Übersicht
Die Lösung Landing Zone Accelerator in AWS stellt eine Reihe von grundlegenden Funktionen bereit, die auf bewährte AWS-Verfahren und mehrere globale Konformitäts-Frameworks abgestimmt sind. Mit dieser AWS-Lösung können Sie Ihre Umgebung mit mehreren Konten, die stark regulierte Workloads und komplexe Konformitätsanforderungen aufweisen, besser verwalten und steuern. In Kombination mit anderen AWS-Services bietet sie eine umfassende Low-Code-Lösung für mehr als 35 AWS-Services.
Hinweis: Diese Lösung allein sorgt nicht für Konformität. Sie bietet die grundlegende Infrastruktur, über die zusätzliche kostenlose Lösungen integriert werden können.
Sie können diese Lösung nutzen, um die Ausrichtung auf bestimmte Regionen und Branchen zu unterstützen.
Vorteile
Richten Sie automatisch eine Cloud-Umgebung ein, die für das Hosten sicherer Workloads geeignet ist. Sie können diese Lösung in allen AWS-Regionen bereitstellen. Auf diese Weise können Sie die Konsistenz Ihrer Abläufe und Ihrer Governance über AWS-Standard-Regionen, AWS GovCloud (USA) und andere nicht standardisierte Teilbereiche in AWS aufrecht erhalten.
Stellen Sie diese Lösung in einer AWS-Region bereit, die für Ihre Datenklassifizierung geeignet ist, und verwenden Sie Amazon Macie, um sensible Daten in Amazon Simple Storage Service (Amazon S3) zu erkennen. Diese Lösung unterstützt Sie auch bei der Bereitstellung, dem Betrieb und der Verwaltung einer zentral verwalteten Verschlüsselungsstrategie mit AWS Key Management System (AWS KMS).
Nutzen Sie eine grundlegende Infrastruktur für die Bereitstellung von geschäftskritischen Workloads in einer zentral verwalteten Umgebung mit mehreren Konten.
Technische Details
Sie können diese Architektur mit dem Implementierungsleitfaden und der dazugehörigen Vorlage für AWS CloudFormation automatisch bereitstellen.
Schritt 1
Sie können AWS CloudFormation verwenden, um die Lösung in Ihrer Umgebung zu installieren. Ihre Umgebung muss bestimmte Voraussetzungen erfüllen, bevor Sie die Lösung einsetzen können. Die bereitgestellte CloudFormation-Vorlage stellt eine AWS CodePipeline bereit, die das Installationsmodul für Landing Zone Accelerator in AWS enthält.
Schritt 2
Die Installer-Pipeline stellt die Kern-Features der Lösung bereit. Da dieses Installationsprogramm getrennt von der Infrastruktur der Core-Lösung funktioniert, können Sie mit einem einzigen Parameter über die CloudFormation-Konsole auf zukünftige Versionen der Lösung aktualisieren.
Schritt 3
Ein AWS CodeBuild-Projekt fungiert als Orchestrierungs-Engine zum Erstellen und Ausführen der AWS-Cloud-Development-Kit-(AWS CDK)-Anwendung der Lösung, die CloudFormation-Stacks in allen verwalteten AWS-Konten und -Regionen dieser Lösung bereitstellt.
Schritt 4
Die Lösung setzt Amazon-Simple-Notification-Service-Themen (Amazon SNS) ein, die Sie für Benachrichtigungen über Kern-Pipeline-Ereignisse abonnieren können, was die Beobachtbarkeit Ihrer Kern-Pipeline-Vorgänge verbessern kann. Darüber hinaus setzt die Lösung zwei vom Kunden verwaltete AWS-Key-Management-Service-Schlüssel (AWS KMS) ein, um die Verschlüsselung im Ruhezustand von Installer- und Kern-Pipeline-Abhängigkeiten zu verwalten.
Schritt 5
Die Kern-Pipeline validiert und synthetisiert Eingaben und stellt zusätzliche CloudFormation-Stacks mit AWS CDK bereit. Ein AWS-CodeCommit-Repository namens aws-accelerator-config speichert die Konfigurationsdateien, die die Lösung verwendet. Diese Konfigurationsdateien sind der wichtigste Mechanismus für die Konfiguration und Verwaltung der Lösung.
Schritt 6
Ein CodeBuild-Projekt kompiliert und validiert die AWS-CDK-Anwendungskonfiguration der Lösung.
Schritt 7
In mehreren CodeBuild-Bereitstellungsphasen werden die Ressourcen, die in den Konfigurationsdateien der Lösung definiert wurden, in Ihrer Umgebung mit mehreren Konten bereitgestellt. Optional können Sie eine manuelle Überprüfungsphase einfügen, in der Sie alle Änderungen sehen können, die in diesen Phasen vorgenommen werden.
Schritt 8
Die Lösung setzt Ressourcen ein, die AWS-Control-Tower-Lebenszyklusereignisse überwachen, um eine mögliche Abweichung von einem bekannten guten Zustand zu erkennen (mit anderen Worten, wenn die tatsächliche Konfiguration einer Infrastrukturressource von der erwarteten Konfiguration abweicht). Die Lösung stellt auch Ressourcen bereit, die die Registrierung neuer AWS-Konten in Ihrer Umgebung mit mehreren Konten automatisieren können.
