Tema 5: Stabilire un perimetro di dati

Otto strategie essenziali trattate

Limita i privilegi amministrativi

Un perimetro di dati è un insieme di barriere preventive nell' AWS ambiente che aiutano a garantire che solo le identità attendibili accedano alle risorse attendibili delle reti previste. Queste barriere fungono da confini sempre attivi che aiutano a proteggere i dati su un'ampia gamma di risorse. Account AWS Queste barriere a livello di organizzazione non sostituiscono i controlli di accesso dettagliati esistenti. Al contrario, aiutano a migliorare la strategia di sicurezza assicurandosi che tutti gli utenti, i ruoli e le risorse AWS Identity and Access Management (IAM) aderiscano a una serie di standard di sicurezza definiti.

È possibile stabilire un perimetro di dati utilizzando politiche che impediscono l'accesso dall'esterno dei confini dell'organizzazione, in genere create in. AWS Organizations Le tre condizioni di autorizzazione perimetrale principali utilizzate per stabilire un perimetro di dati sono:

• Identità affidabili: responsabili (ruoli o utenti IAM) interni all'azienda o che agiscono per conto dell'utente Account AWS. Servizi AWS

• Risorse affidabili: risorse che appartengono a te Account AWS o gestite Servizi AWS agendo per tuo conto.

• Reti previste: i data center locali e i cloud privati virtuali (VPCs) o le reti che Servizi AWS agiscono per conto dell'utente.

Prendi in considerazione l'implementazione di perimetri di dati tra ambienti con diverse classificazioni dei dati, ad esempio OFFICIAL:SENSITIVE oPROTECTED, o diversi livelli di rischio, come sviluppo, test o produzione. Per ulteriori informazioni, consulta Costruire un perimetro di dati su AWS (AWS white paper) e Stabilire un perimetro di dati su: Panoramica (post di blog). AWSAWS

Best practice correlate nel AWS Well-Architected Framework

• SEC03-BP05 Definizione dei guardrail per le autorizzazioni dell'organizzazione

• SEC07-BP02 Applica controlli di protezione dei dati basati sulla sensibilità dei dati

Implementazione di questo tema

Implementare controlli di identità

• Consenti solo alle identità attendibili di accedere alle tue risorse: utilizza politiche basate sulle risorse con le chiavi di condizione e. aws:PrincipalOrgID aws:PrincipalIsAWSService Ciò consente solo ai dirigenti della tua AWS organizzazione e di accedere alle AWS tue risorse.

• Consenti identità affidabili solo dalla tua rete: utilizza le policy degli endpoint VPC con le chiavi di condizione e. aws:PrincipalOrgID aws:PrincipalIsAWSService Ciò consente solo ai responsabili della tua AWS organizzazione e di accedere AWS ai servizi tramite endpoint VPC.

Implementa controlli sulle risorse

• Consenti alle tue identità di accedere solo a risorse affidabili: utilizza le policy di controllo del servizio (SCPs) con la chiave aws:ResourceOrgID di condizione. Ciò consente alle tue identità di accedere solo alle risorse della tua AWS organizzazione.

• Consenti l'accesso a risorse affidabili solo dalla tua rete: utilizza le policy degli endpoint VPC con la chiave di condizione. aws:ResourceOrgID Ciò consente alle tue identità di accedere ai servizi solo tramite endpoint VPC che fanno parte della tua organizzazione. AWS

Implementa controlli di rete

• Consenti alle identità di accedere alle risorse solo dalle reti previste: da utilizzare SCPs con le chiavi di condizioneaws:SourceIp, aws:SourceVpcaws:SourceVpce, eaws:ViaAWSService. Ciò consente alle identità di accedere alle risorse solo dagli indirizzi IP e dagli endpoint VPC previsti e tramite. VPCs Servizi AWS

• Consenti l'accesso alle tue risorse solo dalle reti previste: utilizza politiche basate sulle risorse con le chiavi aws:SourceIp di condizione,,, e. aws:SourceVpc aws:SourceVpce aws:ViaAWSService aws:PrincipalIsAWSService Ciò consente l'accesso alle risorse solo dagli endpoint VPC previsti VPCs, previsti o previsti Servizi AWS, tramite o quando l'identità chiamante è una. IPs Servizio AWS

Monitoraggio di questo tema

Monitora le politiche

• Implementa meccanismi di revisione SCPs delle policy IAM e delle policy degli endpoint VPC

Implementa le seguenti regole AWS Config

• SERVICE_VPC_ENDPOINT_ENABLED