使用安全飛地保護和隔離高度敏感的工作負載
本指引向您介紹了如何針對國家安全、國防和國家執法部門的敏感工作負載,來建置全面的雲端架構。在 AWS 上使用多帳戶架構,您可交付任務,同時確保敏感資料和工作負載安全。本指引旨在協助您滿足嚴格且獨特的安全與合規要求,並實現中央身分與存取管理、管控、資料安全、綜合日誌記錄,以及與美國各種安全架構一致的網路設計和區隔。
請注意:[免責聲明]
架構圖
-
概觀
-
組織管理帳戶
-
安全帳戶
-
基礎設施帳戶
-
應用程式、社群、團隊或群組帳戶 (敏感)
-
概觀
-
此架構圖提供了如何設定具有獨特的安全與合規要求的綜合多帳戶工作負載的概觀。如需有關如何部署本指引的詳細資訊,請開啟其他索引標籤。
按一下以放大
步驟 1
AWS Organizations 中具有多個帳戶的組織 (透過服務控制政策 (SCP) 提供指引:組織將多個由單一客戶實體控制的單獨 AWS 帳戶進行分組。)單獨的 AWS 帳戶可在工作負載或環境之間,提供強大的控制平面和資料平面隔離,就像帳戶由不同 AWS 客戶擁有一樣。步驟 2
管理帳戶用於建立組織。您可從組織的管理帳戶執行下列操作:- 在組織中建立帳戶,並管理所有組織單位 (OU) 的政策。
- 將以下組織單位加入組織:
- 安全組織單位
- 基礎設施組織單位
- 敏感應用程式組織單位
依據設計,每個組織單位都會有一個或多個成員帳戶或巢狀組織單位。
步驟 3
應用程式組織單位將會有若干巢狀組織單位,專門用於應用程式交付和生命週期管理,並包括以下各項:- 開發組織單位
- 測試組織單位
- 生產組織單位
- 共用組織單位
此外,沙盒組織單位也可做為非敏感工作負載佈建。
步驟 1
AWS Organizations 中具有多個帳戶的組織 (透過服務控制政策 (SCP) 提供指引:組織將多個由單一客戶實體控制的單獨 AWS 帳戶進行分組。)單獨的 AWS 帳戶可在工作負載或環境之間,提供強大的控制平面和資料平面隔離,就像帳戶由不同 AWS 客戶擁有一樣。步驟 2
管理帳戶用於建立組織。您可從組織的管理帳戶執行下列操作:- 在組織中建立帳戶,並管理所有組織單位 (OU) 的政策。
- 將以下組織單位加入組織:
- 安全組織單位
- 基礎設施組織單位
- 敏感應用程式組織單位
依據設計,每個組織單位都會有一個或多個成員帳戶或巢狀組織單位。
步驟 3
應用程式組織單位將會有若干巢狀組織單位,專門用於應用程式交付和生命週期管理,並包括以下各項:- 開發組織單位
- 測試組織單位
- 生產組織單位
- 共用組織單位
此外,沙盒組織單位也可做為非敏感工作負載佈建。
-
組織管理帳戶
-
此架構圖顯示了組織如何將多個由單一客戶實體控制的帳戶進行分組。 請遵循此架構圖中的步驟,來部署本指引中的「組織管理帳戶」部分。
按一下以放大
步驟 1
具有多個帳戶的組織:組織將多個由單一客戶實體控制的單獨 AWS 帳戶進行分組。這可合併帳單、使用組織單位的群組帳戶,並有助於使用 SCP 來部署組織預防性控制。步驟 2
預防性安全控制:這些控制透過 SCP 來實作,可保護架構、防止防護機制停用,以及封鎖不良的使用者行為。SCP 提供一種防護機制,主要用於拒絕 AWS 帳戶、組織單位或組織層級的特定或整個類別的 API 作業。這些控制可用於確保工作負載僅部署在指定的 AWS 區域,或拒絕存取特定 AWS 服務。
步驟 3
自動化:自動化可確保組織因佈設新的團隊和工作負載而新增 AWS 帳戶時,持續一致地套用防護機制。它可修復合規偏移,並在根組織帳戶中提供防護機制。
步驟 4
加密:具有客戶受管金鑰的 AWS Key Management Service (AWS KMS),無論是在 Amazon Simple Storage Service (Amazon S3) 儲存貯體、Amazon Elastic Block Store (Amazon EBS) 磁碟區、Amazon Relational Database Service (Amazon RDS),還是其他 AWS 儲存服務中,都使用 FIPS 140-2 驗證加密來加密存放的靜態資料。其使用 TLS 1.2 或更高版本來保護傳輸中的資料。步驟 5
