Schützen und isolieren Sie Ihre hochsensiblen Workloads mit einer sicheren Enklave
Diese Anleitung zeigt, wie Sie eine umfassende Cloud-Architektur für sensible Workloads in den Bereichen nationale Sicherheit, Verteidigung und nationale Strafverfolgung aufbauen können. Durch die Verwendung einer Architektur mit mehreren Konten in AWS können Sie Ihre Missionen erfüllen und gleichzeitig sensible Daten und Workloads schützen. Diese Anleitung soll Ihnen helfen, strenge und einzigartige Sicherheits- und Compliance-Anforderungen zu erfüllen. Sie befasst sich mit zentralem Identitäts- und Zugriffsmanagement, Governance, Datensicherheit, umfassender Protokollierung sowie Netzwerkdesign und -segmentierung in Übereinstimmung mit verschiedenen US-Sicherheitsrahmen.
Bitte beachten: [Haftungsausschluss]
Architekturdiagramm
-
Übersicht
-
Organisations-Verwaltungskonto
-
Sicherheitskonten
-
Infrastrukturkonten
-
Anwendungs-, Community-, Team- oder Gruppenkonten (vertraulich)
-
Übersicht
-
Dieses Architekturdiagramm bietet einen Überblick über die Konfiguration umfassender Workloads mit mehreren Konten mit einzigartigen Sicherheits- und Compliance-Anforderungen. Weitere Informationen zur Bereitstellung dieser Anleitung finden Sie auf den anderen Registerkarten.
Zum Vergrößern klicken
Schritt 1
Eine Organisation in AWS Organizations mit mehreren Konten, die sich an Service-Kontrollrichtlinien (SCPs) orientieren: Die Organisation gruppiert mehrere separate AWS-Konten, die von einer einzigen Kundeneinheit kontrolliert werden. Separate AWS-Konten bieten eine starke Isolierung der Steuerungsebene und der Datenebene zwischen Workloads oder Umgebungen, als ob sie unterschiedlichen AWS-Kunden gehören würden.Schritt 2
Das Verwaltungskonto wird verwendet, um die Organisation zu erstellen. Vom Verwaltungskonto der Organisation aus können Sie Folgendes tun:- Konten in der Organisation erstellen und Richtlinien für alle Organisationseinheiten (OE) verwalten.
- Die folgenden OE mit der Organisation verbinden:
- Sicherheits-OE
- Infrastruktur-OE
- OE für sensible Anwendungen
Jede Organisationseinheit verfügt je nach Design über ein oder mehrere Mitgliedskonten oder verschachtelte OE.
Schritt 3
Die Anwendungs-OE wird über mehrere verschachtelte Organisationseinheiten verfügen, die der Anwendungsbereitstellung und dem Lebenszyklusmanagement gewidmet sind, und umfasst Folgendes:- Dev-OE
- Test-OE
- Prod-OE
- Geteilte OE
Darüber hinaus können Sandbox-OE auch als nicht-sensible Workloads bereitgestellt werden.
Schritt 1
Eine Organisation in AWS Organizations mit mehreren Konten, die sich an Service-Kontrollrichtlinien (SCPs) orientieren: Die Organisation gruppiert mehrere separate AWS-Konten, die von einer einzigen Kundeneinheit kontrolliert werden. Separate AWS-Konten bieten eine starke Isolierung der Steuerungsebene und der Datenebene zwischen Workloads oder Umgebungen, als ob sie unterschiedlichen AWS-Kunden gehören würden.Schritt 2
Das Verwaltungskonto wird verwendet, um die Organisation zu erstellen. Vom Verwaltungskonto der Organisation aus können Sie Folgendes tun:- Konten in der Organisation erstellen und Richtlinien für alle Organisationseinheiten (OE) verwalten.
- Die folgenden OE mit der Organisation verbinden:
- Sicherheits-OE
- Infrastruktur-OE
- OE für sensible Anwendungen
Jede Organisationseinheit verfügt je nach Design über ein oder mehrere Mitgliedskonten oder verschachtelte OE.
