Son derece hassas iş yüklerinizi güvenli bir yerleşim bölgesi ile koruyun ve izole edin
Bu rehber; ulusal güvenlik, savunma ve ulusal kolluk kuvvetlerinde hassas iş yükleri için nasıl kapsamlı bir bulut mimarisi oluşturabileceğinizi gösterir. AWS'de çoklu hesap mimarisi kullanarak, hassas verileri ve iş yüklerini güvende tutarken görevlerinizi gerçekleştirebilirsiniz. Bu rehber, çeşitli ABD güvenlik çerçevelerine uygun olarak merkezi kimlik ve erişim yönetimi, yönetişim, veri güvenliği, kapsamlı günlük kaydı ve ağ tasarımı, ayrıca segmentasyonu ele alarak hem sıkı hem de benzersiz güvenlik ve uygunluk gereksinimlerini karşılamanıza yardımcı olacak şekilde tasarlanmıştır.
Lütfen dikkat: [Sorumluluk Reddi]
Mimari Diyagramı
-
Genel Bakış
-
Kuruluş Yönetim Hesabı
-
Güvenlik Hesapları
-
Altyapı Hesapları
-
Uygulama, Topluluk, Ekip veya Grup Hesapları (Hassas)
-
Genel Bakış
-
Bu mimari diyagramı, benzersiz güvenlik ve uygunluk gereksinimleriyle kapsamlı, çok hesaplı iş yüklerinin nasıl yapılandırılacağına dair bir genel bakış sağlar. Bu rehberin nasıl dağıtılacağı hakkında daha fazla ayrıntı için diğer sekmeleri açın.
Büyütmek için tıklayın
1. Adım
AWS Kuruluşlar'da birden fazla hesaba sahip, hizmet denetim politikaları (SCP'ler) rehberliğindeki bir kuruluş: Kuruluş, tek bir müşteri varlığı tarafından kontrol edilen birden fazla ayrı AWS hesabını gruplandırır. Ayrı AWS hesapları, iş yükleri veya ortamlar arasında farklı AWS müşterilerine aitmiş gibi güçlü kontrol düzlemi ve veri düzlemi yalıtımı sağlar.2. Adım
Yönetim hesabı, kuruluşu oluşturmak için kullanılır. Kuruluşun yönetim hesabından aşağıdakileri yapabilirsiniz:- Kuruluşta hesaplar oluşturun ve tüm kuruluş birimleri (OU'lar) için politikaları yönetin.
- Kuruluşa aşağıdaki OU'ları ekleyin:
- Güvenlik OU'su
- Altyapı OU'su
- Hassas uygulama OU'su
Her OU'nun tasarım başına bir veya daha fazla üye hesabı ya da iç içe geçmiş OU'su olacaktır.
3. Adım
Uygulama OU'su, uygulama teslimi ve yaşam döngüsü yönetimine adanmış birkaç iç içe geçmiş OU'ya sahip olacak ve aşağıdakileri içerecektir:- Geliştirme OU'su
- Test OU'su
- Üretim OU'su
- Paylaşılan OU
Ek olarak, korumalı alan OU'ları hassas olmayan iş yükleri olarak da sağlanabilir.
1. Adım
AWS Kuruluşlar'da birden fazla hesaba sahip, hizmet denetim politikaları (SCP'ler) rehberliğindeki bir kuruluş: Kuruluş, tek bir müşteri varlığı tarafından kontrol edilen birden fazla ayrı AWS hesabını gruplandırır. Ayrı AWS hesapları, iş yükleri veya ortamlar arasında farklı AWS müşterilerine aitmiş gibi güçlü kontrol düzlemi ve veri düzlemi yalıtımı sağlar.2. Adım
Yönetim hesabı, kuruluşu oluşturmak için kullanılır. Kuruluşun yönetim hesabından aşağıdakileri yapabilirsiniz:- Kuruluşta hesaplar oluşturun ve tüm kuruluş birimleri (OU'lar) için politikaları yönetin.
