Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Domini del flusso di lavoro di sicurezza e conformità
Questa sezione descrive in dettaglio i domini di cui è responsabile il workstream di sicurezza e conformità. Durante la fase di mobilitazione del progetto di migrazione, questi domini aiutano ad accelerare la pianificazione e l'implementazione della sicurezza e della conformità su: AWS
+ [Individuazione e allineamento della sicurezza](discovery-and-alignment.md)
+ [Mappatura del framework di sicurezza](mapping.md)
+ [Implementazione, integrazione e convalida della sicurezza](implementation-integration-and-validation.md)
+ [Documentazione sulla sicurezza](documentation.md)
+ [Operazioni cloud di sicurezza e conformità](cloud-operations.md)
È importante affrontare questi domini durante la fase di mobilitazione per proteggere le attività di migrazione durante la successiva fase di migrazione e modernizzazione.
# Individuazione e allineamento della sicurezza
Quando si mobilita un progetto di migrazione, il primo dominio per il flusso di lavoro di sicurezza e conformità è l'individuazione e l'allineamento *della sicurezza*. Questo dominio ha lo scopo di aiutare l'organizzazione a raggiungere i seguenti obiettivi:
+ Addestra il flusso di lavoro di sicurezza e conformità sui servizi AWS di sicurezza, sulle funzionalità e sul rispetto della conformità
+ Scopri i tuoi requisiti di sicurezza e conformità e le pratiche correnti. Considera questi requisiti dal punto di vista dell'infrastruttura e delle operazioni, tra cui:
+ Sfide e fattori di sicurezza per lo stato finale di destinazione
+ Set di competenze del team addetto alla sicurezza del cloud
+ Politiche, configurazioni, controlli e barriere di conformità e rischi di sicurezza
+ Propensione al rischio di sicurezza e criteri di base
+ Strumenti di sicurezza esistenti e potenziali
## Workshop di un giorno di immersione
Per raggiungere questi obiettivi, utilizza giornate di immersione nella sicurezza e nella conformità. Le *giornate di immersione* sono workshop che coprono una serie di argomenti relativi alla sicurezza, come:
+ [AWS modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [AWS servizi di sicurezza](https://aws.amazon.com/products/security/)
+ [AWS Architettura di riferimento per la sicurezza (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/)
+ [AWS conformità](https://aws.amazon.com/compliance/)
+ [Pilastro di sicurezza del AWS Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) Framework
I workshop di immersion day aiutano a stabilire una base di conoscenze per il team di sicurezza. Li forma sui servizi di AWS sicurezza e sulle migliori pratiche di sicurezza e conformità. AWS Solution Architect, AWS Professional Services e AWS Partner possono aiutarvi a realizzare questi workshop interattivi. Utilizzano presentazioni standard, laboratori AWS e attività sulla lavagna per preparare i team.
## Workshop Discovery
Dopo i workshop di una giornata di immersione, svolgerai diversi workshop approfonditi sulla sicurezza e la conformità. Questi aiutano i team a scoprire gli attuali requisiti di sicurezza, rischio e conformità (SRC) dell'infrastruttura, delle applicazioni e delle operazioni. Questi requisiti vengono analizzati attraverso le seguenti prospettive: persone, processi e tecnologia. Di seguito sono elencate le aree di scoperta per ogni prospettiva.
### Prospettiva delle persone
+ **Struttura organizzativa**: comprendi la struttura e le responsabilità attuali del flusso di lavoro in materia di sicurezza e conformità.
+ **Capacità e competenze**: possiedi conoscenze e competenze pratiche per e per le funzionalità di sicurezza Servizi AWS e conformità del cloud. Ciò include l'individuazione, la pianificazione, l'implementazione e le operazioni.
+ **Matrice RACI (responsabile, responsabile, consultata, informata): definisce i** ruoli e le responsabilità per le attuali attività di sicurezza e conformità all'interno dell'organizzazione.
+ **Cultura**: comprendere l'attuale cultura della sicurezza e della conformità. Dai priorità alla sicurezza e alla conformità nelle fasi di costruzione, progettazione, implementazione e funzionamento. Introduci Development Security Operations (DevSecOps) nella cultura della sicurezza e della conformità del cloud.
