Niezbędne bezpieczeństwo dla każdego: budowanie bezpiecznych fundamentów AWS
Z tego artykułu dowiesz się, w jaki sposób zespoły o różnych rozmiarach mogą uzyskać dostęp do światowej klasy zabezpieczeń w chmurze bez dedykowanej osoby do spraw bezpieczeństwa w Twojej organizacji.
Twórcy tego artykułu przyjrzeli się temu, jak niewielkie zespoły potrafią bezpiecznie tworzyć podstawy na Amazon Web Services (AWS) w sposób, który jest efektywny zarówno pod względem kosztów, jak i czasu. Poznasz kluczowe elementy niezbędne do stworzenia bezpiecznych fundamentów z dobrą kontrolą bezpieczeństwa, a także dowiesz się, jak możesz użyć tych fundamentów jako bazy do stworzenia bezpiecznego obciążenia. W tym artykule twórcy dzielą się przewodnikiem po laboratorium, abyś mógł zacząć już dziś. Możesz pomyśleć, że to pochłaniające wiele czasu zajęcie, wymagające dużego wkładu pracy, jednak twórcy prowadzili to jako jednodniowe warsztaty w Australii w 2019 roku, docierając tym samym do wielu start-upów i małych firm. Większość z nich wdrożyła wszystkie informacje do późnego popołudnia.
Wiele dużych organizacji wykonuje swoje regulowane obciążenia w AWS, a klienci każdego formatu posiadają dostęp do tych samych kontroli bezpieczeństwa. Te duże organizacje przeszły przez rygorystyczny proces, aby zapewnić im dostęp do odpowiednich środków kontroli bezpieczeństwa. Jeśli udasz się na blog AWS Startups, możesz przeczytać historię dwóch australijskich klientów oraz ich podróży, aby założyć bezpieczną podstawę AWS: Tic:Toc, australijską firmę zajmującą się skalą w branży usług finansowych oraz FYI, start-up z ich systemem zarządzania dokumentami i procesami dotyczącymi praktyk dotyczących księgowości.
Struktura Well-Architected Framework została opracowana, aby pomóc architektom chmury w tworzeniu bezpiecznej, wydajnej, odpornej i wysokiej klasy infrastruktury dla swoich aplikacji. Oparta na pięciu filarach – doskonałości operacyjnej, bezpieczeństwie, niezawodności, wydajności oraz optymalizacji kosztów – Struktura zapewnia spójne podejście klientom i partnerom do oceny architektur i wdrażania projektów, które z czasem będą skalowane. W tym artykule zostaną przedyskutowane kluczowe obszary z filaru bezpieczeństwa, dzięki którym zbudujesz bezpieczny fundament. Tymi obszarami są:
- fundamenty bezpieczeństwa – możesz używać konta AWS jako znaczącej granicy w celu izolowania zasobów i wykorzystywania ról pomiędzy kontami w celu współdzielenia wspólnej infrastruktury. Chroń swoje konta AWS i używaj narzędzi takich jak AWS Control Tower, które pomogą Ci szybko rozpocząć pracę;
- zarządzanie tożsamością i dostępem – zastanów się, kto posiada dostęp do jakich treści;
- wykrywanie – rozpocznij od implementowania bazowego logowania i monitorowania. Zrób to w sposób zaimplementowany automatycznie, aby był skalowalny. Gdy będą miały miejsce incydenty, pomoże to w zapewnieniu, że podstawowe dane dziennika są na miejscu, aby pomóc Ci w dochodzeniach. Skonfiguruj alerty dotyczące kluczowych zdarzeń i zdefiniuj plan reakcji, dzięki czemu będziesz przygotowany do podjęcia niezbędnych działań;
- infrastruktura i ochrona danych – zastosuj dogłębną ochronę, zaczynając od funkcji oferowanych przez AWS, aby pomóc w tworzeniu bezpiecznej aplikacji;
- reakcja na incydenty – upewnij się, że Twój zespół jest przygotowany do reagowania na incydenty poprzez jego edukację, tworzenie planu reakcji, symulowanie scenariuszy tak, aby Twój zespół wiedział, jak postępować, zanim dojdzie do incydentu, poprzez powtarzanie i ulepszanie Twojego planu.
