Classificazione dei dati a livello di carico di lavoro Stabilisci controlli per ogni livello di classificazione dei dati Crittografa i dati inattivi Crittografa i dati in transito Accesso pubblico agli snapshot di Amazon EBS Accesso pubblico agli snapshot di Amazon RDS Accesso pubblico ad Amazon RDS, Amazon Redshift e risorse AWS DMS Accesso pubblico ai bucket S3 Richiedi MFA per eliminare i dati del bucket S3 OpenSearch Domini di servizio in VPCs Avvisi per l'eliminazione delle chiavi KMS Accesso pubblico alle chiavi KMS Gli ascoltatori utilizzano protocolli sicuri

Raccomandazioni sul controllo di sicurezza per proteggere i dati

Il AWS Well-Architected Framework raggruppa le migliori pratiche per la protezione dei dati in tre categorie: classificazione dei dati, protezione dei dati inattivi e protezione dei dati in transito. I controlli di sicurezza in questa sezione possono aiutarti a implementare le migliori pratiche per la protezione dei dati. Queste best practice fondamentali devono essere implementate prima di progettare qualsiasi carico di lavoro nel cloud. Impediscono la cattiva gestione dei dati e aiutano a soddisfare gli obblighi organizzativi, normativi e di conformità. Utilizza i controlli di sicurezza in questa sezione per implementare le migliori pratiche per la protezione dei dati.

Controlli in questa sezione:

Identifica e classifica i dati a livello di carico di lavoro
Stabilisci controlli per ogni livello di classificazione dei dati
Crittografa i dati inattivi
Crittografa i dati in transito
Blocca l'accesso pubblico agli snapshot di Amazon EBS
Blocca l'accesso pubblico agli snapshot di Amazon RDS
Blocca l'accesso pubblico ad Amazon RDS, Amazon Redshift e alle risorse AWS DMS
Blocca l'accesso pubblico ai bucket Amazon S3
Richiedi l'autenticazione a più fattori per eliminare i dati nei bucket Amazon S3 critici
Configura i domini Amazon OpenSearch Service in un VPC
Configura gli avvisi per l'eliminazione AWS KMS key
Blocca l'accesso pubblico a AWS KMS keys
Configura i listener di load balancer per utilizzare protocolli sicuri

Identifica e classifica i dati a livello di carico di lavoro

La classificazione dei dati è un processo per identificare e classificare i dati nella rete in base alla loro criticità e sensibilità. È un componente fondamentale di qualsiasi strategia di gestione dei rischi di sicurezza informatica perché consente di determinare i controlli di protezione e conservazione appropriati per i dati. La classificazione dei dati spesso riduce la frequenza della duplicazione dei dati. Ciò può ridurre i costi di archiviazione e backup e accelerare le ricerche.

Ti consigliamo di comprendere il tipo e la classificazione dei dati che il tuo carico di lavoro sta elaborando, i processi aziendali associati, dove vengono archiviati i dati e chi è il proprietario dei dati. La classificazione dei dati aiuta i proprietari dei carichi di lavoro a identificare le ubicazioni in cui sono archiviati i dati sensibili e a determinare in che modo accedere e condividere tali dati. I tag sono coppie chiave-valore che fungono da metadati per l'organizzazione delle risorse. AWS I tag possono aiutare a gestire, identificare, organizzare, cercare e filtrare le risorse.

Per ulteriori informazioni, consulta le seguenti risorse:

Classificazione dei dati nei AWS white paper
Identifica i dati all'interno del tuo carico di lavoro nel AWS Well-Architected Framework

Stabilisci controlli per ogni livello di classificazione dei dati

Definisci i controlli di protezione dei dati per ogni livello di classificazione. Ad esempio, utilizza i controlli consigliati per proteggere i dati classificati come pubblici e proteggere i dati sensibili con controlli aggiuntivi. Utilizza meccanismi e strumenti che riducano o eliminino la necessità di accedere direttamente ai dati o di elaborarli manualmente. L'automazione dell'identificazione e della classificazione dei dati riduce il rischio di errori di classificazione, gestione, modifica o errore umano.

Ad esempio, prendi in considerazione l'utilizzo di Amazon Macie per scansionare i bucket Amazon Simple Storage Service (Amazon S3) alla ricerca di dati sensibili, come informazioni di identificazione personale (PII). Inoltre, puoi automatizzare il rilevamento di accessi non intenzionali ai dati utilizzando VPC Flow Logs in Amazon Virtual Private Cloud (Amazon VPC).