Schritt 9
Die Lösung stellt zentralisierte Protokollierungsressourcen im Protokollarchiv-Konto in Ihrer Umgebung mit mehreren Konten bereit. Dazu gehören Amazon-Kinesis-Ressourcen für das Streaming und Aufnehmen von Protokollen, AWS-KMS-Schlüssel zur Erleichterung der Verschlüsselung im Ruhezustand und Amazon-Simple-Storage-Service (Amazon S3)-Buckets als Speicherziele für Protokolle.
Schritt 10
Über die Konfigurationsdateien der Lösung können Sie Workload-Konten in Ihrer Umgebung mit mehreren Konten mit zusätzlicher Infrastruktur registrieren und bereitstellen. Neue Konten werden zumindest mit Ressourcen ausgestattet, die das Streaming von Amazon-CloudWatch-Protokollgruppen in die zentralisierte Protokollierungsinfrastruktur im Protokollarchiv-Konto ermöglichen.
Schritt 1
Sie können AWS CloudFormation verwenden, um die Lösung in Ihrer Umgebung zu installieren. Ihre Umgebung muss bestimmte Voraussetzungen erfüllen, bevor Sie die Lösung einsetzen können. Die bereitgestellte CloudFormation-Vorlage stellt eine AWS CodePipeline bereit, die das Installationsmodul für Landing Zone Accelerator in AWS enthält.
Schritt 2
Die Installer-Pipeline stellt die Kern-Features der Lösung bereit. Da dieses Installationsprogramm getrennt von der Infrastruktur der Core-Lösung funktioniert, können Sie mit einem einzigen Parameter über die CloudFormation-Konsole auf zukünftige Versionen der Lösung aktualisieren.
Schritt 3
Ein AWS CodeBuild-Projekt fungiert als Orchestrierungs-Engine zum Erstellen und Ausführen der AWS-Cloud-Development-Kit-(AWS CDK)-Anwendung der Lösung, die CloudFormation-Stacks in allen verwalteten AWS-Konten und -Regionen dieser Lösung bereitstellt.
Schritt 4
Die Lösung setzt Amazon-Simple-Notification-Service-(Amazon SNS)-Themen ein, die Sie für Benachrichtigungen über Kern-Pipeline-Ereignisse abonnieren können, was die Beobachtbarkeit Ihrer Kern-Pipeline-Vorgänge verbessern kann.
Darüber hinaus setzt die Lösung zwei vom Kunden verwaltete AWS-Key-Management-Service-Schlüssel (AWS KMS) ein, um die Verschlüsselung im Ruhezustand von Installer- und Kern-Pipeline-Abhängigkeiten zu verwalten.
Schritt 5
Die Kern-Pipeline validiert und synthetisiert Eingaben und stellt zusätzliche CloudFormation-Stacks mit AWS CDK bereit. Ein AWS-CodeCommit-Repository namens aws-accelerator-config speichert die Konfigurationsdateien, die die Lösung verwendet. Diese Konfigurationsdateien sind der wichtigste Mechanismus für die Konfiguration und Verwaltung der Lösung.
Schritt 6
Ein CodeBuild-Projekt kompiliert und validiert die AWS-CDK-Anwendungskonfiguration der Lösung.
Schritt 7
In mehreren CodeBuild-Bereitstellungsphasen werden die Ressourcen, die in den Konfigurationsdateien der Lösung definiert wurden, in Ihrer Umgebung mit mehreren Konten bereitgestellt. Optional können Sie eine manuelle Überprüfungsphase einfügen, in der Sie alle Änderungen sehen können, die in diesen Phasen vorgenommen werden.
Schritt 8
Die Lösung setzt Ressourcen ein, die AWS-Control-Tower-Lebenszyklusereignisse überwachen, um eine mögliche Abweichung von einem bekannten guten Zustand zu erkennen (mit anderen Worten, wenn die tatsächliche Konfiguration einer Infrastrukturressource von der erwarteten Konfiguration abweicht).
Die Lösung stellt auch Ressourcen bereit, die die Registrierung neuer AWS-Konten in Ihrer Umgebung mit mehreren Konten automatisieren können.
Schritt 9
Die Lösung stellt zentralisierte Protokollierungsressourcen im Protokollarchiv-Konto in Ihrer Umgebung mit mehreren Konten bereit. Dazu gehören Amazon-Kinesis-Ressourcen für das Streaming und Aufnehmen von Protokollen, AWS-KMS-Schlüssel zur Erleichterung der Verschlüsselung im Ruhezustand und Amazon-Simple-Storage-Service (Amazon S3)-Buckets als Speicherziele für Protokolle.
Schritt 10
Über die Konfigurationsdateien der Lösung können Sie Workload-Konten in Ihrer Umgebung mit mehreren Konten mit zusätzlicher Infrastruktur registrieren und bereitstellen. Neue Konten werden zumindest mit Ressourcen ausgestattet, die das Streaming von Amazon-CloudWatch-Protokollgruppen in die zentralisierte Protokollierungsinfrastruktur im Protokollarchiv-Konto ermöglichen.
- Datum der Veröffentlichung
Unterstützung für bestimmte Regionen und Branchen
Wählen Sie aus den folgenden Optionen, wie Sie die Lösung Landing Zone Accelerator in AWS zur Unterstützung Ihrer Region oder Branche einsetzen können.
