Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Caso di studio indicativo per raggiungere la maturità di Essential Eight su AWS
Questo capitolo presenta un case study indicativo per un'agenzia governativa che punta alla maturità di Essential Eight. AWS
**Topics**
+ [Panoramica dello scenario e dell'architettura](scenario.md)
+ [Esempio di carico di lavoro: data lake senza server](serverless-data-lake.md)
+ [Esempio di carico di lavoro: servizio web containerizzato](containerised-web-service.md)
+ [Esempio di carico di lavoro: software COTS su Amazon EC2](cots-software.md)
# Panoramica dello scenario e dell'architettura
L'agenzia governativa ha tre carichi di lavoro nei seguenti settori: Cloud AWS
+ Un [data lake serverless](serverless-data-lake.md) che utilizza Amazon Simple Storage Service (Amazon S3) per lo storage e AWS Lambda per le operazioni di estrazione, trasformazione e caricamento (ETL)
+ Un [servizio Web containerizzato](containerised-web-service.md) che viene eseguito su Amazon Elastic Container Service (Amazon ECS) e utilizza un database in Amazon Relational Database Service (Amazon RDS)
+ Un [software commerciale off-the-shelf (COTS)](cots-software.md) in esecuzione su Amazon EC2
Un *team cloud* fornisce una piattaforma centralizzata per l'organizzazione, che gestisce i servizi di base per l'ambiente. AWS Un team cloud fornisce i servizi di base per l' AWS ambiente. Ogni carico di lavoro è di proprietà di un *team applicativo* distinto, noto anche come team di *sviluppo o team* *di consegna*.
## Architettura di base
Il team cloud ha già stabilito le seguenti funzionalità in Cloud AWS:
+ La federazione delle identità si collega AWS IAM Identity Center alla relativa istanza Microsoft Entra ID (in precedenza *Azure Active Directory*). La federazione applica la MFA, la scadenza automatica degli account utente e l'uso di credenziali AWS Identity and Access Management di breve durata tramite ruoli (IAM).
+ Una pipeline AMI centralizzata viene utilizzata per applicare patch ai sistemi operativi e alle applicazioni principali con EC2 Image Builder.
+ Amazon Inspector è abilitato a identificare le vulnerabilità e tutti i risultati di sicurezza vengono inviati ad Amazon GuardDuty per la gestione centralizzata.
+ Vengono utilizzati meccanismi consolidati per aggiornare le regole di controllo delle applicazioni, rispondere agli eventi di sicurezza informatica e esaminare le lacune di conformità.
+ AWS CloudTrail viene utilizzato per la registrazione e il monitoraggio.
+ Gli eventi di sicurezza, come l'accesso dell'utente root, avviano gli avvisi.
+ SCPs e le policy degli endpoint VPC stabiliscono i perimetri dei dati per i tuoi ambienti. AWS
+ SCPs impedisci ai team addetti alle applicazioni di disabilitare i servizi di sicurezza e registrazione, come e. CloudTrail AWS Config
+ AWS Config i risultati vengono aggregati dall'intera AWS organizzazione in un unico Account AWS documento per motivi di sicurezza.
+ Il [pacchetto di conformità AWS Config ACSC Essential 8](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-acsc_essential_8.html) è abilitato in tutta Account AWS l'organizzazione.
# Esempio di carico di lavoro: data lake senza server
Questo carico di lavoro è un esempio di. [Tema 1: Utilizzare i servizi gestiti](theme-1.md)
Il data lake utilizza Amazon S3 per lo storage e AWS Lambda per ETL. Queste risorse sono definite in un' AWS Cloud Development Kit (AWS CDK) app. Le modifiche al sistema vengono implementate tramite AWS CodePipeline. Questa pipeline è limitata al team dell'applicazione. Quando il team dell'applicazione effettua una pull request per l'archivio del codice, viene utilizzata la [regola delle due persone](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/best-practice-5.2---implement-least-privilege-policies-for-source-and-downstream-systems..html).
Per questo carico di lavoro, il team dell'applicazione intraprende le seguenti azioni per affrontare le strategie Essential Eight.
