AWS Startup Security Baseline (AWS SSB)

Jay Michael, Amazon Web Services (AWS)

Maggio 2023 (cronologia dei documenti)

AWS Startup Security Baseline (SSB) è un insieme di controlli che crea una base minima su cui le aziende possono costruire in modo sicuro su AWS senza diminuire la loro agilità. Questi controlli costituiscono la base del livello di sicurezza e si concentrano sulla protezione delle credenziali, sull'abilitazione della registrazione e della visibilità, sulla gestione delle informazioni di contatto e sull'implementazione dei limiti dei dati di base.

I controlli in questa guida sono progettati pensando alle prime startup, per mitigare i rischi di sicurezza più comuni senza richiedere sforzi significativi. Molte startup iniziano il loro viaggio nel Cloud AWS con un singolo Account AWS. Man mano che le organizzazioni crescono, migrano verso architetture multi-account. Le indicazioni contenute in questa guida sono progettate per architetture con account singolo, ma aiutano a configurare controlli di sicurezza che possono essere facilmente migrati o modificati durante il passaggio a un'architettura multi-account.

I controlli presenti in AWS SSB sono suddivisi in due categorie: account e carico di lavoro. I controlli dell'account aiutano a mantenere l'account AWS sicuro. Include suggerimenti per la configurazione dell'accesso, delle policy e delle autorizzazioni degli utenti e su come monitorare l'account per rilevare attività non autorizzate o potenzialmente dannose. I controlli del carico di lavoro aiutano a proteggere le risorse e il codice nel cloud, ad esempio, applicazioni, processi di backend e dati. Include suggerimenti come la crittografia e la riduzione dell'ambito di accesso.

Nota

Alcuni dei controlli consigliati in questa guida sostituiscono i valori predefiniti impostati durante la configurazione iniziale, mentre la maggior parte configura nuove impostazioni e policy. Questo documento non deve in alcun modo essere considerato completo di tutti i controlli disponibili.

Destinatari principali

Questa guida è ideale per le startup che si trovano nelle primissime fasi di sviluppo, con personale e operazioni minimi.

Le startup o altre aziende che si trovano nelle fasi successive di attività e crescita possono comunque trarre un valore significativo dall'analisi di questi controlli rispetto alle loro pratiche attuali. Se vengono identificate delle lacune, è possibile implementare i singoli controlli descritti in questa guida e poi valutarne l'adeguatezza come soluzione a lungo termine.

Nota

I controlli suggeriti in questa guida sono controlli di base. Le startup o altre società che operano in una fase successiva di scalabilità o sofisticazione dovrebbero eventualmente aggiungere altri controlli.

Framework di base e responsabilità in materia di sicurezza

AWS Well-Architected aiuta gli architetti del cloud a creare un'infrastruttura sicura, a elevate prestazioni, resiliente ed efficiente per applicazioni e carichi di lavoro. AWS Startup Security Baseline si allinea al pilastro della sicurezza del Framework AWS Well-Architected. Il pilastro della sicurezza descrive come sfruttare le tecnologie cloud per proteggere dati, sistemi e risorse in modo da migliorare il livello di sicurezza. Ciò consente di soddisfare i requisiti aziendali e normativi seguendo i suggerimenti di AWS attuali.

È possibile valutare la propria aderenza alle best practice di Well-Architected utilizzando AWS Well-Architected Tool nell'account AWS.

Sicurezza e conformità sono una responsabilità condivisa tra AWS e il cliente. Il modello di responsabilità condivisa viene spesso descritto affermando che AWS è responsabile della sicurezza del cloud (ovvero è responsabile della protezione dell'infrastruttura che esegue tutti i servizi offerti nel Cloud AWS) e l'utente è responsabile della sicurezza nel cloud (come stabilito dai servizi del Cloud AWS selezionati). Nel modello di responsabilità condivisa, l'implementazione dei controlli di sicurezza descritti in questo documento rientra nella responsabilità dell'utente in qualità di cliente.