Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Rileva le istanze di database Amazon RDS e Aurora con certificati CA in scadenza
*Stephen DiCato ed Eugene Shifer, Amazon Web Services*
## Riepilogo
Come best practice di sicurezza, si consiglia di crittografare i dati in transito tra i server delle applicazioni e i database relazionali. È possibile utilizzare SSL o TLS per crittografare una connessione a un'istanza o un cluster di database (DB). Questi protocolli aiutano a garantire riservatezza, integrità e autenticità tra un'applicazione e un database. Il database utilizza un certificato server, rilasciato da un'[autorità di certificazione (CA)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html#UsingWithRDS.SSL.RegionCertificateAuthorities) e utilizzato per eseguire la verifica dell'identità del server. SSL o TLS verifica l'autenticità del certificato convalidandone la firma digitale e assicurandosi che non sia scaduto.
Nel Console di gestione AWS, [Amazon Relational Database Service (Amazon RDS) e Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Welcome.html) [Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/CHAP_AuroraOverview.html) forniscono notifiche sulle istanze DB che richiedono aggiornamenti dei certificati. Tuttavia, per verificare la presenza di queste notifiche, è necessario accedere a ciascuna di esse Account AWS e accedere alla console di servizio di ciascuna di esse. Regione AWS Questa attività diventa più complessa se è necessario valutare la validità dei certificati per molti Account AWS certificati gestiti come organizzazione in [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
Effettuando il provisioning dell'infrastruttura come codice (IaC) fornita in questo schema, puoi rilevare i certificati CA in scadenza per tutte le istanze DB Amazon RDS e Aurora della tua organizzazione. Account AWS AWS Il [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)modello fornisce tutte le AWS Config regole, le funzioni e le autorizzazioni necessarie AWS Lambda . [È possibile distribuirlo in un singolo account come [stack](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html) oppure distribuirlo in tutta l' AWS organizzazione come set di stack.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)
## Prerequisiti e limitazioni
**Prerequisiti**
+ Un attivo Account AWS
+ Se stai distribuendo in un'unica Account AWS soluzione:
+ Assicurati di disporre delle [autorizzazioni](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html) per creare CloudFormation pile.
+ [Abilita](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html) AWS Config nell'account di destinazione.
+ (Facoltativo) [Abilita](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html#securityhub-manual-setup-overview) AWS Security Hub CSPM nell'account di destinazione.
+ Se ti stai distribuendo in un' AWS organizzazione:
+ Assicurati di disporre [delle autorizzazioni per creare set](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-template.html) di CloudFormation stack.
+ [Abilita](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html#securityhub-orgs-setup-overview) Security Hub CSPM con AWS Organizations integrazione.
+ [Abilita questa](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html) soluzione AWS Config negli account in cui stai implementando questa soluzione.
+ Account AWS Designare un amministratore delegato per AWS Config Sand Security Hub CSPM.
**Limitazioni**
+ Se esegui la distribuzione su un account individuale che non ha il CSPM di Security Hub abilitato, puoi utilizzarlo AWS Config per valutare i risultati.
+ Se stai eseguendo la distribuzione in un'organizzazione che non dispone di un amministratore delegato per AWS Config Security Hub CSPM, devi accedere agli account dei singoli membri per visualizzare i risultati.
+ [Se lo utilizzi AWS Control Tower per gestire e governare gli account della tua organizzazione, distribuisci IaC secondo questo schema utilizzando Customizations for (cFCT). AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-overview.html) L'utilizzo della CloudFormation console creerà differenze di configurazione e richiederà la nuova AWS Control Tower registrazione delle unità organizzative () o degli account gestiti. OUs
+ Alcuni Servizi AWS non sono disponibili in tutti. Regioni AWS Per informazioni sulla disponibilità regionale, consulta la pagina [Endpoint e quote del servizio](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) e scegli il link relativo al servizio.
## Architecture
**Implementazione in un individuo Account AWS**
Il seguente diagramma di architettura mostra l'implementazione delle AWS risorse all'interno di una singola unità. Account AWS Viene implementato utilizzando un CloudFormation modello direttamente tramite la CloudFormation console. Se Security Hub CSPM è abilitato, è possibile visualizzare i risultati in uno AWS Config o in Security Hub CSPM. Se Security Hub CSPM non è abilitato, è possibile visualizzare i risultati solo nella AWS Config console.