Schritt 3
Die Anwendungs-OE wird über mehrere verschachtelte Organisationseinheiten verfügen, die der Anwendungsbereitstellung und dem Lebenszyklusmanagement gewidmet sind, und umfasst Folgendes:- Dev-OE
- Test-OE
- Prod-OE
- Geteilte OE
Darüber hinaus können Sandbox-OE auch als nicht-sensible Workloads bereitgestellt werden.
-
Organisations-Verwaltungskonto
-
Dieses Architekturdiagramm zeigt, wie eine Organisation mehrere Konten gruppieren kann, die alle von einer einzigen Kundeneinheit gesteuert werden. Folgen Sie den Schritten in diesem Architekturdiagramm, um das Organisations-Verwaltungskonto bereitzustellen, das Teil dieser Anleitung ist.
Zum Vergrößern klicken
Schritt 1
Eine Organisation mit mehreren Konten: Die Organisation gruppiert mehrere separate AWS-Konten, die von einer einzigen Kundeneinheit kontrolliert werden. Dies konsolidiert die Abrechnung, gruppiert Konten mithilfe von OE und erleichtert die Bereitstellung präventiver Kontrollen einer Organisation mithilfe von SCPs.Schritt 2
Präventive Sicherheitskontrollen: Diese von SCPs implementierten Kontrollen schützen die Architektur, verhindern die Deaktivierung des Integritätsschutzes und blockieren unerwünschtes Benutzerverhalten. SCPs bieten einen Integritätsschutz, der hauptsächlich dazu dient, bestimmte oder ganze Kategorien von API-Vorgängen auf der Ebene des AWS-Kontos, der OE oder der Organisation zu verweigern. Diese können verwendet werden, um sicherzustellen, dass Workloads nur in den vorgeschriebenen AWS-Regionen bereitgestellt werden, oder um den Zugriff auf bestimmte AWS-Services zu verweigern.
Schritt 3
Automatisierung: Die Automatisierung stellt sicher, dass die Leitplanken konsistent bei der Hinzufügung neuer AWS-Konten durch das Unternehmen angewendet werden, wenn neue Teams und Workloads aufgenommen werden. Es behebt Compliance-Abweichungen und bietet Integritätsschutz für das Stammkonto der Organisation.
Schritt 4
Verschlüsselung: AWS Key Management Service (AWS KMS) mit kundenverwalteten Schlüsseln verschlüsselt Daten, die im Ruhezustand gespeichert sind, mit FIPS-140-2-validierter Verschlüsselung, sei es in Amazon Simple Storage Service (Amazon S3)-Buckets, Amazon Elastic Block Store (Amazon EBS)-Volumes, Amazon Relational Database Service (Amazon RDS)-Datenbanken oder anderen AWS-Speicherservices. Der Service schützt Daten während der Übertragung mit TLS 1.2 oder höher.Schritt 5
Single Sign-On: Das IAM Identity Center ist eine Funktion von AWS Identity and Access Management (IAM) und wird verwendet, um autorisierten Prinzipalen eine zentrale IAM-Rollenübernahme in AWS-Konten in der gesamten Organisation zu ermöglichen. Die vorhandenen Identitäten einer Organisation können aus dem bestehenden Active Directory (AD)-Identitätsspeicher eines Kunden oder einem anderen Identitätsanbieter (IdP) bezogen werden.AWS erleichtert die Durchsetzung der Multifaktor-Authentifizierung mithilfe von Authentifikatoren-Apps, Sicherheitsschlüsseln und integrierten Authentifikatoren und unterstützt WebAuthn-, FIDO2, und Universal 2nd Factor (U2F)-Authentifizierung und Geräte.
