Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Pilastro della sicurezza
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il modello di responsabilità condivisa
-
Sicurezza del cloud: AWS è responsabile della protezione dell'infrastruttura che gira Servizi AWS su Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della AWS sicurezza nell'ambito dei programmi di AWS conformità
. Per ulteriori informazioni sui programmi di conformità che si applicano ad Amazon Neptune, consulta Servizi AWS coperti dal programma di conformità . -
Sicurezza nel cloud: la tua responsabilità è determinata dal materiale Servizio AWS che utilizzi. L'utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e le leggi e le normative applicabili. Per ulteriori informazioni sulla privacy dei dati, consulta Domande frequenti sulla privacy dei dati
. Per informazioni sulla protezione dei dati in Europa, consulta il modello di responsabilitàAWS condivisa e il post sul blog sul GDPR .
Il pilastro della sicurezza ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi Neptune. I seguenti argomenti illustrano come configurare Neptune per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a usarne altri Servizi AWS che ti aiutano a monitorare e proteggere le tue risorse di Neptune.
Il pilastro della sicurezza include le seguenti aree di interesse chiave:
-
Sicurezza dei dati
-
Sicurezza di rete
-
Autenticazione e autorizzazione
Implementare la sicurezza dei
La fuga e le violazioni dei dati mettono a rischio i tuoi clienti e possono avere un impatto negativo sostanziale sulla tua azienda. Le seguenti best practice aiutano a proteggere i dati dei clienti dall'esposizione involontaria e dolosa:
-
I nomi dei cluster, i tag, i gruppi di parametri, i ruoli AWS Identity and Access Management (IAM) e altri metadati non devono contenere informazioni riservate o sensibili, poiché tali dati potrebbero apparire nei registri di fatturazione o diagnostica.
-
URIs o i collegamenti a server esterni archiviati come dati in Neptune non devono contenere informazioni sulle credenziali per convalidare le richieste.
-
Le istanze crittografate di Neptune offrono un livello aggiuntivo di protezione dei dati proteggendoli dagli accessi non autorizzati all'archiviazione sottostante. Puoi usare la crittografia Neptune per aumentare la protezione dei dati delle applicazioni implementate nel cloud. È inoltre possibile utilizzare la crittografia Neptune per soddisfare i requisiti di conformità per i dati archiviati.
Per abilitare la crittografia per una nuova istanza di Neptune DB, scegli Sì nella sezione Abilita crittografia sulla console Neptune (selezionata per impostazione predefinita) o impostando la proprietà in. AWS::Neptune::DBCluster::StorageEncrypted CloudFormationSe la crittografia è abilitata, Neptune utilizzerà la chiave gestita AWS di Amazon Relational Database Service (Amazon RDS) per impostazione predefinita, oppure puoi creare una chiave gestita dal cliente. Per informazioni sulla creazione di un'istanza DB di Neptune, vedere Creazione di un nuovo cluster Neptune DB. Per maggiori dettagli, consulta Encrypting Neptune Resources at Rest. Le istantanee automatiche e manuali utilizzano la stessa crittografia selezionata per il cluster Neptune.
-
Quando utilizzi i linguaggi SPARQL e OpenCypher, pratica tecniche di parametrizzazione e convalida degli input appropriate per prevenire l'iniezione di SQL e altre forme di attacchi. Evita di creare query che utilizzano la concatenazione di stringhe con input forniti dall'utente. Utilizzate interrogazioni con parametri o istruzioni preparate per passare in modo sicuro i parametri di input al database grafico. Per ulteriori informazioni, consulta Esempi di query parametrizzate OpenCypher e SPARQL Injection Defence.
-
Per il linguaggio Gremlin, usa le varianti del linguaggio Gremlin invece di passare direttamente script Gremlin basati su stringhe per evitare
potenziali problemi di iniezione.
Proteggi le tue reti
Un cluster Amazon Neptune DB può essere creato solo in un cloud privato virtuale (VPC) su. AWS Fino a Neptune 1.4.6.0, gli endpoint del cluster Neptune DB erano accessibili solo all'interno di quel VPC. A partire dalla versione 1.4.6.0 di Neptune e successive, le istanze di Neptune possono essere configurate per essere accessibili pubblicamente su Internet. È consigliabile utilizzare questa funzionalità solo in ambienti non di produzione per consentire l'accesso semplificato a Neptune per gli sviluppatori (sebbene l'autenticazione IAM sia sempre richiesta per consentire l'accessibilità pubblica). Se hai abilitato l'accessibilità pubblica, valuta la possibilità di impostare le regole del gruppo di sicurezza in entrata per la porta del database solo sul traffico di indirizzi IP noto. In ambienti di produzione o con cluster contenenti dati sensibili, proteggi i dati di Neptune impedendo l'accessibilità pubblica e limitando l'accesso al VPC in cui si trova il cluster Neptune DB. Per ulteriori informazioni, consulta Connessione al grafico di Amazon Neptune.
Per proteggere i dati in transito, Neptune applica le connessioni SSL tramite HTTPS a qualsiasi istanza o endpoint del cluster utilizzando protocolli e cifrari sicuri. Neptune fornisce certificati SSL per le istanze DB di Neptune. I certificati SSL Neptune supportano solo i nomi host degli endpoint del cluster, degli endpoint di lettura e degli endpoint delle istanze.
Se si utilizza un sistema di bilanciamento del carico o un server proxy (ad esempio HAProxy
Implementa l'autenticazione e l'autorizzazione
Per controllare chi può eseguire azioni di gestione di Neptune su cluster e istanze DB Neptune, abilita l'autenticazione del database IAM e utilizza le credenziali IAM. Quando ti connetti AWS utilizzando le credenziali IAM, il tuo ruolo IAM deve disporre di policy IAM che concedano le autorizzazioni necessarie per eseguire le operazioni di gestione di Neptune. Assicurati di seguire il principio del privilegio minimo, concedendo solo le autorizzazioni necessarie per completare un'attività. Per ulteriori informazioni, consulta Utilizzo di diversi tipi di policy IAM per il controllo dell'accesso a Neptune e Autenticazione IAM tramite credenziali temporanee.
Per controllare chi può connettersi a un cluster Neptune e interrogare i dati, puoi utilizzare IAM per autenticarti sull'istanza o sul cluster DB di Neptune. Se abiliti l'autenticazione IAM in un cluster Neptune DB, chiunque acceda al cluster DB deve prima essere autenticato. Per ulteriori informazioni, consulta Abilitazione dell'autenticazione del database IAM in Neptune per i passaggi per abilitare l'autenticazione IAM.
Quando è abilitata l’autenticazione database IAM, ogni richiesta deve essere firmata utilizzando AWS
Signature Version 4. Per capire come inviare richieste firmate a tutti gli endpoint Neptune con l'autenticazione IAM abilitata, consulta Connecting and Signature with AWS Signature Version 4. Molte librerie e strumenti, come awscurl
Per interagire con altri Servizi AWS, Amazon Neptune utilizza ruoli collegati ai servizi IAM. Un ruolo collegato ai servizi è un tipo di ruolo IAM univoco collegato direttamente a Neptune. I ruoli collegati ai servizi sono predefiniti da Neptune e includono tutte le autorizzazioni richieste dal servizio per chiamare altri utenti per conto dell'utente. Servizi AWS Per ulteriori informazioni, vedere Utilizzo dei ruoli collegati ai servizi per Neptune.