Per ulteriori informazioni, consulta le seguenti risorse:

Definisci i controlli di protezione dei dati nel AWS Well-Architected Framework
Automatizza l'identificazione e la classificazione nel AWS Well-Architected Framework
AWS Architettura di riferimento per la privacy (AWS PRA) nelle linee guida prescrittive AWS
Alla scoperta di dati sensibili con Amazon Macie nella documentazione di Macie
Registrazione del traffico IP tramite VPC Flow Logs nella documentazione di Amazon VPC
Tecniche comuni per rilevare dati PHI e PII utilizzate nel blog di for Industries Servizi AWS AWS

Crittografa i dati inattivi

I dati inattivi sono dati fissi nella rete, ad esempio i dati archiviati. L'implementazione della crittografia e dei controlli di accesso appropriati per i dati archiviati aiuta a ridurre il rischio di accesso non autorizzato. La crittografia è un processo informatico che trasforma i dati in chiaro, leggibili dall'uomo, in testo cifrato. È necessaria una chiave di crittografia per decrittografare il contenuto in testo semplice in modo che possa essere utilizzato. In Cloud AWS, puoi usare AWS Key Management Service (AWS KMS) per creare e controllare chiavi crittografiche che aiutano a proteggere i tuoi dati.

Come discusso in precedenzaStabilisci controlli per ogni livello di classificazione dei dati, consigliamo di creare una politica che specifichi il tipo di dati che richiede la crittografia. Includi criteri su come determinare quali dati devono essere crittografati e quali dati devono essere protetti con un'altra tecnica, come la tokenizzazione o l'hashing.

Per ulteriori informazioni, consulta le seguenti risorse:

Configurazione della crittografia predefinita nella documentazione di Amazon S3
Crittografia predefinita per nuovi volumi EBS e copie di snapshot nella documentazione di Amazon EC2
Crittografia delle risorse Amazon Aurora nella documentazione di Amazon Aurora
Introduzione ai dettagli crittografici contenuti nella documentazione AWS KMS AWS KMS
Creazione di una strategia di crittografia aziendale per i dati inattivi in AWS Prescriptive Guidance
Applica la crittografia a riposo nel AWS Well-Architected Framework
Per ulteriori informazioni specifiche sulla crittografia Servizi AWS, consulta la AWS documentazione relativa al servizio

Crittografa i dati in transito

I dati in transito sono dati che si spostano attivamente attraverso la rete, ad esempio tra le risorse di rete. Crittografa tutti i dati in transito utilizzando protocolli TLS sicuri e suite di crittografia. Il traffico di rete tra le risorse e Internet deve essere crittografato per impedire l'accesso non autorizzato ai dati. Quando possibile, utilizzate TLS per crittografare il traffico di rete all'interno del vostro ambiente interno. AWS

Per ulteriori informazioni, consulta le seguenti risorse:

Richiesta di HTTPS per la comunicazione tra gli spettatori e CloudFront nella documentazione di Amazon CloudFront
Documentazione di AWS PrivateLink
Applica la crittografia in transito nel AWS Well-Architected Framework
Per ulteriori informazioni specifiche sulla crittografia Servizi AWS, consulta la AWS documentazione relativa a quel servizio

Blocca l'accesso pubblico agli snapshot di Amazon EBS

Amazon Elastic Block Store (Amazon EBS) fornisce volumi di storage a livello di blocco da utilizzare con istanze Amazon Elastic Compute Cloud (Amazon). EC2 Puoi eseguire il backup dei dati sui tuoi volumi Amazon EBS su Amazon S3 scattando point-in-time istantanee. Puoi condividere le istantanee pubblicamente con tutti gli altri Account AWS oppure puoi condividerle privatamente con una persona da te specificata. Account AWS

Ti consigliamo di non condividere pubblicamente le istantanee di Amazon EBS. Ciò potrebbe esporre inavvertitamente dati sensibili. Quando condividi un'istantanea, consenti ad altri di accedere ai dati in essa contenuti. Condividi le istantanee solo con persone di cui ti fidi e che dispongono di tutti questi dati.

Per ulteriori informazioni, consulta le seguenti risorse:

Condividi un'istantanea nella documentazione di Amazon EC2
Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente nella documentazione AWS Security Hub
ebs-snapshot-public-restorable-controlla la documentazione AWS Config

Blocca l'accesso pubblico agli snapshot di Amazon RDS

Amazon Relational Database Service (Amazon RDS) ti aiuta a configurare, gestire e scalare un database relazionale in. Cloud AWS Amazon RDS crea e salva backup automatici dell'istanza di database (DB) o del cluster DB Multi-AZ durante la finestra di backup dell'istanza DB. Amazon RDS crea uno snapshot dei volumi di storage dell'istanza database, eseguendo il backup dell'intera istanza database anziché dei singoli database. Puoi condividere uno snapshot manuale allo scopo di copiarlo o ripristinare un'istanza DB da esso.

