Applica servizi di sicurezza in tutta la tua organizzazione AWS - AWSGuida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Applica servizi di sicurezza in tutta la tua organizzazione AWS

Influenza il future dellaAWS Security Reference Architecture (AWSSRA) partecipando a un breve sondaggio.

Come descritto in una sezione precedente, i clienti sono alla ricerca di un altro modo per pensare e organizzare strategicamente l'intera gamma di servizi di sicurezza AWS. L'approccio organizzativo più comune oggi consiste nel raggruppare i servizi di sicurezza per funzione primaria, in base all'attività di ciascun servizio. Il punto di vista della sicurezza di AWS CAF elenca nove funzionalità, tra cui la gestione delle identità e degli accessi, la protezione dell'infrastruttura, la protezione dei dati e il rilevamento delle minacce. Abbinare i servizi AWS a queste funzionalità funzionali è un modo pratico per prendere decisioni di implementazione in ogni area. Ad esempio, quando si esamina la gestione delle identità e degli accessi, IAM e IAM Identity Center sono servizi da considerare. Quando si progetta il proprio approccio al rilevamento delle minacce, Amazon GuardDuty potrebbe essere la prima considerazione da prendere in considerazione.

Come complemento a questa visione funzionale, puoi anche visualizzare la tua sicurezza con una visione strutturale trasversale. Cioè, oltre a chiedermi: «Quali servizi AWS devo usare per controllare e proteggere le mie identità, l'accesso logico o i meccanismi di rilevamento delle minacce?» , puoi anche chiedere: «Quali servizi AWS devo applicare a tutta la mia organizzazione AWS?  Quali sono i livelli di difesa che devo adottare per proteggere le istanze Amazon EC2 alla base della mia applicazione?» In questa vista, mappi i servizi e le funzionalità AWS ai livelli del tuo ambiente AWS. Alcuni servizi e funzionalità sono perfetti per implementare i controlli in tutta l'organizzazione AWS. Ad esempio, bloccare l'accesso pubblico ai bucket Amazon S3 è un controllo specifico a questo livello. Dovrebbe essere preferibilmente eseguito presso l'organizzazione principale anziché far parte della configurazione del singolo account. Altri servizi e funzionalità sono utilizzati al meglio per aiutare a proteggere le singole risorse all'interno di un account AWS. L'implementazione di un'autorità di certificazione (CA) subordinata all'interno di un account che richiede certificati TLS privati è un esempio di questa categoria. Un altro gruppo altrettanto importante è costituito dai servizi che hanno un effetto sul livello di rete virtuale dell'infrastruttura AWS. Il diagramma seguente mostra sei livelli in un tipico ambiente AWS: organizzazione AWS, unità organizzativa (OU), account, infrastruttura di rete, principali e risorse.


        Sei livelli in un ambiente AWS

Comprendere i servizi in questo contesto strutturale, compresi i controlli e le protezioni a ogni livello, ti aiuta a pianificare e implementare una defense-in-depth strategia in tutto il tuo ambiente AWS. Con questa prospettiva, puoi rispondere a entrambe le domande dall'alto verso il basso (ad esempio, «Quali servizi sto utilizzando per implementare i controlli di sicurezza in tutta la mia organizzazione AWS?») e dal basso verso l'alto (ad esempio, «Quali servizi gestiscono i controlli su questa istanza EC2?»). In questa sezione, esaminiamo gli elementi di un ambiente AWS e identifichiamo i servizi e le funzionalità di sicurezza associati. Ovviamente, alcuni servizi AWS dispongono di ampi set di funzionalità e supportano diversi obiettivi di sicurezza. Questi servizi potrebbero supportare più elementi del tuo ambiente AWS.

Per maggiore chiarezza, forniamo brevi descrizioni di come alcuni servizi soddisfano gli obiettivi dichiarati. La sezione successiva fornisce un'ulteriore discussione sui singoli servizi all'interno di ciascun account AWS.

