implementación de referencia

Arquitectura estandarizada para UK-OFFICIAL en AWS

Una arquitectura en la nube que soporta NCSC y CIS para las cargas de trabajo de UK-OFFICIAL

Ver la guía de implementación
Ver la matriz de los controles de seguridad

Este Quick Start configura un entorno estandarizado de nube de Amazon Web Services (AWS) que admite cargas de trabajo clasificadas como United Kingdom (UK) OFFICIAL. Esta clasificación de datos está asociada con la orientación y los controles que ayudan a organizaciones del sector público a administrar los riesgos y garantizar la seguridad durante la manipulación de los activos de información.

El entorno de AWS construido por el Quick Start está en consonancia con las siguientes directrices que entran en el ámbito de UK-OFFICIAL:

Mediante la plantilla del Quick Start se configuran automáticamente los recursos de AWS y se implementa una aplicación web multinivel basada en Linux . En la matriz con controles de seguridad (hoja de cálculo de Microsoft Excel) se puede observar la correspondencia entre los componentes del Quick Start y los requisitos de seguridad del NCSC y CIS.

Este Quick Start es parte de un conjunto de productos de conformidad de AWS que ofrece soluciones de arquitectura centradas en la seguridad para ayudar a los proveedores de servicios administrados (MSP), los equipos de aprovisionamiento de la nube, los desarrolladores, los integradores y los equipos de seguridad de la información a cumplir los controles estrictos de seguridad, conformidad y administración de riesgos. Para ver implementaciones adicionales en esta categoría, consulte el catálogo de Quick Start.

Este Quick Start fue desarrollado por AWS.

  •  Lo que creará

  • El Quick Start implementa los componentes y las características siguientes:

    • Cuatro Amazon Virtual Private Cloud (VPC), cada una con una arquitectura de zona de múltiple (Multi-AZ):
      • Una producción de VPC para cargas de trabajo para aplicaciones con subredes privadas para respaldar servicios compartidos.
      • Una VPC de servicios compartidos con subredes privadas para soportar servicios compartidos (por ejemplo, Active Directory).
      • Una VPC de VPC para obtener acceso controlado a internet con canales de comunicación públicos y privados separados.
      • Una VPC de punto de enlace con subredes privadas que permite el acceso directo a servicios de AWS.
    • AWS Transit Gateway para la comunicación entre VPC y finalización de red privada virtual (VPN).
    • Una conexión entre pares para el tráfico entre VPC entre la VPC de internet y la VPC de punto de enlace.
    • Proxies de salida para manejar solicitudes externas para los registros y la conformidad.
    • Grupos de seguridad estándar de Amazon VPC (no se muestran) para instancias, balanceadores de carga y puntos de enlace de Amazon Elastic Compute Cloud (Amazon EC2).
    • (No se muestra) Una aplicación de LAMP (Linux Apache MySQL PHP) con Auto Scaling y Elastic Load Balancing, que se puede modificar o arrancar con la aplicación del cliente.
    • Amazon GuardDuty para captar y analizar los eventos de seguridad y conformidad.
    • Registro, monitoreo y alertas con reglas AWS Config, Amazon CloudWatch y AWS CloudTrail.
    • Una configuración básica de AWS Identity and Access Management (IAM) con políticas personalizadas de IAM y grupos, roles y perfiles de instancia asociados.
    • AWS Security Hub para la conformidad de auditoría.
    • Amazon Route 53, un resolvedor para administrar el sistema de nombres de dominio (DNS) privado compartido para servicios y puntos de enlace compartidos entre VPC.
    • AWS Systems Manager, un administrador de sesiones para el acceso administrativo a instancias VPC de producción.
    • AWS Certificate Manager (ACM) para almacenar e implementar certificados Secure Sockets Layer (SSL) en puntos de conexión (para permitir el cifrado en tránsito).
  •  Cómo realizar la implementación

  • Antes de implementar el Quick Start, confirme que su cuenta de AWS esté configurada de manera correcta. Para ello, verifique los límites de servicio y pares de claves de SSH, y configure AWS Config. Después de completar estos requisitos previos, puede construir el entorno de referencia de Quick Start siguiendo las instrucciones de la guía de implantación. En el proceso de implementación se incluyen los siguientes pasos:

    1. Inicie sesión en su cuenta de AWS en https://aws.amazon.com.
    2. Inicie el Quick Start. La implementación demora alrededor de 30 minutos.
    3. Conéctese al sitio de WordPress que se creó con el Quick Start para probar la implementación.

    El Quick Start es modular y personalizable. Incluye plantillas de AWS CloudFormation anidadas que automatizan la implementación y configuración de los recursos para IAM, registro, VPC de producción, VPC de administración, reglas de AWS Config, NAT y la aplicación web. Puede implementar la arquitectura completa, o personalizar u omitir recursos.

    Amazon puede compartir la información de despliegue de los usuarios con el socio de AWS que colaboró con AWS en esta solución de socio.  

    Ver la guía de implementación para obtener detalles
  •  Costo y licencias

  • Usted debe pagar el costo de los servicios de AWS que se usan mientras se ejecuta este Quick Start. No hay costos adicionales por el uso del Quick Start.

    En la plantilla de AWS CloudFormation para este Quick Start, se incluyen parámetros de configuración que se pueden personalizar. Algunas de las configuraciones, como el tipo de instancia, afectan el costo de implementación. Para hacer estimaciones de costos, consulte las páginas de precios de cada servicio de AWS que utilice. Los precios están sujetos a modificaciones.

    Sugerencia: después de implementar Quick Start, recomendamos activar el AWS Cost and Usage Report para enviar métricas de facturación a un bucket de Amazon Simple Storage Service (Amazon S3) en su cuenta. Se suministran estimaciones de costos en función del uso de cada mes y se agregan los datos a finales del mes. Para obtener más información sobre el informe, consulte ¿Qué son los AWS Cost and Usage Reports?