Información general
La solución del Acelerador de zonas de aterrizaje en AWS despliega un conjunto de capacidades básicas que está diseñado para seguir las prácticas recomendadas de AWS y cumplir con diferentes marcos de conformidad globales. Con esta solución de AWS, puede administrar y gestionar mejor su entorno de varias cuentas que tiene cargas de trabajo altamente reguladas y requisitos de conformidad complejos. Al usarse en coordinación con otros servicios de AWS, brinda una solución integral con poco código en más de 35 servicios de AWS.
Nota: Esta solución por sí misma no hará que cumpla los requisitos. La solución proporciona la infraestructura base a partir de la cual se pueden integrar soluciones complementarias adicionales.
Puede utilizar esta solución para admitir la alineación con regiones y sectores específicos.
Beneficios
Configure automáticamente un entorno en la nube adecuado para alojar cargas de trabajo protegidas. Puede desplegar esta solución en todas las regiones de AWS. Esto ayuda a mantener la coherencia entre sus operaciones y la gobernanza en regiones estándar de AWS, AWS GovCloud (EE. UU.) y otras particiones no estándar en AWS.
Implemente la solución en una región de AWS adecuada para su clasificación de datos y use Amazon Macie para detectar la presencia de información confidencial en Amazon Simple Storage Service (Amazon S3). Esta solución también sirve para implementar, operar y controlar una estrategia de cifrado administrada de forma centralizada mediante AWS Key Management System (AWS KMS).
Aproveche la infraestructura base para desplegar cargas de trabajo de misión crítica en un entorno de varias cuentas administrado de forma centralizada.
Detalles técnicos
Puede desplegar automáticamente esta arquitectura con la guía de implementación y la plantilla de AWS CloudFormation asociada.
Paso 1
Puede usar AWS CloudFormation para instalar esta solución en su entorno. Su entorno debe cumplir con prerrequisitos antes de desplegar la solución. La plantilla de CloudFormation proporcionada desplegará una instancia de AWS CodePipeline que contiene el motor de instalación del Acelerador de zonas de aterrizaje en AWS.
Paso 2
La canalización del instalador despliega las características básicas de la solución. Dado que el instalador funciona de forma independiente a la infraestructura básica de la solución, puede actualizar a versiones futuras de la solución con un parámetro único a través de la consola de CloudFormation.
Paso 3
Un proyecto de AWS CodeBuild funciona como un motor de orquestación para crear y ejecutar la aplicación AWS Cloud Development Kit (AWS CDK) de la solución que despliega las pilas de CloudFormation en cada una de las cuentas y regiones de AWS administradas de esta solución.
Paso 4
La solución despliega temas de Amazon Simple Notification Service (Amazon SNS) a los que puede suscribirse para recibir alertas sobre eventos de canalización básicos, los cuales pueden incrementar la observabilidad de sus operaciones de canalización básicas. Además, la solución despliega dos claves de AWS Key Management Service (AWS KMS) administradas por el cliente para gestionar el cifrado en reposo del instalador y las dependencias de canalización básicas.
Paso 5
La canalización básica valida y sintetiza las entradas y despliega pilas de CloudFormation adicionales con el AWS CDK. Un repositorio de AWS CodeCommit denominado aws-accelerator-config almacena los archivos de configuración que utiliza esta solución. Estos archivos son el mecanismo principal para configurar y administrar dicha solución.
Paso 6
Un proyecto de CodeBuild compila y valida la configuración de la aplicación del AWS CDK de la solución.
Paso 7
Varias etapas de despliegue de CodeBuild se usan para desplegar los recursos definidos en los archivos de configuración de la solución para su entorno de varias cuentas. Es posible que se incluya una etapa de revisión manual opcional que le permite visualizar todos los cambios que se aplicarán a estas etapas.
Paso 8
La solución despliega recursos que monitorean los eventos del ciclo de vida de AWS Control Tower para detectar posibles discrepancias en comparación con un buen estado (en otras palabras, cuando la configuración real del recurso de una infraestructura difiera de la configuración esperada). La solución también despliega recursos que pueden automatizar el registro de nuevas cuentas de AWS en su entorno de varias cuentas.
