Governance

La governance della sicurezza, come sottoinsieme dell'approccio generale, è mirata a supportare gli obiettivi aziendali definendo policy e controllando l'operato per contribuire alla gestione del rischio. Realizza la gestione del rischio seguendo un approccio a più livelli agli obiettivi di controllo di sicurezza, in cui ogni livello si sovrappone al precedente. Comprendere il modello di responsabilità condivisa AWS rappresenta il livello di partenza. Questa conoscenza offre una visione chiara delle responsabilità del cliente e di cosa viene ereditato da AWS. Una risorsa utile sono gli artefatti AWS, che consentono l'accesso on demand ai report di sicurezza e conformità di AWS e la selezione degli accordi online.

Soddisfa la maggior parte dei tuoi obiettivi di controllo del livello successivo. È qui che si trova la funzionalità della piattaforma. Ad esempio, questo livello include il processo di provisioning automatico dell'account AWS, l'integrazione con un gestore dell'identità digitale come AWS IAM Identity Center e i controlli di rilevamento comuni. Qui si trovano anche alcuni degli output del processo di governance della piattaforma. Se vuoi iniziare a usare un nuovo servizio AWS, aggiorna le policy di controllo dei servizi (SCP) nel servizio AWS Organizations per fornire i guardrail per l'uso iniziale del servizio. Puoi usare altri SCP per implementare obiettivi di controllo della sicurezza comuni, a cui spesso ci si riferisce con il nome di invarianti di sicurezza. Si tratta di obiettivi o di configurazioni di controllo che applichi a più account, unità organizzative o all'intera organizzazione AWS. Esempi tipici sono: limitare le regioni di esecuzione dell'infrastruttura o prevenire la disattivazione dei controlli di rilevamento. Questo livello intermedio contiene anche policy codificate come regole di configurazione o verifiche nelle pipeline.

Il livello superiore è quello in cui i team di prodotto soddisfano gli obiettivi di controllo. Questo poiché l'implementazione avviene nelle applicazioni controllate dai team di prodotto. Potrebbe trattarsi dell'implementazione della convalida degli input in un'applicazione o della verifica del corretto passaggio dell'identità tra i microservizi. Anche se il team di prodotto possiede la configurazione, può ancora ereditare alcune funzionalità dal livello intermedio.

Ogni volta che implementi il controllo, l'obiettivo non cambia: gestire il rischio. Una gamma di framework di gestione del rischio si applica a regioni, settori o tecnologie specifici. Il tuo obiettivo principale: mettere in evidenza il rischio in base a probabilità e conseguenze. Questo è il rischio intrinseco. Puoi quindi definire un obiettivo di controllo che riduca la probabilità, le conseguenze o entrambi. Quindi, adottando un controllo, quale sarà probabilmente il rischio risultante. Questo è il rischio residuo. Gli obiettivi di controllo possono essere applicati a uno o più carichi di lavoro. Il diagramma seguente mostra una matrice di rischio tipica. La probabilità si basa sulla frequenza di casi precedenti, mentre le conseguenze si basano sui costi finanziari, reputazionali e in termini di tempo dell'evento.

Risk matrix showing likelihood vs. consequence, with risk levels from low to critical.

Figura 2: matrice della probabilità del livello di rischio

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Responsabilità condivisa

Gestione e separazione degli account AWS