使用安全的隔区保护和隔离高度敏感的工作负载
本指南展示如何为国家安全、国防和国家执法中的敏感工作负载构建全面的云架构。通过在 AWS 上使用多账户架构,您可以在确保敏感数据和工作负载的安全的同时完成任务。本指南旨在帮助您满足严格而独特的安全和合规性要求,解决中央身份和访问管理、治理、数据安全、全面日志记录以及网络设计和分段问题,以符合各种美国安全框架的要求。
请注意:[免责声明]
架构图
-
概览
-
组织管理账户
-
安全账户
-
基础设施账户
-
应用程序、社区、团队或群组账户(敏感)
-
概览
-
该架构图概述了如何配置具有独特安全性和合规性要求的综合、多账户工作负载。有关如何部署本指南的更多详细信息,请打开其他选项卡。
单击可放大
第 1 步
AWS Organizations 中具有多个账户的组织,由服务控制策略(SCP)指导:该组织将多个单独的 AWS 账户分组,由单个客户实体控制。单独的 AWS 账户可在工作负载或环境之间提供强大的控制平面和数据平面隔离,就像它们归不同的 AWS 客户拥有一样。第 2 步
管理账户用于创建组织。在组织的管理账户中,您可以执行以下操作:- 在组织中创建账户并管理所有组织单元(OU)的策略。
- 将以下 OU 加入组织:
- 安全性 OU
- 基础设施 OU
- 敏感应用程序 OU
根据设计,每个 OU 将有一个或多个成员账户或嵌套 OU。
第 3 步
应用程序 OU 将具有多个嵌套 OU,专用于应用程序交付和生命周期管理,包括以下内容:- 开发 OU
- 测试 OU
- 生产 OU
- 共享 OU
此外,沙盒 OU 也可以配置为非敏感工作负载。
第 1 步
AWS Organizations 中具有多个账户的组织,由服务控制策略(SCP)指导:该组织将多个单独的 AWS 账户分组,由单个客户实体控制。单独的 AWS 账户可在工作负载或环境之间提供强大的控制平面和数据平面隔离,就像它们归不同的 AWS 客户拥有一样。第 2 步
管理账户用于创建组织。在组织的管理账户中,您可以执行以下操作:- 在组织中创建账户并管理所有组织单元(OU)的策略。
- 将以下 OU 加入组织:
- 安全性 OU
- 基础设施 OU
- 敏感应用程序 OU
根据设计,每个 OU 将有一个或多个成员账户或嵌套 OU。
第 3 步
应用程序 OU 将具有多个嵌套 OU,专用于应用程序交付和生命周期管理,包括以下内容:- 开发 OU
- 测试 OU
- 生产 OU
- 共享 OU
此外,沙盒 OU 也可以配置为非敏感工作负载。
-
组织管理账户
-
该架构图显示了组织如何对多个账户进行分组,所有账户均由单个客户实体控制。 按照此架构图中的步骤部署本指南的组织管理账户部分。
单击可放大
第 1 步
具有多个账户的组织:该组织将多个单独的 AWS 账户分组,由单个客户实体控制。这可以整合账单、使用 OU 对账户进行分组,并有助于使用 SCP 部署组织的预防性控制措施。第 2 步
预防性安全控制措施:这些由 SCP 实施的控制措施可以保护架构、防止防护机制失效并阻止不良的用户行为。SCP 提供了一种防护机制,主要用于拒绝 AWS 账户、OU 或组织级别的特定或整个类别的 API 操作。它们可用于确保工作负载仅部署在规定的 AWS 区域或拒绝访问特定的 AWS 服务。
第 3 步
自动化:当组织添加新的 AWS 账户、引入新团队和新工作负载时,自动化可确保始终如一地应用防护机制。它可以纠正合规性偏差并在根组织账户中提供防护机制。
第 4 步
加密:使用客户管理密钥的 AWS Key Management Service(AWS KMS)使用经过 FIPS 140-2 验证的加密对静态存储的数据进行加密,无论是在 Amazon Simple Storage Service(Amazon S3)存储桶、Amazon Elastic Block Store(Amazon EBS)卷、Amazon Relational Database Service(Amazon RDS)数据库还是其他 AWS 存储服务中。它使用 TLS 1.2 或更高版本来保护传输中数据。第 5 步
单点登录:作为 AWS Identity and Access Management(IAM)的一项功能,IAM Identity Center 用于授权主体在整个组织内 AWS 账户承担集中式 IAM 角色。组织的现有身份可以来自客户现有的 Active Directory(AD)身份存储或其他第三方身份提供者(IdP)。AWS 使用身份验证器应用程序、安全密钥和内置身份验证器促进多重身份验证实施,支持 WebAuthn、FIDO2 和通用双重(U2F)身份验证和设备。
第 1 步