Paso 9
La solución despliega recursos de registro centralizado en la cuenta de archivos de registro en su entorno de varias cuentas. Esto incluye recursos de Amazon Kinesis para transmitir e ingerir registros, claves de AWS KMS que facilitan el cifrado en reposo y buckets de Amazon Simple Storage Service (Amazon S3) como destinos de almacenamiento de registros.
Paso 10
Puede registrar y aprovisionar cuentas de cargas de trabajo en su entorno de varias cuentas con infraestructura adicional a través de los archivos de configuración de la solución. Como mínimo, se aprovisionan cuentas nuevas con recursos que faciliten la transmisión de grupos de registro de Amazon CloudWatch a la infraestructura de registro centralizada en la cuenta de archivo de registro.
Paso 1
Puede usar AWS CloudFormation para instalar esta solución en su entorno. Su entorno debe cumplir con prerrequisitos antes de desplegar la solución. La plantilla de CloudFormation proporcionada desplegará una instancia de AWS CodePipeline que contiene el motor de instalación del Acelerador de zonas de aterrizaje en AWS.
Paso 2
La canalización del instalador despliega las características básicas de la solución. Dado que el instalador funciona de forma independiente a la infraestructura básica de la solución, puede actualizar a versiones futuras de la solución con un parámetro único a través de la consola de CloudFormation.
Paso 3
Un proyecto de AWS CodeBuild funciona como un motor de orquestación para crear y ejecutar la aplicación AWS Cloud Development Kit (AWS CDK) de la solución que despliega las pilas de CloudFormation en cada una de las cuentas y regiones de AWS administradas de esta solución.
Paso 4
La solución despliega temas de Amazon Simple Notification Service (Amazon SNS) a los que puede suscribirse para recibir alertas sobre eventos de canalización básicos, los cuales pueden incrementar la observabilidad de sus operaciones de canalización básicas.
Además, la solución despliega dos claves de AWS Key Management Service (AWS KMS) administradas por el cliente para gestionar el cifrado en reposo del instalador y las dependencias de canalización básicas.
Paso 5
La canalización básica valida y sintetiza las entradas y despliega pilas de CloudFormation adicionales con el AWS CDK. Un repositorio de AWS CodeCommit denominado aws-accelerator-config almacena los archivos de configuración que utiliza esta solución. Estos archivos son el mecanismo principal para configurar y administrar dicha solución.
Paso 6
Un proyecto de CodeBuild compila y valida la configuración de la aplicación del AWS CDK de la solución.
Paso 7
Varias etapas de despliegue de CodeBuild se usan para desplegar los recursos definidos en los archivos de configuración de la solución para su entorno de varias cuentas. Es posible que se incluya una etapa de revisión manual opcional que le permite visualizar todos los cambios que se aplicarán a estas etapas.
Paso 8
La solución despliega recursos que monitorean los eventos del ciclo de vida de AWS Control Tower para detectar posibles discrepancias en comparación con un buen estado (en otras palabras, cuando la configuración real del recurso de una infraestructura difiera de la configuración esperada).
La solución también despliega recursos que pueden automatizar el registro de nuevas cuentas de AWS en su entorno de varias cuentas.
Paso 9
La solución despliega recursos de registro centralizado en la cuenta de archivos de registro en su entorno de varias cuentas. Esto incluye recursos de Amazon Kinesis para transmitir e ingerir registros, claves de AWS KMS que facilitan el cifrado en reposo y buckets de Amazon Simple Storage Service (Amazon S3) como destinos de almacenamiento de registros.
Paso 10
Puede registrar y aprovisionar cuentas de cargas de trabajo en su entorno de varias cuentas con infraestructura adicional a través de los archivos de configuración de la solución. Como mínimo, se aprovisionan cuentas nuevas con recursos que faciliten la transmisión de grupos de registro de Amazon CloudWatch a la infraestructura de registro centralizada en la cuenta de archivo de registro.
- Fecha de publicación
Compatibilidad con regiones y sectores específicos
Seleccione una de las siguientes opciones para desplegar la solución del Acelerador de zonas de aterrizaje en AWS para admitir su región o sector específicos.
Importante: Estos recursos no pretenden incluir todas las características ni cumplir con las normas, sino que permiten acelerar las migraciones a la nube y los esfuerzos de refactorización de la nube por parte de las entidades que deben cumplir con los requisitos de seguridad específicos de la región o el sector. Si bien estos activos pueden ayudarlo a reducir el esfuerzo necesario para crear manualmente una infraestructura lista para la producción, aún tendrá que adaptarlos a sus necesidades empresariales únicas. Para obtener más información sobre cómo utilizar AWS para cumplir con requisitos específicos, consulte los programas de conformidad de AWS. Consulte a su equipo de AWS para conocer los controles que se ajustan a sus requisitos.
