Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Progettazione della piattaforma
Crea un ambiente cloud multi-account sicuro e conforme con prodotti cloud confezionati e riutilizzabili.
Per supportare l'innovazione abilitando i team di sviluppo, la piattaforma deve adattarsi rapidamente per stare al passo con le esigenze del business. (Vedi il punto di vista aziendale AWS di CAF). Deve farlo pur essendo sufficientemente flessibile da adattarsi alle esigenze di gestione dei prodotti, sufficientemente rigido da rispettare i vincoli di sicurezza e sufficientemente veloce da soddisfare le esigenze operative. Questo processo richiede la creazione di un ambiente cloud multi-account conforme con funzionalità di sicurezza avanzate e prodotti cloud confezionati e riutilizzabili.
Un ambiente cloud efficace consente ai team di fornire facilmente nuovi account, garantendo al contempo che tali account siano conformi alle politiche organizzative. Un set curato di prodotti cloud ti consente di codificare le migliori pratiche, ti aiuta nella governance e aiuta ad aumentare la velocità e la coerenza delle tue implementazioni cloud. Implementa i tuoi modelli di best practice e le tue barriere investigative e preventive. Integra il tuo ambiente cloud con il tuo panorama esistente per abilitare i casi d'uso del cloud ibrido desiderati.
Automatizza il flusso di lavoro di provisioning degli account e utilizza più account per supportare i tuoi obiettivi di sicurezza e governance. Configura la connettività tra i tuoi ambienti locali e cloud, nonché tra diversi account cloud. Implementa la federazione
Valuta e certifica i servizi cloud per il consumo in linea con gli standard aziendali e la gestione della configurazione. Package e migliora continuamente gli standard aziendali sotto forma di prodotti e servizi consumabili implementabili in modalità self-service. Sfrutta l'infrastruttura come codice (IaC)
Il completamento delle attività illustrate nelle sezioni seguenti richiede la creazione di capacità e team per far evolvere le organizzazioni verso la progettazione di piattaforme moderne. Per i dettagli tecnici, consulta il AWS white paper Establishing your Cloud Foundation on.
Start (Avvio)
Costruisci una landing zone e schiera guardrail
Quando iniziate il vostro percorso verso una progettazione avanzata delle piattaforme, dovete innanzitutto installare nella vostra landing zone dei guardrail investigativi e preventivi, come definito nella funzionalità dell'architettura della piattaforma. I Guardrail garantiscono che gli standard organizzativi non vengano violati in quanto i proprietari delle applicazioni utilizzano risorse cloud. Con questo meccanismo, automatizzi il flusso di lavoro di provisioning degli account per utilizzare più account che supportano i tuoi obiettivi di sicurezza e governance.
Stabilisci l'autenticazione
Implementa la gestione delle identità e il controllo degli accessi
Implementa la tua rete
In base ai progetti di architettura della piattaforma, crea un account di rete centralizzato per controllare il traffico in entrata e in uscita da e verso il tuo ambiente. Ti consigliamo di progettare le reti in modo da garantire rapidamente la connettività tra la rete locale e AWS gli ambienti, da e verso Internet e tra i tuoi ambienti. AWS La centralizzazione della gestione della rete consente di implementare controlli di rete per isolare le reti e la connettività in tutto l'ambiente utilizzando controlli preventivi e reattivi.
Raccogli, aggrega e proteggi i dati relativi a eventi e registri
Usa l'osservabilità CloudWatch tra più account di Amazon. Fornisce un'interfaccia unificata per cercare, visualizzare e analizzare metriche, log e tracce tra gli account collegati ed elimina i limiti degli account.
Se la tua organizzazione ha requisiti di conformità specifici per il controllo e la sicurezza centralizzati dei log, valuta la possibilità di configurare un account dedicato all'archiviazione dei log. Questo offre un repository centralizzato e crittografato specifico per i dati di registro. Migliora la sicurezza di questo archivio ruotando regolarmente le chiavi di crittografia.
Implementa politiche solide per proteggere i dati di registro sensibili, utilizzando tecniche di mascheramento, se necessario. Utilizza l'aggregazione dei log per i registri di conformità, sicurezza e controllo e assicurati l'uso di barriere e costrutti di identità rigorosi per prevenire modifiche non autorizzate alle configurazioni dei log.