Schritt 1
Eine Organisation mit mehreren Konten: Die Organisation gruppiert mehrere separate AWS-Konten, die von einer einzigen Kundeneinheit kontrolliert werden. Dies konsolidiert die Abrechnung, gruppiert Konten mithilfe von OE und erleichtert die Bereitstellung präventiver Kontrollen einer Organisation mithilfe von SCPs.Schritt 2
Präventive Sicherheitskontrollen: Diese von SCPs implementierten Kontrollen schützen die Architektur, verhindern die Deaktivierung des Integritätsschutzes und blockieren unerwünschtes Benutzerverhalten. SCPs bieten einen Integritätsschutz, der hauptsächlich dazu dient, bestimmte oder ganze Kategorien von API-Vorgängen auf der Ebene des AWS-Kontos, der OE oder der Organisation zu verweigern. Diese können verwendet werden, um sicherzustellen, dass Workloads nur in den vorgeschriebenen AWS-Regionen bereitgestellt werden, oder um den Zugriff auf bestimmte AWS-Services zu verweigern.
Schritt 3
Automatisierung: Die Automatisierung stellt sicher, dass die Leitplanken konsistent bei der Hinzufügung neuer AWS-Konten durch das Unternehmen angewendet werden, wenn neue Teams und Workloads aufgenommen werden. Es behebt Compliance-Abweichungen und bietet Integritätsschutz für das Stammkonto der Organisation.
Schritt 4
Verschlüsselung: AWS Key Management Service (AWS KMS) mit kundenverwalteten Schlüsseln verschlüsselt Daten, die im Ruhezustand gespeichert sind, mit FIPS-140-2-validierter Verschlüsselung, sei es in Amazon Simple Storage Service (Amazon S3)-Buckets, Amazon Elastic Block Store (Amazon EBS)-Volumes, Amazon Relational Database Service (Amazon RDS)-Datenbanken oder anderen AWS-Speicherservices. Der Service schützt Daten während der Übertragung mit TLS 1.2 oder höher.Schritt 5
Single Sign-On: Das IAM Identity Center ist eine Funktion von AWS Identity and Access Management (IAM) und wird verwendet, um autorisierten Prinzipalen eine zentrale IAM-Rollenübernahme in AWS-Konten in der gesamten Organisation zu ermöglichen. Die vorhandenen Identitäten einer Organisation können aus dem bestehenden Active Directory (AD)-Identitätsspeicher eines Kunden oder einem anderen Identitätsanbieter (IdP) bezogen werden.AWS erleichtert die Durchsetzung der Multifaktor-Authentifizierung mithilfe von Authentifikatoren-Apps, Sicherheitsschlüsseln und integrierten Authentifikatoren und unterstützt WebAuthn-, FIDO2, und Universal 2nd Factor (U2F)-Authentifizierung und Geräte.
-
Sicherheitskonten
-
Dieses Architekturdiagramm zeigt, wie eine umfassende Protokollsammlung über AWS-Services und -Konten hinweg zentral konfiguriert wird. Folgen Sie den Schritten in diesem Architekturdiagramm, um die Sicherheitskonten bereitzustellen, die Teil dieser Anleitung sind.
Zum Vergrößern klicken
Schritt 1
Zentralisierte Protokollierung: Diese Architektur schreibt eine umfassende Protokollerfassung und Zentralisierung aller AWS-Services und -Konten vor. AWS-CloudTrail-Protokolle sind in der gesamten Organisation aktiv und bieten eine vollständige Überprüfbarkeit auf der Steuerungsebene in der gesamten Cloud-Umgebung.Amazon CloudWatch Logs, ein cloudnativer AWS-Protokollierungsservice, wird verwendet, um eine Vielzahl von Protokollen zu erfassen, darunter Betriebssystem- und Anwendungsprotokolle, VPC-Flow-Protokolle und Domainnamen-Systemprotokolle, die dann zentralisiert werden und nur für definiertes Sicherheitspersonal verfügbar sind.
Schritt 2
Zentralisierte Sicherheitsüberwachung: Durch die automatische Bereitstellung einer Vielzahl verschiedener Arten von aufdeckenden Sicherheitskontrollen werden Compliance-Abweichungen und Sicherheitsbedrohungen in der gesamten AWS-Organisation des Kunden aufgedeckt. Dazu gehört auch die Aktivierung der Vielzahl von AWS-Sicherheitsservices in jedem Konto der Organisation.Zu diesen Sicherheitsservices gehören Amazon GuardDuty, AWS Security Hub, AWS Config, AWS Firewall Manager, Amazon Macie, IAM Access Analyzer und CloudWatch-Alarme. Kontrolle und Transparenz sollten in der Umgebung mit mehreren Konten an ein einziges zentrales Konto für Sicherheitstools delegiert werden, damit alle Sicherheitserkenntnisse und Compliance-Abweichungen unternehmensweit leicht einsehbar sind.
