Руководство по Trusted Secure Enclaves на AWS

Шаг 1
Организация с несколькими аккаунтами: организация группирует несколько отдельных аккаунтов AWS, которыми управляет одна клиентская организация. Это позволяет консолидировать выставление счетов, группировать учетные записи с помощью OU и упрощать внедрение профилактических средств управления в организации посредством SCP. 

Шаг 2
Профилактическое управление безопасностью: эти средства управления, реализованные SCP, защищают архитектуру, предотвращают отключение ограничений и блокируют нежелательное поведение пользователей. Политики SCP предоставляют ограничительный механизм, который в основном используется для запрета определенных или целых категорий операций API на уровне аккаунта AWS, OU или организации. Их можно использовать, чтобы обеспечить развертывание рабочих нагрузок только в определенных регионах AWS или запретить доступ к определенным сервисам AWS. 

Шаг 3
Автоматизация: автоматизация обеспечивает непрерывное применение ограничивающих мер при добавлении организацией новых учетных записей AWS по мере привлечения новых команд и рабочих нагрузок. Оно устраняет несоответствие нормативным требованиям и создает ограничения в аккаунте привелигированной организации.

Шаг 4
Шифрование: Сервис управления ключами AWS (AWS KMS) с ключами, управляемыми клиентом, шифрует данные, хранящиеся в состоянии покоя, с помощью шифрования, подтвержденного FIPS 140-2, в корзинах Простого сервиса хранения данных Amazon (Amazon S3), томах Магазина эластичных блоков Amazon (Amazon EBS), базах данных Службы реляционных баз данных Amazon (Amazon RDS) или других сервисах хранения AWS. Шифрование защищает передаваемые данные с помощью протокола TLS 1.2 или более новой версии.

Шаг 5
Единый вход: функция Управления идентификацией и доступом AWS (AWS IAM), Центр идентификации AWS IAM, используется для централизованного принятия ролей IAM в учетных записях AWS по всей организации для авторизованных пользователей. Существующие идентификационные данные организации могут быть получены из существующего хранилища идентификационных данных Active Directory (AD) клиента или другого стороннего поставщика идентификации (IdP). 

AWS упрощает применение многофакторной аутентификации с помощью приложений-аутентификаторов, ключей безопасности и встроенных аутентификаторов, поддерживающих аутентификацию и устройства WebAuthn, FIDO2 и Universal 2nd Factor (U2F).

Шаг 1
Централизованное ведение журналов: эта архитектура предусматривает комплексный сбор и централизацию журналов между сервисами и аккаунтами AWS. Журналы AWS CloudTrail регистрирует работу по всей организации, обеспечивая полную возможность аудита на уровне управления в облачной среде. 

Журналы Amazon CloudWatch, облачный сервис ведения журналов AWS, используется для сбора разнообразных журналов, включая журналы ОС и приложений, журналы потоков VPC и журналы системы доменных имен, которые затем централизованы и доступны только определенным сотрудникам службы безопасности.

Шаг 2
Централизованный мониторинг безопасности: благодаря автоматическому развертыванию различных типов средств управления для обнаружения угроз безопасности в организации AWS клиента выявляются проблемы, связанные с нормативно-правовым соответствием, и угрозы безопасности. Сюда входит активация множества сервисов безопасности AWS в каждом аккаунте организации. 

Такие сервисы включают Amazon GuardDuty, Центр безопасности AWS, AWS Config, Диспетчер брандмауэра AWS, Amazon Macie, Анализатор доступа IAM и оповещения CloudWatch. Контроль и наглядность в среде с несколькими аккаунтами следует делегировать единому центральному аккаунту с инструментами безопасности, чтобы в масштабах всей организации было легко отслеживать все результаты мониторинга безопасности и нормативно-правового соответствия.

Шаг 3
Доступ только для просмотра и возможность поиска: аккаунт для управления безопасностью имеет доступ только для просмотра по всей организации (включая доступ к консоли CloudWatch каждого аккаунта) для облегчения расследования инцидента. 

Доступ только для просмотра отличается от доступа только для чтения тем, что он не предоставляет доступа ни к каким данным. Доступно дополнение, позволяющее использовать полный набор централизованных журналов, чтобы сделать их доступными для поиска, обеспечивая корреляцию и базовые информационные панели.

Шаг 1
Централизованная изолированная сеть: VPC созданные с помощью Виртуального частного облака Amazon (Amazon VPC), используются для изоляции рабочих нагрузок на плоскости передачи данных, централизованной в общей сетевой учетной записи. Централизация способствует строгой сегрегации обязанностей и оптимизации расходов.

Шаг 2
Опосредованное подключение: подключение к локальным средам, выходу в Интернет, общим ресурсам и API AWS обеспечивается в центральной точке входа и выхода с помощью Транспортного шлюза AWS, AWS VPN «сеть-сайт» брандмауэров нового поколения и AWS Direct Connect (если применимо).

Шаг 3
Альтернативные варианты: централизованная архитектура VPC подходит не всем клиентам. Для клиентов, которые меньше интересуются оптимизацией затрат, существует возможность использования VPC на основе локальных аккаунтов, связанных через транспортные шлюзы в центральном аккаунте общей сети. 

В обоих вариантах архитектура предусматривает перемещение публичных адресов API AWS в частное адресное пространство VPC клиента с использованием централизованных адресов для экономии средств.

Шаг 4
Централизованная проверка входящей и исходящей инфраструктуры как услуги (IaaS): для рабочих нагрузок на основе IaaS часто встречаются требования к централизованному входу и выходу. Архитектура предоставляет эту функцию, поэтому клиенты могут решить, соответствуют ли их требованиям собственные сервисы AWS для проверки входных и исходящих брандмауэров, такие как Сетевой брандмауэр AWS, AWS WAF или Балансировщик нагрузки приложений посредством Эластичной балансировки нагрузки (ELB). 

В противном случае клиенты могут расширить эти возможности с помощью брандмауэров сторонних производителей. Архитектура поддерживает запуск с брандмауэра AWS и переход на брандмауэр сторонних производителей или использование комбинации технологий брандмауэра входа и выхода.

Шаг 1
Сегментация и разделение: архитектура обеспечивает не просто четкую сегментацию и разделение рабочих нагрузок на разных этапах жизненного цикла разработки ПО или между различными ролями ИТ-администрирования (например, между сетями, брандмауэрами входа и выхода и рабочими нагрузками). 

Он также предлагает надежную архитектуру зонирования сети, позволяющую микросегментировать среду путем объединения каждого инстанса или компонента в брандмауэр с отслеживанием состояния, который используется в аппаратном обеспечении системы AWS Nitro, а также в таких сервисах, как ELB и AWS WAF.

Шаг 2
Все сетевые потоки жестко контролируются, а горизонтальное перемещение между приложениями, уровнями внутри приложения и узлами уровня приложения, если это явно не разрешено. Кроме того, исключается маршрутизация между уровнями разработки, тестирования и производства, а рекомендации по архитектуре CI/CD обеспечивают гибкие возможности для разработчиков и упрощают продвижение кода между средами при наличии соответствующих разрешений.