Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice SNS di sicurezza di Amazon
AWS offre molte funzionalità di sicurezza per AmazonSNS. Esaminare queste caratteristiche di sicurezza nel contesto delle policy di sicurezza personalizzate.
Nota
Le indicazioni per queste caratteristiche di sicurezza si applicano ai casi d'utilizzo comuni e alle implementazioni. Si consiglia di esaminare le best practice nel contesto del caso d'uso specifico, dell'architettura e del modello di minaccia.
Best practice di prevenzione
Di seguito sono riportate le best practice di sicurezza preventiva per AmazonSNS.
Argomenti
- Assicurarsi che gli argomenti non siano accessibili pubblicamente
- Implementazione dell'accesso con privilegi minimi
- Usa IAM i ruoli per applicazioni e AWS servizi che richiedono SNS l'accesso ad Amazon
- Implementare la crittografia lato server
- Applica la crittografia dei dati in transito
- Prendi in considerazione l'utilizzo VPC degli endpoint per accedere ad Amazon SNS
- Assicurarsi che le sottoscrizioni non siano configurate per il recapito agli endpoint http non elaborati
Assicurarsi che gli argomenti non siano accessibili pubblicamente
A meno che tu non richieda esplicitamente a chiunque su Internet di essere in grado di leggere o scrivere sul tuo SNS argomento Amazon, dovresti assicurarti che l'argomento non sia accessibile al pubblico (accessibile da tutti nel mondo o da qualsiasi AWS utente autenticato).
-
Evitare di creare policy con
Principalimpostato su"". -
Evitare di utilizzare un carattere jolly (
*). Assegnare invece un nome a uno o più utenti specifici.
Implementazione dell'accesso con privilegi minimi
Quando concedi le autorizzazioni, decidi chi le riceve, a quali argomenti sono destinate le autorizzazioni e API le azioni specifiche che desideri consentire per questi argomenti. Implementare il principio del privilegio minimo è importante per ridurre i rischi per la sicurezza. Aiuta anche a ridurre l'effetto negativo di errori o intenti dannosi.
Seguire i consigli di sicurezza standard relativi alla concessione dei privilegi minimi. Cioè, concedere solo le autorizzazioni necessarie per eseguire un'attività specifica. È possibile implementare i privilegi minimi utilizzando una combinazione di policy di sicurezza relative all'accesso degli utenti.
Amazon SNS utilizza il modello editore-abbonato, che richiede tre tipi di accesso all'account utente:
-
Amministratori - Accesso alla creazione, alla modifica e all'eliminazione di argomenti. Gli amministratori controllano anche le policy degli argomenti.
-
Editori - Accesso all'invio di messaggi negli argomenti.
-
Subscribers - Accesso alla sottoscrizione agli argomenti.
Per ulteriori informazioni, consulta le sezioni seguenti:
Usa IAM i ruoli per applicazioni e AWS servizi che richiedono SNS l'accesso ad Amazon
Affinché applicazioni o AWS servizi, come AmazonEC2, possano accedere agli SNS argomenti di Amazon, devono utilizzare AWS credenziali valide nelle loro AWS API richieste. Poiché queste credenziali non vengono ruotate automaticamente, non dovresti archiviarle direttamente nell' AWS applicazione o nell'istanza. EC2
È necessario utilizzare un IAM ruolo per gestire le credenziali temporanee per le applicazioni o i servizi che devono accedere ad AmazonSNS. Quando utilizzi un ruolo, non è necessario distribuire credenziali a lungo termine (come nome utente, password e chiavi di accesso) a un'EC2istanza o AWS servizio, ad esempio. AWS Lambda Al contrario, il ruolo fornisce autorizzazioni temporanee che le applicazioni possono utilizzare quando effettuano chiamate ad altre AWS risorse.
Per ulteriori informazioni, consulta IAMRuoli e scenari comuni per i ruoli: utenti, applicazioni e servizi nella Guida per l'IAMutente.
Implementare la crittografia lato server
Per attenuare i problemi di perdita di dati, utilizzare la crittografia dei dati inattivi per crittografare i messaggi utilizzando una chiave memorizzata in un percorso diverso da quello in cui vengono archiviati i messaggi. La crittografia lato server (SSE) fornisce la crittografia dei dati inattivi. Amazon SNS crittografa i tuoi dati a livello di messaggio quando li archivia e decrittografa i messaggi per te quando accedi ad essi. SSEutilizza chiavi gestite in. AWS Key Management Service Quando si autentica la richiesta e si dispone delle autorizzazioni di accesso, non vi è alcuna differenza tra l'accesso agli argomenti crittografati e non crittografati.
Per ulteriori informazioni, consulta Protezione dei SNS dati Amazon con la crittografia lato server e Gestione delle chiavi e dei costi di SNS crittografia Amazon.
Applica la crittografia dei dati in transito
È possibile, ma non consigliato, pubblicare messaggi non crittografati durante il transito utilizzandoHTTP. Tuttavia, quando un argomento viene crittografato in inattivo utilizzando AWS KMS, è necessario utilizzarlo HTTPS per la pubblicazione dei messaggi per garantire la crittografia sia a riposo che in transito. Sebbene l'argomento non rifiuti automaticamente i HTTP messaggi, HTTPS è necessario utilizzarlo per mantenere gli standard di sicurezza.
AWS consiglia di utilizzare HTTPS al posto di. HTTP Quando si utilizzaHTTPS, i messaggi vengono crittografati automaticamente durante il transito, anche se l'SNSargomento stesso non è crittografato. HTTPSIn caso contrario, un utente malintenzionato basato sulla rete può intercettare il traffico di rete o manipolarlo utilizzando un attacco come. man-in-the-middle
Per applicare solo le connessioni crittografateHTTPS, aggiungi la aws:SecureTransportcondizione nella policy allegata agli argomenti non crittografatiIAM. SNS Ciò obbliga gli editori di messaggi a utilizzare invece di. HTTPS HTTP È possibile utilizzare il seguente criterio di esempio come guida:
{ "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPublishThroughSSLOnly", "Action": "SNS:Publish", "Effect": "Deny", "Resource": [ "arn:aws:sns:us-east-1:1234567890:test-topic" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ] }
Prendi in considerazione l'utilizzo VPC degli endpoint per accedere ad Amazon SNS
Se hai argomenti con cui devi essere in grado di interagire, ma questi argomenti non devono assolutamente essere esposti a Internet, utilizza gli VPC endpoint per limitare l'accesso agli argomenti solo agli host all'interno di un determinato VPC argomento. Puoi utilizzare le policy tematiche per controllare l'accesso agli argomenti da VPC endpoint Amazon specifici o da specificiVPCs.
SNSVPCGli endpoint Amazon offrono due modi per controllare l'accesso ai tuoi messaggi:
-
Puoi controllare le richieste, gli utenti o i gruppi consentiti tramite un VPC endpoint specifico.
-
Puoi controllare quali VPCs o quali VPC endpoint hanno accesso al tuo argomento utilizzando una policy tematica.
Per ulteriori informazioni, consulta Creazione dell'endpoint e Creazione di una policy VPC sugli endpoint di Amazon per Amazon SNS.
Assicurarsi che le sottoscrizioni non siano configurate per il recapito agli endpoint http non elaborati
Evitare di configurare le sottoscrizioni per il recapito a endpoint http non elaborati. Disponete sempre di sottoscrizioni che consegnano a un nome di dominio endpoint. Ad esempio, una sottoscrizione configurata per la consegna a un endpoint, http://1.2.3.4/my-path, dovrebbe essere cambiata in http://my.domain.name/my-path.
