UO dell'infrastruttura - Account di rete - AWS Guida prescrittiva
Architettura di reteVPC in ingresso (ingress)VPC in uscita (egress)VPC di ispezioneAWS Network FirewallStrumento di analisi degli accessi alla reteAWS RAMAccesso verificato da AWSAmazon VPC LatticeSicurezza edgeAmazon CloudFrontAWS WAFAWS ShieldAWS Certificate ManagerAmazon Route 53

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

UO dell'infrastruttura - Account di rete

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio.

Il diagramma seguente illustra i servizi di sicurezza AWS che sono configurati nell'account di rete. 

Servizi di sicurezza per l'account di rete

L'account di rete gestisce il gateway tra l'applicazione e Internet in generale. È importante proteggere quell'interfaccia bidirezionale. L'account di rete isola i servizi di rete, la configurazione e il funzionamento dai carichi di lavoro, dalla sicurezza e da altre infrastrutture delle singole applicazioni. Questa disposizione non solo limita la connettività, le autorizzazioni e il flusso di dati, ma supporta anche la separazione dei compiti e il privilegio minimo per i team che devono operare in questi account. Suddividendo il flusso di rete in cloud privati virtuali (VPC) in entrata e in uscita separati, è possibile proteggere l'infrastruttura e il traffico sensibili da accessi indesiderati. La rete in entrata è generalmente considerata a maggior rischio e merita routing, monitoraggio e mitigazione appropriati dei potenziali problemi. Questi account dell'infrastruttura erediteranno i guardrail di autorizzazione dall'account di gestione dell'organizzazione e dall'unità organizzativa dell'infrastruttura. I team di rete (e sicurezza) gestiscono la maggior parte dell'infrastruttura di questo account.

Architettura di rete

Sebbene la progettazione e le specifiche della rete non rientrino nell'ambito di questo documento, consigliamo queste tre opzioni per la connettività di rete tra i vari account: peering VPC, PrivateLink AWS e AWS Transit Gateway. Le considerazioni importanti da fare nella scelta tra queste opzioni sono le norme operative, i budget e le esigenze specifiche di larghezza di banda. 

  • Peering VPC: il modo più semplice per connettere due VPC è utilizzare il peering VPC. Una connessione consente una connettività bidirezionale completa tra i VPC. I VPC che si trovano in Regioni AWS e account separati possono anche essere collegati tra loro. Su larga scala, quando si hanno da decine a centinaia di VPC, l'interconnessione degli stessi tramite peering produce una rete di centinaia o migliaia di connessioni peering, il che può essere difficile da gestire e dimensionare. Il peering VPC viene utilizzato al meglio quando le risorse di un VPC devono comunicare con le risorse di un altro VPC, l'ambiente di entrambi i VPC è controllato e protetto e il numero di VPC da connettere è inferiore a 10 (per consentire la gestione individuale di ciascuna connessione).

  • AWS PrivateLink ‒ PrivateLink fornisce connettività privata tra VPC, servizi e applicazioni. Puoi creare la tua applicazione nel tuo VPC e configurarla come un servizio PrivateLink basato su tecnologia (denominato servizio endpoint). Altri principali AWS possono creare una connessione dal proprio VPC al servizio endpoint utilizzando un endpoint VPC di interfaccia o un endpoint del Gateway Load Balancer a seconda del tipo di servizio. Quando lo utilizzi PrivateLink, il traffico del servizio non attraversa una rete instradabile pubblicamente. Utilizzalo PrivateLink quando disponi di una configurazione client-server in cui desideri fornire a uno o più VPC consumer l'accesso unidirezionale a un servizio o a un set di istanze specifico nel VPC del provider di servizi. Questa è anche una buona opzione quando client e server nei due VPC hanno indirizzi IP sovrapposti, perché PrivateLink utilizza interfacce di rete elastiche all'interno del VPC client in modo che non vi siano conflitti IP con il provider di servizi. 

  • AWS Transit Gateway ‒ Transit Gateway offre un hub-and-spoke design per connettere VPC e reti locali come servizio completamente gestito senza richiedere il provisioning di appliance virtuali. AWS gestisce l'alta disponibilità e la scalabilità. Un gateway di transito è una risorsa regionale e può connettere migliaia di VPC all'interno della stessa Regione AWS. Puoi collegare la tua connettività ibrida (connessioni VPN e AWS Direct Connect) a un singolo gateway di transito, consolidando e controllando così l'intera configurazione di routing dell'organizzazione AWS in un unico posto. Un gateway di transito risolve la complessità legata alla creazione e alla gestione di più connessioni peering VPC su larga scala. È l'impostazione predefinita per la maggior parte delle architetture di rete, ma esigenze specifiche in termini di costi, larghezza di banda e latenza potrebbero rendere il peering VPC più adatto alle tue esigenze.

VPC in ingresso (ingress)

Il VPC in entrata è destinato ad accettare, ispezionare e instradare le connessioni di rete avviate all'esterno dell'applicazione. A seconda delle specifiche dell'applicazione, puoi aspettarti di vedere una traduzione degli indirizzi di rete, ovvero una Network Address Translation (NAT) in questo VPC. I log di flusso di questo VPC vengono acquisiti e archiviati nell'account Log Archive.