Wichtig: Diese Ressourcen sollen keine vollständigen Features oder vollständige Konformität bieten, sondern vielmehr dazu beitragen, Cloud-Migrationen und Cloud-Faktorwechsel-Bemühungen von Unternehmen zu beschleunigen, die regionale oder branchenspezifische Sicherheitsanforderungen erfüllen müssen. Diese Ressourcen können Ihnen zwar dabei helfen, den Aufwand für den manuellen Aufbau einer produktionsbereiten Infrastruktur zu verringern, aber Sie müssen sie dennoch an Ihre individuellen Geschäftsanforderungen anpassen. Weitere Informationen darüber, wie Sie AWS in Übereinstimmung mit bestimmten Anforderungen nutzen können, finden Sie unter AWS-Compliance-Programme. Wenden Sie sich an Ihr AWS-Team, um zu erfahren, welche Kontrollen Ihren Anforderungen entsprechen.
-
Regionale Konfigurationen
Wir haben die folgenden geografischen Konfigurationen für die Lösung „Landing Zone Accelerator in AWS“ erstellt, um die Best Practices von AWS und die länderspezifischen Compliance-Frameworks zu erfüllen. Wählen Sie die gewünschte geografische Region aus, um Anweisungen zur Bereitstellung zu erhalten.
Hinweis: Details zur Sicherheit der Cloud finden Sie in den Sicherheits- und Compliance-Berichten von AWS in AWS Artifact.
-
Vereinigte Staaten
-
Großbritannien (UK)
-
Kanada
-
Vereinigte Staaten
-
Vereinigte Staaten (USA)
In unserem Implementierungsleitfaden finden Sie Anleitungen zur Bereitstellung dieser Lösung in unseren Regionen der AWS GovCloud (USA). Dies kann Ihnen dabei helfen, sich an folgende Vorgaben anzupassen:
- Federal Risk and Authorization Management Program (FedRAMP, Bundesprogramm für Risiko- und Zulassungsmanagement) hoch
- Department of Defense (DoD) Cloud Computing Security Requirements Guide (CC SRG) für das Hosting von Workloads der Impact Level (IL)4 und IL5
- Bereitschaft für die DoD Cybersecurity Maturity Model Certification (CMMC)
- M-21-31-Protokollierungs- und Aufbewahrungsanforderungen
Wenn Sie in einer unserer AWS-Regionen USA Ost oder USA West bereitstellen möchten, folgen Sie den allgemeinen Bereitstellungsanweisungen in unserem Implementierungsleitfaden.
- Federal Risk and Authorization Management Program (FedRAMP, Bundesprogramm für Risiko- und Zulassungsmanagement) hoch
-
Großbritannien (UK)
-
Großbritannien (UK)
Das National Cyber Security Centre (NCSC) hat einen Leitfaden zur Cloud-Sicherheit veröffentlicht, der es Cloud-Benutzern ermöglicht, Daten in der Cloud zu speichern und zu verarbeiten oder Cloud-Plattformen zu nutzen, um ihre eigenen Services sicher zu entwickeln und zu hosten. Wählen Sie eines der unten aufgeführten Prinzipien aus, um zu sehen, wie die Beispielkonfiguration von Landing Zone Accelerator in AWS Ihnen dabei helfen kann, diese Anforderungen zu erfüllen.
-
Grundsatz 1: Schutz von Daten während der ÜbertragungUm die Anforderungen des Grundsatzes 1 zu erfüllen, können Sie zusätzlich zu der Beispielkonfiguration der Lösung nach bewährten Methoden die folgenden Kontrollen implementieren:
- Nur Amazon S3 – Erzwingen Sie ein Minimum an Transport Layer Security (TLS) 1.2 durch eine Service-Kontrollrichtlinie (SCP), die alle Aktionen verweigert, wenn s3:TLSVersion geringer als 1.2 ist.
- Nur Amazon S3 Object Lambda – Erzwingen Sie ein Minimum von TLS 1.2 durch eine SCP, die alle Aktionen verweigert, wenn s3-object-lambda:TlsVersion geringer als 1.2 ist.
- Nur Amazon ElastiCache – Erzwingen Sie TLS für die Operation CreateReplicationGroup über eine SCP, die die Aktion verweigert, wenn elasticache:TransitEncryptionEnabled falsch ist.
-
Grundsatz 2: Schutz und Resilienz von RessourcenDie Beispielkonfiguration dieser Lösung nach bewährten Methoden erfüllt die Anforderungen des Grundsatzes 2 durch die folgenden Kontrollen:
- Konfigurieren Sie den AWS Control Tower so, dass er den Zugriff auf AWS-Services in bestimmten Regionen verbietet (z. B. in Regionen, die sich in Gegenden befinden, die kein Datenzugriffsabkommen mit dem Vereinigten Königreich haben).
- AWS Control Tower ermöglicht und konfiguriert AWS Config, um die Bereitstellung und Konfiguration von AWS-Ressourcen zu verfolgen. Die Bereitstellung einer Datenbank für das Konfigurationsmanagement, die von den Kunden für die Transparenz genutzt werden kann, und die Durchführung spezifischer automatischer Audits können dazu beitragen, die Einhaltung der Vorschriften zu gewährleisten.
- Diese Lösung implementiert detektivische Konformitätskontrollen, um den Schutz von Ressourcen zu gewährleisten (z. B. Kontrollen zur Identifizierung von unverschlüsseltem Speicher und Load Balancern, die nicht für den Export von Zugriffsprotokollen an das zentrale Archivkonto konfiguriert sind, oder Endpunkte ohne TLS-Verschlüsselung).
