Fondamenti di sicurezza

Influenza il futuro della AWS Security Reference Architecture (AWSSRA) rispondendo a un breve sondaggio.

L'architettura di riferimento per la sicurezza di AWS si allinea a tre fondamenti di sicurezza di AWS: AWS Cloud Adoption Framework (AWS CAF), AWS Well-Architected e AWS Shared Responsibility Model.

AWS Professional Services ha creato AWS CAF per aiutare le aziende a progettare e seguire un percorso accelerato verso un'adozione efficace del cloud. Le linee guida e le best practice fornite dal framework ti aiutano a creare un approccio completo al cloud computing in tutta l'azienda e durante tutto il ciclo di vita IT. L'AWS CAF organizza le linee guida in sei aree di interesse, chiamate prospettive. Ogni prospettiva copre responsabilità distinte possedute o gestite da parti interessate funzionalmente correlate. In generale, le prospettive aziendali, umane e di governance si concentrano sulle capacità aziendali, mentre le prospettive relative alla piattaforma, alla sicurezza e alle operazioni si concentrano sulle capacità tecniche.

• La prospettiva di sicurezza di AWS CAF ti aiuta a strutturare la selezione e l'implementazione dei controlli in tutta l'azienda. Seguire le attuali raccomandazioni di AWS nel pilastro della sicurezza può aiutarti a soddisfare i tuoi requisiti aziendali e normativi. 

AWS Well-Architected aiuta gli architetti del cloud a creare un'infrastruttura sicura, ad alte prestazioni, resiliente ed efficiente per le loro applicazioni e carichi di lavoro. Il framework si basa su sei pilastri: eccellenza operativa, sicurezza, affidabilità, efficienza delle prestazioni, ottimizzazione dei costi e sostenibilità e fornisce un approccio coerente ai clienti e ai partner AWS per valutare architetture e implementare progetti scalabili nel tempo. Riteniamo che avere carichi di lavoro ben architettati aumenti notevolmente le probabilità di successo aziendale.

• Il pilastro di sicurezza Well-Architected descrive come sfruttare le tecnologie cloud per proteggere dati, sistemi e risorse in modo da migliorare il livello di sicurezza. Questo ti aiuterà a soddisfare i requisiti aziendali e normativi seguendo le attuali raccomandazioni di AWS. Esistono aree di interesse aggiuntive del Well-Architected Framework che forniscono più contesto per domini specifici come governance, serverless, AI/ML e giochi. Questi obiettivi sono noti come obiettivi AWS Well-Architected. 

La sicurezza e la conformità sono una responsabilità condivisa tra AWS e il cliente. Questo modello condiviso può aiutarti ad alleggerire il carico operativo poiché AWS opera, gestisce e controlla i componenti dal sistema operativo host e dal livello di virtualizzazione fino alla sicurezza fisica delle strutture in cui opera il servizio. Ad esempio, ti assumi la responsabilità e la gestione del sistema operativo guest (inclusi aggiornamenti e patch di sicurezza), del software applicativo, della crittografia dei dati lato server, delle tabelle delle rotte del traffico di rete e della configurazione del firewall del gruppo di sicurezza fornito da AWS. Per servizi astratti come Amazon Simple Storage Service (Amazon S3) e Amazon DynamoDB, AWS gestisce il livello di infrastruttura, il sistema operativo e le piattaforme e tu accedi agli endpoint per archiviare e recuperare dati. Sei responsabile della gestione dei dati (incluse le opzioni di crittografia), della classificazione degli asset e dell'utilizzo degli strumenti AWS Identity and Access Management (IAM) per applicare le autorizzazioni appropriate. Questo modello condiviso viene spesso descritto dicendo che AWS è responsabile della sicurezza del cloud (ovvero della protezione dell'infrastruttura che gestisce tutti i servizi offerti nel cloud AWS) e che tu sei responsabile della sicurezza nel cloud (come determinato dai servizi cloud AWS selezionati). 

