SEC06-BP05 Automatizzazione della protezione delle risorse di calcolo

Automatizza le operazioni di protezione delle risorse di calcolo per ridurre la necessità di intervento umano. Usa la scansione automatica per rilevare potenziali problemi all'interno delle tue risorse di calcolo e rimedia con risposte programmatiche automatiche o operazioni di gestione del parco.  Incorpora l'automazione nei tuoi processi CI/CD per implementare carichi di lavoro affidabili con dipendenze aggiornate.

Risultato desiderato: i sistemi automatici eseguono tutte le scansioni e le patch delle risorse di calcolo. Si utilizza la verifica automatica per controllare che le immagini e le dipendenze del software provengano da fonti affidabili e non siano state manomesse. I carichi di lavoro vengono controllati automaticamente per verificare la presenza di dipendenze aggiornate e vengono firmati per stabilire l'affidabilità negli ambienti di calcolo AWS.  Le correzioni automatiche vengono avviate al rilevamento di risorse non conformi. 

Anti-pattern comuni:

• Adottare la pratica dell'infrastruttura immutabile, senza però disporre di una soluzione di patch di emergenza o di sostituzione dei sistemi di produzione.

• Utilizzare l'automazione per correggere le risorse non correttamente configurate, ma non avere un meccanismo di annullamento manuale.  Possono verificarsi situazioni in cui è necessario modificare i requisiti e sospendere le automazioni fino a quando non si modificano.

Vantaggi derivanti dall'adozione di questa best practice: l'automazione può ridurre il rischio di accesso alle risorse di calcolo non autorizzato e del loro utilizzo.  Contribuisce a evitare che le configurazioni errate si diffondano negli ambienti di produzione e a rilevare e correggere tali configurazioni nel caso in cui si verifichino.  L'automazione aiuta anche a rilevare l'accesso non autorizzato delle risorse di calcolo e il loro utilizzo, riducendo i tempi di risposta.  In questo modo è possibile ridurre la portata complessiva dell'impatto del problema.

Livello di rischio associato alla mancata adozione di questa best practice: medio

Guida all'implementazione

È possibile applicare le automazioni descritte nelle pratiche del principio della sicurezza per proteggere le risorse di calcolo. SEC06-BP01 Gestione delle vulnerabilità descrive come utilizzare Amazon Inspector sia nelle pipeline CI/CD sia per la scansione continua degli ambienti di runtime alla ricerca di CVE (Common Vulnerabilities and Exposures).  Puoi utilizzare AWS Systems Manager per applicare le patch o per eseguire una nuova implementazione da immagini nuove attraverso runbook automatizzati per mantenere il parco computer aggiornato con il software e le librerie più recenti.  Utilizza queste tecniche per ridurre la necessità di processi manuali e l'accesso interattivo alle tue risorse di elaborazione.  Vedi SEC06-BP03 Riduzione della gestione manuale e dell'accesso interattivo per saperne di più.

L'automazione svolge anche un ruolo nell'implementazione di carichi di lavoro affidabili, descritti in SEC06-BP02 Provisioning di calcolo da immagini rafforzate e SEC06-BP04 Convalida dell'integrità del software.  Puoi utilizzare servizi come EC2 Image Builder, AWS Signer, AWS CodeArtifact e Amazon Elastic Container Registry (ECR) per scaricare, verificare, creare e archiviare immagini consolidate e approvate e dipendenze di codice.   Oltre a Inspector, ognuno di questi può svolgere un ruolo nel processo CI/CD, in modo che il carico di lavoro arrivi in produzione solo quando è confermato che le sue dipendenze sono aggiornate e provengono da fonti affidabili.  Il carico di lavoro è inoltre firmato in modo che gli ambienti di calcolo AWS, come AWS Lambda e Amazon Elastic Kubernetes Service (EKS) possano verificare che non sia stato manomesso prima di consentirne l'esecuzione.

Oltre a questi controlli preventivi, è possibile utilizzare l'automazione nei controlli investigativi anche per le risorse di calcolo.  Ad esempio, AWS Security Hub offre lo standard NIST 800-53 Rev. 5 che include controlli come [EC2.8] istanze EC2 che dovrebbero utilizzare Instance Metadata Service Version 2 (IMDSv2).  IMDSv2 utilizza le tecniche di autenticazione della sessione, il blocco delle richieste che contengono un'intestazione X-Forwarded-For HTTP e un TTL di rete pari a 1 per bloccare il traffico proveniente da fonti esterne per recuperare informazioni sull'istanza EC2. Questo controllo in Security Hub può rilevare quando le istanze EC2 utilizzano IMDSv1 e avviare una correzione automatica. Scopri di più sul rilevamento automatico e sulle correzioni in SEC04-BP04 Avvio della riparazione delle risorse non conformi.

Passaggi dell'implementazione

1. Automatizza la creazione di AMI sicure, conformi e rafforzate con EC2 Image Builder  È possibile produrre immagini che incorporano i controlli dei Benchmark del Center for Internet Security (CIS) o gli standard della Security Technical Implementation Guide (STIG) dalle immagini di base di AWS e dei partner APN.

2. Automatizzazione della gestione delle configurazioni. Applica e convalida automaticamente le configurazioni sicure nelle risorse di calcolo utilizzando un servizio o uno strumento di gestione della configurazione. 

   1. Gestione automatizzata della configurazione tramite AWS Config

   2. Gestione automatizzata della sicurezza e della conformità utilizzando AWS Security Hub

3. Automatizza l'applicazione di patch o la sostituzione delle istanze Amazon Elastic Compute Cloud (Amazon EC2). AWS Systems Manager Patch Manager automatizza il processo di patch delle istanze gestite con aggiornamenti di sicurezza e di altro tipo. Puoi utilizzare il gestore patch per applicare patch sia per i sistemi operativi sia per le applicazioni.

   1. AWS Systems Manager Patch Manager

4. Automatizza la scansione delle risorse di calcolo alla ricerca di CVE (Common Vulnerabilities and Exposures) e integra le soluzioni di scansione della sicurezza nella tua pipeline di compilazione.

   1. Amazon Inspector

   2. scansione delle immagini ECR

5. Prendi in considerazione Amazon GuardDuty per il rilevamento automatico di malware e minacce per proteggere le risorse di calcolo. GuardDuty può anche identificare potenziali problemi quando una funzione AWS Lambda viene richiamata nel tuo ambiente AWS. 

   1. Amazon GuardDuty

6. Prendi in considerazione le soluzioni dei partner AWS. I partner AWS offrono prodotti leader nel settore che sono equivalenti, identici o si integrano ai controlli esistenti negli ambienti on-premise. Questi prodotti integrano i servizi AWS esistenti per permettere di implementare un'architettura di sicurezza completa e un'esperienza più fluida nel cloud e negli ambienti on-premise.

   1. Sicurezza dell'infrastruttura

Risorse

Best practice correlate:

• SEC01-BP06 Implementazione automatizzata dei controlli di sicurezza standard

Documenti correlati:

• Get the full benefits of IMDSv2 and disable IMDSv1 across your AWS infrastructure

Video correlati:

• Security best practices for the Amazon EC2 instance metadata service (Best practice di sicurezza per il servizio di metadati dell'istanza Amazon EC2)