Saltar al contenido principal

Biblioteca de soluciones de AWS

Orientación para enclaves seguros y confiables en AWS

Proteja y aísle sus cargas de trabajo altamente confidenciales con un enclave seguro

Información general

Esta orientación muestra cómo puede crear una arquitectura de nube integral para cargas de trabajo confidenciales en la seguridad nacional, la defensa y la aplicación de la ley nacional. Al utilizar una arquitectura de cuentas múltiples en AWS, puede cumplir sus misiones y, al mismo tiempo, proteger las cargas de trabajo y los datos confidenciales. Esta guía está diseñada para ayudarlo a cumplir los estrictos y exclusivos requisitos de seguridad y conformidad, ya que aborda la gestión centralizada de identidades y accesos, la gobernanza, la seguridad de los datos, el registro exhaustivo y el diseño y segmentación de la red de acuerdo con diversos marcos de seguridad de EE. UU.

Funcionamiento

Información general

Este diagrama de arquitectura muestra cómo configurar cargas de trabajo integrales de varias cuentas con requisitos de seguridad y cumplimiento únicos.

Descargar el diagrama de arquitectura
Architecture diagram illustrating AWS Trusted Secure Enclaves, showing the organization management account, security accounts, infrastructure accounts, sensitive application OUs, and network connections to a corporate data center and the internet.

Cuenta de administración de la organización

Este diagrama de arquitectura muestra cómo una organización puede agrupar varias cuentas, todas ellas controladas por una única entidad cliente. Siga los pasos de este diagrama de arquitectura para implementar la cuenta de administración de la organización que forma parte de esta guía.

Descargar el diagrama de arquitectura
Architecture diagram illustrating AWS Trusted Secure Enclaves organization management. The diagram shows organizational units (Security OU, Infrastructure OU, Dev OU, Prod OU, Central OU, Test OU), AWS KMS, SCPs, and integration with a Virtual Private Cloud (VPC), AD Connector, AWS IAM Identity Center, and corporate users.

Cuentas de seguridad

Este diagrama de arquitectura muestra cómo configurar de forma centralizada una recopilación de registros completa en todos los servicios y cuentas de AWS. Siga los pasos de este diagrama de arquitectura para implementar la parte de cuentas de seguridad de esta guía.

Descargar el diagrama de arquitectura
Architecture diagram illustrating AWS trusted and secure enclave organization security, showing management and security accounts, log archive (Amazon S3, CloudWatch, CloudTrail), and security tooling such as GuardDuty, Security Hub, AWS Config, Firewall Manager, Macie, IAM Access Analyzer, and Alarm.

Cuentas de infraestructura

Este diagrama de arquitectura muestra cómo se construye un entorno de red centralizado y aislado con nubes privadas virtuales (VPC). Siga los pasos de este diagrama de arquitectura para implementar la parte de cuentas de infraestructura de esta guía.

Descargar el diagrama de arquitectura
Architecture diagram showing an AWS infrastructure design for trusted secure enclaves. The diagram illustrates the organization management account, infrastructure accounts for operations and DevOps, shared network components, perimeter security including AWS Network Firewall, ELB, AWS WAF, NAT gateway, and integration with corporate data centers via AWS Direct Connect. The layout demonstrates central VPCs, CI/CD tooling, firewalls, and connectivity to the internet.

Cuentas de aplicación, comunidad, equipo o grupo (confidenciales)

Este diagrama de arquitectura muestra cómo configurar la segmentación y la separación entre las cargas de trabajo que pertenecen a diferentes etapas del ciclo de vida del desarrollo del software o entre los diferentes roles administrativos de TI. Siga los pasos de este diagrama de arquitectura para implementar la parte de cuentas de aplicación, comunidad, equipo o grupo de esta guía. 

Descargar el diagrama de arquitectura
Architecture diagram showing the AWS Trusted Secure Enclaves setup for sensitive accounts, including organization management accounts, organizational units, and teams (Dev, Test, Prod, Shared) using VPCs, AWS Nitro System hosts, ELB, and AWS WAF.

Pilares de AWS Well-Architected Framework

El diagrama de arquitectura mencionado es un ejemplo de una solución que se creó teniendo en cuenta las prácticas recomendadas de una buena arquitectura. Para tener completamente una buena arquitectura, debe seguir todas las prácticas recomendadas de buena arquitectura posibles.

Esta guía utiliza las pilas y configuraciones de Organizations with AWS CloudFormation para crear una base segura para su entorno de AWS. Esto proporciona una solución de infraestructura como código (IaC) que acelera la implementación de los controles técnicos de seguridad. Las reglas de configuración corrigen cualquier delta de configuración que se haya determinado que afecta negativamente a la arquitectura prescrita. Puede utilizar la infraestructura comercial global de AWS para cargas de trabajo confidenciales y automatizar los sistemas seguros para entregar las misiones con mayor rapidez y, al mismo tiempo, mejorar continuamente sus procesos y procedimientos.