Nell'ambito delle linee guida fornite da questi documenti fondamentali, due serie di concetti sono particolarmente importanti per la progettazione e la comprensione dell'AWS SRA: funzionalità di sicurezza e principi di progettazione della sicurezza.

Funzionalità di sicurezza

La prospettiva di sicurezza di AWS CAF delinea nove funzionalità che aiutano a raggiungere la riservatezza, l'integrità e la disponibilità dei dati e dei carichi di lavoro nel cloud.

• Governance della sicurezza per sviluppare e comunicare ruoli, responsabilità, politiche, processi e procedure di sicurezza nell'ambiente AWS dell'organizzazione.

• Garanzia di sicurezza per monitorare, valutare, gestire e migliorare l'efficacia dei tuoi programmi di sicurezza e privacy.

• Gestione delle identità e degli accessi per gestire identità e autorizzazioni su larga scala.

• Rilevamento delle minacce per comprendere e identificare potenziali configurazioni errate di sicurezza, minacce o comportamenti imprevisti.

• Gestione delle vulnerabilità per identificare, classificare, correggere e mitigare continuamente le vulnerabilità di sicurezza.

• Protezione dell'infrastruttura per convalidare la protezione dei sistemi e dei servizi all'interno dei carichi di lavoro.

• Protezione dei dati per mantenere la visibilità e il controllo sui dati e su come accedervi e utilizzarli nell'organizzazione.

• Sicurezza delle applicazioni per aiutare a rilevare e risolvere le vulnerabilità di sicurezza durante il processo di sviluppo del software.

• Risposta agli incidenti per ridurre i potenziali danni rispondendo efficacemente agli incidenti di sicurezza.

Principi di progettazione della sicurezza

Il pilastro della sicurezza di Well-Architected Framework racchiude una serie di sette principi di progettazione che trasformano aree di sicurezza specifiche in linee guida pratiche che possono aiutarti a rafforzare la sicurezza del carico di lavoro. Laddove le funzionalità di sicurezza fanno da cornice alla strategia di sicurezza generale, questi principi Well-Architected descrivono cosa si può iniziare a fare. Si riflettono in modo molto preciso in questo SRA AWS e sono costituiti da quanto segue:

• Implementa una solida base di identità: implementa il principio del privilegio minimo e applica la separazione dei compiti con l'autorizzazione appropriata per ogni interazione con le tue risorse AWS. Centralizza la gestione delle identità e mira a eliminare la dipendenza da credenziali statiche a lungo termine.

• Abilita la tracciabilità: monitora, genera avvisi e verifica le azioni e le modifiche all'ambiente in tempo reale. Integra la raccolta di log e metriche con i sistemi per indagare e agire automaticamente.

• Applica la sicurezza a tutti i livelli: applica un defense-in-depth approccio con più controlli di sicurezza. Applica diversi tipi di controlli (ad esempio controlli preventivi e di rilevamento) a tutti i livelli, tra cui edge of network, cloud privato virtuale (VPC), bilanciamento del carico, servizi di istanza e calcolo, sistema operativo, configurazione delle applicazioni e codice.

• Automatizza le migliori pratiche di sicurezza: i meccanismi di sicurezza automatizzati e basati su software migliorano la capacità di scalare in modo sicuro, più rapido ed economico. Crea architetture sicure e implementa controlli definiti e gestiti come codice in modelli con controllo di versione.

• Proteggi i dati in transito e a riposo: classifica i dati in base a livelli di sensibilità e utilizza meccanismi come la crittografia, la tokenizzazione e il controllo degli accessi, ove appropriato.

• Tieni le persone lontane dai dati: utilizza meccanismi e strumenti per ridurre o eliminare la necessità di accedere direttamente o elaborare manualmente i dati. Ciò riduce il rischio di cattiva gestione o modifica e di errori umani nella gestione di dati sensibili.

• Preparati agli eventi di sicurezza: preparati a un incidente adottando politiche e processi di gestione degli incidenti e indagini in linea con i requisiti organizzativi. Esegui simulazioni di risposta agli incidenti e utilizza strumenti automatizzati per aumentare la velocità di rilevamento, indagine e ripristino.