Account di gestione dell'organizzazione - AWSGuida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Account di gestione dell'organizzazione

Influenza il future dellaAWS Security Reference Architecture (AWSSRA) partecipando a un breve sondaggio.

Il diagramma seguente illustra i servizi di sicurezza AWS configurati nell'account Org Management.


      Servizi di sicurezza per l'account di Org Management

Le sezioni Uso di AWS Organizations per la sicurezza e L'account di gestione, accesso affidabile e amministratori delegati all'inizio di questa guida hanno discusso in modo approfondito lo scopo e gli obiettivi di sicurezza dell'account di Org Management. Segui le migliori pratiche di sicurezza per il tuo account di Org Management. Questi includono l'utilizzo di un indirizzo e-mail gestito dalla tua azienda, il mantenimento delle corrette informazioni di contatto amministrative e di sicurezza (come allegare un numero di telefono all'account nel caso in cui AWS debba contattare il proprietario dell'account), abilitare l'autenticazione a più fattori (MFA) per tutti gli utenti, e controllando regolarmente chi ha accesso all'account di Org Management. I servizi distribuiti nell'account Org Management devono essere configurati con ruoli, politiche di fiducia e altre autorizzazioni appropriati in modo che gli amministratori di tali servizi (che devono accedervi nell'account Org Management) non possano accedere in modo inappropriato anche ad altri servizi.

Policy di controllo dei servizi

Con AWS Organizations, puoi gestire centralmente le politiche su più account AWS. Ad esempio, puoi applicare le policy di controllo dei servizi (SCP) a più account AWS membri di un'organizzazione. Gli SCP consentono di definire quali API dei servizi AWS possono e non possono essere eseguite dai responsabili di AWS Identity and Access Management (IAM) (come utenti e ruoli IAM) negli account AWS membri dell'organizzazione. Gli SCP vengono creati e applicati dall'account di gestione dell'organizzazione, che è l'account AWS utilizzato per creare l'organizzazione. Scopri di più sugli SCP nella sezione Uso di AWS Organizations per la sicurezza all'inizio di questo riferimento. 

Se utilizzi AWS Control Tower per gestire la tua organizzazione AWS, implementerà una serie di SCP come guardrail preventivi (classificati come obbligatori, fortemente consigliati o opzionali). Questi guardrail ti aiutano a gestire le tue risorse applicando controlli di sicurezza a livello di organizzazione. Questi SCP utilizzano automaticamente un aws-control-tower tag che ha un valore di managed-by-control-tower. 

Considerazione del design
  • Gli SCP influiscono solo sugli account dei membri dell'organizzazione AWS. Sebbene siano applicati dall'account Org Management, non hanno alcun effetto sugli utenti o sui ruoli in quell'account. Per scoprire come funziona la logica di valutazione SCP e per vedere esempi di strutture consigliate, consulta il post del blog AWS How to Use Service Control Policies in AWS Organizations.

AWS CloudTrail

AWS CloudTrail è un servizio che supporta la governance, la conformità, il controllo delle operazioni e il controllo del rischio del tuo account AWS. Con CloudTrail, puoi registrare, monitorare continuamente e conservare le attività dell'account relative alle azioni nell'infrastruttura AWS. CloudTrail è integrato con AWS Organizations e tale integrazione può essere utilizzata per creare un unico percorso che registri tutti gli eventi per tutti gli account dell'organizzazione AWS. Questo tipo di trail viene indicato come trail dell'organizzazione. Quando crei un percorso dell'organizzazione, viene creato un percorso con il nome che specifichi in ogni account AWS appartenente alla tua organizzazione AWS. Il percorso registra l'attività per tutti gli account nell'organizzazione AWS e memorizza i log in un unico bucket S3. Tutti gli account dell'organizzazione AWS possono vedere il percorso dell'organizzazione nel proprio elenco di percorsi, ma gli account AWS membri hanno accesso limitato a questo percorso. Inoltre, per impostazione predefinita, solo l'account Org Management ha accesso al bucket S3. Per ulteriori informazioni su queste protezioni, consulta la sezione Amazon S3 come archivio di log centrale. Per ulteriori best practice di sicurezza, consulta la CloudTrail documentazione AWS.

In AWS SRA, CloudTrail viene visualizzato all'interno dell'account Org Management, poiché è possibile creare un percorso organizzativo solo dall'interno dell'account di gestione e con le autorizzazioni IAM appropriate. Il bucket S3 dell'organizzazione corrispondente per archiviare tutti i log viene creato nell'account Log Archive. 

Considerazione del design
  • Se gli account dei membri devono utilizzare CloudTrail le informazioni in un modo non consentito dal percorso dell'organizzazione, i gestori di ogni account AWS possono creare un percorso locale con i controlli appropriati.