具有多个账户的组织:该组织将多个单独的 AWS 账户分组,由单个客户实体控制。这可以整合账单、使用 OU 对账户进行分组,并有助于使用 SCP 部署组织的预防性控制措施。第 2 步
预防性安全控制措施:这些由 SCP 实施的控制措施可以保护架构、防止防护机制失效并阻止不良的用户行为。SCP 提供了一种防护机制,主要用于拒绝 AWS 账户、OU 或组织级别的特定或整个类别的 API 操作。它们可用于确保工作负载仅部署在规定的 AWS 区域或拒绝访问特定的 AWS 服务。
第 3 步
自动化:当组织添加新的 AWS 账户、引入新团队和新工作负载时,自动化可确保始终如一地应用防护机制。它可以纠正合规性偏差并在根组织账户中提供防护机制。
第 4 步
加密:使用客户管理密钥的 AWS Key Management Service(AWS KMS)使用经过 FIPS 140-2 验证的加密对静态存储的数据进行加密,无论是在 Amazon Simple Storage Service(Amazon S3)存储桶、Amazon Elastic Block Store(Amazon EBS)卷、Amazon Relational Database Service(Amazon RDS)数据库还是其他 AWS 存储服务中。它使用 TLS 1.2 或更高版本来保护传输中数据。第 5 步
单点登录:作为 AWS Identity and Access Management(IAM)的一项功能,IAM Identity Center 用于授权主体在整个组织内 AWS 账户承担集中式 IAM 角色。组织的现有身份可以来自客户现有的 Active Directory(AD)身份存储或其他第三方身份提供者(IdP)。AWS 使用身份验证器应用程序、安全密钥和内置身份验证器促进多重身份验证实施,支持 WebAuthn、FIDO2 和通用双重(U2F)身份验证和设备。
-
安全账户
-
该架构图显示如何集中配置跨 AWS 服务和账户的全面日志收集。 按照此架构图中的步骤部署本指南的安全账户部分。
单击可放大
第 1 步
集中式日志记录:此架构规定跨 AWS 服务和账户的全面日志收集和集中化。AWS CloudTrail 日志适用于整个组织范围内,以在整个云环境中提供完整的控制平面可审计性。Amazon CloudWatch Logs 是一种云原生 AWS 日志记录服务,用于捕获各种日志,包括操作系统和应用程序日志、VPC 流日志和域名系统日志,然后将这些日志集中起来,并仅供指定的安全人员使用。
第 2 步
集中式安全监控:通过自动部署多种不同类型的检测安全控件,可以显示客户 AWS 组织中的合规性偏差和安全威胁。这包括在组织的每个账户中激活多种 AWS 安全服务。这些安全服务包括 Amazon GuardDuty、AWS Security Hub、AWS Config、AWS Firewall Manager、Amazon Macie、IAM Access Analyzer 和 CloudWatch 警报。应将多账户环境中的控制和可见性委托给单个中央安全工具账户,以便在整个组织范围内轻松查看所有安全调查发现和合规性偏差。
第 3 步
“仅查看”访问权限和可搜索性:安全账户在整个组织内提供“仅查看”访问权限(包括访问每个账户的 CloudWatch 控制台),以便在事件发生时进行调查。“仅查看”访问权限与只读访问权限的不同之处在于,它不提供对任何数据的任何访问权限。可以使用可选的附加组件来使用全面的集中日志,使其可搜索,并提供相关性和基本控制面板。
第 1 步
集中式日志记录:此架构规定跨 AWS 服务和账户的全面日志收集和集中化。AWS CloudTrail 日志适用于整个组织范围内,以在整个云环境中提供完整的控制平面可审计性。Amazon CloudWatch Logs 是一种云原生 AWS 日志记录服务,用于捕获各种日志,包括操作系统和应用程序日志、VPC 流日志和域名系统日志,然后将这些日志集中起来,并仅供指定的安全人员使用。
第 2 步
集中式安全监控:通过自动部署多种不同类型的检测安全控件,可以显示客户 AWS 组织中的合规性偏差和安全威胁。这包括在组织的每个账户中激活多种 AWS 安全服务。这些安全服务包括 Amazon GuardDuty、AWS Security Hub、AWS Config、AWS Firewall Manager、Amazon Macie、IAM Access Analyzer 和 CloudWatch 警报。应将多账户环境中的控制和可见性委托给单个中央安全工具账户,以便在整个组织范围内轻松查看所有安全调查发现和合规性偏差。
第 3 步
“仅查看”访问权限和可搜索性:安全账户在整个组织内提供“仅查看”访问权限(包括访问每个账户的 CloudWatch 控制台),以便在事件发生时进行调查。