### Prospettiva del processo
+ **Pratiche**: definisci e documenta gli attuali processi di sicurezza e conformità per costruire, progettare, implementare e gestire. I processi includono:
+ Accesso e gestione delle identità
+ Controlli e risposta al rilevamento degli incidenti
+ Sicurezza dell'infrastruttura e della rete
+ Protezione dei dati
+ Conformità
+ Continuità e ripristino delle attività
+ **Documentazione di implementazione**: politiche di sicurezza e conformità dei documenti, configurazioni di controllo, documentazione sugli strumenti e documentazione sull'architettura. Questi documenti sono necessari per coprire la sicurezza e la conformità dell'infrastruttura, della rete, delle applicazioni, dei database e delle aree di implementazione.
+ Documentazione sui **rischi: crea una documentazione** sui rischi per la sicurezza delle informazioni che delinea la propensione al rischio e la soglia.
+ **Convalide**: crea requisiti di convalida e audit di sicurezza interni ed esterni.
+ **Runbook**: sviluppa runbook operativi che coprano gli attuali processi standard di implementazione e governance per la sicurezza e la conformità.
### Prospettiva tecnologica
+ **Servizi e strumenti**: utilizzate gli strumenti per convalidare il vostro livello di sicurezza e conformità e per applicare e governare l'attuale panorama IT. Stabilisci strumenti per le seguenti categorie:
+ Accesso e gestione delle identità
+ Controlli e risposta al rilevamento degli incidenti
+ Sicurezza dell'infrastruttura e della rete
+ Protezione dei dati
+ Conformità
+ Continuità e ripristino delle attività
Durante il workshop AWS sulla scoperta della sicurezza, si utilizzano modelli di raccolta dati e questionari standardizzati per raccogliere i dati. Negli scenari in cui non è possibile fornire le informazioni a causa della mancanza di chiarezza dei dati o dell'obsolescenza dei dati, è possibile utilizzare uno strumento di rilevamento della migrazione per raccogliere informazioni sulla sicurezza a livello di applicazioni e infrastrutture. Per un elenco degli strumenti di discovery che è possibile utilizzare, consulta [Discovery, Planning and Recommendation Migration Tools su Prescriptive Guidance](https://aws.amazon.com/prescriptive-guidance/migration-tools/migration-discovery-tools/). AWS L'elenco fornisce dettagli sulle funzionalità di rilevamento e sull'utilizzo di ogni strumento. Inoltre, confronta gli strumenti per aiutarvi a scegliere lo strumento migliore per soddisfare i requisiti e i vincoli del vostro panorama IT.
Durante la valutazione iniziale della sicurezza, consigliamo vivamente di iniziare con la modellazione delle minacce. Ciò consente di identificare le possibili minacce e le misure esistenti in atto. Potrebbero esserci anche requisiti predefiniti e documentati per la sicurezza, la conformità e il rischio. Per ulteriori informazioni, consulta il [workshop sulla modellazione delle minacce per i costruttori](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) (AWS formazione) e vedi [Come affrontare la modellazione delle minacce](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (post sul blog).AWS Questo approccio consente di riconsiderare le strategie di sicurezza e conformità per l'implementazione, l'implementazione e la governance in. Cloud AWS
# Mappatura del framework di sicurezza
Dopo aver completato il dominio di rilevamento e allineamento della sicurezza, il passaggio successivo consiste nel completare il dominio di mappatura del *framework di sicurezza*. Questo dominio è un processo di workshop che associa i requisiti di sicurezza e conformità rilevati ai servizi di Cloud AWS sicurezza. Inoltre, allinea l'architettura e le operazioni alle migliori pratiche AWS di sicurezza e conformità. Il workshop mappa tutti i requisiti dal punto di vista delle persone, dei processi e della tecnologia per coprire quanto segue:
+ AWS infrastruttura
+ Account AWS, protezione dell'infrastruttura e della rete
+ Protezione dei dati
+ Conformità
+ Rilevamento e risposta agli incidenti
+ Gestione dell’identità e degli accessi
+ Continuità e ripristino aziendali
+ Applicazione su AWS
+ Segui le migliori pratiche Servizi AWS per proteggere l'applicazione
+ Controllo degli accessi per applicazioni, database, sistemi operativi e dati
+ Protezione del sistema operativo
+ Protezione di applicazioni, database e dati
+ Rilevamento e risposta agli incidenti
+ Conformità
+ Continuità aziendale e ripristino delle applicazioni
Quando completate il dominio di mappatura del framework di sicurezza, prendete in considerazione la propensione al rischio definita, la struttura del team, le competenze e le capacità del team, i processi di sicurezza, le politiche di sicurezza, i controlli di sicurezza, gli strumenti, le operazioni di sicurezza e altri requisiti e vincoli di sicurezza. Nel complesso, la mappatura del framework di sicurezza offre alle organizzazioni un approccio sistematico alla gestione dei rischi di sicurezza, al mantenimento della conformità e al miglioramento continuo del proprio livello di sicurezza, in base agli standard e alle migliori pratiche del settore.
