a11y-skip-to-main-content

Pustaka Solusi AWS

Panduan untuk Enklaf Aman Tepercaya Di AWS

Lindungi dan isolasi beban kerja Anda yang sangat sensitif dengan enklaf yang aman

Gambaran Umum

Panduan ini menunjukkan cara Anda dapat membangun arsitektur cloud yang komprehensif untuk beban kerja yang sensitif dalam bidang keamanan nasional, pertahanan, dan penegakan hukum nasional. Dengan memanfaatkan arsitektur multi-akun di AWS, Anda dapat menyampaikan misi sambil menjaga data sensitif dan beban kerja tetap aman. Panduan ini didesain untuk membantu Anda memenuhi persyaratan keamanan dan kepatuhan yang ketat dan unik, yang menangani manajemen identitas dan akses pusat, tata kelola, keamanan data, pembuatan log komprehensif, dan desain jaringan serta segmentasi yang selaras dengan berbagai kerangka kerja keamanan AS.

Cara Kerjanya

Gambaran Umum

Diagram arsitektur ini menunjukkan cara mengonfigurasikan beban kerja multiakun yang komprehensif dengan persyaratan keamanan dan kepatuhan yang unik.

Unduh Diagram Arsitektur
Architecture diagram illustrating AWS Trusted Secure Enclaves, showing the organization management account, security accounts, infrastructure accounts, sensitive application OUs, and network connections to a corporate data center and the internet.

Akun Manajemen Organisasi

Diagram arsitektur ini menunjukkan cara suatu organisasi dapat mengelompokkan banyak akun yang semuanya dikendalikan oleh satu entitas pelanggan. Ikuti langkah-langkah dalam diagram arsitektur ini untuk men-deploy bagian Akun Manajemen Organisasi dari Panduan ini.

Unduh Diagram Arsitektur
Architecture diagram illustrating AWS Trusted Secure Enclaves organization management. The diagram shows organizational units (Security OU, Infrastructure OU, Dev OU, Prod OU, Central OU, Test OU), AWS KMS, SCPs, and integration with a Virtual Private Cloud (VPC), AD Connector, AWS IAM Identity Center, and corporate users.

Akun Keamanan

Diagram arsitektur ini menunjukkan cara mengonfigurasikan kumpulan log komprehensif secara terpusat di seluruh layanan dan akun AWS. Ikuti langkah-langkah dalam diagram arsitektur ini untuk men-deploy bagian Akun Keamanan dari Panduan ini.

Unduh Diagram Arsitektur
Architecture diagram illustrating AWS trusted and secure enclave organization security, showing management and security accounts, log archive (Amazon S3, CloudWatch, CloudTrail), and security tooling such as GuardDuty, Security Hub, AWS Config, Firewall Manager, Macie, IAM Access Analyzer, and Alarm.

Akun Infrastruktur

Diagram arsitektur ini menunjukkan cara terbentuknya lingkungan jaringan terpusat dan terisolasi dengan Cloud Privat Virtual (VPC). Ikuti langkah-langkah dalam diagram arsitektur ini untuk men-deploy bagian Akun Infrastruktur dari Panduan ini.

Unduh Diagram Arsitektur
Architecture diagram showing an AWS infrastructure design for trusted secure enclaves. The diagram illustrates the organization management account, infrastructure accounts for operations and DevOps, shared network components, perimeter security including AWS Network Firewall, ELB, AWS WAF, NAT gateway, and integration with corporate data centers via AWS Direct Connect. The layout demonstrates central VPCs, CI/CD tooling, firewalls, and connectivity to the internet.

Aplikasi, Komunitas, Tim, atau Akun Grup (Sensitif)

Diagram arsitektur ini menunjukkan cara mengonfigurasikan segmentasi dan pemisahan di antara beban kerja yang termasuk dalam berbagai tahapan dalam siklus pengembangan perangkat lunak, atau di antara peran administrasi IT yang berbeda. Ikuti langkah-langkah dalam diagram arsitektur ini untuk men-deploy bagian Aplikasi, Komunitas, Tim, atau Akun Grup dari Panduan ini. 

Unduh Diagram Arsitektur
Architecture diagram showing the AWS Trusted Secure Enclaves setup for sensitive accounts, including organization management accounts, organizational units, and teams (Dev, Test, Prod, Shared) using VPCs, AWS Nitro System hosts, ELB, and AWS WAF.

Pilar Well-Architected

Diagram arsitektur di atas adalah contoh Solusi yang dibuat dengan mempertimbangkan praktik terbaik Well-Architected. Untuk menjadi Well-Architected sepenuhnya, Anda perlu mengikuti sebanyak mungkin praktik terbaik Well-Architected.

    Panduan ini menggunakan tumpukan dan konfigurasi Organisasi dengan AWS CloudFormation untuk menciptakan fondasi yang aman bagi lingkungan AWS Anda. Panduan ini menyediakan solusi infrastruktur sebagai kode (IaC) yang mempercepat implementasi kontrol keamanan teknis Anda. Aturan konfigurasi meremediasi delta konfigurasi apa pun yang telah ditentukan agar tidak berdampak negatif terhadap arsitektur yang ditentukan. Anda dapat menggunakan infrastruktur komersial global AWS untuk beban kerja rahasia yang sensitif dan mengotomatiskan sistem aman untuk mengirimkan misi dengan lebih cepat sambil terus meningkatkan proses dan prosedur Anda.