Schritt 3
Anzeigerecht und Durchsuchbarkeit: Das Sicherheitskonto erhält in der gesamten Organisation Anzeigerecht (einschließlich Zugriff auf die CloudWatch-Konsole der einzelnen Konten), um die Untersuchung während eines Vorfalls zu erleichtern.Das Anzeigerecht unterscheidet sich vom Lesezugriff dadurch, dass es keinen Zugriff auf Daten bietet. Ein optionales Add-on ist verfügbar, mit dem der umfassende Satz zentralisierter Protokolle verbraucht werden kann, um diese durchsuchbar zu machen und Korrelationen und grundlegende Dashboards bereitzustellen.
Schritt 1
Zentralisierte Protokollierung: Diese Architektur schreibt eine umfassende Protokollerfassung und Zentralisierung aller AWS-Services und -Konten vor. AWS-CloudTrail-Protokolle sind in der gesamten Organisation aktiv und bieten eine vollständige Überprüfbarkeit auf der Steuerungsebene in der gesamten Cloud-Umgebung.Amazon CloudWatch Logs, ein cloudnativer AWS-Protokollierungsservice, wird verwendet, um eine Vielzahl von Protokollen zu erfassen, darunter Betriebssystem- und Anwendungsprotokolle, VPC-Flow-Protokolle und Domainnamen-Systemprotokolle, die dann zentralisiert werden und nur für definiertes Sicherheitspersonal verfügbar sind.
Schritt 2
Zentralisierte Sicherheitsüberwachung: Durch die automatische Bereitstellung einer Vielzahl verschiedener Arten von aufdeckenden Sicherheitskontrollen werden Compliance-Abweichungen und Sicherheitsbedrohungen in der gesamten AWS-Organisation des Kunden aufgedeckt. Dazu gehört auch die Aktivierung der Vielzahl von AWS-Sicherheitsservices in jedem Konto der Organisation.Zu diesen Sicherheitsservices gehören Amazon GuardDuty, AWS Security Hub, AWS Config, AWS Firewall Manager, Amazon Macie, IAM Access Analyzer und CloudWatch-Alarme. Kontrolle und Transparenz sollten in der Umgebung mit mehreren Konten an ein einziges zentrales Konto für Sicherheitstools delegiert werden, damit alle Sicherheitserkenntnisse und Compliance-Abweichungen unternehmensweit leicht einsehbar sind.
Schritt 3
Anzeigerecht und Durchsuchbarkeit: Das Sicherheitskonto erhält in der gesamten Organisation Anzeigerecht (einschließlich Zugriff auf die CloudWatch-Konsole der einzelnen Konten), um die Untersuchung während eines Vorfalls zu erleichtern.
Das Anzeigerecht unterscheidet sich vom Lesezugriff dadurch, dass es keinen Zugriff auf Daten bietet. Ein optionales Add-on ist verfügbar, mit dem der umfassende Satz zentralisierter Protokolle verbraucht werden kann, um diese durchsuchbar zu machen und Korrelationen und grundlegende Dashboards bereitzustellen.
-
Infrastrukturkonten
-
Dieses Architekturdiagramm zeigt, wie eine zentralisierte, isolierte Netzwerkumgebung mit Virtual Private Clouds (VPCs) aufgebaut wird. Folgen Sie den Schritten in diesem Architekturdiagramm, um die Infrastrukturkonten bereitzustellen, die Teil dieser Anleitung sind.