IAM Identity Center

AWS IAM Identity Center (successore di AWS Single Sign-On) è un servizio di federazione delle identità che ti aiuta a gestire centralmente l'accesso SSO a tutti i tuoi account AWS, principali e carichi di lavoro cloud. IAM Identity Center consente inoltre di gestire l'accesso e le autorizzazioni alle applicazioni SaaS (Software as a Service) di terze parti di uso comune. I provider di identità si integrano con IAM Identity Center utilizzando SAML 2.0. Il bulk e just-in-time il provisioning possono essere eseguiti utilizzando il System for Cross-Domain Identity Management (SCIM). IAM Identity Center include un portale utente in cui gli utenti finali possono trovare e accedere agli account AWS, ai ruoli, alle applicazioni cloud e alle applicazioni personalizzate assegnati in un unico posto.

IAM Identity Center si integra nativamente con AWS Organizations e viene eseguito nell'account Org Management per impostazione predefinita. Tuttavia, per esercitare il minor numero di privilegi e controllare rigorosamente l'accesso all'account di gestione, la gestione di IAM Identity Center può essere delegata a un account membro specifico. In AWS SRA, l'account Shared Services è l'account amministratore delegato per IAM Identity Center. Prima di abilitare l'amministrazione delegata per IAM Identity Center, esamina queste considerazioni. Troverai maggiori informazioni sulla delega nella sezione Account di Shared Services. Anche dopo aver abilitato la delega, IAM Identity Center deve comunque essere eseguito nell'account Org Management per eseguire determinate attività relative a IAM Identity Center, tra cui la gestione dei set di autorizzazioni forniti nell'account di gestione dell'organizzazione. 

All'interno della console di IAM Identity Center, gli account vengono visualizzati dalla rispettiva unità organizzativa incapsulante. Ciò ti consente di scoprire rapidamente i tuoi account AWS, applicare set di autorizzazioni comuni e gestire l'accesso da una posizione centrale. 

IAM Identity Center include un archivio di identità in cui devono essere archiviate informazioni specifiche dell'utente. Tuttavia, IAM Identity Center non deve essere la fonte autorevole di informazioni sulla forza lavoro, sebbene possa farlo. Nei casi in cui la tua azienda dispone già di una fonte autorevole, IAM Identity Center supporta i seguenti tipi di provider di identità (IdPs).

  • IAM Identity Center Identity Store: scegli questa opzione se le due opzioni seguenti non sono disponibili. Gli utenti vengono creati, vengono effettuate assegnazioni di gruppo e le autorizzazioni vengono assegnate nell'archivio delle identità. Anche se la tua fonte autorevole è esterna a IAM Identity Center, una copia degli attributi principali verrà archiviata nell'archivio delle identità.

  • Microsoft Active Directory (AD): scegli questa opzione se desideri gestire gli utenti nella tua Active Directory locale o basata sul cloud oppure se desideri migrare o utilizzare AWS Managed Microsoft AD in AWS Directory Service.

  • IdP esterno: scegli questa opzione se preferisci gestire gli utenti in un IdP esterno di terze parti.

Puoi fare affidamento su un IdP esistente già presente all'interno della tua azienda. Ciò semplifica la gestione dell'accesso tra più applicazioni e servizi, poiché stai creando, gestendo e revocando l'accesso da un'unica posizione. Ad esempio, se qualcuno lascia il tuo team, puoi revocare il suo accesso a tutte le applicazioni e i servizi (inclusi gli account AWS) da un'unica posizione. Ciò riduce la necessità di più credenziali e offre l'opportunità di integrarsi con i processi delle risorse umane (HR).

Considerazione del design
  • Usa un IdP esterno se questa opzione è disponibile per la tua azienda. Sfrutta la funzionalità SCIM di IAM Identity Center per automatizzare la fornitura di utenti, gruppi e autorizzazioni (sincronizzazione). Ciò consente ad AWS Access di rimanere sincronizzato con il flusso di lavoro aziendale per i nuovi assunti, i dipendenti che si trasferiscono in un altro team e i dipendenti che lasciano l'azienda.

Advisor IAM Access Advisor

IAM access advisor fornisce dati di tracciabilità sotto forma di informazioni sull'ultimo accesso al servizio per gli account AWS e le unità organizzative. Usa questo controllo investigativo per contribuire a una strategia di privilegio minimo. Per gli advisor IAM, è possibile visualizzare due tipi di informazioni dell'ultimo accesso: informazioni consentite AWS servizio e informazioni consentite sulle attività. Le informazioni includono la data e l'ora in cui è stato effettuato il tentativo. 

