Best practice relative alla sicurezza di rilevamento di DynamoDB

Le best practice seguenti per Amazon DynamoDB consentono di rilevare potenziali debolezze e incidenti di sicurezza.

Utilizzalo AWS CloudTrail per monitorare l'utilizzo delle chiavi KMS AWS gestite

Se si utilizza un file Chiave gestita da AWSper la crittografia a riposo, viene registrato l'utilizzo di questa chiave. AWS CloudTrail CloudTrail fornisce visibilità sull'attività degli utenti registrando le azioni intraprese sul tuo account. CloudTrail registra informazioni importanti su ogni azione, tra cui chi ha effettuato la richiesta, i servizi utilizzati, le azioni eseguite, i parametri delle azioni e gli elementi di risposta restituiti dal AWS servizio. Queste informazioni aiutano a tenere traccia delle modifiche apportate alle AWS risorse e a risolvere i problemi operativi. CloudTrail semplifica la garanzia della conformità alle politiche interne e agli standard normativi.

È possibile utilizzare CloudTrail per controllare l'utilizzo delle chiavi. CloudTrail crea file di registro che contengono una cronologia delle chiamate AWS API e degli eventi correlati per il tuo account. Questi file di registro includono tutte le richieste AWS KMS API effettuate utilizzando AWS Management Console gli AWS SDK e gli strumenti da riga di comando, oltre a quelle effettuate tramite AWS servizi integrati. Puoi utilizzare questi file di log per ottenere informazioni su quando la chiave KMS è stata usata, l'operazione richiesta, l'identità del richiedente, l'indirizzo IP da cui proviene la richiesta e così via. Per ulteriori informazioni, consulta Registrazione di chiamate API di AWS KMS con AWS CloudTrail nella Guida per l'utente di AWS CloudTrail.

Monitora le operazioni di DynamoDB utilizzando CloudTrail

CloudTrail può monitorare sia gli eventi del piano di controllo che gli eventi del piano dati. Le operazioni del piano di controllo consentono di creare e gestire le tabelle DynamoDB. Ti permettono anche di utilizzare indici, flussi e altri oggetti che dipendono dalle tabelle. Le operazioni del piano dati consentono di eseguire operazioni di creazione, lettura, aggiornamento ed eliminazione (chiamate anche CRUD) sui dati in una tabella. Alcune operazioni del piano dati consentono inoltre di leggere i dati da un indice secondario. Per abilitare la registrazione degli eventi del piano dati CloudTrail, è necessario abilitare la registrazione dell'attività dell'API del piano dati in. CloudTrail Per ulteriori informazioni, consulta Registrazione di eventi di dati per i percorsi.

Quando si verifica un'attività in DynamoDB, tale attività viene registrata in CloudTrail un evento insieme ad AWS altri eventi di servizio nella cronologia degli eventi. Per ulteriori informazioni, consulta Registrazione delle operazioni di DynamoDB con AWS CloudTrail. Puoi visualizzare, cercare e scaricare gli eventi recenti nel tuo AWS account. Per ulteriori informazioni, consulta Visualizzazione degli eventi con cronologia degli CloudTrail eventi nella Guida AWS CloudTrail per l'utente.

Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi per DynamoDB, crea un percorso. Un trail consente di CloudTrail inviare file di log a un bucket Amazon Simple Storage Service (Amazon S3). Per impostazione predefinita, quando crei un percorso sulla console, il percorso si applica a tutte le AWS regioni. Il percorso registra gli eventi di tutte le regioni nella partizione AWS e distribuisce i file di log nel bucket S3 specificato. Inoltre, è possibile configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei CloudTrail log.

Utilizzo di DynamoDB Streams per monitorare le operazioni del piano dati

DynamoDB è integrato AWS Lambda in modo da poter creare trigger, parti di codice che rispondono automaticamente agli eventi in DynamoDB Streams. Con i trigger è possibile creare applicazioni che rispondono alle modifiche di dati nelle tabelle DynamoDB.

