Перейти к главному контенту

Библиотека решений AWS

Руководство по Trusted Secure Enclaves на AWS

Защитите и изолируйте свои строго конфиденциальные рабочие нагрузки с помощью безопасного анклава

Обзор

В этом руководстве показано, как создать комплексную облачную архитектуру для конфиденциальных рабочих нагрузок в сфере национальной безопасности, обороны и правоохранительных органов. Используя архитектуру AWS с несколькими учетными записями, вы можете выполнять свои миссии, обеспечивая безопасность конфиденциальных данных и рабочих нагрузок. Это руководство призвано помочь вам соблюдать строгие и уникальные требования безопасности и соответствия требованиям, включая централизованное управление идентификацией и доступом, управление, безопасность данных, комплексное ведение журналов, а также проектирование и сегментацию сети в соответствии с различными системами безопасности США.

Как это работает

Обзор

На этой схеме архитектуры показано, как настроить комплексные рабочие нагрузки с несколькими учетными записями с уникальными требованиями безопасности и соответствия требованиям.

Загрузите архитектурную диаграмму
Architecture diagram illustrating AWS Trusted Secure Enclaves, showing the organization management account, security accounts, infrastructure accounts, sensitive application OUs, and network connections to a corporate data center and the internet.

Аккаунт для управления организацией

На этой схеме архитектуры показано, как организация может сгруппировать несколько аккаунтов, контролируемых одной клиентской организацией. Выполните шаги, описанные на этой схеме архитектуры, чтобы развернуть раздел этого руководства, посвященный аккаунту для управления организацией.

Загрузите архитектурную диаграмму
Architecture diagram illustrating AWS Trusted Secure Enclaves organization management. The diagram shows organizational units (Security OU, Infrastructure OU, Dev OU, Prod OU, Central OU, Test OU), AWS KMS, SCPs, and integration with a Virtual Private Cloud (VPC), AD Connector, AWS IAM Identity Center, and corporate users.

Аккаунты для управления безопасностью

На этой схеме архитектуры показано, как централизованно настроить полный набор журналов в сервисах и аккаунтах AWS. Выполните шаги, описанные на этой схеме архитектуры, чтобы развернуть раздел этого руководства, посвященный аккаунтам для управления безопасностью.

Загрузите архитектурную диаграмму
Architecture diagram illustrating AWS trusted and secure enclave organization security, showing management and security accounts, log archive (Amazon S3, CloudWatch, CloudTrail), and security tooling such as GuardDuty, Security Hub, AWS Config, Firewall Manager, Macie, IAM Access Analyzer, and Alarm.

Аккаунты для управления архитектурой

На этой схеме архитектуры показано, как централизованная изолированная сетевая среда построена с использованием виртуальных частных облаков (VPC). Выполните шаги, описанные на этой схеме архитектуры, чтобы развернуть раздел этого руководства, посвященный аккаунтам для управления архитектурой.

Загрузите архитектурную диаграмму
Architecture diagram showing an AWS infrastructure design for trusted secure enclaves. The diagram illustrates the organization management account, infrastructure accounts for operations and DevOps, shared network components, perimeter security including AWS Network Firewall, ELB, AWS WAF, NAT gateway, and integration with corporate data centers via AWS Direct Connect. The layout demonstrates central VPCs, CI/CD tooling, firewalls, and connectivity to the internet.

Аккаунты приложений, сообществ,команд или групп (конфиденциально)

На этой схеме архитектуры показано, как настроить сегментацию и разделение рабочих нагрузок на разных этапах жизненного цикла разработки ПО или между разными ролями ИТ-администрирования. Выполните шаги, описанные на этой схеме архитектуры, чтобы развернуть раздел этого руководства, посвященный аккаунтам приложений, сообществ,команд или групп. 

Загрузите архитектурную диаграмму
Architecture diagram showing the AWS Trusted Secure Enclaves setup for sensitive accounts, including organization management accounts, organizational units, and teams (Dev, Test, Prod, Shared) using VPCs, AWS Nitro System hosts, ELB, and AWS WAF.

Принципы Well-Architected

Приведенная выше схема архитектуры является примером решения, созданного с учетом передовых практик Well-Architected. Для того чтобы полностью освоить Well-Architected, используйте как можно больше передовых практик Well-Architected.

