Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza e conformità
La sicurezza e la conformità sono una responsabilità condivisa tra AMS Advanced e te, in qualità di nostro cliente. La modalità AMS Advanced Direct Change non modifica questa responsabilità condivisa.
Sicurezza in modalità Direct Change
AMS Advanced offre un valore aggiunto con una landing zone prescrittiva, un sistema di gestione delle modifiche e una gestione degli accessi. Quando si utilizza la modalità Direct Change, questo modello di responsabilità non cambia. Tuttavia, è necessario essere consapevoli dei rischi aggiuntivi.
Il ruolo «Aggiornamento» della modalità Direct Change (vediRuoli e politiche IAM in modalità Direct Change) fornisce autorizzazioni elevate che consentono all'entità che vi ha accesso di apportare modifiche alle risorse di infrastruttura dei servizi supportati da AMS presenti nell'account. Con autorizzazioni elevate, esistono rischi diversi a seconda della risorsa, del servizio e delle azioni, specialmente in situazioni in cui viene apportata una modifica errata a causa di supervisione, errore o mancanza di aderenza al processo interno e al framework di controllo.
In base agli standard tecnici AMS, sono stati identificati i seguenti rischi e vengono formulate le seguenti raccomandazioni. Informazioni dettagliate sugli standard tecnici AMS sono disponibili all'indirizzo AWS Artifact. Per accedervi AWS Artifact, contattate il vostro CSDM per ricevere istruzioni o consultate la sezione Guida introduttiva
AMS-STD-001: etichettatura
| Standard | Si rompe | Rischi | Raccomandazioni |
|---|---|---|---|
| Tutte le risorse di proprietà di AMS devono avere la seguente coppia chiave-valore | Sì. Breaks for CloudFormation,CloudTrail, EFS OpenSearch, CloudWatch Logs, SQS, SSM, Tagging api, poiché questi servizi non supportano la Lo standard riportato nella tabella AMS-STD-003, che segue, afferma che è possibile modificare l'ambiente e, ma non per le risorse di proprietà di AMS. AppId AppName Non realizzabile tramite le autorizzazioni IAM. |
L'etichettatura errata delle risorse AMS può influire negativamente sulle operazioni di segnalazione, avviso e applicazione di patch delle risorse, da parte di AMS. | L'accesso deve essere limitato per apportare modifiche ai requisiti di etichettatura predefiniti di AMS per chiunque non sia un team AMS. |
Tutti i tag di proprietà di AMS diversi da quelli sopra elencati devono avere prefissi simili a «o in case». AMS* MC* upper/lower/mix | |||
| I tag presenti negli stack di proprietà di AMS non devono essere eliminati in base alle richieste di modifica. | Sì. CloudFormation non supporta la aws:TagsKey condizione di limitare i tag per lo spazio dei nomi AMS. | ||
| Non è consentito utilizzare la convenzione di denominazione dei tag AMS nella propria infrastruttura, come indicato nella tabella AMS-STD-002, successiva. | Sì. Breaks for CloudFormation, CloudTrail, Elastic File System (EFS), CloudWatch Logs OpenSearch, Amazon Simple Queue Service (SQS), Amazon EC2 Systems Manager (SSM), Tagging API; questi servizi non aws:TagsKey supportano la condizione di limitazione del tagging per lo spazio dei nomi AMS. |
AMS-STD-002: Identity and Access Management (IAM)
| Standard | Si rompe | Rischi | Raccomandazioni |
|---|---|---|---|
| 4.7 Non devono essere consentite azioni che aggirano il processo di gestione delle modifiche (RFC), come l'avvio o l'arresto di un'istanza, la creazione di bucket S3 o istanze RDS e così via. Gli account in modalità sviluppatore e i servizi in modalità Self-Service Provisioned (SSPS) sono esentati a condizione che le azioni vengano eseguite entro i limiti del ruolo assegnato. | Sì. Lo scopo delle azioni self-service consente di eseguire azioni aggirando il sistema RFC AMS. |
