SEC01-BP01 Separazione dei carichi di lavoro tramite account

Definisci guardrail e isolamento comuni tra ambienti (ad esempio quelli di produzione, sviluppo e test) e carichi di lavoro attraverso una strategia multi-account. La separazione a livello di account è fortemente consigliata, in quanto fornisce un solido margine di isolamento per la sicurezza, la fatturazione e l'accesso.

Risultato desiderato: una struttura di account che isola le operazioni cloud, i carichi di lavoro non correlati e gli ambienti in account separati, aumentando la sicurezza dell'infrastruttura cloud.

Anti-pattern comuni:

• Inserimento di più carichi di lavoro non correlati con diversi livelli di sensibilità dei dati nello stesso account.

• Struttura dell'unità organizzativa (UO) scarsamente definita.

Vantaggi dell'adozione di questa best practice:

• Riduzione dell'impatto in caso di accesso involontario a un carico di lavoro.

• Governance centralizzata dell'accesso a risorse, regioni e servizi AWS.

• Garanzia di sicurezza dell'infrastruttura cloud con policy e amministrazione centralizzata dei servizi di sicurezza.

• Processo automatizzato di creazione e mantenimento dell'account.

• Audit centralizzato della tua infrastruttura per la conformità e i requisiti normativi.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

Gli Account AWS offrono un confine di isolamento della sicurezza tra carichi di lavoro o risorse che operano a livelli di sensibilità diversi. AWS fornisce strumenti per gestire i carichi di lavoro del cloud su larga scala attraverso una strategia multi-account per sfruttare questo margine di isolamento. Per avere una guida su concetti, modelli e implementazione di una strategia multi-account su AWS, consulta Organizing Your AWS Environment Using Multiple Accounts (Organizzazione dell'ambiente AWS con l'utilizzo di account multipli).

Se si dispone di più Account AWS, gli account devono essere organizzati in una gerarchia definita da livelli di unità organizzative (UO). I controlli di sicurezza possono quindi essere organizzati e applicati alle unità organizzative e agli account membri, stabilendo controlli preventivi coerenti sugli account membri dell'organizzazione. I controlli di sicurezza sono ereditati e consentono di filtrare le autorizzazioni disponibili per gli account membro situati ai livelli inferiori di una gerarchia di unità organizzative. Un buon progetto sfrutta questa ereditarietà per ridurre il numero e la complessità delle policy di sicurezza necessarie per ottenere i controlli desiderati per ogni account membro.

AWS Organizations e AWS Control Tower sono due servizi che possono essere utilizzati per implementare e gestire questa struttura multi-account nel proprio ambiente AWS. AWS Organizations consente di organizzare gli account in una gerarchia definita da uno o più livelli di unità organizzative, ognuna delle quali contiene una serie di account membri. Le policy di controllo dei servizi consentono all'amministratore dell'organizzazione di stabilire controlli preventivi granulari sugli account dei membri, mentre AWS Config può essere utilizzato per stabilire controlli proattivi e investigativi sugli account dei membri. Molti servizi AWS si integrano con AWS Organizations per fornire controlli amministrativi delegati e per eseguire attività specifiche del servizio su tutti gli account dei membri dell'organizzazione.

Posizionato sopra AWS Organizations, AWS Control Tower fornisce un'impostazione delle best practice in un solo clic per un ambiente AWS multi-account con una zona di destinazione. La zona di destinazione è il punto di ingresso nell'ambiente multi-account stabilito da Control Tower. Control Tower offre diversi vantaggi rispetto a AWS Organizations. Tre sono i vantaggi che consentono di migliorare la governance degli account:

• Guardrail di sicurezza obbligatori integrati che vengono applicati automaticamente agli account ammessi nell'organizzazione.

• Guardrail opzionali che possono essere attivati o disattivati per un determinato insieme di unità organizzative.

• AWS Control Tower Account Factory fornisce l'implementazione automatica di account contenenti linee di base e opzioni di configurazione pre-approvate all'interno dell'organizzazione.

Passaggi dell'implementazione

1. Progettazione di una struttura organizzativa unitaria: una struttura di unità organizzative opportunamente studiata riduce l'onere di gestione necessario per creare e mantenere le policy di controllo dei servizi e gli altri controlli di sicurezza. La struttura delle unità organizzative deve essere allineata alle esigenze aziendali, alla sensibilità dei dati e alla struttura del carico di lavoro..

2. Creazione di una zona di destinazione per l'ambiente multi-account: una zona di destinazione fornisce una base di sicurezza e infrastruttura coerente da cui l'organizzazione può sviluppare, lanciare e implementare rapidamente i carichi di lavoro. Puoi utilizzare una zona di destinazione personalizzata o AWS Control Tower per orchestrare il tuo ambiente.

3. Realizzazione di guardrail: implementa guardrail di sicurezza coerenti per il tuo ambiente attraverso la zona di destinazione. AWS Control Tower offre un elenco di controlli implementabili obbligatori e facoltativi. I controlli obbligatori vengono implementati automaticamente quando si utilizza Control Tower. Esamina l'elenco dei controlli altamente consigliati e facoltativi e adotta quelli più adatti alle tue esigenze.

4. Accesso limitato a Regioni aggiunte di recente: per le nuove Regioni AWS, le risorse IAM, ad esempio utenti e ruoli, verranno propagate solo alle Regioni specificate. Questa azione può essere eseguita tramite la console quando si utilizza Control Tower oppure regolando le policy di autorizzazione IAM in AWS Organizations.

5. Presa in esame di AWS CloudFormation StackSets: StackSets consente di implementare risorse, tra cui policy, ruoli e gruppi IAM in Account AWS e Regioni differenti a partire da un modello approvato.

Risorse

Best practice correlate:

• SEC02-BP04 Fai affidamento su un provider di identità centralizzato

Documenti correlati:

• AWS Control Tower

• Linee guida sugli audit di sicurezza AWS

• IAM Best Practices(Best Practice IAM)

• Use CloudFormation StackSets to provision resources across multiple Account AWS and regions (Utilizzo di StackSet CloudFormation per il provisioning delle risorse su più account e regioni AWS)

• Organizations FAQ (Domande frequenti sulle organizzazioni)

• AWS Organizations Concetti e terminologia

• Best Practices for Service Control Policies in an AWS Organizations Multi-Account Environment (Best practice per le policy di controllo dei servizi di AWS Organizations in un ambiente multi-account)

• Guida di riferimento per la gestione degli account AWS

• Organizzazione dell'ambiente AWS con l'utilizzo di account multipli

Video correlati:

• Enable AWS adoption at scale with automation and governance (Consentire l'adozione di AWS su larga scala con l'automazione e la governance)

• Security Best Practices the Well-Architected Way

• Building and Governing Multiple Accounts using AWS Control Tower (Creazione e gestione di account multipli con AWS Control Tower)

• Enable Control Tower for Existing Organizations (Abilitare la Control Tower per le organizzazioni esistenti)

Workshop correlati:

• Control Tower Immersion Day (Giornata di approfondimento su Control Tower)