- Kuruluşa aşağıdaki OU'ları ekleyin:
- Güvenlik OU'su
- Altyapı OU'su
- Hassas uygulama OU'su
Her OU'nun tasarım başına bir veya daha fazla üye hesabı ya da iç içe geçmiş OU'su olacaktır.
3. Adım
Uygulama OU'su, uygulama teslimi ve yaşam döngüsü yönetimine adanmış birkaç iç içe geçmiş OU'ya sahip olacak ve aşağıdakileri içerecektir:- Geliştirme OU'su
- Test OU'su
- Üretim OU'su
- Paylaşılan OU
Ek olarak, korumalı alan OU'ları hassas olmayan iş yükleri olarak da sağlanabilir.
-
Kuruluş Yönetim Hesabı
-
Bu mimari diyagramı, bir kuruluşun tümü tek bir müşteri varlığı tarafından kontrol edilen birden çok hesabı nasıl gruplayabileceğini gösterir. Bu rehberin Kuruluş Yönetim Hesabı bölümünü dağıtmak için bu mimari diyagramındaki adımları izleyin.
Büyütmek için tıklayın
1. Adım
Birden çok hesabı olan kuruluş: Kuruluş, tek bir müşteri varlığı tarafından kontrol edilen birden fazla ayrı AWS hesabını gruplandırır. Bu; faturalandırmayı birleştirir, hesapları OU'ları kullanarak gruplandırır ve SCP'leri kullanarak bir kuruluşun önleyici denetimlerinin dağıtımını kolaylaştırır.2. Adım
Önleyici güvenlik denetimleri: SCP'ler tarafından uygulanan bu denetimler mimariyi korur, bütünlük korumasının devre dışı bırakılmasını önler ve istenmeyen kullanıcı davranışlarını engeller. SCP'ler, esas olarak AWS hesabı, OU veya kuruluş düzeyinde belirli veya tüm API işlem kategorilerini reddetmek için kullanılan bir bütünlük koruması mekanizması sağlar. Bunlar, iş yüklerinin yalnızca belirlenmiş AWS Bölgelerinde dağıtıldığından emin olmak veya belirli AWS hizmetlerine erişimi engellemek için kullanılabilir.
3. Adım
Otomasyon: Otomasyon, kuruluş yeni ekipler ve iş yükleri dahil edildikçe yeni AWS hesapları eklediğinde bütünlük korumasının tutarlı bir şekilde uygulanmasını sağlar. Uygunluk sapmasını düzeltir ve kök kuruluş hesabında bütünlük korumaları sağlar.
4. Adım
Şifreleme: Müşteri tarafından yönetilen anahtarlara sahip AWS Anahtar Yönetimi Hizmeti (AWS KMS); Amazon Simple Storage Service (Amazon S3) bucket'larında, Amazon Esnek Blok Deposu (Amazon EBS) birimlerinde, Amazon İlişkisel Veri Tabanı Hizmeti (Amazon RDS) veri tabanlarında veya diğer AWS depolama hizmetlerinde, FIPS 140-2 onaylı şifrelemeyi kullanarak saklanan verileri şifreler. TLS 1.2 veya üstünü kullanarak taşınan verileri korur.5. Adım
Tekli oturum açma: AWS Kimlik ve Erişim Yönetimi'nin (IAM) bir özelliği olan IAM Kimlik Merkezi, yetkili sorumlular için kuruluş genelindeki AWS hesaplarında merkezi IAM rolü varsayımı sağlamak için kullanılır. Kuruluşun mevcut kimlikleri, müşterinin mevcut Active Directory (AD) kimlik deposundan veya başka bir üçüncü taraf kimlik sağlayıcısından (IdP) temin edilebilir.AWS; WebAuthn, FIDO2 ve Universal 2nd Factor (U2F) kimlik doğrulamasını ve cihazlarını destekleyen kimlik doğrulayıcı uygulamaları, güvenlik anahtarları ve yerleşik kimlik doğrulayıcıları kullanarak çok faktörlü kimlik doğrulama uygulamalarını kolaylaştırır.