VPC in uscita (egress)

Il VPC in uscita è destinato a gestire le connessioni di rete avviate dall'interno dell'applicazione. A seconda delle specifiche dell'applicazione, puoi aspettarti di vedere traffico NAT, endpoint VPC specifici del servizio AWS e hosting di endpoint API esterni in questo VPC. I log di flusso di questo VPC vengono acquisiti e archiviati nell'account Log Archive.

VPC di ispezione

Un VPC di ispezione dedicato fornisce un approccio centrale e semplificato per la gestione delle ispezioni tra VPC (nella stessa Regione AWS o in Regioni differenti), Internet e reti on-premise. Per AWS SRA, assicurati che tutto il traffico tra i VPC passi attraverso il VPC di ispezione ed evita di utilizzare il VPC di ispezione per qualsiasi altro carico di lavoro.

AWS Network Firewall

Firewall di rete AWS è un servizio firewall di rete gestito e ad alta disponibilità per il tuo VPC. Ti consente di implementare e gestire senza problemi l'ispezione stateful, la prevenzione e il rilevamento delle intrusioni e il filtraggio Web per proteggere le tue reti virtuali su AWS. È possibile utilizzare Network Firewall per decrittografare le sessioni TLS e ispezionare il traffico in entrata e in uscita. Per ulteriori informazioni sulla configurazione di Firewall di rete, consulta il post sul blog Firewall di rete AWS: nuovo servizio firewall gestito nel VPC.

Utilizzi un firewall in base alla zona di disponibilità nel tuo VPC. Per ogni zona di disponibilità, scegli una sottorete per ospitare l'endpoint firewall che filtra il traffico. L'endpoint firewall in una zona di disponibilità può proteggere tutte le sottoreti all'interno della zona ad eccezione della sottorete in cui si trova. A seconda del caso d'uso e del modello di implementazione, la sottorete del firewall può essere pubblica o privata. Il firewall è completamente trasparente per il flusso di traffico e non esegue la traduzione degli indirizzi di rete, ovvero il Network Address Translation (NAT). Conserva l'indirizzo di origine e di destinazione. In questa architettura di riferimento, gli endpoint del firewall sono ospitati in un VPC di ispezione. Tutto il traffico dal VPC in entrata e verso il VPC in uscita viene instradato attraverso questa sottorete del firewall per l'ispezione. 

Network Firewall rende visibile l'attività del firewall in tempo reale attraverso i CloudWatch parametri di Amazon e offre una maggiore visibilità del traffico di rete inviando i log ad Amazon Simple Storage Service (Amazon S3) e Amazon Data CloudWatch Firehose. Firewall di rete è interoperabile con l'approccio alla sicurezza esistente, incluse le tecnologie dei partner AWS. Puoi anche importare set di regole Suricata esistenti, che potrebbero essere stati scritti internamente o forniti esternamente da fornitori di terze parti o piattaforme open source. 

In AWS SRA, Firewall di rete viene utilizzato all'interno dell'account di rete perché la funzionalità del servizio incentrata sul controllo della rete è in linea con l'intento dell'account. 

Considerazioni di natura progettuale

  • Gestione dei firewall AWS supporta Firewall di rete, quindi è possibile configurare e distribuire centralmente le regole di Firewall di rete in tutta l'organizzazione. (Per i dettagli, consulta Policy di Firewall di rete AWS nella documentazione AWS.) Quando configuri Gestione dei firewall, crea automaticamente un firewall con set di regole negli account e nei VPC specificati. Inoltre, distribuisce un endpoint in una sottorete dedicata per ogni zona di disponibilità che contiene sottoreti pubbliche. Allo stesso tempo, qualsiasi modifica al set di regole configurato centralmente viene automaticamente aggiornata a valle sui firewall di Firewall di rete implementati. 

  • Con Firewall di rete sono disponibili diversi modelli di implementazione. Il modello più adatto varia a seconda dei requisiti e del caso d'uso. Considerare i seguenti esempi:

    • Un modello di implementazione distribuito in cui Firewall di rete viene distribuito in singoli VPC.

    • Un modello di implementazione centralizzato in cui Firewall di rete viene implementato in un VPC centralizzato per il traffico est-ovest (da VPC a VPC) o nord-sud (uscita e ingresso Internet, on-premise).

    • Un modello di implementazione combinato in cui Firewall di rete viene implementato in un VPC centralizzato per il traffico est-ovest e un sottoinsieme del traffico nord-sud.

  • Come best practice, non utilizzare la sottorete di Firewall di rete per implementare qualsiasi altro servizio. Questo perché Firewall di rete non è in grado di ispezionare il traffico proveniente da origini o destinazioni all'interno della sottorete del firewall.

Strumento di analisi degli accessi alla rete

Strumento di analisi degli accessi alla rete è una funzionalità di Amazon VPC che identifica gli accessi di rete non intenzionali alle tue risorse. Strumento di analisi degli accessi alla rete può essere utilizzato per convalidare la segmentazione della rete, identificare risorse accessibili da Internet o accessibili solo da intervalli di indirizzi IP attendibili e verificare di disporre di controlli di rete appropriati su tutti i percorsi di rete.

