Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Raccomandazioni sul controllo della sicurezza per proteggere l'infrastruttura
La protezione dell'infrastruttura è una parte fondamentale di qualsiasi programma di sicurezza. Include metodologie di controllo che aiutano a proteggere le reti e le risorse di elaborazione. Esempi di protezione dell'infrastruttura includono i limiti di fiducia, un defense-in-depth approccio, il rafforzamento della sicurezza, la gestione delle patch e l'autenticazione e l'autorizzazione del sistema operativo. Per ulteriori informazioni, vedere Protezione dell'infrastruttura nel AWS Well-Architected Framework. I controlli di sicurezza in questa sezione possono aiutarti a implementare le migliori pratiche per la protezione dell'infrastruttura.
Controlli in questa sezione:
Specificare gli oggetti radice predefiniti per le CloudFront distribuzioni
Scansiona il codice dell'applicazione per identificare i problemi di sicurezza più comuni
Crea livelli di rete utilizzando sottoreti e sottoreti dedicate VPCs
Limita il traffico in entrata e in uscita nel gruppo di sicurezza predefinito
Scansiona le vulnerabilità del software e l'esposizione involontaria della rete
Utilizza un defense-in-depth approccio per controllare il traffico di rete
Specificare gli oggetti radice predefiniti per le CloudFront distribuzioni
Amazon CloudFront accelera la distribuzione dei tuoi contenuti web distribuendoli attraverso una rete mondiale di data center, che riduce la latenza e migliora le prestazioni. Se non definisci un oggetto root predefinito, le richieste per il percorso root della distribuzione passa al tuo server di origine. Se utilizzi un'origine Amazon Simple Storage Service (Amazon S3), la richiesta potrebbe restituire un elenco dei contenuti nel tuo bucket S3 o un elenco dei contenuti privati della tua origine. Specificare un oggetto root predefinito ti aiuta a evitare di esporre il contenuto della tua distribuzione.
Per ulteriori informazioni, consulta le seguenti risorse:
Scansiona il codice dell'applicazione per identificare i problemi di sicurezza più comuni
Il AWS Well-Architected Framework consiglia di scansionare le librerie e le dipendenze per individuare problemi e difetti. Esistono molti strumenti di analisi del codice sorgente che è possibile utilizzare per eseguire la scansione del codice sorgente. Ad esempio, Amazon CodeGuru può eseguire la scansione dei problemi di sicurezza più comuni in Java oppure Python applicazioni e fornisce consigli per la risoluzione dei problemi.
Per ulteriori informazioni, consulta le seguenti risorse:
-
strumenti di analisi del codice sorgente
su OWASP Foundation website -
Esegui la gestione delle vulnerabilità nel AWS Well-Architected Framework
Crea livelli di rete utilizzando sottoreti e sottoreti dedicate VPCs
Il AWS Well-Architected Framework consiglia di raggruppare i componenti che condividono i requisiti di sensibilità in livelli. Ciò riduce al minimo il potenziale ambito di impatto dell'accesso non autorizzato. Ad esempio, un cluster di database che non richiede l'accesso a Internet deve essere collocato in una sottorete privata del suo VPC per assicurarsi che non vi sia alcun percorso da o verso Internet.
AWS offre molti servizi che possono aiutarti a testare e identificare la raggiungibilità pubblica. Ad esempio, Reachability Analyzer è uno strumento di analisi della configurazione che consente di testare la connettività tra le risorse di origine e di destinazione nel proprio. VPCs Inoltre, Network Access Analyzer può aiutarvi a identificare accessi involontari di rete alle risorse.
Per ulteriori informazioni, consulta le seguenti risorse:
-
Crea una sottorete nella documentazione di Amazon Virtual Private Cloud (Amazon VPC)
Limita il traffico in entrata solo alle porte autorizzate
L'accesso illimitato, ad esempio il traffico proveniente dall'indirizzo IP di 0.0.0.0/0 origine, aumenta il rischio di attività dannose, come pirateria informatica, attacchi ( denial-of-serviceDoS) e perdita di dati. I gruppi di sicurezza forniscono un filtraggio statico del traffico di rete in ingresso e in uscita verso le risorse. AWS Nessun gruppo di sicurezza dovrebbe consentire l'accesso illimitato in ingresso a porte note, come SSH e Windows protocollo desktop remoto (RDP). Per il traffico in entrata, nei tuoi gruppi di sicurezza, consenti solo le connessioni TCP o UDP sulle porte autorizzate. Per connetterti alle istanze Amazon Elastic Compute Cloud (Amazon EC2), usa Session Manager o Run Command anziché l'accesso diretto SSH o RDP.
