déploiement de référence
Architecture standardisée pour UK-OFFICIAL sur AWS
Architecture cloud qui prend en charge NCSC et CIS pour les charges de travail UK-OFFICIAL
Ce Quick Start configure un environnement cloud Amazon Web Services (AWS) normalisé prenant en charge les charges de travail classées comme United-Kingdom (UK) OFFICIAL. Cette classification des données est associée à des conseils et à des contrôles qui aident les organisations du secteur public à gérer les risques et à assurer la sécurité lors de la gestion de ressources d'information.
L’environnement AWS créé par Quick Start suit les directives suivantes qui se conforment avec UK-OFFICIAL :
- Principes de sécurité dans le cloud du National Cyber Security Centre (NCSC)
- Contrôles de sécurité critique du Center for Internet Security (CIS)
Le modèle Quick Start configure automatiquement les ressources AWS et déploie une application Web multiniveau basée sur Linux. La matrice des contrôles de sécurité (Feuille de calcul Microsoft Excel) montre comment les composants de Quick Start correspondent aux exigences de sécurité du NCSC et du CIS.
Ce Quick Start fait partie d'un ensemble d'offres de conformité AWS, qui fournissent des solutions d'architecture axées sur la sécurité pour aider les Fournisseurs de Services Gérés (MSP), les équipes de provisionnement du cloud, les développeurs, les intégrateurs et les équipes de sécurité des informations à se conformer à des règles strictes en matière de sécurité, de conformité et de gestion des risques. Pour plus de déploiements dans cette catégorie, référez-vous au catalogue de Quick Starts.
Ce Quick Start a été développé par AWS.
-
Votre projet de création
-
Comment déployer
-
Coût et licences
-
Votre projet de création
-
Ce Quick Start déploie les composants et fonctions suivants :
- Quatre Amazon Virtual Private Clouds (VPC), chacun avec une architecture à plusieurs zones de disponibilité (Multi-AZ) :
- Un VPC de production pour les charges de travail des applications avec des sous-réseaux privés pour soutenir les services partagés.
- Un VPC de services partagés avec des sous-réseaux privés pour soutenir les services partagés (par exemple, Active Directory).
- Un VPC Internet pour un accès contrôlé à l'Internet avec des canaux de communication publics et privés séparés.
- Un point de terminaison de VPC avec des sous-réseaux privés pour permettre un accès direct aux services AWS.
- AWS Transit Gateway pour la communication entre VPC et la résiliation du réseau privé virtuel (VPN).
- Une connexion de peering pour le trafic entre les VPC d'Internet et les points de terminaison de VPC.
- Des proxies sortants pour traiter les demandes externes d'enregistrement et de conformité.
- Groupes de sécurité standard d'Amazon VPC (non indiqués) pour les instances, les équilibreurs de charge et les points de terminaison d'Amazon Elastic Compute Cloud (Amazon EC2).
- (Non illustré) Une application LAMP (Linux Apache MySQL PHP) utilisant Auto Scaling et Elastic Load Balancing, qui peut être modifiée ou amorcée à l'aide d'applications client.
- Amazon GuardDuty pour la saisie et l'analyse des événements de sécurité et la conformité.
- Journalisation, surveillance et alerte à l'aide des règles AWS Config , Amazon CloudWatch et AWS CloudTrail.
- Une configuration de base AWS Identity and Access Management (IAM) avec des stratégies IAM personnalisées, des groupes, des rôles et des profils d'instance associés.
- AWS Security Hub pour la conformité des audits.
- Amazon Route 53, un programme de résolution pour gérer le système de noms de domaine (DNS) privé partagé pour les services et les points de terminaison partagés entre les VPC.
- AWS Systems Manager, un gestionnaire de séances pour l'accès administratif aux instances de production-VPC.
- AWS Certificate Manager (ACM) pour stocker et déployer des certificats SSL (Secure Sockets Layer) vers les points de terminaison (pour permettre le chiffrement en transit).
- Quatre Amazon Virtual Private Clouds (VPC), chacun avec une architecture à plusieurs zones de disponibilité (Multi-AZ) :
-
Comment déployer
-
Avant de déployer le Quick Start, vérifiez que votre compte AWS est correctement configuré en vérifiant les limites de service et les paires de clés SSH, et puis en configurant AWS Config. Une fois ces conditions préalables complétées, vous pouvez créer l’environnement de référence Quick Start en suivant les instructions du guide de déploiement. Le processus de déploiement comprend les étapes suivantes :
- Connectez-vous à votre compte AWS sur https://aws.amazon.com.
- Lancez Quick Start. Le déploiement dure environ 30 minutes.
- Testez votre déploiement en vous connectant au site WordPress créé par ce Quick Start.
Le Quick Start est modulaire et personnalisable. Il inclut des modèles AWS CloudFormation imbriqués qui automatisent le déploiement et la configuration des ressources pour IAM, la journalisation, le VPC de production, le VPC de gestion, les règles AWS Config, le NAT et l'application Web. Vous pouvez déployer toute l'architecture, personnaliser ou enlever certaines ressources.
Amazon peut être amené à partager les informations relatives au déploiement des utilisateurs avec le partenaire AWS qui a élaboré cette solution en collaboration avec AWS.
-
Coût et licences
-
Vous êtes responsable du coût des services AWS utilisés pendant l'exécution de ce Quick Start. L'utilisation du Quick Start n'entraîne aucun coût supplémentaire.
Le modèle AWS CloudFormation pour ce Quick Start inclut des paramètres de configuration que vous pouvez personnaliser. Certains des paramètres, notamment le type d'instance, affectent le coût du déploiement. Consultez les pages de tarification pour les estimations de coûts de chaque service AWS que vous utilisez. Les prix sont susceptibles d'être modifiés.
Conseil : après avoir déployé le Quick Start, activez le rapport de coût et d'utilisation AWS pour transmettre les métriques de facturation à un compartiment Amazon Simple Storage Service (Amazon S3) de votre compte. Il fournit des estimations de coûts basées sur l'utilisation mensuelle du débit et agrège les données à la fin du mois. Pour en savoir plus sur le rapport, référez-vous à Présentation des rapports de coût et d'utilisation AWS.
