AWS Security Reference Architecture: Przewodnik po projektowaniu z usługami bezpieczeństwa AWS

2 sierpnia 2021

Amazon Web Services (AWS) z przyjemnością ogłasza publikację AWS Security Reference Architecture (AWS SRA). Jest to obszerny zestaw przykładów, przewodników oraz zagadnień projektowych, których możesz użyć, aby wdrożyć pełen zestaw usług bezpieczeństwa AWS w środowisku wielokontowym, którym zarządzasz za pośrednictwem organizacji AWS. Architektura i towarzyszące jej rekomendacje opierają się na naszym doświadczeniu w AWS z klientami korporacyjnymi. AWS SRA jest zbudowana wokół jednostronicowej architektury, która z kolei przedstawia prostą, trójwarstwową architekturę internetową i pokazuje, w jaki sposób usługi bezpieczeństwa AWS pomagają osiągnąć cele bezpieczeństwa; gdzie są najlepiej wdrażane i zarządzane na kontach AWS; oraz jak współdziałają z innymi zasadami bezpieczeństwa. Wskazówki są dostosowane do podstaw bezpieczeństwa AWS, w tym AWS Cloud Adoption Framework (AWS CAF), AWS Well-Architected i AWS Shared Responsibility Model.

Kierownicy do spraw bezpieczeństwa, architekci i inżynierowie mogą korzystać z AWS SRA, aby zrozumieć usługi i funkcje bezpieczeństwa AWS, widząc bardziej szczegółowe wyjaśnienie organizacji kont funkcjonalnych w ramach architektury i poszczególnych usług w ramach kont AWS. Dokument i towarzyszące mu repozytorium kodu może zostać użyte na dwa sposoby. Po pierwsze możesz skorzystać z AWS SRA jako praktycznego przewodnika po wdrażaniu usług bezpieczeństwa AWS, zaczynając od podstawowych wskazówek dotyczących bezpieczeństwa, omawiając każdą usługę i jej rolę w architekturze, a kończąc na omówieniu możliwych do wdrożenia przykładów kodu. Alternatywnie AWS SRA może służyć jako punkt wyjścia do zdefiniowania architektury bezpieczeństwa dla własnego środowiska z wieloma kontami. Został zaprojektowany, aby zachęcić Cię do rozważenia własnych decyzji dotyczących bezpieczeństwa. Na przykład możesz zastanowić się, jak wykorzystać punkty końcowe wirtualnej chmury prywatnej (VPC) jako warstwę kontroli bezpieczeństwa lub zastanowić się, które mechanizmy kontrolne są zarządzane na koncie aplikacji i jak odpowiednie informacje mogą przepłynąć do centralnego zespołu ds. bezpieczeństwa.

Dokumentowi referencyjnemu towarzyszy repozytorium kodu GitHub, które zapewnia przykłady, w jaki sposób wdrażać usługi. W przykładach używane są typowe formy wdrażania, takie jak Customizations for AWS Control Tower, AWS CloudFormation StackSets i AWS Landing Zone. Wszystkie przykładowe rozwiązania są wdrażane wraz z zalecanymi konfiguracjami i celowo są bardzo restrykcyjne, aby zademonstrować wzorce we wskazówkach AWS SRA. AWS będzie regularnie dodawać kolejne przykładowe rozwiązania dla nowych i istniejących usług.

Repozytorium dokumentów i kodu AWS SRA to żywe artefakty, które będą okresowo aktualizowane w oparciu o nowe wersje usług i funkcji, opinie klientów i pojawiające się najlepsze praktyki.

Zapowiedź

Oto schemat podstawowej architektury z przewodnika: AWS SRA w swojej najprostszej formie. Architektura jest celowo modułowa i zapewnia abstrakcyjny widok z wysokiego poziomu, który reprezentuje ogólną aplikację internetową. Organizacja i struktura kont AWS są zgodne z najnowszymi wytycznymi AWS, dotyczącymi korzystania z wielu kont AWS.

AWS-Security-Reference-Architecture

Jak korzystać z AWS SRA

Wytyczne AWS SRA mogą być wykorzystane jako opis lub odniesienie. Tematy są zorganizowane w formie opowieści, dzięki czemu możesz przeczytać je od początku (podstawowe wskazówki dotyczące bezpieczeństwa) do końca (omówienie przykładów kodu, które można zaimplementować). Ewentualnie możesz poruszać się po dokumencie, aby skupić się na zasadach bezpieczeństwa, usługach, typach kont, wskazówkach i przykładach, które są najbardziej odpowiednie dla Twoich potrzeb.