Stabilisci i controlli
In conformità con le definizioni dal punto di vista della sicurezza AWS CAF, implementa funzionalità di sicurezza
Implementa la gestione finanziaria nel cloud
In conformità con la prospettiva di AWS CAF Governance, implementa tag di allocazione dei AWS costi e Cost Categories che allineano la strategia di tagging della tua organizzazione con la responsabilità finanziaria per il consumo del cloud. AWS Le Cost Categories ti consentono di addebitare o mostrare gli addebiti del cloud ai centri di costo interni utilizzando strumenti come AWS Cost Explorer
Avanzate
Costruisci l'automazione dell'infrastruttura
Prima di procedere, valuta e certifica i servizi cloud per il consumo in linea con l'architettura della tua piattaforma. Quindi, impacchetta e migliora continuamente gli standard aziendali come prodotti implementabili e servizi consumabili e utilizza l'infrastruttura come codice (IaC) per definire le configurazioni in modo dichiarativo. L'automazione dell'infrastruttura imita i cicli di sviluppo del software consentendo l'accesso a servizi specifici in ciascun account con il controllo degli accessi basato sui ruoli (RBAC) o il controllo degli accessi basato sugli attributi (ABAC). Implementate un metodo per fornire rapidamente nuovi account e allinearli alle vostre capacità di gestione dei servizi e degli incidenti utilizzando o sviluppando funzionalità self-service. APIs Automatizza l'integrazione di rete e l'allocazione degli IP man mano che vengono creati gli account per garantire la conformità e la sicurezza della rete. Integra nuovi account con la tua soluzione di gestione dei servizi IT (ITSM) utilizzando connettori nativi configurati per funzionare. AWS Aggiorna i playbook e i runbook in base alle esigenze.
Fornisci servizi di osservabilità centralizzati
Per ottenere un'osservabilità efficace sul cloud, la piattaforma deve supportare la ricerca e l'analisi in tempo reale dei dati di registro locali e centralizzati. Con la scalabilità delle operazioni, la capacità della piattaforma di indicizzare, visualizzare e interpretare log, metriche e tracce è fondamentale per trasformare i dati grezzi in informazioni fruibili.
Correlando log, metriche e tracce, puoi estrarre conclusioni utilizzabili e sviluppare risposte mirate e informate. Stabilisci regole che consentano risposte proattive agli eventi o ai modelli di sicurezza identificati nei log, nelle metriche o nelle tracce. Man mano che AWS le tue soluzioni si espandono, assicurati che la tua strategia di monitoraggio sia scalabile di pari passo per mantenere e migliorare le tue capacità di osservabilità.
Implementa la gestione dei sistemi e la governance dell'AMI
Organizations che utilizzano istanze Amazon Elastic Compute Cloud (Amazon EC2) richiedono ampiamente strumenti operativi per gestire le istanze su larga scala. La gestione delle risorse software, il rilevamento e la risposta degli endpoint, la gestione dell'inventario, la gestione delle vulnerabilità e la gestione degli accessi sono funzionalità fondamentali per molte organizzazioni. Queste funzionalità vengono spesso fornite tramite agenti software installati sulle istanze. Sviluppa la capacità di impacchettare agenti e altre configurazioni personalizzate in Amazon Machine Images (AMIs) e renderle AMIs disponibili ai consumatori della piattaforma cloud. Utilizza i controlli preventivi e investigativi che ne regolano l'uso. AMIs AMIs dovrebbe contenere strumenti che consentano la gestione di EC2 istanze di lunga durata su larga scala, in particolare per EC2 carichi di lavoro Amazon mutabili che non consumano nuove AMIs istanze su base regolare. Puoi utilizzarlo AWS Systems Managersu larga scala per automatizzare gli aggiornamenti degli agenti, raccogliere l'inventario di sistema, accedere alle EC2 istanze in remoto e correggere le vulnerabilità del sistema operativo.
