Security OU

安全OU是一个必选的基础OU,是安全解决方案中常见使用到的一类组织,推荐创建2个账户:

  • Log Archive 日志归档

  • Security Tooling (Audit) 安全工具(审计)

方式1: 通过AWS Control Tower创建

Establish your multi-account environment with AWS Control Tower:https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi-account.html

Log Archive account

日志存档账户是所有账户日志的单一集中点,主要由安全,运营,审计和合规团队访问使用。该账户包含每个账户的审计、配置合规性和操作日志副本的集中存储位置。 它还提供了其他审计/合规日志以及应用程序/操作系统日志的存储位置。

我们建议您将操作日志数据合并到日志存档账户中。 根据具体的安全和管理要求,您可能需要过滤保存到此账户中的运行日志数据。 您可能还需要指定谁和什么可以访问日志存档账户中的运行日志数据

保存在日志存档帐户中的日志数据是不可变的,因为这些数据受到保护,不会被更改或删除。 适用于贵组织的数据保留政策和法规可能也适用于日志存档帐户中的数据。

此外,为确保日志数据得到妥善保护,我们建议将 SCP 应用于安全 OU,以防止修改或删除集中日志 S3 存储桶内的文件。 此外,使用 S3 存储桶版本控制可以查看所有日志文件的完整历史记录。

Security Tooling (Audit) account

在 AWS 服务中,该账户用于提供对 AWS 安全工具和控制台的集中授权管理访问,以及为调查目的提供对组织内所有账户的只读访问。 安全工具账户应仅限于经授权的安全和合规人员及相关安全人员使用。 此账户是 AWS 安全服务的聚合点(或将功能分拆到多个账户的组织的聚合点),包括AWS Security Hub, Amazon GuardDuty, Amazon Macie, AWS AppConfig, AWS Firewall Manager, Amazon Detective, Amazon Inspector, 和 IAM Access Analyzer.

上一页推荐使用的OU和账户下一页相关博客

最后更新于