu reduzieren, der mit der Verwaltung von Workloads in Ihren eigenen Rechenzentren verbunden ist. Die globale AWS-Infrastruktur bietet unterstützende Infrastruktur (wie Stromversorgung, Kühlung und Netzwerk), eine höhere Nutzungsrate und schnellere Technologieaktualisierungen als herkömmliche Rechenzentren. Darüber hinaus hilft Ihnen die Segmentierung und Trennung von Workloads dabei, unnötige Datenverschiebungen zu reduzieren. Amazon S3 bietet Speicherebenen und die Möglichkeit, Daten automatisch auf effiziente Speicherebenen zu verschieben.

Whitepaper zur Nachhaltigkeit lesen

Haftungsausschluss

Der Beispielcode, die Softwarebibliotheken, die Befehlszeilentools, die Machbarkeitsnachweise, die Vorlagen oder andere zugehörige Technologien (einschließlich derjenigen, die von unseren Mitarbeitern bereitgestellt werden) werden Ihnen als AWS-Inhalte im Rahmen der AWS-Kundenvereinbarung oder der entsprechenden schriftlichen Vereinbarung zwischen Ihnen und AWS (je nachdem, was zutrifft) zur Verfügung gestellt. Sie sollten diese AWS-Inhalte nicht in Ihren Produktionskonten oder für Produktions- oder andere kritische Daten verwenden. Sie sind verantwortlich für das Testen, Sichern und Optimieren des AWS-Inhalts, z. B. des Beispielcodes, für die Verwendung in der Produktion auf der Grundlage Ihrer spezifischen Qualitätskontrollverfahren und -standards. Bei der Bereitstellung von AWS-Inhalten können AWS-Gebühren für die Erstellung oder Nutzung von kostenpflichtigen AWS-Ressourcen anfallen, z. B. für den Betrieb von Amazon-EC2-Instances oder die Nutzung von Amazon-S3-Speicher.

Haben Sie die gewünschten Informationen gefunden?

Ihr Beitrag hilft uns, die Qualität der Inhalte auf unseren Seiten zu verbessern.