Strumento di analisi degli accessi alla rete utilizza algoritmi di ragionamento automatico per analizzare i percorsi di rete che un pacchetto può percorrere tra le risorse di una rete AWS e produce risultati per i percorsi che corrispondono all'ambito di accesso alla rete definito. Strumento di analisi degli accessi alla rete esegue un'analisi statica di una configurazione di rete, il che significa che nessun pacchetto viene trasmesso nella rete come parte di questa analisi.

Le regole di raggiungibilità della rete Amazon Inspector forniscono una funzionalità correlata. I risultati generati da queste regole vengono utilizzati nell'account dell'applicazione. Sia Strumento di analisi degli accessi alla rete che il sistema di analisi della reperibilità Amazon VPC utilizzano la tecnologia più recente dell'iniziativa AWS Provable Security e applicano questa tecnologia con diverse aree di interesse. Il pacchetto del sistema di analisi della reperibilità si concentra specificamente sulle istanze EC2 e sulla loro accessibilità a Internet. 

L'account di rete definisce l'infrastruttura di rete critica che controlla il traffico in entrata e in uscita dall'ambiente AWS. Questo traffico deve essere monitorato attentamente. In AWS SRA, Strumento di analisi degli accessi alla rete viene utilizzato all'interno dell'account di rete per aiutare a identificare accessi involontari alla rete, identificare le risorse accessibili a Internet tramite gateway Internet e verificare che i controlli di rete appropriati, come firewall di rete e gateway NAT, siano presenti su tutti i percorsi di rete tra risorse e gateway Internet. 

Considerazione di natura progettuale

  • Strumento di analisi degli accessi alla rete è una funzionalità di Amazon VPC e può essere utilizzata in qualsiasi account AWS dotato di un VPC. Gli amministratori di rete possono avvalersi di ruoli IAM ben definiti e trasversali tra account per verificare che i percorsi di rete approvati vengano applicati all'interno di ciascun account AWS.

AWS RAM

AWS Resource Access Manager (AWS RAM) ti aiuta a condividere in modo sicuro le risorse AWS che crei in un account AWS con altri account AWS. AWS RAM offre una posizione centrale per gestire la condivisione di risorse e standardizzare questa esperienza tra gli account. Ciò semplifica la gestione delle risorse sfruttando al contempo l'isolamento amministrativo e di fatturazione e riduce la portata dei vantaggi di contenimento dell'impatto offerti da una strategia multi-account. Se il tuo account è gestito da AWS Organizations, AWS RAM ti consente di condividere le risorse con tutti gli account dell'organizzazione o solo con gli account all'interno di una o più unità organizzative (UO) specificate. Puoi anche condividere con account AWS specifici per ID account, indipendentemente dal fatto che l'account faccia parte di un'organizzazione. Puoi anche condividere alcuni tipi di risorse supportati con ruoli e utenti IAM specifici.

AWS RAM consente di condividere risorse che non supportano le policy basate sulle risorse IAM, come le sottoreti VPC e le regole Route 53. Inoltre, con AWS RAM, i proprietari di una risorsa possono vedere quali principali hanno accesso alle singole risorse che hanno condiviso. Le entità IAM possono recuperare direttamente l'elenco delle risorse condivise con loro, cosa che non possono fare con le risorse condivise dalle policy delle risorse IAM. Se AWS RAM viene utilizzata per condividere risorse all'esterno dell'organizzazione AWS, viene avviata una procedura di invito. Il destinatario deve accettare l'invito prima di concedere l'accesso alle risorse. Ciò fornisce controlli ed equilibri aggiuntivi.

AWS RAM viene richiamato e gestito dal proprietario della risorsa nell'account in cui viene distribuita la risorsa condivisa. Un caso d'uso comune di AWS RAM illustrato nell'AWS SRA è che gli amministratori di rete condividano sottoreti VPC e gateway di transito con l'intera organizzazione AWS. Ciò offre la possibilità di disaccoppiare le funzioni di gestione dell'account AWS e della rete e aiuta a raggiungere la separazione dei compiti. Per ulteriori informazioni sulla condivisione di VPC, consulta il post del blog AWS Condivisione di VPC: un nuovo approccio a più account e gestione dei VPC e il whitepaper sull'infrastruttura di rete AWS

Considerazione di natura progettuale

  • Sebbene AWS RAM come servizio sia distribuito solo all'interno dell'account di rete nell'AWS SRA, in genere viene implementato in più di un account. Ad esempio, puoi centralizzare la gestione del data lake in un singolo account data lake e quindi condividere le risorse del catalogo dati di AWS Lake Formation (database e tabelle) con altri account della tua organizzazione AWS. Per ulteriori informazioni, consulta la documentazione di AWS Lake Formation e il post sul blog AWS Condividere in modo sicuro i dati tra account AWS tramite AWS Lake Formation. Inoltre, gli amministratori della sicurezza possono utilizzare la RAM AWS per seguire le best practice quando creano una CA privata AWS gerarchia. Le CA possono essere condivise con terze parti esterne, che possono emettere certificati senza avere accesso alla gerarchia delle CA. Ciò consente alle organizzazioni di origine di limitare e revocare l'accesso di terze parti.