Per ulteriori informazioni, consulta le seguenti risorse:
-
Lavora con i gruppi di sicurezza nella EC2 documentazione di Amazon
-
Controlla il traffico verso AWS le tue risorse utilizzando i gruppi di sicurezza nella documentazione di Amazon VPC
Blocca l'accesso pubblico ai documenti di Systems Manager
A meno che il caso d'uso non richieda l'attivazione della condivisione pubblica, le AWS Systems Manager best practice consigliano di bloccare la condivisione pubblica per i documenti di Systems Manager. La condivisione pubblica potrebbe consentire l'accesso non intenzionale ai documenti. Un documento pubblico di Systems Manager può esporre informazioni preziose e sensibili sull'account, sulle risorse e sui processi interni.
Per ulteriori informazioni, consulta le seguenti risorse:
-
Procedure ottimali per i documenti condivisi di Systems Manager nella documentazione di Systems Manager
-
Modifica le autorizzazioni per un documento Systems Manager condiviso nella documentazione di Systems Manager
Blocca l'accesso pubblico alle funzioni Lambda
AWS Lambda è un servizio di calcolo che consente di eseguire il codice senza gestire i server o effettuarne il provisioning. Le funzioni Lambda non dovrebbero essere accessibili pubblicamente perché ciò potrebbe consentire l'accesso involontario al codice della funzione.
Ti consigliamo di configurare politiche basate sulle risorse per le funzioni Lambda per negare l'accesso dall'esterno del tuo account. È possibile ottenere ciò rimuovendo le autorizzazioni o aggiungendo la AWS:SourceAccount condizione all'istruzione che consente l'accesso. Puoi aggiornare le politiche basate sulle risorse per le funzioni Lambda tramite l'API Lambda o (). AWS Command Line Interface AWS CLI
Ti consigliamo inoltre di abilitare la funzione [Lambda.1] Le politiche della funzione Lambda dovrebbero vietare il controllo dell'accesso pubblico in. AWS Security Hub Questo controllo verifica che le politiche basate sulle risorse per le funzioni Lambda vietino l'accesso pubblico.
Per ulteriori informazioni, consulta le seguenti risorse:
-
AWS Lambda controlli nella documentazione del Security Hub
-
Utilizzo di politiche basate sulle risorse per Lambda nella documentazione di Lambda
-
Risorse e condizioni per le azioni Lambda nella documentazione Lambda
Limita il traffico in entrata e in uscita nel gruppo di sicurezza predefinito
Se non associ un gruppo di sicurezza personalizzato quando esegui il provisioning di una AWS risorsa, la risorsa viene associata al gruppo di sicurezza predefinito del VPC. Le regole predefinite per questo gruppo di sicurezza consentono tutto il traffico in entrata da tutte le risorse assegnate a questo gruppo di sicurezza e consentono tutto il traffico in uscita e in uscita IPv4 . IPv6 Ciò potrebbe consentire il traffico involontario verso la risorsa.
AWS consiglia di non utilizzare il gruppo di sicurezza predefinito. Crea invece gruppi di sicurezza personalizzati per risorse o gruppi di risorse specifici.
Poiché il gruppo di sicurezza predefinito non può essere eliminato, ti consigliamo di modificare le regole del gruppo di sicurezza predefinito per limitare il traffico in entrata e in uscita. Quando configuri le regole del gruppo di sicurezza, segui il principio del privilegio minimo.
Ti consigliamo inoltre di abilitare [EC2.2] I gruppi di sicurezza predefiniti VPC non dovrebbero consentire il controllo del traffico in entrata o in uscita in Security Hub. Questo controllo verifica che il gruppo di sicurezza predefinito di un VPC neghi il traffico in entrata e in uscita.
Per ulteriori informazioni, consulta le seguenti risorse:
-
Gruppi di sicurezza predefiniti per te VPCs nella documentazione di Amazon VPC
-
EC2Controlli Amazon nella documentazione del Security Hub
Scansiona le vulnerabilità del software e l'esposizione involontaria della rete
Ti consigliamo di abilitare Amazon Inspector in tutti i tuoi account. Amazon Inspector è un servizio di gestione delle vulnerabilità che analizza continuamente le istanze Amazon EC2 , le immagini dei container Amazon Elastic Container Registry (Amazon ECR) e le funzioni Lambda alla ricerca di vulnerabilità del software ed esposizione involontaria della rete. Supporta anche l'ispezione approfondita delle EC2 istanze Amazon. Quando Amazon Inspector identifica una vulnerabilità o un percorso di rete aperto, produce un risultato che puoi esaminare. Se Amazon Inspector e Security Hub sono entrambi configurati nel tuo account, Amazon Inspector invia automaticamente i risultati di sicurezza a Security Hub per la gestione centralizzata.