Dokumentacja AWS SRA zawiera 5 głównych sekcji, które prowadzą Cię od podstaw bezpieczeństwa AWS do wdrażania przykładów kodu:

  • Podstawy bezpieczeństwa przegląd AWS CAF, AWS Well-Architected Framework i AWS Shared Responsibility Model, a także podkreślenie elementów, które są szczególnie istotne dla AWS SRA.
  • AWS Organizacje i strategia kont  przedstawienie usług AWS Organizations, omówienie ich podstawowych funkcji bezpieczeństwa i barier ochronnych oraz przedstawienie przeglądu zalecanej przez twórców strategii wielu kont.
  • AWS Security Reference Architecture  jednostronicowy diagram architektury, który pokazuje wszystkie usługi i funkcje zabezpieczeń AWS, w tym szczegółowe wyjaśnienie kont funkcjonalnych i poszczególnych usług w ramach każdego konta.
  • Zasoby uprawnień IAM  przedstawienie podsumowania i zestawu wskaźników do ważnych zaleceń dotyczących zarządzania tożsamością i dostępem AWS (IAM).
  • Repozytorium kodu dla przykładów AWS SRA  zawiera przegląd powiązanego publicznego repozytorium GitHub, które zawiera przykładowe szablony AWS CloudFormation i kod do wdrażania niektórych wzorców omówionych w AWS SRA.

AWS SRA zawiera sekcję Design Considerations dla każdego z elementów, który omawia opcjonalne funkcje lub konfiguracje mogące mieć ważne implikacje dla bezpieczeństwa lub uchwycić typowe różnice w sposobie implementacji tego elementu  zazwyczaj w wyniku alternatywnych wymagań lub ograniczeń.

Kiedy używać AWS SRA

Możesz odwoływać się do AWS SRA na różnych etapach migracji do chmury AWS. W początkowej fazie możesz użyć tego dokumentu do zaprojektowania własnego środowiska AWS z wieloma kontami i wplecenia różnych usług bezpieczeństwa, które AWS ma do zaoferowania. Jeśli korzystasz z AWS już od jakiegoś czasu, możesz użyć AWS SRA, aby ocenić obecną architekturę i wprowadzić poprawki w celu poprawy stanu bezpieczeństwa, wykorzystując pełny potencjał różnych usług bezpieczeństwa AWS. Jeśli znajdujesz się na zaawansowanym etapie wdrażania AWS Cloud, możesz użyć AWS SRA, aby niezależnie zweryfikować swoją architekturę bezpieczeństwa pod kątem zalecanej architektury AWS.

Kolejne kroki

Nie możesz hostować swoich obciążeń „na papierze”, dlatego kolejnym krokiem jest rozpoczęcie tworzenia architektury referencyjnej. Możesz wykorzystać architekturę i powiązane przykłady kodu i tym samym połączyć je z najlepszymi praktykami organizacji, aby rozpocząć tworzenie architektury klasy produkcyjnej. Jeśli potrzebujesz pomocy, możesz skontaktować się z AWS Professional Services, zespołem ds. kont AWS lub AWS Partner Network, którzy mogą współpracować z Tobą, aby przetłumaczyć architekturę referencyjną na dostosowane środowisko AWS, które następnie możesz obsługiwać.

Jeśli posiadasz uwagi do tego artykułu, pozostaw je w sekcji Komentarze, znajdującej się poniżej. Jeśli potrzebujesz pomocy przy projektowaniu lub wdrażaniu bezpiecznego środowiska AWS, skontaktuj się z AWS Professional Services.

 

 

 

 

Case Studies
Migracja Rapid Delivery Analytics do chmury AWS, współfinansowana z programu Startup Migrate Asses
Migracja infrastruktury Rapid Delivery Analytics do chmury AWS, współfinansowana z programu StartUp Migrate Asses
7 Aut x Budda
Testy penetracyjne, ochrona anty-DDoS i opieka administracyjna dla organizatora jednej z największych loterii w polskim Internecie, „7 Aut x Budda”
Referencje

Hostersi zrealizowali usługi konsultingowe z zakresu doboru odpowiedniej bazy danych w Amazon Web Services oraz pomyślnie przeprowadzili migrację bazy danych MySQL do Amazon Aurora. 

Tomasz Ślązok
CTO Landingi
W skrócie o nas
Specjalizujemy się w dostarczaniu rozwiązań IT w obszarach projektowania infrastruktury serwerowej, wdrażania chmury obliczeniowej, opieki administracyjnej i bezpieczeństwa danych.