“仅查看”访问权限与只读访问权限的不同之处在于,它不提供对任何数据的任何访问权限。可以使用可选的附加组件来使用全面的集中日志,使其可搜索,并提供相关性和基本控制面板。
-
基础设施账户
-
此架构图显示如何使用 Virtual Private Clouds(VPC)构建集中式、隔离的网络环境。 按照此架构图中的步骤部署本指南的“基础设施账户”部分。
单击可放大
第 1 步
集中式、隔离式网络:通过 Amazon Virtual Private Cloud(Amazon VPC)构建的 VPC 用于在工作负载之间创建数据平面隔离,并集中在共享网络账户中。集中化有助于实现强有力的职责分工和成本优化。第 2 步
传递连接:通过使用 AWS Transit Gateway、AWS Site-to-Site VPN、下一代防火墙和 AWS Direct Connect(如适用),在入口和出口的中心点传递与本地环境、互联网出口、共享资源和 AWS API 的连接。第 3 步
替代选项:集中式 VPC 架构并不适合所有客户。对于不太关心成本优化的客户,可以选择通过中央共享网络账户中的 Transit Gateway 互连的、基于本地账户的 VPC。
在这两种选择下,架构都规定将 AWS 公共 API 端点移至客户的专用 VPC 地址空间,从而使用集中式端点来提高成本效益。
第 4 步
集中式入口和出口基础设施即服务(IaaS)检查:对于基于 IaaS 的工作负载,集中式入口和出口要求很常见。架构提供此功能,因此客户可以确定原生 AWS 入口和出口防火墙检查服务(例如 AWS Network Firewall、AWS WAF 或通过弹性负载均衡(ELB)运行的应用程序负载均衡器)是否满足其要求。如果不能,客户可以使用第三方防火墙设备增强这些功能。架构支持从 AWS 防火墙开始,然后切换到第三方防火墙,或者使用入口和出口防火墙技术的组合。
第 1 步
集中式、隔离式网络:通过 Amazon Virtual Private Cloud(Amazon VPC)构建的 VPC 用于在工作负载之间创建数据平面隔离,并集中在共享网络账户中。集中化有助于实现强有力的职责分工和成本优化。第 2 步
传递连接:通过使用 AWS Transit Gateway、AWS Site-to-Site VPN、下一代防火墙和 AWS Direct Connect(如适用),在入口和出口的中心点传递与本地环境、互联网出口、共享资源和 AWS API 的连接。第 3 步
替代选项:集中式 VPC 架构并不适合所有客户。对于不太关心成本优化的客户,可以选择通过中央共享网络账户中的 Transit Gateway 互连的、基于本地账户的 VPC。
在这两种选择下,架构都规定将 AWS 公共 API 端点移至客户的专用 VPC 地址空间,从而使用集中式端点来提高成本效益。
第 4 步
集中式入口和出口基础设施即服务(IaaS)检查:对于基于 IaaS 的工作负载,集中式入口和出口要求很常见。架构提供此功能,因此客户可以确定原生 AWS 入口和出口防火墙检查服务(例如 AWS Network Firewall、AWS WAF 或通过弹性负载均衡(ELB)运行的应用程序负载均衡器)是否满足其要求。如果不能,客户可以使用第三方防火墙设备增强这些功能。架构支持从 AWS 防火墙开始,然后切换到第三方防火墙,或者使用入口和出口防火墙技术的组合。
-
应用程序、社区、团队或群组账户(敏感)
-
此架构图显示如何在属于软件开发生命周期不同阶段的工作负载之间或不同 IT 管理角色之间配置分段和分离。按照此架构图中的步骤部署本指南中的应用程序、社区、团队或组帐户部分。
单击可放大
第 1 步
分段和分离:该架构不仅在属于软件开发生命周期不同阶段的工作负载之间或不同 IT 管理角色之间(例如网络、入口和出口防火墙以及工作负载之间)提供强大的分段和分离。它还提供强大的网络分区架构,通过将每个实例或组件包装在 AWS Nitro System 硬件中强制执行的状态防火墙中,以及 ELB 和 AWS WAF 等服务来对环境进行微分段。
第 2 步
所有网络流都得到严格执行,除非明确允许,否则将阻止应用程序、应用程序内的层和应用程序层中的节点之间的横向移动。此外,通过 CI/CD 架构上的建议阻止开发、测试和生产之间的路由,以实现开发人员的敏捷性并在获得适当批准的情况下简化环境之间的代码升级。
第 1 步
分段和分离:该架构不仅在属于软件开发生命周期不同阶段的工作负载之间或不同 IT 管理角色之间(例如网络、入口和出口防火墙以及工作负载之间)提供强大的分段和分离。它还提供强大的网络分区架构,通过将每个实例或组件包装在 AWS Nitro System 硬件中强制执行的状态防火墙中,以及 ELB 和 AWS WAF 等服务来对环境进行微分段。