[Il processo di mappatura del framework di sicurezza utilizza la [AWS Security Reference Architecture (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/), il [Security Pillar](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) del AWS Well-Architected Framework, la Migration [Lens del](https://docs.aws.amazon.com/wellarchitected/latest/migration-lens/security.html) Well-Architected Framework e il white paper Introduction AWS to Security. AWS](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/welcome.html) Questi documenti fungono da riferimenti guida per aiutarti a seguire le migliori pratiche per la sicurezza e la conformità del cloud. AWS
Utilizzando modelli di mappatura standardizzati in officina, è possibile associare i requisiti allo stato finale di destinazione. Si evidenziano gli strumenti Servizi AWS, i processi, le politiche, i controlli e le modifiche necessari per raggiungere lo stato finale desiderato.
Quando si esegue il workshop di mappatura del framework di sicurezza, è possibile utilizzare AWS Professional Services, AWS Security Solution Architects o AWS Partners. Queste risorse possono aiutarvi ad accelerare e facilitare il workshop. I workshop sulla mappatura del framework di sicurezza possono essere inclusi nell'ambito di un [party EBA (Experience-Based Acceleration)](https://aws.amazon.com/blogs/mt/level-up-your-cloud-transformation-with-experience-based-acceleration-eba/), guidato da AWS Solution Architect, AWS Customer Solution Manager o partner. AWS Il partito EBA funge da acceleratore per aiutarti a costruire una Cloud AWS solida base che segua le migliori pratiche di migrazione e modernizzazione. AWS
# Implementazione, integrazione e convalida della sicurezza
Dopo aver mappato i requisiti di sicurezza, rischio e conformità, il dominio successivo riguarda l'*implementazione, l'integrazione e la convalida della sicurezza*. In base ai requisiti identificati, scegli i controlli e le misure di sicurezza appropriati per mitigare i rischi in modo efficace. Ciò potrebbe includere crittografia, controlli degli accessi, sistemi di rilevamento delle intrusioni o firewall. Integra soluzioni di sicurezza, come i sistemi di rilevamento e prevenzione delle intrusioni, la protezione degli endpoint e la gestione delle identità, nell'infrastruttura IT esistente per fornire una copertura di sicurezza completa. Effettua valutazioni di sicurezza regolari, tra cui scansione delle vulnerabilità, test di penetrazione e revisioni del codice, per convalidare l'efficacia dei controlli di sicurezza e identificare punti deboli o lacune. Concentrandosi sull'implementazione, l'integrazione e la convalida della sicurezza, le organizzazioni possono rafforzare il proprio livello di sicurezza, ridurre la probabilità di violazioni della sicurezza e dimostrare la conformità ai requisiti normativi e agli standard di settore.
## Implementazione
Innanzitutto, aggiorna la documentazione in base alla tua attuale soglia o preferenza in materia di sicurezza, rischio e conformità. Ciò consente di implementare i requisiti, i controlli, le politiche e gli strumenti di sicurezza e conformità pianificati nel cloud. Questo passaggio è necessario solo se sono già stati definiti un registro dei rischi e un appetito, che sarebbero stati identificati durante i workshop di scoperta.