單一登入:AWS Identity and Access Management (IAM) 的一項功能,IAM Identity Center 用於在整個組織中的 AWS 帳戶為授權主體提供集中式 IAM 角色假設。組織的現有身分來源於客戶現有的 Active Directory (AD) 身分儲存或其他第三方身分提供者 (IdP)。AWS 使用驗證器應用程式、安全金鑰和內建驗證器執行多重要素驗證,支援 WebAuthn、FIDO2 和通用第二要素 (U2F) 驗證和裝置。
步驟 1
具有多個帳戶的組織:組織將多個由單一客戶實體控制的單獨 AWS 帳戶進行分組。這可合併帳單、使用組織單位的群組帳戶,並有助於使用 SCP 來部署組織預防性控制。步驟 2
預防性安全控制:這些控制透過 SCP 來實作,可保護架構、防止防護機制停用,以及封鎖不良的使用者行為。SCP 提供一種防護機制,主要用於拒絕 AWS 帳戶、組織單位或組織層級的特定或整個類別的 API 作業。這些控制可用於確保工作負載僅部署在指定的 AWS 區域,或拒絕存取特定 AWS 服務。
步驟 3
自動化:自動化可確保組織因佈設新的團隊和工作負載而新增 AWS 帳戶時,持續一致地套用防護機制。它可修復合規偏移,並在根組織帳戶中提供防護機制。
步驟 4
加密:具有客戶受管金鑰的 AWS Key Management Service (AWS KMS),無論是在 Amazon Simple Storage Service (Amazon S3) 儲存貯體、Amazon Elastic Block Store (Amazon EBS) 磁碟區、Amazon Relational Database Service (Amazon RDS),還是其他 AWS 儲存服務中,都使用 FIPS 140-2 驗證加密來加密存放的靜態資料。其使用 TLS 1.2 或更高版本來保護傳輸中的資料。步驟 5
單一登入:AWS Identity and Access Management (IAM) 的一項功能,IAM Identity Center 用於在整個組織中的 AWS 帳戶為授權主體提供集中式 IAM 角色假設。組織的現有身分來源於客戶現有的 Active Directory (AD) 身分儲存或其他第三方身分提供者 (IdP)。AWS 使用驗證器應用程式、安全金鑰和內建驗證器執行多重要素驗證,支援 WebAuthn、FIDO2 和通用第二要素 (U2F) 驗證和裝置。
-
安全帳戶
-
此架構圖顯示了如何集中設定跨 AWS 服務和帳戶的綜合日誌集合。 請遵循此架構圖中的步驟,來部署本指引中的「安全帳戶」部分。
按一下以放大
步驟 1
集中式日誌記錄:此架構規範了 AWS 服務和帳戶間的綜合日誌收集和集中化。AWS CloudTrail 日誌在整個組織範圍內運作,可在整個雲端環境提供完整的控制平面稽核功能。Amazon CloudWatch Logs 是一項雲端原生 AWS 日誌記錄服務,用於擷取各種日誌,包括作業系統和應用程式日誌、VPC 流量日誌,以及網域名稱系統日誌,這些日誌隨後會集中化,並且僅供定義的安全人員使用。
步驟 2
集中式安全監控:透過自動部署多種不同類型的偵測性安全控制,在客戶的 AWS 組織中顯示合規偏移和安全威脅。這包括在組織的每個帳戶中啟用多種 AWS 安全服務。這些安全服務包括 Amazon GuardDuty、AWS Security Hub、AWS Config、AWS Firewall Manager、Amazon Macie、IAM Access Analyzer 和 CloudWatch 警示。應將多帳戶環境中的控制和可視性委派給單一中央安全工具帳戶,以便在整個組織範圍內輕鬆洞察所有安全調查結果與合規偏差。