-
Configuraciones regionales
Creamos las siguientes configuraciones específicas de cada región geográfica para la solución Acelerador de zonas de aterrizaje en AWS a fin de alinearlas con las prácticas recomendadas de AWS y los marcos de cumplimiento específicos de cada país. Seleccione la región geográfica que desee para ver las instrucciones de despliegue.
Nota: Los detalles sobre la seguridad de la nube se encuentran en los informes de seguridad y cumplimiento de terceros de AWS en AWS Artifact.
-
Estados Unidos
-
Reino Unido (UK)
-
Canadá
-
Estados Unidos
-
Estados Unidos (EE. UU.)
Consulte nuestra guía de implementación para obtener instrucciones sobre cómo implementar esta solución en nuestras regiones de AWS GovCloud (EE. UU.). Hacerlo puede ser de utilidad para adaptarse a lo siguiente:
- Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP) categoría alta
- Guía de requisitos de seguridad de computación en la nube (CC SRG) del Departamento de Defensa (DoD) de EE. UU. para alojar cargas de trabajo de nivel de impacto (IL)4 e IL5
- Preparación para la certificación del modelo de madurez de ciberseguridad (CMMC) del DoD
- Requisitos de registro y retención del M-21-31
Si desea realizar la implementación en una de nuestras regiones de AWS del este o del oeste de EE. UU., siga las instrucciones generales de implementación de nuestra guía de implementación.
- Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP) categoría alta
-
Reino Unido (UK)
-
Reino Unido (UK)
El Centro Nacional de Ciberseguridad (NCSC) publicó una guía de seguridad en la nube para permitir a los usuarios de la nube almacenar y tratar datos en la nube, o utilizar plataformas en la nube para crear y alojar sus propios servicios de forma segura. Seleccione uno de los principios que se muestran a continuación para ver cómo la configuración de muestra de Acelerador de zonas de aterrizaje en AWS puede ser de utilidad para cumplir los requisitos establecidos.
-
Principio 1: protección de los datos en tránsitoPara cumplir con los requisitos del Principio 1, puede implementar los siguientes controles, además de la configuración de muestra basada en las prácticas recomendadas de la solución:
- Solo Amazon S3: aplique como mínimo la seguridad de la capa de transporte (TLS) 1.2 mediante una política de control de servicio (SCP) que deniegue todas las acciones si s3:TLSVersion es inferior a 1.2.
- Solo Amazon S3 Object Lambda: aplique como mínimo la TLS 1.2 mediante una SCP que deniegue todas las acciones si s3-object-lambda:TlsVersion es inferior a 1.2.
- Solo Amazon ElastiCache: aplique TLS para la operación CreateReplicationGroup mediante una SCP que deniegue la acción si elasticache:TransitEncryptionEnabled es “false” (falso).
-
Principio 2: protección de activos y resilienciaEl ejemplo de configuración basada en prácticas recomendadas de esta solución cumple con los requisitos del Principio 2 mediante los siguientes controles:
- Configure AWS Control Tower para prohibir el acceso a los servicios de AWS en determinadas regiones (por ejemplo, regiones ubicadas en zonas geográficas sin ningún acuerdo de acceso a los datos con el Reino Unido).
- AWS Control Tower habilita y configura AWS Config para hacer un seguimiento del despliegue y la configuración de los recursos de AWS. El hecho de proporcionar una base de datos de administración de la configuración que los clientes pueden utilizar para obtener visibilidad y llevar a cabo auditorías automatizadas específicas puede ayudar a garantizar el cumplimiento.
- Esta solución implementa controles de detección del cumplimiento para garantizar que se ajusta a los criterios de protección de los activos (por ejemplo, controles como la identificación del almacenamiento no cifrado y de los equilibradores de carga no configurados para exportar los registros de acceso a la cuenta de archivo central o a los puntos de conexión sin cifrado TLS).
Para obtener una mayor seguridad, puede implementar los siguientes controles:- Impedir que ciertos servicios de inteligencia artificial (IA) de AWS almacenen y utilicen el contenido de los clientes que tratan esos servicios para el desarrollo y la mejora continua de otros servicios de AWS.
