Diese Anleitung zeigt, wie Sie eine umfassende Cloud-Architektur für sensible Workloads in den Bereichen nationale Sicherheit, Verteidigung und nationale Strafverfolgung aufbauen können. Durch die Verwendung einer Architektur mit mehreren Konten in AWS können Sie Ihre Missionen erfüllen und gleichzeitig sensible Daten und Workloads schützen. Diese Anleitung soll Ihnen helfen, strenge und einzigartige Sicherheits- und Compliance-Anforderungen zu erfüllen. Sie befasst sich mit zentralem Identitäts- und Zugriffsmanagement, Governance, Datensicherheit, umfassender Protokollierung sowie Netzwerkdesign und -segmentierung in Übereinstimmung mit verschiedenen US-Sicherheitsrahmen.

Bitte beachten: [Haftungsausschluss]

Architekturdiagramm

Architekturdiagramm als PDF herunterladen 
  • Übersicht
  • Dieses Architekturdiagramm bietet einen Überblick über die Konfiguration umfassender Workloads mit mehreren Konten mit einzigartigen Sicherheits- und Compliance-Anforderungen. Weitere Informationen zur Bereitstellung dieser Anleitung finden Sie auf den anderen Registerkarten.

  • Organisations-Verwaltungskonto
  • Dieses Architekturdiagramm zeigt, wie eine Organisation mehrere Konten gruppieren kann, die alle von einer einzigen Kundeneinheit gesteuert werden. Folgen Sie den Schritten in diesem Architekturdiagramm, um das Organisations-Verwaltungskonto bereitzustellen, das Teil dieser Anleitung ist.

  • Sicherheitskonten
  • Dieses Architekturdiagramm zeigt, wie eine umfassende Protokollsammlung über AWS-Services und -Konten hinweg zentral konfiguriert wird. Folgen Sie den Schritten in diesem Architekturdiagramm, um die Sicherheitskonten bereitzustellen, die Teil dieser Anleitung sind.

  • Infrastrukturkonten
  • Dieses Architekturdiagramm zeigt, wie eine zentralisierte, isolierte Netzwerkumgebung mit Virtual Private Clouds (VPCs) aufgebaut wird. Folgen Sie den Schritten in diesem Architekturdiagramm, um die Infrastrukturkonten bereitzustellen, die Teil dieser Anleitung sind.

  • Anwendungs-, Community-, Team- oder Gruppenkonten (vertraulich)
  • Dieses Architekturdiagramm zeigt, wie die Segmentierung und Trennung zwischen Workloads, die zu verschiedenen Phasen des Softwareentwicklungszyklus gehören, oder zwischen verschiedenen IT-Administratorrollen konfiguriert werden. Folgen Sie den Schritten in diesem Architekturdiagramm, um die Anwendungs-, Community-, Team- oder Gruppenkonten bereitzustellen, die Teil dieser Anleitung sind. 

Well-Architected-Säulen

Das AWS-Well-Architected-Framework hilft Ihnen, die Vor- und Nachteile der Entscheidungen zu verstehen, die Sie beim Aufbau von Systemen in der Cloud treffen. Die sechs Säulen des Frameworks ermöglichen es Ihnen, architektonische bewärhte Methoden für die Entwicklung und den Betrieb zuverlässiger, sicherer, effizienter, kostengünstiger und nachhaltiger Systeme zu erlernen. Mit dem AWS-Well-Architected-Tool, das kostenlos in der AWS-Managementkonsole verfügbar ist, können Sie Ihre Workloads anhand dieser bewährten Methoden überprüfen, indem Sie eine Reihe von Fragen für jede Säule beantworten.

Das obige Architekturdiagramm ist ein Beispiel für eine Lösung, die unter Berücksichtigung der bewährten Methoden von Well-Architected erstellt wurde. Um eine vollständige Well-Architected-Lösung zu erhalten, sollten Sie so viele bewährte Methoden von Well-Architected wie möglich befolgen.