Per ulteriori informazioni, consulta le seguenti risorse:
-
Scansione delle risorse con Amazon Inspector nella documentazione di Amazon Inspector
-
Amazon Inspector Ispezione approfondita per Amazon EC2 nella documentazione di Amazon Inspector
-
Esegui EC2 AMIs la scansione con Amazon Inspector
nel blog sulla sicurezza AWS -
Creazione di un programma scalabile di gestione delle vulnerabilità su AWS Prescriptive Guidance AWS
-
Automatizza la protezione della rete nel AWS Well-Architected Framework
-
Automatizza la protezione dell'elaborazione nel Well-Architected AWS Framework
Configurare AWS WAF
AWS WAFè un firewall per applicazioni Web che consente di monitorare e bloccare le richieste HTTP o HTTPS inoltrate alle risorse protette delle applicazioni Web, come Amazon API Gateway, CloudFront distribuzioni APIs Amazon o Application Load Balancers. In base ai criteri specificati, il servizio risponde alle richieste con il contenuto richiesto, con un codice di stato HTTP 403 (Forbidden) o con una risposta personalizzata. AWS WAF può aiutare a proteggere le applicazioni Web o APIs da exploit Web comuni che possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive. Prendi AWS WAF in considerazione la possibilità di configurarla internamente Account AWS e di utilizzare una combinazione di regole AWS gestite, regole personalizzate e integrazioni con i partner per proteggere le applicazioni dagli attacchi a livello applicativo (livello 7).
Per ulteriori informazioni, consulta le seguenti risorse:
-
Guida introduttiva AWS WAF alla documentazione AWS WAF
-
AWS WAF partner di consegna
sul AWS sito web -
Automazioni di sicurezza per AWS WAF
nella AWS Solutions Library -
Implementa l'ispezione e la protezione nel AWS Well-Architected Framework
Configura protezioni avanzate contro gli attacchi S DDo
AWS Shieldfornisce protezioni contro gli attacchi Distributed Denial of Service (DDoS) per AWS le risorse a livello di rete e trasporto (livello 3 e 4) e a livello di applicazione (livello 7). Questo servizio è disponibile in due opzioni: AWS Shield Standard e. AWS Shield Advanced Shield Standard protegge automaticamente AWS le risorse supportate, senza costi aggiuntivi.
Ti consigliamo di abbonarti a Shield Advanced, che offre una protezione estesa dagli attacchi DDo S per le risorse protette. Le protezioni che ricevi da Shield Advanced variano a seconda dell'architettura e delle scelte di configurazione. Prendi in considerazione l'implementazione delle protezioni Shield Advanced per le applicazioni in cui è necessario uno dei seguenti elementi:
-
Disponibilità garantita per gli utenti dell'applicazione.
-
Accesso rapido agli esperti di mitigazione DDo S se l'applicazione è interessata da un attacco DDo S.
-
Consapevolezza da parte di AWS del fatto che l'applicazione potrebbe essere interessata da un attacco DDo S e notifica degli attacchi da parte di AWS e segnalazione ai team di sicurezza o operativi.
-
La prevedibilità dei costi del cloud, anche quando un attacco DDo S influisce sull'utilizzo di. Servizi AWS
Per ulteriori informazioni, consulta le seguenti risorse:
-
AWS Shield Advanced panoramica nella documentazione di Shield
-
AWS Shield Advanced risorse protette nella documentazione di Shield
-
AWS Shield Advanced funzionalità e opzioni nella documentazione di Shield
-
Implementa l'ispezione e la protezione nel AWS Well-Architected Framework
Utilizza un defense-in-depth approccio per controllare il traffico di rete
AWS Network Firewall è un firewall di rete a stato gestito e un servizio di rilevamento e prevenzione delle intrusioni per cloud privati virtuali (VPCs) in. Cloud AWS Ti aiuta a implementare le protezioni di rete essenziali lungo il perimetro del VPC. Ciò include il filtraggio del traffico in entrata e in arrivo da un gateway Internet, un gateway NAT o tramite VPN o. AWS Direct Connect Network Firewall include funzionalità che aiutano a proteggere dalle minacce di rete più comuni. Il firewall stateful di Network Firewall può incorporare il contesto dei flussi di traffico, come connessioni e protocolli, per applicare le politiche.
Per ulteriori informazioni, consulta le seguenti risorse:
