Sicurezza dell'infrastruttura in Amazon EC2 - Amazon Elastic Compute Cloud
Isolamento della reteIsolamento su host fisiciControllo del traffico di rete

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza dell'infrastruttura in Amazon EC2

In quanto servizio gestito, Amazon Elastic Compute Cloud è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security. Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Utilizzi API le chiamate AWS pubblicate per accedere ad Amazon EC2 tramite la rete. I client devono supportare quanto segue:

  • Transport Layer Security (TLS). Richiediamo TLS 1.2 e consigliamo TLS 1.3.

  • Suite di cifratura con Perfect Forward Secrecy (PFS) come (Ephemeral Diffie-Hellman) o DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale. IAM O puoi utilizzare AWS Security Token Service (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.

Per ulteriori informazioni, vedere Infrastructure Protection in the Security Pillar — AWS Well-Architected Framework.

Isolamento della rete

Un cloud privato virtuale (VPC) è una rete virtuale nella propria area logicamente isolata nel cloud. AWS Utilizza un sistema separato VPCs per isolare l'infrastruttura in base al carico di lavoro o all'entità organizzativa.

Una sottorete è un intervallo di indirizzi IP in un. VPC Quando avvii un'istanza, la avvii in una sottorete del tuo. VPC Utilizza le sottoreti per isolare i livelli dell'applicazione (ad esempio, web, applicazione e database) all'interno di un'unica. VPC Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet.

Per chiamare Amazon EC2 API dal tuo VPC indirizzo IP privato, usa AWS PrivateLink. Per ulteriori informazioni, consulta Accedi ad Amazon EC2 utilizzando un VPC endpoint di interfaccia.

Isolamento su host fisici

EC2Istanze diverse sullo stesso host fisico sono isolate l'una dall'altra come se si trovassero su host fisici separati. L'hypervisor isola CPU e memorizza e alle istanze vengono forniti dischi virtualizzati anziché accedere ai dispositivi a disco raw.

Quando si interrompe o termina un'istanza, la memoria ad essa allocata viene annullata (impostata su zero) dall'hypervisor prima che venga allocata a una nuova istanza e ogni blocco di archiviazione viene ripristinato. Questo garantisce che i dati non vengano involontariamente esposti a un'altra istanza.

MACGli indirizzi di rete vengono assegnati dinamicamente alle istanze dall'infrastruttura di rete. AWS Gli indirizzi IP vengono assegnati dinamicamente alle istanze dall'infrastruttura di AWS rete o assegnati da un EC2 amministratore tramite richieste autenticate. API La AWS rete consente alle istanze di inviare traffico solo dagli indirizzi IP MAC e dagli indirizzi IP loro assegnati. In caso contrario, il traffico viene interrotto.

Per impostazione predefinita, un'istanza non può ricevere traffico che non è specificatamente indirizzato ad essa. Se devi eseguire servizi di traduzione degli indirizzi di rete (NAT), routing o firewall sull'istanza, puoi disabilitare il controllo di origine/destinazione per l'interfaccia di rete.

Controllo del traffico di rete

Prendi in considerazione le seguenti opzioni per controllare il traffico di rete verso le tue istanze: EC2

  • Limita l'accesso alle istanze mediante gruppi di sicurezza. Configura regole che consentano il traffico di rete minimo richiesto. Ad esempio, è possibile consentire il traffico solo dagli intervalli di indirizzi della rete aziendale o solo per protocolli specifici, comeHTTPS. Per le istanze Windows, consenti il traffico di gestione di Windows e il numero minimo di connessioni in uscita.

  • Sfrutta i gruppi di sicurezza come meccanismo principale per controllare l'accesso di rete alle EC2 istanze Amazon. Se necessario, usa la rete ACLs con parsimonia per fornire un controllo di rete generico e senza stato. I gruppi di sicurezza sono più versatili ACLs della rete grazie alla loro capacità di eseguire il filtraggio dei pacchetti con informazioni sullo stato e di creare regole che fanno riferimento ad altri gruppi di sicurezza. Tuttavia, la rete ACLs può essere efficace come controllo secondario per negare uno specifico sottoinsieme di traffico o fornire protezioni di sottorete di alto livello. Inoltre, poiché la rete ACLs si applica a un'intera sottorete, può essere utilizzata defense-in-depth nel caso in cui un'istanza venga avviata involontariamente senza un gruppo di sicurezza corretto.

  • [Istanze Windows] Gestisci centralmente le impostazioni di Windows Firewall con Group Policy Objects (GPO) per migliorare ulteriormente i controlli di rete. I clienti utilizzano spesso Windows Firewall per un'ulteriore visibilità sul traffico di rete e per integrare i filtri dei gruppi di sicurezza, creando regole avanzate per impedire l'accesso alla rete ad applicazioni specifiche o per filtrare il traffico da un sottoinsieme di indirizzi IP. Ad esempio, Windows Firewall può limitare l'accesso all'indirizzo IP del servizio di EC2 metadati a utenti o applicazioni specifici. In alternativa, un servizio pubblico potrebbe utilizzare gruppi di sicurezza per limitare il traffico a porte specifiche e Windows Firewall per mantenere un elenco di indirizzi IP bloccati in modo esplicito.

  • Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet. Utilizza un host o un NAT gateway bastion per l'accesso a Internet da un'istanza in una sottorete privata.

  • [Istanze Windows] Utilizza protocolli di amministrazione sicuri come l'RDPincapsulamento su/. SSL TLS Il Remote Desktop Gateway Quick Start fornisce le migliori pratiche per la distribuzione del gateway desktop remoto, inclusa la configurazione RDP per l'utilizzo di/. SSL TLS

  • [Istanze Windows] Utilizzate Active Directory o AWS Directory Service per controllare e monitorare in modo rigoroso e centralizzato l'accesso interattivo di utenti e gruppi alle istanze di Windows ed evitate le autorizzazioni degli utenti locali. Evita inoltre di utilizzare gli amministratori di dominio e crea account basati sui ruoli più granulari e specifici dell'applicazione. Just Enough Administration (JEA) consente di gestire le modifiche alle istanze di Windows senza accesso interattivo o da amministratore. Inoltre, JEA consente alle organizzazioni di bloccare l'accesso amministrativo al sottoinsieme di PowerShell comandi di Windows necessari per l'amministrazione, ad esempio. Per ulteriori informazioni, consulta la sezione «Gestione dell'accesso a livello di sistema operativo ad AmazonEC2» nel white paper sulle best practice AWS di sicurezza.

  • [Istanze Windows] Gli amministratori di sistema devono utilizzare account Windows con accesso limitato per eseguire attività quotidiane e aumentare l'accesso solo quando necessario per eseguire modifiche specifiche alla configurazione. Inoltre, accedi solo alle istanze di Windows direttamente quando è assolutamente necessario. Sfrutta invece sistemi centrali di gestione della configurazione come EC2 Run Command, Systems Center Configuration Manager (SCCM) PowerShellDSC, Windows o Amazon EC2 Systems Manager (SSM) per inviare modifiche ai server Windows.

  • Configura le tabelle di routing delle VPC sottoreti di Amazon con i percorsi di rete minimi richiesti. Ad esempio, posiziona solo EC2 le istanze Amazon che richiedono l'accesso diretto a Internet in sottoreti con percorsi verso un gateway Internet e posiziona solo EC2 le istanze Amazon che richiedono l'accesso diretto alle reti interne in sottoreti con percorsi verso un gateway privato virtuale.

  • Prendi in considerazione l'utilizzo di gruppi di sicurezza o interfacce di rete aggiuntivi per controllare e verificare il traffico di gestione delle EC2 istanze Amazon separatamente dal normale traffico delle applicazioni. Questo approccio consente ai clienti di implementare IAM politiche speciali per il controllo delle modifiche, semplificando la verifica delle modifiche alle regole dei gruppi di sicurezza o agli script automatici di verifica delle regole. L'utilizzo di più interfacce di rete offre inoltre opzioni aggiuntive per il controllo del traffico di rete, inclusa la possibilità di creare politiche di routing basate sull'host o sfruttare diverse regole di routing delle sottoreti in base alla VPC sottorete assegnata dell'interfaccia di rete.

  • Usa AWS Virtual Private Network o AWS Direct Connect per stabilire connessioni private dalle tue reti remote al tuo. VPCs Per ulteriori informazioni, consulta Opzioni di connettività da rete ad Amazon VPC.

  • Usa VPCFlow Logs per monitorare il traffico che raggiunge le tue istanze.

  • Usa GuardDuty Malware Protection per identificare comportamenti sospetti indicativi della presenza di software dannoso sulle tue istanze che potrebbero compromettere il tuo carico di lavoro, riutilizzare le risorse per usi dannosi e ottenere l'accesso non autorizzato ai tuoi dati.

  • Usa GuardDuty Runtime Monitoring per identificare e rispondere a potenziali minacce alle tue istanze. Per ulteriori informazioni, consulta Come funziona il monitoraggio del runtime con EC2 le istanze Amazon.

  • Usa AWS Security HubReachability Analyzer o Network Access Analyzer per verificare l'accessibilità involontaria della rete dalle tue istanze.

  • Usa EC2Instance Connect per connetterti alle tue istanze utilizzando Secure Shell (SSH) senza la necessità di condividere e gestire SSH le chiavi.

  • Usa AWS Systems Manager Session Manager per accedere alle istanze da remoto anziché aprire RDP porte SSH o porte in entrata e gestire coppie di chiavi.

  • Usa AWS Systems Manager Run Command per automatizzare le attività amministrative più comuni invece di connetterti alle tue istanze.

  • [Istanze Windows] Molti ruoli del sistema operativo Windows e le applicazioni aziendali Microsoft offrono anche funzionalità avanzate come le restrizioni dell'intervallo di indirizzi IP all'internoIIS, i criteri di filtraggio TCP /IP in Microsoft SQL Server e i criteri di filtro delle connessioni in Microsoft Exchange. La funzionalità di restrizione di rete all'interno del livello dell'applicazione può fornire ulteriori livelli di difesa per i server applicazioni aziendali critici.

Amazon VPC supporta controlli di sicurezza di rete aggiuntivi, come gateway, server proxy e opzioni di monitoraggio della rete. Per ulteriori informazioni, consulta Controllare il traffico di rete nella Amazon VPC User Guide.