步驟 3
僅檢視存取權和可搜尋性:在整個組織中對安全帳戶提供僅檢視存取權 (包括對每個帳戶 CloudWatch 主控台的存取權),以便在事件期間進行調查。僅檢視存取權與唯讀存取權不同,因為它不提供任何資料的存取權。提供選用附加元件,可取用綜合的集中式日誌,使其可搜尋,提供關聯性和基本儀表板。
步驟 1
集中式日誌記錄:此架構規範了 AWS 服務和帳戶間的綜合日誌收集和集中化。AWS CloudTrail 日誌在整個組織範圍內運作,可在整個雲端環境提供完整的控制平面稽核功能。Amazon CloudWatch Logs 是一項雲端原生 AWS 日誌記錄服務,用於擷取各種日誌,包括作業系統和應用程式日誌、VPC 流量日誌,以及網域名稱系統日誌,這些日誌隨後會集中化,並且僅供定義的安全人員使用。
步驟 2
集中式安全監控:透過自動部署多種不同類型的偵測性安全控制,在客戶的 AWS 組織中顯示合規偏移和安全威脅。這包括在組織的每個帳戶中啟用多種 AWS 安全服務。這些安全服務包括 Amazon GuardDuty、AWS Security Hub、AWS Config、AWS Firewall Manager、Amazon Macie、IAM Access Analyzer 和 CloudWatch 警示。應將多帳戶環境中的控制和可視性委派給單一中央安全工具帳戶,以便在整個組織範圍內輕鬆洞察所有安全調查結果與合規偏差。
步驟 3
僅檢視存取權和可搜尋性:在整個組織中對安全帳戶提供僅檢視存取權 (包括對每個帳戶 CloudWatch 主控台的存取權),以便在事件期間進行調查。
僅檢視存取權與唯讀存取權不同,因為它不提供任何資料的存取權。提供選用附加元件,可取用綜合的集中式日誌,使其可搜尋,提供關聯性和基本儀表板。
-
基礎設施帳戶
-
此架構圖顯示了如何使用 Virtual Private Clouds (VPC),來建立集中式、隔離的聯網環境。 請遵循此架構圖中的步驟,來部署本指引中的「基礎設施帳戶」部分。
按一下以放大
步驟 1
集中式、隔離的聯網:透過 Amazon Virtual Private Cloud (Amazon VPC) 建置 VPC,可用於在工作負載之間建立資料平面隔離,並集中在共用網路帳戶中。集中化促進實現強大的職責分隔與成本優化。步驟 2
中介連線:透過使用 AWS Transit Gateway、AWS Site-to-Site VPN、新一代防火牆和 AWS Direct Connect (如適用),在輸入和輸出的中心點處理內部部署環境、網際網路輸出、共用資源和 AWS API 的中介連線。步驟 3
替代選項:集中式 VPC 架構並非適用於所有客戶。對於不太關注成本優化的客戶,針對中央共用網路帳戶中,透過 Transit Gateway 互聯的本機帳戶 VPC,提供了一個選項。
使用這兩種選項,架構規範了從 AWS 公有 API 端點到客戶的私有 VPC 位址空間的遷移,並使用集中式端點來提高成本效率。
步驟 4
集中式輸入和輸出基礎設施即服務 (IaaS) 檢查:通常會看到以 IaaS 為基礎的工作負載的集中式輸入和輸出要求。架構提供此功能,以便客戶能夠決定原生 AWS 輸入和輸出防火牆檢測服務 (例如 AWS Network Firewall、AWS WAF 或透過 Elastic Load Balancing (ELB) 的 Application Load Balancer) 是否符合其要求。如果不符合,客戶可使用第三方防火牆設備來增強這些功能。該架構支援從 AWS 防火牆開始,然後切換至第三方防火牆,或使用輸入和輸出防火牆技術的組合。
步驟 1