1. Adım
Birden çok hesabı olan kuruluş: Kuruluş, tek bir müşteri varlığı tarafından kontrol edilen birden fazla ayrı AWS hesabını gruplandırır. Bu; faturalandırmayı birleştirir, hesapları OU'ları kullanarak gruplandırır ve SCP'leri kullanarak bir kuruluşun önleyici denetimlerinin dağıtımını kolaylaştırır.2. Adım
Önleyici güvenlik denetimleri: SCP'ler tarafından uygulanan bu denetimler mimariyi korur, bütünlük korumasının devre dışı bırakılmasını önler ve istenmeyen kullanıcı davranışlarını engeller. SCP'ler, esas olarak AWS hesabı, OU veya kuruluş düzeyinde belirli veya tüm API işlem kategorilerini reddetmek için kullanılan bir bütünlük koruması mekanizması sağlar. Bunlar, iş yüklerinin yalnızca belirlenmiş AWS Bölgelerinde dağıtıldığından emin olmak veya belirli AWS hizmetlerine erişimi engellemek için kullanılabilir.
3. Adım
Otomasyon: Otomasyon, kuruluş yeni ekipler ve iş yükleri dahil edildikçe yeni AWS hesapları eklediğinde bütünlük korumasının tutarlı bir şekilde uygulanmasını sağlar. Uygunluk sapmasını düzeltir ve kök kuruluş hesabında bütünlük korumaları sağlar.
4. Adım
Şifreleme: Müşteri tarafından yönetilen anahtarlara sahip AWS Anahtar Yönetimi Hizmeti (AWS KMS); Amazon Simple Storage Service (Amazon S3) bucket'larında, Amazon Esnek Blok Deposu (Amazon EBS) birimlerinde, Amazon İlişkisel Veri Tabanı Hizmeti (Amazon RDS) veri tabanlarında veya diğer AWS depolama hizmetlerinde, FIPS 140-2 onaylı şifrelemeyi kullanarak saklanan verileri şifreler. TLS 1.2 veya üstünü kullanarak taşınan verileri korur.5. Adım
Tekli oturum açma: AWS Kimlik ve Erişim Yönetimi'nin (IAM) bir özelliği olan IAM Kimlik Merkezi, yetkili sorumlular için kuruluş genelindeki AWS hesaplarında merkezi IAM rolü varsayımı sağlamak için kullanılır. Kuruluşun mevcut kimlikleri, müşterinin mevcut Active Directory (AD) kimlik deposundan veya başka bir üçüncü taraf kimlik sağlayıcısından (IdP) temin edilebilir.AWS; WebAuthn, FIDO2 ve Universal 2nd Factor (U2F) kimlik doğrulamasını ve cihazlarını destekleyen kimlik doğrulayıcı uygulamaları, güvenlik anahtarları ve yerleşik kimlik doğrulayıcıları kullanarak çok faktörlü kimlik doğrulama uygulamalarını kolaylaştırır.
-
Güvenlik Hesapları
-
Bu mimari diyagramı, AWS hizmetleri ve hesapları genelinde kapsamlı bir günlük toplamanın nasıl merkezi olarak yapılandırılacağını gösterir. Bu rehberin Güvenlik Hesapları bölümünü dağıtmak için bu mimari diyagramındaki adımları izleyin.
Büyütmek için tıklayın
1. Adım
Merkezi günlük kaydı: Bu mimari, AWS hizmetleri ve hesapları genelinde kapsamlı günlük toplama ve merkezileştirmeyi belirtir. AWS CloudTrail günlükleri, bulut ortamında tam denetim düzlemi denetlenebilirliği sağlamak için kuruluş genelinde çalışır.Bulut temelli bir AWS günlük kaydı hizmeti olan Amazon CloudWatch günlükleri; işletim sistemi ve uygulama günlükleri, VPC akış günlükleri ve etki alanı adı sistemi günlükleri dahil olmak üzere çok çeşitli günlükleri yakalamak için kullanılır. Bunlar daha sonra merkezileştirilir ve yalnızca tanımlanmış güvenlik personeli tarafından kullanılabilir.