Zum Vergrößern klicken
Schritt 1
Zentralisiertes, isoliertes Netzwerk: VPCs, die über Amazon Virtual Private Cloud (Amazon VPC) erstellt wurden, werden verwendet, um die Datenebene zwischen Workloads zu isolieren, die in einem gemeinsamen Netzwerkkonto zentralisiert sind. Die Zentralisierung ermöglicht eine starke Segmentierung und Kostenoptimierung.Schritt 2
Vermittelte Konnektivität: Konnektivität zu On-Premises-Umgebungen, ausgehendem Internet, gemeinsam genutzten Ressourcen und AWS-APIs werden über AWS Transit Gateway, AWS Site-to-Site VPN, Firewalls der nächsten Generation und AWS Direct Connect (falls zutreffend) an einem zentralen Eingangs- und Ausgangspunkt vermittelt.Schritt 3
Alternative Optionen: Die zentralisierte VPC-Architektur ist nicht für alle Kunden geeignet. Für Kunden, die sich weniger Gedanken über Kostenoptimierung machen, gibt es eine Option für lokale, kontobasierte VPCs, die über Transit Gateway im zentralen gemeinsamen Netzwerkkonto miteinander verbunden sind.
Bei beiden Optionen schreibt die Architektur vor, öffentliche AWS-API-Endpunkte in den privaten VPC-Adressraum des Kunden zu verschieben und zur Kostenoptimierung zentralisierte Endpunkte zu verwenden.
Schritt 4
Zentralisierte Infrastructure-as-a-Service (IaaS)-Inspektion von Ein- und Ausgängen: Es ist üblich, zentralisierte Eingangs- und Ausgangsanforderungen für IaaS-basierte Workloads zu sehen. Die Architektur bietet diese Funktionalität, sodass Kunden entscheiden können, ob die nativen AWS-Services zur Inspektion der Ein- und Ausgänge von Firewalls – wie AWS Network Firewall, AWS WAF oder Application Load Balancer über Elastic Load Balancing (ELB) – ihre Anforderungen erfüllen.Wenn nicht, können Kunden diese Funktionen mit Firewall-Anwendungen von Drittanbietern erweitern. Die Architektur unterstützt den Start mit einer AWS-Firewall und den Wechsel zu einer Firewall eines Drittanbieters oder die Verwendung einer Kombination aus Firewall-Technologien für Ein- und Ausgänge.
Schritt 1
Zentralisiertes, isoliertes Netzwerk: VPCs, die über Amazon Virtual Private Cloud (Amazon VPC) erstellt wurden, werden verwendet, um die Datenebene zwischen Workloads zu isolieren, die in einem gemeinsamen Netzwerkkonto zentralisiert sind. Die Zentralisierung ermöglicht eine starke Segmentierung und Kostenoptimierung.Schritt 2
Vermittelte Konnektivität: Konnektivität zu On-Premises-Umgebungen, ausgehendem Internet, gemeinsam genutzten Ressourcen und AWS-APIs werden über AWS Transit Gateway, AWS Site-to-Site VPN, Firewalls der nächsten Generation und AWS Direct Connect (falls zutreffend) an einem zentralen Eingangs- und Ausgangspunkt vermittelt.Schritt 3
Alternative Optionen: Die zentralisierte VPC-Architektur ist nicht für alle Kunden geeignet. Für Kunden, die sich weniger Gedanken über Kostenoptimierung machen, gibt es eine Option für lokale, kontobasierte VPCs, die über Transit Gateway im zentralen gemeinsamen Netzwerkkonto miteinander verbunden sind.
Bei beiden Optionen schreibt die Architektur vor, öffentliche AWS-API-Endpunkte in den privaten VPC-Adressraum des Kunden zu verschieben und zur Kostenoptimierung zentralisierte Endpunkte zu verwenden.
