Sicurezza

Quando crei sistemi sull'infrastruttura AWS, le responsabilità di sicurezza vengono condivise tra te e AWS. Questo modello di responsabilità condivisa riduce il carico operativo perché AWS gestisce, gestisce e controlla i componenti, tra cui il sistema operativo host, il livello di virtualizzazione e la sicurezza fisica delle strutture in cui operano i servizi. Per ulteriori informazioni sulla sicurezza di AWS, visita il Centro di sicurezza AWS.

Accesso alle risorse

Ruoli IAM

I ruoli IAM consentono ai clienti di assegnare policy di accesso e autorizzazioni granulari a servizi e utenti sul cloud AWS. Sono necessari più ruoli per eseguire Workload Discovery su AWS e scoprire risorse negli account AWS.

Amazon Cognito

Amazon Cognito viene utilizzato per autenticare l'accesso con credenziali forti e di breve durata che garantiscono l'accesso ai componenti necessari a Workload Discovery su AWS.

Accesso alla rete

Amazon VPC

Workload Discovery on AWS è distribuito all'interno di un Amazon VPC e configurato secondo le migliori pratiche per offrire sicurezza e alta disponibilità. Per ulteriori dettagli, consulta le best practice di sicurezza per il tuo VPC. Gli endpoint VPC consentono il transito non Internet tra i servizi e sono configurati laddove disponibili.

I gruppi di sicurezza vengono utilizzati per controllare e isolare il traffico di rete tra i componenti necessari per eseguire Workload Discovery su AWS.

Ti consigliamo di esaminare i gruppi di sicurezza e di limitare ulteriormente l'accesso, se necessario, una volta che la distribuzione è attiva e funzionante.

Amazon CloudFront

Questa soluzione implementa un'interfaccia utente per console Web ospitata in un bucket Amazon S3 distribuito da Amazon. CloudFront Utilizzando la funzionalità Origin Access Identity, i contenuti di questo bucket Amazon S3 sono accessibili solo tramite. CloudFront Per ulteriori informazioni, consulta la sezione Limitazione dell'accesso a un'origine Amazon S3 nella CloudFront Amazon Developer Guide.

CloudFront attiva ulteriori mitigazioni di sicurezza per aggiungere intestazioni di sicurezza HTTP a ciascuna risposta del visualizzatore. Per ulteriori dettagli, consulta Aggiungere o rimuovere intestazioni HTTP nelle risposte. CloudFront

Questa soluzione utilizza il CloudFront certificato predefinito che ha un protocollo di sicurezza minimo supportato di TLS v1.0. Per imporre l'uso di TLS v1.2 o TLS v1.3, è necessario utilizzare un certificato SSL personalizzato anziché il certificato predefinito. CloudFront Per ulteriori informazioni, consulta Come posso configurare la mia CloudFront distribuzione per utilizzare un certificato SSL/TLS.

Configurazione dell'applicazione

AWS AppSync

Workload Discovery su AWS APIs GraphQL prevede la convalida delle richieste fornita da AppSync AWS secondo le specifiche GraphQL. Inoltre, l'autenticazione e l'autorizzazione vengono implementate utilizzando IAM e Amazon Cognito, che utilizzano il JWT fornito da Amazon Cognito quando un utente si autentica correttamente nell'interfaccia utente Web.

AWS Lambda

Per impostazione predefinita, le funzioni Lambda sono configurate con la versione stabile più recente del runtime del linguaggio. Non vengono registrati dati o segreti sensibili. Le interazioni di servizio vengono eseguite con il privilegio minimo richiesto. I ruoli che definiscono questi privilegi non sono condivisi tra le funzioni.

OpenSearch Servizio Amazon

I domini Amazon OpenSearch Service sono configurati con una politica di accesso che limita l'accesso per bloccare qualsiasi richiesta non firmata effettuata al OpenSearch cluster di servizi. Questo è limitato a una singola funzione Lambda.

Il cluster OpenSearch di servizi è costruito con node-to-node la crittografia attivata per aggiungere un ulteriore livello di protezione dei dati oltre alle funzionalità di sicurezza del OpenSearch servizio esistenti.