2. Adım
Merkezi güvenlik izleme: Çok sayıda farklı tespit edici güvenlik denetimi türünün otomatik olarak dağıtımı yoluyla müşterinin AWS kuruluşunda uygunluk sapması ve güvenlik tehditleri ortaya çıkar. Bu, kuruluştaki her hesapta çok sayıda AWS güvenlik hizmetinin etkinleştirilmesini içerir.Bu güvenlik hizmetleri arasında Amazon GuardDuty, AWS Güvenlik Merkezi, AWS Config, AWS Güvenlik Duvarı Yöneticisi, Amazon Macie, IAM Erişim Analiz Aracı ve CloudWatch alarmları bulunur. Denetim ve görünürlük, tüm güvenlik bulgularına ve uygunluk sapmalarına kuruluş çapında kolay görünürlük sağlamak için çoklu hesap ortamında tek bir merkezi güvenlik aracı hesabına devredilmelidir.
3. Adım
Salt görüntüleme erişimi ve aranabilirlik: Güvenlik hesabına, bir olay sırasında soruşturmayı kolaylaştırmak için kuruluş genelinde salt görüntüleme erişimi sağlanır (her hesabın CloudWatch konsoluna erişim dahil).Salt görünüm erişimi, herhangi bir veriye erişim sağlamadığı için salt okunur erişimden farklıdır. Aranabilir hale getirmek üzere kapsamlı merkezi günlükler setini kullanmak için isteğe bağlı bir eklenti mevcuttur, bağıntı ve temel panolar sağlar.
1. Adım
Merkezi günlük kaydı: Bu mimari, AWS hizmetleri ve hesapları genelinde kapsamlı günlük toplama ve merkezileştirmeyi belirtir. AWS CloudTrail günlükleri, bulut ortamında tam denetim düzlemi denetlenebilirliği sağlamak için kuruluş genelinde çalışır.Bulut temelli bir AWS günlük kaydı hizmeti olan Amazon CloudWatch günlükleri; işletim sistemi ve uygulama günlükleri, VPC akış günlükleri ve etki alanı adı sistemi günlükleri dahil olmak üzere çok çeşitli günlükleri yakalamak için kullanılır. Bunlar daha sonra merkezileştirilir ve yalnızca tanımlanmış güvenlik personeli tarafından kullanılabilir.
2. Adım
Merkezi güvenlik izleme: Çok sayıda farklı tespit edici güvenlik denetimi türünün otomatik olarak dağıtımı yoluyla müşterinin AWS kuruluşunda uygunluk sapması ve güvenlik tehditleri ortaya çıkar. Bu, kuruluştaki her hesapta çok sayıda AWS güvenlik hizmetinin etkinleştirilmesini içerir.Bu güvenlik hizmetleri arasında Amazon GuardDuty, AWS Güvenlik Merkezi, AWS Config, AWS Güvenlik Duvarı Yöneticisi, Amazon Macie, IAM Erişim Analiz Aracı ve CloudWatch alarmları bulunur. Denetim ve görünürlük, tüm güvenlik bulgularına ve uygunluk sapmalarına kuruluş çapında kolay görünürlük sağlamak için çoklu hesap ortamında tek bir merkezi güvenlik aracı hesabına devredilmelidir.
3. Adım
Salt görüntüleme erişimi ve aranabilirlik: Güvenlik hesabına, bir olay sırasında soruşturmayı kolaylaştırmak için kuruluş genelinde salt görüntüleme erişimi sağlanır (her hesabın CloudWatch konsoluna erişim dahil).
Salt görünüm erişimi, herhangi bir veriye erişim sağlamadığı için salt okunur erişimden farklıdır. Aranabilir hale getirmek üzere kapsamlı merkezi günlükler setini kullanmak için isteğe bağlı bir eklenti mevcuttur, bağıntı ve temel panolar sağlar.
-
Altyapı Hesapları
-
Bu mimari diyagramı, Sanal Özel Bulutlar (VPC'ler) ile merkezi, yalıtılmış bir ağ ortamının nasıl oluşturulduğunu gösterir. Bu rehberin Altyapı Hesapları bölümünü dağıtmak için bu mimari diyagramındaki adımları izleyin.