Schritt 4
Zentralisierte Infrastructure-as-a-Service (IaaS)-Inspektion von Ein- und Ausgängen: Es ist üblich, zentralisierte Eingangs- und Ausgangsanforderungen für IaaS-basierte Workloads zu sehen. Die Architektur bietet diese Funktionalität, sodass Kunden entscheiden können, ob die nativen AWS-Services zur Inspektion der Ein- und Ausgänge von Firewalls – wie AWS Network Firewall, AWS WAF oder Application Load Balancer über Elastic Load Balancing (ELB) – ihre Anforderungen erfüllen.Wenn nicht, können Kunden diese Funktionen mit Firewall-Anwendungen von Drittanbietern erweitern. Die Architektur unterstützt den Start mit einer AWS-Firewall und den Wechsel zu einer Firewall eines Drittanbieters oder die Verwendung einer Kombination aus Firewall-Technologien für Ein- und Ausgänge.
-
Anwendungs-, Community-, Team- oder Gruppenkonten (vertraulich)
-
Dieses Architekturdiagramm zeigt, wie die Segmentierung und Trennung zwischen Workloads, die zu verschiedenen Phasen des Softwareentwicklungszyklus gehören, oder zwischen verschiedenen IT-Administratorrollen konfiguriert werden. Folgen Sie den Schritten in diesem Architekturdiagramm, um die Anwendungs-, Community-, Team- oder Gruppenkonten bereitzustellen, die Teil dieser Anleitung sind.
Zum Vergrößern klicken
Schritt 1
Segmentierung und Trennung: Die Architektur bietet nicht nur eine starke Segmentierung und Trennung zwischen Workloads, die zu verschiedenen Phasen des Softwareentwicklungszyklus gehören, oder zwischen verschiedenen IT-Administratorrollen (z. B. zwischen Netzwerk-, Eingangs- und Ausgangsfirewalls und Workloads).Es bietet auch eine starke Netzwerk-Zonen-Architektur, die die Umgebung mikrosegmentiert, indem jede Instance oder Komponente in eine statusbehaftete Firewall eingebunden wird, die in der Hardware von AWS Nitro System durchgesetzt wird, zusammen mit Services wie ELB und AWS WAF.
Schritt 2
Alle Netzwerkflüsse werden strikt durchgesetzt, wobei laterale Bewegungen zwischen Anwendungen, Ebenen innerhalb einer Anwendung und Knoten in einer Ebene einer Anwendung verhindert werden, sofern dies nicht ausdrücklich erlaubt ist. Darüber hinaus wird das Routing zwischen Dev, Test und Prod durch Empfehlungen zu einer CI/CD-Architektur verhindert, um die Agilität der Entwickler zu gewährleisten und die Code-Promotion zwischen Umgebungen mit entsprechenden Genehmigungen zu erleichtern.
Schritt 1
Segmentierung und Trennung: Die Architektur bietet nicht nur eine starke Segmentierung und Trennung zwischen Workloads, die zu verschiedenen Phasen des Softwareentwicklungszyklus gehören, oder zwischen verschiedenen IT-Administratorrollen (z. B. zwischen Netzwerk-, Eingangs- und Ausgangsfirewalls und Workloads).Es bietet auch eine starke Netzwerk-Zonen-Architektur, die die Umgebung mikrosegmentiert, indem jede Instance oder Komponente in eine statusbehaftete Firewall eingebunden wird, die in der Hardware von AWS Nitro System durchgesetzt wird, zusammen mit Services wie ELB und AWS WAF.
Schritt 2
Alle Netzwerkflüsse werden strikt durchgesetzt, wobei laterale Bewegungen zwischen Anwendungen, Ebenen innerhalb einer Anwendung und Knoten in einer Ebene einer Anwendung verhindert werden, sofern dies nicht ausdrücklich erlaubt ist. Darüber hinaus wird das Routing zwischen Dev, Test und Prod durch Empfehlungen zu einer CI/CD-Architektur verhindert, um die Agilität der Entwickler zu gewährleisten und die Code-Promotion zwischen Umgebungen mit entsprechenden Genehmigungen zu erleichtern.