Für zusätzliche Sicherheit können Sie die folgenden Kontrollen implementieren:- Bestimmten AWS-Services für künstliche Intelligenz (KI) wird untersagt, von diesen Diensten verarbeitete Kundeninhalte zu speichern und für die Entwicklung und kontinuierliche Verbesserung anderer AWS-Dienste zu verwenden.
- Eine Verschlüsselung im Ruhezustand wird erzwungen, indem Sie die Erstellung oder Aktualisierung bestimmter Ressourcen verweigern, sofern sie nicht verschlüsselt sind. Sie können dies tun, indem Sie die folgenden Bedingungen zu den SCPs hinzufügen:
- In Amazon EC2 durch das Einstellen von "ec2:Encrypted": "true"
- In Amazon EFS durch das Einstellen von "elasticfilesystem:Encrypted": "true"
- In Amazon RDS durch das Einstellen von "rds:StorageEncrypted": "true"
- In Amazon S3 durch das Einstellen von "s3:x-amz-server-side-encryption": "aws:kms"
- In Amazon ElastiCache durch das Einstellen von "elasticache:AtRestEncryptionEnabled": "true"
-
Grundsatz 3: Trennung von Kunden
Die AWS-Konfiguration für die Sicherheit der Cloud kann Ihnen helfen, die Anforderungen von Grundsatz 3 zu erfüllen. Wir empfehlen, das Whitepaper Logische Trennung in AWS zu lesen, um Details zur Implementierung zu erfahren. Weitere Informationen finden Sie in den Sicherheits- und Konformitätsdokumenten von AWS, z. B. in den Zertifizierungen der AWS International Organization for Standardization (ISO), der Payment Card Industry (PCI) und den SOC-Berichten (System and Organization Control). Sie können diese Berichte über AWS Artifact herunterladen.
-
Grundsatz 4: Governance-FrameworkUm die umfassendere Governance zu verstehen, die AWS für sein Servicemanagement implementiert, sehen Sie sich die AWS-Sicherheits- und -Compliance-Dokumente an, z. B. die AWS ISO- und PCI-Zertifizierungen und SOC-Berichte. Sie können diese Berichte über AWS Artifact herunterladen.Governance ist in Ihrer Umgebung ebenso wichtig, wenn Sie die Anforderungen des Grundsatzes 4 erfüllen möchten. Wir haben die präskriptive Architektur (Trennung von Sicherheits-, Protokollierungs- und Kernnetzwerkfunktionen in isolierten Konten) und die Kontrollen (siehe Grundsatz 5), die diese Lösung implementiert, so konzipiert, dass Sie einen Einblick in Ihre AWS-Ressourcen erhalten, automatisierte Kontrollen zentral implementieren und Governance in Ihren Cloud-Umgebungen einrichten und durchsetzen können.
-
Grundsatz 5: Operative SicherheitDie Beispielkonfiguration gemäß bewährten Methoden dieser Lösung erfüllt die Anforderungen von Grundsatz 5, indem sie ein zentrales Sicherheitskonto, ein so genanntes delegiertes Sicherheitskonto, einrichtet. Dieses Konto empfängt Informationen von den Sicherheitsservices, die die Lösung standardmäßig aktiviert, einschließlich der folgenden:
- Amazon GuardDuty zum laufenden Überwachen, Analysieren und Verarbeiten der folgenden Datenquellen über alle Konten innerhalb der Lösungsumgebung hinweg:
- Amazon Macie zur Unterstützung der Erkennung, Überwachung und des Schutzes vertraulicher Daten in Amazon S3 mithilfe von Machine Learning und Mustervergleich.
- AWS Config zum Bereitstellen:
- Einer detaillierten Ansicht der Konfiguration von AWS-Ressourcen in allen Konten der Lösungsumgebung
- Einer Überprüfung von Ressourcen anhand von Konformitätsregeln (z. B. Identifizierung von Speicherplatz, der im Ruhezustand nicht verschlüsselt ist)
- Von Konformitätsregeln zum Überprüfen auf Nichteinhaltung
- AWS Security Hub stellt ein einziges Dashboard zur Verfügung, auf dem Sie die Feeds der vorangegangenen Services einsehen können. So kann das Sicherheitsteam eines Unternehmens einen Gesamtüberblick über die Erkennung von Bedrohungen und den Status der Compliance-Kontrollen erhalten, um Bedrohungen an einem einzigen Ort zu reduzieren.
- AWS Audit Manager unterstützt die Konformitätsberichterstattung im gesamten Unternehmen.
- Amazon Detective hilft bei der Untersuchung von Sicherheitsvorfällen.
-
Grundsatz 6: Personelle Sicherheit
Diese Lösung bietet keine spezifischen Konfigurationen zur Unterstützung von Grundsatz 6. Die AWS-Konfiguration für die Sicherheit der Cloud hilft Ihnen jedoch, die Anforderungen dieses Grundsatzes zu erfüllen. Weitere Informationen finden Sie in den Sicherheits- und Konformitätsdokumenten von AWS, z. B. in den AWS-ISO- und PCI-Zertifizierungen und SOC-Berichten. Sie können diese Berichte über AWS Artifact herunterladen.