集中式、隔離的聯網:透過 Amazon Virtual Private Cloud (Amazon VPC) 建置 VPC,可用於在工作負載之間建立資料平面隔離,並集中在共用網路帳戶中。集中化促進實現強大的職責分隔與成本優化。步驟 2
中介連線:透過使用 AWS Transit Gateway、AWS Site-to-Site VPN、新一代防火牆和 AWS Direct Connect (如適用),在輸入和輸出的中心點處理內部部署環境、網際網路輸出、共用資源和 AWS API 的中介連線。步驟 3
替代選項:集中式 VPC 架構並非適用於所有客戶。對於不太關注成本優化的客戶,針對中央共用網路帳戶中,透過 Transit Gateway 互聯的本機帳戶 VPC,提供了一個選項。
使用這兩種選項,架構規範了從 AWS 公有 API 端點到客戶的私有 VPC 位址空間的遷移,並使用集中式端點來提高成本效率。
步驟 4
集中式輸入和輸出基礎設施即服務 (IaaS) 檢查:通常會看到以 IaaS 為基礎的工作負載的集中式輸入和輸出要求。架構提供此功能,以便客戶能夠決定原生 AWS 輸入和輸出防火牆檢測服務 (例如 AWS Network Firewall、AWS WAF 或透過 Elastic Load Balancing (ELB) 的 Application Load Balancer) 是否符合其要求。如果不符合,客戶可使用第三方防火牆設備來增強這些功能。該架構支援從 AWS 防火牆開始,然後切換至第三方防火牆,或使用輸入和輸出防火牆技術的組合。
-
應用程式、社群、團隊或群組帳戶 (敏感)
-
此架構圖顯示了如何設定屬於軟體開發生命週期不同階段的工作負載,或不同 IT 管理角色之間的分割和區隔。請遵循此架構圖中的步驟,來部署本指引中的「應用程式」、「社群」、「團隊」或「群組帳戶」部分。
按一下以放大
步驟 1
分割與區隔:該架構不僅僅在軟體開發生命週期不同階段的工作負載或不同 IT 管理角色之間 (例如,聯網、輸入和輸出防火牆以及工作負載之間) 提供強大的分割與區隔。它還提供強大的網路分區架構,透過將每個執行個體或元件封裝在 AWS Nitro System 硬體中強制執行的具狀態防火牆,以及使用 ELB 和 AWS WAF 等服務來對環境進行微型分割。
步驟 2
嚴格地強制執行所有網路流程,除非明確允許,否則在應用程式、應用程式內的層,以及應用程式層內的節點之間會封鎖橫向移動。此外,使用 CI/CD 架構建議,防止在開發、測試和生產之間進行路由,以實現開發人員敏捷性,並在適當核准的環境之間輕鬆提升程式碼。
步驟 1
分割與區隔:該架構不僅僅在軟體開發生命週期不同階段的工作負載或不同 IT 管理角色之間 (例如,聯網、輸入和輸出防火牆以及工作負載之間) 提供強大的分割與區隔。它還提供強大的網路分區架構,透過將每個執行個體或元件封裝在 AWS Nitro System 硬體中強制執行的具狀態防火牆,以及使用 ELB 和 AWS WAF 等服務來對環境進行微型分割。
步驟 2
嚴格地強制執行所有網路流程,除非明確允許,否則在應用程式、應用程式內的層,以及應用程式層內的節點之間會封鎖橫向移動。此外,使用 CI/CD 架構建議,防止在開發、測試和生產之間進行路由,以實現開發人員敏捷性,並在適當核准的環境之間輕鬆提升程式碼。
Well-Architected 支柱
AWS Well-Architected Framework 可協助您了解在雲端建立系統時所做決策的利弊。該架構的六根支柱讓您能夠學習設計和操作可靠、安全、高效、經濟高效且永續的系統的架構最佳實務。使用 AWS Well-Architected Tool (在 AWS 管理主控台中免費提供),您可以透過回答每根支柱的一組問題來針對這些最佳實務審查您的工作負載。
上方的架構圖是一個考量到 Well-Architected 最佳實務而建立的的解決方案的範例。若要完全實現 Well-Architected,您應該盡可能地多遵循 Well-Architected 的最佳實務。
