Présentation
La solution Landing Zone Accelerator sur AWS déploie un ensemble de fonctionnalités fondamentales conçues pour s'aligner sur les meilleures pratiques AWS et les multiples cadres de conformité mondiaux. Grâce à cette solution AWS, vous pouvez mieux gérer et gouverner votre environnement multi-comptes qui comporte des charges de travail hautement réglementées et des exigences de conformité complexes. Lorsqu'il est utilisé en coordination avec d'autres services AWS, il fournit une solution complète à faible code pour plus de 35 services AWS.
Remarque : cette solution, à elle seule, ne suffit pas à assurer votre conformité. Elle fournit l'infrastructure de base sur laquelle d'autres solutions complémentaires peuvent être intégrées.
Vous pouvez utiliser cette solution pour soutenir l'alignement sur des régions et des secteurs spécifiques.
Avantages
Configure automatiquement un environnement cloud adapté pour héberger des charges de travail sécurisées. Vous pouvez déployer cette solution dans toutes les régions AWS. Cela vous aide à maintenir la cohérence de vos opérations et de votre gouvernance dans les régions standard AWS, AWS GovCloud (US) et d'autres partitions non standard dans AWS.
Déployez cette solution dans une région AWS adaptée à la classification de vos données, et utilisez Amazon Macie pour détecter les données sensibles dans Amazon Simple Storage Service (Amazon S3). Cette solution vous permet également de déployer, d'exploiter et de gérer une stratégie de chiffrement gérée de manière centralisée à l'aide du système de gestion des clés AWS (AWS KMS).
Tirez parti d'une infrastructure de base pour le déploiement de charges de travail critiques dans un environnement multi-comptes géré de manière centralisée.
Détails techniques
Vous pouvez déployer automatiquement cette architecture à l'aide du guide d'implémentation et du modèle AWS CloudFormation qui l'accompagne.
Étape 1
Vous pouvez utiliser AWS CloudFormation pour installer cette solution dans votre environnement. Votre environnement doit répondre à des conditions préalables avant de déployer la solution. Le modèle CloudFormation fourni déploiera un AWS CodePipeline qui contient le moteur d'installation de l'Accélérateur de zone de destination sur AWS.
Étape 2
Le pipeline d'installation déploie les fonctions de base de la solution. Comme ce programme d'installation fonctionne séparément de l'infrastructure de la solution principale, vous pouvez effectuer la mise à jour vers les versions futures de la solution avec un seul paramètre via la console CloudFormation.
Étape 3
Un projet AWS CodeBuild fonctionne comme un moteur d'orchestration pour créer et exécuter l'application AWS Cloud Development Kit (AWS CDK) de la solution, qui déploie des piles CloudFormation sur chacun des comptes et régions AWS gérés de cette solution.
Étape 4
La solution déploie des rubriques Amazon Simple Notification Service (Amazon SNS) auxquelles vous pouvez vous abonner pour recevoir des alertes sur les événements du pipeline de base, ce qui peut augmenter l'observabilité de vos opérations du pipeline de base. En outre, la solution déploie deux clés gérées par le client AWS Key Management Service (AWS KMS) pour gérer le chiffrement au repos des dépendances de l'installateur et du pipeline de base.
Étape 5
Le pipeline de base valide et synthétise les entrées et déploie des piles CloudFormation supplémentaires avec AWS CDK. Un référentiel AWS CodeCommit, nommé aws-accelerator-config, stocke les fichiers de configuration utilisés par cette solution. Ces fichiers de configuration constituent le principal mécanisme de configuration et de gestion de la solution.
Étape 6
Un projet CodeBuild compile et valide la configuration de l'application AWS CDK de la solution.
Étape 7
Les différentes étapes de déploiement de CodeBuild déploient les ressources définies dans les fichiers de configuration de la solution dans votre environnement multi-comptes. Une étape facultative de révision manuelle peut être incluse, vous permettant de visualiser toutes les modifications que ces étapes appliqueront.
Étape 8
La solution déploie des ressources qui surveillent les événements du cycle de vie d'AWS Control Tower pour détecter les dérives potentielles par rapport à un bon état connu (en d'autres termes, lorsque la configuration réelle d'une ressource d'infrastructure diffère de sa configuration prévue). La solution déploie également des ressources qui peuvent automatiser l'inscription de nouveaux comptes AWS dans votre environnement multi-comptes.