Se condividi un'istantanea come pubblica, assicurati che nessuno dei dati in essa contenuti sia privato o sensibile. Quando un'istantanea viene condivisa pubblicamente, concede a tutti i Account AWS permessi per accedere ai dati. Ciò può comportare un'esposizione involontaria dei dati nella tua istanza Amazon RDS.

Per ulteriori informazioni, consulta le seguenti risorse:

Condivisione di uno snapshot DB nella documentazione di Amazon RDS
rds-snapshots-public-prohibitednella documentazione AWS Config
L'istantanea RDS deve essere privata nella documentazione del Security Hub

Blocca l'accesso pubblico ad Amazon RDS, Amazon Redshift e alle risorse AWS DMS

Puoi configurare le istanze DB di Amazon RDS, i cluster Amazon Redshift AWS Database Migration Service e le istanze di replica AWS DMS() in modo che siano accessibili al pubblico. Se il valore del publiclyAccessible campo ètrue, queste risorse sono accessibili pubblicamente. Consentire l'accesso pubblico può comportare traffico, esposizione o fughe di dati non necessari. Ti consigliamo di non consentire l'accesso pubblico a queste risorse.

Ti consigliamo di abilitare AWS Config regole o controlli Security Hub per rilevare se le istanze DB di Amazon RDS, le istanze di AWS DMS replica o i cluster Amazon Redshift consentono l'accesso pubblico.

Nota

Le impostazioni di accesso pubblico per le istanze di AWS DMS replica non possono essere modificate dopo il provisioning dell'istanza. Per modificare l'impostazione di accesso pubblico, elimina l'istanza corrente e quindi ricreala. Quando la ricreate, non selezionate l'opzione Accessibile pubblicamente.

Per ulteriori informazioni, consulta le seguenti risorse:

AWS DMS le istanze di replica non devono essere pubbliche nella documentazione del Security Hub
Le istanze DB RDS devono vietare l'accesso pubblico nella documentazione del Security Hub
I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico nella documentazione del Security Hub
rds-instance-public-access-consulta la documentazione AWS Config
dms-replication-not-publicnella documentazione AWS Config
redshift-cluster-public-access-controlla la documentazione AWS Config
Modifica di un'istanza database Amazon RDS nella documentazione di Amazon RDS
Modifica di un cluster nella documentazione di Amazon Redshift

Blocca l'accesso pubblico ai bucket Amazon S3

Garantire che i bucket non siano accessibili al pubblico è una best practice di sicurezza di Amazon S3. A meno che tu non richieda esplicitamente a chiunque su Internet di essere in grado di leggere o scrivere nel tuo bucket, assicurati che il bucket non sia pubblico. Questo aiuta a proteggere l'integrità e la sicurezza dei dati. Puoi utilizzare AWS Config le regole e i controlli del Security Hub per confermare che i tuoi bucket Amazon S3 siano conformi a questa best practice.

Per ulteriori informazioni, consulta le seguenti risorse:

Le migliori pratiche di sicurezza di Amazon S3 nella documentazione di Amazon S3
L'impostazione S3 Block Public Access deve essere abilitata nella documentazione di Security Hub
I bucket S3 dovrebbero vietare l'accesso pubblico in lettura nella documentazione del Security Hub
I bucket S3 dovrebbero vietare l'accesso pubblico in scrittura nella documentazione del Security Hub
regola s3 nella documentazione bucket-public-read-prohibited AWS Config
s3- bucket-public-write-prohibited nella documentazione AWS Config

Richiedi l'autenticazione a più fattori per eliminare i dati nei bucket Amazon S3 critici

Quando si utilizza la funzione Controllo delle versioni S3 nei bucket Amazon S3, puoi aggiungere un altro livello di sicurezza configurando un bucket per abilitare l'eliminazione MFA (autenticazione a più fattori). In tal caso, il proprietario del bucket deve includere due tipi di autenticazione in qualsiasi richiesta per eliminare una versione o modificare lo stato della funzione Controllo delle versioni del bucket. Ti consigliamo di abilitare questa funzionalità per i bucket che contengono dati fondamentali per la tua organizzazione. Ciò può impedire l'eliminazione accidentale di bucket e dati.

Per ulteriori informazioni, consulta le seguenti risorse:

Configurazione dell'eliminazione MFA nella documentazione di Amazon S3

Configura i domini Amazon OpenSearch Service in un VPC

Amazon OpenSearch Service è un servizio gestito che ti aiuta a implementare, gestire e scalare OpenSearch cluster in. Cloud AWS Amazon OpenSearch Service supporta OpenSearch e legacy Elasticsearch software open source (OSS). I domini Amazon OpenSearch Service distribuiti all'interno di un VPC possono comunicare con le risorse VPC sulla AWS rete privata, senza la necessità di attraversare la rete Internet pubblica. Questa configurazione migliora il livello di sicurezza limitando l'accesso ai dati in transito. Ti consigliamo di non collegare i domini Amazon OpenSearch Service a sottoreti pubbliche e che il VPC sia configurato secondo le migliori pratiche.