  • In dieser Anleitung werden Organisationen mit AWS-CloudFormation-Stacks und -Konfigurationen verwendet, um eine sichere Grundlage für Ihre AWS-Umgebung zu schaffen. Dies bietet eine Infrastructure-as-Code (IaC)-Lösung, die Ihre Implementierung technischer Sicherheitskontrollen beschleunigt. Konfigurationsregeln korrigieren alle Konfigurationsdeltas, von denen festgestellt wurde, dass sie sich negativ auf die vorgeschriebene Architektur auswirken. Sie können die globale kommerzielle Infrastruktur von AWS für vertrauliche, klassifizierte Workloads nutzen und sichere Systeme automatisieren, um Aufträge schneller abzuwickeln und gleichzeitig Ihre Prozesse und Verfahren kontinuierlich zu verbessern.

    Whitepaper zur betrieblichen Exzellenz lesen 
  • In diesem Leitfaden werden Organisationen verwendet, um die Bereitstellung eines organisatorischen Integritätsschutzes wie der API-Protokollierung mit CloudTrail zu erleichtern. Diese Anleitung enthält auch präventive Kontrollen, bei denen präskriptive AWS-SCPs als Integritätsschutz eingesetzt werden. Diese werden hauptsächlich verwendet, um bestimmte APIs oder ganze Kategorien von APIs in Ihrer Umgebung zu verweigern (um sicherzustellen, dass Workloads nur in den vorgeschriebenen Regionen bereitgestellt werden) oder um den Zugriff auf bestimmte AWS-Services zu verweigern. CloudTrail- und CloudWatch-Protokolle unterstützen eine vorgeschriebene umfassende Protokollerfassung und Zentralisierung über AWS-Services und -Konten hinweg. Die AWS-Sicherheitsfunktionen und die Vielzahl sicherheitsrelevanter Services werden in einem definierten Muster konfiguriert, das Ihnen hilft, einige der strengsten Sicherheitsanforderungen der Welt zu erfüllen.

    Whitepaper zur Sicherheit lesen 
  • In dieser Anleitung werden mehrere Availability Zones (AZs) verwendet, sodass der Verlust einer AZ die Anwendungsverfügbarkeit nicht beeinträchtigt. Sie können CloudFormation verwenden, um die Bereitstellung und Aktualisierung Ihrer Infrastruktur auf sichere und kontrollierte Weise zu automatisieren. Diese Anleitung enthält auch vorgefertigte Regeln für die Bewertung von AWS-Ressourcenkonfigurationen und Konfigurationsänderungen in Ihrer Umgebung. Sie können auch benutzerdefinierte Regeln in AWS Lambda erstellen, um bewährte Methoden und Richtlinien zu definieren. Sie können die Fähigkeit zur Skalierung Ihrer Umgebung automatisieren, um den Bedarf zu decken und Störungen wie Fehlkonfigurationen oder vorübergehende Netzwerkprobleme zu minimieren.

    Whitepaper zur Zuverlässigkeit lesen 
  • Diese Anleitung vereinfacht die Verwaltung der Cloud-Infrastruktur durch die Verwendung von Transit Gateway, das als zentraler Hub dient, der mehrere VPCs über ein einziges Gateway verbindet, was die Skalierung und Wartung der Netzwerkarchitektur erleichtert. Dies vereinfacht Ihre Netzwerkarchitektur und ermöglicht eine effiziente Weiterleitung des Datenverkehrs zwischen verschiedenen AWS-Konten innerhalb Ihrer Organisation.

    Whitepaper zur Leistung und Effizienz lesen 
  • Diese Leitlinien bieten die Möglichkeit, unnötige Kosten oder den Einsatz suboptimaler Ressourcen zu vermeiden oder zu vermeiden. Organizations bietet Zentralisierung und konsolidierte Abrechnung und ermöglicht so die strikte Trennung von Ressourcennutzung und Kostenoptimierung. Diese Anleitung schreibt vor, öffentliche AWS-API-Endpunkte in Ihren privaten VPC-Adressraum zu verschieben und zur Kostenoptimierung zentralisierte Endpunkte zu verwenden. Darüber hinaus können Sie AWS-Kosten- und Nutzungsberichte (AWS CUR) verwenden, um Ihre AWS-Nutzung zu verfolgen und die Gebühren abzuschätzen.