    Baca Laporan Resmi Keunggulan Operasional

    Panduan ini menggunakan Organisasi untuk memfasilitasi deployment batasan pengaman organisasi, seperti pembuatan log API dengan CloudTrail. Panduan ini juga menyediakan kontrol pencegahan menggunakan AWS SCP preskriptif sebagai mekanisme pagar pembatas, terutama digunakan untuk menolak kategori API tertentu atau keseluruhan dalam lingkungan Anda (guna memastikan beban kerja hanya diterapkan di Region yang ditentukan) atau menolak akses ke layanan AWS tertentu. Log CloudTrail dan CloudWatch mendukung pengumpulan log komprehensif yang ditentukan dan sentralisasi di seluruh layanan dan akun AWS. Kemampuan keamanan AWS dan banyak layanan yang relevan dengan keamanan dikonfigurasikan dalam pola yang ditentukan guna membantu Anda memenuhi berbagai persyaratan keamanan paling ketat di dunia.

    Baca Laporan Resmi Keamanan

    Panduan ini menggunakan banyak Zona Ketersediaan (AZ), sehingga hilangnya satu AZ tidak memengaruhi ketersediaan aplikasi. Anda dapat menggunakan CloudFormation untuk mengotomatiskan penyediaan dan pembaruan infrastruktur dengan cara yang aman serta terkontrol. Panduan ini juga menyediakan aturan bawaan untuk mengevaluasi konfigurasi sumber daya AWS dan perubahan konfigurasi dalam lingkungan. Anda juga dapat membuat aturan kustom di AWS Lambda untuk menentukan praktik dan pedoman terbaik. Anda dapat mengotomatiskan kemampuan untuk menskalakan lingkungan agar memenuhi permintaan dan memitigasi gangguan seperti kesalahan konfigurasi atau masalah jaringan sementara.

    Baca Laporan Resmi Keandalan

    Panduan ini menyederhanakan manajemen infrastruktur cloud dengan menggunakan Transit Gateway, yang berfungsi sebagai hub pusat yang menghubungkan banyak VPC melalui satu gateway, sehingga lebih mudah untuk menskalakan dan memelihara arsitektur jaringan. Cara ini menyederhanakan arsitektur jaringan Anda dan memfasilitasi perutean lalu lintas yang efisien di antara berbagai akun AWS dalam organisasi Anda.

    Baca Laporan Resmi Efisiensi Performa

    Panduan ini memberi Anda kemampuan untuk menghindari atau memangkas biaya yang tidak diperlukan atau penggunaan sumber daya yang tidak optimal. Organisasi menyediakan penagihan terpusat dan terkonsolidasi, yang memfasilitasi pemisahan yang kuat antara penggunaan sumber daya dan optimisasi biaya. Panduan ini menetapkan pemindahan titik akhir API publik AWS ke ruang alamat VPC privat Anda, yang menggunakan titik akhir terpusat untuk efisiensi biaya. Selain itu, Anda dapat menggunakan AWS Cost and Usage Report (AWS CUR) untuk melacak penggunaan AWS dan memperkirakan biaya.

    Baca Laporan Resmi Optimisasi Biaya

    Panduan ini membantu Anda mengurangi jejak karbon yang terkait dengan pengelolaan beban kerja di pusat data Anda sendiri. Infrastruktur global AWS menyediakan infrastruktur pendukung (seperti daya, pendinginan, dan jaringan), tingkat pemanfaatan yang lebih tinggi, dan penyegaran teknologi yang lebih cepat daripada pusat data biasa. Selain itu, segmentasi dan pemisahan beban kerja membantu Anda mengurangi pergerakan data yang tidak perlu, dan Amazon S3 menawarkan tingkatan penyimpanan dan kemampuan untuk memindahkan data secara otomatis ke tingkatan penyimpanan yang efisien.

    Baca Laporan Resmi Keberlanjutan

Penafian

Kode sampel; pustaka perangkat lunak; alat baris perintah; bukti konsep; templat; atau teknologi terkait lainnya (termasuk yang sebelumnya disediakan oleh personel kami) disediakan untuk Anda sebagai Konten AWS berdasarkan Perjanjian Pelanggan AWS, atau perjanjian tertulis yang relevan antara Anda dan AWS (mana saja yang berlaku). Anda tidak boleh menggunakan Konten AWS ini di akun produksi Anda, atau pada produksi atau data penting lainnya. Anda bertanggung jawab untuk menguji, mengamankan, dan mengoptimalkan Konten AWS, seperti kode sampel, yang sesuai untuk penggunaan tingkat produksi berdasarkan praktik dan standar kontrol kualitas spesifik Anda. Melakukan deployment Konten AWS dapat dikenai biaya AWS untuk membuat atau menggunakan sumber daya AWS berbayar, seperti menjalankan instans Amazon EC2 atau menggunakan penyimpanan Amazon S3.

Apakah Anda sudah menemukan yang Anda cari?

Beri tahu kami agar kami dapat meningkatkan kualitas konten di halaman kami