implantação de referência
Arquitetura padronizada para UK-OFFICIAL na AWS
Uma arquitetura de nuvem que oferece suporte a NCSC e CIS para workloads UK-OFFICIAL
Este início rápido configura um ambiente de nuvem padronizado Amazon Web Services (AWS) que oferece suporte a cargas de trabalho classificadas como OFICIAIS do Reino Unido (UK). Essa classificação de dados está associada a orientação e controles que ajudam organizações do setor público a gerenciar riscos e garantir a segurança ao lidar com ativos de informação.
O ambiente da AWS criado pelo Quick Start está alinhado com as seguintes diretrizes que se enquadram no escopo do UK-OFFICIAL:
- Princípios de segurança da nuvem do National Cyber Security Centre (NCSC)
- Controles de segurança críticos do Center for Internet Security (CIS)
O modelo do Quick Start configura automaticamente os recursos da AWS e implanta uma aplicação da web multicamadas baseado em Linux. A matriz de controles de segurança (planilha do Microsoft Excel) mostra como os componentes do Quick Start estão vinculados a requisitos de segurança do NCSC e do CIS.
Este Quick Start é parte de uma série de ofertas de conformidade da AWS, fornecendo soluções de arquitetura padronizada focada em segurança para ajudar provedores de serviços gerenciados (MSPs), equipes de provisionamento de nuvem, desenvolvedores, integradores e equipes de segurança de informações a aderir aos controles rigorosos de segurança, conformidade e gerenciamento de riscos. Para implantações adicionais nesta categoria, consulte o catálogo do Quick Start.
Esse Quick Start foi desenvolvido pela AWS.
-
O que você criará
-
Como implantar
-
Custo e licenças
-
O que você criará
-
Este Quick Start implanta os seguintes componentes e recursos:
- Quatro Amazon virtual private clouds (VPCs) da Amazon, cada uma com uma arquitetura de múltiplas zonas de disponibilidade (Multi-AZ):
- Um VPC de produção para cargas de trabalho de aplicações com sub-redes privadas para oferecer suporte a serviços compartilhados.
- Uma VPC de serviços compartilhados com sub-redes privadas para oferecer suporte a serviços compartilhados (por exemplo, Active Directory).
- Um VPC de Internet para acesso controlado à Internet com canais de comunicação públicos e privados separados.
- Um endpoint VPC com sub-redes privadas para permitir acesso direto aos serviços da AWS.
- AWS Transit Gateway para comunicação entre VPC e terminação de rede privada virtual (VPN).
- Uma conexão de peering para tráfego inter-VPC entre a VPC da Internet e a VPC do endpoint.
- Proxies de saída para lidar com solicitações externas de registro e conformidade.
- Grupos de segurança standard do Amazon VPC (não mostrados) para instâncias, load balancers e endpoints do Amazon Elastic Compute Cloud (Amazon EC2).
- (Não mostrado) Uma aplicação LAMP (Linux Apache MySQL PHP) usando Auto Scaling e Elastic Load Balancing, que pode ser modificada ou inicializada usando aplicações do cliente.
- Amazon GuardDuty para captura e análise de eventos de segurança e conformidade.
- Registro, monitoramento e alerta usando regras do AWS Config, Amazon CloudWatch e AWS CloudTrail.
- Uma configuração básica do AWS Identity and Access Management (IAM) com políticas de IAM personalizadas, grupos associados, funções e perfis de instância.
- AWS Security Hub para auditoria de conformidade.
- Amazon Route 53, um resolvedor para gerenciar o sistema de nomes de domínio (DNS) privado compartilhado para serviços compartilhados e endpoints em VPCs.
- AWS Systems Manager, um gerenciador de sessões para acesso administrativo a instâncias VPC de produção.
- AWS Certificate Manager (ACM) para armazenar e implantar certificados Secure Sockets Layer (SSL) para endpoints (para permitir a criptografia em trânsito).
- Quatro Amazon virtual private clouds (VPCs) da Amazon, cada uma com uma arquitetura de múltiplas zonas de disponibilidade (Multi-AZ):
-
Como implantar
-
Antes de implantar o Quick Start, confirme se a sua conta da AWS está configurada corretamente verificando os limites de serviço e os pares de chaves SSH, bem como configurando o AWS Config. Depois de cumprir esses pré-requisitos, você poderá criar um ambiente de referência do Quick Start seguindo as instruções no guia de implantação. O processo de implantação inclui as seguintes etapas:
- Faça login na sua conta da AWS em https://aws.amazon.com.
- Inicie o Quick Start. A implantação leva cerca de 30 minutos.
- Teste sua implantação conectando-se ao site WordPress criado por este Quick Start.
O Quick Start é modular e personalizável. Ele inclui modelos aninhados do AWS CloudFormation que automatizam a implantação e a configuração de recursos de IAM, registro em log, VPC de produção, VPC de gerenciamento, regras do AWS Config, NAT e o aplicativo web. Você pode implantar a arquitetura inteira, ou personalizar ou omitir recursos.
A Amazon pode compartilhar informações sobre implantações de usuários com o parceiro da AWS que colaborou com a AWS nesta solução de parceiro.
-
Custo e licenças
-
Você é responsável pelo custo dos serviços da AWS usados para executar este Quick Start. Não há custo adicional pelo uso do Quick Start.
O modelo do AWS CloudFormation para este Quick Start inclui parâmetros de configuração personalizáveis. Algumas das configurações, como o tipo de instância, afetam o custo da implantação. Para as estimativas de custo, consulte as páginas de definição de preço de cada serviço da AWS que você utiliza. Os preços estão sujeitos a alterações.
Observação: depois de implantar o Quick Start, ative o AWS Cost and Usage Reports para fornecer métricas de faturamento para um bucket do Amazon Simple Storage Service (Amazon S3) em sua conta. Ele fornece estimativas de custo com base no uso ao longo de cada mês e agrega os dados no fim do mês. Para obter mais informações sobre o relatório, consulte O que é o AWS Cost and Usage Reports?