第 2 步
所有网络流都得到严格执行,除非明确允许,否则将阻止应用程序、应用程序内的层和应用程序层中的节点之间的横向移动。此外,通过 CI/CD 架构上的建议阻止开发、测试和生产之间的路由,以实现开发人员的敏捷性并在获得适当批准的情况下简化环境之间的代码升级。
Well-Architected 支柱
当您在云中构建系统时,AWS Well-Architected Framework 可以帮助您了解所做决策的利弊。框架的六大支柱使您能够学习设计和操作可靠、安全、高效、经济高效且可持续的系统的架构最佳实践。使用 AWS 管理控制台中免费提供的 AWS Well-Architected Tool,您可以通过回答每个支柱的一组问题,根据这些最佳实践来检查您的工作负载。
上面的架构图是按照 Well-Architected 最佳实践创建的解决方案示例。要做到完全的良好架构,您应该遵循尽可能多的 Well-Architected 最佳实践。
-
卓越运营阅读卓越运营白皮书
本指南使用具有 AWS CloudFormation 堆栈和配置的Organizations 来为您的 AWS 环境创建安全基础。这提供了基础设施即代码(IaC)解决方案,有助于加速实施技术安全控制。配置规则可修复已确定会对规定的架构产生负面影响的任何配置增量。您可以将 AWS 全球商业基础设施用于敏感机密工作负载,并自动运行安全系统以更快地交付任务,同时不断改进流程和程序。
-
安全性阅读安全性白皮书
本指南使用 Organizations 来促进组织防护机制的部署,例如使用 CloudTrail 进行 API 日志记录。本指南还使用规范的 AWS SCP 作为防护机制来提供预防性控制,主要用于拒绝环境中特定或整个类别的 API(以确保工作负载仅部署在规定的区域中)或拒绝访问特定的 AWS 服务。CloudTrail 和 CloudWatch 日志支持在 AWS 服务和账户之间进行规定的全面日志收集和集中化。AWS 安全功能和众多与安全相关的服务以定义的模式配置,可帮助您满足世界上一些最严格的安全要求。
-
可靠性阅读可靠性白皮书
本指南使用多个可用区(AZ),因此,一个 AZ 失效不会影响应用程序可用性。您可以使用 CloudFormation,以安全且受控的方式来自动配置和更新基础设施。本指南还提供了用于评估环境中的 AWS 资源配置和配置更改的预建规则,或者,您也可以在 AWS Lambda 中创建自定义规则来定义最佳实践和指南。您可以自动扩展环境以满足需求并缓解配置错误或瞬态网络问题等中断。
-
性能效率阅读性能效率白皮书
本指南通过使用 Transit Gateway 来简化云基础设施管理:Transit Gateway 充当通过单个网关连接多个 VPC 的中央枢纽,使扩展和维护网络架构变得更加容易。这可以简化您的网络架构并促进组织内不同 AWS 账户之间的高效流量路由。
-
成本优化阅读成本优化白皮书
本指南提供了避免或消除不必要的成本或使用次优资源的能力。Organizations 提供集中化和整合账单,从而促进资源使用和成本优化的严格分离。本指南规定将 AWS 公共 API 端点移动到您的专用 VPC 地址空间,从而使用集中式端点来提高成本效率。此外,您还可以使用 AWS 成本和使用情况报告(AWS CUR)来跟踪您的 AWS 使用情况并估算费用。
-
可持续性阅读可持续性白皮书
本指南可帮助您减少与管理自己数据中心内的工作负载相关的碳足迹。AWS 全球基础设施提供支持性基础设施(例如电源、冷却和网络)、比传统数据中心更高的利用率和更快的技术更新。此外,工作负载的分段和分离可帮助您减少不必要的数据移动,而 Amazon S3 则提供存储层,并且能够自动将数据移动到高效存储层。
相关内容
TSE-SE 示例配置(使用 LZA 自动化引擎)
Trusted Secure Enclaves — 敏感版
免责声明
示例代码;软件库;命令行工具;概念验证;模板;或其他相关技术(包括由我方人员提供的任何前述项)作为 AWS 内容按照《AWS 客户协议》或您与 AWS 之间的相关书面协议(以适用者为准)向您提供。您不应将这些 AWS 内容用在您的生产账户中,或用于生产或其他关键数据。您负责根据特定质量控制规程和标准测试、保护和优化 AWS 内容,例如示例代码,以使其适合生产级应用。部署 AWS 内容可能会因创建或使用 AWS 可收费资源(例如,运行 Amazon EC2 实例或使用 Amazon S3 存储)而产生 AWS 费用。
本指南中提及第三方服务或组织并不意味着 Amazon 或 AWS 与第三方之间存在认可、赞助或从属关系。AWS 的指导是一个技术起点,您可以在部署架构时自定义与第三方服务的集成。