Büyütmek için tıklayın
1. Adım
Merkezi, yalıtılmış ağ oluşturma: Amazon Sanal Özel Bulut (Amazon VPC) aracılığıyla oluşturulan VPC'ler, iş yükleri arasında veri düzlemi izolasyonu oluşturmak için kullanılır ve paylaşılan bir ağ hesabında merkezileştirilir. Merkezileştirme, görevlerin güçlü bir şekilde ayrımını ve maliyet optimizasyonunu kolaylaştırır.2. Adım
Aracılı bağlantı: Şirket içi ortamlara, internet çıkışlarına, paylaşılan kaynaklara ve AWS API'lerine bağlantıya; AWS Transit Ağ Geçidi, AWS Siteden Siteye VPN, yeni nesil güvenlik duvarları ve AWS Direct Connect (varsa) kullanılarak merkezi bir giriş ve çıkış noktasında aracılık edilir.3. Adım
Alternatif seçenekler: Merkezi VPC mimarisi tüm müşterilere yönelik değildir. Maliyet optimizasyonuyla daha az ilgilenen müşteriler için, merkezi paylaşılan ağ hesabındaki Transit Ağ Geçidi aracılığıyla birbirine bağlanan yerel hesap tabanlı VPC'ler için bir seçenek mevcuttur.
Her iki seçenek altında da mimari, maliyet verimliliği için merkezi uç noktaları kullanarak AWS genel API uç noktalarının müşterinin özel VPC adres alanına taşınmasını tanımlar.
4. Adım
Merkezi giriş ve çıkış için hizmet olarak altyapı (IaaS) denetimi: IaaS tabanlı iş yükleri için merkezi giriş ve çıkış gereksinimleri yaygın görülen bir durumdur. Mimari bu işlevselliği sağlar, böylece müşteriler AWS Ağ Güvenlik Duvarı, AWS WAF veya Esnek Yük Dengeleme (ELB) yoluyla Uygulama Yük Dengeleyici gibi yerel AWS giriş ve çıkış güvenlik duvarı denetim hizmetlerinin gereksinimlerini karşılayıp karşılamadığına karar verebilirler.Karşılamıyorsa müşteriler bu özellikleri üçüncü taraf güvenlik duvarı cihazlarıyla artırabilirler. Mimari, bir AWS güvenlik duvarıyla başlamayı ve üçüncü taraf bir güvenlik duvarına geçmeyi veya giriş ve çıkış güvenlik duvarı teknolojilerinin bir kombinasyonunu kullanmayı destekler.
1. Adım
Merkezi, yalıtılmış ağ oluşturma: Amazon Sanal Özel Bulut (Amazon VPC) aracılığıyla oluşturulan VPC'ler, iş yükleri arasında veri düzlemi izolasyonu oluşturmak için kullanılır ve paylaşılan bir ağ hesabında merkezileştirilir. Merkezileştirme, görevlerin güçlü bir şekilde ayrımını ve maliyet optimizasyonunu kolaylaştırır.2. Adım
Aracılı bağlantı: Şirket içi ortamlara, internet çıkışlarına, paylaşılan kaynaklara ve AWS API'lerine bağlantıya; AWS Transit Ağ Geçidi, AWS Siteden Siteye VPN, yeni nesil güvenlik duvarları ve AWS Direct Connect (varsa) kullanılarak merkezi bir giriş ve çıkış noktasında aracılık edilir.3. Adım
Alternatif seçenekler: Merkezi VPC mimarisi tüm müşterilere yönelik değildir. Maliyet optimizasyonuyla daha az ilgilenen müşteriler için, merkezi paylaşılan ağ hesabındaki Transit Ağ Geçidi aracılığıyla birbirine bağlanan yerel hesap tabanlı VPC'ler için bir seçenek mevcuttur.
Her iki seçenek altında da mimari, maliyet verimliliği için merkezi uç noktaları kullanarak AWS genel API uç noktalarının müşterinin özel VPC adres alanına taşınmasını tanımlar.
4. Adım
Merkezi giriş ve çıkış için hizmet olarak altyapı (IaaS) denetimi: IaaS tabanlı iş yükleri için merkezi giriş ve çıkış gereksinimleri yaygın görülen bir durumdur. Mimari bu işlevselliği sağlar, böylece müşteriler AWS Ağ Güvenlik Duvarı, AWS WAF veya Esnek Yük Dengeleme (ELB) yoluyla Uygulama Yük Dengeleyici gibi yerel AWS giriş ve çıkış güvenlik duvarı denetim hizmetlerinin gereksinimlerini karşılayıp karşılamadığına karar verebilirler.Karşılamıyorsa müşteriler bu özellikleri üçüncü taraf güvenlik duvarı cihazlarıyla artırabilirler. Mimari, bir AWS güvenlik duvarıyla başlamayı ve üçüncü taraf bir güvenlik duvarına geçmeyi veya giriş ve çıkış güvenlik duvarı teknolojilerinin bir kombinasyonunu kullanmayı destekler.
-
Uygulama, Topluluk, Ekip veya Grup Hesapları (Hassas)
-
Bu mimari diyagramı, yazılım geliştirme yaşam döngüsünün farklı aşamalarına ait iş yükleri arasında veya farklı BT yönetici rolleri arasında segmentasyon ve ayrımın nasıl yapılandırılacağını gösterir. Bu rehberin Uygulama, Topluluk, Ekip veya Grup Hesapları bölümünü dağıtmak için bu mimari diyagramındaki adımları izleyin.
Büyütmek için tıklayın
1. Adım
Segmentasyon ve ayırma: Mimari, yalnızca yazılım geliştirme yaşam döngüsünün farklı aşamalarına ait iş yükleri veya farklı BT yönetici rolleri arasında (ağ oluşturma, giriş ve çıkış güvenlik duvarları ve iş yükleri gibi) arasında güçlü segmentasyon ve ayırma sağlamaz.Bunun yanı sıra ELB ve AWS WAF gibi hizmetlerle birlikte AWS Nitro System donanımında uygulanan durum bilgili bir güvenlik duvarına her bulut sunucusunu veya bileşeni ekleyerek ortamı mikro segmentlere ayıran güçlü bir ağ bölgeleme mimarisi sunar.
2. Adım
Açıkça izin verilmedikçe uygulamalar, bir uygulama içindeki katmanlar ve bir uygulama katmanındaki düğümler arasında yanal hareket engellenerek, tüm ağ akışları sıkı bir şekilde uygulanır. Ayrıca, geliştirici çevikliğini sağlamak ve uygun onaylara sahip ortamlar arasında kod tanıtımını kolaylaştırmak için CI/CD mimarisine ilişkin önerilerle Geliştirme, Test ve Üretim arasında yönlendirme engellenir.
1. Adım
Segmentasyon ve ayırma: Mimari, yalnızca yazılım geliştirme yaşam döngüsünün farklı aşamalarına ait iş yükleri veya farklı BT yönetici rolleri arasında (ağ oluşturma, giriş ve çıkış güvenlik duvarları ve iş yükleri gibi) arasında güçlü segmentasyon ve ayırma sağlamaz.Bunun yanı sıra ELB ve AWS WAF gibi hizmetlerle birlikte AWS Nitro System donanımında uygulanan durum bilgili bir güvenlik duvarına her bulut sunucusunu veya bileşeni ekleyerek ortamı mikro segmentlere ayıran güçlü bir ağ bölgeleme mimarisi sunar.
2. Adım
Açıkça izin verilmedikçe uygulamalar, bir uygulama içindeki katmanlar ve bir uygulama katmanındaki düğümler arasında yanal hareket engellenerek, tüm ağ akışları sıkı bir şekilde uygulanır. Ayrıca, geliştirici çevikliğini sağlamak ve uygun onaylara sahip ortamlar arasında kod tanıtımını kolaylaştırmak için CI/CD mimarisine ilişkin önerilerle Geliştirme, Test ve Üretim arasında yönlendirme engellenir.
Well-Architected Bileşenleri
AWS Well-Architected Çerçevesi, bulutta sistem oluştururken aldığınız kararların artılarını ve eksilerini anlamanıza yardımcı olur. Çerçevenin altı bileşeni; güvenilir, güvenli, verimli, uygun maliyetli ve sürdürülebilir sistemler tasarlamak ve çalıştırmak için en iyi mimari uygulamalarını öğrenmenizi sağlar. AWS Yönetim Konsolu'nda ücretsiz olarak sunulan AWS Well-Architected Aracı'nı kullanarak, her bileşen için bir soru kümesini yanıtlamak suretiyle iş yüklerinizin bu en iyi uygulamalara uygun olup olmadığını gözden geçirebilirsiniz.
Yukarıdaki mimari diyagramı, Well-Architected en iyi uygulamaları göz önünde bulundurularak oluşturulan bir Çözüm örneğidir. Tamamen Well-Architected kapsamına girerek iyi mimarlık uygulamalarına dahil olmak için olabildiğince çok Well-Architected en iyi uygulamalarını izlemeniz gerekir.
-
Operasyonel MükemmellikOperasyonel Mükemmellik teknik incelemesini okuyun
Bu rehber, AWS ortamınıza güvenli bir temel oluşturmak için AWS CloudFormation yığınlarına ve yapılandırmalarına sahip Kuruluşlar kullanır. Bu, teknik güvenlik denetimlerini uygulamanızı hızlandıran kod olarak altyapı (IaC) çözümü sağlar. Yapılandırma kuralları, belirtilen mimariyi olumsuz etkilediği belirlenen tüm yapılandırma deltalarını düzeltir. Hassas olarak sınıflandırılan iş yükleri için AWS küresel ticari altyapısını kullanabilir, süreçlerinizi ve prosedürlerinizi sürekli olarak iyileştirirken görevleri daha hızlı sunmak için güvenli sistemleri otomatikleştirebilirsiniz.
-
GüvenlikGüvenlik teknik incelemesini okuyun
Bu rehber, CloudTrail ile API günlük kaydı gibi kurumsal bütünlük korumalarının dağıtımını kolaylaştırmak için Kuruluşlar'ı kullanır. Bu rehber ayrıca, esas olarak ortamınızdaki belirli veya tüm API kategorilerini reddetmek (iş yüklerinin yalnızca belirtilen bölgelerde dağıtıldığından emin olmak amacıyla) veya belirli AWS hizmetlerine erişimi engellemek için kullanılan bir bütünlük koruması mekanizması olarak normatif AWS SCP'lerini kullanan önleyici denetimler sağlar. CloudTrail ve CloudWatch günlükleri, AWS hizmetleri ve hesapları genelinde belirtilen kapsamlı günlük toplama ve merkezileştirmeyi destekler. AWS güvenlik özellikleri ve güvenlikle ilgili çok sayıda hizmet, dünyadaki en sıkı güvenlik gereksinimlerinden bazılarını karşılamanıza yardımcı olan, tanımlanmış bir düzende yapılandırılmıştır.
-
GüvenilirlikGüvenilirlik teknik incelemesini okuyun
Bu rehber birden çok Erişilebilirlik Alanı (AZ) kullanır, bu nedenle bir AZ'nin kaybı uygulama kullanılabilirliğini etkilemez. Altyapınızın sağlanmasını ve güncellenmesini güvenli ve kontrollü bir şekilde otomatikleştirmek için CloudFormation'ı kullanabilirsiniz. Bu rehber ayrıca AWS kaynak yapılandırmalarını ve ortamınızdaki yapılandırma değişikliklerini değerlendirmek için önceden oluşturulmuş kurallar sağlar veya AWS Lambda'da en iyi uygulamaları ve yönergeleri tanımlamak için özel kurallar oluşturabilirsiniz. Ortamınızı talebi karşılamak ve yanlış yapılandırmalar veya geçici ağ sorunları gibi kesintileri azaltmak için ölçeklendirme yeteneğini otomatikleştirebilirsiniz.