![\[Distribuzione del CloudFormation modello fornito in un unico account.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/d34fe1f1-6764-4485-b7a7-04e5861f1e9b/images/0b07133a-d4f8-4d87-8d00-2b5e2c453ece.png)
Il diagramma mostra i seguenti passaggi:
1. Crei una CloudFormation pila. Questo implementa una funzione Lambda e AWS Config una regola. Sia la regola che la funzione sono configurate con le autorizzazioni AWS Identity and Access Management (IAM) necessarie per pubblicare le valutazioni delle risorse nei registri e nei AWS Config log.
1. La AWS Config regola funziona in [modalità di valutazione investigativa](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-evaluation-modes) e viene eseguita ogni 24 ore.
1. Security Hub CSPM riceve tutti i AWS Config risultati.
1. È possibile visualizzare i risultati in Security Hub CSPM o in AWS Config, a seconda della configurazione dell'account.
**Implementazione in un'organizzazione AWS **
Il diagramma seguente mostra la valutazione della scadenza dei certificati su più account gestiti tramite AWS Organizations e. AWS Control Tower Il CloudFormation modello viene distribuito tramite cFCT. I risultati della valutazione sono centralizzati in Security Hub CSPM nell'account amministratore delegato. Il AWS CodePipeline flusso di lavoro illustrato nel diagramma mostra i passaggi di base che si verificano durante l'implementazione di cFCT.
![\[Distribuzione del CloudFormation modello fornito su più account in un'organizzazione AWS.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/d34fe1f1-6764-4485-b7a7-04e5861f1e9b/images/8d870cbb-54cf-43ec-96f2-00730e0134af.png)
Il diagramma mostra i seguenti passaggi:
1. A seconda della configurazione per cFct, nell'account di gestione, si invia l'IaC a un AWS CodeCommit repository o si carica un file compresso (ZIP) dell'IaC in un bucket Amazon Simple Storage Service (Amazon S3).
1. La pipeline cFct decomprime il file, esegue i controlli [cfn-nag](https://github.com/stelligent/cfn_nag) () e lo distribuisce come set di stack. GitHub CloudFormation
1. A seconda della configurazione specificata nel file manifest cFct, distribuisce gli stack in account individuali o specificati. CloudFormation StackSets OUs Questo implementa una funzione Lambda e AWS Config una regola negli account di destinazione. Sia la regola che la funzione sono configurate con le autorizzazioni IAM necessarie per pubblicare le valutazioni delle risorse nei log e nei AWS Config log.
1. La AWS Config regola funziona in [modalità di valutazione investigativa](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-evaluation-modes) e viene eseguita ogni 24 ore.
1. AWS Config inoltra tutti i risultati a Security Hub CSPM.
1. I risultati CSPM di Security Hub vengono aggregati nell'account amministratore delegato.
1. È possibile visualizzare i risultati in Security Hub CSPM nell'account amministratore delegato.
## Tools (Strumenti)
**Servizi AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)ti aiuta a configurare AWS le risorse, a fornirle in modo rapido e coerente e a gestirle durante tutto il loro ciclo di vita in tutte le regioni. Account AWS
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)fornisce una visione dettagliata delle risorse disponibili Account AWS e di come sono configurate. Ti aiuta a identificare in che modo le risorse sono correlate tra loro e in che modo le loro configurazioni sono cambiate nel tempo. Una AWS Config [regola](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) definisce le impostazioni di configurazione ideali per una risorsa e consente di AWS Config valutare se le AWS risorse soddisfano le condizioni stabilite dalle regole.
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)ti aiuta a configurare e gestire un ambiente con AWS più account, seguendo le migliori pratiche prescrittive. [Customizations for AWS Control Tower (cFct)](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-overview.html) ti aiuta a personalizzare la tua AWS Control Tower landing zone e a rimanere in linea con AWS le migliori pratiche. Le personalizzazioni sono implementate con CloudFormation modelli e politiche di controllo del servizio (). SCPs
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) è un servizio di calcolo che consente di eseguire il codice senza gestire i server o effettuarne il provisioning. Esegue il codice solo quando necessario e si ridimensiona automaticamente, quindi paghi solo per il tempo di elaborazione che utilizzi.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)è un servizio di gestione degli account che ti aiuta a consolidare più account Account AWS in un'organizzazione da creare e gestire centralmente.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)fornisce una visione completa dello stato di sicurezza in AWS. Inoltre, consente di verificare la conformità AWS dell'ambiente agli standard e alle best practice del settore della sicurezza.