L'accesso IAM all'interno dell'account Org Management consente di visualizzare gli ultimi dati di accesso al servizio per l'account Org Management, l'OU, l'account membro o la policy IAM nella tua organizzazione AWS. Queste informazioni sono disponibili nella console IAM all'interno dell'account di gestione e possono anche essere ottenute a livello di programmazione utilizzando le API di IAM access advisor in AWS Command Line Interface (AWS CLI) o in un client programmatico. Le informazioni indicano quali entità di un'organizzazione o di un account hanno tentato l'ultimo accesso al servizio e quando. Le ultime informazioni a cui si accede forniscono informazioni sull'effettivo utilizzo del servizio (vedi esempi di scenari), in modo da poter ridurre le autorizzazioni IAM solo ai servizi effettivamente utilizzati.

AWS Systems Manager

Quick Setup ed Explorer, che sono funzionalità di AWS Systems Manager, supportano entrambe AWS Organizations e operano dall'account Org Management. 

Quick Setup è una funzionalità di automazione di Systems Manager. Consente all'account Org Management di definire facilmente le configurazioni per consentire a Systems Manager di interagire per tuo conto tra gli account della tua organizzazione AWS. Puoi abilitare la configurazione rapida in tutta l'organizzazione AWS o scegliere unità organizzative specifiche. Quick Setup può pianificare AWS Systems Manager Agent (SSM Agent) per eseguire aggiornamenti bisettimanali sulle istanze EC2 e può impostare una scansione giornaliera di tali istanze per identificare le patch mancanti. 

Explorer è un pannello di controllo delle operazioni personalizzabile che riporta informazioni sulle risorse AWS. Explorer mostra una vista aggregata dei dati operativi per i tuoi account AWS e per tutte le regioni AWS. Ciò include i dati sulle istanze EC2 e i dettagli sulla conformità delle patch. Dopo aver completato la configurazione integrata (che include anche Systems Manager OpsCenter) all'interno di AWS Organizations, puoi aggregare i dati in Explorer per unità organizzativa o per un'intera organizzazione AWS. Systems Manager aggrega i dati nell'account AWS Org Management prima di visualizzarlo in Explorer.

La sezione Workloads OU più avanti in questa guida illustra l'uso del Systems Manager Agent (SSM Agent) sulle istanze EC2 nell'account Application.

AWS Control Tower

AWS Control Tower offre un modo semplice per configurare e gestire un ambiente AWS con più account sicuro, chiamato landing zone. AWS Control Tower crea la tua zona di destinazione utilizzando AWS Organizations e fornisce una gestione e una governance costanti degli account, nonché le migliori pratiche di implementazione. Puoi utilizzare AWS Control Tower per fornire nuovi account in pochi passaggi, assicurando al contempo che gli account siano conformi alle tue politiche organizzative. Puoi persino aggiungere account esistenti a un nuovo ambiente AWS Control Tower. 

AWS Control Tower offre un set di funzionalità ampio e flessibile. Una caratteristica fondamentale è la sua capacità di orchestrare le funzionalità di diversi altri servizi AWS, tra cui AWS Organizations, AWS Service Catalog e IAM Identity Center, per creare una landing zone. Ad esempio, per impostazione predefinita, AWS Control Tower utilizza AWS CloudFormation per stabilire una linea di base, le politiche di controllo dei servizi (SCP) di AWS Organizations per prevenire modifiche alla configurazione e le regole di AWS Config per rilevare continuamente le non conformità. AWS Control Tower utilizza progetti che ti aiutano ad allineare rapidamente il tuo ambiente AWS multi-account ai principi di progettazione di base di sicurezza di AWS Well Architected. Tra le funzionalità di governance, AWS Control Tower offre guardrail che impediscono l'implementazione di risorse non conformi a politiche selezionate. 

Puoi iniziare a implementare le linee guida AWS SRA con AWS Control Tower. Ad esempio, AWS Control Tower crea un'organizzazione AWS con l'architettura multi-account consigliata. Fornisce modelli per fornire la gestione delle identità, fornire l'accesso federato agli account, centralizzare la registrazione, stabilire controlli di sicurezza tra account, definire un flusso di lavoro per il provisioning di nuovi account e implementare le baseline degli account con configurazioni di rete. 

In AWS SRA, AWS Control Tower si trova all'interno dell'account Org Management perché AWS Control Tower utilizza questo account per configurare automaticamente un'organizzazione AWS e designa tale account come account di gestione. Questo account viene utilizzato per la fatturazione in tutta l'organizzazione AWS. Viene anche utilizzato per il provisioning degli account da Account Factory, per gestire le unità organizzative e per gestire i guardrail. Se stai lanciando AWS Control Tower in un'organizzazione AWS esistente, puoi utilizzare l'account di gestione esistente. AWS Control Tower utilizzerà tale account come account di gestione designato.