Il modello di accesso sicuro è un aspetto tecnico fondamentale di AMS e un utente IAM per l'accesso da console o programmatico elude questo controllo di accesso. L'accesso degli utenti IAM non è monitorato dalla gestione delle modifiche di AMS. L'accesso è registrato CloudTrail solo. | L'utente IAM deve disporre di un periodo di tempo limitato e concedere le autorizzazioni in base al privilegio minimo e. need-to-know |
AMS-STD-003: Sicurezza di rete
| Standard | Si rompe | Rischi | Raccomandazioni |
|---|---|---|---|
| S2. L'IP elastico sulle EC2 istanze deve essere utilizzato solo con un accordo formale di accettazione del rischio o con un caso d'uso valido da parte dei team interni. | Sì. Le azioni self-service consentono di associare e dissociare gli indirizzi IP elastici (EIP). |
L'aggiunta di un IP elastico a un'istanza la espone a Internet. Ciò aumenta il rischio di divulgazione di informazioni e attività non autorizzate. | Blocca il traffico non necessario verso quell'istanza tramite i gruppi di sicurezza e verifica che i gruppi di sicurezza siano collegati all'istanza per garantire che consenta il traffico solo se necessario per motivi aziendali. |
| S14. È possibile consentire il peering VPC e le connessioni endpoint tra account che appartengono allo stesso cliente. | Sì. Non possibile tramite la policy IAM. |
Il traffico in uscita dal tuo account AMS non viene monitorato una volta che esce dal confine dell'account. | Ti consigliamo di effettuare il peering solo con account AMS di tua proprietà. Se il tuo caso d'uso lo richiede, utilizza i gruppi di sicurezza e le tabelle di routing per limitare gli intervalli, le risorse e i tipi di traffico che possono provenire dalla connessione pertinente. |
| La base AMS AMIs può essere condivisa tra account gestiti da AMS e non gestiti, purché sia possibile verificare che siano di proprietà della stessa organizzazione. AWS | AMIs può contenere dati sensibili e può essere esposto ad account indesiderati. | Condividi solo AMIs con l'account di proprietà della tua organizzazione o convalida il caso d'uso e le informazioni sull'account prima di condividerle all'esterno dell'organizzazione. |
AMS-STD-007: Registrazione
| Standard | Si rompe | Rischi | Raccomandazioni |
|---|---|---|---|
| 19. Qualsiasi registro può essere inoltrato da un account AMS a un altro account AMS dello stesso cliente. | Sì. La potenziale insicurezza dei registri dei clienti, in quanto la verifica degli account dei clienti appartenenti alla stessa organizzazione non può essere ottenuta mediante la politica IAM. |
I log possono contenere dati sensibili e possono essere esposti ad account indesiderati. | Condividi i log solo con gli account gestiti dalla tua AWS organizzazione o convalida il caso d'uso e le informazioni sull'account prima di condividerli all'esterno dell'organizzazione. Possiamo verificarlo in diversi modi, verificalo con il tuo gestore di fornitura dei servizi cloud (CSDM). |
| 20. Qualsiasi registro può essere inoltrato da AMS a un account diverso da AMS solo se l'account non AMS è di proprietà dello stesso cliente AMS (confermando che si tratta dello stesso AWS Organizations account o abbinando il dominio e-mail al nome dell'azienda del cliente e all'account collegato a PAYER) utilizzando strumenti interni. |
Collabora con il tuo team interno di autorizzazione e autenticazione per controllare di conseguenza le autorizzazioni relative ai ruoli della modalità Direct Change.
Conformità in modalità Direct Change
La modalità Direct Change è compatibile con i carichi di lavoro di produzione e non di produzione. È responsabilità dell'utente garantire il rispetto di tutti gli standard di conformità (ad esempio, PHI, HIPAA, PCI) e garantire che l'uso della modalità Direct Change sia conforme ai framework e agli standard di controllo interni.