Étape 9
La solution déploie des ressources de journalisation centralisées dans le compte « Log Archive » dans votre environnement multi-comptes. Cela inclut les ressources Amazon Kinesis pour diffuser et ingérer les journaux, les clés AWS KMS pour faciliter le chiffrement au repos, et les compartiments Amazon Simple Storage Service (Amazon S3) comme destinations de stockage des journaux.
Étape 10
Vous pouvez inscrire et approvisionner des comptes de charge de travail dans votre environnement multi-comptes avec une infrastructure supplémentaire via les fichiers de configuration de la solution. Au minimum, les nouveaux comptes sont dotés de ressources qui facilitent la diffusion des groupes de journaux Amazon CloudWatch vers l'infrastructure de journalisation centralisée dans le compte « Log Archive ».
Étape 1
Vous pouvez utiliser AWS CloudFormation pour installer cette solution dans votre environnement. Votre environnement doit répondre à des conditions préalables avant de déployer la solution. Le modèle CloudFormation fourni déploiera un AWS CodePipeline qui contient le moteur d'installation de l'Accélérateur de zone de destination sur AWS.
Étape 2
Le pipeline d'installation déploie les fonctions de base de la solution. Comme ce programme d'installation fonctionne séparément de l'infrastructure de la solution principale, vous pouvez effectuer la mise à jour vers les versions futures de la solution avec un seul paramètre via la console CloudFormation.
Étape 3
Un projet AWS CodeBuild fonctionne comme un moteur d'orchestration pour créer et exécuter l'application AWS Cloud Development Kit (AWS CDK) de la solution, qui déploie des piles CloudFormation sur chacun des comptes et régions AWS gérés de cette solution.
Étape 4
La solution déploie des rubriques Amazon Simple Notification Service (Amazon SNS) auxquelles vous pouvez vous abonner pour recevoir des alertes sur les événements du pipeline de base, ce qui peut augmenter l'observabilité de vos opérations du pipeline de base.
En outre, la solution déploie deux clés gérées par le client AWS Key Management Service (AWS KMS) pour gérer le chiffrement au repos des dépendances de l'installateur et du pipeline de base.
Étape 5
Le pipeline de base valide et synthétise les entrées et déploie des piles CloudFormation supplémentaires avec AWS CDK. Un référentiel AWS CodeCommit, nommé aws-accelerator-config, stocke les fichiers de configuration utilisés par cette solution. Ces fichiers de configuration constituent le principal mécanisme de configuration et de gestion de la solution.
Étape 6
Un projet CodeBuild compile et valide la configuration de l'application AWS CDK de la solution.
Étape 7
Les différentes étapes de déploiement de CodeBuild déploient les ressources définies dans les fichiers de configuration de la solution dans votre environnement multi-comptes. Une étape facultative de révision manuelle peut être incluse, vous permettant de visualiser toutes les modifications que ces étapes appliqueront.
Étape 8
La solution déploie des ressources qui surveillent les événements du cycle de vie d'AWS Control Tower pour détecter les dérives potentielles par rapport à un bon état connu (en d'autres termes, lorsque la configuration réelle d'une ressource d'infrastructure diffère de sa configuration prévue).
La solution déploie également des ressources qui peuvent automatiser l'inscription de nouveaux comptes AWS dans votre environnement multi-comptes.
Étape 9
La solution déploie des ressources de journalisation centralisées dans le compte « Log Archive » dans votre environnement multi-comptes. Cela inclut les ressources Amazon Kinesis pour diffuser et ingérer les journaux, les clés AWS KMS pour faciliter le chiffrement au repos, et les compartiments Amazon Simple Storage Service (Amazon S3) comme destinations de stockage des journaux.
Étape 10
Vous pouvez inscrire et approvisionner des comptes de charge de travail dans votre environnement multi-comptes avec une infrastructure supplémentaire via les fichiers de configuration de la solution. Au minimum, les nouveaux comptes sont dotés de ressources qui facilitent la diffusion des groupes de journaux Amazon CloudWatch vers l'infrastructure de journalisation centralisée dans le compte « Log Archive ».
- Date de publication
Prise en charge de région et de secteurs d'activité spécifiques
Choisissez parmi les options suivantes la manière de déployer la solution Accélérateur de zone de destination sur AWS afin de prendre en charge votre région ou votre secteur d'activité spécifique.