-
Performans VerimliliğiPerformans Verimliliği teknik incelemesini okuyun
Bu rehber, tek bir ağ geçidi üzerinden birden fazla VPC'yi birbirine bağlayan merkezi bir hub görevi gören ve ağ mimarisinin ölçeklendirilmesini ve bakımını kolaylaştıran Transit Ağ Geçidi'ni kullanarak bulut altyapısı yönetimini basitleştirir. Bu, ağ mimarinizi basitleştirir ve kuruluşunuzdaki farklı AWS hesapları arasında verimli trafik yönlendirmesini kolaylaştırır.
-
Maliyet OptimizasyonuMaliyet Optimizasyonu teknik incelemesini okuyun
Bu rehberle, gereksiz maliyetleri veya optimal olmayan kaynakların kullanımını önleyebilir veya bunları ortadan kaldırabilirsiniz. Kuruluşlar, kaynak kullanımı ve maliyet optimizasyonunun güçlü bir şekilde ayrılmasını kolaylaştırarak merkezileştirme ve birleşik faturalama sağlar. Bu rehber, maliyet verimliliği için merkezi uç noktaları kullanarak AWS genel API uç noktalarının özel VPC adres alanınıza taşınmasını belirtir. Ayrıca AWS kullanımınızı izlemek ve ücretleri tahmin etmek için AWS Maliyet ve Kullanım Raporları'nı (AWS CUR) kullanabilirsiniz.
-
SürdürülebilirlikSürdürülebilirlik teknik incelemesini okuyun
Bu rehber, kendi veri merkezlerinizdeki iş yüklerini yönetmekle ilişkili karbon ayak izini azaltmanıza yardımcı olur. AWS küresel altyapısı, geleneksel veri merkezlerine göre destekleyici altyapı (güç, soğutma ve ağ oluşturma gibi), daha yüksek kullanım oranı ve daha hızlı teknoloji yenilemeleri sunar. Ek olarak, iş yüklerinin segmentasyonu ve ayrılması, gereksiz veri hareketini azaltmanıza yardımcı olur ve Amazon S3, depolama katmanları ve verileri verimli depolama katmanlarına otomatik olarak taşıma olanağı sunar.
Uygulama Kaynakları
Örnek kod bir başlangıç noktasıdır. Sektör onaylıdır, kuralcı ama belirleyici değildir. Başlamanıza yardımcı olması için bir göz atın.
İlgili İçerikler
TSE-SE Örnek Yapılandırma (LZA otomasyon altyapısıyla)
Güvenilir Güvenli Yerleşim Bölgeleri - Hassas Sürüm
Sorumluluk Reddi
Örnek kod, yazılım kitaplıkları, komut satırı araçları, kavram kanıtları, şablonlar veya diğer ilgili teknolojiler (yukarıdakilerden personelimiz tarafından sağlanan herhangi biri dahil olmak üzere), AWS Müşteri Sözleşmesi veya AWS ile aranızdaki ilgili yazılı sözleşme (hangisi geçerliyse) kapsamında AWS İçeriği olarak size sağlanmaktadır. Bu AWS İçeriğini üretim hesaplarınızda, üretimde veya diğer kritik verilerde kullanmamalısınız. Örnek kod gibi AWS İçeriğini, özel kalite kontrol uygulamalarınıza ve standartlarınıza göre üretim sınıfı kullanımına uygun şekilde test etmekten, güvenliğini sağlamaktan ve optimize etmekten siz sorumlusunuz. AWS İçeriğinin dağıtılması, Amazon EC2 bulut sunucularını çalıştırmak veya Amazon S3 depolama alanını kullanmak gibi ücretli AWS kaynakları oluşturma veya kullanma için AWS ücretlerine tabi olabilir.
Bu rehberdeki üçüncü taraf hizmetlere veya kuruluşlara yapılan atıflar, Amazon veya AWS ile üçüncü taraf arasında bir tasdik, sponsorluk veya bağlılık anlamına gelmez. AWS'nin rehberliği teknik bir başlangıç noktasıdır ve mimariyi dağıtırken üçüncü taraf hizmetleriyle entegrasyonunuzu özelleştirebilirsiniz.