Per ulteriori informazioni, consulta le seguenti risorse:

Avvio dei domini Amazon OpenSearch Service all'interno di un VPC nella documentazione di Amazon Service OpenSearch
opensearch-in-vpc-onlynella documentazione AWS Config
OpenSearch i domini devono trovarsi in un VPC nella documentazione del Security Hub

Configura gli avvisi per l'eliminazione AWS KMS key

AWS Key Management Service (AWS KMS) le chiavi non possono essere recuperate dopo essere state eliminate. Se una chiave KMS viene eliminata, i dati che sono ancora crittografati con quella chiave sono definitivamente irrecuperabili. Se è necessario mantenere l'accesso ai dati, prima di eliminare la chiave, è necessario decrittografare i dati o ricrittografarli con una nuova chiave KMS. Dovresti eliminare una chiave KMS solo quando hai la certezza di non doverla più utilizzare.

Ti consigliamo di configurare un CloudWatch allarme Amazon che ti avvisi se qualcuno avvia l'eliminazione di una chiave KMS. Poiché eliminare una chiave KMS è distruttivo e potenzialmente pericoloso, è AWS KMS necessario impostare un periodo di attesa e pianificare l'eliminazione in 7—30 giorni. Ciò offre l'opportunità di rivedere l'eliminazione pianificata e annullarla, se necessario.

Per ulteriori informazioni, consulta le seguenti risorse:

Pianificazione e annullamento dell'eliminazione delle chiavi nella documentazione AWS KMS
Creazione di un allarme che rileva l'uso di una chiave KMS in attesa di eliminazione nella documentazione AWS KMS
AWS KMS keys non deve essere eliminato involontariamente nella documentazione del Security Hub

Blocca l'accesso pubblico a AWS KMS keys

Le politiche chiave sono il modo principale per controllare l'accesso a AWS KMS keys. Ogni chiave KMS ha esattamente una policy chiave. Consentire l'accesso anonimo alle chiavi KMS può portare a una fuga di dati sensibili. Ti consigliamo di identificare tutte le chiavi KMS accessibili al pubblico e di aggiornarne le politiche di accesso per evitare richieste non firmate rivolte a queste risorse.

Per ulteriori informazioni, consulta le seguenti risorse:

Le migliori pratiche di sicurezza riportate AWS Key Management Service nella documentazione AWS KMS
Modifica di una politica chiave nella AWS KMS documentazione
Determinazione AWS KMS keys dell'accesso alla AWS KMS documentazione

Configura i listener di load balancer per utilizzare protocolli sicuri

Elastic Load Balancing distribuisce automaticamente il traffico delle applicazioni in entrata su più destinazioni. Puoi configurare il tuo sistema di bilanciamento del carico affinché accetti il traffico in entrata specificando uno o più listener. Un ascoltatore è un processo che controlla le richieste di connessione utilizzando il protocollo e la porta configurata. Ogni tipo di load balancer supporta protocolli e porte diversi:

Gli Application Load Balancer prendono decisioni di routing a livello di applicazione e utilizzano i protocolli HTTP o HTTPS.
I Network Load Balancer prendono decisioni di routing a livello di trasporto e utilizzano i protocolli TCP, TLS, UDP o TCP_UDP.
I Classic Load Balancer prendono decisioni di routing a livello di trasporto (utilizzando i protocolli TCP o SSL) o a livello di applicazione (utilizzando i protocolli HTTP o HTTPS).

Ti consigliamo di utilizzare sempre i protocolli HTTPS o TLS. Questi protocolli assicurano che il load balancer sia responsabile della crittografia e della decrittografia del traffico tra il client e la destinazione.

Per ulteriori informazioni, consulta le seguenti risorse:

Listener per i tuoi Application Load Balancer nella documentazione di Elastic Load Balancing
Listener per il tuo Classic Load Balancer nella documentazione di Elastic Load Balancing
Listener per i tuoi Network Load Balancer nella documentazione di Elastic Load Balancing
Assicurati che i AWS load balancer utilizzino protocolli di listener sicuri nella guida prescrittiva AWS
elb-tls-https-listeners-solo nella documentazione AWS Config
I listener Classic Load Balancer devono essere configurati con la terminazione HTTPS o TLS nella documentazione del Security Hub
Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS nella documentazione di Security Hub

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Controlli dell'infrastruttura

Consigli sulla risposta agli incidenti