Se si abilita DynamoDB Streams su una tabella, è possibile associare l'Amazon Resource Name (ARN) del flusso a una funzione Lambda da te scritta. Immediatamente dopo la modifica di un elemento della tabella, viene visualizzato un nuovo record nello stream della tabella. AWS Lambda interroga lo stream e richiama la funzione Lambda in modo sincrono quando rileva nuovi record di stream. La funzione Lambda può eseguire qualsiasi operazione specificata, come l'invio di una notifica o l'inizializzazione di un flusso di lavoro.

Per un esempio, consulta Tutorial: utilizzo di AWS Lambda con Amazon DynamoDB Streams. Questo esempio riceve l'input di un evento DynamoDB, elabora i messaggi in esso contenuti e scrive alcuni dei dati degli eventi in entrata su Amazon Logs. CloudWatch

Monitora la configurazione di DynamoDB con AWS Config

Grazie a AWS Config, puoi monitorare continuamente e registrare le modifiche alla configurazione delle risorse AWS . Puoi anche usarla AWS Config per inventariare le tue AWS risorse. Quando viene rilevata una modifica rispetto a uno stato precedente, è possibile distribuire una notifica di Amazon Simple Notification Service (Amazon SNS) in modo che possa essere rivista e si possa intervenire. Segui le indicazioni in Configurazione AWS Config con la console, assicurandoti che i tipi di risorse DynamoDB siano inclusi.

Puoi configurare lo streaming delle modifiche AWS Config alla configurazione e delle notifiche su un argomento di Amazon SNS. Ad esempio, quando una risorsa viene aggiornata, puoi ricevere una notifica al tuo indirizzo email, in modo che tu possa visualizzare tali modifiche. Puoi anche ricevere notifiche quando AWS Config valuti le tue regole personalizzate o gestite rispetto alle tue risorse.

Per un esempio, consulta l'argomento Notifiche AWS Config inviate a un Amazon SNS nella AWS Config Developer Guide.

Monitora la conformità di DynamoDB alle regole AWS Config

AWS Config monitora continuamente le modifiche alla configurazione che si verificano tra le tue risorse. controllando se queste modifiche violano eventuali condizioni nelle regole. Se una risorsa viola una regola, AWS Config contrassegna la risorsa e la regola come non conformi.

Utilizzando AWS Config per valutare le configurazioni delle risorse, è possibile valutare la conformità delle configurazioni delle risorse alle pratiche interne, alle linee guida del settore e alle normative. AWS Config fornisce regole AWS gestite, che sono regole predefinite e personalizzabili che vengono AWS Config utilizzate per valutare se le AWS risorse sono conformi alle migliori pratiche comuni.

Assegnazione di tag alle risorse DynamoDB per identificazione e automazione

Puoi assegnare metadati alle tue AWS risorse sotto forma di tag. Ogni tag è una semplice etichetta composta da una chiave definita dal cliente e un valore facoltativo che può semplificare la gestione, la ricerca e il filtro delle risorse.

Il tagging consente l'implementazione di gruppi controllati. Anche se non ci sono tipi di tag inerenti, è possibile suddividere le risorse in base a scopo, proprietario, ambiente o altri criteri. Di seguito vengono mostrati alcuni esempi:

• Sicurezza: utilizzata per determinare requisiti quali la crittografia.

• Riservatezza: un identificatore per il livello di riservatezza dei dati specifico supportato da una risorsa.

• Ambiente: utilizzato per differenziare tra infrastruttura di sviluppo, test e produzione.

Per ulteriori informazioni, consulta Strategie di assegnazione di tag di AWS e Assegnazione di tag per DynamoDB.

Monitora l'utilizzo di Amazon DynamoDB in relazione alle best practice di sicurezza utilizzando. AWS Security Hub

Security Hub utilizza controlli di sicurezza per valutare le configurazioni delle risorse e gli standard di sicurezza per aiutarti a rispettare vari framework di conformità.

Per ulteriori informazioni sull'utilizzo di Security Hub volto a valutare le risorse DynamoDB, consulta Controlli di Amazon DynamoDB nella Guida per l'utente di AWS Security Hub .