**Altri strumenti**
+ [Python](https://www.python.org/) è un linguaggio di programmazione per computer generico.
**Deposito di codice**
Il codice per questo modello è disponibile nell'archivio di certificati CA GitHub [Detect Amazon RDS con certificati CA in scadenza.](https://github.com/aws-samples/config-rds-ca-expiry)
## Best practice
Ti consigliamo di attenerti alle best practice riportate nelle seguenti risorse:
+ [Best practice per le unità organizzative con AWS Organizations](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/) (blog AWS Cloud Operations & Migrations)
+ [Guida per la creazione di una base iniziale utilizzando AWS Control Tower on AWS](https://aws.amazon.com/solutions/guidance/establishing-an-initial-foundation-using-control-tower-on-aws/) (AWS Solutions Library)
+ [Linee guida per la creazione e la modifica AWS Control Tower delle risorse](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-guidance.html) (AWS Control Tower documentazione)
+ [Considerazioni sull'implementazione del cFCT (documentazione](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-considerations.html))AWS Control Tower
## Epiche
### Esamina la soluzione e il codice
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Determina la tua strategia di implementazione. | Esamina la soluzione e il codice per determinare come implementarli nel tuo AWS ambiente. Determina se intendi eseguire la distribuzione in un unico account o in un' AWS organizzazione. | Proprietario dell'app, General AWS |
| Clonare il repository. | Immetti il seguente comando per clonare l'archivio di certificati CA [Detect Amazon RDS con certificati CA in scadenza](https://github.com/aws-samples/config-rds-ca-expiry).git clone https://github.com/aws-samples/config-rds-ca-expiry.git
| Sviluppatore di app, proprietario dell'app |
| Convalida la versione di Python. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/detect-rds-instances-expiring-certificates.html) | Sviluppatore di app, proprietario dell'app |
### Implementazione della soluzione
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Implementa il CloudFormation modello. | Implementa il CloudFormation modello nel tuo AWS ambiente. Esegui una delle seguenti operazioni:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/detect-rds-instances-expiring-certificates.html) | Sviluppatore di app, amministratore AWS, General AWS |
| Verifica la distribuzione. | Nella [CloudFormation console](https://console.aws.amazon.com/cloudformation/), verifica che lo stack o il set di stack siano stati distribuiti correttamente. | Amministratore AWS, proprietario dell'app |
### Esamina i risultati
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Visualizza i risultati delle AWS Config regole. | In Security Hub CSPM, procedi come segue per visualizzare un elenco di risultati individuali:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/detect-rds-instances-expiring-certificates.html)In Security Hub CSPM, procedi come segue per visualizzare un elenco di risultati totali raggruppati per: Account AWS[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/detect-rds-instances-expiring-certificates.html)Inoltre AWS Config, per visualizzare un elenco di risultati, segui le istruzioni in [Visualizzazione delle informazioni sulla conformità e dei risultati della valutazione](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html#evaluate-config_view-compliance-console) nella AWS Config documentazione. | Amministratore AWS, amministratore di sistema AWS, amministratore cloud |
## risoluzione dei problemi
| Problema | Soluzione |
| --- | --- |
| CloudFormation la creazione o l'eliminazione dello stack set fallisce | Quando AWS Control Tower viene distribuito, impone i guardrail necessari e assume il controllo degli aggregatori e delle regole. AWS Config Ciò include la prevenzione di eventuali modifiche dirette. CloudFormation Per distribuire o rimuovere correttamente questo CloudFormation modello, incluse tutte le risorse associate, è necessario utilizzare cFCT. |
| cFct non riesce a eliminare il modello CloudFormation | Se il CloudFormation modello persiste anche dopo aver apportato le modifiche necessarie nel file manifesto e aver rimosso i file modello, verificate che il file manifesto contenga il `enable_stack_set_deletion` parametro e che il valore sia impostato su. `false` Per ulteriori informazioni, vedete [Eliminare uno stack set nella documentazione](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-delete-stack.html) cFct. |
## Risorse correlate
+ [Utilizzo SSL/TLS per crittografare una connessione a un'istanza o un cluster DB](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html) (documentazione Amazon RDS)
+ [AWS Config Regole personalizzate](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html) (documentazione)AWS Config