28/08/2023
Por Ana Vasconcelos
O AWS Control Tower é uma maneira prática de configurar e gerenciar um ambiente seguro, conhecido como Landing Zone (ambiente de multi contas, contendo o Well-Architected, onde pode se iniciar o processo de deploy de workloads e/ou aplicações). Ele é perfeito para clientes com várias contas e equipes na AWS.
PROS X CONTRAS
Essa ferramenta possui diversos benefícios que permitem com que empresas possam gerenciar seu ambiente em cloud e assim como todas as outras possui prós e contras:
Prós
• Possibilidade de automação da instalação de várias contas em menos tempo;
• Oferece regras de alto nível, barreiras de proteção que auxiliam na imposição de políticas SCPs e ao fim ainda proporciona um relatório mostrando quais contas estão em conformidade;
• Oferece painel integrado para visualização de resumo geral das políticas estabelecidas e informações sobre as contas criadas;
Contras
• Emails de caixa compartilhada podem ser alterados, mas é necessário atualizar a área de aterrisagem;
• Limite de 5 SCPs por OU;
• OUs com mais de 300 contas não podem ser registradas.
Novidade
O software de código aberto que acelera a implementação dos controles de segurança e fundamentos de infraestrutura da AWS.
Exemplo de arquitetura usando a solução
COMO APLICAR?
A solução inclui que o template do AWS CloudFormation, proporciona o AWS CodePipeline contendo o instalador do acelerador de Landing Zone. O instalador é usado como um ponto de partida para o deploy do core.
Um projeto de AWS CodeBuild é usado como forma de gerenciamento para a construção e execução da aplicação Cloud Development Kit (CDK), que faz o deploy do AWS Accelerator-PipelineStack e seus dependentes.
O pipeline principal é usado para validação de entrada de dados, síntese e deploy de outras pilhas do CloudFormation. Para armazenar as configurações de arquivos que são usadas na solução de usado o AWS CodeCommit.
Um AWS CodeBuild é usado para a compilação do CDK e um AWS CodeBuild múltiplo é usado para ilustrar as fontes que foram usadas para realizar a configuração da solução. Também é possível acompanhar todas as mudanças que foram realizadas.
E por fim, a solução ajudará o Control Tower monitorando seu ciclo de vida, garantindo que ele está com o ambiente configurado de forma correta.
Curiosidade
Em 29 de novembro de 2021 foi anunciado que o Control Tower pode trabalhar com o Terraform!
É fornecido um único pipeline de infraestrutura de código para prover uma conta. Proporcionando a criação automatizada de contas com monitoramento benefícios de governança e também é possível obter suporte do Terraform Cloud, Terraform Enterprise e Terraform Open Source.
A customização e provisionamento é feito pelo AWS Control Tower Account Factory para Terraform (AFT).
POLICY VIA CONTROW TOWER
O provisionamento das políticas via AWS Control Tower permite que as organizações apliquem automaticamente as políticas que configuraram no serviço. Isso ajuda a garantir que todas as contas e recursos permaneçam em conformidade com as políticas de segurança e conformidade da organização. E simplifica o processo de configuração e gerenciamento de políticas em uma organização da AWS, pois elimina a necessidade de intervenção manual.
SOBRE GUARDDUTY
O AWS Control Tower pode ser utilizado para centralizar a administrar a utilização do Amazon GuardDuty. A conta de administrador do GuardDuty habilita e gerencia o GuardDuty em todas as contas de membros existentes e futuras do AWS Control Tower. As descobertas do GuardDuty de todas as contas de membros também são agregadas à conta de gerenciamento. Além disso, todas as descobertas do GuardDuty são exportadas para o bucket S3 designado na conta de arquivo de log do AWS Control Tower.
* O Darede Academy é uma iniciativa da Darede que busca capacitar novos talentos do mundo da tecnologia da informação e colocá-los no mercado de trabalho. Os participantes do Darede Academy participam do programa de estágio da empresa e foram incentivados a escrever artigos técnicos de estilo informativo sobre o mundo da cloud computing.
Ana Vasconcelos
Mentor: Ricardo Lemos
ricardo.lemos@darede.com.br
Equipe de novos talentos do mundo da TI que estão sendo preparados para os desafios da profissão.