Niewielkie zespoły chcą działać szybko i dostarczać wartości. Aby to wesprzeć, będziesz chciał zbudować bezpieczne podstawy. Ten artykuł skupia się na kluczowych wstępnych krokach, aby pomóc Ci osiągnąć Twój cel. Aby odpowiednio zapoznać się z treścią w tym artykule i szybszym wdrożeniu podstaw, autorzy przygotowali „Szybkie kroki do sukcesu w zakresie bezpieczeństwa” w Well-Architected Labs.
Podstawy bezpieczeństwa
Posiadając solidne podstawy do obsługi obciążenia, możesz przyjrzeć się, jak bezpiecznie budować posiadając tę niezbędną wiedzę. Bezpieczeństwo to część każdej funkcji, a nie osobnej funkcji, która ma zostać zaimplementowana później. Zespoły powinny czuć się komfortowo, mając świadomość tego, że funkcja nie jest kompletna tylko wtedy, kiedy jest testowana i produkowana. Dostosuj swoją kulturę, aby myśleć o kompletności jako o sprawdzonym znaczeniu i bezpiecznym w produkcji.
Konto AWS stanowi granicę, w obrębie której rozmieszczane są zasoby. Możesz otworzyć wiele kont AWS dla różnych celów. Na przykład, aby oddzielić dwie różne aplikacje, którymi operujesz, dzieląc różne obciążenia na wiele środowisk w różnych kontach, aby zapewnić sandboxy kontom programistów lub odizolowane zasoby jak konta zabezpieczeń. Obciążenie to zbiór systemów i aplikacji służących do osiągnięcia określonego celu biznesowego i może być skutecznym przewodnikiem przy określaniu, co należy wdrożyć na oddzielnych kontach. Z punktu widzenia bezpieczeństwa możliwość korzystania z konta AWS jako granicy pomaga wyizolować odmienne części Twoich obciążeń. Granica konta działa jako wstępna granica izolacji i powinieneś rozważnie zdecydować o tym, jak zezwolić na dostęp do znajdujących się tam zasobów. W przypadku dostępu człowieka może to stanowić podstawę zapewnienia dostępu o najniższych uprawnieniach – najlepsza praktyka IAM za zapewnienie, że użytkownicy posiadają tylko uprawnienia wymagane do wykonywania ich zadań.
Najlepszą praktyką jest utrzymywanie użytkowników z daleka od danych – najmniejsze uprzywilejowanie może wynikać z braku dostępu do środowiska produkcyjnego. Jednym ze sposobów, aby to osiągnąć, jest utworzenie oddzielnego konta dla Twojego obciążenia produkcyjnego i zapewnienie, że wszystkie zwykłe operacje są wykonywane na odległość za pomocą narzędzi, takich jak potoki lub systemy biletowania. Tam, gdzie dostęp jest niezbędny, udzielaj dostępu tymczasowego tylko na określony czas. Oprócz ograniczonych zasad IAM możesz przyznać ludziom dostęp jedynie do kont AWS zawierających obciążenie, do którego potrzebują dostępu. W przypadku dostępu między urządzeniami możesz zastosować te same koncepcje i korzystać z dostępu między kontami.
Jako minimum najlepiej posiadać oddzielne konto zarządzania organizacją, które jest wykorzystywane jedynie w celu ustanawiania kontroli w zestawie kont oraz do konfigurowania zarządzania tożsamością i dostępem w organizacji. Ta sama konfiguracja tożsamości jest następnie używana na wszystkich kontach. Skonfiguruj dedykowane konto audytu, aby bezpieczniej przechowywać dane, takie jak dzienniki audytu. W celu zwiększenia bezpieczeństwa utwórz konto kontroli, które posiada dostęp tylko do odczytu dzienników i pozostałych kont używanych przez Twój zespół ds. Bezpieczeństwa. Następnie utwórz oddzielne konta dla różnych środowisk oraz obciążeń.
Najłatwiejszy sposób, od którego możesz zacząć tworzenie i organizowanie kont, to użycie AWS Control Tower, która skonfiguruje oddzielne konto logowania i audytu, katalog AWS Single Sign-On (AWS SSO), który obsługuje również federację tożsamości z SAML 2.0, jak i kilka podstawowych zabezpieczeń. AWS SSO może także umożliwić użytkownikom pojedynczy widok wszystkich kont i ról w ramach tych kont, do których posiada dostęp. AWS Control Tower obejmuje również podstawowe narzędzie do tworzenia kont – Account Factory, którego możesz używać w celu tworzenia dodatkowych kont w ramach struktury kont AWS.
Zabezpieczenia stanowią istotny mechanizm, który klienci mogą wdrożyć, aby pomóc w utrzymaniu bezpieczeństwa w chmurze. AWS Control Tower zapewnia dwa rodzaje zabezpieczeń: prewencyjne i detekcyjne.
Zabezpieczenia prewencyjne zostały zaprojektowane tak, aby uniemożliwić użytkownikom wykonywanie określonych czynności; na przykład, uniemożliwiając użytkownikowi wyłączenie dzienników bezpieczeństwa, możesz wdrożyć prewencyjne zabezpieczenia poprzez AWS Control Tower, która zapewnia funkcję organizacji AWS nazywaną Service Control Policies (SCP). Za jej pomocą możesz ustalić maksymalne granice tego, co jest dozwolone na koncie. Te zabezpieczenia są narzucone albo nieaktywne.
Zabezpieczenia detekcyjne sprawdzają stan zasobów na koncie, używając reguł AWS Config i tym samym wskazują, czy zasoby są zgodne z tymi regułami, czy też nie. Na przykład wyszukiwanie zasobników Amazon Simple Storage Service (Amazon S3), które są publicznie dostępne. Jeśli potrzebujesz, aby dane były publicznie dostępne, zastanów się nad tym, jak to zrobić.
AWS Control Tower posiada szereg obowiązkowych zabezpieczeń, które są niezbędne do działania AWS Control Tower, a także szereg zdecydowanie zalecanych i opcjonalnych zabezpieczeń. Zdecydowanie zalecane i opcjonalne zabezpieczenia pomogą Ci zapewnić, że tworzysz silną postawę bezpieczeństwa, gdy tylko je uaktywnisz.
Nie ma dodatkowej opłaty związanej z korzystaniem z AWS Control Tower. Mimo to po skonfigurowaniu AWS Control Tower zaczniesz ponosić koszty usług AWS skonfigurowanych do tworzenia strefy docelowej i obowiązkowych zabezpieczeń. Aby uzyskać więcej informacji, zapoznaj się z cennikiem AWS Control Tower.
Zarządzanie tożsamością i dostępem
Tożsamość stanowi podstawę do potwierdzenia, że użytkownicy są tym, za kogo się podają i sposobu, w jaki dajesz im uprawnienia do działania w Twoim środowisku.
Kiedy rejestrujesz konto AWS, pierwszym otrzymanym loginem są poświadczenia użytkownika root. Poświadczenia użytkownika root mają bardzo duże możliwości i umożliwiają pełny dostęp do wszystkich zasobów w koncie. Bardzo ważne jest, aby chronić root Twojego konta przed nieupoważnionym dostępem, zaczynając od uwierzytelniania wieloskładnikowego. Uwierzytelnianie wieloskładnikowe wykorzystuje hasło (czyli coś, co jest Ci znane) oraz coś, co posiadasz (np. klucz jednorazowy lub token sprzętowy) w celu stworzenia bardziej bezpiecznego loginu. Po skonfigurowaniu uwierzytelniania wieloskładnikowego obydwa czynniki są wymagane, aby uzyskać dostęp do konta root. Następnie używaj konta root tylko w wyjątkowych sytuacjach, nie w codziennych operacjach. Przejście od korzystania z konta root do korzystania ze scentralizowanych tożsamości umożliwia Ci zarządzanie swoimi tożsamościami i powiązanie każdego działania podejmowanego w środowisku z indywidualną osobą. Najbardziej efektywnym sposobem połączenia wszystkich akcji z poszczególnymi użytkownikami jest federacja.
Federacja pozwala Ci na ponowne użycie istniejących już tożsamości, takich jak te, które posiadasz w katalogu tożsamości. Kiedy użytkownik dołącza do Twojej organizacji, pierwszą rzeczą, jaką najprawdopodobniej zrobisz, będzie nadanie mu tożsamości (aby mógł wykonywać takie czynności jak dostęp do Twoich systemów poczty e-mail), a kiedy odejdzie, usuniesz tę tożsamość, a tym samym dostęp. Korzystając z federacji w przypadku swoich kont AWS z istniejącym katalogiem tożsamości, możesz używać tych samych mechanizmów, które są powiązane z procesami biznesowymi, aby zapewnić dostęp do AWS. Korzystanie z takich narzędzi jak AWS Single Sign-ON (AWS SSO) umożliwia szybkie sfederowanie dostępu dla Twoich użytkowników i utrzymanie mapowania ról w AWS IAM (tożsamość z określonymi uprawnieniami, które mogą być przypisane lub przyjmowane przez inne tożsamości), dzięki czemu mają dostęp do wszystkich kont w Twojej organizacji. Jeśli nie masz istniejącego magazynu tożsamości, w dalszym ciągu możesz uzyskać centralny magazyn tożsamości przy użyciu wbudowanego dostawcy w AWS SSO. Kiedy przypisujesz uprawnienia, przemyśl, jaki dostęp dajesz poszczególnym użytkownikom. Upewnij się, że tworzysz i przypisujesz role na podstawie najmniejszych uprawnień, dając tylko taki dostęp, jakiego użytkownicy potrzebują do wykonania swoich zadań.
IAM jest funkcją Twojego konta AWS, dostępną bez dodatkowych opłat, a AWS SSO także jest oferowane bezpłatnie. Implementowanie SSO jest prostym sposobem na zbudowanie silnej podstawy tożsamości. Jeśli od jakiegoś czasu działasz w AWS, powinieneś przeprowadzić audyt swoich obecnych użytkowników AWS Identity and Access Management (IAM), aby przejść do modelu zcentralizowanego. Audyt zasobów IAM (i scentralizowanych tożsamości) pomoże Ci w zrozumieniu, kto posiada dostęp do Twojego środowiska AWS, nieużywanych poświadczeń i sprawdzeniu, czy użytkownicy dysponują uprawnieniami, które są istotne dla ich roli. IAM access advisor pozwoli Ci zobaczyć, kiedy ostatnio uzyskano dostęp do usług. Narzędzia takie jak IAM Access Analyzer pomogą Ci w zidentyfikowaniu zasobów w Twojej organizacji i konta, takich jak zasobniki Amazon S3 lub role IAM, które są współdzielone z podmiotem zewnętrznym. W tym samym czasie upewnij się, że kontakty na Twoim koncie są aktualne, dzięki czemu nie przegapisz żadnych ważnych informacji z AWS. Możesz zaktualizować te szczegóły w sekcji AWS billing and management.
Wykrywanie
Po tym, jak podstawowe z zasad bezpieczeństwa zostały wdrożone, musisz dodać kontrolki, aby upewnić się, że jesteś świadomy tego, co ma miejsce w środowisku, i że działania są rejestrowane. Aby pomóc Ci w zarządzaniu, zgodności i przeprowadzaniu audytów środowiska AWS, możesz skonfigurować AWS CloudTrial. Dziennik CloudTrial pokazuje Ci, kto próbował podjąć działania przeciwko zasobom w Twoim koncie AWS oraz czy działanie było dozwolone czy zabronione. Bezpieczne przechowywanie tych dzienników zapewnia historię audytu określającą, kto podejmował określone akcje w Twoim środowisku. AWS Control Tower konfiguruje bezpieczny magazyn dzienników na koncie logowania.
Amazon GuardDuty jest usługą bezpieczeństwa, która wykorzystuje inteligentne wykrywanie zagrożeń, aby zaalarmować Cię o nietypowej aktywności w Twoim środowisku. GuardDuty wykorzystuje dzienniki CloudTrial w celu poinformowania Cię o szkodliwej aktywności i nieautoryzowanym zachowaniu, a także w celu analizy zachowania obciążenia w dziennikach aktywności DNS i VPC Flow Logs, które są podobne do dzienników przepływu sieci. GuardDuty tworzy linię bazową w trakcie aktywności na Twoim koncie i informuje Cię, kiedy zostanie wykryte zachowanie odbiegające od linii bazowej. Na przykład GuardDuty wysyła alert, gdy użytkownik próbuje zwiększyć swoje uprawnienia. Te zdarzenia można skonfigurować w Amazon CloudWatch Events w celu ostrzegania i wyzwalania automatycznych działań, na przykład uruchamiając funkcję Lambda w celu uniemożliwienia użytkownikowi prób eskalacji jego uprawnień do czasu, aż będziesz mógł się z nimi skontaktować.
Wdrażanie ręcznych pulpitów nawigacyjnych poprzez Amazon CloudWatch lub tych dostarczanych wraz z narzędziami detekcyjnymi jak Amazon GuardDuty może dać Ci jasny obraz tego, co dzieje się w Twoim środowisku, ale również skonfigurować ostrzeganie o kluczowych zdarzeniach. Początkowym, tymczasowym sposobem osiągnięcia tego może być utworzenie reguły Amazon CloudWatch Rule wraz z tematem Amazon SNS jako miejscem docelowym i poproszenie zespołu o zasubskrybowanie ich e-maili w tematach SNS. W ramach konfigurowania alertów upewnij się, że dla każdego alertu zdefiniowano proces naprawczy, który obejmuje czynności, jakie należy podjąć po wyzwoleniu alertu. W dłuższej perspektywie, w miarę jak Twoje umiejętności stają się bardziej zaawansowane, możesz to rozwinąć, aby odpowiednio odfiltrowywać alerty i powtarzać procesy reagowania i korekty.
Pojedynczy widok na to, co dzieje się w Twojej infrastrukturze wszystkich kont i w odpowiednich regionach, daje Ci przejrzysty obraz ogólnego stanu środowiska. Rozważ korzystanie z AWS Security Hub do łączenia alertów z GuardDuty, innych usług AWS takich jak AWS Inspector (do analizy dostępności sieci i typowych słabych punktów oraz zagrożeń) oraz produktów partnerów. Security Hub umożliwia utrwalanie wyników z wielu źródeł i normalizowanie ich, aby stały się porównywalne. Dzięki temu zyskujesz widok na to, gdzie należy podjąć działanie i jakie zadania o wysokim priorytecie są wymagane. SecurityHub umożliwia Ci także włączenie kontroli zgodności w infrastrukturze AWS, aby pomóc Ci przestrzegać najlepszych praktyk. Świetnym punktem wyjścia jest standard AWS Foundational Security Best Practices.
Zarówno GuardDuty, jak Security Hub zawierają bezpłatny okres próbny i skalują się wraz z użyciem po ich włączeniu. Możesz wykorzystać okres próbny do oszacowania, jaki będzie koszt użycia na wszystkich kontach AWS.
Infrastruktura i ochrona danych
Buduj ochronę w sposób warstwowy i miej świadomość tego, jakie funkcje dostępne są w usługach, z których korzystasz. Wiele usług AWS zawiera specjalną sekcję bezpieczeństwa jako część dokumentacji dla programistów. Zanim dodasz usługę AWS, w dokumentacji przeczytaj sekcję dotyczącą bezpieczeństwa i sprawdź, jakie opcje są dla Ciebie dostępne. Upewnij się, że rozumiesz natywne dla chmury usługi zabezpieczeń AWS, które integrują się z usługami, z których korzystasz. AWS Key Management Service integruje się z wieloma usługami AWS, aby umożliwić szyfrowanie w czasie spoczynku. Na przykład możesz włączyć domyślne szyfrowanie dla wszystkich wolumenów EBS w regionie. AWS Certificate Manager zapewnia publiczne certyfikaty, które integrują się z Elastic Load Balancing i Amazon CloudFront do szyfrowania danych podczas przesyłania. Publiczne certyfikaty SSL/TLS dostarczane za pośrednictwem AWS Certificate Manager są całkowicie bezpłatne. Płacisz tylko za zasoby AWS, które tworzysz, aby obsługiwać swoją aplikację. Możesz wdrożyć AWS WAF (zaporę sieciową aplikacji) i AWS Shield, aby chronić swoje punkty końcowe HTTPS. W przypadku wdrażania usług zarządzających zasobami, takich jak Amazon RDS, AWS Lambda czy Amazon ECS, dochodzi do redukcji zadań związanych z utrzymaniem bezpieczeństwa w ramach modelu współodpowiedzialności.
Reakcje na incydenty
Po wprowadzeniu podstawowych kontroli bezpieczeństwa Twój zespół musi być przygotowany do skutecznego działania, jeśli dojdzie do incydentu. To obejmuje projektowanie celów reagowania na incydenty, edukowanie zespołu i przygotowywanie do reagowania. Symulowanie zdarzeń pomaga Twojemu zespołowi nauczyć się więcej na temat Twoich narzędzi i procesów. Zawsze powtarzaj, aby ulepszyć ten proces na przyszłość. Na początek rozważ korzystanie z typów wyszukiwania GuardDuty jako podstawy tego, na co powinieneś być w stanie odpowiedzieć. Zapoznaj się z typami wyszukiwania, określ, które wyniki są najbardziej odpowiednie i napisz fragment Runbook przedstawiający kroki mówiące o tym, jak zareagować. Przetestuj proces odpowiedzi dla każdego typu wyników. W ten sposób Twój zespół upewni się, że posiada odpowiednie dostępne narzędzia, właściwy dostęp w nagłych wypadkach i wie, z kim musi współpracować. Poprzez symulację Twojego procesu odpowiedzi Twój zespół przećwiczy reagowanie i zredukuje czas potrzebny do przywrócenia sprawności, jeśli dojdzie do zdarzenia.