- Aplicar el cifrado en reposo y negar la creación o las actualizaciones de ciertos recursos, a menos que estén cifrados. Para hacerlo, puede agregar las siguientes condiciones a las SCP:
- Amazon EC2 con la configuración “ec2:Encrypted”: “true”
- Amazon EFS con la configuración “elasticfilesystem:Encrypted”: “true”
- Amazon RDS con la configuración “rds:StorageEncrypted”: “true”
- Amazon S3 con la configuración “s3:x-amz-server-side-encryption”: “aws:kms”
- Amazon ElastiCache con la configuración “elasticache: AtRestEncryptionEnabled”: “true”
-
Principio 3: separación entre clientes
La configuración de AWS para la seguridad de la nube puede ayudarle a cumplir los requisitos del Principio 3. Le recomendamos que consulte el documento técnico sobre la separación lógica en AWS para obtener más información sobre la implementación. Encontrará más información en los documentos sobre seguridad y cumplimiento de AWS, como los informes de las certificaciones de la Organización Internacional de Normalización (ISO) de AWS, las certificaciones del sector de las tarjetas de pago (PCI) y de control de sistemas y organizaciones (SOC). Puede descargar estos informes a través de AWS Artifact.
-
Principio 4: marco de gobernanzaPara comprender la gobernanza más amplia que AWS implementa para la administración de sus servicios, consulte los documentos sobre seguridad y cumplimiento de AWS, como los informes de las certificaciones ISO y PCI de AWS, y los informes SOC. Puede descargar estos informes a través de AWS Artifact.La gobernanza es igualmente importante en su entorno a la hora de cumplir con los requisitos del Principio 4. Diseñamos la arquitectura prescriptiva (separación de las funciones de seguridad, registro y redes principales en cuentas aisladas) y los controles (consulte el Principio 5) que implementa esta solución para ayudarle a obtener visibilidad de sus recursos de AWS, implementar controles automatizados de forma centralizada, y establecer y hacer cumplir la gobernanza en sus entornos en la nube.
-
Principio 5: seguridad operativaEl ejemplo de configuración basada en las prácticas recomendadas de esta solución cumple con los requisitos del Principio 5 mediante la creación de una cuenta de seguridad centralizada, conocida como cuenta de seguridad delegada. Esta cuenta recibe información de los servicios de seguridad que la solución activa de forma predeterminada, entre los que se incluyen los siguientes:
- Amazon GuardDuty, para supervisar, analizar y procesar continuamente los siguientes orígenes de datos en todas las cuentas del entorno de la solución:
- Amazon Macie, para respaldar la detección, la supervisión y la protección de datos confidenciales en Amazon S3 mediante el machine learning y la coincidencia de patrones.
- AWS Config, para proporcionar lo siguiente:
- Una vista detallada de la configuración de los recursos de AWS en todas las cuentas del entorno de la solución
- Recursos de auditoría según las reglas de cumplimiento (por ejemplo, identificar el almacenamiento que no esté cifrado en reposo)
- Normas de cumplimiento para verificar si hay algún incumplimiento
- AWS Security Hub, para proporcionar un panel único para ver las fuentes de los servicios anteriores. Esto permite al equipo de seguridad de una organización obtener una vista conjunta del estado del control de detección de amenazas y cumplimiento para mitigar las amenazas en un solo lugar.
- AWS Audit Manager, para admitir los informes de cumplimiento en toda la organización.
- Amazon Detective, para ayudar con las investigaciones de incidentes de seguridad.
-
Principio 6: seguridad del personal
Esta solución no proporciona configuraciones específicas que respalden el Principio 6. Sin embargo, la configuración de AWS para la seguridad de la nube puede ayudarle a cumplir los requisitos de este principio. Encontrará más información en los documentos sobre seguridad y cumplimiento de AWS, como los informes de las certificaciones ISO y PCI de AWS y de SOC. Puede descargar estos informes a través de AWS Artifact.
-
Principio 7: desarrollo seguro
Para cumplir con el Principio 7, esta solución proporciona una arquitectura que ha sido examinada por los arquitectos de soluciones de AWS como una solución bien diseñada, sólida, completa, basada en las prácticas recomendadas, prescriptiva y del mundo real. Esta solución puede ahorrarles tiempo y esfuerzo a los clientes gracias a la instalación y despliegue automatizados y de autoservicio al crear en AWS.