-
Grundsatz 7: Sichere Entwicklung
Zur Unterstützung von Grundsatz 7 bietet diese Lösung eine Architektur, die von den AWS-Lösungsarchitekten als gut durchdachte, robuste, vollständige, vorbildliche, präskriptive und praxisnahe Lösung geprüft wurde. Mit dieser Lösung können Kunden durch Selfservice und automatisierte Installation und Bereitstellung beim Entwickeln in AWS Zeit und Mühe sparen.
-
Grundsatz 8: Sicherheit der Lieferkette
Diese Lösung bietet keine spezifischen Konfigurationen zur Unterstützung von Grundsatz 8. Die AWS-Konfiguration für die Sicherheit der Cloud hilft Ihnen jedoch, die Anforderungen dieses Grundsatzes zu erfüllen. Weitere Informationen finden Sie in den Sicherheits- und Konformitätsdokumenten von AWS, z. B. in den AWS-ISO- und PCI-Zertifizierungen und SOC-Berichten. Sie können diese Berichte über AWS Artifact herunterladen.
-
Grundsatz 9: Sicheres BenutzermanagementDie Beispielkonfiguration dieser Lösung nach bewährten Methoden erfüllt die Anforderungen des Grundsatzes 9 durch die folgenden Kontrollen:
- Richten Sie das AWS IAM Identity Center ein, um den Zugriff und die Benutzerberechtigungen für alle Ihre AWS-Konten innerhalb der Lösungsumgebung zu verwalten.
- Löschen Sie vorhandene Zugriffsschlüssel für den Root-Benutzer des Lösungsverwaltungskontos.
- Setzen Sie AWS Identity and Access Management (IAM) durch.
- Erlauben Sie IAM Access Analyzer, Berichte über übermäßig freizügige Zugriffe zu erstellen und dabei zu helfen, Zugriffsrichtlinien mit den geringsten Berechtigungen zu erstellen.
Diese Lösung hilft Ihnen, IAM-Richtlinien auf der Grundlage von Vorschlägen des Access Analyzers einzusetzen. Eine Schritt-für-Schritt-Anleitung finden Sie im AWS-Blog zur Sicherheit.
-
Grundsatz 10: Identität und Authentifizierung
Diese Lösung bietet keine spezifischen Konfigurationen zur Unterstützung von Grundsatz 10. Die AWS-Konfiguration für die Sicherheit der Cloud hilft Ihnen jedoch, die Anforderungen dieses Grundsatzes zu erfüllen. Weitere Informationen finden Sie in den Sicherheits- und Konformitätsdokumenten von AWS, z. B. in den AWS-ISO- und PCI-Zertifizierungen und SOC-Berichten. Sie können diese Berichte über AWS Artifact herunterladen.
-
Grundsatz 11: Schutz externer SchnittstellenDie Beispielkonfiguration dieser Lösung nach bewährten Methoden erfüllt die Anforderungen des Grundsatzes 11 durch die folgenden Kontrollen:
- Richten Sie AWS PrivateLink ein, um sicherzustellen, dass der Datenverkehr zwischen AWS-Services nicht das öffentliche Internet durchquert.
-
Grundsatz 12: Sichere Serviceverwaltung
Diese Lösung bietet keine spezifischen Konfigurationen zur Unterstützung von Grundsatz 12. Die AWS-Konfiguration für die Sicherheit der Cloud hilft Ihnen jedoch, die Anforderungen dieses Grundsatzes zu erfüllen. Weitere Informationen finden Sie in den Sicherheits- und Konformitätsdokumenten von AWS, z. B. in den AWS-ISO- und PCI-Zertifizierungen und SOC-Berichten. Sie können diese Berichte über AWS Artifact herunterladen.
-
Grundsatz 13: Auditinformationen und Warnmeldungen
Die Beispielkonfiguration dieser Lösung nach bewährten Methoden erfüllt die Anforderungen des Grundsatzes 13 durch die folgenden Kontrollen:
- Richten Sie AWS CloudTrail ein, um alle Aktionen eines Benutzers, einer Rolle oder eines AWS-Services für alle Konten innerhalb der Lösungsumgebung aufzuzeichnen und 365 Tage lang sicher zu speichern.
- Speichern Sie CloudTrail-Protokolle in einem separaten AWS-Konto mit eingeschränktem Lesezugriff als Schutz vor unbefugten Änderungen.
- Versenden Sie E-Mail-Benachrichtigungen, wenn AWS Security Hub ein Ereignis mit den folgenden Schweregraden erkennt:
- Niedrig
- Medium
- Hoch
-
Grundsatz 14: Sichere Serviceverwendung
Zur Unterstützung von Grundsatz 14 bieten wir diese Lösung an, um Kunden zu helfen, die bewährten Sicherheitsmethoden bei der Nutzung von AWS einführen möchten. Sie können diese Lösung zusammen mit anderen Ressourcen und Services wie dem AWS Well Architected Framework und AWS Trusted Advisor verwenden, um Ihnen bei der schnellen Implementierung von Architekturen zu helfen, die bereits durch ihr Design sicher sind.
-
-
Kanada
-
Kanada
Wir haben die Konfiguration des Canadian Centre for Cyber Security (CCCS) Cloud Medium (früher Protected B, Medium Integrity, Medium Availability [PBMM]) erstellt, um eine präskriptive Architektur zur Orientierung bereitzustellen. Wir haben diese Architektur entwickelt, um Kunden bei den Kontrollen zu helfen, die für den Erhalt einer Betriebszulassung (ATO) erforderlich sind, wie in ITSP.50.105 beschrieben.
Mit der Bereitstellung dieser Konfiguration können Sie die für die Implementierung der CCCS-Cloud-Medium-Kontrollen benötigte Zeit von mehr als 90 Tagen auf 2 Tage reduzieren. Die Übernahme von Kontrollen, die von der CCCS-Cloud-Medium-Bewertung abgedeckt werden, zusammen mit der Verwendung der Landing Zone Accelerator in AWS-Lösung, um gemeinsame Kontrollen zu adressieren, die in der Verantwortung des Kunden liegen, kann einen Sicherheitsbewertungs- und Autorisierungsprozess (SA&A) beschleunigen.
Sie können auch auf den Mindestintegritätsschutz der kanadischen Regierung (GC) als Teil des GC Cloud Operationalization Framework erfüllen. Wenn Sie den Mindestintegritätsschutz der Lösung Landing Zone Accelerator in AWS erfüllen, können Sie auch die CCCS-Cloud Medium-Kontrollen unterstützen, wenn sich die Empfindlichkeit Ihres Workloads ändert. Wenn Sie die Parameter in der Konfigurationsdatei anpassen, können Sie maßgeschneiderte Architekturen einrichten, die den Anforderungen einer Reihe von Behörden und Organisationen des öffentlichen Sektors entsprechen.
Um diese Konfiguration zu installieren, verwenden Sie die Beispielkonfigurationsdatei Landing Zone Accelerator für CCCS Cloud Medium und die Anweisungen auf GitHub.
Hinweis: Die Lösung „Landing Zone Accelerator in AWS“ ist jetzt die empfohlene Lösung für Organisationen des öffentlichen Sektors, die eine AWS-Umgebung in Übereinstimmung mit den Anforderungen des CCCS-Cloud-Medium-Profils bereitstellen möchten. Bisher haben kanadische Kunden aus dem öffentlichen Sektor, die eine Angleichung an das CCCS-Cloud-Medium-Profils anstrebten, den AWS Secure Environment Accelerator eingesetzt, um Kontrollen durchzuführen, die im Rahmen des Modells der geteilten Verantwortung in der Verantwortung des Kunden liegen. Die Versionen 1.3.0 und höher der Lösung „Landing Zone Accelerator in AWS“ bieten die gleiche Kontrollabdeckung wie die Lösung „AWS Secure Environment Accelerator“. Wenn Sie derzeit die Lösung „AWS Secure Environment Accelerator“ verwenden, gibt es aktuell keine Frist für die Migration zur Lösung „Landing Zone Accelerator in AWS“.
-
-
Branchenspezifische Konfigurationen
Wir haben die folgenden branchenspezifischen Konfigurationen für die Lösung „Landing Zone Accelerator in AWS“ erstellt, um die bewährten Methoden von AWS und die branchenspezifischen Compliance-Frameworks zu erfüllen. Wählen Sie die gewünschte Branche aus, um Anweisungen zur Bereitstellung zu erhalten.
Hinweis: Details zur Sicherheit der Cloud finden Sie in den Sicherheits- und Compliance-Berichten von AWS in AWS Artifact.
-
Luft- und Raumfahrt
-
Zentrale IT (US-Bundestaaten und lokale Behörden)
-
Bildung
-
Finanzen (Steuern)
-
Gesundheitswesen
-
Nationale Sicherheit, Verteidigung und nationale Strafverfolgung (außerhalb der USA)
-
Luft- und Raumfahrt
-
VideoAWS Summit DC 2022 – Skalieren der automatisierten Governance mit Landing Zone Accelerator in AWSVideo ansehen
Luft- und Raumfahrt (USA)
Um Anwendungsfälle in der Luft- und Raumfahrt in den USA zu unterstützen, finden Sie in unserem Implementierungsleitfaden Anleitungen zur Bereitstellung dieser Lösung in unseren Regionen der AWS GovCloud (USA). Dies kann Ihnen dabei helfen, sich an folgende Vorgaben anzupassen:
- Federal Risk and Authorization Management Program (FedRAMP, Bundesprogramm für Risiko- und Zulassungsmanagement) hoch
- Department of Defense (DoD) Cloud Computing Security Requirements Guide (CC SRG) für das Hosting von Workloads der Impact Level (IL)4 und IL5
- Bereitschaft für die DoD Cybersecurity Maturity Model Certification (CMMC)
- M-21-31-Protokollierungs- und Aufbewahrungsanforderungen
Wenn Sie in einer unserer AWS-Regionen USA Ost oder USA West bereitstellen möchten, folgen Sie den allgemeinen Bereitstellungsanweisungen in unserem Implementierungsleitfaden.
- Federal Risk and Authorization Management Program (FedRAMP, Bundesprogramm für Risiko- und Zulassungsmanagement) hoch
-
Zentrale IT (US-Bundestaaten und lokale Behörden)
-
Zentrale IT (US-Bundestaaten und lokale Behörden)
Wir haben die zentrale IT-Konfiguration für Bundes-, Landes- und Kommunalbehörden in den USA entwickelt, um die Bedrohungen, denen zentrale IT-Organisationen ausgesetzt sind, zu reduzieren. Um diese Organisationen zu unterstützen, verwendet diese Konfiguration Kontrollen aus den folgenden Frameworks:
- AWS-Kontrollen vom National Institute of Standards and Technology (NIST) Cybersecurity Framework
- Optionale, am Health Insurance Portability and Accountability Act (HIPAA) ausgerichtete Kontrollkonfigurationen
Schritt 1: Stack starten
Starten Sie die AWS-CloudFormation-Vorlage in Ihrem AWS-Konto. Überprüfen Sie die Parameter der Vorlage und geben Sie die Standardwerte ein oder ändern Sie sie nach Bedarf. Ausführlichere Anweisungen finden Sie im Implementierungsleitfaden der Lösung.
