Contenimento della fonte - AWS Security Incident Response Guida per l'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Contenimento della fonte

Il contenimento della fonte è l'uso e l'applicazione del filtraggio o del routing all'interno di un ambiente per impedire l'accesso alle risorse da uno specifico indirizzo IP di origine o intervallo di rete. Di seguito sono evidenziati alcuni esempi di contenimento delle sorgenti tramite AWS servizi:

  • Gruppi di sicurezza: la creazione e l'applicazione di gruppi di sicurezza di isolamento alle EC2 istanze Amazon o la rimozione di regole da un gruppo di sicurezza esistente può aiutare a contenere il traffico non autorizzato verso un' EC2 istanza o AWS una risorsa Amazon. È importante notare che le connessioni tracciate esistenti non verranno interrotte a seguito della modifica dei gruppi di sicurezza: solo il traffico futuro verrà effettivamente bloccato dal nuovo gruppo di sicurezza (consulta questo Incident Response Playbook e Tracciamento delle connessioni dei gruppi di sicurezza per ulteriori informazioni sulle connessioni tracciate e non tracciate).

  • Policy: le policy dei bucket di Amazon S3 possono essere configurate per bloccare o consentire il traffico proveniente da un indirizzo IP, un intervallo di rete o un endpoint VPC. Le policy consentono di bloccare gli indirizzi sospetti e l'accesso al bucket Amazon S3. Ulteriori informazioni sulle policy dei bucket sono disponibili alla pagina Aggiungere una policy sui bucket utilizzando la console Amazon S3.

  • AWS WAF — Le liste di controllo degli accessi Web (web ACLs) possono essere configurate AWS WAF per fornire un controllo dettagliato sulle richieste Web a cui le risorse rispondono. È possibile aggiungere un indirizzo IP o un intervallo di rete a un set IP configurato su AWS WAF e applicare condizioni di corrispondenza, ad esempio blocco, al set IP. Ciò bloccherà le richieste Web a una risorsa se l'indirizzo IP o gli intervalli di rete del traffico di origine corrispondono a quelli configurati nelle regole del set IP.

Nel diagramma seguente è possibile vedere un esempio di contenimento dei sorgenti con un analista della risposta agli incidenti che modifica un gruppo di sicurezza di un' EC2 istanza Amazon per limitare le nuove connessioni solo a determinati indirizzi IP. Come indicato nel bullet sui gruppi di sicurezza, le connessioni tracciate esistenti non verranno interrotte a seguito della modifica dei gruppi di sicurezza.

Diagramma che mostra un esempio di contenimento delle sorgenti

Esempio di contenimento della sorgente

Nota

I gruppi di sicurezza e la rete ACLs non filtrano il traffico verso Amazon Route 53. Quando contieni un' EC2 istanza, se vuoi evitare che entri in contatto con host esterni, assicurati di bloccare esplicitamente anche le comunicazioni DNS.