Account multipli o a livello di organizzazione

Al livello più alto, ci sono servizi e funzionalità AWS progettati per applicare funzionalità di governance e controllo o guardrail su più account di un'organizzazione AWS (inclusa l'intera organizzazione o specifiche unità organizzative). Le policy di controllo dei servizi (SCP) sono un buon esempio di funzione IAM che fornisce un guardrail AWS preventivo a livello di organizzazione. Un altro esempio è AWS CloudTrail, che fornisce il monitoraggio attraverso un percorso organizzativo che registra tutti gli eventi per tutti gli account AWS di quell'organizzazione AWS. Questo percorso completo è distinto dai singoli percorsi che potrebbero essere creati in ogni account. Un terzo esempio è AWS Firewall Manager, che puoi usare per configurare, applicare e gestire più risorse su tutti gli account della tua organizzazione AWS: regole AWS WAF, regole AWS WAF Classic, protezioni AWS Shield Advanced, gruppi di sicurezza Amazon Virtual Private Cloud (Amazon VPC), AWS Network Firewall policy e policy Amazon Route 53 Resolver DNS Firewall. 

I servizi contrassegnati da un asterisco * nel diagramma seguente operano con un duplice scopo: a livello di organizzazione e incentrato sull'account. Questi servizi monitorano o aiutano fondamentalmente a controllare la sicurezza all'interno di un singolo account. Tuttavia, supportano anche la possibilità di aggregare i risultati di più account in un account a livello di organizzazione per una visibilità e una gestione centralizzate. Per maggiore chiarezza, prendi in considerazione gli SCP che si applicano a un'intera unità organizzativa, a un account AWS o a un'organizzazione AWS. Al contrario, puoi configurare e gestire Amazon GuardDuty sia a livello di account (dove vengono generati i singoli risultati) sia a livello di organizzazione AWS (utilizzando la funzionalità di amministratore delegato) dove i risultati possono essere visualizzati e gestiti in forma aggregata.


          Servizi di sicurezza a livello di organizzazione e incentrati sull'account

Account AWS

All'interno delle unità organizzative, esistono servizi che aiutano a proteggere più tipi di elementi all'interno di un account AWS. Ad esempio, AWS Secrets Manager è spesso gestito da un account specifico e protegge le risorse (come le credenziali del database o le informazioni di autenticazione), le applicazioni e i servizi AWS in quell'account. AWS IAM Access Analyzer può essere configurato per generare risultati quando risorse specifiche sono accessibili da responsabili esterni all'account AWS. Come indicato nella sezione precedente, molti di questi servizi possono anche essere configurati e amministrati all'interno di AWS Organizations, in modo da poter essere gestiti su più account. Questi servizi sono contrassegnati da un asterisco (*) nel diagramma. Inoltre, semplificano l'aggregazione dei risultati di più account e la loro distribuzione su un unico account. Ciò offre ai singoli team applicativi la flessibilità e la visibilità necessarie per gestire le esigenze di sicurezza specifiche del loro carico di lavoro, consentendo allo stesso tempo governance e visibilità ai team di sicurezza centralizzati. Amazon GuardDuty è un esempio di tale servizio. GuardDutymonitora le risorse e le attività associate a un singolo account e GuardDuty i risultati di più account membri (come tutti gli account di un'organizzazione AWS) possono essere raccolti, visualizzati e gestiti da un account amministratore delegato.


          Servizi di sicurezza che proteggono più tipi di elementi all'interno di un account AWS

 

Rete virtuale, elaborazione e distribuzione di contenuti

Poiché l'accesso alla rete è fondamentale per la sicurezza e l'infrastruttura di elaborazione è una componente fondamentale di molti carichi di lavoro AWS, ci sono molti servizi e funzionalità di sicurezza AWS dedicati a queste risorse. Ad esempio, Amazon Inspector è un servizio di gestione delle vulnerabilità che analizza continuamente i carichi di lavoro di AWS per individuare eventuali vulnerabilità. Queste scansioni includono controlli di raggiungibilità della rete che indicano che nell'ambiente sono consentiti percorsi di rete per le istanze Amazon EC2. Amazon Virtual Private Cloud (Amazon VPC) consente di definire una rete virtuale nella quale avviare risorse AWS. Questa rete virtuale è simile a una rete tradizionale e include una serie di funzionalità e vantaggi. Gli endpoint VPC consentono di connettere privatamente il VPC a servizi AWS supportati e servizi endpoint powered by AWS PrivateLink senza richiedere un percorso verso Internet. Il diagramma seguente illustra i servizi di sicurezza incentrati su rete, elaborazione e infrastruttura di distribuzione dei contenuti.


          Servizi di sicurezza incentrati sulla rete, sull'elaborazione o sull'infrastruttura di distribuzione dei contenuti

Principi e risorse

I principi e le risorse AWS (insieme alle politiche IAM) sono gli elementi fondamentali nella gestione delle identità e degli accessi su AWS. Un preside autenticato in AWS può eseguire azioni e accedere alle risorse AWS. Un principale può essere autenticato come utente root di account AWS e utente IAM o assumendo un ruolo.