В этом руководстве организации, использующие стеки и конфигурации AWS CloudFormation, призваны создать безопасную основу для среды AWS. Это решение на основе модели «инфраструктура как код» (IaC), которое ускоряет внедрение технических средств контроля безопасности. Правила конфигурации устраняют любые дельты конфигурации, которые, как было установлено, негативно влияют на предписанную архитектуру. Глобальную коммерческую инфраструктуру AWS можно использовать для конфиденциальных классифицированных рабочих нагрузок и автоматизировать безопасные системы, ускоряя выполнение задач и непрерывно улучшая процессы и процедуры.

Читать техническое описание о принципе оптимизации бизнес-процессов

В этом руководстве организации призваны облегчить развертывание организационных барьер, таких как ведение журнала API с помощью CloudTrail. В этом руководстве также предусмотрены превентивные средства управления с использованием предписанных AWS SCP в качестве ограничительного механизма, который в основном используется для запрета использования определенных или целых категорий API в вашей среде (чтобы обеспечить развертывание рабочих нагрузок только в определенных регионах) или запрета доступа к определенным сервисам AWS. Журналы CloudTrail и CloudWatch поддерживают предписанный комплексный сбор и централизацию журналов между сервисами и учетными записями AWS. Возможности безопасности AWS и множество сервисов, связанных с безопасностью, настроены по определенному шаблону, который позволяет соответствовать самым строгим требованиям безопасности в мире.

Читать техническое описание о принципе безопасности

В этом руководстве используется несколько зон доступности, поэтому потеря одной зоны доступности не влияет на доступность приложений. С помощью CloudFormation можно безопасно и контролируемо автоматизировать выделение ресурсов и обновление инфраструктуры. В этом руководстве также представлены готовые правила оценки конфигураций ресурсов AWS и изменений конфигурации в вашей среде. Кроме того, вы можете создать собственные правила в AWS Lambda для определения передовых практик и рекомендаций. Можно автоматизировать масштабирование среды для удовлетворения спроса и предотвращения сбоев, таких как неправильные конфигурации или временные проблемы с сетью.

Читать техническое описание о принципе надежности

Это руководство упрощает управление облачной инфраструктурой за счет использования Transit Gateway, который служит центральным узлом, соединяющим несколько VPC через один шлюз, что упрощает масштабирование и обслуживание сетевой архитектуры. Это упрощает сетевую архитектуру и обеспечивает эффективную маршрутизацию трафика между различными аккаунтами AWS в вашей организации.

Читать техническое описание о принципе высокой производительности

Это руководство дает возможность избежать ненужных затрат или неоптимального использования ресурсов. Организации обеспечивают централизацию и консолидированное выставление счетов, что способствует четкому разделению использования ресурсов и оптимизации затрат. В этом руководстве предписывается перемещать публичные адреса API AWS в частное адресное пространство VPC с использованием централизованных адресов для экономии средств. Кроме того, можно использовать отчеты о расходах и использовании AWS (AWS CUR) для отслеживания использования AWS и оценки расходов.

Читать техническое описание о принципе оптимизации затрат

Это руководство поможет вам сократить выбросы углекислого газа, связанные с управлением рабочими нагрузками в ваших собственных центрах обработки данных. Глобальная инфраструктура AWS предлагает вспомогательную инфраструктуру (например, электропитание, охлаждение и сеть), более высокий коэффициент использования и более быстрое обновление технологий по сравнению с традиционными центрами обработки данных. Кроме того, сегментация и разделение рабочих нагрузок помогают сократить ненужное перемещение данных, а Amazon S3 предлагает уровни хранения и возможность автоматического перемещения данных на эффективные уровни хранения.

Читать техническое описание о принципе устойчивого развития

Отказ от ответственности

Образец кода, библиотеки программного обеспечения, инструменты командной строки, проверки концепции, шаблоны или другие сопутствующие технологии (включая все вышеперечисленные, предоставляемые нашим персоналом) предоставляются в виде контента AWS в соответствии с Клиентским соглашением AWS или соответствующим письменным соглашением между вами и AWS (в зависимости от того, что применимо). Не следует использовать этот контент AWS в своих производственных аккаунтах, а также на производственных или других важных данных. Вы несете ответственность за тестирование, защиту и оптимизацию контента AWS, например образца кода, в соответствии с требованиями производственного уровня на основе конкретных методов и стандартов контроля качества. Развертывание контента AWS может повлечь за собой взимание платы AWS за создание или использование платных ресурсов AWS, таких как запуск инстансов Amazon EC2 или использование хранилища Amazon S3.

Нашли то, что искали сегодня?

Скажите, как улучшить качество контента на наших страницах