-
Principio 8: seguridad de la cadena de suministro
Esta solución no proporciona configuraciones específicas que respalden el Principio 8. Sin embargo, la configuración de AWS para la seguridad de la nube puede ayudarle a cumplir los requisitos de este principio. Encontrará más información en los documentos sobre seguridad y cumplimiento de AWS, como los informes de las certificaciones ISO y PCI de AWS y de SOC. Puede descargar estos informes a través de AWS Artifact.
-
Principio 9: administración segura de los usuariosEl ejemplo de configuración basada en prácticas recomendadas de esta solución cumple con los requisitos del Principio 9 mediante los siguientes controles:
- Configure AWS IAM Identity Center para administrar el acceso y los permisos de usuario en todas sus cuentas de AWS del entorno de la solución.
- Elimine las claves de acceso existentes para el usuario raíz de la cuenta de administración de la solución.
- Aplique AWS Identity and Access Management (IAM).
- Permita que IAM Access Analyzer le informe si el acceso es demasiado permisivo y le permita generar políticas de acceso con privilegios mínimos.
Esta solución le permite desplegar políticas de IAM basadas en las sugerencias del analizador de acceso. Hay un tutorial disponible en AWS Security Blog (Blog de seguridad de AWS).
-
Principio 10: identidad y autenticación
Esta solución no proporciona configuraciones específicas que respalden el Principio 10. Sin embargo, la configuración de AWS para la seguridad de la nube puede ayudarle a cumplir los requisitos de este principio. Encontrará más información en los documentos sobre seguridad y cumplimiento de AWS, como los informes de las certificaciones ISO y PCI de AWS y de SOC. Puede descargar estos informes a través de AWS Artifact.
-
Principio 11: protección de la interfaz externaEl ejemplo de configuración basada en prácticas recomendadas de esta solución cumple con los requisitos del Principio 11 mediante los siguientes controles:
- Configure AWS PrivateLink para garantizar que el tráfico entre los servicios de AWS no pase por la red pública de Internet.
-
Principio 12: administración segura de los servicios
Esta solución no proporciona configuraciones específicas que respalden el Principio 12. Sin embargo, la configuración de AWS para la seguridad de la nube puede ayudarle a cumplir los requisitos de este principio. Encontrará más información en los documentos sobre seguridad y cumplimiento de AWS, como los informes de las certificaciones ISO y PCI de AWS y de SOC. Puede descargar estos informes a través de AWS Artifact.
-
Principio 13: información de auditoría y alertas para los clientes
El ejemplo de configuración basada en prácticas recomendadas de esta solución cumple con los requisitos del Principio 13 mediante los siguientes controles:
- Configure AWS CloudTrail para registrar (y almacenar de forma segura durante 365 días) todas las acciones realizadas por un usuario, rol o servicio de AWS en todas las cuentas del entorno de la solución.
- Guarde los registros de CloudTrail en una cuenta de AWS independiente con acceso de solo lectura restringido para que estén protegidos contra modificaciones no autorizadas.
- Envíe alertas por correo electrónico cuando AWS Security Hub detecte un evento en los siguientes niveles de gravedad:
- Baja
- Media
- Alta
-
Principio 14: uso seguro del servicio
A fin de apoyar el Principio 14, ofrecemos esta solución para ayudar a los clientes que deseen adoptar las prácticas recomendadas de seguridad prescriptivas con AWS. Puede utilizar esta solución con otros recursos y servicios, como el marco AWS Well Architected y AWS Trusted Advisor, para implementar rápidamente arquitecturas seguras de manera predeterminada.
-
-
Canadá
-
Canadá
Creamos la configuración Cloud Medium del Centro Canadiense de Ciberseguridad (CCCS) (anteriormente Protected B, Medium Integrity, Medium Availability [PBMM]) para implementar una arquitectura dogmática y prescriptiva. Diseñamos esta arquitectura para ayudar a los clientes a abordar los controles necesarios para recibir una autoridad para operar (ATO), tal como se describe en el documento ITSP.50.105.