Accesso verificato da AWS

Accesso verificato da AWS fornisce un accesso sicuro alle applicazioni aziendali senza una VPN. Migliora lo stato di sicurezza valutando ogni richiesta di accesso in tempo reale rispetto a requisiti predefiniti. È possibile definire una policy di accesso unica per ogni applicazione con condizioni basate sui dati di identità e sulla postura del dispositivo. Accesso verificato semplifica inoltre le operazioni di sicurezza aiutando gli amministratori a impostare e monitorare in modo efficiente le policy di accesso. Ciò consente di risparmiare tempo per aggiornare le policy, rispondere agli incidenti di sicurezza e connettività e verificare gli standard di conformità. Accesso verificato inoltre supporta l'integrazione con AWS WAF per filtrare le minacce comuni come iniezione SQL e scripting cross-site (XSS). Verified Access si integra perfettamente con AWS IAM Identity Center, che consente agli utenti di autenticarsi con provider di identità di terze parti basati su SAML (). IdPs Se disponi già di una soluzione IdP personalizzata compatibile con OpenID Connect (OIDC), Accesso verificato può anche autenticare gli utenti connettendosi direttamente con il tuo IdP. Accesso verificato registra ogni tentativo di accesso in modo da poter rispondere rapidamente agli incidenti di sicurezza e alle richieste di controllo. Verified Access supporta la consegna di questi log ad Amazon Simple Storage Service (Amazon S3), Amazon CloudWatch Logs e Amazon Data Firehose.

Accesso verificato supporta due modelli applicativi aziendali comuni: interni e rivolti a Internet. Accesso verificato si integra con le applicazioni tramite Application Load Balancer o interfacce di rete elastiche. Se utilizzi un Application Load Balancer, Accesso verificato richiede un sistema di bilanciamento del carico interno. Poiché Accesso verificato supporta AWS WAF a livello di istanza, un'applicazione esistente che ha l'integrazione di AWS WAF con un Application Load Balancer può spostare le policy dal sistema di bilanciamento del carico all'istanza di Accesso verificato. Un'applicazione aziendale è rappresentata come un endpoint di Accesso verificato. Ogni endpoint è associato a un gruppo di Accesso verificato ed eredita la policy di accesso per il gruppo. Un gruppo di Accesso verificato è una raccolta di endpoint di Accesso verificato e una policy di Accesso verificato a livello di gruppo. I gruppi semplificano la gestione delle policy e consentono agli amministratori IT di impostare criteri di base. I proprietari delle applicazioni possono definire ulteriormente policy granulari in base alla sensibilità dell'applicazione.

Nell'AWS SRA, Accesso verificato è ospitato all'interno dell'account di rete. Il team IT centrale imposta configurazioni gestite centralmente. Ad esempio, potrebbero collegare provider affidabili come provider di identità (ad esempio Okta) e provider di attendibilità dei dispositivi (ad esempio, Jamf), creare gruppi e determinare la policy a livello di gruppo. Queste configurazioni possono quindi essere condivise con decine, centinaia o migliaia di account dei carichi di lavoro tramite AWS Resource Access Manager (AWS RAM). Ciò consente ai team applicativi di gestire gli endpoint sottostanti che gestiscono le loro applicazioni senza sovraccaricare gli altri team. AWS RAM offre un modo scalabile per sfruttare Accesso verificato per le applicazioni aziendali ospitate in diversi account di carico di lavoro.

Considerazione di natura progettuale

  • Puoi raggruppare gli endpoint per applicazioni che hanno requisiti di sicurezza simili per semplificare l'amministrazione delle policy e quindi condividere il gruppo con gli account delle applicazioni. Tutte le applicazioni del gruppo condividono la policy di gruppo. Se un'applicazione del gruppo richiede una policy specifica a causa di un caso limite, è possibile applicare una policy a livello di applicazione per quell'applicazione.

Amazon VPC Lattice

Amazon VPC Lattice è un servizio di rete di applicazioni che connette, monitora e protegge le comunicazioni. service-to-service Un servizio, spesso chiamato microservizio, è un'unità software implementabile in modo indipendente che svolge un'attività specifica. VPC Lattice gestisce automaticamente la connettività di rete e il routing a livello di applicazione tra i servizi tra VPC e account AWS senza la necessità di gestire la connettività di rete sottostante, sistemi di bilanciamento del carico front-end o i proxy sidecar. Fornisce un proxy a livello di applicazione completamente gestito che fornisce il routing a livello di applicazione in base alle caratteristiche della richiesta, come percorsi e intestazioni. VPC Lattice è integrato nell'infrastruttura VPC, quindi fornisce un approccio coerente su un'ampia gamma di tipi di elaborazione come Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS) e AWS Lambda. VPC Lattice supporta anche il routing ponderato per implementazioni blu/verde e canary. È possibile utilizzare VPC Lattice per creare una rete di servizi con un limite logico che implementa automaticamente il rilevamento e la connettività dei servizi. VPC Lattice si integra con AWS Identity and Access Management (IAM) per l' service-to-service autenticazione e l'autorizzazione tramite policy di autenticazione.

VPC Lattice si integra con AWS Resource Access Manager (AWS RAM) per consentire la condivisione di servizi e reti di servizi. AWS SRA rappresenta un'architettura distribuita in cui sviluppatori o proprietari di servizi creano servizi VPC Lattice nel proprio account dell'applicazione. I proprietari dei servizi definiscono gli ascoltatori, le regole di routing e i gruppi di destinazione insieme alle policy di autenticazione. Quindi condividono i servizi con altri account e li associano alle reti di servizi VPC Lattice. Queste reti vengono create dagli amministratori di rete nell'account di rete e condivise con l'account dell'applicazione. Gli amministratori di rete configurano le policy di autenticazione e il monitoraggio a livello di rete del servizio. Gli amministratori associano i servizi VPC e VPC Lattice a una o più reti di servizi. Per una panoramica dettagliata di questa architettura distribuita, consulta il post sul blog AWS Creare una connettività multi-VPC multi-account sicura per le applicazioni con Amazon VPC Lattice.

Considerazione di natura progettuale

  • A seconda del modello operativo del servizio o della visibilità della rete di servizi dell'organizzazione, gli amministratori di rete possono condividere le proprie reti di servizio e dare ai proprietari dei servizi il controllo necessario per associare i propri servizi e VPC a queste reti di servizi. In alternativa, i proprietari dei servizi possono condividere i propri servizi e gli amministratori di rete possono associare i servizi alle reti di servizi.

    Un client può inviare richieste ai servizi associati a una rete di servizi solo se il client si trova in un VPC associato alla stessa rete di servizi. Il traffico client che attraversa una connessione peering VPC o un gateway di transito viene negato.

Sicurezza edge

La sicurezza edge prevede generalmente tre tipi di protezione: distribuzione sicura dei contenuti, protezione a livello di rete e applicazione e mitigazione degli attacchi DDoS (Distributed Denial of Service). Contenuti come dati, video, applicazioni e API devono essere distribuiti in modo rapido e sicuro, utilizzando la versione consigliata di TLS per crittografare le comunicazioni tra gli endpoint. I contenuti devono inoltre avere restrizioni di accesso tramite URL firmati, cookie firmati e autenticazione tramite token. La sicurezza a livello di applicazione dovrebbe essere progettata per controllare il traffico dei bot, bloccare schemi di attacco comuni come iniezione SQL o scripting cross-site (XSS) e fornire visibilità del traffico Web. A livello edge, la mitigazione degli attacchi DDoS fornisce un importante livello di difesa che garantisce la disponibilità continua di operazioni e servizi aziendali cruciali. Le applicazioni e le API devono essere protette dai flood SYN, dai flood UDP o da altri attacchi di riflessione e disporre di una mitigazione in linea per bloccare gli attacchi di base a livello di rete.

AWS offre diversi servizi che contribuiscono a fornire un ambiente sicuro, dal cloud principale al perimetro della rete AWS. Amazon CloudFront, AWS Certificate Manager (ACM), AWS Shield, AWS WAF e Amazon Route 53 collaborano per contribuire a creare un perimetro di sicurezza flessibile e stratificato. Con Amazon CloudFront, i contenuti, le API o le applicazioni possono essere distribuiti tramite HTTPS utilizzando TLSv1.3 per crittografare e proteggere la comunicazione tra client di visualizzazione e. CloudFront Puoi utilizzare ACM per creare un certificato SSL personalizzato e distribuirlo gratuitamente su una distribuzione. CloudFront ACM gestisce automaticamente il rinnovo dei certificati. AWS Shield è un servizio di protezione DDoS gestito che protegge le applicazioni eseguite su AWS. Fornisce rilevamenti dinamici e mitigazioni automatiche in linea che riducono al minimo i tempi di inattività e la latenza delle applicazioni. AWS WAF consente di creare regole per filtrare il traffico Web in base a condizioni specifiche (indirizzi IP, intestazioni e corpo HTTP o URI personalizzati), attacchi Web comuni e bot pervasivi. Route 53 è un servizio Web DNS altamente scalabile e disponibile. Route 53 collega le richieste degli utenti alle applicazioni Internet eseguite su AWS oppure on-premise. AWS SRA adotta un'architettura di ingresso di rete centralizzata utilizzando AWS Transit Gateway, ospitato all'interno dell'account di rete, quindi anche l'infrastruttura di sicurezza perimetrale è centralizzata in questo account.

Amazon CloudFront

Amazon CloudFront è una rete di distribuzione dei contenuti (CDN) sicura che fornisce una protezione intrinseca contro i tentativi DDoS comuni a livello di rete e di trasporto. Puoi distribuire contenuti, API o applicazioni utilizzando certificati TLS e le funzionalità TLS avanzate vengono abilitate automaticamente. Puoi utilizzare ACM per creare un certificato TLS personalizzato e applicare le comunicazioni HTTPS tra i visualizzatori e CloudFront, come descritto più avanti nella sezione ACM. È inoltre possibile richiedere che le comunicazioni tra CloudFront e l'origine personalizzata implementino la crittografia in transito. end-to-end In questo scenario, è necessario installare un certificato TLS sul server di origine. Se l'origine è un sistema di bilanciamento del carico elastico, è possibile utilizzare un certificato generato da ACM o un certificato convalidato da un'autorità di certificazione (CA) di terze parti e importato in ACM. Se gli endpoint dei siti Web con bucket S3 fungono da origine per CloudFront, non puoi configurare CloudFront l'utilizzo di HTTPS con la tua origine, poiché Amazon S3 non supporta HTTPS per gli endpoint dei siti Web. (Tuttavia, puoi comunque richiedere HTTPS tra i visualizzatori e.) CloudFront Per tutte le origini che supportano l'installazione di certificati HTTPS, è necessario utilizzare un certificato firmato da un'autorità di certificazione (CA) di terze parti attendibile.

CloudFront offre diverse opzioni per proteggere e limitare l'accesso ai tuoi contenuti. Ad esempio, può limitare l'accesso all'origine Amazon S3 utilizzando URL e cookie firmati. Per ulteriori informazioni, consulta Configurazione dell'accesso sicuro e limitazione dell'accesso ai contenuti nella CloudFront documentazione.

L'AWS SRA illustra le CloudFront distribuzioni centralizzate nell'account di rete perché si allineano al modello di rete centralizzato implementato utilizzando Transit Gateway. Distribuendo e gestendo CloudFront le distribuzioni nell'account di rete, ottieni i vantaggi dei controlli centralizzati. Puoi gestire tutte le CloudFront distribuzioni in un unico posto, il che semplifica il controllo degli accessi, la configurazione delle impostazioni e il monitoraggio dell'utilizzo su tutti gli account. Inoltre, puoi gestire i certificati ACM, i record DNS e la CloudFront registrazione da un unico account centralizzato. La dashboard CloudFront di sicurezza offre visibilità e controlli su AWS WAF direttamente nella tua CloudFront distribuzione. Ottieni visibilità sulle principali tendenze di sicurezza della tua applicazione, sul traffico consentito e bloccato e sull'attività dei bot. Puoi utilizzare strumenti investigativi come analizzatori visivi dei log e controlli di blocco integrati per isolare i modelli di traffico e bloccare il traffico senza interrogare i log o scrivere regole di sicurezza.

Considerazioni di natura progettuale

  • In alternativa, è possibile eseguire la distribuzione CloudFront come parte dell'applicazione nell'account dell'applicazione. In questo scenario, il team dell'applicazione prende decisioni come la modalità di CloudFront distribuzione delle distribuzioni, determina le politiche di cache appropriate e si assume la responsabilità della governance, del controllo e del monitoraggio delle distribuzioni. CloudFront Distribuendo CloudFront le distribuzioni su più account, è possibile beneficiare di quote di servizio aggiuntive. Come altro vantaggio, puoi utilizzare la configurazione intrinseca e automatizzata CloudFront di Origin Access Identity (OAI) e Origin Access Control (OAC) per limitare l'accesso alle origini di Amazon S3.

  • Quando distribuisci contenuti web tramite un CDN, ad esempio CloudFront, devi impedire agli spettatori di aggirare il CDN e accedere direttamente ai tuoi contenuti di origine. Per ottenere questa restrizione di accesso all'origine, puoi utilizzare CloudFront AWS WAF per aggiungere intestazioni personalizzate e verificare le intestazioni prima di inoltrare le richieste all'origine personalizzata. Per una spiegazione dettagliata di questa soluzione, consulta il post del blog sulla sicurezza di AWS Come migliorare la sicurezza di CloudFront origine di Amazon con AWS WAF e AWS Secrets Manager. Un metodo alternativo consiste nel limitare solo l'elenco dei CloudFront prefissi nel gruppo di sicurezza associato all'Application Load Balancer. Ciò contribuirà a garantire che solo una CloudFront distribuzione possa accedere al load balancer.

AWS WAF

AWS WAF è un firewall per applicazioni Web che consente di proteggere le applicazioni Web dagli exploit Web (come vulnerabilità e bot) che possono intaccare la disponibilità delle applicazioni, compromettere la sicurezza o consumare un numero elevato di risorse. Può essere integrato con una CloudFront distribuzione Amazon, un'API REST di Amazon API Gateway, un Application Load Balancer, un'API AWS GraphQL AppSync , un pool di utenti Amazon Cognito e il servizio AWS App Runner.

AWS WAF utilizza liste di controllo degli accessi Web (ACL) per proteggere un set di risorse AWS. Un'ACL Web è un insieme di regole che definisce i criteri di ispezione e un'azione associata da intraprendere (bloccare, consentire, contare o eseguire il rilevamento dei bot) se una richiesta Web soddisfa i criteri. AWS WAF fornisce una serie di regole gestite che forniscono protezione contro le vulnerabilità comuni delle applicazioni. Queste regole sono curate e gestite da AWS e dai partner AWS. AWS WAF offre anche un potente linguaggio di regole per la creazione di regole personalizzate. Puoi utilizzare regole personalizzate per scrivere criteri di ispezione adatti alle tue esigenze particolari. Gli esempi includono restrizioni IP, restrizioni geografiche e versioni personalizzate delle regole gestite che meglio si adattano al comportamento specifico dell'applicazione.