Important : ces ressources ne sont pas censées être complètes ou entièrement conformes, mais plutôt contribuer à accélérer les migrations vers le cloud et les efforts de refactorisation du cloud par les entités tenues de respecter des exigences de sécurité spécifiques à une région ou à un secteur d'activité. Bien que ces ressources puissent vous aider à réduire les efforts nécessaires pour créer manuellement une infrastructure prête à la production, vous devrez tout de même les adapter à vos besoins métier particuliers. Pour plus d'informations sur la manière d'utiliser AWS en conformité avec des exigences spécifiques, consultez les programmes de conformité AWS. Consultez votre équipe AWS pour comprendre les contrôles qui répondent à vos besoins.
-
Configurations régionales
Nous avons mis en place les configurations géographiques suivantes pour la solution Accélérateur de zone de destination sur AWS afin de nous aligner sur les bonnes pratiques d'AWS et les cadres de conformité spécifiques à chaque pays. Sélectionnez la région géographique de votre choix pour obtenir des instructions de déploiement.
Remarque : les détails relatifs à la sécurité du cloud figurent dans les rapports de sécurité et de conformité des tiers AWS dans AWS Artifact.
-
États-Unis
-
Royaume-Uni (UK)
-
Canada
-
États-Unis
-
États-Unis (USA)
Consultez notre guide de mise en œuvre pour découvrir comment déployer cette solution dans nos régions AWS GovCloud (US). Cela peut vous aider à vous aligner sur :
- Programme fédéral de gestion des risques et des autorisations (FedRAMP) Élevé
- Guide des exigences de sécurité de cloud computing du ministère de la défense (CC SRG) pour l'hébergement de charges de travail de niveau d'impact (IL)4 et IL5
- Préparation à la certification du modèle de maturité de la cybersécurité du DoD (CMMC)
- M-21-31 exigences en matière d'enregistrement et de conservation
Si vous souhaitez effectuer un déploiement dans l'une de nos Régions AWS USA Est ou USA Ouest, suivez les instructions générales de déploiement de notre guide de mise en œuvre.
- Programme fédéral de gestion des risques et des autorisations (FedRAMP) Élevé
-
Royaume-Uni (UK)
-
Royaume-Uni (UK)
Le National Cyber Security Centre (NCSC) a publié des directives de sécurité sur le cloud pour permettre aux utilisateurs de stocker et de traiter des données dans le cloud, ou d'utiliser des plateformes cloud pour créer et héberger leurs propres services en toute sécurité. Sélectionnez l'un des principes ci-dessous pour découvrir comment l'exemple de configuration de l'Accélérateur de zone de destination sur AWS peut vous aider à répondre à ces exigences.
-
Principe 1 : protection des données en transitPour répondre aux exigences du principe 1, vous pouvez implémenter les contrôles suivants en plus de l'exemple de configuration des bonnes pratiques de la solution :
- Amazon S3 uniquement : appliquez au minimum un protocole TLS (Transport Layer Security) 1.2 via une politique de contrôle des services (SCP) qui refuse toutes les actions si s3:TLSVersion est inférieur à la version 1.2.
- Amazon S3 Object Lambda uniquement : appliquez au minimum un protocole TLS 1.2 via une SCP qui refuse toutes les actions si s3-Object-Lambda:TlsVersion est inférieure à la version 1.2.
- Amazon ElastiCache uniquement : applique le protocole TLS à l'opération CreateReplicationGroup via une SCP qui refuse l'action si elasticache:TransitEncryptionEnabled est faux.
-
Principe 2 : protection et résilience des ressourcesL'exemple de configuration des bonnes pratiques de cette solution répond aux exigences du principe 2 grâce aux contrôles suivants :
- Configurez AWS Control Tower pour interdire l'accès aux services AWS dans certaines régions (par exemple, les régions situées dans des zones géographiques n'ayant pas d'accord d'accès aux données avec le Royaume-Uni).
- AWS Control Tower autorise et configure AWS Config pour suivre le déploiement et la configuration des ressources AWS. La mise à disposition d'une base de données de gestion de la configuration que les clients peuvent utiliser pour la visibilité et la réalisation d'audits automatisés spécifiques peut contribuer à garantir la conformité.
- Cette solution met en œuvre des contrôles de conformité visant à garantir la conformité avec la protection des ressources (par exemple, des contrôles tels que l'identification du stockage non chiffré et les équilibreurs de charge qui ne sont pas configurés pour exporter les journaux d'accès vers le compte d'archivage central ou les points de terminaison sans chiffrement TLS).
