A company has an organization in AWS Organizations that has all features enabled. The company requires that all API calls and logins in any existing or new AWS account must be audited. The company needs a managed solution to prevent additional work and to minimize costs. The company also needs to know when any AWS account is not compliant with the AWS Foundational Security Best Practices (FSBP) standard.
Which solution will meet these requirements with the LEAST operational overhead?
A. Deploy an AWS Control Tower environment in the Organizations management account. Enable AWS Security Hub and AWS Control Tower Account Factory in the environment.
B. Deploy an AWS Control Tower environment in a dedicated Organizations member account. Enable AWS Security Hub and AWS Control Tower Account Factory in the environment.
C. Use AWS Managed Services (AMS) Accelerate to build a multi-account landing zone (MALZ). Submit an RFC to selfservice provision Amazon GuardDuty in the MALZ.
D. Use AWS Managed Services (AMS) Accelerate to build a multi-account landing zone (MALZ). Submit an RFC to selfservice provision AWS Security Hub in the MALZ.
A
一家公司在 AWS Organizations 中有一個啟用了所有功能的組織。公司要求必須對任何現有或新的 AWS 賬戶中的所有 API 調用和登錄操作進行審計。公司需要一個托管解決方案,以避免額外工作并最小化成本。公司還需要知道何時有任何 AWS 賬戶不符合 AWS 基礎安全最佳實踐(FSBP)標準。哪種解決方案能以最少的運營開銷滿足這些要求?公司要在 AWS 環境中滿足對所有賬戶的 API 調用和登錄操作審計、以托管方式最小化成本和運營開銷、掌握賬戶是否符合 FSBP 標準的要求,需要從四個選項中選出最優解決方案。
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
A. 正確。在組織管理賬戶中部署 AWS Control Tower 環境。在該環境中啟用 AWS Security Hub 和 AWS Control Tower Account Factory。AWS Control Tower 提供多賬戶管理和治理功能,部署在管理賬戶中可對整個組織進行統一管理。AWS Security Hub 能聚合安全警報并檢查合規性,包括對 FSBP 標準的檢查。Account Factory 便于快速創建符合標準的賬戶。此方案能滿足審計、托管低成本和合規性檢查要求,且在管理賬戶部署便于集中管理,運營開銷相對較小。
B. 不正確。在專用的組織成員賬戶中部署 AWS Control Tower 環境。在該環境中啟用 AWS Security Hub 和 AWS Control Tower Account Factory。該方案使用 Control Tower 和 Security Hub 的功能,但部署在成員賬戶中,在集中管理和統一審計方面不如部署在管理賬戶方便,會增加一定的運營復雜度和開銷,不太符合以最少運營開銷滿足要求。
C. 不正確。使用 AWS Managed Services (AMS) Accelerate 構建多賬戶登錄區域 (MALZ)。提交 RFC 以自助服務方式在 MALZ 中配置 Amazon GuardDuty。Amazon GuardDuty 主要側重于威脅檢測,雖然能發現一些異常活動,但不能全面滿足對所有 API 調用和登錄操作的審計需求,也不具備直接檢查賬戶是否符合 FSBP 標準的功能,無法滿足所有要求。
D. 不正確。使用 AWS Managed Services (AMS) Accelerate 構建多賬戶登錄區域 (MALZ)。提交 RFC 以自助服務方式在 MALZ 中配置 AWS Security Hub。該方案配置 AWS Security Hub 雖然能檢查合規性和聚合安全警報,但 AMS Accelerate 構建 MALZ 過程相對復雜,且相比直接在組織管理賬戶部署 Control Tower 和 Security Hub,運營開銷可能更大,不是最優的以最少運營開銷滿足要求的方案。
審計需求:需要一種能全面記錄和監控所有賬戶 API 調用和登錄操作的方式。
托管解決方案與成本開銷:要選擇能自動管理、減少人工干預,同時成本較低的方案。
合規性檢查:需具備檢測賬戶是否符合 AWS 基礎安全最佳實踐標準的功能。