Well-Architected-Säulen
Das AWS-Well-Architected-Framework hilft Ihnen, die Vor- und Nachteile der Entscheidungen zu verstehen, die Sie beim Aufbau von Systemen in der Cloud treffen. Die sechs Säulen des Frameworks ermöglichen es Ihnen, architektonische bewärhte Methoden für die Entwicklung und den Betrieb zuverlässiger, sicherer, effizienter, kostengünstiger und nachhaltiger Systeme zu erlernen. Mit dem AWS-Well-Architected-Tool, das kostenlos in der AWS-Managementkonsole verfügbar ist, können Sie Ihre Workloads anhand dieser bewährten Methoden überprüfen, indem Sie eine Reihe von Fragen für jede Säule beantworten.
Das obige Architekturdiagramm ist ein Beispiel für eine Lösung, die unter Berücksichtigung der bewährten Methoden von Well-Architected erstellt wurde. Um eine vollständige Well-Architected-Lösung zu erhalten, sollten Sie so viele bewährte Methoden von Well-Architected wie möglich befolgen.
-
Betriebliche ExzellenzWhitepaper zur betrieblichen Exzellenz lesen
In dieser Anleitung werden Organisationen mit AWS-CloudFormation-Stacks und -Konfigurationen verwendet, um eine sichere Grundlage für Ihre AWS-Umgebung zu schaffen. Dies bietet eine Infrastructure-as-Code (IaC)-Lösung, die Ihre Implementierung technischer Sicherheitskontrollen beschleunigt. Konfigurationsregeln korrigieren alle Konfigurationsdeltas, von denen festgestellt wurde, dass sie sich negativ auf die vorgeschriebene Architektur auswirken. Sie können die globale kommerzielle Infrastruktur von AWS für vertrauliche, klassifizierte Workloads nutzen und sichere Systeme automatisieren, um Aufträge schneller abzuwickeln und gleichzeitig Ihre Prozesse und Verfahren kontinuierlich zu verbessern.
-
SicherheitWhitepaper zur Sicherheit lesen
In diesem Leitfaden werden Organisationen verwendet, um die Bereitstellung eines organisatorischen Integritätsschutzes wie der API-Protokollierung mit CloudTrail zu erleichtern. Diese Anleitung enthält auch präventive Kontrollen, bei denen präskriptive AWS-SCPs als Integritätsschutz eingesetzt werden. Diese werden hauptsächlich verwendet, um bestimmte APIs oder ganze Kategorien von APIs in Ihrer Umgebung zu verweigern (um sicherzustellen, dass Workloads nur in den vorgeschriebenen Regionen bereitgestellt werden) oder um den Zugriff auf bestimmte AWS-Services zu verweigern. CloudTrail- und CloudWatch-Protokolle unterstützen eine vorgeschriebene umfassende Protokollerfassung und Zentralisierung über AWS-Services und -Konten hinweg. Die AWS-Sicherheitsfunktionen und die Vielzahl sicherheitsrelevanter Services werden in einem definierten Muster konfiguriert, das Ihnen hilft, einige der strengsten Sicherheitsanforderungen der Welt zu erfüllen.
-
ZuverlässigkeitWhitepaper zur Zuverlässigkeit lesen
In dieser Anleitung werden mehrere Availability Zones (AZs) verwendet, sodass der Verlust einer AZ die Anwendungsverfügbarkeit nicht beeinträchtigt. Sie können CloudFormation verwenden, um die Bereitstellung und Aktualisierung Ihrer Infrastruktur auf sichere und kontrollierte Weise zu automatisieren. Diese Anleitung enthält auch vorgefertigte Regeln für die Bewertung von AWS-Ressourcenkonfigurationen und Konfigurationsänderungen in Ihrer Umgebung. Sie können auch benutzerdefinierte Regeln in AWS Lambda erstellen, um bewährte Methoden und Richtlinien zu definieren. Sie können die Fähigkeit zur Skalierung Ihrer Umgebung automatisieren, um den Bedarf zu decken und Störungen wie Fehlkonfigurationen oder vorübergehende Netzwerkprobleme zu minimieren.