Pour plus de sécurité, vous pouvez implémenter les contrôles suivants :- Interdire à certains services d'intelligence artificielle AWS de stocker et d'utiliser le contenu des clients traité par ces services pour le développement et l'amélioration continue d'autres services AWS.
- Appliquer le chiffrement au repos en refusant la création ou la mise à jour de certaines ressources si elles ne sont pas chiffrées. Vous pouvez le faire en ajoutant les conditions suivantes aux SCP :
- Amazon EC2 en définissant "ec2:Encrypted": "true"
- Amazon EFS en définissant "elasticfilesystem:Encrypted": "true"
- Amazon RDS en définissant "rds:StorageEncrypted": "true"
- Amazon S3 en définissant "s3:x-amz-server-side-encryption": "aws:kms"
- Amazon ElastiCache en définissant "elasticache:AtRestEncryptionEnabled": "true"
-
Principe 3 : séparation entre les clients
La configuration d'AWS pour la sécurité du cloud peut vous aider à répondre aux exigences du principe 3. Pour plus de détails sur la mise en œuvre, nous vous recommandons de consulter le livre blanc sur la séparation logique sur AWS . Vous trouverez de plus amples informations dans les documents de sécurité et de conformité d'AWS, tels que les certifications de l'Organisation internationale de normalisation (ISO) d'AWS, les certifications de l'industrie des cartes de paiement (PCI) et les rapports de contrôle des systèmes et des organisations (SOC). Vous pouvez télécharger ces rapports via AWS Artifact.
-
Principe 4 : cadre de gouvernancePour comprendre la gouvernance élargie qu'AWS met en œuvre pour la gestion de ses services, consultez les documents relatifs à la sécurité et à la conformité d'AWS, tels que les certifications ISO et PCI d'AWS et les rapports SOC. Vous pouvez télécharger ces rapports via AWS Artifact.La gouvernance est tout aussi importante au sein de votre environnement lorsqu'il s'agit de satisfaire aux exigences du principe 4. Nous avons conçu l'architecture prescriptive (séparation de la sécurité, de la journalisation et des fonctions réseau essentielles dans des comptes isolés) et les contrôles (voir le principe 5) mis en œuvre par cette solution pour vous aider à gagner en visibilité sur vos ressources AWS, à mettre en œuvre des contrôles automatisés de manière centralisée et à établir et appliquer une gouvernance dans vos environnements cloud.
-
Principe 5 : sécurité opérationnelleL'exemple de configuration des bonnes pratiques de cette solution répond aux exigences du principe 5 en créant un compte de sécurité centralisé, appelé compte de sécurité délégué. Ce compte reçoit des informations des services de sécurité que la solution active par défaut, notamment les suivants :
- Amazon GuardDuty surveille, analyse et traite en permanence les sources de données suivantes dans tous les comptes de l'environnement de la solution :
- Amazon Macie pour la découverte, la surveillance et la protection des données sensibles dans Amazon S3 à l'aide du machine learning et de la correspondance des motifs.
- AWS Config pour fournir :
- Une vue détaillée de la configuration des ressources AWS dans tous les comptes de l'environnement de la solution ;
- Des ressources d'audit par rapport aux règles de conformité (par exemple, identifier le stockage qui n'est pas chiffré au repos) ;
- Des règles de conformité pour vérifier la non-conformité.
- AWS Security Hub pour fournir un tableau de bord unique permettant de visualiser les flux des services précédents. Cela permet à l'équipe de sécurité de l'organisation d'avoir une vue d'ensemble sur l'état de la détection des menaces et des contrôles de conformité afin d'atténuer les menaces de manière centralisée.
- AWS Audit Manager pour prendre en charge la production de rapports de conformité au sein de l'organisation.
- Amazon Detective pour vous aider dans les enquêtes sur les incidents de sécurité.
-
Principe 6 : sécurité du personnel
Cette solution ne fournit pas de configurations spécifiques pour prendre en charge le principe 6. Cependant, la configuration d'AWS pour la sécurité du cloud vous aide à répondre aux exigences de ce principe. Vous trouverez de plus amples informations dans les documents relatifs à la sécurité et à la conformité d'AWS, tels que les certifications ISO et PCI d'AWS et les rapports SOC. Vous pouvez télécharger ces rapports via AWS Artifact.