AWS WAF fornisce una serie di regole intelligenti gestite a più livelli per bot comuni e mirati e la protezione dall'acquisizione di account (ATP). Quando utilizzi i gruppi di regole ATP e il rilevamento dei bot ti viene addebitata una quota di abbonamento e una commissione per l'ispezione del traffico. Pertanto, consigliamo di monitorare il traffico e decidere poi cosa utilizzare. Puoi utilizzare i pannelli di controllo di gestione dei bot e acquisizione degli account disponibili gratuitamente sulla console AWS WAF per monitorare queste attività e quindi decidere se è necessario un gruppo di regole AWS WAF di livello intelligente.

Nell'AWS SRA, AWS WAF è integrato nell'account CloudFront di rete. In questa configurazione, l'elaborazione delle regole WAF avviene nelle posizioni edge anziché all'interno del VPC. Ciò consente di filtrare il traffico dannoso più vicino all'utente finale che ha richiesto il contenuto e aiuta a limitare l'ingresso del traffico dannoso nella rete principale.

Puoi inviare log AWS WAF completi a un bucket S3 nell'account archivio di log configurando l'accesso multi-account al bucket S3. Per ulteriori informazioni, consulta l'articolo di AWS re:Post su questo argomento.

Considerazioni di natura progettuale

  • In alternativa all'implementazione centralizzata di AWS WAF nell'account di rete, alcuni casi d'uso sono meglio soddisfatti implementando AWS WAF nell'account dell'applicazione. Ad esempio, puoi scegliere questa opzione quando distribuisci le tue CloudFront distribuzioni nel tuo account Application o disponi di Application Load Balancer rivolti al pubblico o se utilizzi Amazon API Gateway davanti alle tue applicazioni web. Se decidi di implementare AWS WAF in ogni account dell'applicazione, usa Gestione dei firewall AWS per gestire le regole AWS WAF in questi account dall'account degli strumenti di sicurezza centralizzato.

  • Puoi anche aggiungere regole AWS WAF generali a CloudFront livello e regole AWS WAF aggiuntive specifiche per l'applicazione in una risorsa regionale come l'Application Load Balancer o il gateway API.

AWS Shield

AWS Shield è un servizio di protezione DDoS gestito che protegge le applicazioni eseguite su AWS. Esistono due livelli di Shield: Shield Standard e Shield Avanzato. Shield Standard offre a tutti i clienti AWS protezione dagli eventi dell'infrastruttura più comuni (livelli 3 e 4) senza costi aggiuntivi. Shield Advanced offre mitigazioni automatiche più sofisticate per gli eventi non autorizzati che prendono di mira le applicazioni su zone ospitate protette di Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB), CloudFront Amazon, AWS Global Accelerator e Route 53. Se possiedi siti Web ad alta visibilità o se sono esposti a eventi DDoS frequenti, prendi in considerazione le funzionalità aggiuntive fornite da Shield Avanzato.

È possibile utilizzare la funzionalità di mitigazione automatica degli attacchi DDoS a livello di applicazione Shield Advanced per configurare Shield Advanced in modo che risponda automaticamente alla mitigazione degli attacchi a livello di applicazione (livello 7) contro le CloudFront distribuzioni protette e gli Application Load Balancer. Quando abiliti questa funzionalità, Shield Avanzato genera automaticamente regole AWS WAF personalizzate per mitigare gli attacchi DDoS. Shield Avanzato consente inoltre di accedere allo Shield Response Team (SRT) di AWS. Durante un attacco DDoS attivo, puoi contattare il team SRT in qualsiasi momento per creare e gestire mitigazioni personalizzate per la tua applicazione. Se desideri che SRT monitori in modo proattivo le tue risorse protette e ti contatti durante un tentativo di attacco DDoS, valuta la possibilità di abilitare la funzionalità di coinvolgimento proattivo.

Considerazioni di natura progettuale

  • Se hai carichi di lavoro gestiti da risorse connesse a Internet nell'account dell'applicazione, come Amazon, un Application Load Balancer o un Network Load CloudFront Balancer, configura Shield Advanced nell'account dell'applicazione e aggiungi tali risorse alla protezione Shield. Per configurare queste opzioni su larga scala, puoi utilizzare Gestione dei firewall AWS.

  • Se nel flusso di dati sono presenti più risorse, ad esempio una CloudFront distribuzione davanti a un Application Load Balancer, utilizza solo la risorsa entry-point come risorsa protetta. In questo modo non dovrai pagare due volte le tariffe di Shield Data Transfer Out (DTO) per due risorse.

  • Shield Advanced registra i parametri che puoi monitorare in Amazon CloudWatch. (Per ulteriori informazioni, consulta Parametri e allarmi di AWS Shield Avanzato nella documentazione AWS.) Imposta CloudWatch allarmi per ricevere notifiche SNS al tuo centro di sicurezza quando viene rilevato un evento DDoS. In caso di sospetto evento DDoS, contatta il team di Supporto AWS Enterprise compilando un ticket di supporto e assegnandogli la massima priorità. Il team di Supporto Enterprise includerà lo Shield Response Team (SRT) nella gestione dell'evento. Inoltre, sarà possibile preconfigurare la funzione Lambda di impegno di AWS Shield per creare un ticket di supporto e inviare un'e-mail al team SRT.

