AWS Landing Zone unterstützt Kunden bei der schnellen Einrichtung einer sicheren, multikontofähigen AWS-Umgebung basierend auf bewährten AWS-Methoden. Angesichts der vielfältigen Designentscheidungen kann die Bereitstellung einer multikontofähigen Umgebung viel Zeit beanspruchen, unter anderem weil Konten und Dienste eingerichtet werden müssen. Außerdem sind umfassende Kenntnisse über die AWS-Services erforderlich.
Diese Lösung spart wertvolle Zeit, indem die Einrichtung der Umgebung für die Ausführung sicherer und skalierbarer Workloads automatisiert wird. Gleichzeitig wird durch die Erstellung von Hauptkonten und -ressourcen eine Sicherheitsgrundlage geschaffen. Sie stellt ebenfalls eine Basisumgebung für den Einstieg in in eine Architektur für mehrere Konten, das Identitäts- und Zugriffsmanagement, die Governance, Datensicherheit, Netzwerkgestaltung und Protokollierung bereit.
Für die Lösung kommt die neuste Node.js-Laufzeitumgebung zum Einsatz. In Version 2.3 wird Version 8.10 der Node.js-Laufzeitumgebung verwendet, die zum 31. Dezember 2019 das Ende ihrer Lebenszeit erreicht hat. Aktualisieren Sie für ein Upgrade auf die neuste Version den Stack.
AWS Landing Zone
Version 2.4.1 Letzte Aktualisierung: 09/2020 Autor: AWS
Diese Lösung wird von AWS Solutions Architects oder Professional Services-Beratern entwickelt, um eine angepasste Basislinie von AWS-Konten, -Netzwerken und Sicherheitsrichtlinien zu erstellen.
Die AWS Landing Zone-Lösung stellt ein AWS Account Vending Machine (AVM)-Produkt zur Bereitstellung und automatischen Konfiguration neuer Konten bereit. Die AVM nutzt AWS Single Sign-On für die Verwaltung des Benutzerzugriffs. Die Umgebung lässt sich so anpassen, dass Kunden über die Konfigurations- und Update-Pipeline von Landing Zone ihre eigene Kontobasiskonfiguration implementieren können.
Multi-Account-Struktur
Account Vending Machine
Benutzerzugriff
Benachrichtigungen
Multi-Account-Struktur
Die AWS Landing Zone-Lösung umfasst vier Konten und Add-On-Produkte, die mithilfe des AWS Service Catalogs bereitgestellt werden können, z. B. die Centralized Logging-Lösung und AWS Managed AD und Directory Connector für AWS SSO.
Die AWS Landing Zone wird in einem AWS Organizations-Konto bereitgestellt. Dieses Konto wird zum Verwalten der Konfiguration und des Zugriffs auf verwaltete AWS Landing Zone-Konten verwendet. Das AWS Organizations-Konto bietet die Möglichkeit, Mitgliedskonten zu erstellen und finanziell zu verwalten. Es enthält die AWS Landing Zone-Konfiguration, Amazon Simple Storage Service (Amazon S3)-Bucket und -Pipeline, Kontokonfiguration StackSets, AWS Organizations Service Control Policies (SCPs) und AWS Single Sign-On (SSO) Konfiguration.
Shared Services-Konto
Das Shared Services-Konto ist eine Referenz zum Erstellen von gemeinsam genutzten Infrastrukturdiensten, wie z. B. Verzeichnisservices. Standardmäßig hostet dieses Konto AWS Managed Active Directory für die AWS SSO-Integration in einer gemeinsam genutzten Amazon Virtual Private Cloud (Amazon VPC), die automatisch mit neuen AWS-Konten gekoppelt werden kann, die mit der Account Vending Machine (AVM) erstellt wurden.
Log Archive-Konto
Das Log Archive-Konto enthält ein zentrales Amazon S3-Bucket zum Speichern der Kopien aller AWS CloudTrail- und AWS Config-Protokolldateien in einem Protokollarchiv-Konto.
Security-Konto
Das Security-Konto erstellt kontoübergreifende Rollen für Prüfer (schreibgeschützt) und Administrator (Vollzugriff) von einem Sicherheitskonto zu allen verwalteten Konten der AWS Landing Zone. Diese Rollen sollen vom Sicherheits- und Compliance-Team eines Unternehmens verwendet werden, um Notfallsicherheitsvorgänge im Falle eines Vorfalls zu prüfen oder durchzuführen.
Dieses Konto ist auch als Amazon GuardDuty-Masterkonto gekennzeichnet. Benutzer aus dem Masterkonto können GuardDuty konfigurieren, sowie GuardDuty-Ergebnisse für ihr eigenes Konto und alle mitgliedskonten ansehen und verwalten.
Account Vending Machine
Die Account Vending Machine (AVM) ist eine AWS Landing Zone-Schlüsselkomponente. Die AVM wird als AWS Service Catalog-Produkt bereitgestellt, mit dem Kunden neue AWS-Konten in Organisationseinheiten (Organizational Units, OUs) erstellen können, die mit einer Kontosicherheitsbasis und einem vordefinierten Netzwerk vorkonfiguriert sind.
AWS Landing Zone nutzt AWS Service Catalog, um Administratoren Berechtigungen zum Erstellen und Verwalten von AWS Landing Zone-Produkten und die Berechtigungen von Endbenutzern zum Starten und Verwalten von AVM-Produkten zu erteilen.
Die AVM verwendet Starteinschränkungen, um Endbenutzern das Erstellen neuer Konten zu ermöglichen, ohne dass Kontoadministratorberechtigungen erforderlich sind.
Benutzerzugriff
Die Bereitstellung des geringsten Zugriffsberechtigung einzelner Benutzer auf Ihre AWS-Konten ist eine wesentliche grundlegende Komponente für die AWS-Kontoverwaltung. Die AWS Landing Zone-Lösung bietet Kunden zwei Optionen zum Speichern ihrer Benutzer und Gruppen.
Die Standardkonfiguration stellt AWS Single Sign-On (SSO) mit dem AWS SSO-Verzeichnis bereit, in dem Benutzer und Gruppen in SSO verwaltet werden können.
Ein Single-Sign-On-Endpunkt wird erstellt, um den Benutzerzugriff auf AWS-Konten zu bündeln.
Benachrichtigungen
Die AWS Landing Zone-Lösung konfiguriert Amazon CloudWatch-Alarme und -Ereignisse so, dass eine Benachrichtigung über Root-Konto-Anmeldung, Konsolen-Anmeldefehler, API-Authentifizierungsfehler und die folgenden Änderungen innerhalb eines Kontos gesendet wird: Sicherheitsgruppen, Netzwerk-ACLs, Amazon VPC-Gateways, Peering-Verbindungen, ClassicLink, Amazon Elastic Compute Cloud (Amazon EC2)-Instance-Status, großer Amazon EC2-Instance-Status, AWS CloudTrail, AWS Identity and Access Management (IAM)-Richtlinien und der Konformitätsstatus der AWS Config-Regel.
Die Lösung konfiguriert jedes Konto so, dass Benachrichtigungen an ein lokales Amazon Simple Notification Service (Amazon SNS)-Thema gesendet werden.
Das Thema Alle Konfigurationsereignisse aggregiert AWS CloudTrail- und AWS Config-Benachrichtigungen aus allen verwalteten Konten.
Das Thema Aggregierte Sicherheitsbenachrichtigungen aggregiert Sicherheitsbenachrichtigungen aus bestimmten Amazon CloudWatch-Ereignissen, AWS Config-Regeln-Konformitätsstatusänderungsereignisse und AWS GuardDuty-Ergebnisse.
Eine AWS Lambda-Funktion wird automatisch für das Thema Sicherheitsbenachrichtigungen abonniert, um alle Benachrichtigungen an ein Amazon SNS-Aggregationsthema im AWS Organizations-Konto weiterzuleiten.
Diese Architektur ist so konzipiert, dass lokale Administratoren bestimmte Kontobenachrichtigungen abonnieren und empfangen können.
Sicherheitsbasislinie
Die AWS Landing Zone-Lösung enthält eine anfängliche Sicherheitsbasislinie, die als Ausgangspunkt für die Einrichtung und Implementierung einer benutzerdefinierten Kontosicherheitsbasislinie für Ihre Organisation verwendet werden kann. Standardmäßig enthält die anfängliche Sicherheitsbasislinie die folgenden Einstellungen:
AWS CloudTrail
Ein CloudTrail-Nachlauf wird in jedem Konto erstellt und so konfiguriert, dass Protokolle an ein zentral verwaltetes Amazon Simple Storage Service (Amazon S3)-Bucket im Protokollarchivkonto und an AWS CloudWatch Logs im lokalen Konto für lokale Vorgänge (mit einer 14-tägigen Protokollgruppenbindungsrichtlinie) gesendet werden.
AWS Config
AWS Config ist aktiviert und Protokolldateien der Kontokonfiguration werden in einem zentral verwalteten Amazon S3-Bucket im Protokollarchivkonto gespeichert.
AWS Config-Regeln
AWS Config-Regeln sind für die Überwachung der Speicherverschlüsselung (Amazon Elastic Block Store, Amazon S3 und Amazon Relational Database Service), der AWS Identity and Access Management (IAM)-Kennwortrichtlinie, der Root-Konto-Multi-Factor-Authentifizierung (MFA), des öffentlichen Lesens und Schreibens von Amazon S3 sowie unsicherer Sicherheitsgruppenregeln aktiviert.
AWS Identity and Access Management
AWS Identity and Access Management wird verwendet, um eine IAM-Kennwortrichtlinie zu konfigurieren.
Kontenübergreifender Zugriff
Der kontoübergreifende Zugriff wird verwendet, um den administrativen Prüfungs- und Notfallsicherheitszugriff auf AWS Landing Zone-Konten über das Sicherheitskonto zu konfigurieren.
Amazon Virtual Private Cloud (VPC)
Eine Amazon VPC konfiguriert das ursprüngliche Netzwerk für ein Konto. Dazu gehören das Löschen der Standard-VPC in allen Regionen, die Bereitstellung des von AVM angefragten Netzwerktyps und ggf. Netzwerkpeering mit der Shared Services-VPC.
AWS Landing Zone-Benachrichtigungen
Amazon CloudWatch-Alarme und -Ereignisse sind so konfiguriert, dass eine Benachrichtigung über die Root-Kontoanmeldung, die Anmeldungsfehler der Konsole und die Fehler bei der API-Authentifizierung in einem Konto gesendet wird.
Amazon GuardDuty
Amazon GuardDuty ist so konfiguriert, dass GuardDuty-Ergebnisse im Mitgliedskonto angezeigt und verwaltet werden.
Selbst eine Lösung bereitstellen
Durchsuchen Sie unsere Bibliothek der AWS-Lösungsimplementierungen, um Antworten auf häufige Architekturprobleme zu erhalten.