Nota

Non creare chiavi API persistenti associate all'account utente root di AWS. L'accesso all'account utente root deve essere limitato solo alle attività che richiedono un utente root e quindi solo attraverso un rigoroso processo di eccezione. Per le best practice per proteggere l'utente root del tuo account, consulta la documentazione AWS.

Una risorsa AWS è un oggetto esistente all'interno di un servizio AWS utilizzabile. Gli esempi includono un'istanza EC2, uno CloudFormation stack AWS, un argomento Amazon Simple Notification Service (Amazon SNS) e un bucket S3. Le policy IAM sono oggetti che definiscono le autorizzazioni quando sono associate a un principale IAM (utente, gruppo o ruolo) o a una risorsa AWS. Le policy basate su identità sono documenti di policy che colleghi a un principale (ruoli, utenti e gruppi di utenti) per controllare quali operazioni un principale può eseguire, su quali risorse e in quali condizioni. Le policy basate su risorse sono documenti di policy che colleghi a una risorsa, come un bucket S3. Queste policy concedono all'entità principale specificata l'autorizzazione per eseguire operazioni specifiche su tale risorsa e definiscono le condizioni per tale autorizzazione. Le policy basate su risorse sono policy in linea. La sezione delle risorse IAM approfondisce i tipi di politiche IAM e il modo in cui vengono utilizzate.

Per semplificare le cose in questa discussione, elenchiamo i servizi e le funzionalità di sicurezza di AWS per i dirigenti di IAM che hanno lo scopo principale di operare o applicarsi ai responsabili degli account. Manteniamo tale semplicità pur riconoscendo la flessibilità e l'ampiezza degli effetti delle politiche di autorizzazione IAM. Una singola dichiarazione in una policy può avere effetti su più tipi di entità AWS. Ad esempio, sebbene una policy basata sull'identità IAM sia associata a un principio IAM e definisca le autorizzazioni (consenti, nega) per quel principio, la policy definisce anche implicitamente le autorizzazioni per le azioni, le risorse e le condizioni specificate. In questo modo, una politica basata sull'identità può essere un elemento fondamentale nella definizione delle autorizzazioni per una risorsa.

Il diagramma seguente illustra i servizi e le funzionalità di sicurezza di AWS per i dirigenti di AWS. Le policy basate su identità sono collegate a un utente, un gruppo o un ruolo IAM. Queste policy consentono di specificare cosa può fare quell'identità (le sue autorizzazioni). Una politica di sessione IAM è una politica di autorizzazioni in linea che gli utenti passano nella sessione quando assumono il ruolo. Puoi approvare tu stesso la policy oppure puoi configurare il tuo broker di identità per inserire la policy quando le tue identità si federano in AWS. Ciò consente agli amministratori di ridurre il numero di ruoli da creare, poiché più utenti possono assumere lo stesso ruolo ma disporre di autorizzazioni di sessione uniche. Il servizio IAM Identity Center è integrato con AWS Organizations e le operazioni delle API AWS e ti aiuta a gestire l'accesso SSO e le autorizzazioni degli utenti tra i tuoi account AWS in AWS Organizations.


          Servizi e funzionalità di sicurezza AWS per i responsabili degli account

Il diagramma seguente illustra i servizi e le funzionalità per le risorse dell'account. Le policy basate su risorse sono collegate a una risorsa. Ad esempio, puoi collegare policy basate su risorse a bucket S3, code Amazon Simple Queue Service (Amazon SQS), code Amazon Simple Queue chiavi di crittografia AWS KMS. È possibile utilizzare le policy basate su risorse per specificare quali utenti hanno accesso alla risorsa e quali operazioni possono eseguire su di essa. Le policy dei bucket S3, le policy chiave AWS KMS e le policy degli endpoint VPC sono tipi di policy basate su risorse. AWS IAM Access Analyzer che consente di identificare le risorse nell'organizzazione e negli account, condivise con un'entità esterna. In questo modo puoi identificare l'accesso non intenzionale alle risorse e ai dati, che rappresenta un rischio per la sicurezza. AWS Config consente di valutare, eseguire audit e valutare le configurazioni delle risorse AWS supportate nei propri account AWS. AWS Config monitora e registra continuamente le configurazioni delle risorse AWS e valuta automaticamente le configurazioni registrate rispetto alle configurazioni desiderate.


          Servizi e funzionalità di sicurezza AWS per le risorse degli account