-
Principe 7 : développement sécurisé
Pour prendre en charge le principe 7, cette solution fournit une architecture qui a été approuvée par les architectes de solutions AWS en tant que solution Well-Architected, robuste, complète, conforme aux bonnes pratiques, prescriptive et réaliste. Cette solution peut vous faire gagner du temps et économiser des efforts grâce à l'installation et au déploiement automatisés en libre-service lorsque vous vous basez sur AWS.
-
Principe 8 : sécurité de la chaîne d'approvisionnement
Cette solution ne fournit pas de configurations spécifiques pour prendre en charge le principe 8. Cependant, la configuration d'AWS pour la sécurité du cloud vous aide à répondre aux exigences de ce principe. Vous trouverez de plus amples informations dans les documents relatifs à la sécurité et à la conformité d'AWS, tels que les certifications ISO et PCI d'AWS et les rapports SOC. Vous pouvez télécharger ces rapports via AWS Artifact.
-
Principe 9 : gestion sécurisée des utilisateursL'exemple de configuration des bonnes pratiques de cette solution répond aux exigences du principe 9 grâce aux contrôles suivants :
- Configurer AWS IAM Identity Center pour vous aider à gérer l'accès et les autorisations des utilisateurs sur tous vos comptes AWS au sein de l'environnement de la solution.
- Supprimer les clés d'accès existantes pour l'utilisateur root du compte de gestion de la solution.
- Appliquez la gestion des identités et des accès AWS (IAM).
- Permettre à IAM Access Analyzer de signaler les accès trop permissifs et de contribuer à l'élaboration de politiques d'accès au moindre privilège.
Cette solution vous aide à déployer des politiques IAM en fonction des suggestions de l'analyseur d'accès. Une procédure pas à pas est disponible sur le blog sur la sécurité AWS.
-
Principe 10 : identité et authentification
Cette solution ne fournit pas de configurations spécifiques pour prendre en charge le principe 10. Cependant, la configuration d'AWS pour la sécurité du cloud vous aide à répondre aux exigences de ce principe. Vous trouverez de plus amples informations dans les documents relatifs à la sécurité et à la conformité d'AWS, tels que les certifications ISO et PCI d'AWS et les rapports SOC. Vous pouvez télécharger ces rapports via AWS Artifact.
-
Principe 11 : protection des interfaces externesL'exemple de configuration des bonnes pratiques de cette solution répond aux exigences du principe 11 grâce aux contrôles suivants :
- Configurer AWS PrivateLink pour vous assurer que le trafic entre les services AWS ne passe pas par l'internet public.
-
Principe 12 : administration sécurisée des services
Cette solution ne fournit pas de configurations spécifiques pour prendre en charge le principe 12. Cependant, la configuration d'AWS pour la sécurité du cloud vous aide à répondre aux exigences de ce principe. Vous trouverez de plus amples informations dans les documents relatifs à la sécurité et à la conformité d'AWS, tels que les certifications ISO et PCI d'AWS et les rapports SOC. Vous pouvez télécharger ces rapports via AWS Artifact.
-
Principe 13 : informations d'audit et alertes
L'exemple de configuration des bonnes pratiques de cette solution répond aux exigences du principe 13 grâce aux contrôles suivants :
- Configurer AWS CloudTrail pour enregistrer et stocker en toute sécurité pendant 365 jours toutes les actions effectuées par un utilisateur, un rôle ou un service AWS sur tous les comptes de l'environnement de la solution.
- Stocker les journaux CloudTrail sur un compte AWS distinct avec un accès restreint en lecture seule afin de vous protéger contre toute modification non autorisée.
- Envoyer des alertes par e-mail lorsqu'AWS Security Hub détecte un événement aux niveaux de gravité suivants :
- Faible
- Moyen
- Élevées
-
Principe 14 : utilisation sécurisée du service
Conformément au principe 14, nous proposons cette solution pour aider les clients qui souhaitent adopter des bonnes pratiques de sécurité prescriptives avec AWS. Vous pouvez utiliser cette solution avec d'autres ressources et services tels que le cadre AWS Well Architected et AWS Trusted Advisor pour vous aider à mettre en œuvre rapidement des architectures sécurisées par conception.
-
-
Canada
-
Canada
Nous avons créé la configuration Cloud Medium du Centre canadien pour la cybersécurité (CCCS) (anciennement Protected B, Medium Integrity, Medium Availability [PBMM]) pour déployer une architecture prescriptive et catégorique. Nous avons conçu cette architecture pour aider les clients à effectuer les contrôles requis pour obtenir une autorisation d'exploitation (ATO), comme décrit dans l'ITSP.50.105.