Successivamente, si implementano i requisiti, i controlli, le politiche e gli strumenti di sicurezza e conformità pianificati nel cloud. Ti consigliamo di implementarli nel seguente ordine: infrastruttura Servizi AWS, sistema operativo e quindi applicazione o database. Utilizza le informazioni nella tabella seguente per assicurarti di aver affrontato tutte le aree di sicurezza e conformità richieste.
| | |
| --- |--- |
| **Area** | **Requisiti di sicurezza e conformità** |
| Infrastruttura | Account AWS Zona di atterraggio Controlli preventivi Controlli di rilevamento Segmentazione della rete Controllo accessi Encryption (Crittografia) Registrazione, monitoraggio e invio di avvisi |
| Servizi AWS | Servizio AWS configurazione Istanze Archiviazione Rete Controllo accessi Encryption (Crittografia) Aggiornamenti e patch Registrazione, monitoraggio e invio di avvisi |
| Sistema operativo | Antivirus Protezione da malware e worm Configurazione Protezione della rete Controllo accessi Encryption (Crittografia) Aggiornamenti e patch Registrazione, monitoraggio e invio di avvisi |
| Applicazione o database | Configurazione Codice e schema Controllo accessi Encryption (Crittografia) Aggiornamenti e patch Registrazione, monitoraggio e invio di avvisi |
## Integrazione
L'implementazione della sicurezza richiede spesso l'integrazione con quanto segue:
+ **Rete**: rete interna ed esterna a Cloud AWS
+ **Panorama IT ibrido**: ambienti IT diversi da Cloud AWS, ad esempio on-premise, cloud pubblici, cloud privati e colocation
+ **Software o servizi esterni**: software e servizi gestiti da fornitori di software indipendenti (ISVs) e non ospitati nell'ambiente dell'utente.
+ Servizi di **modelli operativi AWS cloud: servizi** di modelli operativi cloud che forniscono DevSecOps funzionalità.
Durante la fase di valutazione del progetto di migrazione, utilizza gli strumenti di scoperta, la documentazione esistente o i workshop con interviste alle candidature per identificare e confermare questi punti di integrazione della sicurezza. Durante la progettazione e l'implementazione dei carichi di lavoro di Cloud AWS, stabilite queste integrazioni in base alle politiche e ai processi di sicurezza e conformità definiti durante i workshop di mappatura.
## Convalida
Dopo l'implementazione e l'integrazione, l'attività successiva consiste nella convalida dell'implementazione. Ti assicuri che la configurazione sia allineata alle AWS migliori pratiche per la sicurezza e la conformità. Ti consigliamo di convalidare la sicurezza da due aree di copertura:
+ **Valutazione delle vulnerabilità e test di penetrazione specifici del carico di lavoro**: convalida la sicurezza del sistema operativo, dell'applicazione, del database o della rete dei carichi di lavoro su cui vengono eseguiti. Servizi AWS Per condurre queste convalide, utilizza gli strumenti e gli script di test esistenti. È importante attenersi alla [politica di assistenza clienti relativa ai test di AWS penetrazione](https://aws.amazon.com/security/penetration-testing/) quando si effettuano queste valutazioni.
+ **AWS****convalida delle migliori pratiche di sicurezza**: verifica se AWS l'implementazione è conforme al AWS Well Architected Framework e ad altri benchmark selezionati, come il Center for Internet Security (CIS). [Per questa convalida, è possibile utilizzare strumenti e servizi come [Prowler](https://github.com/prowler-cloud/prowler/#requirements-and-installation) (GitHub) [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html), Service [Screener () o AWS Self-Service](https://github.com/aws-samples/service-screener-v2) Security Assessment (). GitHub AWS](https://github.com/awslabs/aws-security-assessment-solution) GitHub
È importante documentare e comunicare tutti i risultati relativi alla sicurezza e alla conformità al team addetto alla sicurezza e ai responsabili. Standardizza i modelli di reporting e utilizzali per facilitare la comunicazione con i rispettivi stakeholder della sicurezza. Documenta tutte le eccezioni fatte durante la ricerca di soluzioni correttive e assicurati che le rispettive parti interessate alla sicurezza approvino.