-
Leistung und EffizienzWhitepaper zur Leistung und Effizienz lesen
Diese Anleitung vereinfacht die Verwaltung der Cloud-Infrastruktur durch die Verwendung von Transit Gateway, das als zentraler Hub dient, der mehrere VPCs über ein einziges Gateway verbindet, was die Skalierung und Wartung der Netzwerkarchitektur erleichtert. Dies vereinfacht Ihre Netzwerkarchitektur und ermöglicht eine effiziente Weiterleitung des Datenverkehrs zwischen verschiedenen AWS-Konten innerhalb Ihrer Organisation.
-
KostenoptimierungWhitepaper zur Kostenoptimierung lesen
Diese Leitlinien bieten die Möglichkeit, unnötige Kosten oder den Einsatz suboptimaler Ressourcen zu vermeiden oder zu vermeiden. Organizations bietet Zentralisierung und konsolidierte Abrechnung und ermöglicht so die strikte Trennung von Ressourcennutzung und Kostenoptimierung. Diese Anleitung schreibt vor, öffentliche AWS-API-Endpunkte in Ihren privaten VPC-Adressraum zu verschieben und zur Kostenoptimierung zentralisierte Endpunkte zu verwenden. Darüber hinaus können Sie AWS-Kosten- und Nutzungsberichte (AWS CUR) verwenden, um Ihre AWS-Nutzung zu verfolgen und die Gebühren abzuschätzen.
-
NachhaltigkeitWhitepaper zur Nachhaltigkeit lesen
Diese Anleitung hilft Ihnen dabei, den CO2-Fußabdruck zu reduzieren, der mit der Verwaltung von Workloads in Ihren eigenen Rechenzentren verbunden ist. Die globale AWS-Infrastruktur bietet unterstützende Infrastruktur (wie Stromversorgung, Kühlung und Netzwerk), eine höhere Nutzungsrate und schnellere Technologieaktualisierungen als herkömmliche Rechenzentren. Darüber hinaus hilft Ihnen die Segmentierung und Trennung von Workloads dabei, unnötige Datenverschiebungen zu reduzieren. Amazon S3 bietet Speicherebenen und die Möglichkeit, Daten automatisch auf effiziente Speicherebenen zu verschieben.
Implementierungsressourcen
Der Beispielcode dient als Ausgangspunkt. Er ist in der Branche erprobt, präskriptiv, aber nicht endgültig, und ein Blick unter die Haube, der Ihnen den Einstieg erleichtert.
Ähnliche Inhalte
TSE-SE-Beispielkonfiguration (mit LZA-Automatisierungsengine)
Trusted Secure Enclaves – Sensitive Edition
Haftungsausschluss
Der Beispielcode, die Softwarebibliotheken, die Befehlszeilentools, die Machbarkeitsnachweise, die Vorlagen oder andere zugehörige Technologien (einschließlich derjenigen, die von unseren Mitarbeitern bereitgestellt werden) werden Ihnen als AWS-Inhalte im Rahmen der AWS-Kundenvereinbarung oder der entsprechenden schriftlichen Vereinbarung zwischen Ihnen und AWS (je nachdem, was zutrifft) zur Verfügung gestellt. Sie sollten diese AWS-Inhalte nicht in Ihren Produktionskonten oder für Produktions- oder andere kritische Daten verwenden. Sie sind verantwortlich für das Testen, Sichern und Optimieren des AWS-Inhalts, z. B. des Beispielcodes, für die Verwendung in der Produktion auf der Grundlage Ihrer spezifischen Qualitätskontrollverfahren und -standards. Bei der Bereitstellung von AWS-Inhalten können AWS-Gebühren für die Erstellung oder Nutzung von kostenpflichtigen AWS-Ressourcen anfallen, z. B. für den Betrieb von Amazon-EC2-Instances oder die Nutzung von Amazon-S3-Speicher.
Verweise auf Services oder Organisationen von Drittanbietern in diesen Leitlinien bedeuten nicht, dass Amazon oder AWS eine Billigung, Förderung oder Zugehörigkeit zwischen Amazon oder AWS und dem Drittanbieter darstellt. Die Beratung durch AWS ist ein technischer Ausgangspunkt, und Sie können Ihre Integration mit Services von Drittanbietern anpassen, wenn Sie die Architektur bereitstellen.