Le déploiement de cette configuration peut vous aider à accélérer la mise en œuvre des contrôles CCCS Cloud Medium, la ramenant de plus de 90 jours à seulement 2 jours. Les contrôles couverts par l'évaluation CCCS Cloud Medium, associés à la solution Accélérateur de zone de destination sur AWS pour traiter les contrôles communs qui relèvent de la responsabilité du client, peuvent accélérer le processus d'évaluation et d'autorisation de sécurité.
Vous pouvez également respecter les exigences minimales du gouvernement du Canada (GC) dans le cadre d'opérationnalisation du cloud du GC. Le respect des barrières de protection minimales avec la solution Accélérateur de zone de destination sur AWS vous permet également de prendre en charge les contrôles CCCS Cloud Medium si la sensibilité de votre charge de travail évolue. Le réglage des paramètres dans le fichier de configuration vous permet de déployer des architectures personnalisées pour répondre aux exigences d'un large éventail d'organisations gouvernementales et du secteur public.
Pour installer cette configuration, utilisez l'exemple de fichier de configuration et les instructions de l'accélération de zone de destination pour CCCS Cloud Medium sur GitHub.
Remarque : la solution Accélérateur de zone de destination sur AWS est désormais la solution recommandée pour les organisations du secteur public qui souhaitent déployer un environnement AWS conforme aux exigences du profil CCCS Cloud Medium. Auparavant, les clients du secteur public canadien qui souhaitaient s'aligner sur le profil CCCS Cloud Medium déployaient l'accélérateur d'environnement sécurisé AWS pour mettre en place les contrôles qui relèvent de la responsabilité du client dans le cadre du modèle de responsabilité partagée. Les versions 1.3.0 et supérieures de la solution Accélérateur de zone de destination sur AWS offrent la même couverture de contrôle que la solution AWS Secure Environment Accelerator. Si vous utilisez actuellement la solution AWS Secure Environment Accelerator, il n'y a pas de date limite pour migrer vers la solution Accélérateur de zone de destination sur AWS.
-
-
Configurations de l'industrie
Nous avons mis au point les configurations sectorielles suivantes pour la solution Accélérateur de zone de destination sur AWS afin de nous aligner sur les bonnes pratiques d'AWS et les cadres de conformité spécifiques à chaque secteur d'activité. Sélectionnez le secteur de votre choix pour obtenir des instructions de déploiement.
Remarque : les détails relatifs à la sécurité du cloud figurent dans les rapports de sécurité et de conformité des tiers AWS dans AWS Artifact.
-
Aérospatiale
-
Informatique centrale (administrations fédérales et locales des États-Unis)
-
Enseignement
-
Finances (taxes)
-
Soins de santé
-
Sécurité nationale, défense et police nationale (en dehors des États-Unis)
-
Aérospatiale
-
VidéoSommet AWS DC 2022 : mise à l'échelle de la gouvernance automatisée avec Accélérateur de zone de destination sur AWSRegarder la vidéo
Aérospatiale (US)
Pour prendre en charge les cas d'utilisation du secteur aérospatial aux États-Unis, consultez notre guide de mise en œuvre pour découvrir comment déployer cette solution dans nos régions AWS GovCloud (US). Cela peut vous aider à vous aligner sur :
- Programme fédéral de gestion des risques et des autorisations (FedRAMP) Élevé
- Guide des exigences de sécurité de cloud computing du ministère de la défense (CC SRG) pour l'hébergement de charges de travail de niveau d'impact (IL)4 et IL5
- Préparation à la certification du modèle de maturité de la cybersécurité du DoD (CMMC)
- M-21-31 exigences en matière d'enregistrement et de conservation
Si vous souhaitez effectuer un déploiement dans l'une de nos Régions AWS USA Est ou USA Ouest, suivez les instructions générales de déploiement de notre guide de mise en œuvre.
- Programme fédéral de gestion des risques et des autorisations (FedRAMP) Élevé
-
Informatique centrale (administrations fédérales et locales des États-Unis)
-
Informatique centrale (administrations fédérales et locales des États-Unis)
Nous avons élaboré la configuration informatique centrale des États et des collectivités locales des États-Unis afin de fournir des barrières de protection permettant d'atténuer les menaces auxquelles sont confrontées les organisations informatiques centrales. Pour soutenir ces organisations, cette configuration utilise les contrôles des cadres suivants :
- Contrôles AWS du cadre de cybersécurité du National Institute of Standards and Technology (NIST)
- Configurations de contrôle optionnelles conformes à la loi HIPAA (Health Insurance Portability and Accountability Act)
Étape 1. Lancement de la pile
Lancez le modèle AWS CloudFormation sur votre compte AWS. Examinez les paramètres du modèle et saisissez ou ajustez les valeurs par défaut selon vos besoins. Consultez le guide de mise en œuvre de la solution pour obtenir des instructions plus détaillées.