# Documentazione sulla sicurezza
Quando si mobilitano la sicurezza e la conformità durante una migrazione, è essenziale definire e documentare il modo in cui si implementano la sicurezza e la conformità nel cloud. La documentazione deve includere quanto segue:
+ **Documentazione sull'implementazione della sicurezza e della conformità**: crea uno o più documenti che descrivano in dettaglio la definizione, il processo, le politiche, i controlli, le configurazioni e gli strumenti di sicurezza e conformità. Assicurati che questi documenti affrontino questi aspetti da una Cloud AWS prospettiva diversa. Includi quanto segue in questa documentazione:
+ Accesso e gestione delle identità
+ Controlli e risposta al rilevamento degli incidenti
+ Sicurezza dell'infrastruttura e della rete
+ Protezione dei dati
+ Conformità
+ Continuità e ripristino delle attività
+ **Runbook di sicurezza e conformità: crea runbook** operativi di sicurezza e conformità che guidino il team operativo del cloud. Dovrebbero descrivere in dettaglio come completare le attività, le attività e le modifiche di sicurezza e conformità nel cloud come parte dei requisiti operativi. Ciò include il monitoraggio della sicurezza e della conformità, la gestione degli incidenti, la convalida e il miglioramento continuo. Assicurati che i runbook soddisfino i requisiti identificati durante il dominio di security discovery and alignment.
+ Matrice **RACI per la sicurezza del cloud: crea una matrice** RACI (Raci) responsabile, responsabile, consultata, informata (RACI) che definisca le responsabilità e le parti interessate in materia di sicurezza e conformità per le seguenti aree:
+ Progettazione e sviluppo
+ Implementazione e implementazione
+ Operazioni
# Operazioni cloud di sicurezza e conformità
L'ultimo dominio riguarda le operazioni cloud *di sicurezza e conformità*. Si tratta di un'attività continua in cui si utilizzano i runbook operativi di sicurezza e conformità definiti per governare le operazioni cloud. Inoltre, crei un modello operativo cloud di sicurezza per determinare le responsabilità in materia di sicurezza e conformità all'interno della tua organizzazione.
## Modello operativo cloud per la sicurezza e la conformità
In questo dominio, definisci un [modello operativo cloud](apg-gloss.md#glossary-com) per la sicurezza. Il modello operativo cloud deve soddisfare i requisiti identificati durante i workshop di scoperta e successivamente definiti come runbook. Puoi progettare il modello operativo cloud per la sicurezza e la conformità in tre modi:
+ **Centralizzato**: un modello più tradizionale, in cui SecOps è responsabile dell'identificazione e della risoluzione degli eventi di sicurezza in tutta l'azienda. Ciò può includere la revisione dei risultati generali sul livello di sicurezza dell'azienda, come l'applicazione di patch e i problemi di configurazione della sicurezza.
+ **Decentralizzato**: la responsabilità di rispondere e correggere gli eventi di sicurezza in tutta l'azienda è stata delegata ai proprietari delle applicazioni e alle singole unità aziendali e non esiste una funzione operativa centrale. In genere, esiste ancora una funzione generale di governance della sicurezza che definisce politiche e principi.
+ **Ibrido**: una combinazione di entrambi gli approcci, in cui la responsabilità e la titolarità nell'identificazione e nell'orchestrazione della risposta agli eventi di sicurezza sono SecOps ancora di competenza dei proprietari delle applicazioni e delle singole unità aziendali.
È importante selezionare il modello operativo giusto in base ai requisiti di sicurezza e conformità, alla maturità dell'organizzazione e ai vincoli. I requisiti e i vincoli di sicurezza e conformità sono stati identificati durante il seminario di scoperta. La maturità dell'organizzazione, d'altra parte, definisce il livello delle pratiche di sicurezza operativa. Di seguito è riportato un esempio di intervallo di maturità:
+ **Basso**: la registrazione è locale e vengono intraprese alcune azioni o sporadiche.
+ **Intermedio**: i log provenienti da fonti diverse sono correlati e vengono creati avvisi automatici.
+ **Alto**: esistono playbook dettagliati che contengono dettagli sulle risposte di processo standardizzate. Operativamente e tecnicamente, la maggior parte delle risposte agli avvisi è automatizzata.
Per comprendere meglio il modello operativo cloud di sicurezza e conformità e fornire assistenza nella scelta di un design appropriato, consulta [Considerazioni per le operazioni di sicurezza nel cloud (AWS post sul blog](https://aws.amazon.com/blogs/security/considerations-for-security-operations-in-the-cloud/)). In scenari in cui non esistono requisiti predefiniti, ti consigliamo di configurare un Security Operations Center (SOC) come parte del modello operativo cloud. Si tratta in genere di una pratica basata su un modello operativo centralizzato. Con questo approccio, puoi indirizzare gli eventi da più fonti a un team centralizzato, che può quindi attivare azioni e risposte. Questo standardizza la governance della sicurezza attraverso le operazioni sul cloud. AWS e AWS i partner hanno la capacità di aiutarti a creare un SOC e a definire e implementare Security Orchestration, Automation and Response (SOAR). AWS e AWS i partner utilizzano servizi professionali, consulenze, modelli definiti e strumenti di terze parti messi a disposizione Servizi AWS dai partner. AWS
## Operazioni di sicurezza continue
In questo dominio, esegui le seguenti attività su base continuativa utilizzando i runbook delle operazioni di sicurezza e conformità definiti:
+ **Monitoraggio della sicurezza e della conformità**: esegui il monitoraggio centralizzato degli eventi e delle minacce di sicurezza utilizzando strumenti Servizi AWS, metriche, criteri e frequenza definiti dall'utente. Il team operativo o il SOC gestiscono questo monitoraggio continuo, a seconda della struttura dell'organizzazione. Il monitoraggio della sicurezza implica l'analisi e la correlazione di grandi quantità di log e dati. I dati di log provengono da endpoint, reti Servizi AWS, infrastrutture e applicazioni e vengono archiviati in un repository centralizzato, come [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) o un sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM). È importante configurare gli avvisi in modo da poter rispondere manualmente o automaticamente agli eventi in modo tempestivo.
+ **Gestione degli incidenti**: definisci il tuo livello di sicurezza di base. Quando si verifica una deviazione da una linea di base preimpostata, dovuta a una configurazione errata o a fattori esterni, registra un incidente. Assicurati che un team assegnato risponda a questi incidenti. La base di un programma di risposta agli incidenti di successo nel cloud è l'integrazione di persone, processi e strumenti in ogni fase del programma di risposta agli incidenti (preparazione, operazioni e attività post-incidente). Istruzione, formazione ed esperienza sono fondamentali per un programma di risposta agli incidenti cloud di successo. Idealmente, questi vengono implementati con largo anticipo rispetto alla gestione di un possibile incidente di sicurezza. Per ulteriori informazioni sulla configurazione di un programma efficace di risposta agli incidenti di sicurezza, consulta la [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/introduction.html).
+ **Convalida della sicurezza: la convalida** della sicurezza implica l'esecuzione di valutazioni delle vulnerabilità, test di penetrazione e test di eventi simulati per la sicurezza del caos. La convalida della sicurezza dovrebbe continuare a essere eseguita periodicamente, in particolare per i seguenti scenari:
+ Aggiornamenti e versioni del software
+ Minacce identificate di recente, come malware, virus o worm
+ Requisiti di audit interni ed esterni
+ Violazioni della sicurezza
È importante documentare il processo di convalida della sicurezza ed evidenziare le persone, i processi, la pianificazione, gli strumenti e i modelli per la raccolta e la rendicontazione dei dati. Questo standardizza le convalide di sicurezza. Continua a rispettare la [politica di assistenza AWS clienti per i test di penetrazione](https://aws.amazon.com/security/penetration-testing/) durante l'esecuzione delle convalide di sicurezza nel cloud.
+ Audit **interni ed esterni: esegui audit** interni ed esterni per verificare che le configurazioni di sicurezza e conformità soddisfino i requisiti normativi o delle politiche interne. Esegui verifiche periodiche in base a una pianificazione predefinita. Gli audit interni sono normalmente condotti da un team interno per la sicurezza e i rischi. Gli audit esterni sono condotti da agenzie competenti o funzionari standard. È possibile utilizzare Servizi AWS, ad esempio [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)e [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html), per facilitare il processo di audit. Questi servizi possono fornire prove pertinenti per i report di audit IT in materia di sicurezza. Possono inoltre semplificare la gestione del rischio e della conformità agli standard normativi e di settore automatizzando la raccolta delle prove. Ciò consente di valutare se le politiche, le procedure e le attività note come *controlli* funzionano in modo efficace. È inoltre importante allineare i requisiti di audit con i partner di servizi gestiti per garantire la conformità.
**Revisione dell'architettura di sicurezza**: completa una revisione e un aggiornamento periodici dell' AWS architettura dal punto di vista della sicurezza e della conformità. Rivedi l'architettura con cadenza trimestrale o in caso di modifiche all'architettura. AWS continua a rilasciare aggiornamenti e miglioramenti alle funzionalità e ai servizi di sicurezza e conformità. Utilizza [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) e AWS Well Architected Tool per facilitare queste revisioni dell'architettura. È importante documentare l'implementazione della sicurezza e della conformità e le modifiche consigliate dopo il processo di revisione.
## AWS servizi di sicurezza per le operazioni
Condividete la responsabilità AWS per la sicurezza e la conformità in Cloud AWS. Questa relazione è descritta in dettaglio nel [modello di responsabilitàAWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/). Oltre AWS a gestire la sicurezza *del* cloud, l'utente è responsabile della sicurezza *nel* cloud. Sei responsabile della protezione dei tuoi contenuti, dell'infrastruttura, delle applicazioni, dei sistemi e delle reti, non diversamente da come faresti per un data center locale. Le tue responsabilità in materia di sicurezza e conformità Cloud AWS variano a seconda dei servizi che utilizzi, del modo in cui integri tali servizi nel tuo ambiente IT e delle leggi e dei regolamenti applicabili.
Un vantaggio di Cloud AWS è che consente di scalare e innovare utilizzando le AWS migliori pratiche e servizi di sicurezza e conformità. Questo ti aiuta a mantenere un ambiente sicuro pagando solo per i servizi che utilizzi. Hai anche accesso agli stessi servizi di AWS sicurezza e conformità che le organizzazioni aziendali altamente protette utilizzano per proteggere i propri ambienti cloud.
Costruire un'architettura cloud su una base solida e sicura è il primo e il miglior passo per garantire la sicurezza e la conformità del cloud. Tuttavia, AWS le tue risorse sono sicure solo nella misura in cui le configuri. Un livello di sicurezza e conformità efficace si ottiene solo attraverso una continua e rigorosa aderenza a livello operativo. Le operazioni di sicurezza e conformità possono essere ampiamente raggruppate in cinque categorie:
+ Protezione dei dati
+ Accesso e gestione delle identità
+ Protezione della rete e delle applicazioni
+ Rilevamento delle minacce e monitoraggio continuo
+ Conformità e privacy dei dati
AWS I servizi di sicurezza e conformità rientrano in queste categorie per aiutarti a soddisfare una serie completa di requisiti. Raggruppati in queste categorie, i seguenti sono i servizi di base per la AWS sicurezza e la conformità e le relative funzionalità. Questi servizi possono aiutarti a creare e applicare la governance della sicurezza del cloud.
### Protezione dei dati
AWS fornisce i seguenti servizi che possono aiutarti a proteggere dati, account e carichi di lavoro da accessi non autorizzati:
+ [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)— Fornitura, gestione e distribuzione di SSL/TLS certificati da utilizzare con. Servizi AWS
+ [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html)— Gestisci i tuoi moduli di sicurezza hardware (HSMs) in. Cloud AWS
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) — Crea e controlla le chiavi utilizzate per crittografare i dati.
+ [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html): scopri, classifica e aiuta a proteggere i dati sensibili con funzionalità di sicurezza basate sull'apprendimento automatico.