-
卓越營運閱讀卓越營運白皮書
本指引使用 Organizations 搭配 AWS CloudFormation 堆疊和組態,為您的 AWS 環境建立安全的基礎。這可提供基礎設施即代碼 (IaC) 解決方案,加速您實作技術安全控制。組態規則可修復任何已確定對規範性架構產生負面影響的組態增量。您可以使用 AWS 全球商業基礎設施,來處理敏感的分類工作負載,並將安全系統自動化,以加速交付任務,同時持續改善流程和程序。
-
安全性閱讀安全白皮書
本指引使用 Organizations 來協助部署組織防護機制,例如,使用 CloudTrail 進行 API 日誌記錄。本指引還提供預防性控制,使用規範性 AWS SCP 做為防護機制,主要用於拒絕環境中的特定或整個類別的 API (以確保工作負載僅部署在指定區域),或拒絕存取特定 AWS 服務。CloudTrail 和 CloudWatch 日誌支援在 AWS 服務和帳戶間規範綜合日誌收集和集中化。AWS 安全功能和多種與安全相關服務均以定義的模式設定,可協助您滿足全球各種最嚴格的安全要求。
-
可靠性閱讀可靠性白皮書
本指引使用多個可用區域 (AZ),因此,中斷一個可用區域不會影響應用程式可用性。您可使用 CloudFormation,以安全和受控的方式自動佈建和更新基礎架構。本指引還提供預先建置的規則,用於評估您環境中的 AWS 資源組態和組態變更,或者您可在 AWS Lambda 中建立自訂規則,以定義最佳實務和指導方針。您可自動擴展環境,以滿足需求,並減少設定錯誤或暫時性網路問題等中斷。
-
效能達成效率閱讀效能達成效率白皮書
本指引使用 Transit Gateway,可簡化雲端基礎設施管理,這可做為中央樞紐,透過單一閘道來連線多個 VPC,從而更輕鬆地擴展和維護網路架構。這可簡化您的網路架構,並促進組織內不同 AWS 帳戶之間的高效流量路由。
-
成本最佳化閱讀成本最佳化白皮書
本指引能夠促使避免或消除不必要的成本或使用次佳資源。Organizations 提供集中化和合併帳單,促進資源使用和成本優化的強大分割。本指引規範了從 AWS 公有 API 端點到您的私有 VPC 位址空間的遷移,並使用集中式端點來提高成本效率。此外,您還可以使用 AWS Cost and Usage Reports (AWS CUR) 來追蹤 AWS 使用量和估算費用。
-
永續發展閱讀永續發展白皮書
本指引可協助您減少與管理您自己的資料中心內工作負載關聯的碳足跡。相較於傳統的資料中心,AWS 全球基礎設施提供支援基礎設施 (例如,電源、冷卻和聯網)、更高的使用率,以及更快的技術更新。此外,工作負載的分割與區隔可協助您減少不必要的資料移動,Amazon S3 提供儲存層以及自動將資料移至高效率儲存層的功能。
相關內容
TSE-SE 範例組態 (具有 LZA 自動化引擎)
Trusted Secure Enclaves – Sensitive Edition
免責聲明
範例程式碼、軟體庫、命令列工具、概念驗證、範本或其他相關技術 (包括我們的人員提供的任何上述技術) 依據 AWS 客戶協議或您與 AWS 之間的相關書面協議 (以適用者為準) 作為 AWS 內容提供給您。您不得在您的生產帳戶、生產或其他關鍵資料中使用此 AWS 內容。您有責任根據您的特定品質控制實務和標準,依生產級用途來測試、保護和最佳化 AWS 內容 (如範例程式碼)。部署 AWS 內容可能會因建立或使用 AWS 收費資源 (如執行 Amazon EC2 執行個體或使用 Amazon S3 儲存) 而產生 AWS 費用。
本指引中對第三方服務或組織的參考並不意味著 Amazon 或 AWS 與第三方之間的認可、贊助或聯繫。AWS 的指引是技術起點,您可以在部署架構時自訂與第三方服務的整合。