Schritt 2: Warten Sie auf die Bereitstellung der ersten Umgebung
Warten Sie auf den erfolgreichen Abschluss der AWSAccelerator-Pipeline-Pipeline.
Schritte 3 und 4. Konfigurationsdateien kopieren und aktualisieren
Führen Sie die Schritte 3 und 4 in der Beispielkonfiguration für die Bereitstellung von Landing Zone Accelerator in AWS für die zentrale IT-Abteilung von US-amerikanischen Bundes-, Landes- und Kommunalbehörden auf GitHub aus.
-
Bildung
-
Bildung
Wir haben die Konfiguration für das Bildungswesen entwickelt, um die Bedrohungen, mit denen Bildungseinrichtungen konfrontiert sind, zu reduzieren. Um diese Organisationen zu unterstützen, verwendet diese Konfiguration Kontrollen aus den folgenden Frameworks:
- International Traffic in Arms Regulations (ITAR, Regelungen des internationalen Waffenhandels)
- National Institute of Standards and Technology (NIST, Nationales Institut für Standards und Technologie) 800-171
- NIST 800-53
- Cybersecurity Maturity Model Certification (CMMC, Zertifizierung nach dem Reifegradmodell für Cybersicherheit)
Schritt 1: Stack starten
Starten Sie die AWS-CloudFormation-Vorlage in Ihrem AWS-Konto. Überprüfen Sie die Parameter der Vorlage und geben Sie die Standardwerte ein oder ändern Sie sie nach Bedarf. Ausführlichere Anweisungen finden Sie im Implementierungsleitfaden der Lösung.
Schritt 2: Warten Sie auf die Bereitstellung der ersten Umgebung
Warten Sie auf den erfolgreichen Abschluss der AWSAccelerator-Pipeline-Pipeline.
Schritte 3 und 4. Konfigurationsdateien kopieren und aktualisierenFühren Sie die Schritte 3 und 4 in der Bereitstellungsübersicht für die Beispielkonfiguration von Landing Zone Accelerator in AWS für das Bildungswesen auf GitHub aus.
-
Finanzen (Steuern)
-
Finanzen (Steuern)
Wir haben die Konfiguration für Finanzen (Steuern) erstellt, um eine Kontostruktur zu implementieren, die üblicherweise für Steueraufgaben verwendet wird, zusammen mit Sicherheitskontrollen und Netzwerkkonfigurationen, um die Daten der Federal Tax Information (FTI) zu schützen. Diese Konfiguration entspricht den Anforderungen des Internal Revenue Service (IRS) 1075 zur Verschlüsselung von Daten in Amazon S3, Amazon EBS und Amazon FSx beim Hosten von FTI-Daten mit Customer Managed Keys (CMK) unter der Kontrolle des Kunden.
Schritt 1: Stack starten
Starten Sie die AWS-CloudFormation-Vorlage in Ihrem AWS-Konto. Überprüfen Sie die Parameter der Vorlage und geben Sie die Standardwerte ein oder ändern Sie sie nach Bedarf. Ausführlichere Anweisungen finden Sie im Implementierungsleitfaden der Lösung.
Schritt 2: Warten Sie auf die Bereitstellung der ersten Umgebung
Warten Sie auf den erfolgreichen Abschluss der AWSAccelerator-Pipeline-Pipeline.
Schritte 3 und 4. Konfigurationsdateien kopieren und aktualisieren
Führen Sie die Schritte 3 und 4 in der Bereitstellungsübersicht für die Beispielkonfiguration von Landing Zone Accelerator in AWS für Finanzen (Steuern) auf GitHub aus.
-
Gesundheitswesen
-
Gesundheitswesen
Wir haben die Konfiguration für das Gesundheitswesen entwickelt, um die Bedrohungen, mit denen Einrichtungen des Gesundheitswesens konfrontiert sind, zu reduzieren. Um diese Organisationen zu unterstützen, verwendet diese Konfiguration Kontrollen aus den folgenden Frameworks:
- Health Insurance Portability and Accountability Act (HIPAA, Gesetz über die Übertragbarkeit und Nachweispflicht von Krankenversicherungen)
- National Cyber Security Centre (NCSC, Das Nationale Zentrum für Cybersicherheit)
- Esquema Nacional de Seguridad (ENS, Nationales Sicherheitsprogramm) hoch
- Cloud Computing Compliance Controls Catalog (C5, Kriterienkatalog Cloud Computing)
- Fascicolo Sanitario Elettronico
Schritt 1: Stack starten
Starten Sie die AWS-CloudFormation-Vorlage in Ihrem AWS-Konto. Überprüfen Sie die Parameter der Vorlage und geben Sie die Standardwerte ein oder ändern Sie sie nach Bedarf. Ausführlichere Anweisungen finden Sie im Implementierungsleitfaden der Lösung.
Schritt 2: Warten Sie auf die Bereitstellung der ersten Umgebung
Warten Sie auf den erfolgreichen Abschluss der AWSAccelerator-Pipeline-Pipeline.