+ [Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)— Ruota, gestisci e recupera le credenziali del database, le chiavi API e altri segreti durante il loro ciclo di vita.
### Gestione dell’identità e degli accessi
I seguenti servizi di AWS identità consentono di gestire in modo sicuro identità, risorse e autorizzazioni su larga scala:
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html): aggiungi la registrazione, l'accesso e il controllo degli accessi degli utenti alle tue applicazioni web e mobili.
+ [AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html)— Utilizzare Microsoft Active Directory gestito in Cloud AWS.
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)— Gestione centralizzata dell'accesso Single Sign-On (SSO) a più applicazioni aziendali Account AWS .
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html): controlla in modo sicuro l'accesso e le risorse. Servizi AWS
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)— Implementazione di una gestione basata su policy per più utenti. Account AWS
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) — Condividi AWS le risorse tra i tuoi account.
### Protezione di reti e applicazioni
Questa categoria di servizi consente di applicare politiche di sicurezza granulari nei punti di controllo della rete in tutta l'organizzazione. Quanto segue Servizi AWS consente di ispezionare e filtrare il traffico per impedire l'accesso non autorizzato alle risorse ai limiti a livello di host, di rete e di applicazione:
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)— Configurazione e gestione delle regole per tutte le applicazioni da una posizione centrale. AWS WAF Account AWS
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)— Implementa le protezioni di rete essenziali per i tuoi cloud privati virtuali ()VPCs.
+ [Amazon Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html): aiuta a proteggere le tue richieste DNS in uscita da... VPCs
+ [AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)— Proteggi le tue applicazioni web con una protezione S gestita. DDo
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)— Configura e gestisci Amazon Elastic Compute Cloud (Amazon EC2) e i sistemi locali per applicare patch al sistema operativo, creare immagini di sistema sicure e configurare i sistemi operativi.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html): fornisce una sezione logicamente isolata AWS in cui è possibile avviare AWS risorse in una rete virtuale definita dall'utente.
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)— Contribuisci a proteggere le tue applicazioni web dagli exploit web più comuni.
### Rilevamento delle minacce e monitoraggio continuo
I seguenti servizi di AWS monitoraggio e rilevamento aiutano a identificare potenziali incidenti di sicurezza all'interno del proprio AWS ambiente:
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)— Monitora l'attività degli utenti e l'utilizzo delle API per consentire la governance e il controllo operativo e dei rischi del vostro. Account AWS
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)— Registra e valuta le configurazioni delle tue AWS risorse per aiutarti a verificare la conformità, tenere traccia delle modifiche alle risorse e analizzare la sicurezza delle risorse.
+ [AWS Config regole](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html): crea regole che agiscono automaticamente in risposta ai cambiamenti nell'ambiente, ad esempio isolando le risorse, arricchendo gli eventi con dati aggiuntivi o ripristinando una configurazione a uno stato riconosciuto come valido.
+ [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html): analizza e visualizza i dati di sicurezza per individuare rapidamente la causa principale di potenziali problemi di sicurezza.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html): proteggi i tuoi carichi di lavoro Account AWS e quelli di lavoro con il rilevamento intelligente delle minacce e il monitoraggio continuo.
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html): automatizza le valutazioni di sicurezza per contribuire a migliorare la sicurezza e la conformità delle applicazioni su cui vengono distribuite. AWS
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)— Esegui codice senza fornire o gestire server, in modo da poter scalare la risposta programmata e automatizzata agli incidenti.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Visualizza e gestisci gli avvisi di sicurezza e automatizza i controlli di conformità da una posizione centrale.
### Conformità e privacy dei dati
Di seguito viene Servizi AWS fornita una panoramica completa dello stato di conformità. Monitorano continuamente l'ambiente utilizzando controlli di conformità automatizzati basati sulle AWS migliori pratiche e sugli standard di settore:
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)— Ottieni l'accesso su richiesta ai report AWS di sicurezza e conformità e seleziona accordi online.
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)— Verifica continuamente AWS l'utilizzo per semplificare la gestione dei rischi e mantenere la conformità alle normative e agli standard di settore.