*Controllo delle applicazioni*
+ Il team dell'applicazione abilita la [protezione Lambda e la](https://docs.aws.amazon.com/guardduty/latest/ug/lambda-protection.html) scansione GuardDuty [Lambda in Amazon](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html) Inspector.
+ Il team applicativo implementa meccanismi per ispezionare e [gestire i risultati di Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-automating-responses.html#findings-managing-eventbridge-tutorial).
*Applicazioni di patch*
+ Il team dell'applicazione abilita la scansione Lambda in Amazon Inspector e configura gli avvisi per le librerie obsolete o vulnerabili.
+ Il team dell'applicazione consente AWS Config di tenere traccia delle risorse per l'individuazione delle risorse. AWS
*Limita i privilegi amministrativi*
+ Come descritto nella [Architettura di base](scenario.md#core-architecture) sezione, il team dell'applicazione limita già l'accesso alle distribuzioni di produzione mediante una regola di approvazione sulla relativa pipeline di distribuzione.
+ Il team dell'applicazione si affida alla federazione centralizzata delle identità e alle soluzioni di registrazione centralizzate descritte nella sezione. [Architettura di base](scenario.md#core-architecture)
+ Il team dell'applicazione crea un AWS CloudTrail percorso e CloudWatch filtri Amazon.
+ Il team dell'applicazione configura gli avvisi di Amazon Simple Notification Service (Amazon SNS) CodePipeline per le distribuzioni e le eliminazioni di stack. AWS CloudFormation
*Patch i sistemi operativi*
+ Il team dell'applicazione abilita la scansione Lambda in Amazon Inspector e configura gli avvisi per le librerie obsolete o vulnerabili.
*Autenticazione a più fattori*
+ Il team dell'applicazione si affida alla soluzione centralizzata di federazione delle identità descritta nella sezione. [Architettura di base](scenario.md#core-architecture) Questa soluzione applica l'MFA, registra le autenticazioni e gli avvisi o risponde automaticamente a eventi MFA sospetti.
*Backup regolari*
+ [Il team dell'applicazione archivia il codice, ad esempio AWS CDK app e funzioni e configurazioni Lambda, in un repository di codice.](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/)
+ Il team dell'applicazione abilita il controllo delle versioni e Amazon S3 Object Lock per impedire l'eliminazione o la modifica degli oggetti.
+ Il team dell'applicazione si affida alla durabilità integrata di Amazon S3 anziché replicare l'intero set di dati su un altro. Regione AWS
+ Il team dell'applicazione esegue una copia del carico di lavoro in un altro Regione AWS che soddisfa i requisiti di sovranità dei dati. Utilizzano le tabelle globali di Amazon DynamoDB e Amazon S3 [Cross-Region Replication per replicare automaticamente i dati dalla regione](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html#crr-scenario) primaria alla regione secondaria.
# Esempio di carico di lavoro: servizio web containerizzato
Questo carico di lavoro è un esempio di. [Tema 2: Gestione dell'infrastruttura immutabile tramite pipeline sicure](theme-2.md)
Il servizio Web viene eseguito su Amazon ECS e utilizza un database in Amazon RDS. Il team dell'applicazione definisce queste risorse in un CloudFormation modello. I contenitori vengono creati con EC2 Image Builder e archiviati in Amazon ECR. Il team dell'applicazione implementa le modifiche al sistema tramite. AWS CodePipeline Questa pipeline è limitata al team dell'applicazione. Quando il team dell'applicazione effettua una pull request per l'archivio del codice, viene utilizzata la [regola delle due persone](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/best-practice-5.2---implement-least-privilege-policies-for-source-and-downstream-systems..html).
Per questo carico di lavoro, il team dell'applicazione intraprende le seguenti azioni per affrontare le strategie Essential Eight.
*Controllo delle applicazioni*
+ Il team dell'applicazione consente [la scansione delle immagini dei container Amazon ECR in Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning-ecr.html).