Gestisci l'uso delle credenziali
In conformità con il punto di vista della sicurezza AWS CAF, implementa ruoli e credenziali temporanee. Utilizza gli strumenti per gestire l'accesso remoto alle istanze o ai sistemi locali utilizzando un agente preinstallato senza archiviare segreti. Riduci la dipendenza da credenziali a lungo termine e cerca credenziali hardcoded nei tuoi modelli IaC. Se non puoi utilizzare credenziali temporanee, utilizza strumenti programmatici come i token delle applicazioni e le password dei database per automatizzare la rotazione e la gestione delle credenziali. Codifica utenti, gruppi e ruoli utilizzando i principi del privilegio minimo con IaC e impedisci la creazione manuale di account di identità utilizzando i guardrail.
Stabilisci strumenti di sicurezza
Gli strumenti di monitoraggio della sicurezza dovrebbero supportare il monitoraggio granulare della sicurezza su infrastruttura, applicazioni e carichi di lavoro e fornire viste aggregate per l'analisi dei modelli. Come per tutti gli altri strumenti di gestione della sicurezza, è necessario estendere gli strumenti XDR (Extended Detection and Response) per fornire funzioni per valutare, rilevare, rispondere e porre rimedio alla sicurezza di applicazioni, risorse e ambienti AWS in conformità ai requisiti definiti nella prospettiva della sicurezza CAF.AWS
Excel
Crea e distribuisci costrutti di identità con l'automazione
Codifica e versione di costrutti di identità come ruoli, politiche e modelli con gli strumenti IaC. Utilizza gli strumenti di convalida delle policy per verificare la presenza di avvisi di sicurezza, errori, avvisi generali, modifiche suggerite alle policy IAM e altri risultati. Se del caso, implementa e rimuovi costrutti di identità che forniscono un accesso temporaneo all'ambiente in modo automatizzato e vieta l'implementazione da parte di individui che utilizzano la console.
Aggiungi rilevamento e avvisi per modelli anomali in tutti gli ambienti
Valuta in modo proattivo gli ambienti alla ricerca di vulnerabilità note e aggiungi il rilevamento di eventi e modelli di attività insoliti. Esamina i risultati e formula raccomandazioni ai team che si occupano dell'architettura della piattaforma per apportare modifiche che favoriscano ulteriore efficienza e innovazione.
Analizza e modella le minacce
Implementa il monitoraggio e la misurazione continui rispetto ai benchmark di settore e di sicurezza in conformità con i requisiti dal punto di vista della sicurezza AWS CAF. Quando implementate il vostro approccio alla strumentazione, stabilite quali tipi di dati e informazioni sugli eventi saranno più adatti alle vostre funzioni di gestione della sicurezza. Questo monitoraggio comprende diversi vettori di attacco, incluso l'utilizzo del servizio. Le basi della sicurezza devono includere una funzionalità completa per la registrazione e l'analisi sicure in tutti gli ambienti con più account, che includa la possibilità di correlare gli eventi provenienti da più fonti. Impedisci le modifiche a questa configurazione con controlli e guardrail specifici.
Raccogli, rivedi e perfeziona continuamente le autorizzazioni
Registra le modifiche ai ruoli e alle autorizzazioni delle identità e implementa avvisi quando i guardrail investigativi rilevano deviazioni dallo stato di configurazione previsto. Utilizzate strumenti di identificazione aggregata e basata su schemi per esaminare la raccolta centralizzata di eventi e ridefinire le autorizzazioni secondo necessità.
Seleziona, misura e migliora continuamente le metriche della tua piattaforma
Per consentire il corretto funzionamento della piattaforma, stabilisci e rivedi regolarmente metriche complete. Assicurati che siano in linea con gli obiettivi organizzativi e le esigenze degli stakeholder. Tieni traccia delle prestazioni e delle metriche di miglioramento della piattaforma e combina parametri operativi come patch, backup e conformità utilizzando gli indicatori di abilitazione del team e di adozione degli strumenti.
Utilizza l'osservabilità CloudWatch tra account per una gestione efficiente delle metriche. Questo servizio semplifica l'aggregazione e la visualizzazione dei dati per consentire decisioni informate e miglioramenti mirati. Utilizza queste metriche come indicatori di successo e fattori di cambiamento per promuovere un ambiente di miglioramento continuo.