La implementación de esta configuración puede ser de ayuda para reducir el tiempo necesario para implementar los controles de Cloud Medium del CCCS de más de 90 días a 2 días. Heredar los controles incluidos en la evaluación de Cloud Medium del CCCS, junto con el uso de la solución Acelerador de zonas de aterrizaje en AWS para abordar los controles comunes que son responsabilidad del cliente, pueden acelerar el proceso de evaluación de la seguridad y autorización (SA&A).
Los clientes también pueden implementar las barreras de protección mínimas del Gobierno de Canadá (GC) como parte del marco de operacionalización de la nube del GC. Implementar las barreras de protección mínimas con la solución Acelerador de zonas de aterrizaje en AWS también le permite respaldar los controles de CCCS Cloud Medium si la sensibilidad de su carga de trabajo cambia. Ajustar los parámetros del archivo de configuración le permite implementar arquitecturas personalizadas para cumplir con los requisitos de una variedad de gobiernos y organizaciones del sector público.
Para instalar esta configuración, utilice el archivo de configuración de ejemplo de Acelerador de zonas de aterrizaje para CCCS Cloud Medium y las instrucciones en GitHub.
Nota: La solución Acelerador de zonas de aterrizaje en AWS es ahora la solución recomendada para las organizaciones del sector público que desean implementar un entorno de AWS en consonancia con los requisitos del perfil medio en la nube de CCCS. Anteriormente, los clientes del sector público canadiense que buscaban alinearse con el perfil Cloud Medium del CCCS implementaron Acelerador de entornos seguros de AWS para abordar los controles que son responsabilidad del cliente en el modelo de responsabilidad compartida. Las versiones 1.3.0 y posteriores de la solución Acelerador de zonas de aterrizaje en AWS ofrecen la misma cobertura de control que la solución Acelerador de entornos seguros de AWS. Si actualmente utiliza la solución Acelerador de entornos seguros de AWS, actualmente no hay una fecha límite para migrar a la solución Acelerador de zonas de aterrizaje en AWS.
-
-
Configuraciones del sector
Creamos las siguientes configuraciones específicas del sector para la solución Acelerador de zonas de aterrizaje en AWS a fin de alinearlas con las prácticas recomendadas de AWS y los marcos de cumplimiento específicos del sector. Seleccione el sector que desee para obtener instrucciones de implementación.
Nota: Los detalles sobre la seguridad de la nube se encuentran en los informes de seguridad y cumplimiento de terceros de AWS en AWS Artifact.
-
Aeroespacial
-
TI central (gobierno estatal y local de EE. UU.)
-
Educación
-
Finanzas (fiscal)
-
Sanidad
-
Seguridad nacional, defensa y cumplimiento de la ley nacional (fuera de EE. UU.)
-
Aeroespacial
-
VideoAWS Summit DC 2022: escalado de la gobernanza automatizada con el Acelerador de zonas de aterrizaje en AWSVea el video
Aeroespacial (EE. UU.)
Para respaldar los casos de uso aeroespaciales en los EE. UU., consulte nuestra guía de implementación para obtener instrucciones sobre cómo implementar esta solución en nuestras regiones de AWS GovCloud (EE. UU.). Hacerlo puede ser de utilidad para adaptarse a lo siguiente:
- Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP) categoría alta
- Guía de requisitos de seguridad de computación en la nube (CC SRG) del Departamento de Defensa (DoD) de EE. UU. para alojar cargas de trabajo de nivel de impacto (IL)4 e IL5
- Preparación para la certificación del modelo de madurez de ciberseguridad (CMMC) del DoD
- Requisitos de registro y retención del M-21-31
Si desea realizar la implementación en una de nuestras regiones de AWS del este o del oeste de EE. UU., siga las instrucciones generales de implementación de nuestra guía de implementación.
- Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP) categoría alta
-
TI central (gobierno estatal y local de EE. UU.)
-
TI central (gobierno estatal y local de EE. UU.)
Creamos la configuración de TI central del gobierno estatal y local de EE. UU. para proporcionar barreras de protección que ayuden a mitigar las amenazas a las que se enfrentan las organizaciones de TI centrales. Para respaldar estas organizaciones, esta configuración utiliza controles de los siguientes marcos:
- Controles de AWS del marco de seguridad cibernética del Instituto Nacional de Estándares y Tecnología (NIST)
- Configuraciones de control alineadas con la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA)
Paso 1. Ejecutar la pila
Ejecute la plantilla de AWS CloudFormation en su cuenta de AWS. Revise los parámetros de la plantilla e introduzca o ajuste los valores predeterminados según sea necesario. Consulte la guía de implementación de la solución para obtener instrucciones más detalladas.