Schritte 3 und 4. Konfigurationsdateien kopieren und aktualisieren
Führen Sie die Schritte 3 und 4 in der Bereitstellungsübersicht für die Beispielkonfiguration von Landing Zone Accelerator in AWS für das Gesundheitswesen auf GitHub aus.
-
Nationale Sicherheit, Verteidigung und nationale Strafverfolgung (außerhalb der USA)
-
Nationale Sicherheit, Verteidigung und nationale Strafverfolgung (außerhalb der USA)
Nationale Sicherheits-, Verteidigungs- und Strafverfolgungsbehörden auf der ganzen Welt benötigen die Skalierbarkeit, die globale Präsenz, die Flexibilität und die Services, die die Cloud für ihre wichtigsten Missionen bietet – und das alles, während sie gleichzeitig strenge Sicherheits- und Compliance-Anforderungen für ihre Daten erfüllen müssen. Diese Organisationen nutzen zunehmend die globale hyperskalierbare Cloud von AWS, um ihre Aufgaben zu erfüllen und gleichzeitig die Sicherheit ihrer vertraulichen Daten und Workloads zu gewährleisten.
Damit Sie diese vertraulichen Aufgaben in der Cloud beschleunigen können, haben wir die Trusted Secure Enclaves Sensitive Edition (TSE-SE) für die nationale Sicherheit, die Verteidigung und die nationale Strafverfolgung entwickelt. Die TSE-SE-Referenzarchitektur ist eine umfassende AWS-Cloud-Architektur mit mehreren Konten, die auf vertrauliche Workloads ausgerichtet ist. Wir haben diese Architektur in Zusammenarbeit mit unseren Kunden aus den Bereichen nationale Sicherheit, Verteidigung, nationale Strafverfolgung sowie Bundes-, Landes- und Kommunalbehörden entwickelt, um die Einhaltung strenger und einzigartiger Sicherheits- und Compliance-Anforderungen zu beschleunigen.
Wir haben diese Architektur entwickelt, um unsere Kunden bei der zentralen Identitäts- und Zugriffsverwaltung, der Governance, der Datensicherheit, der umfassenden Protokollierung sowie der Netzwerkgestaltung und -segmentierung zu unterstützen, und zwar in Übereinstimmung mit Sicherheits-Frameworks wie National Institute of Standards and Technology (NIST) 800-53, Information Technology Standards Guidance (ITSG)-33, Federal Risk and Authorization Management Program (FedRAMP) Moderate, Information Security Registered Assessors Program (IRAP) und anderen Sicherheitsprofilen der Stufen „Vertraulich“, „Geschützt“ oder „Mittel“.
Wir haben diese Referenzarchitektur anhand der folgenden Design-Prinzipien entwickelt:
- Erzielen von Sicherheitsergebnissen, die an einem Sicherheitskontrollprofil der mittleren Stufe ausgerichtet sind.
- Maximieren der Agilität, Skalierbarkeit und Verfügbarkeit bei gleichzeitiger Minimierung der Kosten.
- Nutzen der vollen Leistungsfähigkeit der AWS Cloud.
- Offen bleiben für die Unterstützung und Einbeziehung des Innovationstempos von AWS und der neuesten technologischen Möglichkeiten.
- Ermöglichen einer nahtlosen automatischen Skalierung und Bereitstellen einer unbegrenzten Bandbreite, wenn die Bandbreiten-Anforderungen auf der Grundlage der tatsächlichen Kundenauslastung steigen (oder sinken) (ein wichtiger Aspekt des Nutzenversprechens von Cloud-Computing).
- Erstellen für hohe Verfügbarkeit: Das Design verwendet mehrere AWS Availability Zones, sodass der Ausfall einer Availability Zone keine Auswirkungen auf die Verfügbarkeit der Anwendung hat.
- Betreiben mit den geringsten Berechtigungen: Alle Prinzipale in den Konten sollen mit den geringsten Berechtigungen betrieben werden.
- Helfen beim Berücksichtigen der Souveränität der Kundendaten.
Einzelheiten zur Architektur finden Sie in der TSE-SE-Referenzarchitektur. Verwenden Sie die Konfigurationsdatei und die Anweisungen, um die Architektur zu installieren.
-
-
AWS-Anmelderegionen
Einige AWS-Regionen sind standardmäßig nicht aktiviert. Um die Lösung „Landing Zone Accelerator in AWS“ in einer dieser AWS-Regionen bereitzustellen, lesen Sie bitte unseren Implementierungsleitfaden.
Hinweis: Details zur Sicherheit der Cloud finden Sie in den Sicherheits- und Compliance-Berichten von AWS in AWS Artifact.
Ähnliche Inhalte
Der Landing Zone Accelerator für das Gesundheitswesen ist eine branchenspezifische Bereitstellung der Lösung Landing Zone Accelerator in AWS. Er ist so konzipiert, dass er mit den bewährten Methoden von AWS und mehreren globalen Compliance-Frameworks übereinstimmt.
In diesem Blog-Beitrag erfahren Sie, welche AWS-Services im Memorandum M-21-31 explizit für die Protokollierungs- und Aufbewahrungsanforderungen auf EL1-Ebene genannt werden und welche Ressourcen Sie nutzen können, um diese Services zur Erfassung der erforderlichen Protokolldaten einzurichten.