Lea el documento técnico sobre excelencia operativa

Esta guía utiliza las organizaciones para facilitar el despliegue de barreras organizativas, como el registro de API con CloudTrail. Esta guía también proporciona controles preventivos que utilizan los SCP de AWS prescriptivos como mecanismo de barrera de protección, que se utilizan principalmente para denegar categorías específicas o completas de API dentro de su entorno (para garantizar que las cargas de trabajo se implementen solo en regiones determinadas) o denegar el acceso a servicios de AWS específicos. Los registros de CloudTrail y CloudWatch permiten la recopilación exhaustiva y prescrita de registros y la centralización en todos los servicios y cuentas de AWS. Las capacidades de seguridad de AWS y la multitud de servicios relevantes para la seguridad se configuran según un patrón definido que le ayuda a cumplir algunos de los requisitos de seguridad más estrictos del mundo.

Lea el documento técnico sobre seguridad

Esta guía utiliza varias zonas de disponibilidad (AZ), por lo que la pérdida de una zona de disponibilidad no afecta a la disponibilidad de las aplicaciones. Puede usar CloudFormation para automatizar el aprovisionamiento y la actualización de su infraestructura de forma segura y controlada. Esta guía también proporciona reglas prediseñadas para evaluar las configuraciones de los recursos de AWS y los cambios de configuración en su entorno, o puede crear reglas personalizadas en AWS Lambda para definir las prácticas recomendadas y las pautas. Puede automatizar la capacidad de escalar su entorno para satisfacer la demanda y mitigar las interrupciones, como errores de configuración o problemas transitorios de red.

Lea el documento técnico sobre fiabilidad

Esta guía simplifica la administración de la infraestructura en la nube mediante el uso de Transit Gateway, que funciona como un centro central que conecta varias VPC a través de una única puerta de enlace, lo que facilita la ampliación y el mantenimiento de la arquitectura de red. Esto simplifica la arquitectura de la red y facilita el enrutamiento eficiente del tráfico entre las diferentes cuentas de AWS de su organización.

Lea el documento técnico sobre eficacia del rendimiento

Esta guía brinda la capacidad de evitar o eliminar costos innecesarios o el uso de recursos que no son óptimos. Las organizaciones proporcionan centralización y facturación consolidada, lo que facilita la separación sólida entre el uso de los recursos y la optimización de los costos. Esta guía prescribe mover los puntos de enlace de las API públicas de AWS a su espacio de direcciones de VPC privado mediante puntos de enlace centralizados para ahorrar costos. Además, puede usar los informes de costo y uso de AWS (AWS CUR) para realizar un seguimiento del uso de AWS y estimar los cargos.

Lea el documento técnico sobre optimización de costos

Esta guía lo ayuda a reducir la huella de carbono asociada a la administración de las cargas de trabajo en sus propios centros de datos. La infraestructura global de AWS ofrece una infraestructura de soporte (como alimentación, enfriamiento y redes), una tasa de uso más alta y actualizaciones tecnológicas más rápidas que los centros de datos tradicionales. Además, la segmentación y la separación de las cargas de trabajo ayudan a reducir el movimiento innecesario de datos, y Amazon S3 ofrece niveles de almacenamiento y la capacidad de mover automáticamente los datos a niveles de almacenamiento eficientes.

Lea el documento técnico sobre sostenibilidad

Descargo de responsabilidad

El código de muestra; las bibliotecas de software; las herramientas de línea de comandos; las pruebas de concepto; las plantillas; o cualquier otra tecnología relacionada (incluida cualquiera de las anteriores que proporcione nuestro personal) se brinda como contenido de AWS bajo el Contrato de cliente de AWS, o el contrato escrito pertinente entre usted y AWS (lo que sea aplicable). No debe utilizar este contenido de AWS en sus cuentas de producción, ni en producción ni en otros datos críticos. Es responsable de probar, proteger y optimizar el contenido de AWS, como el código de muestra, según corresponda para el uso de grado de producción en función de sus prácticas y estándares de control de calidad específicos. La implementación de contenido de AWS puede incurrir en cargos de AWS por crear o utilizar recursos con cargo de AWS, como poner en marcha instancias de Amazon EC2 o utilizar el almacenamiento de Amazon S3.

¿Ha encontrado lo que buscaba hoy?

Ayúdenos a mejorar la calidad del contenido de nuestras páginas compartiendo sus comentarios