Gdy poczujesz się komfortowo z całym procesem, zautomatyzuj go. Na przykład utwórz funkcję Lambda, aby wykonać naprawę bez konieczności wstawania w środku nocy, aby podjąć działanie. Może to zostać utworzone w międzyczasie, gdy tworzysz linię bazową zdarzeń. Poświęcenie odrobiny więcej czasu na przemyślenie wydarzeń priorytetowych dla Twojego środowiska pomoże Ci opracować podręcznik, aby na nie zareagować. Kiedy czujesz się komfortowo z potrzebnymi odpowiedziami na incydenty, możesz zautomatyzować odpowiedzi tak, aby działania naprawcze nie były uruchamiane, kiedy dojdzie do incydentu, choć możesz także chcieć, aby osoba zweryfikowała to przed wyzwoleniem potencjalnie wpływowej odpowiedzi.
Na przykład jeden z typów wyszukiwania GuardDuty identyfikuje, kiedy instancja EC2 wysyła zapytanie do adresu IP, który jest powiązany z aktywnością związaną z kryptowalutą. Sugerowana rekultywacja ma na celu zbadanie instancji, utworzenie migawki (snapshot), rozważenie zatrzymywania i uruchamiania nowych instancji i podnoszenie zgłoszeń serwisowych. Twój runbook mógłby nakreślić, jak wykonać każdy z tych kroków lub mógłbyś użyć CloudWatch do wyzwolenia funkcji Lambda, która umieści instancję w izolowanej grupie bezpieczeństwa bez dostępu do internetu, w celu późniejszego zbadania. Dalsze przykłady automatyzacji można znaleźć w laboratoriach Getting Hnads on with Amazon GuardDuty.
Wnioski
Na podstawie tego artykułu dowiedziałeś się o niektórych technikach i usługach, które mogą zostać wykorzystane do zbudowania bezpiecznych fundamentów. Zbuduj solidne podstawy bezpieczeństwa i korzystaj ze strategii obejmującej wiele kont, która pozwoli Ci na odizolowanie różnych obciążeń w Twojej organizacji. Silny fundament tożsamości gwarantuje, że masz świadomość tego, co kto robi na swoim stanowisku. Rejestrowanie i monitorowanie zapewniają Cię, że jesteś gotowy, aby w razie potrzeby podjąć działanie. Tworzenie zabezpieczeń w warstwach i korzystanie z funkcji usług dostępnych podczas kompilacji zapewnia, że korzystasz z kontroli bezpieczeństwa dostępnych dla wszystkich klientów na platformie. Bądź przygotowany, aby zareagować na zdarzenia i regularnie ćwicz proces reagowania, aby na wypadek wystąpienia incydentu Twój zespół był zawsze przygotowany.
Bezpieczne podstawy to tylko początek. Pamiętaj, że bezpieczeństwo nie jest oddzielną funkcją i nowe funkcje nie są kompletne, dopóki nie zostaną przetestowane i bezpieczne w środowisku produkcyjnym. Stwórz kulturę bezpieczeństwa, polegającą na ciągłym doskonaleniu i podejmuj odpowiednie działania, aby zapewnić sobie bezpieczeństwo podczas tworzenia obciążeń. Powtarzaj, aby odpowiednio zmniejszyć ryzyko. Użyj narzędzia AWS Well-Architected Tool, które umożliwia Tobie i Twojemu zespołowi sprawdzenie obciążenia pracą pod kątem najlepszych praktyk, które można połączyć z Well-Architected labs w celu praktycznej nauki. Jak wspomniano wcześniej, laboratorium ułatwiające samodzielne wdrażanie treści opisanych w tym artykule można znaleźć w Quick Steps to Security Success. Nie zapominaj, że możesz także zapoznać się ze wspomnianymi już historiami dwóch klientów AWS: Tic:Toc i FYI na blogu AWS Startups.
Jeśli posiadasz uwagi do powyższego artykułu, zostaw komentarz w sekcji Komentarze znajdującej się poniżej. Jeśli masz pytania na temat tego artykułu, rozpocznij wątek na jednym z forów AWS Security, Identity and Compliance lub skontaktuj się z pomocą techniczną AWS.
źródło: AWS