Étape 2. Attendre le déploiement initial de l'environnement
Attendez l'achèvement du pipeline AWSAccelerator-Pipeline.
Étapes 3 et 4. Copier et mettre à jour les fichiers de configuration
Suivez les étapes 3 et 4 de l'aperçu du déploiement pour l'exemple de configuration de l'Accélérateur de zone de destination sur AWS pour l'informatique centrale des administrations fédérales et locales sur GitHub.
-
Enseignement
-
Enseignement
Nous avons conçu la configuration Enseignement pour fournir des barrières de protection permettant d'atténuer les menaces auxquelles sont confrontées les organisations du secteur de l'éducation. Pour soutenir ces organisations, cette configuration utilise les contrôles des cadres suivants :
- Normes américaines ITAR (International Traffic in Arms Regulations)
- Institut américain des normes et de la technologie 800-171 (NIST, National Institute of Standards and Technology)
- NIST 800-53
- Cybersecurity Maturity Model Certification (CMMC)
Étape 1. Lancement de la pile
Lancez le modèle AWS CloudFormation sur votre compte AWS. Examinez les paramètres du modèle et saisissez ou ajustez les valeurs par défaut selon vos besoins. Consultez le guide de mise en œuvre de la solution pour obtenir des instructions plus détaillées.
Étape 2. Attendre le déploiement initial de l'environnement
Attendez l'achèvement du pipeline AWSAccelerator-Pipeline.
Étapes 3 et 4. Copier et mettre à jour les fichiers de configurationSuivez l'étape 3 et l'étape 4 de l'aperçu du déploiement de l'exemple de configuration de l'accélérateur de zone de destination sur AWS pour l'enseignement sur GitHub.
-
Finances (taxes)
-
Finances (taxes)
Nous avons conçu la configuration Finance (taxes) pour déployer une structure de comptes couramment utilisée avec les charges de travail fiscales, ainsi que des contrôles de sécurité et des configurations de réseau pour sécuriser les informations fiscales fédérales (FTI). Cette configuration est conforme aux exigences de l'Internal Revenue Service (IRS)-1075 qui imposent de chiffrer Amazon S3, Amazon EBS et Amazon FSx hébergeant des données FTI à l'aide de clés gérées par le client (CMK) sous le contrôle du client.
Étape 1. Lancement de la pile
Lancez le modèle AWS CloudFormation sur votre compte AWS. Examinez les paramètres du modèle et saisissez ou ajustez les valeurs par défaut selon vos besoins. Consultez le guide de mise en œuvre de la solution pour obtenir des instructions plus détaillées.
Étape 2. Attendre le déploiement initial de l'environnement
Attendez l'achèvement du pipeline AWSAccelerator-Pipeline.
Étapes 3 et 4. Copier et mettre à jour les fichiers de configuration
Suivez l'étape 3 et l'étape 4 de l'aperçu du déploiement pour l'exemple de configuration de l'Accélérateur de zone de destination sur AWS pour la Finance (taxes) sur GitHub.
-
Soins de santé
-
Soins de santé
Nous avons conçu la configuration Santé pour fournir des barrières de protection permettant d'atténuer les menaces auxquelles sont confrontées les organisations du secteur de soins de santé. Pour soutenir ces organisations, cette configuration utilise les contrôles des cadres suivants :
- La Health Insurance Portability and Accountability Act (HIPAA)
- Le National Cyber Security Centre (NCSC)
- La Esquema Nacional de Seguridad (ENS) Élevé
- Cloud Computing Compliance Controls Catalog (C5)
- Fascicolo Sanitario Electronico
Étape 1. Lancement de la pile
Lancez le modèle AWS CloudFormation sur votre compte AWS. Examinez les paramètres du modèle et saisissez ou ajustez les valeurs par défaut selon vos besoins. Consultez le guide de mise en œuvre de la solution pour obtenir des instructions plus détaillées.
Étape 2. Attendre le déploiement initial de l'environnement
Attendez l'achèvement du pipeline AWSAccelerator-Pipeline.