AWS Certificate Manager

Gestione certificati AWS (ACM) consente il provisioning, la gestione e l'implementazione dei certificati TLS pubblici e privati con i servizi AWS e le risorse connesse interne. Con ACM, puoi richiedere rapidamente un certificato, distribuirlo su risorse AWS integrate con ACM, come sistemi di bilanciamento del carico Elastic Load Balancing, distribuzioni Amazon e API su CloudFront Amazon API Gateway, e lasciare che ACM gestisca i rinnovi dei certificati. Quando richiedi certificati pubblici ACM, non è necessario generare una coppia di chiavi o una richiesta di firma del certificato (CSR), inviare una CSR a un'autorità di certificazione (CA) o caricare e installare il certificato quando viene ricevuto. ACM offre anche la possibilità di importare certificati TLS emessi da CA di terze parti e di implementarli con i servizi integrati ACM. Quando utilizzi ACM per gestire i certificati, le chiavi private dei certificati vengono protette e archiviate in modo sicuro utilizzando una crittografia avanzata e le best practice di gestione delle chiavi. Con ACM non sono previsti costi aggiuntivi per la fornitura di certificati pubblici e ACM gestisce il processo di rinnovo.

ACM viene utilizzato nell'account Network per generare un certificato TLS pubblico, che a sua volta viene utilizzato dalle distribuzioni per stabilire la connessione HTTPS tra i visualizzatori e. CloudFront CloudFront Per ulteriori informazioni, consulta la documentazione. CloudFront

Considerazione di natura progettuale

  • Per i certificati diretti all'esterno, ACM deve trovarsi nello stesso account delle risorse per le quali fornisce i certificati. I certificati non possono essere condivisi tra account.

Amazon Route 53

Amazon Route 53 è un servizio Web DNS altamente scalabile e disponibile. Puoi utilizzare Route 53 per eseguire tre funzioni principali in qualsiasi combinazione: registrazione dominio, routing DNS e controllo dell'integrità.

Puoi utilizzare Route 53 come servizio DNS per mappare i nomi di dominio alle tue istanze EC2, ai bucket S3, alle CloudFront distribuzioni e ad altre risorse AWS. La natura distribuita dei server DNS di AWS aiuta a garantire che gli utenti finali vengano indirizzati alla tua applicazione in modo coerente. Funzionalità come il controllo del flusso di traffico e del routing di Route 53 aiutano a migliorare l'affidabilità. Se l'endpoint dell'applicazione principale diventa non disponibile, puoi configurare il failover per reindirizzare gli utenti verso una posizione alternativa. Il risolutore Route 53 fornisce un DNS ricorsivo per il VPC e le reti on-premise su AWS Direct Connect o una VPN gestita da AWS.

Grazie al servizio AWS Identity and Access Management (IAM) con Route 53, ottieni un controllo granulare su chi può aggiornare i tuoi dati DNS. È possibile abilitare la firma DNSSEC (DNS Security Extensions) per consentire ai risolutori DNS di accertarsi che una risposta DNS provenga da Route 53 e che non sia stata manomessa.

DNS Firewall per il risolutore Route 53 fornisce protezione per le richieste DNS in uscita dai VPC. Queste richieste vengono instradate tramite il risolutore Route 53 per la risoluzione dei nomi di dominio. Un uso principale delle protezioni DNS Firewall è quello di aiutare a prevenire l'esfiltrazione DNS dei dati. Con DNS Firewall, è possibile monitorare e controllare i domini su cui le applicazioni possono eseguire query. Puoi negare l'accesso ai domini che sai essere non validi e consentire il passaggio di tutte le altre query. In alternativa, è possibile rifiutare l'accesso a tutti i domini ad eccezione di quelli che consideri esplicitamente attendibili. È possibile utilizzare DNS Firewall anche per bloccare le richieste di risoluzione alle risorse in zone ospitate private (condivise o locali), inclusi i nomi degli endpoint VPC. Può anche bloccare richieste di nomi di istanze EC2 pubblici o privati.

I risolutori Route 53 vengono creati di default come parte di ogni VPC. Nell'AWS SRA, Route 53 viene utilizzato nell'account di rete principalmente per la funzionalità del firewall DNS. 

Considerazione di natura progettuale

  • Firewall DNS e Firewall di rete AWS offrono entrambi filtri dei nomi di dominio, ma per diversi tipi di traffico. È possibile utilizzare DNS Firewall e Firewall di rete insieme per configurare il filtro basato su dominio per il traffico a livello di applicazione su due percorsi di rete diversi.

    • DNS Firewall fornisce filtri per le query DNS in uscita che passano attraverso Route 53 Resolver dalle applicazioni all'interno dei VPC. È inoltre possibile configurare DNS Firewall per inviare risposte personalizzate per le query a nomi di dominio bloccati.

    • Firewall di rete fornisce filtri sia per il traffico a livello di rete che di applicazione, ma non dispone di visibilità sulle query eseguite dal risolutore Route 53.