Paso 2. Esperar a que se complete la implementación inicial del entorno
Espere a que la canalización AWSAccelerator-Pipeline finalice correctamente.
Pasos 3 y 4. Copiar y actualizar los archivos de configuración
Siga los pasos 3 y 4 de la información general del despliegue del ejemplo de configuración de TI central en GitHub de Acelerador de zonas de aterrizaje en AWS para gobiernos estatales y locales.
-
Educación
-
Educación
Creamos la configuración educativa para proporcionar barreras de protección que ayuden a mitigar las amenazas a las que se enfrentan las organizaciones educativas. Para respaldar estas organizaciones, esta configuración utiliza controles de los siguientes marcos:
- Reglamento sobre el tráfico internacional de armas (ITAR)
- Instituto Nacional de Normas y Tecnología (NIST) 800-171 (EE. UU.)
- NIST 800-53
- Certificación del modelo de madurez de ciberseguridad (CMMC)
Paso 1. Ejecutar la pila
Ejecute la plantilla de AWS CloudFormation en su cuenta de AWS. Revise los parámetros de la plantilla e introduzca o ajuste los valores predeterminados según sea necesario. Consulte la guía de implementación de la solución para obtener instrucciones más detalladas.
Paso 2. Esperar a que se complete la implementación inicial del entorno
Espere a que la canalización AWSAccelerator-Pipeline finalice correctamente.
Pasos 3 y 4. Copiar y actualizar los archivos de configuraciónSiga el paso 3 y el paso 4 de la información general de la implementación del ejemplo de configuración en GitHub de Acelerador de zonas de aterrizaje en AWS para la educación.
-
Finanzas (fiscal)
-
Finanzas (fiscal)
Creamos la configuración Finanzas (fiscal) para implementar una estructura de cuentas que se utiliza habitualmente con las cargas de trabajo tributarias, junto con controles de seguridad y configuraciones de red para proteger los datos de la información tributaria federal (FTI). Esta configuración se ajusta a los requisitos de la publicación 1075 del Servicio de Impuestos Internos (IRS) para cifrar los datos de FTI que alojan Amazon S3, Amazon EBS y Amazon FSx mediante claves administradas por el cliente (CMK) bajo el control del cliente.
Paso 1. Ejecutar la pila
Ejecute la plantilla de AWS CloudFormation en su cuenta de AWS. Revise los parámetros de la plantilla e introduzca o ajuste los valores predeterminados según sea necesario. Consulte la guía de implementación de la solución para obtener instrucciones más detalladas.
Paso 2. Esperar a que se complete la implementación inicial del entorno
Espere a que la canalización AWSAccelerator-Pipeline finalice correctamente.
Pasos 3 y 4. Copiar y actualizar los archivos de configuración
Siga el paso 3 y el paso 4 de la información general del despliegue del ejemplo de configuración en GitHub de Acelerador de zonas de aterrizaje en AWS para las finanzas (fiscal).
-
Sanidad
-
Sanidad
Creamos la configuración sanitaria para proporcionar barreras de protección que ayuden a mitigar las amenazas a las que se enfrentan las organizaciones sanitarias. Para respaldar estas organizaciones, esta configuración utiliza controles de los siguientes marcos:
- Ley de portabilidad y responsabilidad de seguros de salud (HIPAA)
- Centro Nacional de Ciberseguridad (NCSC)
- Esquema Nacional de Seguridad (ENS), categoría alta
- Catálogo de controles de cumplimiento de computación en la nube (C5)
- Fascicolo Sanitario Elettronico
Paso 1. Ejecutar la pila
Ejecute la plantilla de AWS CloudFormation en su cuenta de AWS. Revise los parámetros de la plantilla e introduzca o ajuste los valores predeterminados según sea necesario. Consulte la guía de implementación de la solución para obtener instrucciones más detalladas.
Paso 2. Esperar a que se complete la implementación inicial del entorno
Espere a que la canalización AWSAccelerator-Pipeline finalice correctamente.
Pasos 3 y 4. Copiar y actualizar los archivos de configuración
Siga el paso 3 y el paso 4 de la información general del despliegue del ejemplo de configuración en GitHub Acelerador de zonas de aterrizaje en AWS para la sanidad.
-
Seguridad nacional, defensa y cumplimiento de la ley nacional (fuera de EE. UU.)
-
Seguridad nacional, defensa y cumplimiento de la ley nacional (fuera de EE. UU.)
Las organizaciones nacionales de seguridad, defensa y cumplimiento de la ley de todo el mundo necesitan la escala, la presencia global, la agilidad y los servicios que la nube aporta a sus misiones críticas. Además, deben cumplir con los estrictos requisitos de seguridad y cumplimiento de sus datos. De forma creciente, estas organizaciones utilizan la nube hiperescalable global de AWS para cumplir con sus misiones y, al mismo tiempo, proteger sus datos confidenciales y sus cargas de trabajo.
Para que pueda acelerar estas misiones delicadas en la nube, desarrollamos Trusted Secure Enclaves Sensitive Edition (TSE-SE) para la seguridad nacional, la defensa y las fuerzas del orden nacionales. La arquitectura de referencia TSE-SE es una arquitectura de nube de AWS completa y multicuenta dirigida a cargas de trabajo de niveles confidenciales. Diseñamos esta arquitectura en colaboración con nuestros clientes de seguridad nacional, defensa, fuerzas del orden nacionales y gobiernos federales, provinciales y municipales para acelerar el cumplimiento de los requisitos de seguridad y cumplimiento estrictos y exclusivos.
Diseñamos esta arquitectura para ayudar a los clientes a abordar la administración central de identidades y accesos, la gobernanza, la seguridad de los datos, el registro integral y el diseño y la segmentación de la red, de acuerdo con marcos de seguridad como los del Instituto Nacional de Estándares y Tecnología (NIST) 800-53, la Guía de estándares de tecnología de la información (ITSG) -33, el Programa Federal de Administración de Riesgos y Autorizaciones (FedRAMP) moderado, el Programa de evaluadores registrados de seguridad de la información (IRAP) y otros perfiles de seguridad confidenciales, protegidos o de nivel medio.
Desarrollamos esta arquitectura de referencia utilizando los siguientes principios de diseño:
- Ofrecer resultados de seguridad alineados con un perfil de control de seguridad de nivel medio.
- Maximizar la agilidad, la escalabilidad y la disponibilidad y minimizar los costos.
- Permitir aprovechar todas las capacidades de la nube de AWS.
- Poder respaldar e incorporar el ritmo de innovación de AWS y las capacidades tecnológicas más recientes.
- Permitir un escalamiento automático sin problemas y proporcionar un ancho de banda ilimitado a medida que los requisitos de ancho de banda aumentan (o disminuyen) en función de la carga real de los clientes (un aspecto clave de la propuesta de valor de la computación en la nube).
- Diseñar arquitectura de alta disponibilidad: el diseño utiliza varias zonas de disponibilidad de AWS, de modo que la pérdida de una zona de disponibilidad no afecta a la disponibilidad de las aplicaciones.
- Operar con el privilegio mínimo: todas las entidades principales de las cuentas están diseñadas para operar con el conjunto de permisos más bajo posible.
- Ayudar a abordar las consideraciones de soberanía de los datos de los clientes.
Para obtener detalles arquitectónicos, consulte la arquitectura de referencia TSE-SE. Utilice el archivo de configuración y las instrucciones para instalar la arquitectura.
-
-
Regiones habilitadas de AWS
Algunas regiones de AWS no están activadas de forma predeterminada. Para implementar la solución Acelerador de zonas de aterrizaje en AWS en una de estas regiones de AWS, consulte nuestra guía de implementación.
Nota: Los detalles sobre la seguridad de la nube se encuentran en los informes de seguridad y cumplimiento de terceros de AWS en AWS Artifact.
Contenido relacionado
El Acelerador de zonas de aterrizaje para la sanidad es un despliegue específico del sector de la solución del Acelerador de zonas de aterrizaje en AWS. Está diseñada para que cumpla con las prácticas recomendadas de AWS y se ajuste a varios marcos de conformidad globales.
En esta entrada de blog, conozca los servicios de AWS que se mencionan explícitamente en el memorando M-21-31 sobre los requisitos de registro y retención a nivel EL1, y los recursos que puede utilizar para configurar estos servicios a fin de capturar los datos de registro necesarios.