Prevenzione dell'accesso non autorizzato e dell'esfiltrazione dei dati - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prevenzione dell'accesso non autorizzato e dell'esfiltrazione dei dati

Secondo il rapporto sul costo di una violazione dei dati del 2022 (rapporto del Ponemon Institute), il costo medio di una violazione dei dati nel 2022 è stato di 0,3 milioni. USD4 Per le aziende di semiconduttori, proteggere la proprietà intellettuale (IP) è fondamentale. La perdita della proprietà intellettuale dovuta all'accesso non autorizzato può comportare perdite finanziarie, danni alla reputazione o persino conseguenze normative. Queste potenziali conseguenze rendono il controllo dell'accesso ai dati e del flusso di dati aspetti critici di una progettazione ben progettata.

Le considerazioni chiave per proteggere i dati includono:

  • Autenticazione dell'utente per l'accesso all'ambiente di sviluppo sicuro

  • Autorizzazione dell'utente per l'accesso ai dati all'interno dell'ambiente di sviluppo sicuro

  • Registrazione di tutti i trasferimenti in entrata e in uscita dall'ambiente di sviluppo sicuro

  • Progettazione di flussi di dati sicuri tra ambienti

  • Crittografia dei dati in transito e in riposo

  • Limitazione e registrazione del traffico di rete in uscita

Configurazione delle autorizzazioni

AWS Identity and Access Management (IAM) ti aiuta a gestire in modo sicuro l'accesso alle tue AWS risorse controllando chi è autenticato e autorizzato a utilizzarle. Per impostazione predefinita, qualsiasi azione in entrata AWS viene negata implicitamente a meno che non sia esplicitamente consentita. È possibile gestire l'accesso tramite la creazione AWS di politiche. È possibile utilizzare le policy per definire, a livello granulare, quali utenti possono accedere a quali risorse e quali azioni possono eseguire su tali risorse. Una procedura AWS ottimale consiste nell'applicare le autorizzazioni con privilegi minimi, il che significa concedere agli utenti solo le autorizzazioni necessarie per svolgere le proprie attività. Per ulteriori informazioni, consulta quanto segue nella documentazione IAM:

Autenticazione degli utenti

È consigliabile richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee. AWS Il servizio consigliato per centralizzare l'accesso alla forza lavoro degli utenti è. AWS IAM Identity Center Questo servizio consente di creare o connettere in modo sicuro le identità della forza lavoro e di gestirne l'accesso centralmente tra tutte le applicazioni. Account AWS IAM Identity Center può eseguire la federazione con provider di identità esterni (IdPs) utilizzando SAML 2.0, Open ID Connect (OIDC) o OAuth 2.0 per fornire un'integrazione e una gestione degli utenti senza interruzioni. Per ulteriori informazioni, consulta Identity federation in AWS (AWS marketing) e Identity providers and federation (documentazione IAM).

È inoltre possibile autenticare e autorizzare gli utenti utilizzando AWS Directory Serviceper gestire utenti e gruppi definiti in una directory, ad esempio Active Directory. All'interno dell'ambiente di sviluppo sicuro, puoi utilizzare le autorizzazioni dei file Linux per autorizzare e limitare l'accesso ai dati all'interno del cloud privato virtuale (VPC). Utilizza gli endpoint VPC per fornire l'accesso Servizi AWS senza attraversare la rete Internet pubblica. Utilizza le policy degli endpoint per limitare AWS i principali che possono utilizzare l'endpoint e utilizza le policy basate sull'identità per limitare l'accesso. Servizi AWS

Trasferimento dei dati

AWS offre diversi modi per migrare i dati locali sul cloud. È comune archiviare inizialmente i dati in Amazon Simple Storage Service (Amazon S3). Amazon S3 è un servizio di storage di oggetti basato sul cloud che consente di archiviare, proteggere e recuperare qualsiasi quantità di dati. Fornisce una larghezza di banda fino a 25 Gbps durante il trasferimento di dati da o verso un'istanza Amazon Elastic Compute Cloud (Amazon). EC2 Offre inoltre la replica e la suddivisione dei dati su più livelli in più regioni. I dati archiviati in Amazon S3 possono fungere da origine di replica. Puoi utilizzarlo per creare nuovi file system o trasferire dati su istanze. EC2 Puoi usare Amazon S3 come backend di un file system AWS gestito e conforme a POSIX (Portable Operating System Interface) per strumenti e flussi di semiconduttori.