+ Il team dell'applicazione crea lo strumento di sicurezza [File Access Policy Daemon (fapolicyd)](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md) nella pipeline EC2 Image Builder. [Per ulteriori informazioni, consulta Implementing Application Control sul sito Web ACSC.](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/implementing-application-control)
+ Il team dell'applicazione configura la definizione del task di Amazon ECS per registrare l'output su Amazon CloudWatch Logs.
+ Il team applicativo implementa meccanismi per ispezionare e gestire i risultati di Amazon Inspector.
*Applicazioni di patch*
+ Il team dell'applicazione consente la scansione delle immagini dei container Amazon ECR in Amazon Inspector e configura gli avvisi per le librerie obsolete o vulnerabili.
+ Il team applicativo automatizza le risposte ai risultati di Amazon Inspector. Le nuove scoperte avviano la loro pipeline di implementazione tramite un EventBridge trigger di Amazon, ed CodePipeline è l'obiettivo.
+ Il team dell'applicazione consente di AWS Config tenere traccia AWS delle risorse per l'individuazione delle risorse.
*Limita i privilegi amministrativi*
+ Il team addetto all'applicazione sta già limitando l'accesso alle implementazioni di produzione mediante una regola di approvazione sulla relativa pipeline di distribuzione.
+ Il team addetto all'applicazione si affida alla federazione delle identità del team cloud centralizzato per la rotazione delle credenziali e la registrazione centralizzata.
+ Il team dell'applicazione crea un percorso e filtri. CloudTrail CloudWatch
+ Il team applicativo configura gli avvisi di Amazon SNS per le CodePipeline distribuzioni e le eliminazioni di stack. CloudFormation
*Patch i sistemi operativi*
+ Il team dell'applicazione consente la scansione delle immagini dei container Amazon ECR in Amazon Inspector e configura gli avvisi per gli aggiornamenti delle patch del sistema operativo.
+ Il team addetto all'applicazione automatizza la risposta ai risultati di Amazon Inspector. Le nuove scoperte avviano la loro pipeline di implementazione tramite un EventBridge trigger e CodePipeline costituiscono l'obiettivo.
+ Il team dell'applicazione si iscrive alle notifiche degli eventi di Amazon RDS in modo da essere informato sugli aggiornamenti. Prendono una decisione basata sul rischio con il titolare dell'attività se applicare questi aggiornamenti manualmente o lasciare che Amazon RDS li applichi automaticamente.
+ Il team dell'applicazione configura l'istanza Amazon RDS come cluster Multi-Availability Zone al fine di ridurre l'impatto degli eventi di manutenzione.
*Autenticazione a più fattori*
+ Il team dell'applicazione si affida alla soluzione centralizzata di federazione delle identità descritta nella sezione. [Architettura di base](scenario.md#core-architecture) Questa soluzione applica l'MFA, registra le autenticazioni e gli avvisi o risponde automaticamente a eventi MFA sospetti.
*Backup regolari*
+ Il team dell'applicazione si configura AWS Backup per automatizzare il backup dei dati nel proprio cluster Amazon RDS.
+ Il team dell'applicazione archivia i CloudFormation modelli in un repository di codice.
+ Il team dell'applicazione sviluppa una pipeline automatizzata per [creare una copia del carico di lavoro in un'altra regione ed eseguire test automatici](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-iii-pilot-light-and-warm-standby/) (AWS post sul blog). Dopo l'esecuzione dei test automatici, la pipeline distrugge lo stack. Questa pipeline viene eseguita automaticamente una volta al mese e convalida l'efficacia delle procedure di ripristino.
# Esempio di carico di lavoro: software COTS su Amazon EC2
Questo carico di lavoro è un esempio di. [Tema 3: Gestisci l'infrastruttura mutabile con l'automazione](theme-3.md)
Il carico di lavoro in esecuzione su Amazon EC2 è stato creato manualmente utilizzando. Console di gestione AWS Gli sviluppatori aggiornano manualmente il sistema accedendo alle istanze EC2 e aggiornando il software.
Per questo carico di lavoro, i team del cloud e delle applicazioni intraprendono le seguenti azioni per affrontare le strategie Essential Eight.