    Whitepaper zur Kostenoptimierung lesen 
  • Diese Anleitung hilft Ihnen dabei, den CO2-Fußabdruck zu reduzieren, der mit der Verwaltung von Workloads in Ihren eigenen Rechenzentren verbunden ist. Die globale AWS-Infrastruktur bietet unterstützende Infrastruktur (wie Stromversorgung, Kühlung und Netzwerk), eine höhere Nutzungsrate und schnellere Technologieaktualisierungen als herkömmliche Rechenzentren. Darüber hinaus hilft Ihnen die Segmentierung und Trennung von Workloads dabei, unnötige Datenverschiebungen zu reduzieren. Amazon S3 bietet Speicherebenen und die Möglichkeit, Daten automatisch auf effiziente Speicherebenen zu verschieben.

    Whitepaper zur Nachhaltigkeit lesen 

Implementierungsressourcen

Der Beispielcode dient als Ausgangspunkt. Er ist in der Branche erprobt, präskriptiv, aber nicht endgültig, und ein Blick unter die Haube, der Ihnen den Einstieg erleichtert.

Beispielcode

TSE-SE-Beispielkonfiguration (mit LZA-Automatisierungsengine)

Dieser Beispielcode zeigt, wie die Verwendung dieser TSE-SE-Beispielkonfigurationsdateien mit LZA die Bereitstellung der präskriptiven und meinungsbildenden Referenzarchitektur für Trusted Secure Enclaves Sensitive Edition automatisiert.
Zertifizierte Partner

Trusted Secure Enclaves – Sensitive Edition

Diese AWS-Partner wurden zertifiziert, um Kunden bei der Implementierung von TSE-SE zu unterstützen, einer Lösung, die zentrale Identitäts- und Zugriffsverwaltung, Governance, Datensicherheit, umfassende Protokollierung sowie Netzwerkdesign und -segmentierung in Übereinstimmung mit verschiedenen Sicherheitsrahmen umfasst.

Haftungsausschluss

Der Beispielcode, die Softwarebibliotheken, die Befehlszeilentools, die Machbarkeitsnachweise, die Vorlagen oder andere zugehörige Technologien (einschließlich derjenigen, die von unseren Mitarbeitern bereitgestellt werden) werden Ihnen als AWS-Inhalte im Rahmen der AWS-Kundenvereinbarung oder der entsprechenden schriftlichen Vereinbarung zwischen Ihnen und AWS (je nachdem, was zutrifft) zur Verfügung gestellt. Sie sollten diese AWS-Inhalte nicht in Ihren Produktionskonten oder für Produktions- oder andere kritische Daten verwenden. Sie sind verantwortlich für das Testen, Sichern und Optimieren des AWS-Inhalts, z. B. des Beispielcodes, für die Verwendung in der Produktion auf der Grundlage Ihrer spezifischen Qualitätskontrollverfahren und -standards. Bei der Bereitstellung von AWS-Inhalten können AWS-Gebühren für die Erstellung oder Nutzung von kostenpflichtigen AWS-Ressourcen anfallen, z. B. für den Betrieb von Amazon-EC2-Instances oder die Nutzung von Amazon-S3-Speicher.

Verweise auf Services oder Organisationen von Drittanbietern in diesen Leitlinien bedeuten nicht, dass Amazon oder AWS eine Billigung, Förderung oder Zugehörigkeit zwischen Amazon oder AWS und dem Drittanbieter darstellt. Die Beratung durch AWS ist ein technischer Ausgangspunkt, und Sie können Ihre Integration mit Services von Drittanbietern anpassen, wenn Sie die Architektur bereitstellen.

War diese Seite hilfreich?