Un altro servizio AWS di storage è Amazon FSx, che fornisce file system che supportano i protocolli di connettività standard del settore e offre elevata disponibilità e replica in tutto il mondo. Regioni AWS Le scelte più comuni per il settore dei semiconduttori includono Amazon FSx for NetApp ONTAP, Amazon for Lustre e FSx FSx Amazon for OpenZFS. I file system scalabili e ad alte prestazioni di Amazon FSx sono adatti per archiviare i dati localmente all'interno di un ambiente di sviluppo sicuro.

AWS consiglia di definire AWS innanzitutto i requisiti di archiviazione per i carichi di lavoro relativi ai semiconduttori e quindi di identificare il meccanismo di trasferimento dei dati appropriato. AWS consiglia di AWS DataSyncutilizzarlo per trasferire dati dall'ambiente locale a. AWS DataSync è un servizio di trasferimento e individuazione di dati online che consente di spostare file o dati di oggetti da, verso e tra i servizi AWS di archiviazione. A seconda che si utilizzino sistemi di storage autogestiti o un provider di storage, ad esempio NetApp, è possibile configurare in modo DataSync da accelerare lo spostamento e la replica dei dati nel proprio ambiente di sviluppo sicuro tramite Internet o tramite. AWS Direct Connect DataSync può trasferire i dati e i metadati del file system, come proprietà, timestamp e autorizzazioni di accesso. Se stai trasferendo file tra FSx for ONTAP e ONTAP, ti consigliamo di utilizzare. NetApp AWS NetApp SnapMirror Amazon FSx supporta la crittografia a riposo e in transito. Utilizza AWS CloudTraile altre funzionalità di registrazione specifiche del servizio per registrare tutte le chiamate API e i relativi trasferimenti di dati. Centralizza i log in un account dedicato e applica politiche di accesso granulari per una cronologia immutabile.

AWS fornisce servizi aggiuntivi per aiutare a controllare i flussi di dati, inclusi firewall di rete compatibili con le applicazioni come AWS Network FirewallDNS Firewall e proxy Web.Amazon Route 53 ResolverAWS WAF Controlla i flussi di dati all'interno dell'ambiente applicando la segmentazione della rete con gruppi di sicurezza, elenchi di controllo degli accessi alla rete ed endpoint VPC in Amazon Virtual Private Cloud (Amazon VPC), Network Firewall, tabelle di routing dei gateway di transito e policy di controllo del servizio () in. SCPs AWS Organizations Registra centralmente tutto il traffico di rete utilizzando i log di flusso VPC e i campi disponibili dalle versioni 2-5 di VPC Flow Logs.

Crittografia dei dati

Crittografa tutti i dati inattivi utilizzando AWS Key Management Service () chiavi gestite dal cliente o.AWS KMSAWS CloudHSM Crea e gestisci politiche granulari relative alle risorse chiave. Per ulteriori informazioni, consulta la sezione Creazione di una strategia di crittografia aziendale per i dati a riposo.

Crittografa i dati in transito applicando almeno TLS 1.2 con un cifrario AES-256 (Advanced Encryption Standard) a 256 bit standard di settore.

Gestione del traffico di rete in uscita

Se l'ambiente di sviluppo sicuro richiede l'accesso a Internet, tutto il traffico Internet in uscita deve essere registrato e limitato tramite un punto di controllo a livello di rete, ad esempio tramite Network Firewall o Squid, che è un proxy open source. Gli endpoint VPC e il proxy Internet aiutano a proteggere dall'esfiltrazione non autorizzata di dati da parte degli utenti. Questo è fondamentale per consentire l'accesso ai dati all'interno dell'ambiente di sviluppo sicuro e solo all'interno del VPC.

Infine, puoi utilizzare Network Access Analyzer, una funzionalità di Amazon VPC, per eseguire la convalida della segmentazione della rete e identificare potenziali percorsi di rete che non soddisfano i requisiti specificati.

Attraverso la stratificazione dei controlli di sicurezza, puoi stabilire e applicare un solido perimetro di dati. Per ulteriori informazioni, consulta Building a Data Perimeter on. AWS