A company has an organization in AWS Organizations that has all features enabled. The company requires that all API calls and logins in any existing or new AWS account must be audited. The company needs a managed solution to prevent additional work and to minimize costs. The company also needs to know when any AWS account is not compliant with the AWS Foundational Security Best Practices (FSBP) standard.
Which solution will meet these requirements with the LEAST operational overhead?
A. Deploy an AWS Control Tower environment in the Organizations management account. Enable AWS Security Hub and AWS Control Tower Account Factory in the environment.
B. Deploy an AWS Control Tower environment in a dedicated Organizations member account. Enable AWS Security Hub and AWS Control Tower Account Factory in the environment.
C. Use AWS Managed Services (AMS) Accelerate to build a multi-account landing zone (MALZ). Submit an RFC to selfservice provision Amazon GuardDuty in the MALZ.
D. Use AWS Managed Services (AMS) Accelerate to build a multi-account landing zone (MALZ). Submit an RFC to selfservice provision AWS Security Hub in the MALZ.
A
一家公司在 AWS Organizations 中有一个启用了所有功能的组织。公司要求必须对任何现有或新的 AWS 账户中的所有 API 调用和登录操作进行审计。公司需要一个托管解决方案,以避免额外工作并最小化成本。公司还需要知道何时有任何 AWS 账户不符合 AWS 基础安全最佳实践(FSBP)标准。哪种解决方案能以最少的运营开销满足这些要求?公司要在 AWS 环境中满足对所有账户的 API 调用和登录操作审计、以托管方式最小化成本和运营开销、掌握账户是否符合 FSBP 标准的要求,需要从四个选项中选出最优解决方案。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 正确。在组织管理账户中部署 AWS Control Tower 环境。在该环境中启用 AWS Security Hub 和 AWS Control Tower Account Factory。AWS Control Tower 提供多账户管理和治理功能,部署在管理账户中可对整个组织进行统一管理。AWS Security Hub 能聚合安全警报并检查合规性,包括对 FSBP 标准的检查。Account Factory 便于快速创建符合标准的账户。此方案能满足审计、托管低成本和合规性检查要求,且在管理账户部署便于集中管理,运营开销相对较小。
B. 不正确。在专用的组织成员账户中部署 AWS Control Tower 环境。在该环境中启用 AWS Security Hub 和 AWS Control Tower Account Factory。该方案使用 Control Tower 和 Security Hub 的功能,但部署在成员账户中,在集中管理和统一审计方面不如部署在管理账户方便,会增加一定的运营复杂度和开销,不太符合以最少运营开销满足要求。
C. 不正确。使用 AWS Managed Services (AMS) Accelerate 构建多账户登录区域 (MALZ)。提交 RFC 以自助服务方式在 MALZ 中配置 Amazon GuardDuty。Amazon GuardDuty 主要侧重于威胁检测,虽然能发现一些异常活动,但不能全面满足对所有 API 调用和登录操作的审计需求,也不具备直接检查账户是否符合 FSBP 标准的功能,无法满足所有要求。
D. 不正确。使用 AWS Managed Services (AMS) Accelerate 构建多账户登录区域 (MALZ)。提交 RFC 以自助服务方式在 MALZ 中配置 AWS Security Hub。该方案配置 AWS Security Hub 虽然能检查合规性和聚合安全警报,但 AMS Accelerate 构建 MALZ 过程相对复杂,且相比直接在组织管理账户部署 Control Tower 和 Security Hub,运营开销可能更大,不是最优的以最少运营开销满足要求的方案。
审计需求:需要一种能全面记录和监控所有账户 API 调用和登录操作的方式。
托管解决方案与成本开销:要选择能自动管理、减少人工干预,同时成本较低的方案。
合规性检查:需具备检测账户是否符合 AWS 基础安全最佳实践标准的功能。