Considerazione del design
  • Se desideri creare una linea di base aggiuntiva per i controlli e le configurazioni dei tuoi account, puoi utilizzare Customizations for AWS Control Tower (cFCT). Con cFCT, puoi personalizzare la tua landing zone di AWS Control Tower utilizzando un CloudFormation modello AWS e politiche di controllo dei servizi (SCP). Puoi distribuire il modello e le politiche personalizzati per singoli account e unità organizzative all'interno della tua organizzazione. cFCT si integra con gli eventi del ciclo di vita di AWS Control Tower per garantire che le implementazioni delle risorse rimangano sincronizzate con la tua landing zone. 

AWS Artifact

AWS Artifact fornisce l'accesso su richiesta ai report di sicurezza e conformità di AWS e a determinati accordi online. I report disponibili in AWS Artifact includono report SOC (System and Organization Controls), report del settore delle carte di pagamento (PCI) e certificazioni di enti di accreditamento in aree geografiche e verticali di conformità che convalidano l'implementazione e l'efficacia operativa dei controlli di sicurezza AWS. AWS Artifact ti aiuta a svolgere la dovuta diligenza su AWS con maggiore trasparenza nel nostro ambiente di controllo della sicurezza. Inoltre, consente di monitorare continuamente la sicurezza e la conformità di AWS con accesso immediato a nuovi report. 

Gli accordi AWS Artifact consentono di esaminare, accettare e monitorare lo stato degli accordi AWS, come il Business Associate Addendum (BAA) per un singolo account e per gli account che fanno parte della tua organizzazione in AWS Organizations. 

Puoi fornire gli artefatti di audit di AWS ai tuoi revisori o autorità di regolamentazione come prova dei controlli di sicurezza di AWS. Puoi anche utilizzare la guida sulla responsabilità fornita da alcuni degli artefatti di audit di AWS per progettare la tua architettura cloud. Questa guida aiuta a determinare i controlli di sicurezza aggiuntivi che è possibile implementare per supportare i casi d'uso specifici del sistema. 

AWS Artifacts è ospitato nell'account Org Management per fornire una posizione centrale in cui è possibile rivedere, accettare e gestire gli accordi con AWS. Questo perché gli accordi accettati nell'account di gestione confluiscono negli account dei membri. 

Considerazione del design
  • Gli utenti all'interno dell'account Org Management dovrebbero essere limitati a utilizzare solo la funzionalità Accordi di AWS Artifact e nient'altro. Per implementare la separazione dei compiti, AWS Artifact è ospitato anche nell'account Security Tooling, dove puoi delegare le autorizzazioni ai tuoi stakeholder di conformità e ai revisori esterni per accedere agli artefatti di audit. Puoi implementare questa separazione definendo politiche di autorizzazione IAM dettagliate. Per esempi, consulta Esempi di politiche IAM nella documentazione di AWS.

Guardrail per servizi di sicurezza distribuiti e centralizzati

In AWS SRA, AWS Security Hub, Amazon GuardDuty, AWS Config, IAM Access Analyzer, i percorsi CloudTrail organizzativi AWS e spesso Amazon Macie vengono distribuiti con l'amministrazione delegata o l'aggregazione appropriata all'account Security Tooling. Ciò consente una serie coerente di protezioni tra gli account e fornisce anche monitoraggio, gestione e governance centralizzati in tutta l'organizzazione AWS. Troverai questo gruppo di servizi in ogni tipo di account rappresentato nell'AWS SRA. Questi dovrebbero far parte dei servizi AWS che devono essere forniti come parte del processo di onboarding e baselining dell'account. Il repository diGitHub codici fornisce un'implementazione di esempio di servizi incentrati sulla sicurezza di AWS per tutti i tuoi account, incluso l'account AWS Org Management. 

Oltre a questi servizi, AWS SRA include due servizi incentrati sulla sicurezza, AWS Detective e AWS Audit Manager, che supportano l'integrazione e la funzionalità di amministratore delegato in AWS Organizations. Tuttavia, questi non sono inclusi tra i servizi consigliati per il baselining dell'account. Abbiamo visto che questi servizi sono utilizzati al meglio nei seguenti scenari:

  • Hai un team o un gruppo di risorse dedicato che svolgono le funzioni di analisi forense digitale e di audit IT. AWS Detective è utilizzato al meglio dai team di analisti della sicurezza e AWS Audit Manager è utile per i tuoi team interni di audit o conformità.

  • Desiderate concentrarvi su un set di strumenti di base, ad GuardDuty esempio Security Hub, all'inizio del progetto, e poi sfruttare questi strumenti utilizzando servizi che forniscono funzionalità aggiuntive.