Étapes 3 et 4. Copier et mettre à jour les fichiers de configuration
Suivez l'étapes 3 et l'étape 4 de l'aperçu du déploiement pour l'exemple de configuration de l'Accélérateur de zone de destination sur AWS pour la Santé sur GitHub.
-
Sécurité nationale, défense et police nationale (en dehors des États-Unis)
-
Sécurité nationale, défense et police nationale (en dehors des États-Unis)
Les organisations de sécurité nationale, de défense et de police nationale du monde entier ont besoin de l'échelle, de la présence mondiale, de l'agilité et des services que le cloud apporte à leurs missions essentielles, tout en étant tenues de respecter des exigences strictes en matière de sécurité et de conformité pour leurs données. Ces organisations tirent de plus en plus parti du cloud mondial à très grande échelle d'AWS pour mener à bien leurs missions tout en préservant la sécurité de leurs données sensibles et de leurs charges de travail.
Pour vous aider à accélérer ces missions sensibles dans le cloud, nous avons développé Trusted Secure Enclaves Sensitive Edition (TSE-SE) pour la sécurité nationale, la défense et les forces de l'ordre. L'architecture de référence TSE-SE est une architecture Cloud AWS complète et multi-comptes qui cible les charges de travail sensibles. Nous avons conçu cette architecture en collaboration avec nos clients des secteurs de la sécurité nationale, de la défense, de la police nationale et des administrations fédérales, régionales et municipales, afin d'accélérer la mise en conformité avec des exigences strictes et uniques en matière de sécurité et de conformité.
Nous avons conçu cette architecture pour aider les clients à assurer la gestion centralisée des identités et des accès, la gouvernance, la sécurité des données, la journalisation complète, ainsi que la conception et la segmentation du réseau, conformément aux cadres de sécurité tels que le National Institute of Standards and Technology (NIST) 800-53, l'Information Technology Standards Guidance (ITSG)-33, le Federal Risk and Authorization Management Program (FedRAMP) Moderate, l'Information Security Registered Assessors Program (IRAP), et d'autres profils de sécurité de niveau sensible, protégé ou moyen.
Nous avons développé cette architecture de référence en nous appuyant sur les principes de conception suivants :
- Obtenir des résultats en matière de sécurité conformes à un profil de contrôle de sécurité de niveau moyen.
- Optimiser l'agilité, la capacité de mise à l'échelle et la disponibilité, tout en minimisant les coûts.
- Profiter de toutes les fonctionnalités du Cloud AWS.
- Rester ouvert pour soutenir et intégrer le rythme d'innovation d'AWS et les capacités technologiques les plus récentes.
- Permettre une mise à l'échelle automatique transparente et fournir une bande passante illimitée à mesure que les besoins augmentent (ou diminuent) en fonction de la charge réelle du client (un aspect clé de la proposition de valeur du cloud computing).
- Architecte pour la haute disponibilité : la conception utilise plusieurs zones de disponibilité AWS, de sorte que la perte d'une zone de disponibilité n'a pas d'impact sur la disponibilité des applications.
- Fonctionner avec le principe du moindre privilège : tous les principaux des comptes sont censés fonctionner avec l'ensemble d'autorisations le moins élevées possible.
- Aider à répondre aux considérations relatives à la souveraineté des données des clients.
Pour plus de détails architecturaux, reportez-vous à l'architecture de référence TSE-SE. Utilisez le fichier de configuration et les instructions pour installer l'architecture.
-
-
Régions AWS à activer
Certaines Régions AWS ne sont pas activées par défaut. Pour déployer la solution Accélérateur de zone de destination sur AWS dans l'une de ces Régions AWS, consultez notre guide de mise en œuvre.
Remarque : les détails relatifs à la sécurité du cloud figurent dans les rapports de sécurité et de conformité des tiers AWS dans AWS Artifact.
Rubriques connexes
L'accélérateur de zone de destination pour la santé est un déploiement sectoriel spécifique de la solution Accélérateur de zone de destination sur AWS. La solution est conçue pour s'aligner sur les bonnes pratiques d'AWS et se conformer à de nombreux cadres de conformités mondiaux.
Dans cet article de blog, découvrez les services d'AWS qui ont été explicitement mentionnés dans le mémorandum M-21-31 concernant les exigences de journalisation et de conservation au niveau EL1, ainsi que les ressources que vous pouvez utiliser pour configurer ces services afin de capturer les données de journalisation requises.