Sicurezza

Quando crei sistemi sull'infrastruttura AWS, le responsabilità di sicurezza vengono condivise tra te e AWS. Questo modello di responsabilità condivisa riduce il carico operativo perché AWS gestisce, gestisce e controlla i componenti, tra cui il sistema operativo host, il livello di virtualizzazione e la sicurezza fisica delle strutture in cui operano i servizi. Per ulteriori informazioni sulla sicurezza di AWS, visita AWS Cloud Security.

Ruoli IAM

I ruoli di AWS Identity and Access Management (IAM) consentono ai clienti di assegnare policy e autorizzazioni di accesso granulari a servizi e utenti sul cloud AWS. Questa soluzione crea ruoli IAM che garantiscono l'accesso alle funzioni AWS Lambda della soluzione per creare risorse regionali.

Amazon CloudFront

Questa soluzione implementa un'interfaccia utente Web ospitata in un bucket Amazon S3, distribuito da Amazon. CloudFront Per contribuire a ridurre la latenza e migliorare la sicurezza, questa soluzione include una CloudFront distribuzione con un'identità di accesso di origine, ovvero un CloudFront utente che fornisce l'accesso pubblico ai contenuti del bucket del sito Web della soluzione. Per impostazione predefinita, la CloudFront distribuzione utilizza TLS 1.2 per applicare il più alto livello di protocollo di sicurezza. Per ulteriori informazioni, consulta la sezione Limitazione dell'accesso a un'origine Amazon S3 nella CloudFront Amazon Developer Guide.

CloudFront attiva ulteriori mitigazioni di sicurezza per aggiungere intestazioni di sicurezza HTTP a ciascuna risposta del visualizzatore. Per ulteriori informazioni, consulta Aggiungere o rimuovere intestazioni HTTP nelle risposte. CloudFront

Questa soluzione utilizza il CloudFront certificato predefinito, che ha un protocollo di sicurezza minimo supportato di TLS v1.0. Per imporre l'uso di TLS v1.2 o TLS v1.3, è necessario utilizzare un certificato SSL personalizzato anziché il certificato predefinito. CloudFront Per ulteriori informazioni, consulta Come posso configurare la mia CloudFront distribuzione per utilizzare un certificato. SSL/TLS

Gruppo di sicurezza AWS Fargate

Per impostazione predefinita, questa soluzione apre al pubblico la regola in uscita del gruppo di sicurezza AWS Fargate. Se desideri impedire ad AWS Fargate di inviare traffico ovunque, modifica la regola in uscita con uno specifico Classless Inter-Domain Routing (CIDR).

Questo gruppo di sicurezza include anche una regola in entrata che consente il traffico locale sulla porta 50.000 verso qualsiasi fonte appartenente allo stesso gruppo di sicurezza. Viene utilizzato per consentire ai contenitori di comunicare tra loro.

Test di stress della rete

L'utente è responsabile dell'utilizzo di questa soluzione in base alla politica di Network Stress Test. Questa policy copre situazioni come quando prevedi di eseguire test di rete ad alto volume direttamente dalle tue EC2 istanze Amazon su altre posizioni come altre istanze Amazon EC2 , proprietà/servizi AWS o endpoint esterni. Questi test sono talvolta chiamati stress test, test di carico o test del giorno di gioco. La maggior parte dei test effettuati dai clienti non rientra in questa politica; tuttavia, fai riferimento a questa politica se ritieni che genererai traffico che durerà, in aggregato, per più di 1 minuto, oltre 1 Gbps (1 miliardo di bit al secondo) o oltre 1 Gpps (1 miliardo di pacchetti al secondo).

Limitazione dell'accesso all'interfaccia utente pubblica

Per limitare l'accesso all'interfaccia utente pubblica oltre ai meccanismi di autenticazione e autorizzazione forniti da IAM e Amazon Cognito, utilizza la soluzione AWS WAF (web application firewall) Security Automations.

Questa soluzione implementa automaticamente una serie di regole AWS WAF che filtrano i comuni attacchi basati sul Web. Gli utenti possono scegliere tra funzionalità di protezione preconfigurate che definiscono le regole incluse in una lista di controllo degli accessi Web AWS WAF (Web ACL).