跳至主要內容

AWS 解決方案程式庫

Trusted Secure Enclaves on AWS 指引

使用安全飛地保護和隔離高度敏感的工作負載

概觀

本指引向您介紹了如何針對國家安全、國防和國家執法部門的敏感工作負載,來建置全面的雲端架構。在 AWS 上使用多帳戶架構,您可交付任務,同時確保敏感資料和工作負載安全。本指引旨在協助您滿足嚴格且獨特的安全與合規要求,並實現中央身分與存取管理、管控、資料安全、綜合日誌記錄,以及與美國各種安全架構一致的網路設計和區隔。

運作方式

概觀

此架構圖表顯示如何設定具有獨特的安全性和合規要求的綜合多帳戶工作負載。

下載架構圖
Architecture diagram illustrating AWS Trusted Secure Enclaves, showing the organization management account, security accounts, infrastructure accounts, sensitive application OUs, and network connections to a corporate data center and the internet.

組織管理帳戶

此架構圖顯示了組織如何將多個由單一客戶實體控制的帳戶進行分組。 請遵循此架構圖中的步驟,來部署本指引中的「組織管理帳戶」部分。

下載架構圖
Architecture diagram illustrating AWS Trusted Secure Enclaves organization management. The diagram shows organizational units (Security OU, Infrastructure OU, Dev OU, Prod OU, Central OU, Test OU), AWS KMS, SCPs, and integration with a Virtual Private Cloud (VPC), AD Connector, AWS IAM Identity Center, and corporate users.

安全帳戶

此架構圖顯示了如何集中設定跨 AWS 服務和帳戶的綜合日誌集合。 請遵循此架構圖中的步驟,來部署本指引中的「安全帳戶」部分。

下載架構圖
Architecture diagram illustrating AWS trusted and secure enclave organization security, showing management and security accounts, log archive (Amazon S3, CloudWatch, CloudTrail), and security tooling such as GuardDuty, Security Hub, AWS Config, Firewall Manager, Macie, IAM Access Analyzer, and Alarm.

基礎設施帳戶

此架構圖顯示了如何使用 Virtual Private Clouds (VPC),來建立集中式、隔離的聯網環境。 請遵循此架構圖中的步驟,來部署本指引中的「基礎設施帳戶」部分。

下載架構圖
Architecture diagram showing an AWS infrastructure design for trusted secure enclaves. The diagram illustrates the organization management account, infrastructure accounts for operations and DevOps, shared network components, perimeter security including AWS Network Firewall, ELB, AWS WAF, NAT gateway, and integration with corporate data centers via AWS Direct Connect. The layout demonstrates central VPCs, CI/CD tooling, firewalls, and connectivity to the internet.

應用程式、社群、團隊或群組帳戶 (敏感)

此架構圖顯示了如何設定屬於軟體開發生命週期不同階段的工作負載,或不同 IT 管理角色之間的分割和區隔。請遵循此架構圖中的步驟,來部署本指引中的「應用程式」、「社群」、「團隊」或「群組帳戶」部分。 

下載架構圖
Architecture diagram showing the AWS Trusted Secure Enclaves setup for sensitive accounts, including organization management accounts, organizational units, and teams (Dev, Test, Prod, Shared) using VPCs, AWS Nitro System hosts, ELB, and AWS WAF.

Well-Architected 支柱

上方的架構圖是一個考量到 Well-Architected 最佳實務而建立的的解決方案的範例。若要完全實現 Well-Architected,您應該盡可能地多遵循 Well-Architected 的最佳實務。

本指南使用具有 AWS CloudFormation 堆疊和組態的組織,為 AWS 環境建立安全的基礎。這可提供基礎設施即代碼 (IaC) 解決方案,加速您實作技術安全控制。組規則可修正任何已確定對指定架構產生負面影響的設定位元組態。您可以使用 AWS 全球商業基礎設施,來處理敏感的分類工作負載,並將安全系統自動化,以加速交付任務,同時持續改善流程和程序。

閱讀卓越營運白皮書

本指南使用 「組織」來協助部署組織護欄,例如使用 CloudTrail 的 API 記錄。本指引還提供預防性控制,使用規範性 AWS SCP 做為防護機制,主要用於拒絕環境中的特定或整個類別的 API (以確保工作負載僅部署在指定區域),或拒絕存取特定 AWS 服務。CloudTrail CloudWatch 記錄檔支援在 AWS 服務和帳戶之間指定的全面記錄收集和集中化。AWS 安全功能和多種與安全相關服務均以定義的模式設定,可協助您滿足全球各種最嚴格的安全要求。

閱讀安全白皮書

本指引使用多個可用區域 (AZ),因此,中斷一個可用區域不會影響應用程式可用性。您可以使用 CloudFormation 以安全且受控的方式自動化基礎架構的佈建和更新。本指南還提供預先建置的規則,用於評估您環境中的 AWS 資源組態和組態變更,或者您可以在 AWS Lambda 中建立自訂規則以定義最佳做法和準則。您可自動擴展環境,以滿足需求,並減少設定錯誤或暫時性網路問題等中斷。

閱讀可靠性白皮書

本指引使用 Transit Gateway 可簡化雲端基礎架構管理,該閘道可作為中央集線器,透過單一閘道連接多個 VPC,從而更容易擴充和維護網路架構。這可簡化您的網路架構,並促進組織內不同 AWS 帳戶之間的高效流量路由。

閱讀效能達成效率白皮書

本指引能夠促使避免或消除不必要的成本或使用次佳資源。組織提供集中化和合併計費,促進資源使用和成本最佳化的強大分離。本指引規範了從 AWS 公有 API 端點到您的私有 VPC 位址空間的遷移,並使用集中式端點來提高成本效率。此外,您還可以使用 AWS 成本和使用情況報告 (AWS CUR) 來追蹤 AWS 使用情況和估算費用。

閱讀成本最佳化白皮書

本指引可協助您減少與管理您自己的資料中心內工作負載關聯的碳足跡。相較於傳統的資料中心,AWS 全球基礎設施提供支援基礎設施 (例如,電源、冷卻和聯網)、更高的使用率,以及更快的技術更新。此外,工作負載的分割和分隔可協助您減少不必要的資料移動,Amazon S3 提供儲存層級以及自動將資料移至高效率的儲存層級的功能。

閱讀永續發展白皮書

免責聲明

範例程式碼、軟體庫、命令列工具、概念驗證、範本或其他相關技術 (包括我們的人員提供的任何上述技術) 依據 AWS 客戶協議或您與 AWS 之間的相關書面協議 (以適用者為準) 作為 AWS 內容提供給您。您不得在您的生產帳戶、生產或其他關鍵資料中使用此 AWS 內容。您有責任根據您的特定品質控制實務和標準,依生產級用途來測試、保護和最佳化 AWS 內容 (如範例程式碼)。部署 AWS 內容可能會因建立或使用 AWS 收費資源 (如執行 Amazon EC2 執行個體或使用 Amazon S3 儲存) 而產生 AWS 費用。

找到今天所需的資訊了嗎?

讓我們知道,以便我們改善頁面內容的品質