Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS
SEC01-BP06 Implementazione automatizzata dei controlli di sicurezza standard - Pilastro della sicurezza
Guida all'implementazionePassaggi dell'implementazioneRisorse

SEC01-BP06 Implementazione automatizzata dei controlli di sicurezza standard

PDFRSS

Applica pratiche DevOps moderne mentre sviluppi e implementi controlli di sicurezza standard in tutti i tuoi ambienti AWS.  Definisci controlli e configurazioni di sicurezza standard utilizzando i modelli Infrastructure as Code (IaC), acquisisci le modifiche in un sistema di controllo della versione, testa le modifiche come parte di una pipeline CI/CD e automatizza l'implementazione delle modifiche nei tuoi ambienti AWS.

Risultato desiderato: i modelli IaC acquisiscono controlli di sicurezza standardizzati, inserendoli in un sistema di controllo delle versioni.  Le pipeline CI/CD si trovano in luoghi che rilevano le modifiche e automatizzano i test e l'implementazione degli ambienti AWS.  Sono presenti guardrail per rilevare e fornire avvisi in caso di configurazioni errate nei modelli prima di procedere all'implementazione.  I carichi di lavoro vengono implementati in ambienti dotati di controlli standard.  I team hanno accesso all'implementazione di configurazioni di servizio approvate tramite un meccanismo self-service.  Sono disponibili strategie di backup e ripristino sicure per le configurazioni di controllo, gli script e i dati correlati.

Anti-pattern comuni:

  • Apportare modifiche ai controlli di sicurezza standard manualmente, tramite una console Web o un'interfaccia a riga di comando.

  • Affidarsi ai singoli team del carico di lavoro per implementare manualmente i controlli definiti da un team centrale.

  • Affidarsi a un team di sicurezza centrale per implementare i controlli a livello di carico di lavoro su richiesta di un team del carico di lavoro.

  • Consentire agli stessi individui o team di sviluppare, testare e implementare script di automazione per il controllo della sicurezza senza un'adeguata separazione dei compiti o dei controlli e degli equilibri. 

Vantaggi dell'adozione di questa best practice: l'utilizzo di modelli per definire i controlli di sicurezza standard consente di tracciare e confrontare le modifiche nel tempo con un sistema di controllo delle versioni.  L'uso dell'automazione per testare e implementare le modifiche crea standardizzazione e prevedibilità, aumentando le possibilità di una corretta implementazione e riducendo le attività manuali ripetitive.  Fornire un meccanismo self-service per consentire ai team addetti al carico di lavoro di implementare servizi e configurazioni approvati riduce il rischio di configurazioni errate e usi impropri. Questo li aiuta anche a incorporare i controlli nelle prime fasi del processo di sviluppo.

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all'implementazione

Se segui le pratiche illustrate in SEC01-BP01 Separazione dei carichi di lavoro tramite account, avrai più Account AWS per diversi ambienti da gestire mediante AWS Organizations.  Sebbene ciascuno di questi ambienti e carichi di lavoro possa richiedere controlli di sicurezza distinti, puoi standardizzarne alcuni in tutta l'organizzazione.  Gli esempi includono l'integrazione di gestori dell'identità digitale centralizzati, la definizione di reti e firewall e la configurazione di posizioni standard per l'archiviazione e l'analisi dei log.  Allo stesso modo in cui puoi utilizzare infrastructure as code (IaC) per applicare lo stesso criterio dello sviluppo del codice dell'applicazione al provisioning dell'infrastruttura, puoi usare l'IaC anche per definire e implementare controlli di sicurezza standard.

Se possibile, definisci i controlli di sicurezza in modo dichiarativo, ad esempio in AWS CloudFormation, e archiviali in un sistema di controllo del codice sorgente.  Utilizza le pratiche DevOps per automatizzare l'implementazione dei controlli per versioni più prevedibili, test automatizzati mediante strumenti come AWS CloudFormation Guard e per il rilevamento della deviazione tra i controlli implementati e la configurazione desiderata.  Puoi utilizzare servizi come AWS CodePipeline, AWS CodeBuild e AWS CodeDeploy per creare una pipeline CI/CD. Prendi in considerazione le linee guida in Organizing Your AWS Environment Using Multiple Accounts per configurare questi servizi negli account, separati dalle altre pipeline di implementazione.

Puoi inoltre definire modelli per standardizzare la definizione e l'implementazione di Account AWS, servizi e configurazioni.  Questa tecnica consente a un team di sicurezza centrale di gestire queste definizioni e di fornirle ai team che si occupano dei carichi di lavoro attraverso un approccio self-service.  Un modo per raggiungere questo obiettivo è utilizzare Service Catalog, dove è possibile pubblicare modelli come prodotti che i team addetti al carico di lavoro possono integrare nelle proprie implementazioni della pipeline.  AWS Control Tower offre alcuni modelli e controlli come punto di partenza.  Control Tower offre anche la funzionalità Account Factory, che consente ai team addetti al carico di lavoro di creare di nuovi Account AWS mediante gli standard definiti da te.  Questa funzionalità aiuta a rimuovere le dipendenze da un team centrale per l'approvazione e la creazione di nuovi account quando vengono identificati come necessari dai team del carico di lavoro.  Potresti aver bisogno di questi account per isolare i diversi componenti del carico di lavoro in base a motivi quali la funzione che svolgono, la sensibilità dei dati elaborati o il loro comportamento.

Passaggi dell'implementazione

  1. Determina come archivierai e manterrai i tuoi modelli in un sistema di controllo delle versioni.

  2. Crea pipeline CI/CD per testare e implementare i tuoi modelli.  Definisci i test per verificare che non ci siano configurazioni errate e che i modelli siano conformi agli standard aziendali.

  3. Crea un catalogo di modelli standardizzati affinché i team addetti al carico di lavoro possano implementare Account AWS e fornire servizi in base alle tue esigenze.

  4. Implementa strategie di backup e ripristino sicure per le configurazioni di controllo, gli script e i dati correlati.

Risorse

Best practice correlate:

Documenti correlati:

Esempi correlati:

Strumenti correlati:

Hai bisogno di aiuto?

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.