*Controllo delle applicazioni*
+ Il team cloud configura la propria pipeline AMI centralizzata per installare e configurare AWS Systems Manager l'agente (agente SSM), CloudWatch l'agente e. SELinux Condividono l'AMI risultante tra tutti gli account dell'organizzazione.
+ Il team cloud utilizza AWS Config le regole per confermare che tutte le [istanze EC2 in esecuzione siano gestite da Systems Manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) e abbiano un [agente, CloudWatch un agente e un'installazione SSM](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-applications-required.html). SELinux
+ Il team cloud invia l'output di Amazon CloudWatch Logs a una soluzione SIEM (Security Information and Event Management) centralizzata che funziona su Amazon Service. OpenSearch
+ Il team applicativo implementa meccanismi per ispezionare e gestire i risultati da e per AWS Config Amazon GuardDuty Inspector. Il team cloud implementa i propri meccanismi per catturare eventuali risultati non rilevati dal team applicativo. Per ulteriori indicazioni sulla creazione di un programma di gestione delle vulnerabilità per risolvere i problemi, consulta [Building a scalable vulnerability](https://docs.aws.amazon.com/prescriptive-guidance/latest/vulnerability-management/introduction.html) management program on. AWS
*Applicazioni di patch*
+ Il team dell'applicazione applica le patch alle istanze in base ai risultati di Amazon Inspector.
+ Il team cloud applica le patch all'AMI di base e il team dell'applicazione riceve un avviso quando l'AMI cambia.
+ Il team dell'applicazione limita l'accesso diretto alle proprie istanze EC2 configurando le [regole del gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) per consentire il traffico solo sulle porte richieste dal carico di lavoro.
+ Il team dell'applicazione utilizza [Patch Manager per applicare patch](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html) alle istanze anziché accedere alle singole istanze.
+ [Per eseguire comandi arbitrari su gruppi di istanze EC2, il team dell'applicazione utilizza Run Command.](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html)
+ [Nelle rare occasioni in cui il team dell'applicazione necessita dell'accesso diretto a un'istanza, utilizza Session Manager.](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) Questo approccio di accesso utilizza identità federate e registra qualsiasi attività di sessione a fini di controllo.
*Limita i privilegi amministrativi*
+ Il team dell'applicazione configura [le regole dei gruppi di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) per consentire il traffico solo sulle porte richieste dal carico di lavoro. Ciò limita l'accesso diretto alle istanze Amazon EC2 e richiede che gli utenti accedano alle istanze EC2 tramite Session Manager.
+ Il team applicativo si affida alla federazione delle identità del team cloud centralizzato per la rotazione delle credenziali e la registrazione centralizzata.
+ Il team dell'applicazione crea un percorso e filtri. CloudTrail CloudWatch
+ Il team applicativo configura gli avvisi di Amazon SNS per le CodePipeline distribuzioni e le eliminazioni di stack. CloudFormation
*Patch i sistemi operativi*
+ Il team cloud applica le patch all'AMI di base e il team dell'applicazione riceve un avviso quando l'AMI cambia. Il team dell'applicazione distribuisce nuove istanze utilizzando questa AMI, quindi utilizza [State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state.html), una funzionalità di Systems Manager, per installare il software richiesto.
+ Il team dell'applicazione utilizza Patch Manager per applicare patch alle istanze, ad esempio per l'accesso a singole istanze.
+ Per eseguire comandi arbitrari su gruppi di istanze EC2, il team dell'applicazione utilizza Run Command.
+ Nelle rare occasioni in cui il team dell'applicazione necessita di un accesso diretto, utilizza Session Manager.
*Autenticazione a più fattori*
+ Il team dell'applicazione si affida alla soluzione centralizzata di federazione delle identità descritta nella [Architettura di base](scenario.md#core-architecture) sezione. Questa soluzione applica l'MFA, registra le autenticazioni e gli avvisi o risponde automaticamente a eventi MFA sospetti.
*Backup regolari*
+ Il team applicativo crea un AWS Backup piano per le sue istanze EC2 e i volumi Amazon Elastic Block Store (Amazon EBS).
+ Il team dell'applicazione implementa un meccanismo per eseguire manualmente un ripristino del backup ogni mese.