Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# L'architettura AWS di riferimento per la sicurezza
| |
| --- |
| Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un [breve sondaggio](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua). |
Il diagramma seguente illustra la SRA. AWS Questo diagramma architettonico riunisce tutti i servizi relativi alla sicurezza. AWS È costruito attorno a una semplice architettura web a tre livelli che può essere inserita in un'unica pagina. In un simile carico di lavoro, esiste un *livello web* attraverso il quale gli utenti si connettono e interagiscono con il *livello dell'applicazione,* che gestisce l'effettiva logica aziendale dell'applicazione: riceve gli input dall'utente, esegue alcuni calcoli e genera output. *Il livello dell'applicazione archivia e recupera le informazioni dal livello dati.* L'architettura è volutamente modulare e fornisce un'astrazione di alto livello per molte applicazioni web moderne.
**Diagrammi di architettura**
Per personalizzare i diagrammi dell'architettura di riferimento di questa guida in base alle esigenze aziendali, è possibile scaricare il seguente file.zip ed estrarne il contenuto.
[![\[alt text not found\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/security-reference-architecture/images/download.png)Scarica il file sorgente del diagramma ( PowerPoint formato Microsoft)](samples/aws-security-reference-architecture-diagrams.zip)
![\[AWS Diagramma dell'architettura di riferimento per la sicurezza.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/security-reference-architecture/images/sra.png)
Per questa architettura di riferimento, l'applicazione Web e il livello dati effettivi sono rappresentati deliberatamente nel modo più semplice possibile, rispettivamente tramite EC2 istanze Amazon e un database Amazon Aurora. La maggior parte dei diagrammi di architettura si concentra e approfondisce i livelli Web, delle applicazioni e dei dati. Per motivi di leggibilità, spesso omettono i controlli di sicurezza. Questo diagramma ribalta tale enfasi per mostrare la sicurezza laddove possibile e mantiene i livelli di applicazione e dati tanto semplici quanto necessario per mostrare in modo significativo le funzionalità di sicurezza.
L' AWS SRA contiene tutti i servizi AWS relativi alla sicurezza disponibili al momento della pubblicazione. [(Vedi cronologia dei documenti).](doc-history.md) Tuttavia, non tutti i carichi di lavoro o gli ambienti, in base alla loro esposizione unica alle minacce, devono implementare tutti i servizi di sicurezza. Il nostro obiettivo è fornire un riferimento per una serie di opzioni, comprese le descrizioni di come questi servizi si integrano tra loro dal punto di vista architettonico, in modo che la vostra azienda possa prendere le decisioni più appropriate per le vostre esigenze di infrastruttura, carico di lavoro e sicurezza, in base al rischio.
Le sezioni seguenti illustrano ciascuna unità organizzativa e account per comprenderne gli obiettivi e i singoli servizi AWS di sicurezza ad esse associati. Per ogni elemento (in genere un Servizio AWS), questo documento fornisce le seguenti informazioni:
+ Breve panoramica dell'elemento e del suo scopo di sicurezza nell' AWS SRA. Per descrizioni più dettagliate e informazioni tecniche sui singoli servizi, consultare [l'appendice](appendix.md).
+ Posizionamento consigliato per abilitare e gestire il servizio nel modo più efficace. Questo viene riportato nei singoli diagrammi di architettura per ogni account e unità organizzativa.
+ Collegamenti di configurazione, gestione e condivisione dei dati ad altri servizi di sicurezza. In che modo questo servizio si basa o supporta altri servizi di sicurezza?
+ Considerazioni di progettazione. Innanzitutto, il documento evidenzia le funzionalità o le configurazioni *opzionali* che hanno importanti implicazioni in termini di sicurezza. In secondo luogo, laddove l'esperienza dei nostri team includa variazioni comuni nelle raccomandazioni che formuliamo, in genere a seguito di requisiti o vincoli alternativi, il documento descrive tali opzioni.
**Topics**
+ [Account di gestione dell'organizzazione](org-management.md)
+ [Security OU — Account Security Tooling](security-tooling.md)
+ [Unità organizzativa di sicurezza — Account Log Archive](log-archive.md)
+ [UO dell'infrastruttura - Account di rete](network.md)
+ [Infrastruttura organizzativa — account Shared Services](shared-services.md)
+ [Workloads OU — Account dell'applicazione](application.md)
# Account di gestione dell'organizzazione
| |
| --- |
| Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un [breve sondaggio](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua). |
Il diagramma seguente illustra i servizi AWS di sicurezza configurati nell'account Org Management.
![\[Servizi di sicurezza per l'account Org Management.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/security-reference-architecture/images/org-management-acct.png)
Le sezioni [Utilizzo AWS Organizations per la sicurezza](organizations-security.md) e [L'account di gestione, l'accesso affidabile e gli amministratori delegati](management-account.md) precedenti di questa guida hanno discusso in modo approfondito lo scopo e gli obiettivi di sicurezza dell'account di gestione dell'organizzazione. Segui le [best practice di sicurezza](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html) per il tuo account di gestione dell'organizzazione. Questi includono l'utilizzo di un indirizzo e-mail gestito dall'azienda, il mantenimento delle corrette informazioni di contatto amministrative e di sicurezza (ad esempio allegando un numero di telefono all'account nel caso in cui sia AWS necessario contattare il proprietario dell'account), l'attivazione dell'autenticazione a più fattori (MFA) per tutti gli utenti e la verifica regolare di chi ha accesso all'account di gestione dell'organizzazione. I servizi distribuiti nell'account di gestione dell'organizzazione devono essere configurati con ruoli, politiche di attendibilità e altre autorizzazioni appropriati in modo che gli amministratori di tali servizi (che devono accedervi nell'account di gestione dell'organizzazione) non possano accedere in modo inappropriato anche ad altri servizi.
## Policy di controllo dei servizi
Con [AWS Organizations](https://aws.amazon.com/organizations/), è possibile gestire centralmente le politiche su più livelli. Account AWS Ad esempio, è possibile applicare [le politiche di controllo del servizio](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp.html) (SCPs) a più Account AWS membri di un'organizzazione. SCPs ti consentono di definire quali elementi Servizio AWS APIs possono e non possono essere gestiti dai responsabili [IAM](https://aws.amazon.com/iam/) (come utenti e ruoli IAM) tra i membri Account AWS della tua organizzazione. SCPs vengono creati e applicati dall'account di gestione dell'organizzazione, che è Account AWS quello che hai usato quando hai creato la tua organizzazione. Per ulteriori informazioni, SCPs consulta la sezione [Utilizzo AWS Organizations per la sicurezza](organizations-security.md) riportata più avanti in questo riferimento.
Se gestisci AWS Control Tower la tua AWS organizzazione, questa implementerà [una serie di barriere preventive (classificate SCPs come](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails-reference.html) obbligatorie, fortemente consigliate o facoltative). Questi guardrail ti aiutano a gestire le tue risorse applicando i controlli di sicurezza a livello di organizzazione. Questi utilizzano SCPs automaticamente un tag con un valore di aws-control-tower. managed-by-control-tower
**Considerazione di natura progettuale**
SCPs riguardano solo *gli account dei membri* dell' AWS organizzazione. Sebbene vengano applicati dall'account di gestione dell'organizzazione, non hanno alcun effetto sugli utenti o sui ruoli di tale account. Per saperne di più su come funziona la logica di valutazione SCP e per vedere esempi di strutture consigliate, consultate il post AWS sul blog [How to use service control policies in AWS Organizations](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-in-aws-organizations/).
## Politiche di controllo delle risorse
[Le politiche di controllo delle risorse](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) (RCPs) offrono un controllo centralizzato sulle autorizzazioni massime disponibili per le risorse dell'organizzazione. Un RCP definisce una barriera di autorizzazioni o impone limiti alle azioni che le identità possono intraprendere sulle risorse dell'organizzazione. È possibile utilizzarlo RCPs per limitare gli utenti che possono accedere alle risorse e imporre i requisiti relativi all'accesso alle risorse da parte dei membri dell'organizzazione. Account AWS Puoi collegarti RCPs direttamente ai singoli account o alla OUs cartella principale dell'organizzazione. Per una spiegazione dettagliata del RCPs funzionamento, consulta la sezione [Valutazione RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_evaluation.html) nella AWS Organizations documentazione. Per ulteriori informazioni, RCPs consulta la sezione [Utilizzo AWS Organizations per la sicurezza](organizations-security.md) riportata più avanti in questo riferimento.
Se gestisci AWS Control Tower la tua AWS organizzazione, questa implementerà una serie di barriere preventive (classificate RCPs come obbligatorie, fortemente consigliate o facoltative). Questi guardrail ti aiutano a gestire le tue risorse applicando i controlli di sicurezza a livello di organizzazione. Questi utilizzano SCPs automaticamente un tag con un valore di`aws-control-tower`. `managed-by-control-tower`
**Considerazioni di natura progettuale**
RCPs influiscono solo sulle risorse ***degli account dei membri*** dell'organizzazione. Non hanno alcun effetto sulle risorse dell'account di gestione. Ciò significa che RCPs si applicano anche agli account dei membri designati come amministratori delegati.
RCPs si applicano alle risorse per un sottoinsieme di. Servizi AWS Per ulteriori informazioni, consulta [Elenco di Servizi AWS tale supporto RCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html#rcp-supported-services) nella AWS Organizations documentazione. Puoi utilizzare [AWS Lambda le funzioni [Regole di AWS Config](https://aws.amazon.com/config/)](https://aws.amazon.com/pm/lambda/)e per monitorare e automatizzare l'applicazione dei controlli di sicurezza su risorse che attualmente non sono supportate da RCPs.
## Policy dichiarative
Una politica dichiarativa è un tipo di politica di AWS Organizations gestione che consente di dichiarare e applicare a livello centralizzato la configurazione desiderata per un determinato elemento su larga scala Servizio AWS all'interno dell'organizzazione. Le politiche dichiarative attualmente supportano i [servizi Amazon](https://aws.amazon.com/ec2/) EC2, [Amazon VPC](https://aws.amazon.com/vpc/) [e](https://aws.amazon.com/ebs/) Amazon EBS. Gli attributi del servizio disponibili includono l'applicazione della versione 2 di Instance Metadata Service (IMDSv2), la risoluzione dei problemi tramite la console seriale EC2, l'autorizzazione delle impostazioni di Amazon [Machine Image (AMI)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) e il blocco dell'accesso pubblico agli snapshot di Amazon EBS, Amazon EC2 e alle risorse Amazon VPC. AMIs [Per i servizi e gli attributi supportati più recenti, consulta le politiche dichiarative nella documentazione.](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html#orgs_manage_policies_declarative-supported-controls) AWS Organizations
Puoi applicare la configurazione di base per an Servizio AWS effettuando alcune selezioni sulle AWS Control Tower console AWS Organizations e o utilizzando alcuni comandi AWS Command Line Interface ()AWS CLI e SDK. AWS Le politiche dichiarative vengono applicate nel piano di controllo del servizio, il che significa che la configurazione di base di an Servizio AWS viene sempre mantenuta, anche quando il servizio introduce nuove funzionalità o quando vengono aggiunti nuovi account a un'organizzazione o APIs quando vengono creati nuovi responsabili e risorse. Le politiche dichiarative possono essere applicate a un'intera organizzazione o a specifici account. OUs La *politica efficace* è l'insieme di regole ereditate dalla radice dell'organizzazione e OUs insieme alle politiche direttamente collegate all'account. Se una politica dichiarativa viene [scollegata](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html), lo stato dell'attributo tornerà allo stato precedente alla politica dichiarativa.
È possibile utilizzare politiche dichiarative per creare messaggi di errore personalizzati. Ad esempio, se un'operazione API fallisce a causa di una politica dichiarativa, è possibile impostare il messaggio di errore o fornire un URL personalizzato, ad esempio un collegamento a un wiki interno o un collegamento a un messaggio che descrive l'errore. Questo aiuta a fornire agli utenti maggiori informazioni in modo che possano risolvere il problema da soli. È inoltre possibile controllare il processo di creazione di politiche dichiarative, aggiornamento delle politiche dichiarative ed eliminazione delle politiche dichiarative utilizzando. AWS CloudTrail
Le politiche dichiarative forniscono *report sullo stato degli account,* che consentono di esaminare lo stato corrente di tutti gli attributi supportati dalle politiche dichiarative per gli account interessati. È possibile scegliere gli account e OUs includerli nell'ambito del rapporto oppure scegliere un'intera organizzazione selezionando la radice. Questo rapporto consente di valutare lo stato di preparazione fornendo una suddivisione per conto Regione AWS e specificando se lo stato corrente di un attributo è *uniforme tra i conti* (in base al `numberOfMatchedAccounts` valore) o *non coerente* *tra i conti* (in base al valore). `numberOfUnmatchedAccounts`
**Considerazione di natura progettuale**
Quando si configura un attributo di servizio utilizzando una politica dichiarativa, la politica potrebbe avere un impatto su più elementi. APIs Qualsiasi azione non conforme fallirà. Gli amministratori degli account non saranno in grado di modificare il valore dell'attributo di servizio a livello di singolo account.
## Accesso root centralizzato
Tutti gli account membri AWS Organizations hanno il proprio utente root, ovvero un'identità che ha accesso completo a tutte Servizi AWS le risorse di quell'account membro. IAM offre una gestione centralizzata degli accessi root per gestire l'accesso root su tutti gli account membri. Questo aiuta a prevenire l'utilizzo da parte degli utenti root membri e aiuta a fornire il ripristino su larga scala. La funzionalità di accesso root centralizzato ha due funzionalità essenziali: gestione delle credenziali root e sessioni root.
+ La funzionalità di gestione delle credenziali root consente la gestione centralizzata e aiuta a proteggere l'utente root su tutti gli account di gestione. Questa funzionalità include la rimozione delle credenziali root a lungo termine, la prevenzione del recupero delle credenziali root da parte degli account dei membri e il provisioning di nuovi account membro senza credenziali root per impostazione predefinita. Fornisce inoltre un modo semplice per dimostrare la conformità. Quando la gestione degli utenti root è centralizzata, è possibile rimuovere le password degli utenti root, le chiavi di accesso e i certificati di firma e disattivare l'autenticazione a più fattori (MFA) da tutti gli account membri.
+ La funzionalità delle sessioni root consente di eseguire azioni utente root privilegiate utilizzando credenziali a breve termine sugli account dei membri provenienti dall'account di gestione dell'organizzazione o dagli account amministratore delegati. Questa funzionalità consente di abilitare l'accesso root a breve termine limitato a azioni specifiche, in conformità al principio del privilegio minimo.
Per la gestione centralizzata delle credenziali root, è necessario abilitare le funzionalità di gestione delle credenziali root e delle sessioni root a livello di organizzazione dall'account di gestione dell'organizzazione o in un account amministratore delegato. Seguendo le best practice AWS SRA, deleghiamo questa funzionalità all'account Security Tooling. Per informazioni sulla configurazione e l'utilizzo dell'accesso centralizzato degli utenti root, consultate il post del blog sulla AWS sicurezza, [Gestire centralmente l'accesso root](https://aws.amazon.com/blogs/aws/centrally-managing-root-access-for-customers-using-aws-organizations/) per i clienti che utilizzano. AWS Organizations
## Centro identità IAM
[AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)è un servizio di federazione delle identità che ti aiuta a gestire centralmente l'accesso SSO a tutti i tuoi carichi di Account AWS lavoro, principali e cloud. IAM Identity Center ti aiuta anche a gestire l'accesso e le autorizzazioni alle applicazioni SaaS (Software as a Service) di terze parti di uso comune. I provider di identità si integrano con IAM Identity Center utilizzando SAML 2.0. Il bulk e il just-in-time provisioning possono essere eseguiti utilizzando il System for Cross-Domain Identity Management (SCIM). IAM Identity Center può anche integrarsi con domini AWS Microsoft Active Directory (AD) locali o gestiti come provider di identità tramite l'uso di. AWS Directory Service IAM Identity Center include un portale utenti in cui gli utenti finali possono trovare e accedere all' Account AWS IAM Identity Center, ai ruoli, alle applicazioni cloud e alle applicazioni personalizzate assegnati in un unico posto.
Per impostazione predefinita, IAM Identity Center si integra nativamente AWS Organizations e viene eseguito nell'account Org Management. Tuttavia, per esercitare il minimo privilegio e controllare rigorosamente l'accesso all'account di gestione, l'amministrazione di IAM Identity Center può essere delegata a un account membro specifico. Nell' AWS SRA, l'account Shared Services è l'account amministratore delegato per IAM Identity Center. [Prima di abilitare l'amministrazione delegata per IAM Identity Center, esamina queste considerazioni.](https://aws.amazon.com/blogs/security/getting-started-with-aws-sso-delegated-administration/#_Considerations_when_delegating) Ulteriori informazioni sulla delega sono disponibili nella sezione relativa all'[account di Shared Services](shared-services.md). Anche dopo aver abilitato la delega, IAM Identity Center deve comunque essere eseguito nell'account di gestione dell'organizzazione per eseguire determinate [attività relative a IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html#delegated-admin-tasks-member-account), tra cui la gestione dei set di autorizzazioni forniti nell'account di gestione dell'organizzazione.
All'interno della console IAM Identity Center, gli account vengono visualizzati in base all'unità organizzativa incapsulata. Ciò consente di scoprire rapidamente le proprie autorizzazioni Account AWS, applicare set comuni di autorizzazioni e gestire l'accesso da una posizione centrale.
IAM Identity Center include un archivio di identità in cui devono essere archiviate informazioni utente specifiche. Tuttavia, IAM Identity Center non deve essere la fonte autorevole per le informazioni sulla forza lavoro. Nei casi in cui l'azienda dispone già di una fonte autorevole, IAM Identity Center supporta i seguenti tipi di provider di identità (). IdPs
+ **IAM Identity Center identity store:** scegli questa opzione se le seguenti due opzioni non sono disponibili. Gli utenti vengono creati, le assegnazioni ai gruppi e le autorizzazioni vengono assegnate nell'archivio di identità. Anche se la fonte autorevole è esterna a IAM Identity Center, una copia degli attributi principali verrà archiviata nell'archivio di identità.
+ **Microsoft Active Directory (AD):** scegli questa opzione se desideri continuare a gestire gli utenti nella tua directory in AWS Directory Service for Microsoft Active Directory o nella directory autogestita in Active Directory.
+ **Provider di identità esterno:** scegli questa opzione se preferisci gestire gli utenti in un IdP esterno di terze parti basato su SAML.
Puoi fare affidamento su un IdP esistente già presente all'interno della tua azienda. Ciò semplifica la gestione dell'accesso su più applicazioni e servizi, poiché l'accesso viene creato, gestito e revocato da un'unica posizione. Ad esempio, se qualcuno lascia il tuo team, puoi revocare il suo accesso a tutte le applicazioni e i servizi (inclusi Account AWS) da un'unica posizione. Ciò riduce la necessità di più credenziali e offre l'opportunità di integrarsi con i processi relativi alle risorse umane (HR).
**Considerazione di natura progettuale**
Utilizza un IdP esterno se tale opzione è disponibile per la tua azienda. Se il tuo IdP supporta System for Cross-domain Identity Management (SCIM), sfrutta la funzionalità SCIM di IAM Identity Center per automatizzare il provisioning (sincronizzazione) di utenti, gruppi e autorizzazioni. Ciò consente ad AWS Access di rimanere sincronizzato con il flusso di lavoro aziendale per i nuovi assunti, i dipendenti che si trasferiscono in un altro team e i dipendenti che lasciano l'azienda. In qualsiasi momento, puoi avere solo una directory o un provider di identità SAML 2.0 connesso a IAM Identity Center. Tuttavia, puoi passare a un altro provider di identità.
## Consulente di accesso IAM
IAM access advisor fornisce dati di tracciabilità sotto forma di informazioni sull'ultimo accesso al servizio per te Account AWS e. OUs Usa questo controllo investigativo per contribuire a una strategia con [privilegi minimi](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). Per i responsabili IAM, puoi visualizzare due tipi di informazioni sull'ultimo accesso: informazioni consentite e Servizio AWS informazioni sulle azioni consentite. Le informazioni includono la data e l'ora in cui è stato effettuato il tentativo.
L'accesso IAM all'interno dell'account Org Management consente di visualizzare i dati dell'ultimo accesso al servizio per l'account Org Management, l'unità organizzativa, l'account membro o la politica IAM AWS dell'organizzazione. Queste informazioni sono disponibili nella console IAM all'interno dell'account di gestione e possono anche essere ottenute a livello di codice utilizzando IAM Access Advisor APIs in AWS CLI o un client programmatico. Le informazioni indicano quali entità di un'organizzazione o di un account hanno tentato l'ultimo accesso al servizio e quando. Le informazioni sull'ultimo accesso forniscono informazioni sull'utilizzo effettivo del servizio (vedi [scenari di esempio](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html)), in modo da poter ridurre le autorizzazioni IAM solo ai servizi effettivamente utilizzati.
## AWS Systems Manager
Quick Setup ed Explorer, che sono funzionalità di [AWS Systems Manager](https://aws.amazon.com/systems-manager/), supportano AWS Organizations e operano dall'account di gestione dell'organizzazione.
[Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-quick-setup.html) è una funzionalità di automazione di Systems Manager. Consente all'account Org Management di definire facilmente le configurazioni per consentire a Systems Manager di intervenire per conto dell'utente tra gli account AWS dell'organizzazione. È possibile abilitare la configurazione rapida in tutta l' AWS organizzazione o sceglierne di specifiche OUs. Quick Setup può pianificare AWS Systems Manager l'agente (agente SSM) per eseguire aggiornamenti bisettimanali sulle istanze EC2 e può impostare una scansione giornaliera di tali istanze per identificare le patch mancanti.
[Explorer](https://docs.aws.amazon.com/systems-manager/latest/userguide/Explorer.html) è una dashboard operativa personalizzabile che riporta informazioni sulle tue risorse. AWS Explorer mostra una visualizzazione aggregata dei dati operativi per i tuoi AWS account e per tutti Regioni AWS gli altri. Ciò include i dati sulle istanze EC2 e i dettagli sulla conformità delle patch. Dopo aver completato la configurazione integrata (che include anche Systems Manager OpsCenter) all'interno AWS Organizations, è possibile aggregare i dati in Explorer per unità organizzativa o per un'intera AWS organizzazione. Systems Manager aggrega i dati nell'account AWS Org Management prima di visualizzarli in Explorer.
La sezione [Workloads OU](application.md) più avanti in questa guida illustra l'uso dell'agente SSM sulle istanze EC2 nell'account dell'applicazione.
## AWS Control Tower
[AWS Control Tower](https://aws.amazon.com/controltower/)*offre un modo semplice per configurare e gestire un AWS ambiente sicuro con più account, chiamato landing zone.* AWS Control Tower crea la tua landing zone utilizzando AWS Organizations e fornisce una gestione e una governance degli account continue, nonché le migliori pratiche di implementazione. Puoi utilizzarlo AWS Control Tower per fornire nuovi account in pochi passaggi, assicurandoti al contempo che gli account siano conformi alle politiche organizzative. Puoi persino aggiungere account esistenti a un nuovo AWS Control Tower ambiente.
AWS Control Tower dispone di un set di funzionalità ampio e flessibile. Una caratteristica fondamentale è la sua capacità di *orchestrare* le funzionalità di molti altri [Servizi AWS](https://docs.aws.amazon.com/controltower/latest/userguide/integrated-services.html) AWS Organizations, AWS Service Catalog tra cui IAM Identity Center, per creare una landing zone. Ad esempio, per impostazione predefinita AWS Control Tower utilizza per AWS CloudFormation stabilire una linea di base, politiche di controllo del AWS Organizations servizio (SCPs) per prevenire modifiche alla configurazione e Regole di AWS Config regole per rilevare continuamente le non conformità. AWS Control Tower [utilizza progetti che consentono di allineare rapidamente l' AWS ambiente multi-account ai principi di progettazione delle basi di sicurezza di Well Architected.AWS](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/security.html) Tra le funzionalità di governance, AWS Control Tower offre barriere che impediscono l'implementazione di risorse non conformi a politiche selezionate.
Puoi iniziare a implementare le linee guida AWS SRA con. AWS Control Tower Ad esempio, AWS Control Tower crea un' AWS organizzazione con l'architettura multi-account consigliata. Fornisce progetti per fornire la gestione delle identità, fornire l'accesso federato agli account, centralizzare la registrazione, stabilire controlli di sicurezza su più account, definire un flusso di lavoro per il provisioning di nuovi account e implementare le linee di base degli account con le configurazioni di rete.
In AWS SRA, AWS Control Tower rientra nell'account di gestione dell'organizzazione perché AWS Control Tower utilizza questo account per configurare automaticamente un' AWS organizzazione e designa tale account come account di gestione. Questo account viene utilizzato per la fatturazione all'interno dell'organizzazione. AWS Viene anche utilizzato per la fornitura di account da parte di Account Factory, per gestire OUs e gestire i guardrail. Se si esegue l'avvio AWS Control Tower in un' AWS organizzazione esistente, è possibile utilizzare l'account di gestione esistente. AWS Control Tower utilizzerà quell'account come account di gestione designato.
**Considerazione di natura progettuale**
Se desideri eseguire ulteriori operazioni di base dei controlli e delle configurazioni dei tuoi account, puoi utilizzare [Customizations for AWS Control Tower](https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/) (cFCT). Con cFct, puoi personalizzare la tua AWS Control Tower landing zone utilizzando un CloudFormation modello e SCPs. Puoi distribuire il modello e le politiche personalizzati su singoli account e OUs all'interno della tua organizzazione. cFCT si integra con gli eventi AWS Control Tower del ciclo di vita per garantire che l'implementazione delle risorse rimanga sincronizzata con la landing zone.
## AWS Artifact
[AWS Artifact](https://aws.amazon.com/artifact/)fornisce accesso su richiesta ai report di AWS sicurezza e conformità e ad accordi online selezionati. I report disponibili AWS Artifact includono report SOC (System and Organization Controls), report PCI (Payment Card Industry) e certificazioni di organismi di accreditamento di diverse aree geografiche e verticali di conformità che convalidano l'implementazione e l'efficacia operativa dei controlli di sicurezza. AWS AWS Artifact vi aiuta a svolgere la due diligence con una maggiore trasparenza nel nostro ambiente di controllo della sicurezza AWS . Inoltre, consente di monitorare continuamente la sicurezza e la conformità AWS con accesso immediato ai nuovi report.
AWS Artifact Gli accordi consentono di esaminare, accettare e tenere traccia dello stato di AWS accordi come il Business Associate Addendum (BAA) per un singolo account e per gli account di cui fanno parte dell'organizzazione. AWS Organizations
È possibile fornire gli elementi di AWS controllo ai revisori o alle autorità di regolamentazione come prova dei controlli di sicurezza. AWS Puoi anche utilizzare le indicazioni sulla responsabilità fornite da alcuni degli elementi di AWS audit per progettare la tua architettura cloud. Questa guida aiuta a determinare i controlli di sicurezza aggiuntivi che è possibile mettere in atto per supportare i casi d'uso specifici del sistema.
AWS Artifact è ospitato nell'account di gestione dell'organizzazione per fornire una posizione centrale in cui è possibile rivedere, accettare e gestire gli accordi con AWS. Questo perché gli accordi accettati nell'account di gestione confluiscono negli account dei membri.
**Considerazione di natura progettuale**
Gli utenti all'interno dell'account di gestione dell'organizzazione devono essere limitati a utilizzare solo la funzionalità Accordi AWS Artifact e nient'altro. Per implementare la separazione delle mansioni, AWS Artifact è anche ospitata nell'account Security Tooling, dove è possibile delegare le autorizzazioni alle parti interessate alla conformità e ai revisori esterni per accedere agli artefatti di controllo. È possibile implementare questa separazione definendo politiche di autorizzazione IAM granulari. Per alcuni esempi, consulta [Esempi di politiche IAM nella documentazione](https://docs.aws.amazon.com/artifact/latest/ug/security-iam.html#example-iam-policies). AWS
## Guardrail dei servizi di sicurezza distribuiti e centralizzati
In AWS SRA,,, Amazon AWS Security Hub AWS Security Hub CSPM GuardDuty, AWS Config IAM Access Analyzer, gli itinerari AWS CloudTrail organizzativi e spesso Amazon Macie vengono distribuiti con un set di barriere delegate appropriato tra gli account e forniscono anche monitoraggio, gestione e governance centralizzati in tutta l'organizzazione. AWS Troverai questo gruppo di servizi in ogni tipo di account rappresentato nell'SRA. AWS Questi dovrebbero far parte di Servizi AWS ciò che deve essere fornito nell'ambito del processo di registrazione e baselining dell'account. L'[archivio del GitHub codice](https://github.com/aws-samples/aws-security-reference-architecture-examples) fornisce un esempio di implementazione di servizi AWS incentrati sulla sicurezza in tutti gli account, incluso l'account di gestione dell'organizzazione. AWS
Oltre a questi servizi, AWS SRA include due servizi incentrati sulla sicurezza, Amazon Detective e AWS Audit Manager, che supportano l'integrazione e la funzionalità di amministratore delegato in. AWS Organizations Tuttavia, questi non sono inclusi tra i servizi consigliati per la baseline degli account. Abbiamo visto che questi servizi vengono utilizzati al meglio nei seguenti scenari:
+ Disponi di un team o di un gruppo di risorse dedicato che svolgono tali funzioni di analisi forense digitale e audit IT. Detective viene utilizzato al meglio dai team di analisti della sicurezza e Audit Manager è utile per i team interni di audit o conformità.
+ Desideri concentrarti su un set di strumenti di base come AWS Config Amazon e GuardDuty AWS Security Hub, AWS Security Hub CSPM all'inizio del tuo progetto, per poi sfruttare questi strumenti utilizzando servizi che forniscono funzionalità aggiuntive.
# Security OU — Account Security Tooling
| |
| --- |
| Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un [breve sondaggio](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua). |
Il diagramma seguente illustra i servizi AWS di sicurezza configurati nell'account Security Tooling.
![\[Servizi di sicurezza per l'account Security Tooling.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/security-reference-architecture/images/security-tooling-acct.png)
L'account Security Tooling è dedicato alla gestione dei servizi di sicurezza, al monitoraggio Account AWS e all'automazione degli avvisi e delle risposte di sicurezza. Gli obiettivi di sicurezza includono i seguenti:
+ Fornisci un account dedicato con accesso controllato per gestire l'accesso alle barriere di sicurezza, il monitoraggio e la risposta.
+ Mantieni l'infrastruttura di sicurezza centralizzata appropriata per monitorare i dati delle operazioni di sicurezza e mantenere la tracciabilità. Il rilevamento, l'indagine e la risposta sono parti essenziali del ciclo di vita della sicurezza e possono essere utilizzati per supportare un processo di qualità, un obbligo legale o di conformità e per l'identificazione e la risposta alle minacce.
+ Supporta ulteriormente una strategia defense-in-depth organizzativa mantenendo un altro livello di controllo sulla configurazione e sulle operazioni di sicurezza appropriate, come le chiavi di crittografia e le impostazioni dei gruppi di sicurezza. Questo è un account in cui lavorano gli operatori di sicurezza. I ruoli di sola lettura/controllo per visualizzare le informazioni a AWS livello di organizzazione sono tipici, mentre i write/modify ruoli sono in numero limitato, strettamente controllati, monitorati e registrati.
**Considerazioni di natura progettuale**
AWS Control Tower *per impostazione predefinita, assegna all'account dell'unità organizzativa di sicurezza il nome Account di controllo.* È possibile rinominare l'account durante la AWS Control Tower configurazione.
Potrebbe essere opportuno avere più di un account Security Tooling. Ad esempio, il monitoraggio e la risposta agli eventi di sicurezza vengono spesso assegnati a un team dedicato. La sicurezza della rete potrebbe richiedere un account e ruoli propri in collaborazione con l'infrastruttura cloud o il team di rete. Tali divisioni mantengono l'obiettivo di separare le enclave di sicurezza centralizzate e enfatizzano ulteriormente la separazione dei compiti, il privilegio minimo e la potenziale semplicità delle assegnazioni dei team. Se si utilizza AWS Control Tower, limita la creazione di ulteriori elementi nell'unità organizzativa di sicurezza. Account AWS
## Amministratore delegato per i servizi di sicurezza
L'account Security Tooling funge da account amministratore per i servizi di sicurezza gestiti in una administrator/member struttura in tutto il. Account AWS Come accennato in precedenza, questo viene gestito tramite la funzionalità di amministratore AWS Organizations delegato. I servizi dell' AWS SRA che [attualmente supportano l'amministratore delegato](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) includono la gestione centralizzata IAM dell'accesso root,, AWS Firewall Manager Amazon AWS Config, IAM Access Analyzer GuardDuty, Amazon Macie,, Amazon AWS Security Hub Detective, AWS Security Hub CSPM AWS Audit Manager Amazon Inspector e. AWS CloudTrail AWS Systems Manager Il tuo team di sicurezza gestisce le funzionalità di sicurezza di questi servizi e monitora eventuali eventi o risultati specifici relativi alla sicurezza.
AWS IAM Identity Center supporta l'amministrazione delegata di un account membro. AWS SRA utilizza l'account Shared Services come account amministratore delegato per IAM Identity Center, come spiegato più avanti nella sezione [IAM Identity Center](shared-services.md#shared-sso) dell'account Shared Services.
## Accesso root centralizzato
L'account Security Tooling**** è l'account amministratore delegato per la gestione centralizzata IAM della funzionalità di accesso root. ****Questa funzionalità deve essere abilitata a livello di organizzazione abilitando la gestione delle credenziali e l'azione root privilegiata negli account dei membri. Agli amministratori delegati devono essere fornite esplicitamente `sts:AssumeRoot` le autorizzazioni per poter eseguire azioni root privilegiate per conto degli account dei membri. Questa autorizzazione è disponibile solo dopo che l'azione root privilegiata in un account membro è stata abilitata nell'account di gestione dell'organizzazione o nell'account amministratore delegato. Con questa autorizzazione, gli utenti possono eseguire attività di utente root privilegiato sugli account dei membri, centralmente dall'account Security Tooling. Dopo aver avviato una sessione privilegiata, è possibile eliminare una policy del bucket S3 non configurata correttamente, eliminare una politica di coda SQS non configurata correttamente, eliminare le credenziali dell'utente root per un account membro e riattivare le credenziali dell'utente root per un account membro. È possibile eseguire queste azioni dalla console, utilizzando () o tramite. AWS Command Line Interface AWS CLI APIs
## AWS CloudTrail
[AWS CloudTrail](https://aws.amazon.com/cloudtrail/)è un servizio che supporta la governance, la conformità e il controllo delle attività nel tuo Account AWS. Con CloudTrail, puoi registrare, monitorare continuamente e conservare le attività dell'account relative alle azioni sull' AWS infrastruttura. CloudTrail è integrato con AWS Organizations e tale integrazione può essere utilizzata per creare un unico percorso che registra tutti gli eventi per tutti gli account dell' AWS organizzazione. Questo tipo di trail viene indicato come *trail dell'organizzazione*. È possibile creare e gestire un percorso organizzativo solo dall'interno dell'account di gestione dell'organizzazione o da un account amministratore delegato. Quando si crea un percorso organizzativo, viene creato un percorso con il nome specificato in ogni percorso Account AWS che appartiene all' AWS organizzazione. Il trail registra l'attività di tutti gli account, incluso l'account di gestione, dell' AWS organizzazione e archivia i log in un unico bucket S3. Data la sensibilità di questo bucket S3, dovresti proteggerlo seguendo le best practice descritte nella sezione [Amazon S3 come archivio di log centrale più avanti](log-archive.md#log-s3) in questa guida. Tutti gli account AWS dell'organizzazione possono visualizzare il percorso dell'organizzazione nel proprio elenco di percorsi. Tuttavia, i membri Account AWS hanno accesso in sola visualizzazione a questo percorso. Per impostazione predefinita, quando si crea un percorso organizzativo nella CloudTrail console, il percorso è un percorso multiregionale. Per ulteriori best practice di sicurezza, consulta la [CloudTraildocumentazione](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html).
In AWS SRA, l'account Security Tooling è l'account amministratore delegato per la gestione. CloudTrail Il bucket S3 corrispondente per archiviare i log dell'organizzazione viene creato nell'account Log Archive. Questo serve a separare la gestione e l'utilizzo dei privilegi di CloudTrail registro. [Per informazioni su come creare o aggiornare un bucket S3 per archiviare i file di registro per un percorso organizzativo, consulta la documentazione. CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-s3-bucket-policy-for-cloudtrail.html#org-trail-bucket-policy) Come best practice di sicurezza, aggiungi la chiave di `aws:SourceArn` condizione dell'organigramma alla politica delle risorse del bucket S3 (e a qualsiasi altra risorsa come le chiavi KMS o gli argomenti SNS). Ciò garantisce che il bucket S3 accetti solo i dati associati al percorso specifico. Il percorso è configurato con la convalida dei file di registro per la convalida dell'integrità dei file di registro. I file di log e digest vengono crittografati utilizzando SSE-KMS. L'organigramma è inoltre integrato con un gruppo di log in CloudWatch Logs per inviare eventi per la conservazione a lungo termine.
**Nota**
È possibile creare e gestire gli itinerari organizzativi sia dagli account di gestione che dagli account di amministratore delegato. Tuttavia, come best practice, è necessario limitare l'accesso all'account di gestione e utilizzare la funzionalità di amministratore delegato laddove disponibile.
**Considerazioni di natura progettuale**
CloudTrail per impostazione predefinita, non registra gli eventi relativi ai dati, poiché si tratta spesso di attività ad alto volume. Tuttavia, è necessario acquisire gli eventi relativi ai dati per AWS risorse critiche specifiche come i bucket S3, le funzioni Lambda, gli eventi di registro dall'esterno AWS che vengono inviati al CloudTrail lago e gli argomenti SNS. A tale scopo, configura il percorso organizzativo in modo che includa gli eventi relativi ai dati provenienti da risorse specifiche specificando le singole risorse. ARNs
Se un account membro richiede l'accesso ai file di CloudTrail registro per il proprio account, puoi [condividere selettivamente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-sharing-logs.html) i file di CloudTrail registro dell'organizzazione dal bucket S3 centrale. Tuttavia, se gli account membri richiedono gruppi di CloudWatch log Amazon locali per CloudTrail i log del proprio account o desiderano configurare la gestione dei log e gli eventi relativi ai dati (sola lettura, sola scrittura, eventi di gestione, eventi relativi ai dati) in modo diverso dall'organigramma, possono creare un percorso locale con i controlli appropriati. [I percorsi locali specifici per account comportano costi aggiuntivi.](https://aws.amazon.com/cloudtrail/pricing/)
## AWS Security Hub CSPM
[AWS Security Hub Cloud Security Posture Management](https://aws.amazon.com/security-hub/cspm/) (AWS Security Hub CSPM), precedentemente noto come AWS Security Hub, ti offre una visione completa del tuo livello di sicurezza e ti aiuta a controllare il tuo ambiente rispetto agli AWS standard e alle migliori pratiche del settore della sicurezza. Security Hub CSPM raccoglie dati di sicurezza da servizi AWS integrati, prodotti di terze parti supportati e altri prodotti di sicurezza personalizzati che potresti utilizzare. Aiuta a monitorare e analizzare costantemente le tendenze di sicurezza e a identificare i problemi di sicurezza più importanti. Oltre alle fonti acquisite, Security Hub CSPM genera i propri risultati, che sono rappresentati da controlli di sicurezza mappati a uno o più standard di sicurezza. Questi standard includono AWS Foundational Security Best Practices (FSBP), Center for Internet Security (CIS) AWS Foundations Benchmark v1.20 e v1.4.0, National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5, Payment Card Industry Data Security Standard (PCI DSS) e [standard di gestione dei servizi](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standards.html). Per un elenco degli standard di sicurezza attuali e dettagli su controlli di sicurezza specifici, vedere il [riferimento agli standard per Security Hub CSPM nella documentazione CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html) di Security Hub.
Security Hub CSPM si integra AWS Organizations per semplificare la gestione del livello di sicurezza su tutti gli account esistenti e futuri dell'organizzazione. AWS È possibile utilizzare la [funzionalità di configurazione centrale](https://docs.aws.amazon.com/securityhub/latest/userguide/central-configuration-intro.html) CSPM di Security Hub dall'account amministratore delegato (in questo caso, Security Tooling) per specificare in che modo il servizio CSPM di Security Hub, gli standard di sicurezza e i controlli di sicurezza sono configurati negli account e nelle unità organizzative dell'organizzazione () tra le regioni. OUs *È possibile configurare queste impostazioni in pochi passaggi da una regione principale, denominata regione di origine.* Se non utilizzi la configurazione centrale, devi configurare Security Hub CSPM separatamente in ogni account e regione. L'amministratore delegato può designare account e OUs *gestirli autonomamente*, in cui il membro può configurare le impostazioni separatamente in ciascuna regione, oppure *gestirli centralmente*, in cui l'amministratore delegato può configurare l'account membro o l'unità organizzativa tra le regioni. È possibile designare tutti gli account e OUs quelli dell'organizzazione come gestiti centralmente, tutti autogestiti o una combinazione di entrambi. Ciò semplifica l'applicazione di una configurazione coerente, fornendo al contempo la flessibilità necessaria per modificarla per ogni unità organizzativa e account.
L'account amministratore delegato Security Hub CSPM può anche visualizzare risultati, visualizzare approfondimenti e controllare i dettagli di tutti gli account dei membri. È inoltre possibile designare una regione di aggregazione all'interno dell'account amministratore delegato per centralizzare i risultati tra i propri account e le regioni collegate. I risultati vengono sincronizzati in modo continuo e bidirezionale tra la regione di aggregazione e tutte le altre regioni.
Security Hub CSPM supporta integrazioni con diversi. Servizi AWS Amazon GuardDuty, Amazon Macie AWS Config, IAM Access Analyzer, Amazon AWS Firewall Manager Inspector, Amazon Route 53 Resolver DNS Firewall e AWS Systems Manager Patch Manager possono inviare i risultati al Security Hub CSPM. Security Hub CSPM elabora i risultati utilizzando un formato standard chiamato [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html). Security Hub CSPM mette in correlazione i risultati tra i prodotti integrati per dare priorità a quelli più importanti. Puoi arricchire i metadati dei risultati CSPM di Security Hub per contribuire a contestualizzare, dare priorità e agire meglio sui risultati di sicurezza. Questo arricchimento aggiunge tag di risorsa, un nuovo tag di AWS applicazione e informazioni sul nome dell'account a ogni risultato che viene inserito in Security Hub CSPM. Ciò consente di ottimizzare i risultati per le regole di automazione, cercare o filtrare risultati e approfondimenti e valutare lo stato del livello di sicurezza per applicazione. Inoltre, puoi utilizzare [le regole di automazione](https://docs.aws.amazon.com/securityhub/latest/userguide/automation-rules.html#automation-rules-how-it-works) per aggiornare automaticamente i risultati. Quando Security Hub CSPM acquisisce i risultati, può applicare una serie di azioni relative alle regole, come sopprimere i risultati, modificarne la gravità e aggiungere note ai risultati. Queste azioni relative alle regole hanno effetto quando i risultati soddisfano i criteri specificati, ad esempio la risorsa o l'account a cui è associato IDs il risultato o il relativo titolo. È possibile utilizzare le regole di automazione per aggiornare alcuni campi di ricerca nell'ASFF. Le regole si applicano sia ai risultati nuovi che a quelli aggiornati.
Durante l'indagine su un evento di sicurezza, puoi passare dal CSPM di Security Hub ad Amazon Detective per indagare su un GuardDuty risultato. Security Hub CSPM consiglia di allineare gli account degli amministratori delegati per servizi come Detective (laddove esistono) per un'integrazione più fluida. Ad esempio, se non allinei gli account amministratore tra Detective e Security Hub CSPM, la navigazione dai risultati a Detective non funzionerà. Per un elenco completo, consulta [Panoramica delle Servizio AWS integrazioni con Security Hub CSPM nella documentazione CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html#internal-integrations-summary) di Security Hub.
Puoi utilizzare Security Hub CSPM con la funzionalità [Network Access Analyzer](https://aws.amazon.com/blogs/aws/new-amazon-vpc-network-access-analyzer/) di Amazon VPC per monitorare continuamente la conformità della configurazione di rete. AWS Questo ti aiuterà a bloccare l'accesso indesiderato alla rete e a impedire l'accesso esterno alle risorse critiche. Per ulteriori dettagli sull'architettura e sull'implementazione, consulta il post AWS sul blog [Verifica continua della conformità della rete utilizzando Amazon VPC Network Access Analyzer](https://aws.amazon.com/blogs/networking-and-content-delivery/continuous-verification-of-network-compliance-using-amazon-vpc-network-access-analyzer-and-aws-security-hub/) e. AWS Security Hub CSPM
Oltre alle sue funzionalità di monitoraggio, Security Hub CSPM supporta l'integrazione con Amazon EventBridge per automatizzare la correzione di risultati specifici. È possibile definire azioni personalizzate da intraprendere quando si riceve un risultato. Ad esempio, puoi configurare operazioni personalizzate per inviare risultati a un sistema di ticket o a un sistema di correzione automatizzato. Per ulteriori discussioni ed esempi, consulta i post del AWS blog [Risposta e correzione automatizzate con AWS Security Hub CSPM e Come implementare la AWS soluzione per la risposta](https://aws.amazon.com/blogs/security/automated-response-and-remediation-with-aws-security-hub/) [e la correzione automatizzate CSPM di Security Hub](https://aws.amazon.com/blogs/security/how-to-deploy-the-aws-solution-for-security-hub-automated-response-and-remediation/).
Security Hub CSPM utilizza service-linked Regole di AWS Config per eseguire la maggior parte dei controlli di sicurezza. Per supportare questi controlli, [AWS Config deve essere abilitato su tutti gli account, inclusi l'account](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) amministratore (o amministratore delegato) e gli account membro, in tutti gli account in cui è abilitato Security Regione AWS Hub CSPM.
**Considerazioni di natura progettuale**
Se uno standard di conformità, come PCI-DSS, è già presente in Security Hub CSPM, il servizio CSPM Security Hub completamente gestito è il modo più semplice per renderlo operativo. Tuttavia, se si desidera creare uno standard di conformità o sicurezza personalizzato, che potrebbe includere controlli di sicurezza, operativi o di ottimizzazione dei costi, i pacchetti di conformità offrono un processo di personalizzazione semplificato. AWS Config (Per ulteriori informazioni sui pacchetti di conformità, AWS Config consulta la sezione.) [AWS Config](#tool-config)
I casi d'uso più comuni per Security Hub CSPM includono i seguenti:
Come dashboard che offre visibilità ai proprietari delle applicazioni sullo stato di sicurezza e conformità delle loro risorse AWS
Come punto di vista centrale dei risultati di sicurezza utilizzati dalle operazioni di sicurezza, dai soccorritori agli incidenti e dai cacciatori di minacce per valutare e intervenire sui risultati di AWS sicurezza e conformità in tutte le regioni Account AWS
Per aggregare e indirizzare i risultati di sicurezza e conformità provenienti da diverse regioni, verso un sistema centralizzato di gestione delle informazioni Account AWS e degli eventi di sicurezza (SIEM) o altro sistema di orchestrazione della sicurezza
Per ulteriori indicazioni su questi casi d'uso, incluso come configurarli, consulta il post sul blog [Tre modelli di utilizzo ricorrenti del Security Hub CSPM e come](https://aws.amazon.com/blogs/security/three-recurring-security-hub-usage-patterns-and-how-to-deploy-them/) implementarli.
**Esempio di implementazione**
La [libreria di codici AWS SRA](https://github.com/aws-samples/aws-security-reference-architecture-examples) fornisce un'implementazione di esempio di [Security Hub CSPM](https://github.com/aws-samples/aws-security-reference-architecture-examples/blob/main/aws_sra_examples/solutions/securityhub/securityhub_org). Include l'attivazione automatica del servizio, l'amministrazione delegata a un account membro (Security Tooling) e la configurazione per abilitare Security Hub CSPM per tutti gli account esistenti e futuri dell'organizzazione. AWS
## AWS Security Hub
[AWS Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub-v2.html)è una soluzione di sicurezza cloud unificata che dà priorità alle minacce critiche alla sicurezza e ti aiuta a rispondere su larga scala. Security Hub rileva i problemi di sicurezza quasi in tempo reale correlando e arricchendo automaticamente i segnali di sicurezza provenienti da più fonti, come la gestione della postura (AWS Security Hub CSPM), la gestione delle vulnerabilità (Amazon Inspector), i dati sensibili (Amazon Macie) e il rilevamento delle minacce (Amazon). GuardDuty Ciò consente ai team di sicurezza di dare priorità ai rischi attivi nei loro ambienti cloud attraverso analisi automatizzate e approfondimenti contestuali. Security Hub fornisce una rappresentazione visiva del potenziale percorso di attacco che gli aggressori possono sfruttare per accedere alle risorse associate a un rilevamento dell'esposizione. Questo trasforma segnali di sicurezza complessi in informazioni fruibili, in modo da poter prendere rapidamente decisioni informate sulla sicurezza.
Security Hub è stato riprogettato strategicamente per semplificare l'abilitazione degli elementi costitutivi dei servizi di sicurezza associati per arrivare a un risultato di sicurezza. Correlando i risultati sulla sicurezza in una matrice di minacce tra diversi segnali di sicurezza quasi in tempo reale, puoi dare priorità ai rischi più critici per primi. I risultati sono correlati per rilevare l'esposizione associata alle risorse. AWS Le esposizioni rappresentano punti deboli più ampi nei controlli di sicurezza, configurazioni errate o altre aree che potrebbero essere sfruttate dalle minacce attive. Ad esempio, un'esposizione potrebbe essere un'istanza EC2 raggiungibile da Internet e che presenta vulnerabilità software che hanno un'alta probabilità di sfruttamento.
Security Hub e Security Hub CSPM sono servizi complementari. [Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) offre una visione completa del tuo livello di sicurezza e ti aiuta a valutare il tuo ambiente cloud rispetto agli standard e alle best practice del settore della sicurezza. Security Hub offre un'esperienza unificata che ti aiuta a stabilire le priorità e a rispondere ai problemi di sicurezza critici. I risultati CSPM di Security Hub vengono indirizzati automaticamente a Security Hub, dove vengono correlati ai risultati di altri servizi di sicurezza, come Amazon Inspector, per generare esposizioni. Questo ti aiuta a identificare i rischi più critici nel tuo ambiente.
Security Hub fornisce anche un riepilogo delle risorse presenti nell' AWS ambiente per tipo e risultati associati. Alle risorse viene data priorità in base alle esposizioni e alle sequenze di attacco. Quando scegli un tipo di risorsa, puoi esaminare tutte le risorse associate a quel tipo di risorsa.
[Per un'esperienza ottimale, [consigliamo](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-recommendations.html) di abilitare Security Hub e Security Hub CSPM, oltre a questi altri servizi di sicurezza: Amazon GuardDuty, [Amazon](https://aws.amazon.com/guardduty/)[Inspector e Amazon](https://aws.amazon.com/inspector/) Macie.](https://aws.amazon.com/macie/) Puoi verificare se questi servizi e funzionalità sono abilitati in modo uniforme su tutti gli account membri della tua organizzazione utilizzando i risultati della copertura del Security Hub.
Nell' AWS SRA, l'account Security Tooling funge da amministratore delegato per Security Hub, Security Hub CSPM e altri servizi di sicurezza. AWS All'interno dell'account Security Tooling è possibile visualizzare tutte le risorse associate agli account dei membri. Puoi anche visualizzare tutte le risorse della tua home page Regione AWS da Linked Regioni AWS.
**Nota di implementazione**
[L'attivazione di Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-enable.html#securityhub-v2-enable-management-account) richiede tre passaggi, comprese le procedure che tengono conto dell'eventuale attivazione o meno di Security Hub CSPM in precedenza. Security Hub è integrato nativamente con AWS Organizations, il che semplifica il processo di configurazione e implementazione e centralizza e aggrega tutti i risultati in un'unica posizione. In conformità con le best practice AWS SRA, utilizzate l'account [Security Tooling come account](dedicated-accounts.md) amministratore delegato per gestire e configurare Security Hub. Utilizza le impostazioni di configurazione di Security Hub per abilitare automaticamente tutte le regioni e gli account, incluse le regioni e gli account futuri. OUs È inoltre necessario configurare l'aggregazione tra regioni per aggregare risultati, risorse e tendenze provenienti da più regioni Regioni AWS in un'unica area geografica. Durante la configurazione, puoi anche abilitare qualsiasi integrazione nativa come Jira Cloud o. ServiceNow
**Considerazioni di natura progettuale**
I risultati di Security Hub sono formattati nell'Open Cybersecurity Schema Framework (OCSF). Security Hub genera risultati in OCSF e riceve risultati in OCSF da Security Hub CSPM e altri. Servizi AWS Questi risultati OCSF possono essere inviati su Amazon EventBridge per l'automazione o archiviati in un account di aggregazione dei log centrale per eseguire l'analisi e la conservazione dei log di sicurezza.
L'account AWS Org Management non può designarsi come amministratore delegato in Security Hub. Ciò è in linea con la best practice AWS SRA di designare l'account Security Tooling come amministratore delegato. Nota inoltre:
L'account amministratore designato per Security Hub CSPM diventa automaticamente l'amministratore designato per Security Hub.
La rimozione dell'amministrazione delegata tramite Security Hub rimuove anche l'amministrazione delegata per Security Hub CSPM. Allo stesso modo, la rimozione dell'amministrazione delegata tramite Security Hub CSPM rimuove anche l'amministrazione delegata per Security Hub.
Security Hub include funzionalità che modificano e agiscono automaticamente sui risultati in base alle specifiche dell'utente, Security Hub supporta i seguenti tipi di automazioni:
Regole di automazione, che aggiornano automaticamente i risultati, li sopprimono e li inviano agli strumenti di ticketing quasi in tempo reale sulla base di criteri definiti.
Risposta e correzione automatizzate, che creano EventBridge regole personalizzate che definiscono azioni automatiche da intraprendere in base a risultati e approfondimenti specifici.
Security Hub può configurare Amazon Inspector in tutti gli account membri e le regioni tramite politiche e può configurare GuardDuty il Security Hub CSPM tramite la distribuzione. Le politiche generano AWS Organizations politiche per account e regioni. Le distribuzioni sono azioni una tantum che abilitano una funzionalità di sicurezza su account e regioni selezionati. Le distribuzioni non si applicano ai nuovi account abilitati. In alternativa, puoi abilitare automaticamente le funzionalità per gli account dei nuovi membri in GuardDuty e Security Hub CSPM.
## Amazon GuardDuty
[Amazon GuardDuty](https://aws.amazon.com/guardduty/) è un servizio di rilevamento delle minacce che monitora continuamente le attività dannose e i comportamenti non autorizzati per proteggere i tuoi Account AWS carichi di lavoro. Devi sempre acquisire e archiviare i log appropriati per scopi di monitoraggio e controllo, ma GuardDuty estrae flussi di dati indipendenti direttamente dai log di flusso di AWS CloudTrail Amazon VPC e dai log DNS. AWS Non è necessario gestire le policy dei bucket di Amazon S3 o modificare il modo in cui raccogli e archivia i log. GuardDutyle autorizzazioni sono gestite come ruoli collegati ai servizi che puoi revocare in qualsiasi momento disabilitandoli. GuardDuty Ciò semplifica l'attivazione del servizio senza configurazioni complesse ed elimina il rischio che una modifica delle autorizzazioni IAM o una modifica della policy del bucket S3 influiscano sul funzionamento del servizio.
Oltre a fornire [fonti di dati di base](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html), GuardDuty offre funzionalità opzionali per identificare i problemi di sicurezza. Questi includono EKS Protection, RDS Protection, S3 Protection, Malware Protection e Lambda Protection. Per i nuovi rilevatori, queste funzionalità opzionali sono abilitate di default ad eccezione di EKS Protection, che deve essere abilitata manualmente.
+ Con [GuardDuty S3 Protection](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html), GuardDuty monitora gli eventi relativi ai dati di Amazon S3 oltre CloudTrail agli eventi di gestione predefiniti. CloudTrail Il monitoraggio degli eventi relativi ai dati consente di GuardDuty monitorare le operazioni API a livello di oggetto per individuare potenziali rischi per la sicurezza dei dati all'interno dei bucket S3.
+ [GuardDuty Malware Protection](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html) rileva la presenza di malware sulle istanze Amazon EC2 o sui carichi di lavoro dei container avviando scansioni senza agenti sui volumi Amazon Elastic Block Store (Amazon EBS) collegati. GuardDuty rileva inoltre il potenziale malware nei bucket S3 scansionando gli oggetti appena caricati o le nuove versioni di oggetti esistenti.
+ [GuardDuty RDS Protection](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) è progettato per profilare e monitorare l'attività di accesso ai database Amazon Aurora senza influire sulle prestazioni del database.
+ [GuardDuty EKS Protection](https://docs.aws.amazon.com/guardduty/latest/ug/kubernetes-protection.html) include EKS Audit Log Monitoring e EKS Runtime Monitoring. Con EKS Audit Log Monitoring, GuardDuty monitora i [log di audit Kubernetes dai cluster Amazon EKS](https://docs.aws.amazon.com/guardduty/latest/ug/features-kubernetes-protection.html#guardduty_k8s-audit-logs) e li analizza per attività potenzialmente dannose e sospette. EKS Runtime Monitoring utilizza l'agente di GuardDuty sicurezza (che è un componente aggiuntivo di Amazon EKS) per fornire visibilità di runtime nei singoli carichi di lavoro Amazon EKS. L'agente GuardDuty di sicurezza aiuta a identificare contenitori specifici all'interno dei cluster Amazon EKS che sono potenzialmente compromessi. Può anche rilevare i tentativi di trasferire i privilegi da un singolo container all'host Amazon EC2 sottostante o all'ambiente più ampio. AWS
GuardDuty fornisce inoltre una funzionalità nota come [Extended Threat Detection](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-extended-threat-detection.html) che rileva automaticamente gli attacchi in più fasi che riguardano fonti di dati, più tipi di risorse e un periodo di tempo all'interno di un. AWS Account AWS GuardDutymette in correlazione questi eventi, denominati *segnali*, per identificare gli scenari che si presentano come potenziali minacce all' AWS ambiente e quindi genera una ricerca della sequenza di attacco. Sono compresi gli scenari di minaccia che comportano compromissioni legate all'uso improprio AWS delle credenziali e tentativi di compromissione dei dati nell'ambiente. Account AWS GuardDuty **considera critici tutti i tipi di ricerca delle sequenze di attacco.** Questa funzionalità è abilitata per impostazione predefinita e non comporta costi aggiuntivi.
Nell' AWS SRA, GuardDuty è abilitata in tutti gli account tramite AWS Organizations e tutti i risultati sono visualizzabili e utilizzabili dai team di sicurezza appropriati nell'account amministratore GuardDuty delegato (in questo caso, l'account Security Tooling). GuardDuty i risultati attivi vengono esportati in un bucket S3 centrale nell'account Log Archive, in modo da poterli conservare per più di 90 giorni. I risultati vengono esportati dall'account amministratore delegato e includono anche tutti i risultati degli account dei membri associati nella stessa regione. I risultati nel bucket S3 sono crittografati con una AWS KMS chiave gestita dal cliente. La policy del bucket S3 e la policy delle chiavi KMS sono configurate per consentire solo GuardDuty l'utilizzo delle risorse.
Quando AWS Security Hub CSPM è abilitato, GuardDuty i risultati vengono trasferiti automaticamente a Security Hub CSPM e Security Hub. Quando Amazon Detective è abilitato, GuardDuty i risultati vengono inclusi nel processo di inserimento dei log di Detective. GuardDuty e Detective supportano i flussi di lavoro degli utenti con più servizi, dove GuardDuty fornisce collegamenti dalla console che reindirizzano l'utente da un risultato selezionato a una pagina Detective che contiene un set curato di visualizzazioni per indagare su tale risultato. Ad esempio, puoi anche integrarti GuardDuty con Amazon EventBridge per automatizzare le migliori pratiche GuardDuty, come l'[automazione delle risposte a nuove GuardDuty scoperte](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings_cloudwatch.html).
**Esempio di implementazione**
La [libreria di codici AWS SRA](https://github.com/aws-samples/aws-security-reference-architecture-examples) fornisce un'implementazione di esempio di [GuardDuty](https://github.com/aws-samples/aws-security-reference-architecture-examples/blob/main/aws_sra_examples/solutions/guardduty/guardduty_org). Include la configurazione crittografata del bucket S3, l'amministrazione delegata e l' GuardDuty abilitazione per tutti gli account esistenti e futuri dell'organizzazione. AWS
## AWS Config
[AWS Config](https://aws.amazon.com/config/)è un servizio che consente di valutare, controllare e valutare le configurazioni delle risorse supportate nel vostro. AWS Account AWS AWS Config monitora e registra continuamente le configurazioni AWS delle risorse e valuta automaticamente le configurazioni registrate rispetto alle configurazioni desiderate. È inoltre possibile integrarsi AWS Config con altri servizi per svolgere il lavoro pesante delle pipeline di audit e monitoraggio automatizzate. Ad esempio, AWS Config può monitorare le modifiche ai singoli segreti in Gestione dei segreti AWS.
È possibile valutare le impostazioni di configurazione AWS delle risorse utilizzando [Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). AWS Config fornisce una libreria di regole predefinite personalizzabili denominate [regole gestite](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html) oppure è possibile scrivere [regole personalizzate](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules.html). È possibile eseguire Regole di AWS Config in modalità proattiva (prima che le risorse siano state distribuite) o in modalità investigativa (dopo che le risorse sono state distribuite). Le risorse possono essere valutate in caso di modifiche alla configurazione, in base a una pianificazione periodica o in entrambi i casi.
Un [pacchetto di conformità](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html) è una raccolta di AWS Config regole e azioni correttive che possono essere implementate come singola entità in un account e in una regione o all'interno di un'organizzazione in. AWS Organizations I pacchetti di conformità vengono creati creando un modello YAML che contiene l'elenco di regole gestite o personalizzate e azioni correttive. AWS Config [Per iniziare a valutare il tuo AWS ambiente, usa uno dei modelli di pacchetto di conformità di esempio.](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html)
AWS Config si integra con AWS Security Hub CSPM per inviare i risultati delle valutazioni AWS Config gestite e personalizzate delle regole come risultati in Security Hub CSPM.
Regole di AWS Config può essere utilizzato insieme a per correggere efficacemente le risorse AWS Systems Manager non conformi. Si utilizza Systems Manager Explorer per raccogliere lo stato di conformità delle AWS Config regole in vigore Regioni AWS e quindi utilizzare [i documenti di Systems Manager Automation (runbook)](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) per risolvere le regole non conformi AWS Config . Account AWS Per i dettagli sull'implementazione, consulta il post di blog [Rimediare alle regole non AWS Config](https://aws.amazon.com/blogs/mt/remediate-noncompliant-aws-config-rules-with-aws-systems-manager-automation-runbooks/) conformi con i runbook di automazione. AWS Systems Manager
L' AWS Config aggregatore raccoglie dati di configurazione e conformità su più account, regioni e organizzazioni in. AWS Organizations La dashboard dell'aggregatore mostra i dati di configurazione delle risorse aggregate. I dashboard di inventario e conformità offrono informazioni essenziali e aggiornate sulle configurazioni AWS delle risorse e sullo stato di conformità all'interno Account AWS, all'interno o all'interno di un' Regioni AWS organizzazione. AWS Consentono di visualizzare e valutare l'inventario AWS delle risorse senza dover scrivere domande avanzate. AWS Config Puoi ottenere informazioni essenziali come un riepilogo della conformità per risorse, i primi 10 account con risorse non conformi, un confronto tra istanze EC2 in esecuzione e interrotte per tipo e volumi EBS per tipo e dimensione di volume.
Se gestisci la tua AWS organizzazione, questa implementerà [una serie di AWS Config regole come barriere investigative (classificate come obbligatorie, fortemente consigliate o](https://docs.aws.amazon.com/controltower/latest/userguide/how-controls-work.html) facoltative). AWS Control Tower Queste barriere ti aiutano a gestire le tue risorse e a monitorare la conformità tra gli account della tua organizzazione. AWS Queste AWS Config regole utilizzeranno automaticamente un `aws-control-tower` tag con un valore di. `managed-by-control-tower`
AWS Config deve essere abilitato per ogni account membro dell' AWS organizzazione e Regione AWS deve contenere le risorse che si desidera proteggere. Puoi gestire centralmente (ad esempio, creare, aggiornare ed eliminare) AWS Config le regole per tutti gli account all'interno AWS dell'organizzazione. Dall'account amministratore AWS Config delegato, è possibile implementare un insieme comune di AWS Config regole per tutti gli account e specificare gli account in cui AWS Config le regole non devono essere create. L'account amministratore AWS Config delegato può anche aggregare i dati di configurazione e conformità delle risorse di tutti gli account membri per fornire una vista unica. Utilizza l'account APIs dell'amministratore delegato per applicare la governance assicurandoti che le AWS Config regole sottostanti non possano essere modificate dagli account dei membri dell'organizzazione. AWS AWS Config è integrato nativamente a cui inviare i risultati AWS Security Hub CSPM, se Security Hub CSPM è abilitato ed esiste almeno una regola AWS Config gestita o personalizzata.
In AWS SRA, l'account amministratore AWS Config delegato è l'account Security Tooling. Il [canale AWS Config di distribuzione](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html) è configurato per fornire istantanee della configurazione delle risorse in un bucket S3 centralizzato nell'account Log Archive. Poiché l'account Log Archive è l'archivio centrale dell'archivio dei log, viene utilizzato per archiviare la configurazione delle risorse.
**Considerazioni di natura progettuale**
AWS Config trasmette le notifiche di modifica della configurazione e della conformità ad Amazon EventBridge. Ciò significa che puoi utilizzare le funzionalità di filtro native EventBridge per filtrare AWS Config gli eventi in modo da poter indirizzare tipi specifici di notifiche a obiettivi specifici. Ad esempio, è possibile inviare notifiche di conformità per regole o tipi di risorse specifici a indirizzi e-mail specifici o indirizzare le notifiche di modifica della configurazione a uno strumento esterno di gestione dei servizi IT (ITSM) o di database di gestione della configurazione (CMDB). Per ulteriori informazioni, consulta le [AWS Config best](https://aws.amazon.com/blogs/mt/aws-config-best-practices/) practice del post di blog.
Oltre a utilizzare la valutazione AWS Config proattiva delle regole, è possibile utilizzare [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html), uno strumento di policy-as-code valutazione che verifica in modo proattivo la conformità della configurazione delle risorse. L'interfaccia a riga di AWS CloudFormation Guard comando (CLI) fornisce un linguaggio dichiarativo specifico del dominio (DSL) che è possibile utilizzare per esprimere le politiche sotto forma di codice. Inoltre, puoi utilizzare AWS CLI i comandi per convalidare dati strutturati in formato JSON o YAML come set di modifiche, file di configurazione Terraform basati su JSON o configurazioni Kubernetes. CloudFormation [È possibile eseguire le valutazioni localmente utilizzando la [AWS CloudFormation Guard CLI](https://catalog.us-east-1.prod.workshops.aws/workshops/fff8e490-f397-43d2-ae26-737a6dc4ac68/en-US/70-cfn-guard/73-checking-templates) come parte del processo di creazione o eseguirla all'interno della pipeline di distribuzione.](https://catalog.us-east-1.prod.workshops.aws/workshops/fff8e490-f397-43d2-ae26-737a6dc4ac68/en-US/70-cfn-guard/75-add-guard-to-pipeline) Se disponi di [AWS Cloud Development Kit (AWS CDK)](https://aws.amazon.com/cdk/)applicazioni, puoi utilizzare [cdk-nag](https://github.com/cdklabs/cdk-nag) per il controllo proattivo delle migliori pratiche.
**Esempio di implementazione**
La [libreria di codici AWS SRA](https://github.com/aws-samples/aws-security-reference-architecture-examples) fornisce un'[implementazione di esempio](https://github.com/aws-samples/aws-security-reference-architecture-examples/blob/main/aws_sra_examples/solutions/config/config_conformance_pack_org) che distribuisce pacchetti di AWS Config conformità a tutte le regioni all'interno di un' Account AWS organizzazione. AWS Il modulo [AWS Config Aggregator](https://github.com/aws-samples/aws-security-reference-architecture-examples/blob/main/aws_sra_examples/solutions/config/config_aggregator_org) consente di configurare un AWS Config aggregatore delegando l'amministrazione a un account membro (strumenti di sicurezza) all'interno dell'account di gestione dell'organizzazione e quindi configurando AWS Config Aggregator all'interno dell'account amministratore delegato per tutti gli account esistenti e futuri dell'organizzazione. AWS Puoi utilizzare il modulo [AWS Config Control Tower Management Account](https://github.com/aws-samples/aws-security-reference-architecture-examples/blob/main/aws_sra_examples/solutions/config/config_management_account) per abilitarlo AWS Config all'interno dell'account Org Management ― non è abilitato da. AWS Control Tower
## Amazon Security Lake
[Amazon Security Lake](https://aws.amazon.com/security-lake/) è un servizio di data lake di sicurezza completamente gestito. Puoi utilizzare Security Lake per centralizzare automaticamente i dati di sicurezza provenienti da AWS ambienti, fornitori di software as a service (SaaS), locali [e](https://docs.aws.amazon.com/security-lake/latest/userguide/integrations-third-party.html) fonti di terze parti. Security Lake ti aiuta a creare una fonte di dati normalizzata che semplifica l'uso degli strumenti di analisi rispetto ai dati di sicurezza, in modo da ottenere una comprensione più completa del tuo livello di sicurezza in tutta l'organizzazione. Il data lake è supportato da bucket Amazon Simple Storage Service (Amazon S3) e tu mantieni la proprietà dei tuoi dati. Security Lake raccoglie automaticamente i log per Servizi AWS, tra cui, log di audit, risultati e log AWS Security Hub CSPM di AWS CloudTrail Amazon VPC, Amazon Route 53 AWS Lambda, Amazon S3 e Amazon EKS. AWS WAF
AWS SRA consiglia di utilizzare l'account Log Archive come account amministratore delegato per Security Lake. Per ulteriori informazioni sulla configurazione dell'account amministratore delegato, consulta [Amazon Security Lake nella sezione Security](log-archive.md#log-security-lake) *OU ‒ Account di archiviazione dei log*. I team di sicurezza che desiderano accedere ai dati di Security Lake o hanno bisogno della possibilità di scrivere log non nativi nei bucket Security Lake utilizzando funzioni personalizzate di estrazione, trasformazione e caricamento (ETL) devono operare all'interno dell'account Security Tooling.
Security Lake può raccogliere log da diversi provider cloud, log da soluzioni di terze parti o altri log personalizzati. Si consiglia di utilizzare l'account Security Tooling per eseguire le funzioni ETL per convertire i log in formato Open Cybersecurity Schema Framework (OCSF) e generare un file in formato Apache Parquet. Security Lake crea il ruolo tra account con le autorizzazioni appropriate per l'account Security Tooling e l'origine personalizzata supportata da funzioni Lambda o AWS Glue crawler, per scrivere dati nei bucket S3 per Security Lake.
[L'amministratore di Security Lake deve configurare i team di sicurezza che utilizzano l'account Security Tooling e richiedono l'accesso ai log raccolti da Security Lake come abbonati.](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html) Security Lake supporta due tipi di accesso per gli abbonati:
+ **Accesso ai dati**: gli abbonati possono accedere direttamente agli oggetti Amazon S3 per Security Lake. Security Lake gestisce l'infrastruttura e le autorizzazioni. Quando configuri l'account Security Tooling come abbonato all'accesso ai dati di Security Lake, l'account riceve una notifica dei nuovi oggetti nei bucket Security Lake tramite Amazon Simple Queue Service (Amazon SQS) e Security Lake crea le autorizzazioni per accedere a tali nuovi oggetti.
+ **Accesso tramite query**: gli abbonati possono interrogare i dati di origine dalle AWS Lake Formation tabelle del bucket S3 utilizzando servizi come Amazon Athena. L'accesso da più account viene impostato automaticamente per l'accesso alle query utilizzando Lake Formation. Quando si configura l'account Security Tooling come abbonato all'accesso alle query di Security Lake, all'account viene concesso l'accesso in sola lettura ai registri dell'account Security Lake. Quando si utilizza questo tipo di sottoscrittore, Athena AWS Glue e le tabelle vengono condivise dall'account Security Lake Log Archive con l'account Security Tooling tramite (). AWS Resource Access Manager AWS RAM Per abilitare questa funzionalità, è necessario aggiornare le impostazioni di condivisione dei dati tra account alla versione 3.
Per ulteriori informazioni sulla creazione di abbonati, consulta [Gestione degli abbonati nella documentazione](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html) di Security Lake.
Per le migliori pratiche per l'acquisizione di fonti personalizzate, consulta [Raccolta di dati da fonti personalizzate](https://docs.aws.amazon.com/security-lake/latest/userguide/custom-sources.html) nella documentazione di Security Lake.
Puoi utilizzare [Amazon Quick Sight](https://github.com/aws-samples/amazon-security-lake-quicksight), [Amazon OpenSearch Service](https://aws.amazon.com/blogs/big-data/ingest-transform-and-deliver-events-published-by-amazon-security-lake-to-amazon-opensearch-service) e [Amazon SageMaker](https://github.com/aws-samples/amazon-security-lake-machine-learning) per configurare analisi sui dati di sicurezza archiviati in Security Lake.
**Considerazione di natura progettuale**
**Se un team dell'applicazione necessita dell'accesso tramite query ai dati di Security Lake per soddisfare un requisito aziendale, l'amministratore di Security Lake deve configurare l'account dell'applicazione**** come abbonato.**
## Amazon Macie
[Amazon Macie](https://aws.amazon.com/macie/) è un servizio di sicurezza e privacy dei dati completamente gestito che utilizza l'apprendimento automatico e il pattern matching per scoprire e proteggere i tuoi dati sensibili in. AWSÈ necessario identificare il tipo e la classificazione dei dati che il carico di lavoro sta elaborando per garantire l'applicazione dei controlli appropriati. Puoi utilizzare Macie per automatizzare il rilevamento e la segnalazione di dati sensibili in due modi: eseguendo il rilevamento [automatico dei dati sensibili e creando ed eseguendo processi di rilevamento](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd.html) [di dati sensibili](https://docs.aws.amazon.com/macie/latest/user/discovery-jobs.html). Con il rilevamento automatico dei dati sensibili, Macie valuta l'inventario dei bucket S3 su base giornaliera e utilizza tecniche di campionamento per identificare e selezionare oggetti S3 rappresentativi dai bucket. Macie recupera e analizza quindi gli oggetti selezionati, ispezionandoli alla ricerca di dati sensibili. I lavori di rilevamento di dati sensibili forniscono un'analisi più approfondita e mirata. Con questa opzione, definisci l'ampiezza e la profondità dell'analisi, inclusi i bucket S3 da analizzare, la profondità di campionamento e i criteri personalizzati che derivano dalle proprietà degli oggetti S3. [Se Macie rileva un potenziale problema con la sicurezza o la privacy di un bucket, crea una policy per te.](https://docs.aws.amazon.com/macie/latest/user/findings-types.html#findings-policy-types) Il rilevamento automatico dei dati è abilitato di default per tutti i nuovi clienti Macie e i clienti Macie esistenti possono abilitarlo con un clic.
Macie è abilitato in tutti gli account tramite. AWS Organizations I responsabili che dispongono delle autorizzazioni appropriate nell'account amministratore delegato (in questo caso, l'account Security Tooling) possono abilitare o sospendere Macie in qualsiasi account, creare processi di rilevamento di dati sensibili per i bucket di proprietà degli account dei membri e visualizzare tutti i risultati delle politiche per tutti gli account membri. I risultati relativi ai dati sensibili possono essere visualizzati solo dall'account che ha creato il processo relativo ai dati sensibili. Per ulteriori informazioni, consulta [Gestire più account Macie come organizzazione](https://docs.aws.amazon.com/macie/latest/user/macie-accounts.html) nella documentazione di Macie.
I risultati di Macie vengono esaminati e AWS Security Hub CSPM analizzati. Macie si integra anche con Amazon EventBridge per facilitare le risposte automatiche ai risultati come avvisi, feed ai sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) e la riparazione automatica.
**Considerazioni di natura progettuale**
Se gli oggetti S3 sono crittografati con una chiave AWS Key Management Service (AWS KMS) gestita da te, puoi aggiungere il ruolo collegato al servizio Macie come utente chiave a quella chiave KMS per consentire a Macie di scansionare i dati.
Macie è ottimizzato per la scansione di oggetti in Amazon S3. Di conseguenza, qualsiasi tipo di oggetto supportato da MacIE che può essere inserito in Amazon S3 (in modo permanente o temporaneo) può essere scansionato alla ricerca di dati sensibili. Ciò significa che i dati provenienti da altre fonti, ad esempio [esportazioni periodiche di snapshot di database Amazon Relational Database Service (Amazon RDS) o Amazon Aurora, tabelle Amazon DynamoDB esportate o file di testo estratti da applicazioni native o di terze parti, possono essere spostati su Amazon](https://aws.amazon.com/about-aws/whats-new/2020/01/announcing-amazon-relational-database-service-snapshot-export-to-s3/) S3 e valutati da Macie.
**Esempio di implementazione**
La [libreria di codici AWS SRA](https://github.com/aws-samples/aws-security-reference-architecture-examples) fornisce un'implementazione di esempio di [Amazon Macie](https://github.com/aws-samples/aws-security-reference-architecture-examples/blob/main/aws_sra_examples/solutions/macie/macie_org). Include la delega dell'amministrazione a un account membro e la configurazione di Macie all'interno dell'account amministratore delegato per tutti gli account esistenti e futuri dell'organizzazione. AWS Macie è inoltre configurato per inviare i risultati a un bucket S3 centrale crittografato con una chiave gestita dal cliente. AWS KMS
## Sistema di analisi degli accessi IAM
Per accelerare il percorso di Cloud AWS adozione e continuare a innovare, è fondamentale mantenere uno stretto controllo sugli accessi dettagliati (autorizzazioni), contenere la proliferazione degli accessi e garantire che le autorizzazioni vengano utilizzate in modo efficace. [Un accesso eccessivo e inutilizzato presenta problemi di sicurezza e rende più difficile per le aziende applicare il principio del privilegio minimo.](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) Questo principio è un importante pilastro dell'architettura di sicurezza che implica il continuo dimensionamento corretto delle autorizzazioni IAM per bilanciare i requisiti di sicurezza con i requisiti operativi e di sviluppo delle applicazioni. Questo impegno coinvolge diverse parti interessate, tra cui i team di sicurezza centrale e del Cloud Center of Excellence (CCoE), nonché i team di sviluppo decentralizzati.
[AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/access-analyzer) fornisce strumenti per impostare in modo efficiente le autorizzazioni granulari, verificare le autorizzazioni previste e perfezionare le autorizzazioni rimuovendo gli accessi non utilizzati per aiutarti a soddisfare gli standard di sicurezza aziendali. [Offre visibilità sull'accesso [esterno e interno alle risorse e sui risultati degli accessi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html) non utilizzati tramite dashboard e. AWS[AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-dashboard.html) Inoltre, supporta [Amazon EventBridge per flussi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-eventbridge.html) di lavoro di notifica e correzione personalizzati basati su eventi.
La funzionalità di analisi degli accessi esterni di IAM Access Analyzer consente di identificare le risorse AWS dell'organizzazione e degli account, come i [bucket Amazon S3 o i ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-resources.html), condivisi con un'entità esterna. *L' AWS organizzazione o l'account che scegli è nota come zona di fiducia.* L'analizzatore utilizza il [ragionamento automatico](https://aws.amazon.com/what-is/automated-reasoning/) per analizzare tutte le [risorse supportate](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-resources.html) all'interno della zona di fiducia e genera risultati per i responsabili che possono accedere alle risorse dall'esterno della zona di fiducia. Questi risultati aiutano a identificare le risorse condivise con un'entità esterna e consentono di visualizzare in anteprima in che modo la politica influenzi l'accesso pubblico e interaccount alla risorsa prima di distribuire le autorizzazioni per le risorse. Questa funzionalità è disponibile senza costi aggiuntivi.
Allo stesso modo, la funzione di ricerca degli analizzatori di accesso interni di IAM Access Analyzer consente di identificare le risorse AWS dell'organizzazione e gli account condivisi con i responsabili interni all'organizzazione o all'account. Questa analisi supporta il principio del privilegio minimo garantendo che le risorse specificate siano accessibili solo ai responsabili designati all'interno dell'organizzazione. Si tratta di una funzionalità a pagamento che richiede una configurazione esplicita delle risorse da ispezionare. Utilizzate questa funzionalità con prudenza per monitorare risorse sensibili specifiche che, per progettazione, devono essere bloccate anche internamente.
I risultati di IAM Access Analyzer ti aiutano anche a identificare gli accessi non utilizzati concessi nelle tue AWS organizzazioni e nei tuoi account, tra cui:
+ **Ruoli IAM non utilizzati: ruoli** che non hanno alcuna attività di accesso all'interno della finestra di utilizzo specificata.
+ **Utenti, credenziali e chiavi di accesso IAM non utilizzati**: credenziali che appartengono agli utenti IAM e vengono utilizzate per accedere e risorse. Servizi AWS
+ **Policy e autorizzazioni IAM non utilizzate: autorizzazioni** a livello di servizio e a livello di azione che non sono state utilizzate da un ruolo all'interno di una finestra di utilizzo specificata. IAM Access Analyzer utilizza policy basate sull'identità collegate ai ruoli per determinare i servizi e le azioni a cui tali ruoli possono accedere. L'analizzatore fornisce una revisione delle autorizzazioni non utilizzate per tutte le autorizzazioni a livello di servizio.
Puoi utilizzare i risultati generati da IAM Access Analyzer per ottenere visibilità e porre rimedio a qualsiasi accesso non intenzionale o non utilizzato in base alle politiche e agli standard di sicurezza della tua organizzazione. Dopo la correzione, questi risultati vengono contrassegnati come [risolti](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings-remediate.html) alla successiva esecuzione dell'analizzatore. Se il risultato è intenzionale, puoi contrassegnarlo come [archiviato](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings-archive.html) in IAM Access Analyzer e dare priorità ad altri risultati che presentano un rischio maggiore per la sicurezza. Inoltre, puoi impostare [regole di archiviazione per archiviare automaticamente risultati specifici](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-archive-rules.html). Ad esempio, puoi creare una regola di archiviazione per archiviare automaticamente tutti i risultati per un bucket Amazon S3 specifico a cui concedi regolarmente l'accesso.
In qualità di builder, puoi utilizzare IAM Access Analyzer per eseguire [controlli automatici delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-checks-validating-policies.html) nelle prime fasi del processo di sviluppo e implementazione (CI/CD) per rispettare gli standard di sicurezza aziendali. Puoi integrare i controlli e le revisioni delle politiche personalizzati di IAM Access Analyzer AWS CloudFormation per automatizzare le revisioni delle politiche come parte delle pipeline del tuo team di sviluppo. CI/CD Questo include:
+ **Convalida delle policy IAM**: IAM Access Analyzer convalida le policy in base alla grammatica e alle best practice delle policy [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html). AWS Puoi visualizzare i risultati dei controlli di convalida delle policy, tra cui avvisi di sicurezza, errori, avvertenze generali e suggerimenti per la tua policy. Attualmente sono disponibili oltre 100 [controlli di convalida delle politiche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html) che possono essere automatizzati utilizzando () e. AWS Command Line Interface AWS CLI APIs
+ **Controlli delle policy personalizzate IAM: i controlli** delle policy personalizzati di IAM Access Analyzer convalidano le policy rispetto agli standard di sicurezza specificati. I controlli delle policy personalizzati utilizzano il ragionamento automatico per fornire un livello più elevato di garanzia sulla conformità agli standard di sicurezza aziendali. I tipi di controlli delle policy personalizzati includono:
+ **Verifica rispetto a una politica di riferimento**: quando modifichi una politica, puoi confrontarla con una politica di riferimento, ad esempio una versione esistente della politica, per verificare se l'aggiornamento concede un nuovo accesso. L'[CheckNoNewAccess](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CheckNoNewAccess.html)API confronta due policy (una policy aggiornata e una policy di riferimento) per determinare se la policy aggiornata introduce un nuovo accesso rispetto alla policy di riferimento e restituisce una risposta positiva o negativa.
+ **Confronta un elenco di azioni IAM**: puoi utilizzare l'[CheckAccessNotGranted](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CheckAccessNotGranted.html)API per assicurarti che una policy non conceda l'accesso a un elenco di azioni critiche definite nel tuo standard di sicurezza. Questa API utilizza una policy e un elenco di un massimo di 100 azioni IAM per verificare se la policy consente almeno una delle azioni e restituisce una risposta positiva o negativa.
I team di sicurezza e altri autori di policy IAM possono utilizzare IAM Access Analyzer per creare policy conformi alla grammatica e agli standard di sicurezza delle policy IAM. La creazione manuale di policy della giusta dimensione può essere soggetta a errori e richiedere molto tempo. La funzionalità di [generazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) di IAM Access Analyzer aiuta a creare policy IAM basate sull'attività di accesso del principale. IAM Access Analyzer esamina AWS CloudTrail i log [relativi ai servizi supportati](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation-action-last-accessed-support.html) e genera un modello di policy che contiene le autorizzazioni utilizzate dal principale nell'intervallo di date specificato. È quindi possibile utilizzare questo modello per creare una policy con autorizzazioni granulari che conceda solo le autorizzazioni necessarie.
+ È necessario che il CloudTrail percorso sia abilitato affinché il tuo account generi una politica basata sull'attività di accesso.
+ IAM Access Analyzer non identifica l'attività a livello di azione per gli eventi relativi ai dati, come gli eventi relativi ai dati di Amazon S3, nelle policy generate.
+ L'`iam:PassRole`azione non viene tracciata CloudTrail e non è inclusa nelle politiche generate.
IAM Access Analyzer viene distribuito nell'account Security Tooling tramite la funzionalità di amministratore delegato in. AWS Organizations L'amministratore delegato dispone delle autorizzazioni per creare e gestire analizzatori con l'organizzazione come zona di fiducia. AWS
**Considerazione di natura progettuale**
Per ottenere risultati relativi all'account (in cui l'account funge da limite affidabile), crei un analizzatore con ambito account in ogni account membro. Questa operazione può essere eseguita nell'ambito della pipeline degli account. I risultati relativi all'account confluiscono in Security Hub CSPM a livello di account membro. Da lì, passano all'account amministratore delegato CSPM di Security Hub (Security Tooling).
**Esempi di implementazione**
[La [libreria di codici AWS SRA](https://github.com/aws-samples/aws-security-reference-architecture-examples) fornisce un'implementazione di esempio di IAM Access Analyzer.](https://github.com/aws-samples/aws-security-reference-architecture-examples/blob/main/aws_sra_examples/solutions/iam/iam_access_analyzer) Dimostra come configurare un analizzatore a livello di organizzazione all'interno di un account amministratore delegato e un analizzatore a livello di account all'interno di ciascun account.
[Per informazioni su come integrare i controlli delle policy personalizzati nei flussi di lavoro di Builder, consulta il post sul blog Introducing IAM Access Analyzer Custom Policy Checks. AWS](https://aws.amazon.com/blogs/security/introducing-iam-access-analyzer-custom-policy-checks/)
## AWS Firewall Manager
[AWS Firewall Manager](https://aws.amazon.com/firewall-manager/)aiuta a proteggere la rete semplificando le attività di amministrazione e manutenzione per AWS WAF i AWS Shield Advanced gruppi AWS Network Firewall di sicurezza Amazon VPC e il firewall DNS su più account Amazon Route 53 Resolver e risorse. Con Firewall Manager, puoi configurare le regole del AWS WAF firewall, le protezioni Shield Advanced, i gruppi di sicurezza Amazon VPC, i firewall Network Firewall e le associazioni dei gruppi di regole DNS Firewall solo una volta. Il servizio applica automaticamente le regole e le protezioni su tutti gli account e le risorse, anche quando vengono aggiunte nuove risorse.
Firewall Manager è particolarmente utile quando si desidera proteggere l'intera AWS organizzazione anziché un numero limitato di account e risorse specifici o se si aggiungono frequentemente nuove risorse da proteggere. Firewall Manager utilizza le policy di sicurezza per consentire di definire una serie di configurazioni, incluse le regole, le protezioni e le azioni pertinenti che devono essere implementate e gli account e le risorse (indicati dai tag) da includere o escludere. È possibile creare configurazioni granulari e flessibili pur rimanendo in grado di estendere il controllo a un numero elevato di account e. VPCs Queste politiche applicano in modo automatico e coerente le regole configurate anche quando vengono creati nuovi account e risorse. Firewall Manager è abilitato in tutti gli AWS Organizations account e la configurazione e la gestione vengono eseguite dai team di sicurezza appropriati nell'account amministratore delegato di Firewall Manager (in questo caso, l'account Security Tooling).
È necessario abilitarlo AWS Config per ogni Regione AWS elemento contenente le risorse che si desidera proteggere. Se non si desidera abilitare AWS Config per tutte le risorse, è necessario abilitarla per le risorse associate [al tipo di policy di Firewall Manager che si utilizza](https://docs.aws.amazon.com/waf/latest/developerguide/enable-config.html). Quando si utilizzano entrambi AWS Security Hub CSPM e Firewall Manager, Firewall Manager invia automaticamente i risultati a Security Hub CSPM. Firewall Manager crea i risultati per le risorse che non sono conformi e per gli attacchi rilevati e li invia a Security Hub CSPM. Quando si imposta una policy di Firewall Manager per AWS WAF, è possibile abilitare centralmente la registrazione sulle liste di controllo degli accessi Web (web ACLs) per tutti gli account interessati e centralizzare i log in un unico account.
Con Firewall Manager puoi avere uno o più amministratori in grado di gestire le risorse firewall della tua organizzazione. Quando si assegnano più amministratori, è possibile applicare condizioni di ambito amministrativo restrittive per definire le risorse (account, regioni OUs, tipi di policy) che ogni amministratore può gestire. Ciò offre la flessibilità necessaria per ricoprire diversi ruoli di amministratore all'interno dell'organizzazione e consente di mantenere il principio dell'accesso con privilegi minimi. L' AWS SRA utilizza un amministratore con ambito amministrativo completo delegato all'account Security Tooling.
**Considerazione di natura progettuale**
Gli account manager dei singoli account membri dell' AWS organizzazione possono configurare controlli aggiuntivi (come AWS WAF regole e gruppi di sicurezza Amazon VPC) nei servizi gestiti di Firewall Manager in base alle loro esigenze particolari.
**Esempio di implementazione**
La [libreria di codici AWS SRA](https://github.com/aws-samples/aws-security-reference-architecture-examples) fornisce un'implementazione di esempio di [Firewall Manager](https://github.com/aws-samples/aws-security-reference-architecture-examples/blob/main/aws_sra_examples/solutions/firewall_manager/firewall_manager_org). Dimostra l'amministrazione delegata (Security Tooling), implementa un gruppo di sicurezza massimo consentito, configura una politica di gruppo di sicurezza e configura più politiche. AWS WAF
## Amazon EventBridge
[Amazon EventBridge](https://aws.amazon.com/eventbridge/) è un servizio di bus eventi senza server che semplifica la connessione delle applicazioni con dati provenienti da una varietà di fonti. Viene spesso utilizzato nell'automazione della sicurezza. Puoi impostare regole di routing per determinare dove inviare i dati per creare architetture applicative che reagiscano in tempo reale a tutte le tue fonti di dati. Puoi creare un bus di eventi personalizzato per ricevere eventi dalle tue applicazioni personalizzate, oltre a utilizzare il bus di eventi predefinito in ogni account. È possibile creare un bus di eventi nell'account Security Tooling in grado di ricevere eventi specifici di sicurezza da altri account dell'organizzazione. AWS Ad esempio, collegando Amazon GuardDuty e AWS Security Hub CSPM with Regole di AWS Config EventBridge, crei una pipeline flessibile e automatizzata per il routing dei dati di sicurezza, la generazione di avvisi e la gestione delle azioni per risolvere i problemi.
**Considerazioni di natura progettuale**
EventBridge è in grado di indirizzare gli eventi verso una serie di destinazioni diverse. Uno schema utile per automatizzare le azioni di sicurezza consiste nel collegare eventi particolari ai singoli AWS Lambda soccorritori, che intraprendono le azioni appropriate. Ad esempio, in determinate circostanze potresti volerlo utilizzare per EventBridge indirizzare i risultati di un bucket S3 pubblico a un risponditore Lambda che corregge la policy del bucket e rimuove le autorizzazioni pubbliche. Questi risponditori possono essere integrati nei playbook e nei runbook investigativi per coordinare le attività di risposta.
Una best practice per un team addetto alle operazioni di sicurezza di successo consiste nell'integrare il flusso di eventi e risultati relativi alla sicurezza in un sistema di notifica e flusso di lavoro, ad esempio un sistema di ticketing, un sistema o un altro bug/issue sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM). Ciò elimina il flusso di lavoro dalle e-mail e dai report statici e consente di indirizzare, intensificare e gestire eventi o risultati. Le funzionalità di routing flessibili integrate EventBridge sono un potente fattore abilitante per questa integrazione.
## Amazon Detective
[Amazon Detective](https://aws.amazon.com/detective/) supporta la tua strategia di controllo della sicurezza reattivo semplificando l'analisi, l'indagine e l'identificazione rapida della causa principale dei risultati di sicurezza o delle attività sospette per i tuoi analisti di sicurezza. Detective estrae automaticamente eventi basati sul tempo come tentativi di accesso, chiamate API e traffico di rete dai log e dai AWS CloudTrail log di flusso di Amazon VPC. Detective utilizza questi eventi utilizzando flussi di CloudTrail log indipendenti e log di flusso di Amazon VPC. Puoi usare Detective per accedere a un massimo di un anno di dati storici sugli eventi. *Detective utilizza l'apprendimento automatico e la visualizzazione per creare una visione unificata e interattiva del comportamento delle risorse e delle interazioni tra di esse nel tempo, chiamata grafico comportamentale.* Puoi esplorare il grafico comportamentale per esaminare diverse azioni, come tentativi di accesso falliti o chiamate API sospette.
Detective si integra con Amazon Security Lake per consentire agli analisti della sicurezza di interrogare e recuperare i log archiviati in Security Lake. Puoi utilizzare questa integrazione per ottenere informazioni aggiuntive dai log e dai CloudTrail log di flusso di Amazon VPC archiviati in Security Lake durante le indagini di sicurezza in Detective.
Detective acquisisce anche i risultati rilevati da Amazon GuardDuty, comprese le minacce rilevate da [GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html). Quando un account abilita Detective, diventa l'account amministratore per il grafico del comportamento. Prima di provare ad abilitare Detective, assicurati che il tuo account sia registrato GuardDuty da almeno 48 ore. Se non soddisfi questo requisito, non puoi abilitarlo. DetectiveDetective
Altre fonti di dati opzionali per Detective includono i [log di audit di Amazon EKS e AWS Security Hub CSPM.](https://docs.aws.amazon.com/detective/latest/userguide/source-data-types-EKS.html) L'origine dati dei log di audit di Amazon EKS migliora le informazioni fornite sui seguenti tipi di entità: cluster Amazon EKS, pod Kubernetes, immagini di container e soggetti Kubernetes. La fonte di dati Security Hub fa parte dei [risultati di AWS sicurezza](https://docs.aws.amazon.com/detective/latest/userguide/source-data-types-asff.html), in quanto mette in correlazione i risultati dei diversi prodotti in Security Hub e li inserisce in Detective.
Detective raggruppa automaticamente più risultati correlati a un singolo evento di compromissione della sicurezza in [gruppi di ricerca](https://docs.aws.amazon.com/detective/latest/userguide/groups-about.html). Gli autori delle minacce in genere eseguono una sequenza di azioni che portano a molteplici risultati di sicurezza distribuiti tra tempo e risorse. Pertanto, i gruppi di ricerca dovrebbero essere il punto di partenza per le indagini che coinvolgono più entità e risultati. Detective fornisce anche riepiloghi dei gruppi di ricerca utilizzando l'intelligenza artificiale generativa che analizza automaticamente i gruppi di ricerca e fornisce approfondimenti in linguaggio naturale per aiutarti ad accelerare le indagini di sicurezza.
Detective si integra con AWS Organizations. L'account Org Management delega un account membro come account amministratore di Detective. In AWS SRA, questo è l'account Security Tooling. L'account amministratore Detective ha la capacità di abilitare automaticamente tutti gli account dei membri correnti dell'organizzazione come account membri di Detective e anche di aggiungere nuovi account membro man mano che vengono aggiunti all' AWS organizzazione. Gli account amministratore Detective hanno anche la possibilità di invitare gli account dei membri che attualmente non risiedono nell' AWS organizzazione, ma si trovano nella stessa regione, a contribuire con i propri dati al grafico del comportamento dell'account principale. Quando un account membro accetta l'invito ed è abilitato, Detective inizia a inserire ed estrarre i dati dell'account membro in quel grafico comportamentale.
**Considerazione di natura progettuale**
Puoi accedere a Detective trovando i profili dalle AWS Security Hub CSPM console GuardDuty e. Questi collegamenti possono aiutare a semplificare il processo di indagine. Il tuo account deve essere l'account amministrativo sia per Detective che per il servizio da cui stai effettuando il pivot (GuardDutyo Security Hub CSPM). Se gli account principali sono gli stessi per i servizi, i collegamenti di integrazione funzionano perfettamente.
## AWS Audit Manager
[AWS Audit Manager](https://aws.amazon.com/audit-manager/)ti aiuta a controllare continuamente il tuo AWS utilizzo per semplificare la gestione degli audit e della conformità alle normative e agli standard di settore. Consente di passare dalla raccolta, revisione e gestione manuale delle prove a una soluzione che automatizza la raccolta delle prove, fornisce un modo semplice per tracciare la fonte delle prove di audit, consente la collaborazione in team e aiuta a gestire la sicurezza e l'integrità delle prove. Quando è il momento di effettuare un audit, Gestione audit aiuta a gestire le revisioni dei controlli effettuati dalle parti interessate.
Con Audit Manager è possibile eseguire l'audit sulla base di [framework predefiniti](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-overviews.html) come il benchmark Center for Internet Security (CIS), il benchmark CIS AWS Foundations, System and Organization Controls 2 (SOC 2) e il Payment Card Industry Data Security Standard (PCI DSS). Inoltre, offre la possibilità di creare framework personalizzati con controlli standard o personalizzati in base ai requisiti specifici per gli audit interni.
Audit Manager raccoglie quattro tipi di prove. Vengono automatizzati tre tipi di prove: prove di verifica della conformità provenienti da AWS Config e AWS Security Hub CSPM, prove di eventi di gestione e prove di configurazione derivanti da chiamate AWS service-to-service API. AWS CloudTrail Per le prove che non possono essere automatizzate, Audit Manager consente di caricare prove manuali.
Per impostazione predefinita, i dati in Audit Manager sono crittografati utilizzando chiavi AWS gestite. L' AWS SRA utilizza una chiave gestita dal cliente per la crittografia per fornire un maggiore controllo sull'accesso logico. È inoltre necessario configurare un bucket S3 nel punto in Regione AWS cui Audit Manager pubblica il rapporto di valutazione. Questi bucket devono essere crittografati con una chiave gestita dal cliente e avere una policy sui bucket configurata per consentire solo agli Audit Manager di pubblicare report.
**Nota**
Audit Manager aiuta a raccogliere prove rilevanti per verificare la conformità a standard e regolamenti di conformità specifici. Tuttavia, non valuta la tua conformità. Pertanto, le prove raccolte tramite Audit Manager potrebbero non includere dettagli sui processi operativi necessari per gli audit. Audit Manager non sostituisce i consulenti legali o gli esperti di conformità. Ti consigliamo di avvalerti dei servizi di un valutatore terzo certificato per i framework di conformità in base ai quali sei stato valutato.
Le valutazioni di Audit Manager possono essere eseguite su più account nelle AWS organizzazioni. Audit Manager raccoglie e consolida le prove in un account amministratore delegato in. AWS Organizations Questa funzionalità di controllo viene utilizzata principalmente dai team di controllo interno e di conformità e richiede solo l'accesso in lettura a. Account AWS
**Considerazioni di natura progettuale**
Audit Manager integra altri servizi AWS di sicurezza come AWS Security Hub CSPM AWS Security Hub, e aiuta AWS Config a implementare un framework di gestione del rischio. Audit Manager offre funzionalità indipendenti di garanzia del rischio, mentre Security Hub CSPM aiuta a supervisionare i rischi e i pacchetti di AWS Config conformità aiutano a gestire i rischi. I professionisti dell'audit che conoscono il [modello a tre linee](https://www.theiia.org/en/content/position-papers/2020/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense/) sviluppato dall'[Institute of Internal Auditors (IIA)](https://na.theiia.org/Pages/IIAHome.aspx) dovrebbero tenere presente che questa combinazione Servizi AWS consente di coprire le tre linee di difesa. Per ulteriori informazioni, consultate la [serie di blog suddivisa in due parti sul blog](https://aws.amazon.com/blogs/mt/integrate-across-the-three-lines-model-part-2-transform-aws-config-conformance-packs-into-aws-audit-manager-assessments/) Cloud AWS Operations & Migrations.
Affinché Audit Manager possa raccogliere le prove CSPM di Security Hub, l'account amministratore delegato per entrambi i servizi deve essere lo stesso. Account AWS Per questo motivo, nell' AWS SRA, l'account Security Tooling è l'amministratore delegato per Audit Manager.
## AWS Artifact
[AWS Artifact](https://aws.amazon.com/artifact/)è ospitato all'interno dell'account Security Tooling per separare la funzionalità di gestione degli artefatti di conformità dall'account Org Management. AWS Questa separazione dei compiti è importante perché si consiglia di evitare di utilizzare l'account di gestione dell' AWS organizzazione per le distribuzioni a meno che non sia assolutamente necessario. Invece, trasferisci le distribuzioni agli account dei membri. Poiché la gestione degli artefatti di controllo può essere eseguita da un account membro e la funzione è strettamente allineata con il team di sicurezza e conformità, l'account Security Tooling è designato come account amministratore per. AWS ArtifactÈ possibile utilizzare AWS Artifact i report per scaricare documenti AWS di sicurezza e conformità, come le certificazioni AWS ISO, i report PCI (Payment Card Industry) e i report SOC (System and Organization Controls).
AWS Artifact non supporta la funzionalità di amministrazione delegata. Puoi invece limitare questa funzionalità ai soli ruoli IAM nell'account Security Tooling che riguardano i tuoi team di audit e conformità, in modo che possano scaricare, esaminare e fornire tali report a revisori esterni, se necessario. Puoi inoltre limitare ruoli IAM specifici in modo che abbiano accesso solo a AWS Artifact report specifici tramite le policy IAM. Per esempi di policy IAM, consulta la [AWS Artifact documentazione](https://docs.aws.amazon.com/artifact/latest/ug/security-iam.html).
**Considerazione di natura progettuale**
Se scegli di avere un account dedicato Account AWS ai team di audit e conformità, puoi ospitarlo AWS Artifact in un account di controllo di sicurezza, separato dall'account Security Tooling. AWS Artifact i report forniscono prove che dimostrano che un'organizzazione sta seguendo un processo documentato o soddisfa un requisito specifico. Gli elementi degli audit vengono raccolti e archiviati durante l'intero ciclo di vita di sviluppo del sistema e possono essere utilizzati come prove in audit e valutazioni interni o esterni.
## AWS KMS
[AWS Key Management Service](https://aws.amazon.com/kms/)(AWS KMS) consente di creare e gestire chiavi crittografiche e di controllarne l'uso in un'ampia gamma di applicazioni e all'interno di esse. Servizi AWS AWS KMS è un servizio sicuro e resiliente che utilizza moduli di sicurezza hardware per proteggere le chiavi crittografiche. Segue i processi del ciclo di vita standard del settore per i materiali chiave, come l'archiviazione, la rotazione e il controllo dell'accesso alle chiavi. AWS KMS [può aiutare a proteggere i dati con chiavi di crittografia e firma e può essere utilizzato sia per la crittografia lato server che per la crittografia lato client tramite Encryption SDK.AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) Per motivi di protezione e flessibilità, AWS KMS supporta tre tipi di chiavi: chiavi gestite dal cliente, chiavi gestite e chiavi di AWS proprietà. AWS Le chiavi gestite dal cliente sono AWS KMS chiavi Account AWS che potete creare, possedere e gestire. AWS le chiavi gestite sono AWS KMS chiavi del tuo account che vengono create, gestite e utilizzate per tuo conto da un Servizio AWS utente integrato con AWS KMS. AWS le chiavi di proprietà sono una raccolta di AWS KMS chiavi Servizio AWS possedute e gestite per essere utilizzate in più lingue Account AWS. Per ulteriori informazioni sull'uso AWS KMS delle chiavi, consulta la [AWS KMS documentazione](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) e [i dettagli AWS KMS crittografici](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html).
Un'opzione di implementazione consiste nel centralizzare la responsabilità della gestione delle AWS KMS chiavi su un singolo account, delegando al contempo la possibilità di utilizzare le chiavi nell'account dell'applicazione per le risorse dell'applicazione utilizzando una combinazione di politiche chiave e IAM. Questo approccio è sicuro e semplice da gestire, ma è possibile incontrare ostacoli dovuti ai limiti di AWS KMS throttling, ai limiti dei servizi di account e al sovraccarico del team di sicurezza delle attività operative di gestione delle chiavi. Un'altra opzione di implementazione consiste nell'adottare un modello decentralizzato in cui sia possibile risiedere in più account e consentire AWS KMS ai responsabili dell'infrastruttura e dei carichi di lavoro di un account specifico di gestire le proprie chiavi. Questo modello offre ai team addetti al carico di lavoro maggiore controllo, flessibilità e agilità sull'uso delle chiavi di crittografia. Inoltre, aiuta a evitare i limiti delle API, limita l'ambito di impatto a uno Account AWS solo e semplifica la reportistica, il controllo e altre attività relative alla conformità. In un modello decentralizzato è importante implementare e applicare dei guardrail in modo che le chiavi decentralizzate siano gestite nello stesso modo e l'utilizzo delle chiavi sia verificato in base alle migliori pratiche e politiche consolidate. AWS KMS [Per ulteriori informazioni, consulta il white paper Best Practices.AWS Key Management Service](https://d0.awsstatic.com/whitepapers/aws-kms-best-practices.pdf) AWS SRA consiglia un modello di gestione delle chiavi distribuito in cui AWS KMS le chiavi risiedono localmente all'interno dell'account in cui vengono utilizzate. Si consiglia di evitare di**** utilizzare una sola chiave in un unico account per tutte le funzioni crittografiche. Le chiavi possono essere create in base ai requisiti di protezione delle funzioni e dei dati e per applicare il principio del privilegio minimo. In alcuni casi, le autorizzazioni di crittografia verrebbero mantenute separate dalle autorizzazioni di decrittografia e gli amministratori gestirebbero le funzioni del ciclo di vita ma non sarebbero in grado di crittografare o decrittografare i dati con le chiavi che gestiscono.
Nell'account Security Tooling, AWS KMS viene utilizzato per gestire la crittografia dei servizi di sicurezza centralizzati come l'organigramma gestito dall'organizzazione. AWS CloudTrail AWS
## AWS Private CA
[AWS Autorità di certificazione privata](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html)(AWS Private CA) è un servizio CA privato gestito che ti aiuta a gestire in modo sicuro il ciclo di vita dei tuoi certificati TLS privati di entità finale per istanze EC2, contenitori, dispositivi IoT e risorse locali. Consente comunicazioni TLS crittografate con le applicazioni in esecuzione. Con AWS Private CA, è possibile creare una gerarchia CA personalizzata (da una CA principale a certificati subordinati CAs a certificati di entità finale) ed emettere certificati con essa per autenticare utenti interni, computer, applicazioni, servizi, server e altri dispositivi e per firmare il codice informatico. I certificati emessi da una CA privata sono considerati affidabili solo all'interno AWS dell'organizzazione, non su Internet.
Un'infrastruttura a chiave pubblica (PKI) o un team di sicurezza possono essere responsabili della gestione di tutta l'infrastruttura PKI. Ciò include la gestione e la creazione della CA privata. Tuttavia, deve esserci una disposizione che consenta ai team addetti al carico di lavoro di soddisfare autonomamente i requisiti dei certificati. L' AWS SRA rappresenta una gerarchia di CA centralizzata in cui la CA principale è ospitata all'interno dell'account Security Tooling. Ciò consente ai team addetti alla sicurezza di applicare un controllo di sicurezza rigoroso, poiché la CA principale è la base dell'intera PKI. Tuttavia, la creazione di certificati privati dalla CA privata viene delegata ai team di sviluppo delle applicazioni condividendo la CA con un account dell'applicazione utilizzando (). AWS Resource Access Manager AWS RAM AWS RAM gestisce le autorizzazioni necessarie per la condivisione tra account. Ciò elimina la necessità di una CA privata in ogni account e fornisce un modo di implementazione più conveniente. Per ulteriori informazioni sul flusso di lavoro e sull'implementazione, consulta il post del blog [How to use AWS RAM to share your AWS Private CA cross-account](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/).
**Nota**
AWS Certificate Manager (ACM) consente inoltre di fornire, gestire e distribuire certificati TLS pubblici da utilizzare con. Servizi AWS Per supportare questa funzionalità, ACM deve risiedere nel sito Account AWS che utilizzerebbe il certificato pubblico. Questo è discusso più avanti in questa guida, nella sezione [Account dell'applicazione](application.md).
**Considerazioni di natura progettuale**
Con AWS Private CA, è possibile creare una gerarchia di autorità di certificazione con un massimo di cinque livelli. È inoltre possibile creare più gerarchie, ognuna con una propria root. La AWS Private CA gerarchia deve aderire al design PKI dell'organizzazione. Tuttavia, tenete presente che l'aumento della gerarchia CA aumenta il numero di certificati nel percorso di certificazione, il che, a sua volta, aumenta il tempo di convalida di un certificato di entità finale. Una gerarchia CA ben definita offre vantaggi che includono il controllo di sicurezza granulare appropriato per ogni CA, la delega della CA subordinata a un'applicazione diversa, che porta alla divisione delle attività amministrative, l'uso di CA con fiducia revocabile limitata, la capacità di definire periodi di validità diversi e la capacità di applicare limiti di percorso. Idealmente, root e subordinato sono separati. CAs Account AWS Per ulteriori informazioni sulla pianificazione di una gerarchia di CA utilizzando AWS Private CA, consulta la [AWS Private CA documentazione](https://docs.aws.amazon.com/privateca/latest/userguide/ca-hierarchy.html) e il post di blog [Come proteggere una AWS Private CA gerarchia su scala aziendale per il settore automobilistico](https://aws.amazon.com/blogs/security/how-to-secure-an-enterprise-scale-acm-private-ca-hierarchy-for-automotive-and-manufacturing/) e manifatturiero.
AWS Private CA può integrarsi con la gerarchia CA esistente, il che consente di utilizzare le funzionalità di automazione e AWS integrazione nativa di ACM insieme all'attuale root of trust. È possibile creare una CA subordinata AWS Private CA supportata da una CA principale in locale. Per ulteriori informazioni sull'implementazione, vedere [Installazione di un certificato CA subordinato firmato da una CA principale esterna](https://docs.aws.amazon.com/privateca/latest/userguide/PCACertInstall.html#InstallSubordinateExternal) nella AWS Private CA documentazione.
## Amazon Inspector
[Amazon Inspector](https://aws.amazon.com/inspector/) è un servizio automatizzato di gestione delle vulnerabilità che rileva e analizza automaticamente le istanze Amazon EC2, le immagini dei container in Amazon Elastic Container Registry (Amazon ECR), le funzioni e gli archivi di codice all'interno dei gestori del codice sorgente AWS Lambda per individuare vulnerabilità software note ed esposizione involontaria alla rete.
Amazon Inspector valuta continuamente il tuo ambiente durante l'intero ciclo di vita delle tue risorse scansionando automaticamente le risorse ogni volta che apporti modifiche. Gli eventi che avviano la nuova scansione di una risorsa includono l'installazione di un nuovo pacchetto su un'istanza EC2, l'installazione di una patch e la pubblicazione di un nuovo rapporto CVE (Common Vulnerabilities and Exposures) che influisce sulla risorsa. Amazon Inspector supporta le valutazioni benchmark del Center of Internet Security (CIS) per i sistemi operativi nelle istanze EC2.
Amazon Inspector si integra con strumenti di sviluppo come Jenkins e TeamCity per la valutazione delle immagini dei container. Puoi valutare le immagini dei container per individuare eventuali vulnerabilità del software all'interno del pannello di controllo CI/CD) tools, and push security to an earlier point in the software development lifecycle. Assessment findings are available in the CI/CD dello strumento di integrazione continua e distribuzione continua, in modo da eseguire azioni automatizzate in risposta a problemi di sicurezza critici come build bloccate o invio di immagini ai registri dei container. Se ne hai uno attivo Account AWS, puoi installare il plug-in Amazon Inspector dal marketplace CI/CD degli strumenti e aggiungere una scansione Amazon Inspector nella tua pipeline di compilazione senza dover attivare il servizio Amazon Inspector. Questa funzionalità è compatibile con CI/CD strumenti ospitati ovunque, in locale o in cloud ibridi AWS, in modo da poter utilizzare in modo coerente un'unica soluzione in tutte le pipeline di sviluppo. Quando Amazon Inspector è attivato, rileva automaticamente tutte le istanze EC2, le immagini dei container in Amazon ECR e gli strumenti CI/CD e le funzioni Lambda su larga scala e le monitora continuamente per individuare vulnerabilità note.
I risultati sulla raggiungibilità della rete di Amazon Inspector valutano l'accessibilità delle istanze EC2 da o verso i edge VPC come gateway Internet, connessioni peering VPC o reti private virtuali () attraverso un gateway virtuale. VPNs Queste regole aiutano ad automatizzare il monitoraggio delle AWS reti e a identificare i punti in cui l'accesso di rete alle istanze EC2 potrebbe essere configurato in modo errato a causa di gruppi di sicurezza, elenchi di controllo degli accessi (), gateway Internet e così via. ACLs Per ulteriori informazioni, consulta la documentazione di [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html).
Quando Amazon Inspector identifica vulnerabilità o percorsi di rete aperti, produce un risultato che puoi esaminare. La scoperta include dettagli completi sulla vulnerabilità, tra cui un punteggio di rischio, la risorsa interessata e raccomandazioni per la correzione. Il punteggio di rischio è specificamente adattato all'ambiente in uso e viene calcolato correlando le informazioni up-to-date CVE con fattori temporali e ambientali, come l'accessibilità della rete e le informazioni sulla sfruttabilità, per fornire un risultato contestuale.
[Amazon Inspector Code Security analizza il codice](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments.html) sorgente delle applicazioni proprietarie, le dipendenze delle applicazioni di terze parti e l'infrastruttura come codice (IaC) alla ricerca di vulnerabilità. Dopo aver attivato Code Security, puoi creare e applicare una configurazione di scansione al tuo repository di codice per determinare la frequenza, il tipo di scansione e gli archivi da scansionare. Code Security supporta i test statici di sicurezza delle applicazioni (SAST), l'analisi della composizione del software (SCA) e la scansione IaC. Per configurare la frequenza, è possibile definire scansioni su richiesta, in caso di modifiche al codice o periodicamente. La scansione del codice acquisisce frammenti di codice per evidenziare le vulnerabilità rilevate. I frammenti di codice vengono archiviati crittografati con chiavi KMS. L'amministratore delegato di un'organizzazione non può visualizzare frammenti di codice che appartengono agli account dei membri. Dopo aver [integrato](https://docs.aws.amazon.com/inspector/latest/user/code-security-assessments-create-integration.html) i gestori del codice sorgente (SCMs) con Code Security, tutti gli archivi di codice vengono elencati come progetti nella console Amazon Inspector. Code Security monitora solo il ramo predefinito di ogni repository. Amazon Inspector semplifica la correzione della sicurezza fornendo consigli specifici per la correzione del codice direttamente dove lavorano gli sviluppatori. L'integrazione bidirezionale con SCM suggerisce automaticamente le correzioni sotto forma di commenti nelle richieste pull (PRs) e nelle richieste di unione () in caso di risultati critici e importanti e avvisa gli sviluppatori delle vulnerabilità più importanti da risolvere senza interrompere il flusso di lavoro. MRs
[Per individuare le vulnerabilità, le istanze EC2 devono essere gestite utilizzando Agent (SSMAgent).](https://docs.aws.amazon.com/systems-manager/latest/userguide/managed_instances.html) AWS Systems Manager AWS Systems Manager Non sono necessari agenti per la raggiungibilità della rete delle istanze EC2 o la scansione delle vulnerabilità delle immagini dei container nelle funzioni Amazon ECR o Lambda.
Amazon Inspector è integrato AWS Organizations e supporta l'amministrazione delegata. Nell' AWS SRA, l'account Security Tooling diventa l'account amministratore delegato per Amazon Inspector. L'account amministratore delegato di Amazon Inspector può gestire i risultati, i dati e determinate impostazioni per i membri dell'organizzazione. AWS Ciò include la visualizzazione dei dettagli dei risultati aggregati per tutti gli account dei membri, l'attivazione o la disabilitazione delle scansioni per gli account dei membri e la revisione delle risorse scansionate all'interno dell'organizzazione. AWS
**Considerazioni di natura progettuale**
Amazon Inspector si integra automaticamente con Security AWS Security Hub CSPM Hub quando entrambi i servizi sono abilitati. Puoi utilizzare questa integrazione per inviare tutti i risultati da Amazon Inspector a Security Hub CSPM, che li includerà quindi nell'analisi del tuo livello di sicurezza.
Amazon Inspector esporta automaticamente gli eventi relativi a risultati, modifiche alla copertura delle risorse e scansioni iniziali di singole risorse su Amazon e EventBridge, facoltativamente, in un bucket Amazon Simple Storage Service (Amazon S3). Per esportare i risultati attivi in un bucket S3, è necessaria una AWS KMS chiave che Amazon Inspector possa utilizzare per crittografare i risultati e un bucket S3 con autorizzazioni che consentano ad Amazon Inspector di caricare oggetti. EventBridgel'integrazione ti consente di monitorare ed elaborare i risultati quasi in tempo reale come parte dei flussi di lavoro di sicurezza e conformità esistenti. EventBridge gli eventi vengono pubblicati sull'account amministratore delegato di Amazon Inspector oltre all'account membro da cui hanno avuto origine.
Le integrazioni di Amazon Inspector Code Security con GitHub SaaS, GitHub Enterprise Cloud ed GitHub Enterprise Server richiedono l'accesso pubblico a Internet.
**Esempio di implementazione**
La [libreria di codici AWS SRA](https://github.com/aws-samples/aws-security-reference-architecture-examples) fornisce un'implementazione di esempio di [Amazon](https://github.com/aws-samples/aws-security-reference-architecture-examples/blob/main/aws_sra_examples/solutions/inspector/inspector_org) Inspector. Dimostra l'amministrazione delegata (Security Tooling) e configura Amazon Inspector per tutti gli account esistenti e futuri dell'organizzazione. AWS
## AWS Security Incident Response
[AWS Security Incident Response](https://aws.amazon.com/security-incident-response/)è un servizio che ti aiuta a prepararti e a rispondere agli incidenti di sicurezza nel tuo ambiente. AWS Esamina i risultati, analizza gli eventi di sicurezza e gestisce i casi che richiedono l'attenzione immediata dell'utente. Inoltre, ti dà accesso al AWS Customer Incident Response Team (CIRT), che indaga sulle risorse interessate. AWS Security Incident Response fornisce inoltre funzionalità automatizzate di risposta e riparazione tramite AWS Systems Manager documenti (documenti SSM), che aiutano i team di sicurezza a rispondere e riprendersi dagli incidenti di sicurezza in modo più efficiente. AWS Security Incident Response [si integra con Amazon GuardDuty AWS Security Hub CSPM](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html) per ricevere risultati di sicurezza e orchestrare risposte automatiche.
Nell' AWS SRA, AWS Security Incident Response viene distribuito nell'account Security Tooling come account amministratore delegato. L'account Security Tooling è selezionato perché è in linea con lo scopo dell'account di gestire i servizi di sicurezza e automatizzare gli avvisi e le risposte di sicurezza. L'account Security Tooling funge anche da account amministratore delegato per Security Hub CSPM e GuardDuty, insieme AWS Security Incident Response, aiuta a semplificare la gestione del flusso di lavoro. AWS Security Incident Response è configurato per funzionare con AWS Organizations, in modo da poter gestire le risposte agli incidenti tra gli account dell'organizzazione dall'account Security Tooling.
AWS Security Incident Response ti aiuta a implementare le seguenti fasi del ciclo di vita della risposta agli incidenti:
+ Preparazione: crea e gestisci piani di risposta e documenti SSM per le azioni di contenimento.
+ Rilevamento e analisi: analizza automaticamente i risultati di sicurezza e determina la gravità degli incidenti.
+ Rilevamento e analisi: aprite un caso supportato dal servizio e contattate il AWS CIRT per ulteriore assistenza. CIRT è un gruppo di individui che forniscono supporto durante eventi di sicurezza attivi.
+ Contenimento ed eradicazione: esegui azioni di contenimento automatizzate tramite documenti SSM.
+ Attività post-incidente: documenta i dettagli dell'incidente ed esegui analisi post-incidente.
Puoi anche utilizzarlo AWS Security Incident Response per creare casi autogestiti. AWS Security Incident Response puoi creare una notifica o un caso in uscita quando devi essere a conoscenza di qualcosa che potrebbe influire sul tuo account o sulle tue risorse o agire di conseguenza. Questa funzionalità è disponibile solo quando abiliti i flussi di lavoro di risposta proattiva e triaging degli avvisi come parte dell'abbonamento.
**Considerazioni di natura progettuale**
Quando implementi AWS Security Incident Response, esamina e testa attentamente le azioni di risposta automatiche prima di attivarle in produzione. L'automazione può accelerare la risposta agli incidenti, ma le azioni automatizzate configurate in modo errato potrebbero influire sui carichi di lavoro legittimi.
Prendi in considerazione l'utilizzo di documenti SSM AWS Security Incident Response per implementare procedure di contenimento specifiche dell'organizzazione, mantenendo al contempo le migliori pratiche integrate nel servizio per i tipi di incidenti più comuni.
Se prevedi di utilizzarlo AWS Security Incident Response in un VPC, assicurati di avere gli endpoint VPC appropriati configurati per Systems Manager e altri servizi integrati per abilitare le azioni di contenimento nelle sottoreti private.
## Implementazione di servizi di sicurezza comuni all'interno di tutti Account AWS
La sezione [Applica i servizi di sicurezza all'intera AWS organizzazione](security-services.md) precedente di questo riferimento ha evidenziato i servizi di sicurezza che proteggono un Account AWS utente e ha osservato che molti di questi servizi possono essere configurati e gestiti anche all'interno AWS Organizations. Alcuni di questi servizi devono essere distribuiti in tutti gli account e li vedrai nell' AWS SRA. Ciò consente una serie coerente di barriere e fornisce monitoraggio, gestione e governance centralizzati in tutta l'organizzazione. AWS
Security Hub, CSPM, GuardDuty AWS Config, IAM Access Analyzer e gli itinerari CloudTrail dell'organizzazione vengono visualizzati in tutti gli account. I primi tre supportano la funzionalità di amministratore delegato descritta in precedenza nella sezione [Account di gestione, accesso affidabile](management-account.md) e amministratori delegati. CloudTrail attualmente utilizza un meccanismo di aggregazione diverso.
L'[archivio del GitHub codice AWS](https://github.com/aws-samples/aws-security-reference-architecture-examples) SRA fornisce un'implementazione di esempio per abilitare Security Hub, CSPM, GuardDuty AWS Config AWS Firewall Manager, e i percorsi CloudTrail organizzativi su tutti gli account, incluso l' AWS account Org Management.
**Considerazioni di natura progettuale**
Le configurazioni specifiche degli account potrebbero richiedere servizi di sicurezza aggiuntivi. Ad esempio, gli account che gestiscono i bucket S3 (gli account Application e Log Archive) dovrebbero includere anche Amazon Macie e prendere in considerazione l'attivazione della registrazione degli eventi dei dati S3 CloudTrail in questi servizi di sicurezza comuni. (Macie supporta l'amministrazione delegata con configurazione e monitoraggio centralizzati.) Un altro esempio è Amazon Inspector, applicabile solo agli account che ospitano istanze EC2 o immagini Amazon ECR.
Oltre ai servizi descritti in precedenza in questa sezione, l' AWS SRA include due servizi incentrati sulla sicurezza, Amazon Detective e AWS Audit Manager, che supportano AWS Organizations l'integrazione e la funzionalità di amministratore delegato. Tuttavia, questi servizi non sono inclusi tra i servizi consigliati per la baselining degli account, poiché abbiamo visto che questi servizi vengono utilizzati al meglio nei seguenti scenari:
Hai un team o un gruppo di risorse dedicato che svolgono queste funzioni. Detective viene utilizzato al meglio dai team di analisti della sicurezza e Audit Manager è utile per i team interni di audit o conformità.
Desideri concentrarti su un set di strumenti di base come GuardDuty Security Hub CSPM all'inizio del progetto e poi sfruttarli utilizzando servizi che forniscono funzionalità aggiuntive.
# Unità organizzativa di sicurezza — Account Log Archive
| |
| --- |
| Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un [breve sondaggio](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua). |
Il diagramma seguente illustra i servizi AWS di sicurezza configurati nell'account Log Archive.
![\[Servizi di sicurezza nell'account Log Archive.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/security-reference-architecture/images/log-archive-acct.png)
L'account Log Archive è dedicato all'acquisizione e all'archiviazione di tutti i log e i backup relativi alla sicurezza. Con i log centralizzati, puoi monitorare, controllare e inviare avvisi sull'accesso agli oggetti di Amazon S3, sulle attività non autorizzate delle identità, sulle modifiche alle policy IAM e su altre attività critiche eseguite su risorse sensibili. Gli obiettivi di sicurezza sono semplici: deve trattarsi di uno storage immutabile, accessibile solo da meccanismi controllati, automatizzati e monitorati e progettato per garantire la durabilità (ad esempio, utilizzando i processi di replica e archiviazione appropriati). I controlli possono essere implementati in profondità per proteggere l'integrità e la disponibilità dei log e del processo di gestione dei log. Oltre ai controlli preventivi, come l'assegnazione di ruoli con privilegi minimi da utilizzare per l'accesso e la crittografia dei log con una AWS KMS chiave controllata, utilizza controlli di rilevamento come monitorare (e avvisare e correggere) questa raccolta di autorizzazioni AWS Config per modifiche impreviste.
**Considerazione di natura progettuale**
I dati di registro operativi utilizzati dai team di infrastruttura, operazioni e carico di lavoro spesso si sovrappongono ai dati di registro utilizzati dai team di sicurezza, audit e conformità. Ti consigliamo di consolidare i dati di registro operativi nell'account Log Archive. In base ai requisiti specifici di sicurezza e governance, potrebbe essere necessario filtrare i dati di registro operativi salvati su questo account. Potrebbe inoltre essere necessario specificare chi ha accesso ai dati di registro operativi nell'account Log Archive.
## Tipi di log
I log principali mostrati nell' AWS SRA includono AWS CloudTrail (percorso organizzativo), log di flusso di Amazon VPC, log di accesso di Amazon CloudFront AWS WAF e log DNS di Amazon Route 53. Questi log forniscono un controllo delle azioni intraprese (o tentate) da un utente, un ruolo o un'entità di rete (identificata Servizio AWS, ad esempio, da un indirizzo IP). È possibile acquisire e archiviare anche altri tipi di registro (ad esempio registri delle applicazioni o dei database). Per ulteriori informazioni sulle fonti di registro e sulle migliori pratiche di registrazione, consulta la [documentazione sulla sicurezza di ciascun servizio](https://docs.aws.amazon.com/security/).
## Amazon S3 come archivio di log centrale
Molte informazioni di Servizi AWS log in Amazon S3, di default o esclusivamente. AWS CloudTrail, Amazon VPC Flow Logs, Elastic Load Balancing AWS Config, GuardDuty Amazon AWS WAF e sono alcuni esempi di servizi che registrano informazioni in Amazon S3. Ciò significa che l'integrità dei log viene raggiunta attraverso l'integrità degli oggetti S3, la riservatezza dei log viene ottenuta tramite i controlli di accesso agli oggetti S3 e la disponibilità dei log viene ottenuta tramite S3 Object Lock, le versioni degli oggetti S3 e le regole S3 Lifecycle. Registrando le informazioni in un bucket S3 dedicato e centralizzato che risiede in un account dedicato, puoi gestire questi log in pochi bucket e applicare rigorosi controlli di sicurezza, accesso e separazione delle funzioni.
Nell' AWS SRA, provengono CloudTrail i log primari archiviati in Amazon S3, quindi questa sezione descrive come proteggere tali oggetti. Questa guida si applica anche a qualsiasi altro oggetto S3 creato dalle tue applicazioni o da altri. Servizi AWS Applica questi modelli ogni volta che hai dati in Amazon S3 che richiedono elevata integrità, forte controllo degli accessi e conservazione o distruzione automatizzate.
Tutti i nuovi oggetti (compresi CloudTrail i log) caricati nei bucket S3 sono [crittografati per impostazione predefinita utilizzando la crittografia lato server di Amazon con chiavi di crittografia gestite da](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html) Amazon S3 (SSE-S3). Ciò aiuta a proteggere i dati archiviati, ma il controllo degli accessi è controllato esclusivamente dalle politiche IAM. Per fornire un ulteriore livello di sicurezza gestito, puoi utilizzare la crittografia lato server con AWS KMS chiavi gestite dall'utente (SSE-KMS) su tutti i bucket di sicurezza S3. Ciò aggiunge un secondo livello di controllo degli accessi. Per leggere i file di log, un utente deve disporre sia delle autorizzazioni di lettura di Amazon S3 per l'oggetto S3 sia di una policy o di un ruolo IAM applicato che consenta loro le autorizzazioni di decrittografia in base alla policy chiave associata.
Due opzioni consentono di proteggere o verificare l'integrità degli oggetti di CloudTrail log archiviati in Amazon S3. CloudTrail fornisce la [convalida dell'integrità dei file di registro](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-intro.html) per determinare se un file di registro è stato modificato o eliminato dopo la CloudTrail consegna. L'altra opzione è [S3 Object](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) Lock.
Oltre a proteggere il bucket S3 stesso, puoi rispettare il principio del privilegio minimo per i servizi di registrazione (ad esempio CloudTrail) e l'account Log Archive. Ad esempio, gli utenti con le autorizzazioni concesse dalla policy IAM AWS gestita `AWSCloudTrail_FullAccess` possono disabilitare o riconfigurare le funzioni di controllo più sensibili e importanti al loro interno. Account AWS Limita l'applicazione di questa policy IAM al minor numero possibile di individui.
Utilizza i controlli investigativi, come quelli forniti da AWS Config IAM Access Analyzer, per monitorare (e avvisare e porre rimedio) a questo più ampio collettivo di controlli preventivi in caso di modifiche impreviste.
Per una discussione più approfondita sulle best practice di sicurezza per i bucket S3, consulta la documentazione di [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html)[, i talk tecnici online](https://www.youtube.com/watch?v=7M3s_ix9ljE) e il [post sul blog Le 10 migliori pratiche di sicurezza per la protezione dei dati in](https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-data-in-amazon-s3/) Amazon S3.
**Esempio di implementazione**
La [libreria di codici AWS SRA](https://github.com/aws-samples/aws-security-reference-architecture-examples) fornisce un'implementazione di esempio dell'accesso pubblico tramite [account a blocchi Amazon S3](https://github.com/aws-samples/aws-security-reference-architecture-examples/blob/main/aws_sra_examples/solutions/s3/s3_block_account_public_access). Questo modulo blocca l'accesso pubblico ad Amazon S3 per tutti gli account esistenti e futuri dell' AWS organizzazione.
## Amazon Security Lake
AWS SRA consiglia di utilizzare l'account Log Archive come account amministratore delegato per Amazon Security Lake. In tal caso, Security Lake raccoglie i log supportati in bucket S3 dedicati nello stesso account degli altri log di sicurezza consigliati da SRA.
Per proteggere la disponibilità dei log e il processo di gestione dei log, è necessario accedere ai bucket S3 per Security Lake solo dal servizio Security Lake o dai ruoli IAM gestiti da Security Lake per sorgenti o abbonati. Oltre a utilizzare controlli preventivi, come l'assegnazione di ruoli con privilegi minimi per l'accesso e la crittografia dei log con una AWS KMS chiave controllata, utilizza controlli investigativi come AWS Config monitorare (e avvisare e correggere) questa raccolta di autorizzazioni per modifiche impreviste.
L'amministratore di Security Lake AWS può abilitare la raccolta dei log in tutta l'organizzazione. Questi registri sono archiviati in bucket S3 regionali nell'account Log Archive. Inoltre, per centralizzare i log e facilitare l'archiviazione e l'analisi, l'amministratore di Security Lake può scegliere una o più regioni di rollup in cui i log di tutti i bucket S3 regionali vengono consolidati e archiviati. I log di Supported Servizi AWS vengono convertiti automaticamente in uno schema open source standardizzato chiamato Open Cybersecurity Schema Framework (OCSF) e salvati in formato Apache Parquet nei bucket Security Lake S3. Con il supporto OCSF, Security Lake normalizza e consolida in modo efficiente i dati di sicurezza provenienti e da altre fonti di sicurezza aziendali per creare un archivio unificato AWS e affidabile di informazioni relative alla sicurezza.
Security Lake può raccogliere log associati a eventi di AWS CloudTrail gestione ed eventi relativi ai CloudTrail dati per Amazon AWS Lambda S3 e. Per raccogliere eventi di CloudTrail gestione in Security Lake, è necessario disporre di almeno un percorso organizzativo CloudTrail multiregionale che raccolga gli eventi di gestione di lettura e scrittura. CloudTrail La registrazione deve essere abilitata per il percorso. Un percorso multiregionale fornisce file di registro da più regioni a un singolo bucket S3 per uno. Account AWS Se le regioni si trovano in paesi diversi, considera i requisiti di esportazione dei dati per determinare se è possibile abilitare percorsi multiregionali.
AWS Security Hub CSPM è un'origine dati nativa supportata in Security Lake ed è necessario aggiungere i risultati CSPM di Security Hub a Security Lake. Security Hub CSPM genera risultati da molte integrazioni diverse Servizi AWS e di terze parti. Questi risultati ti aiutano a ottenere una panoramica del tuo atteggiamento di conformità e a verificare se stai seguendo le raccomandazioni e le soluzioni di sicurezza. AWS AWS Partner
Per ottenere visibilità e informazioni utili da log ed eventi, puoi interrogare i dati utilizzando strumenti come Amazon [Athena, Amazon [Service OpenSearch ,](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/what-is.html)](https://docs.aws.amazon.com/athena/latest/ug/what-is.html) [Amazon Quick](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html) e soluzioni di terze parti. Gli utenti che richiedono l'accesso ai dati di registro di Security Lake non devono accedere direttamente all'account Log Archive. Devono accedere ai dati solo dall'account Security Tooling. Oppure possono utilizzare altre sedi Account AWS o locali che forniscono strumenti di analisi come OpenSearch Service, Quick o strumenti di terze parti come gli strumenti di gestione delle informazioni e degli eventi di sicurezza (SIEM). Per fornire l'accesso ai dati, l'amministratore deve configurare [gli abbonati a Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html) nell'account Log Archive e configurare l'account che richiede l'accesso ai dati come abbonato all'accesso alle [query](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-query-access.html). Per ulteriori informazioni, consulta [Amazon Security Lake](security-tooling.md#tool-security-lake) nella sezione *Security OU ‒ Security Tooling account* di questa guida.
Security Lake fornisce una policy AWS gestita per aiutarti a gestire l'accesso degli amministratori al servizio. Per ulteriori informazioni, consulta la [Guida per l'utente di Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/security-iam-awsmanpol.html). Come procedura ottimale, si consiglia di limitare la configurazione di Security Lake tramite pipeline di sviluppo e impedire modifiche alla configurazione tramite AWS le console o il AWS Command Line Interface ()AWS CLI. Inoltre, è necessario impostare politiche IAM e politiche di controllo del servizio rigorose (SCPs) per fornire solo le autorizzazioni necessarie per gestire Security Lake. Puoi [configurare le notifiche](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ways-to-add-notification-config-to-bucket.html) per rilevare qualsiasi accesso diretto a questi bucket S3.
**Considerazione di natura progettuale**
Quando si abilitano gli eventi di CloudTrail gestione in Security Lake, questi comportano addebiti per Security Lake. La raccolta di eventi di CloudTrail gestione in Security Lake richiede un percorso organizzativo CloudTrail multiregionale che raccolga gli eventi di CloudTrail gestione di lettura e scrittura. Questo primo percorso è disponibile gratuitamente. CloudTrail gli eventi di gestione rappresentano in genere una piccola percentuale (circa il 5%) degli CloudTrail eventi totali. Questo vale per i clienti che utilizzano AWS Control Tower o dispongono di CloudTrail log centralizzati in un account Log Archive.
# UO dell'infrastruttura - Account di rete
| |
| --- |
| Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un [breve sondaggio](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua). |
Il diagramma seguente illustra i servizi AWS di sicurezza configurati nell'account di rete.
![\[Servizi di sicurezza per l'account di rete\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/security-reference-architecture/images/network-acct.png)
L'account di rete gestisce il gateway tra l'applicazione e Internet in generale. È importante proteggere quell'interfaccia bidirezionale. L'account di rete isola i servizi di rete, la configurazione e il funzionamento dai carichi di lavoro, dalla sicurezza e da altre infrastrutture delle singole applicazioni. Questa disposizione non solo limita la connettività, le autorizzazioni e il flusso di dati, ma supporta anche la separazione dei compiti e il privilegio minimo per i team che devono operare in questi account. Suddividendo il flusso di rete in cloud privati virtuali in entrata e in uscita separati (VPCs), è possibile proteggere l'infrastruttura e il traffico sensibili da accessi indesiderati. La rete in entrata è generalmente considerata a maggior rischio e merita routing, monitoraggio e mitigazione appropriati dei potenziali problemi. Questi account dell'infrastruttura erediteranno i guardrail di autorizzazione dall'account di gestione dell'organizzazione e dall'unità organizzativa dell'infrastruttura. I team di rete (e sicurezza) gestiscono la maggior parte dell'infrastruttura di questo account.
## Architettura di rete
Sebbene la progettazione e le specifiche della rete non rientrino nell'ambito di questo documento, consigliamo queste tre opzioni per la connettività di rete tra i vari account: peering AWS PrivateLink VPC e. AWS Transit Gateway Le considerazioni importanti da fare nella scelta tra queste opzioni sono le norme operative, i budget e le esigenze specifiche di larghezza di banda.
+ [Peering VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) ‒ Il modo più semplice per connetterne due VPCs è utilizzare il peering VPC. Una connessione consente la connettività bidirezionale completa tra. VPCs VPCs che si trovano in account separati e Regioni AWS possono anche essere collegati tra loro. Su larga scala, quando ne hai da decine a centinaia VPCs, l'interconnessione con il peering produce una rete di centinaia o migliaia di connessioni peering, il che può essere difficile da gestire e scalare. Il peering VPC viene utilizzato al meglio quando le risorse di un VPC devono comunicare con le risorse di un altro VPC, l'ambiente di entrambi VPCs è controllato e protetto e il numero di connessioni da connettere è inferiore VPCs a 10 (per consentire la gestione individuale di ogni connessione).
+ [AWS PrivateLink](https://aws.amazon.com/privatelink)‒ PrivateLink fornisce connettività privata tra VPCs servizi e applicazioni. Puoi creare la tua applicazione nel tuo VPC e configurarla come un servizio PrivateLink basato su tecnologia (denominato servizio *endpoint*). Altri AWS principali possono creare una connessione dal proprio VPC al servizio endpoint utilizzando un endpoint [VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) o un endpoint [Gateway Load Balancer](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-gateway-load-balancer.html), a seconda del tipo di servizio. Quando si utilizza PrivateLink, il traffico del servizio non attraversa una rete instradabile pubblicamente. Utilizzalo PrivateLink quando disponi di una configurazione client-server in cui desideri fornire a uno o più consumatori l'accesso VPCs unidirezionale a un servizio o a un set di istanze specifico nel VPC del provider di servizi. Questa è anche una buona opzione quando client e server dei due VPCs hanno indirizzi IP sovrapposti, perché PrivateLink utilizza interfacce di rete elastiche all'interno del VPC del client in modo che non vi siano conflitti IP con il provider di servizi.
+ [AWS Transit Gateway](https://aws.amazon.com/transit-gateway)‒ Transit Gateway offre un hub-and-spoke design per la connessione VPCs e le reti locali come servizio completamente gestito senza la necessità di effettuare il provisioning di appliance virtuali. AWS gestisce l'elevata disponibilità e scalabilità. Un gateway di transito è una risorsa regionale e può collegarne migliaia VPCs all'interno della stessa Regione AWS. È possibile collegare la connettività ibrida (VPN e AWS Direct Connect connessioni) a un singolo gateway di transito, consolidando e controllando così l'intera configurazione di routing AWS dell'organizzazione in un unico posto. Un gateway di transito risolve la complessità legata alla creazione e alla gestione di più connessioni peering VPC su larga scala. È l'impostazione predefinita per la maggior parte delle architetture di rete, ma esigenze specifiche in termini di costi, larghezza di banda e latenza potrebbero rendere il peering VPC più adatto alle tue esigenze.
## VPC in ingresso (ingress)
Il VPC in entrata è destinato ad accettare, ispezionare e instradare le connessioni di rete avviate dall'esterno dell'applicazione. A seconda delle specifiche dell'applicazione, puoi aspettarti di vedere una traduzione degli indirizzi di rete, ovvero una Network Address Translation (NAT) in questo VPC. I log di flusso di questo VPC vengono acquisiti e archiviati nell'account Log Archive.
## VPC in uscita (egress)
Il VPC in uscita è destinato a gestire le connessioni di rete avviate dall'interno dell'applicazione. A seconda delle specifiche dell'applicazione, puoi aspettarti di vedere traffico NAT, endpoint VPC Servizio AWS specifici e hosting di endpoint API esterni in questo VPC. I log di flusso di questo VPC vengono acquisiti e archiviati nell'account Log Archive.
## VPC di ispezione
Un VPC di ispezione dedicato offre un approccio semplificato e centrale per la gestione delle ispezioni tra VPCs (nella stessa o in diverse Regioni AWS), Internet e reti locali. Per l' AWS SRA, assicuratevi che tutto il traffico intercorrente VPCs passi attraverso il VPC di ispezione ed evitate di utilizzare il VPC di ispezione per qualsiasi altro carico di lavoro.
## AWS Network Firewall
[AWS Network Firewall](https://aws.amazon.com/network-firewall/)è un servizio firewall di rete gestito e ad alta disponibilità per il tuo VPC. Ti consente di implementare e gestire senza problemi l'ispezione dello stato, la prevenzione e il rilevamento delle intrusioni e il filtraggio web per proteggere le tue reti virtuali su. AWSÈ possibile utilizzare Network Firewall per decrittografare le sessioni TLS e ispezionare il traffico in entrata e in uscita. Per ulteriori informazioni sulla configurazione del Network Firewall, consulta il post sul [AWS Network Firewall blog — New Managed Firewall Service in VPC](https://aws.amazon.com/blogs/aws/aws-network-firewall-new-managed-firewall-service-in-vpc/).
Utilizzi un firewall in base alla zona di disponibilità nel tuo VPC. Per ogni zona di disponibilità, scegli una sottorete per ospitare l'endpoint firewall che filtra il traffico. L'endpoint firewall in una zona di disponibilità può proteggere tutte le sottoreti all'interno della zona ad eccezione della sottorete in cui si trova. A seconda del caso d'uso e del modello di implementazione, la sottorete del firewall può essere pubblica o privata. Il firewall è completamente trasparente per il flusso di traffico e non esegue la traduzione degli indirizzi di rete, ovvero il Network Address Translation (NAT). Conserva l'indirizzo di origine e di destinazione. In questa architettura di riferimento, gli endpoint del firewall sono ospitati in un VPC di ispezione. Tutto il traffico dal VPC in entrata e verso il VPC in uscita viene instradato attraverso questa sottorete del firewall per l'ispezione.
Network Firewall rende visibile l'attività del firewall in tempo reale attraverso i CloudWatch parametri di Amazon e offre una maggiore visibilità del traffico di rete inviando i log ad Amazon Simple Storage Service (Amazon S3) e Amazon Data CloudWatch Firehose. [Network Firewall è interoperabile con l'approccio alla sicurezza esistente, comprese le tecnologie dei partner.AWS](https://aws.amazon.com/network-firewall/partners/) Puoi anche importare set di regole [Suricata](https://suricata-ids.org/) esistenti, che potrebbero essere stati scritti internamente o forniti esternamente da fornitori di terze parti o piattaforme open source.
Nell' AWS SRA, Network Firewall viene utilizzato all'interno dell'account di rete perché la funzionalità del servizio incentrata sul controllo della rete è in linea con l'intento dell'account.
**Considerazioni di natura progettuale**
AWS Firewall Manager supporta Network Firewall, quindi puoi configurare e distribuire centralmente le regole del Network Firewall in tutta l'organizzazione. (Per i dettagli, consulta [Utilizzo AWS Network Firewall delle politiche in Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/network-firewall-policies.html) nella AWS documentazione.) Quando si configura Firewall Manager, viene creato automaticamente un firewall con set di regole negli account e VPCs specificate dall'utente. Inoltre, distribuisce un endpoint in una sottorete dedicata per ogni zona di disponibilità che contiene sottoreti pubbliche. Allo stesso tempo, qualsiasi modifica al set di regole configurato centralmente viene automaticamente aggiornata a valle sui firewall di Firewall di rete implementati.
Con Firewall di rete sono disponibili [diversi modelli di implementazione](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/). Il modello più adatto varia a seconda dei requisiti e del caso d'uso. Considerare i seguenti esempi:
Un modello di distribuzione distribuito in cui Network Firewall viene distribuito in singoli VPCs utenti.
Un modello di implementazione centralizzato in cui Firewall di rete viene implementato in un VPC centralizzato per il traffico est-ovest (da VPC a VPC) o nord-sud (uscita e ingresso Internet, on-premise).
Un modello di implementazione combinato in cui Firewall di rete viene implementato in un VPC centralizzato per il traffico est-ovest e un sottoinsieme del traffico nord-sud.
Come best practice, non utilizzare la sottorete di Firewall di rete per implementare qualsiasi altro servizio. Questo perché Firewall di rete non è in grado di ispezionare il traffico proveniente da origini o destinazioni all'interno della sottorete del firewall.
## Strumento di analisi degli accessi alla rete
[Strumento di analisi degli accessi alla rete](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html) è una funzionalità di Amazon VPC che identifica gli accessi di rete non intenzionali alle tue risorse. Strumento di analisi degli accessi alla rete può essere utilizzato per convalidare la segmentazione della rete, identificare risorse accessibili da Internet o accessibili solo da intervalli di indirizzi IP attendibili e verificare di disporre di controlli di rete appropriati su tutti i percorsi di rete.
[Network Access Analyzer utilizza algoritmi di ragionamento automatizzato per analizzare i percorsi di rete che un pacchetto può percorrere tra le risorse di una AWS rete e produce risultati per i percorsi che corrispondono all'ambito di accesso alla rete definito.](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/working-with-network-access-scopes.html) Strumento di analisi degli accessi alla rete esegue un'analisi statica di una configurazione di rete, il che significa che nessun pacchetto viene trasmesso nella rete come parte di questa analisi.
Le regole di raggiungibilità della rete Amazon Inspector forniscono una funzionalità correlata. I risultati generati da queste regole vengono utilizzati nell'account dell'applicazione. Sia Network Access Analyzer che Network Reachability utilizzano la tecnologia più recente della [AWS comprovable security initiative](https://aws.amazon.com/security/provable-security/) e applicano questa tecnologia con diverse aree di interesse. Il pacchetto Network Reachability si concentra specificamente sulle EC2 istanze e sulla loro accessibilità a Internet.
L'account di rete definisce l'infrastruttura di rete critica che controlla il traffico in entrata e in uscita dall'ambiente. AWS Questo traffico deve essere monitorato attentamente. Nell' AWS SRA, Network Access Analyzer viene utilizzato all'interno dell'account di rete per aiutare a identificare accessi involontari alla rete, identificare le risorse accessibili a Internet tramite gateway Internet e verificare che i controlli di rete appropriati, come i firewall di rete e i gateway NAT, siano presenti su tutti i percorsi di rete tra risorse e gateway Internet.
**Considerazione di natura progettuale**
Network Access Analyzer è una funzionalità di Amazon VPC e può essere utilizzata in Account AWS qualsiasi ambiente che disponga di un VPC. Gli amministratori di rete possono avvalersi di ruoli IAM ben definiti e trasversali tra account per verificare che i percorsi di rete approvati vengano applicati all'interno di ciascuno di essi. Account AWS
## AWS RAM
[AWS Resource Access Manager](https://aws.amazon.com/ram/)(AWS RAM) ti aiuta a condividere in modo sicuro le AWS risorse che crei l'una con l'altra. Account AWS Account AWSAWS RAM fornisce una posizione centrale per gestire la condivisione delle risorse e standardizzare questa esperienza tra gli account. Ciò semplifica la gestione delle risorse sfruttando al contempo l'isolamento amministrativo e di fatturazione e riduce la portata dei vantaggi di contenimento dell'impatto offerti da una strategia multi-account. Se il tuo account è gestito da AWS Organizations, ti AWS RAM consente di condividere le risorse con tutti gli account dell'organizzazione o solo con gli account all'interno di una o più unità organizzative specificate (OUs). Puoi anche condividere con ID specifici Account AWS per account, indipendentemente dal fatto che l'account faccia parte di un'organizzazione. Puoi anche condividere [alcuni tipi di risorse supportati](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html) con ruoli e utenti IAM specifici.
AWS RAM consente di condividere risorse che non supportano le policy basate sulle risorse IAM, come le sottoreti VPC e le regole Route 53. Inoltre, con AWS RAM, i proprietari di una risorsa possono vedere quali responsabili hanno accesso alle singole risorse che hanno condiviso. I responsabili IAM possono recuperare direttamente l'elenco delle risorse condivise con loro, cosa che non possono fare con le risorse condivise dalle policy delle risorse IAM. Se AWS RAM viene utilizzato per condividere risorse all'esterno AWS dell'organizzazione, viene avviato un processo di invito. Il destinatario deve accettare l'invito prima di concedere l'accesso alle risorse. Ciò fornisce controlli ed equilibri aggiuntivi.
AWS RAM viene richiamato e gestito dal proprietario della risorsa, nell'account in cui viene distribuita la risorsa condivisa. Un caso d'uso comune AWS RAM illustrato nell' AWS SRA è che gli amministratori di rete condividano sottoreti VPC e gateway di transito con l'intera organizzazione. AWS Ciò offre la possibilità di disaccoppiare le funzioni di gestione della rete Account AWS e aiuta a raggiungere la separazione delle mansioni. [Per ulteriori informazioni sulla condivisione VPC, consulta il AWS post del blog [Condivisione VPC: un nuovo approccio alla gestione di più account e VPC e al](https://aws.amazon.com/blogs/networking-and-content-delivery/vpc-sharing-a-new-approach-to-multiple-accounts-and-vpc-management/) white paper sull'infrastruttura di rete.AWS](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/amazon-vpc-sharing.html)
**Considerazione di natura progettuale**
Sebbene AWS RAM il servizio sia distribuito solo all'interno dell'account di rete nell' AWS SRA, in genere viene distribuito in più di un account. Ad esempio, è possibile centralizzare la gestione del data lake su un singolo account di data lake e quindi condividere le risorse del catalogo AWS Lake Formation dati (database e tabelle) con altri account dell'organizzazione. AWS Per ulteriori informazioni, consulta la [AWS Lake Formation documentazione](https://docs.aws.amazon.com/lake-formation/latest/dg/sharing-catalog-resources.html) e il post AWS sul blog [Condividi in modo sicuro i tuoi dati durante Account AWS](https://aws.amazon.com/blogs/big-data/securely-share-your-data-across-aws-accounts-using-aws-lake-formation/) l'utilizzo. AWS Lake Formation Inoltre, gli amministratori della sicurezza possono AWS RAM seguire le migliori pratiche quando creano una AWS Autorità di certificazione privata gerarchia. CAs può essere condiviso con terze parti esterne, che possono emettere certificati senza avere accesso alla gerarchia delle CA. Ciò consente alle organizzazioni di origine di limitare e revocare l'accesso di terze parti.
## Accesso verificato da AWS
[Accesso verificato da AWS](https://aws.amazon.com/verified-access/)fornisce un accesso sicuro alle applicazioni e alle risorse aziendali senza una VPN. Migliora il livello di sicurezza e aiuta ad applicare l'accesso Zero Trust valutando ogni richiesta di accesso in tempo reale rispetto ai requisiti predefiniti. È possibile definire una policy di accesso unica per ogni applicazione con condizioni basate sui [dati di identità](https://docs.aws.amazon.com/verified-access/latest/ug/user-trust.html) e sulla [postura del dispositivo](https://docs.aws.amazon.com/verified-access/latest/ug/device-trust.html). Verified Access fornisce un accesso sicuro alle applicazioni HTTP (S), come le applicazioni basate su browser, e alle applicazioni non HTTP (S) tramite protocolli TCP, SSH e RDP per applicazioni come repository Git, database e gruppi di istanze. EC2 È possibile accedervi utilizzando un terminale a riga di comando o da un'applicazione desktop. Accesso verificato semplifica inoltre le operazioni di sicurezza aiutando gli amministratori a impostare e monitorare in modo efficiente le policy di accesso. Ciò consente di risparmiare tempo per aggiornare le policy, rispondere agli incidenti di sicurezza e connettività e verificare gli standard di conformità. Verified Access supporta anche l'integrazione con AWS WAF per aiutarti a filtrare le minacce più comuni come SQL injection e cross-site scripting (XSS). Verified Access è perfettamente integrato con AWS IAM Identity Center, il che consente agli utenti di autenticarsi con provider di identità di terze parti basati su SAML (). IdPs Se disponi già di una soluzione IdP personalizzata compatibile con OpenID Connect (OIDC), Accesso verificato può anche autenticare gli utenti connettendosi direttamente con il tuo IdP. Accesso verificato registra ogni tentativo di accesso in modo da poter rispondere rapidamente agli incidenti di sicurezza e alle richieste di controllo. Verified Access supporta la consegna di questi log ad Amazon Simple Storage Service (Amazon S3), Amazon CloudWatch Logs e Amazon Data Firehose.
Accesso verificato supporta due modelli applicativi aziendali comuni: interni e rivolti a Internet. Accesso verificato si integra con le applicazioni tramite Application Load Balancer o interfacce di rete elastiche. Se utilizzi un Application Load Balancer, Verified Access richiede un load balancer interno. Poiché Verified Access supporta AWS WAF a livello di istanza, un'applicazione esistente con AWS WAF integrazione con un Application Load Balancer può spostare le policy dal load balancer all'istanza Verified Access. Un'applicazione aziendale è rappresentata come un endpoint di Accesso verificato. Ogni endpoint è associato a un gruppo di Accesso verificato ed eredita la policy di accesso per il gruppo. Un gruppo di Accesso verificato è una raccolta di endpoint di Accesso verificato e una policy di Accesso verificato a livello di gruppo. I gruppi semplificano la gestione delle policy e consentono agli amministratori IT di impostare criteri di base. I proprietari delle applicazioni possono definire ulteriormente policy granulari in base alla sensibilità dell'applicazione.
Nell' AWS SRA, l'accesso verificato è ospitato all'interno dell'account di rete. Il team IT centrale imposta configurazioni gestite centralmente. Ad esempio, potrebbero collegare provider affidabili come provider di identità (ad esempio Okta) e provider di attendibilità dei dispositivi (ad esempio, Jamf), creare gruppi e determinare la policy a livello di gruppo. Queste configurazioni possono quindi essere condivise con decine, centinaia o migliaia di account di carico di lavoro utilizzando. AWS RAM Ciò consente ai team applicativi di gestire gli endpoint sottostanti che gestiscono le loro applicazioni senza sovraccaricare gli altri team. AWS RAM offre un modo scalabile per sfruttare Verified Access per le applicazioni aziendali ospitate in diversi account di carico di lavoro.
**Considerazione di natura progettuale**
Puoi raggruppare gli endpoint per applicazioni che hanno requisiti di sicurezza simili per semplificare l'amministrazione delle policy e quindi condividere il gruppo con gli account delle applicazioni. Tutte le applicazioni del gruppo condividono la policy di gruppo. Se un'applicazione del gruppo richiede una policy specifica a causa di un caso limite, è possibile applicare una policy a livello di applicazione per quell'applicazione.
## Amazon VPC Lattice
[Amazon VPC Lattice](https://aws.amazon.com/vpc/lattice/) è un servizio di rete di applicazioni che connette, monitora e protegge le comunicazioni. service-to-service Un [servizio](https://docs.aws.amazon.com/vpc-lattice/latest/ug/services.html), spesso chiamato *microservizio*, è un'unità software distribuibile in modo indipendente che svolge un'attività specifica. VPC Lattice gestisce automaticamente la connettività di rete e il routing a livello di applicazione tra i servizi VPCs e Account AWS senza la necessità di gestire la connettività di rete sottostante, i bilanciatori del carico frontend o i proxy sidecar. Fornisce un proxy a livello di applicazione completamente gestito che fornisce il routing a livello di applicazione in base alle caratteristiche della richiesta, come percorsi e intestazioni. VPC Lattice è integrato nell'infrastruttura VPC, quindi fornisce un approccio coerente su un'ampia gamma di tipi di elaborazione come Amazon Elastic Compute Cloud (Amazon), Amazon EC2 Elastic Kubernetes Service (Amazon EKS) e. AWS Lambda VPC Lattice supporta anche il routing ponderato e le implementazioni in stile Canary. blue/green È possibile utilizzare VPC Lattice per creare una [rete di servizi](https://docs.aws.amazon.com/vpc-lattice/latest/ug/service-networks.html) con un limite logico che implementa automaticamente il rilevamento e la connettività dei servizi. [VPC Lattice si integra con IAM per l' service-to-serviceautenticazione e l'autorizzazione utilizzando le politiche di autenticazione.](https://docs.aws.amazon.com/vpc-lattice/latest/ug/auth-policies.html)
VPC Lattice si integra con AWS RAM per consentire la condivisione di servizi e reti di servizi. AWS SRA rappresenta un'architettura distribuita in cui sviluppatori o proprietari di servizi creano servizi VPC Lattice nel proprio account Application. I proprietari dei servizi definiscono gli ascoltatori, le regole di routing e i gruppi di destinazione insieme alle policy di autenticazione. Quindi condividono i servizi con altri account e li associano alle reti di servizi VPC Lattice. Queste reti vengono create dagli amministratori di rete nell'account di rete e condivise con l'account dell'applicazione. Gli amministratori di rete configurano le policy di autenticazione e il monitoraggio a livello di rete del servizio. Gli amministratori associano VPCs i servizi VPC Lattice a una o più reti di servizi. Per una panoramica dettagliata di questa architettura distribuita, consulta il post del AWS blog [Crea una connettività multi-VPC multi-account sicura per le tue applicazioni con Amazon VPC](https://aws.amazon.com/blogs/networking-and-content-delivery/build-secure-multi-account-multi-vpc-connectivity-for-your-applications-with-amazon-vpc-lattice/) Lattice
**Considerazioni di natura progettuale**
A seconda del modello operativo di servizio o della visibilità della rete di servizi dell'organizzazione, gli amministratori di rete possono condividere le proprie reti di servizi e dare ai proprietari dei servizi il controllo necessario per associare i propri servizi e a queste reti di servizi. VPCs In alternativa, i proprietari dei servizi possono condividere i propri servizi e gli amministratori di rete possono associare i servizi alle reti di servizi.
Un client può inviare richieste ai servizi associati a una rete di servizi solo se il client si trova in un VPC associato alla stessa rete di servizi. Il traffico client che attraversa una connessione peering VPC o un gateway di transito viene negato.
## Sicurezza edge
La sicurezza edge prevede generalmente tre tipi di protezione: distribuzione sicura dei contenuti, protezione a livello di rete e di applicazione e mitigazione della denial of service (S) distribuita. DDo Contenuti come dati, video, applicazioni APIs devono essere distribuiti in modo rapido e sicuro, utilizzando la versione consigliata di TLS per crittografare le comunicazioni tra gli endpoint. Il contenuto dovrebbe inoltre avere restrizioni di accesso tramite cookie firmati e URLs firmati e autenticazione tramite token. La sicurezza a livello di applicazione dovrebbe essere progettata per controllare il traffico dei bot, bloccare schemi di attacco comuni come iniezione SQL o scripting cross-site (XSS) e fornire visibilità del traffico Web. A livello perimetrale, la mitigazione DDo S fornisce un importante livello di difesa che garantisce la disponibilità continua delle operazioni e dei servizi aziendali cruciali. Le applicazioni APIs devono essere protette dai flood SYN, dai flood UDP o da altri attacchi di riflessione e devono essere dotate di una mitigazione in linea per bloccare gli attacchi di base a livello di rete.
AWS offre diversi servizi per contribuire a fornire un ambiente sicuro, dal cloud principale alla periferia della rete. AWS Amazon CloudFront, AWS Certificate Manager (ACM) e Amazon Route 53 collaborano per contribuire a creare un perimetro di sicurezza flessibile e stratificato. AWS Shield AWS WAF Con CloudFront APIs, i contenuti o le applicazioni possono essere distribuiti tramite HTTPS utilizzando TLSv1 .3 per crittografare e proteggere la comunicazione tra client di visualizzazione e. CloudFront Puoi utilizzare ACM per creare un [certificato SSL personalizzato](https://aws.amazon.com/cloudfront/custom-ssl-domains/) e distribuirlo gratuitamente su una distribuzione. CloudFront ACM gestisce automaticamente il rinnovo dei certificati. Shield è un servizio di protezione DDo S gestito che aiuta a proteggere le applicazioni in esecuzione su AWS. Fornisce un rilevamento dinamico e mitigazioni automatiche in linea che riducono al minimo i tempi di inattività e la latenza delle applicazioni. AWS WAF consente di creare regole per filtrare il traffico Web in base a condizioni specifiche (indirizzi IP, intestazioni e corpo HTTP o personalizzati URIs), attacchi Web comuni e bot pervasivi. Route 53 è un servizio Web DNS altamente scalabile e disponibile. Route 53 collega le richieste degli utenti alle applicazioni Internet eseguite in locale o in AWS locale. L' AWS SRA adotta un'architettura di ingresso di rete centralizzata utilizzando AWS Transit Gateway, ospitata all'interno dell'account di rete, in modo che anche l'infrastruttura di sicurezza perimetrale sia centralizzata in questo account.
## Amazon CloudFront
[Amazon CloudFront](https://aws.amazon.com/cloudfront/) è una rete di distribuzione dei contenuti (CDN) sicura che fornisce una protezione intrinseca contro il livello di rete comune e i tentativi di trasporto DDo S. Puoi distribuire i tuoi contenuti o le tue applicazioni utilizzando i certificati TLS e le funzionalità TLS avanzate vengono abilitate automaticamente. APIs [È possibile utilizzare AWS Certificate Manager (ACM) per creare un certificato TLS personalizzato e applicare le comunicazioni HTTPS tra i visualizzatori e CloudFront, come descritto più avanti nella sezione ACM.](#network-acm) È inoltre possibile richiedere che le comunicazioni tra CloudFront e l'origine personalizzata implementino la crittografia in transito. end-to-end In questo scenario, è necessario installare un certificato TLS sul server di origine. Se l'origine è un sistema di bilanciamento del carico elastico, è possibile utilizzare un certificato generato da ACM o un certificato convalidato da un'autorità di certificazione (CA) di terze parti e importato in ACM. Se gli endpoint dei siti Web con bucket S3 fungono da origine per CloudFront, non puoi configurare CloudFront l'utilizzo di HTTPS con la tua origine, poiché Amazon S3 non supporta HTTPS per gli endpoint dei siti Web. (Tuttavia, puoi comunque richiedere HTTPS tra i visualizzatori e.) CloudFront Per tutte le origini che supportano l'installazione di certificati HTTPS, è necessario utilizzare un certificato firmato da un'autorità di certificazione (CA) di terze parti attendibile.
CloudFront offre diverse opzioni per proteggere e limitare l'accesso ai tuoi contenuti. Ad esempio, può limitare l'accesso alla tua origine Amazon S3 utilizzando cookie firmati URLs e firmati. Per ulteriori informazioni, consulta [Configurare l'accesso sicuro e limitare l'accesso ai contenuti](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecurityAndPrivateContent.html) nella CloudFront documentazione.
L' AWS SRA illustra le CloudFront distribuzioni centralizzate nell'account di rete perché si allineano al modello di rete centralizzato implementato utilizzando. AWS Transit Gateway Implementando e gestendo CloudFront le distribuzioni nell'account di rete, si ottengono i vantaggi dei controlli centralizzati. Puoi gestire tutte le CloudFront distribuzioni in un unico posto, il che semplifica il controllo degli accessi, la configurazione delle impostazioni e il monitoraggio dell'utilizzo su tutti gli account. Inoltre, puoi gestire i certificati ACM, i record DNS e la CloudFront registrazione da un unico account centralizzato.
La dashboard CloudFront di sicurezza offre AWS WAF visibilità e controlli direttamente nella distribuzione. CloudFront Ottieni visibilità sulle principali tendenze di sicurezza della tua applicazione, sul traffico consentito e bloccato e sull'attività dei bot. Puoi utilizzare strumenti investigativi come analizzatori visivi dei log e controlli di blocco integrati per isolare i modelli di traffico e bloccare il traffico senza interrogare i log o scrivere regole di sicurezza.
**Considerazioni di natura progettuale**
In alternativa, è possibile eseguire la distribuzione CloudFront come parte dell'applicazione nell'account dell'applicazione. In questo scenario, il team dell'applicazione prende decisioni come la modalità di CloudFront distribuzione delle distribuzioni, determina le politiche di cache appropriate e si assume la responsabilità della governance, del controllo e del monitoraggio delle distribuzioni. CloudFront Distribuendo CloudFront le distribuzioni su più account, è possibile beneficiare di quote di servizio aggiuntive. Come altro vantaggio, puoi utilizzare la configurazione intrinseca e automatizzata CloudFront di [Origin Access Identity (OAI) e Origin Access Control (OAC)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) per limitare l'accesso alle origini di Amazon S3.
Quando distribuisci contenuti web tramite un CDN, ad esempio CloudFront, devi impedire agli spettatori di aggirare il CDN e accedere direttamente ai tuoi contenuti di origine. Per ottenere questa restrizione di accesso all'origine, potete utilizzare CloudFront e aggiungere intestazioni personalizzate e AWS WAF verificare le intestazioni prima di inoltrare le richieste all'origine personalizzata. Per una spiegazione dettagliata di questa soluzione, consulta il post del blog AWS sulla sicurezza [How to enhance Amazon CloudFront Origin Security with AWS WAF and Gestione dei segreti AWS](https://aws.amazon.com/blogs/security/how-to-enhance-amazon-cloudfront-origin-security-with-aws-waf-and-aws-secrets-manager/). Un metodo alternativo consiste nel limitare solo l'elenco dei CloudFront prefissi nel gruppo di sicurezza associato all'Application Load Balancer. Ciò contribuirà a garantire che solo una CloudFront distribuzione possa accedere al load balancer.
## AWS WAF
[AWS WAF](https://aws.amazon.com/waf/)è un firewall per applicazioni Web che aiuta a proteggere le applicazioni Web da exploit Web, come vulnerabilità comuni e bot, che potrebbero influire sulla disponibilità delle applicazioni, compromettere la sicurezza o consumare risorse eccessive. Può essere integrato con una CloudFront distribuzione Amazon, un'API REST di Amazon API Gateway, un Application Load Balancer, un'API GraphQL AWS AppSync , un pool di utenti Amazon Cognito e il servizio. AWS App Runner
AWS WAF utilizza le [liste di controllo degli accessi Web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html) (ACLs) per proteggere un insieme di risorse. AWS Un ACL Web è un insieme di [regole](https://docs.aws.amazon.com/waf/latest/developerguide/how-aws-waf-works-components.html) che definisce i criteri di ispezione e un'azione associata da intraprendere (bloccare, consentire, contare o eseguire il controllo dei bot) se una richiesta Web soddisfa i criteri. AWS WAF fornisce una serie di [regole gestite](https://aws.amazon.com/marketplace/solutions/security/waf-managed-rules) che forniscono protezione dalle vulnerabilità comuni delle applicazioni. Queste regole sono curate e gestite da AWS e AWS Partner. AWS WAF offre anche un potente linguaggio di regole per la creazione di regole personalizzate. Puoi utilizzare regole personalizzate per scrivere criteri di ispezione adatti alle tue esigenze particolari. Gli esempi includono restrizioni IP, restrizioni geografiche e versioni personalizzate delle regole gestite che meglio si adattano al comportamento specifico dell'applicazione.
AWS WAF fornisce una serie di regole intelligenti gestite a più livelli per bot comuni e mirati e la protezione dall'acquisizione di account (ATP). Quando utilizzi i gruppi di regole ATP e il rilevamento dei bot ti viene addebitata una quota di abbonamento e una commissione per l'ispezione del traffico. Pertanto, consigliamo di monitorare il traffico e decidere poi cosa utilizzare. Puoi utilizzare le dashboard di gestione dei bot e acquisizione degli account disponibili gratuitamente sulla AWS WAF console per monitorare queste attività e quindi decidere se è necessario un gruppo di regole intelligente di livello. AWS WAF
Nell' AWS SRA, AWS WAF è integrato con l'account di CloudFront rete. In questa configurazione, l'elaborazione delle AWS WAF regole avviene nelle edge location anziché all'interno del VPC. Ciò consente di filtrare il traffico dannoso più vicino all'utente finale che ha richiesto il contenuto e aiuta a limitare l'ingresso del traffico dannoso nella rete principale.
Puoi inviare AWS WAF log completi a un bucket S3 nell'account Log Archive configurando l'accesso tra account al bucket S3. [Per ulteriori informazioni, consulta l'articolo di re:POST su questo argomento.AWS](https://repost.aws/knowledge-center/waf-send-logs-centralized-account)
**Considerazioni di natura progettuale**
In alternativa alla distribuzione AWS WAF centralizzata nell'account di rete, alcuni casi d'uso sono meglio soddisfatti mediante la distribuzione AWS WAF nell'account dell'applicazione. Ad esempio, puoi scegliere questa opzione quando distribuisci le tue CloudFront distribuzioni nel tuo account Application o disponi di Application Load Balancer rivolti al pubblico o se utilizzi API Gateway davanti alle tue applicazioni web. Se decidete di effettuare la distribuzione AWS WAF in ogni account dell'Applicazione, utilizzate AWS Firewall Manager per gestire AWS WAF le regole di questi account dall'account Security Tooling centralizzato.
È inoltre possibile aggiungere AWS WAF regole generali a CloudFront livello e AWS WAF regole aggiuntive specifiche dell'applicazione in una risorsa regionale come Application Load Balancer o il gateway API.
## AWS Shield
[AWS Shield](https://aws.amazon.com/shield/)è un servizio di protezione DDo S gestito che protegge le applicazioni in esecuzione su. AWS Esistono due livelli di Shield: Shield Standard e Shield Advanced. Shield Standard offre a tutti AWS i clienti protezione dagli eventi dell'infrastruttura più comuni (livelli 3 e 4) senza costi aggiuntivi. Shield Advanced offre mitigazioni automatiche più sofisticate per gli eventi non autorizzati che prendono di mira le applicazioni su zone ospitate protette di Amazon EC2, Elastic Load Balancing (Elastic Load Balancing) e CloudFront Route AWS Global Accelerator 53. Se possiedi siti Web ad alta visibilità o sei soggetto a frequenti attacchi DDo S, puoi prendere in considerazione le funzionalità aggiuntive fornite da Shield Advanced.
Puoi utilizzare la [funzionalità di mitigazione automatica Shield Advanced application layer DDo S](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) per configurare Shield Advanced in modo che risponda automaticamente agli attacchi del livello applicativo (livello 7) contro le tue CloudFront distribuzioni protette, i sistemi di bilanciamento del carico Elastic Load Balancing (Elastic Load Balancing) (Application, Network e Classic), le zone ospitate di Amazon Route 53, gli indirizzi IP Amazon Elastic e gli acceleratori standard. EC2 AWS Global Accelerator Quando abiliti questa funzionalità, Shield Advanced genera automaticamente AWS WAF regole personalizzate per mitigare gli attacchi DDo S. Shield Advanced ti dà anche accesso al [AWS Shield Response Team](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-srt-support.html) (SRT). Puoi contattare SRT in qualsiasi momento per creare e gestire mitigazioni personalizzate per la tua applicazione o durante un attacco S attivo DDo. [Se desideri che SRT monitori in modo proattivo le tue risorse protette e ti contatti durante un tentativo DDo S, valuta la possibilità di abilitare la funzione di coinvolgimento proattivo.](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-srt-proactive-engagement.html)
**Considerazioni di natura progettuale**
Se hai carichi di lavoro gestiti da risorse connesse a Internet nell'account dell'applicazione, come un Application Load Balancer o un Network Load CloudFront Balancer, configura Shield Advanced nell'account Application e aggiungi tali risorse alla protezione Shield. Puoi AWS Firewall Manager utilizzarle per configurare queste opzioni su larga scala.
Se nel flusso di dati sono presenti più risorse, ad esempio una CloudFront distribuzione davanti a un Application Load Balancer, utilizza solo la risorsa entry-point come risorsa protetta. In questo modo non dovrai pagare due volte le [tariffe di Shield Data Transfer Out (DTO)](https://aws.amazon.com/shield/pricing/) per due risorse.
Shield Advanced registra i parametri che puoi monitorare in Amazon CloudWatch. (Per ulteriori informazioni, consulta [Monitoring with Amazon CloudWatch](https://docs.aws.amazon.com/waf/latest/developerguide/monitoring-cloudwatch.html#set-ddos-alarms) nella AWS documentazione.) Imposta CloudWatch allarmi per ricevere notifiche SNS al tuo centro di sicurezza quando viene rilevato un evento DDo S. In caso di sospetto evento DDo S, contatta il team di [AWS Enterprise Support](https://aws.amazon.com/premiumsupport/plans/enterprise/) compilando un ticket di supporto e assegnandogli la massima priorità. Il team di Supporto Enterprise includerà lo Shield Response Team (SRT) nella gestione dell'evento. Inoltre, puoi preconfigurare la funzione AWS Shield Engagement Lambda per creare un ticket di supporto e inviare un'e-mail al team SRT.
## AWS Certificate Manager (ACM)
[AWS Certificate Manager](https://aws.amazon.com/certificate-manager/)(ACM) consente di fornire, gestire e distribuire certificati TLS pubblici e privati da utilizzare con le risorse interne Servizi AWS connesse. Con ACM, puoi richiedere rapidamente un certificato, distribuirlo su AWS risorse integrate con ACM, come sistemi di bilanciamento del carico Elastic Load Balancing, distribuzioni CloudFront e su Amazon APIs API Gateway, e lasciare che ACM gestisca i rinnovi dei certificati. Quando richiedi certificati pubblici ACM, non è necessario generare una key pair o una richiesta di firma del certificato (CSR), inviare una CSR a un'autorità di certificazione (CA) o caricare e installare il certificato quando viene ricevuto. ACM offre anche la possibilità di importare certificati TLS emessi da terze parti CAs e di distribuirli con i servizi integrati ACM. Quando utilizzi ACM per gestire i certificati, le chiavi private dei certificati vengono protette e archiviate in modo sicuro utilizzando una crittografia avanzata e le best practice di gestione delle chiavi. Con ACM non sono previsti costi aggiuntivi per la fornitura di certificati pubblici e ACM gestisce il processo di rinnovo.
ACM viene utilizzato nell'account di rete per generare un certificato TLS pubblico, che a sua volta viene utilizzato dalle CloudFront distribuzioni per stabilire la connessione HTTPS tra i visualizzatori e. CloudFront Per ulteriori informazioni, consulta la [documentazione relativa ad CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html).
**Considerazione di natura progettuale**
Per i certificati diretti all'esterno, ACM deve trovarsi nello stesso account delle risorse per le quali fornisce i certificati. I certificati non possono essere condivisi tra account.
## Amazon Route 53
[Amazon Route 53](https://aws.amazon.com/route53/) è un servizio Web DNS altamente scalabile e disponibile. Puoi utilizzare Route 53 per eseguire tre funzioni principali in qualsiasi combinazione: registrazione dominio, routing DNS e controllo dell'integrità.
Puoi utilizzare Route 53 come servizio DNS per mappare i nomi di dominio alle tue EC2 istanze, ai bucket S3, alle distribuzioni e ad altre risorse. CloudFront AWS La natura distribuita dei server AWS DNS aiuta a garantire che gli utenti finali vengano indirizzati alla tua applicazione in modo coerente. Funzionalità come il controllo del flusso di traffico e del routing della Route 53 aiutano a migliorare l'affidabilità. Se l'endpoint dell'applicazione principale diventa non disponibile, puoi configurare il failover per reindirizzare gli utenti verso una posizione alternativa. Route 53 Resolver fornisce DNS ricorsivo per il tuo VPC e le tue reti locali tramite o VPN gestita. AWS Direct Connect AWS
Utilizzando il servizio IAM con Route 53, ottieni un controllo dettagliato su chi può aggiornare i tuoi dati DNS. È possibile abilitare la firma DNSSEC (DNS Security Extensions) per consentire ai risolutori DNS di accertarsi che una risposta DNS provenga da Route 53 e che non sia stata manomessa.
[Route 53 Resolver DNS Firewall offre protezione per le richieste DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) in uscita provenienti da... VPCs Queste richieste vengono instradate tramite il risolutore Route 53 per la risoluzione dei nomi di dominio. Un uso principale delle protezioni DNS Firewall è quello di aiutare a prevenire l'esfiltrazione DNS dei dati. Con DNS Firewall, è possibile monitorare e controllare i domini su cui le applicazioni possono eseguire query. Puoi negare l'accesso ai domini che sai essere non validi e consentire il passaggio di tutte le altre query. In alternativa, è possibile rifiutare l'accesso a tutti i domini ad eccezione di quelli che consideri esplicitamente attendibili. È possibile utilizzare DNS Firewall anche per bloccare le richieste di risoluzione alle risorse in zone ospitate private (condivise o locali), inclusi i nomi degli endpoint VPC. Può anche bloccare le richieste di nomi di istanze pubbliche o private. EC2
I risolutori Route 53 vengono creati di default come parte di ogni VPC. Nell' AWS SRA, Route 53 viene utilizzata nell'account di rete principalmente per la funzionalità DNS Firewall.
**Considerazione di natura progettuale**
DNS Firewall ed AWS Network Firewall entrambi offrono il filtraggio dei nomi di dominio, ma per diversi tipi di traffico. È possibile utilizzare DNS Firewall e Network Firewall insieme per configurare il filtraggio basato sul dominio per il traffico a livello di applicazione su due diversi percorsi di rete:
DNS Firewall fornisce il filtro per le query DNS in uscita che passano attraverso il Route 53 Resolver dalle applicazioni interne al tuo. VPCs È inoltre possibile configurare DNS Firewall per inviare risposte personalizzate per le query a nomi di dominio bloccati.
Firewall di rete fornisce filtri sia per il traffico a livello di rete che di applicazione, ma non dispone di visibilità sulle query eseguite dal risolutore Route 53.
# Infrastruttura organizzativa — account Shared Services
| |
| --- |
| Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un [breve sondaggio](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua). |
Il diagramma seguente illustra i servizi AWS di sicurezza configurati nell'account Shared Services.
![\[Servizi di sicurezza per l'account Shared Services.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/security-reference-architecture/images/shared-services-acct.png)
L'account Shared Services fa parte dell'unità organizzativa dell'infrastruttura e il suo scopo è supportare i servizi utilizzati da più applicazioni e team per fornire i propri risultati. Ad esempio, i servizi di directory (Active Directory), i servizi di messaggistica e i servizi di metadati rientrano in questa categoria. L' AWS SRA evidenzia i servizi condivisi che supportano i controlli di sicurezza. Sebbene gli account di rete facciano anche parte dell'unità organizzativa dell'infrastruttura, vengono rimossi dall'account Shared Services per supportare la separazione delle funzioni. I team che gestiranno questi servizi non necessitano di autorizzazioni o accesso agli account di rete.
## AWS Systems Manager
[AWS Systems Manager](https://aws.amazon.com/systems-manager/)(incluso anche nell'account di gestione dell'organizzazione e nell'account dell'applicazione) offre una raccolta di funzionalità che consentono la visibilità e il controllo delle AWS risorse. Una di queste funzionalità, Systems Manager Explorer, è una dashboard operativa personalizzabile che riporta informazioni sulle AWS risorse. È possibile sincronizzare i dati operativi tra tutti gli account AWS dell'organizzazione utilizzando AWS Organizations Systems Manager Explorer. Systems Manager viene distribuito nell'account Shared Services tramite la funzionalità di amministratore delegato in. AWS Organizations
Systems Manager ti aiuta a mantenere la sicurezza e la conformità scansionando le istanze gestite e segnalando (o adottando azioni correttive) su eventuali violazioni delle policy rilevate. Associando Systems Manager alle implementazioni appropriate nei singoli membri Account AWS (ad esempio, l'account Application), è possibile coordinare la raccolta dei dati di inventario delle istanze e centralizzare l'automazione come l'applicazione di patch e gli aggiornamenti di sicurezza.
## AWS Managed Microsoft AD
[AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html), noto anche come AWS Managed Microsoft AD, consente ai carichi di lavoro e alle risorse compatibili con le directory di utilizzare Active Directory gestito su. AWS AWS Puoi utilizzarlo AWS Managed Microsoft AD per aggiungere istanze [Amazon EC2 for Windows Server](https://aws.amazon.com/windows/), [Amazon EC2 per Linux](https://aws.amazon.com/mp/linux/) e [Amazon RDS for SQL](https://aws.amazon.com/rds/sqlserver/) Server al tuo dominio e [AWS utilizzare servizi di elaborazione per utenti finali (EUC](https://aws.amazon.com/products/end-user-computing/)), come [ WorkSpacesAmazon](https://aws.amazon.com/workspaces/), con utenti e gruppi di Active Directory.
AWS Managed Microsoft AD ti aiuta a estendere il tuo Active Directory esistente AWS e a utilizzare le credenziali utente locali esistenti per accedere alle risorse cloud. Puoi anche amministrare utenti, gruppi, applicazioni e sistemi locali senza la complessità dell'esecuzione e della manutenzione di un Active Directory locale ad alta disponibilità. Puoi aggiungere i computer, i laptop e le stampanti esistenti a un dominio. AWS Managed Microsoft AD
AWS Managed Microsoft AD è basato su Microsoft Active Directory e non richiede la sincronizzazione o la replica dei dati dall'Active Directory esistente al cloud. È possibile utilizzare strumenti e funzionalità di amministrazione familiari di Active Directory, come Group Policy Objects (GPOs), trust di dominio, policy granulari in materia di password, Managed Service Account di gruppo (gMSAs), estensioni dello schema e Single Sign-On basato su Kerberos. È inoltre possibile delegare attività amministrative e autorizzare l'accesso utilizzando i gruppi di sicurezza di Active Directory.
La replica in più regioni consente di distribuire e utilizzare una singola directory su più aree. AWS Managed Microsoft AD Regioni AWS In questo modo è più semplice ed economico distribuire e gestire i carichi di lavoro Microsoft Windows e Linux a livello globale. Quando si utilizza la funzionalità di replica automatizzata in più regioni, si ottiene una maggiore resilienza mentre le applicazioni utilizzano una directory locale per prestazioni ottimali.
AWS Managed Microsoft AD supporta LDAP (Lightweight Directory Access Protocol) su SSL/TLS, noto anche come LDAPS, sia nei ruoli client che server. Quando funge da server, AWS Managed Microsoft AD supporta LDAPS sulle porte 636 (SSL) e 389 (TLS). È possibile abilitare le comunicazioni LDAPS lato server installando un certificato sui controller di AWS Managed Microsoft AD dominio da un'autorità di certificazione (CA) AWS basata su Active Directory Certificate Services (AD CS). Quando funge da client, AWS Managed Microsoft AD supporta LDAPS sulle porte 636 (SSL). È possibile abilitare le comunicazioni LDAPS lato client registrando i certificati CA degli emittenti dei certificati del server nella directory e quindi abilitando LDAPS nella directory AWS.
Nell' AWS SRA, Directory Service viene utilizzato all'interno dell'account Shared Services per fornire servizi di dominio per carichi di lavoro compatibili con Microsoft su più account membri. AWS
**Considerazione di natura progettuale**
Puoi concedere agli utenti di Active Directory locali l'accesso per accedere a Console di gestione AWS and AWS Command Line Interface (AWS CLI) con le loro credenziali Active Directory esistenti utilizzando IAM Identity Center e selezionando come origine dell'identità. AWS Managed Microsoft AD Ciò consente agli utenti di assumere uno dei ruoli loro assegnati al momento dell'accesso e di accedere alle risorse e agire sulle risorse in base alle autorizzazioni definite per il ruolo. Un'opzione alternativa consiste nell'utilizzare per consentire AWS Managed Microsoft AD agli utenti di assumere un ruolo IAM.
## Centro identità IAM
L' AWS SRA utilizza la funzionalità di amministratore delegato supportata da AWS IAM Identity Center per delegare la maggior parte dell'amministrazione di IAM Identity Center all'account Shared Services. Ciò consente di limitare il numero di utenti che richiedono l'accesso all'account di gestione dell'organizzazione. IAM Identity Center deve ancora essere abilitato nell'account di gestione dell'organizzazione per eseguire determinate attività, inclusa la gestione dei set di autorizzazioni forniti all'interno dell'account di gestione dell'organizzazione.
Il motivo principale per utilizzare l'account Shared Services come amministratore delegato per IAM Identity Center è la posizione di Active Directory. Se prevedi di utilizzare Active Directory come fonte di identità IAM Identity Center, dovrai individuare la directory nell'account membro che hai designato come account amministratore delegato di IAM Identity Center. Nell' AWS SRA, l'account Shared Services ospita AWS Managed Microsoft AD, quindi tale account diventa amministratore delegato per IAM Identity Center.
IAM Identity Center supporta la registrazione di un singolo account membro come amministratore delegato contemporaneamente. Puoi registrare un account membro solo quando accedi con le credenziali dell'account di gestione. Per abilitare la delega, devi considerare i prerequisiti elencati nella documentazione di [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html#delegated-admin-prereqs). L'account amministratore delegato può eseguire la maggior parte delle attività di gestione di IAM Identity Center, ma con alcune restrizioni, elencate nella documentazione di [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html#delegated-admin-tasks-member-account). L'accesso all'account amministratore delegato per IAM Identity Center deve essere strettamente controllato.
**Considerazioni di natura progettuale**
Se decidi di cambiare la fonte di identità IAM Identity Center da qualsiasi altra fonte ad Active Directory o di cambiarla da Active Directory a qualsiasi altra fonte, la directory deve risiedere nell'account amministratore delegato di IAM Identity Center, se esistente, o deve essere nell'account di gestione.
Puoi ospitare il tuo account AWS Managed Microsoft AD all'interno di un VPC dedicato in un altro account e quindi utilizzare [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) per condividere le sottoreti da quest'altro account all'account amministratore delegato. In questo modo, l' AWS Managed Microsoft AD istanza è controllata nell'account amministratore delegato, ma dal punto di vista della rete si comporta come se fosse distribuita nel VPC di un altro account. Ciò è utile quando si hanno più AWS Managed Microsoft AD istanze e si desidera distribuirle localmente dove viene eseguito il carico di lavoro, ma gestirle centralmente tramite un unico account.
Se disponi di un team dedicato alle identità che svolge regolarmente attività di gestione delle identità e degli accessi o hai requisiti di sicurezza rigorosi per separare le funzioni di gestione delle identità dalle altre funzioni dei servizi condivisi, puoi ospitare un team dedicato alla Account AWS gestione delle identità. In questo scenario, designate questo account come amministratore delegato per IAM Identity Center e ospita anche la vostra AWS Managed Microsoft AD directory. Puoi raggiungere lo stesso livello di isolamento logico tra i carichi di lavoro di gestione delle identità e altri carichi di lavoro di servizi condivisi utilizzando autorizzazioni IAM granulari all'interno di un singolo account di servizio condiviso.
[Attualmente IAM Identity Center non fornisce supporto multiregionale.](https://docs.aws.amazon.com/singlesignon/latest/userguide/regions.html#region-data) (Per abilitare IAM Identity Center in un'altra regione, devi prima eliminare la configurazione corrente di IAM Identity Center.) Inoltre, non supporta l'uso di diverse fonti di identità per diversi set di account né consente di delegare la gestione delle autorizzazioni a diverse parti dell'organizzazione (ovvero più amministratori delegati) o a diversi gruppi di amministratori. Se hai bisogno di una di queste funzionalità, puoi utilizzare la [federazione IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) per gestire le tue identità utente all'interno di un provider di identità (IdP) esterno e concedere a queste identità utente esterne l'autorizzazione a AWS utilizzare le risorse AWS del tuo account. Supporti IdPs IAM compatibili con [OpenID Connect (OIDC)](https://openid.net/connect/) o SAML 2.0. Come best practice, usa la federazione SAML 2.0 con provider di identità di terze parti come Active Directory Federation Service (AD FS), Okta, Azure Active Directory (Azure AD) o Ping Identity per fornire funzionalità di single sign-on agli utenti per accedere o chiamare le operazioni API. Console di gestione AWS AWS Per ulteriori informazioni sulla federazione IAM e sui provider di identità, consulta Informazioni sulla federazione basata [su SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) 2.0 nella documentazione IAM.
# Workloads OU — Account dell'applicazione
| |
| --- |
| Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un [breve sondaggio](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua). |
Il diagramma seguente illustra i servizi AWS di sicurezza configurati nell'account dell'applicazione (insieme all'applicazione stessa).
![\[Servizi di sicurezza per l'account dell'applicazione.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/security-reference-architecture/images/application-acct.png)
L'account dell'applicazione ospita l'infrastruttura e i servizi principali per l'esecuzione e la manutenzione di un'applicazione aziendale. L'account dell'applicazione e l'unità organizzativa Workloads soddisfano alcuni obiettivi di sicurezza principali. Innanzitutto, crei un account separato per ogni applicazione per fornire limiti e controlli tra i carichi di lavoro in modo da evitare problemi legati alla combinazione di ruoli, autorizzazioni, dati e chiavi di crittografia. Desiderate fornire un contenitore di account separato in cui al team dell'applicazione possano essere concessi ampi diritti per gestire la propria infrastruttura senza influire sugli altri. Successivamente, si aggiunge un livello di protezione fornendo un meccanismo per il team addetto alle operazioni di sicurezza per monitorare e raccogliere i dati di sicurezza. Utilizza un percorso organizzativo e implementazioni locali di servizi di sicurezza degli account (Amazon GuardDuty,, AWS Security Hub CSPM Amazon AWS Config EventBridge, IAM Access Analyzer), configurati e monitorati dal team di sicurezza. Infine, consentite alla vostra azienda di impostare i controlli a livello centrale. L'account dell'applicazione viene allineato alla struttura di sicurezza più ampia rendendolo membro dell'unità organizzativa Workloads tramite la quale eredita le autorizzazioni di servizio, i vincoli e le barriere appropriati.
**Considerazione di natura progettuale**
È probabile che nell'organizzazione siano presenti più di un'applicazione aziendale. L'unità organizzativa Workloads è progettata per ospitare la maggior parte dei carichi di lavoro specifici dell'azienda, inclusi ambienti di produzione e non di produzione. Questi carichi di lavoro possono essere una combinazione di applicazioni commerciali off-the-shelf (COTS) e applicazioni e servizi dati personalizzati sviluppati internamente. Esistono alcuni modelli per organizzare le diverse applicazioni aziendali insieme ai relativi ambienti di sviluppo. Uno schema prevede l'utilizzo di più elementi secondari in OUs base all'ambiente di sviluppo, ad esempio produzione, gestione temporanea, test e sviluppo, e l'utilizzo di elementi secondari Account AWS separati tra OUs quelli relativi alle diverse applicazioni. Un altro modello comune consiste nell'avere figli separati OUs per applicazione e quindi utilizzare elementi secondari separati Account AWS per i singoli ambienti di sviluppo. L'esatta struttura dell'unità organizzativa e degli account dipende dal design dell'applicazione e dai team che gestiscono tali applicazioni. Considerate i controlli di sicurezza che desiderate applicare, siano essi specifici dell'ambiente o dell'applicazione, perché è più facile implementare tali controlli così come sono. SCPs OUs *Per ulteriori considerazioni sull'organizzazione orientata al carico di lavoro OUs, consulta la sezione [Applicazione OUs](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/application-ous.html) del white paper Organizzazione dell'ambiente utilizzando più account. AWS AWS *
## Applicazione VPC
Il cloud privato virtuale (VPC) nell'account dell'applicazione richiede sia l'accesso in entrata (per i semplici servizi Web che si stanno modellando) sia l'accesso in uscita (per le esigenze o le esigenze delle applicazioni). Servizio AWS Per impostazione predefinita, le risorse all'interno di un VPC sono instradabili tra loro. Esistono due sottoreti private: una per ospitare le EC2 istanze (livello applicazione) e l'altra per Amazon Aurora (livello database). La segmentazione della rete tra diversi livelli, come il livello dell'applicazione e il livello del database, viene eseguita tramite gruppi di sicurezza VPC, che limitano il traffico a livello di istanza. Per garantire la resilienza, il carico di lavoro si estende su due o più zone di disponibilità e utilizza due sottoreti per zona.
**Considerazione di natura progettuale**
È possibile utilizzare [Traffic Mirroring](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) per copiare il traffico di rete da un'interfaccia di rete elastica di EC2 istanze. È quindi possibile inviare il traffico ai dispositivi di out-of-band sicurezza e monitoraggio per l'ispezione dei contenuti, il monitoraggio delle minacce o la risoluzione dei problemi. Ad esempio, potresti voler monitorare il traffico che esce dal tuo VPC o il traffico la cui fonte è esterna al tuo VPC. In questo caso, rispecchierai tutto il traffico ad eccezione del traffico che passa all'interno del tuo VPC e lo invierai a un singolo dispositivo di monitoraggio. I log di flusso di Amazon VPC non acquisiscono traffico speculare; in genere acquisiscono informazioni solo dalle intestazioni dei pacchetti. Traffic Mirroring fornisce una visione più approfondita del traffico di rete consentendoti di analizzare il contenuto effettivo del traffico, incluso il payload. Abilita il mirroring del traffico solo per l'interfaccia di rete elastica delle EC2 istanze che potrebbero funzionare come parte di carichi di lavoro sensibili o per le quali prevedi di aver bisogno di una diagnostica dettagliata in caso di problemi.
## Endpoint VPC
[Gli endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html#concepts-service-consumers) forniscono un altro livello di controllo della sicurezza oltre a scalabilità e affidabilità. Utilizzali per connettere il VPC dell'applicazione ad altri. Servizi AWS(Nell'account Application, AWS SRA utilizza endpoint VPC per AWS KMS e AWS Systems Manager Amazon S3.) Gli endpoint sono dispositivi virtuali. Sono componenti VPC con scalabilità orizzontale, ridondanza e disponibilità elevata. Consentono la comunicazione tra istanze del VPC e servizi senza comportare rischi di disponibilità o vincoli di larghezza di banda sul traffico di rete. Puoi utilizzare un endpoint VPC per connettere privatamente il tuo VPC a servizi endpoint VPC supportati Servizi AWS e forniti AWS PrivateLink da senza richiedere un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze nel tuo VPC non richiedono indirizzi IP pubblici per comunicare con altri. Servizi AWS Il traffico tra il tuo VPC e l'altro Servizio AWS non esce dalla rete Amazon.
Un altro vantaggio dell'utilizzo degli endpoint VPC è l'abilitazione della configurazione delle policy degli endpoint. Una policy endpoint VPC è una policy della risorsa IAM che viene collegata a un endpoint durante la creazione o la modifica dell'endpoint. Se non alleghi una policy IAM quando crei un endpoint, ti AWS allega una policy IAM predefinita che consente l'accesso completo al servizio. Una policy endpoint non esclude né sostituisce policy dell'utente IAM o policy specifiche del servizio (ad esempio policy di un bucket S3). Si tratta di una policy IAM separata per il controllo dell'accesso dall'endpoint al servizio specificato. In questo modo, aggiunge un altro livello di controllo su quali AWS mandanti possono comunicare con risorse o servizi.
## Amazon EC2
Le EC2 istanze [Amazon](https://aws.amazon.com/ec2/) che compongono la nostra applicazione utilizzano la versione 2 di Instance Metadata Service (). IMDSv2 IMDSv2 aggiunge protezioni per quattro tipi di vulnerabilità che potrebbero essere utilizzate per tentare di accedere all'IMDS: firewall delle applicazioni dei siti Web, proxy inversi aperti, vulnerabilità SSRF (server-side request forgery), firewall open layer 3 e. NATs Per ulteriori informazioni, consulta il post sul blog [Aggiungi una difesa approfondita contro firewall aperti, proxy inversi e vulnerabilità SSRF con miglioramenti all'Instance Metadata Service](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/). EC2
Utilizza elementi separati VPCs (come sottoinsieme dei confini dell'account) per isolare l'infrastruttura in base ai segmenti del carico di lavoro. Utilizza sottoreti per isolare i livelli dell'applicazione (ad esempio, web, applicazione e database) all'interno di un singolo VPC. Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet. Per chiamare l' EC2API Amazon dalla tua sottorete privata senza utilizzare un gateway Internet, usa AWS PrivateLink. Limita l'accesso alle tue istanze utilizzando gruppi di [sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html). Usa [VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) per monitorare il traffico che raggiunge le tue istanze. Usa [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html), una funzionalità di AWS Systems Manager, per accedere alle istanze da remoto invece di aprire porte SSH in entrata e gestire le chiavi SSH. Usa volumi Amazon Elastic Block Store (Amazon EBS) separati per il sistema operativo e i tuoi dati. Puoi [configurare il tuo Account AWS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) per applicare la crittografia dei nuovi volumi EBS e delle copie di snapshot che crei.
**Esempio di implementazione**
La [libreria di codici AWS SRA](https://github.com/aws-samples/aws-security-reference-architecture-examples) fornisce un'implementazione di esempio della [crittografia Amazon EBS predefinita in Amazon](https://github.com/aws-samples/aws-security-reference-architecture-examples/blob/main/aws_sra_examples/solutions/ec2/ec2_default_ebs_encryption). EC2 Dimostra come abilitare la crittografia Amazon EBS predefinita a livello di account all'interno di ciascun account Account AWS e Regione AWS all'interno dell'organizzazione. AWS
## AWS Enclavi Nitro
[AWS Nitro Enclaves](https://aws.amazon.com/ec2/nitro/nitro-enclaves/) è una EC2 funzionalità di Amazon che consente di creare ambienti di esecuzione isolati, chiamati *enclavi*, a partire dalle istanze. EC2 Le enclave sono macchine virtuali separate, rinforzate e altamente vincolate. La CPU e la memoria di una singola EC2 istanza principale sono partizionate in enclavi isolate. Ogni enclave esegue un kernel indipendente. Le enclavi forniscono solo una connettività socket locale sicura con l'istanza principale. Non dispongono di archiviazione persistente, accesso interattivo o reti esterne. Gli utenti non possono accedere a un'enclave tramite SSH e i processi, le applicazioni o gli utenti (root o amministratore) dell'istanza principale non possono accedere ai dati e alle applicazioni all'interno dell'enclave. È possibile proteggere i dati più sensibili, come le informazioni di identificazione personale (PII), i dati sanitari, finanziari e sulla proprietà intellettuale, all'interno delle istanze. EC2 Nitro Enclaves ti consente di concentrarti sulla tua applicazione anziché preoccuparti dell'integrazione con servizi esterni. Nitro Enclaves include l'attestazione crittografica per il software in modo da avere la certezza che sia in esecuzione solo il codice autorizzato e l'integrazione con la in modo che solo le enclavi possano accedere a materiale sensibile. AWS KMS Questo aiuta a ridurre la superficie di attacco per le applicazioni di elaborazione dati più sensibili. L'utilizzo di Nitro Enclaves non comporta costi aggiuntivi.
L'[attestazione crittografica](https://docs.aws.amazon.com/enclaves/latest/user/set-up-attestation.html) è un processo utilizzato per dimostrare l'identità di un'enclave. Il processo di attestazione viene eseguito tramite l'Hypervisor Nitro, che produce un documento di attestazione firmato per l'enclave per dimostrare la sua identità a un'altra terza parte o servizio. I documenti di attestazione contengono dettagli chiave dell'enclave, come la chiave pubblica dell'enclave, gli hash dell'immagine e delle applicazioni dell'enclave e altro ancora.
Con AWS Certificate Manager (ACM) for Nitro Enclaves, puoi utilizzare certificati pubblici e privati. SSL/TLS certificates with your web applications and web servers running on EC2 instances with Nitro Enclaves. SSL/TLS certificates are used to secure network communications and to establish the identity of websites over the internet and resources on private networks. ACM for Nitro Enclaves removes the time-consuming and error-prone manual process of purchasing, uploading, and renewing SSL/TLS ACM for Nitro Enclaves crea chiavi private sicure, distribuisce il certificato e la relativa chiave privata nell'enclave e gestisce i rinnovi dei certificati. Con ACM for Nitro Enclaves, la chiave privata del certificato rimane isolata nell'enclave, il che impedisce all'istanza e ai suoi utenti di accedervi. Per ulteriori informazioni, consulta Nitro Enclaves nella documentazione [AWS Certificate Manager di Nitro Enclaves](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-refapp.html).
## Application Load Balancer
Gli [Application Load Balancer](https://aws.amazon.com/elasticloadbalancing/application-load-balancer/) distribuiscono il traffico delle applicazioni in entrata su più destinazioni, ad esempio istanze, in più zone di disponibilità. EC2 Nell' AWS SRA, il gruppo target per il load balancer sono le istanze dell'applicazione. EC2 L' AWS SRA utilizza listener HTTPS per garantire che il canale di comunicazione sia crittografato. L'Application Load Balancer utilizza un certificato server per interrompere la connessione front-end e quindi per decrittografare le richieste dei client prima di inviarle alle destinazioni.
AWS Certificate Manager (ACM) si integra nativamente con Application Load Balancers e AWS SRA utilizza ACM per generare e gestire i certificati pubblici X.509 (server TLS) necessari. È possibile applicare TLS 1.2 e cifrari avanzati per le connessioni front-end tramite la policy di sicurezza Application Load Balancer. Per ulteriori informazioni, consulta la [Guida per l'utente di Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html).
**Considerazioni di natura progettuale**
Per scenari comuni come applicazioni strettamente interne che richiedono un certificato TLS privato su Application Load Balancer, puoi utilizzare ACM all'interno di questo account per generare un certificato privato da. AWS Private CA[Nell' AWS SRA, la CA principale privata ACM è ospitata nell'account Security Tooling e può essere condivisa con l'intera AWS organizzazione o con certificati di entità finale specifici Account AWS per l'emissione, come descritto in precedenza nella sezione Account Security Tooling.](security-tooling.md#tool-acm)
Per i certificati pubblici, puoi utilizzare ACM per generare tali certificati e gestirli, inclusa la rotazione automatica. In alternativa, puoi generare i tuoi certificati utilizzando SSL/TLS strumenti per creare una richiesta di firma del certificato (CSR), far firmare la CSR da un'autorità di certificazione (CA) per produrre un certificato, quindi importare il certificato in ACM o caricare il certificato su IAM per utilizzarlo con Application Load Balancer. Se importi un certificato in ACM, devi monitorare la data di scadenza del certificato e rinnovarlo prima della scadenza.
Per ulteriori livelli di difesa, puoi implementare AWS WAF policy per proteggere l'Application Load Balancer. La presenza di policy edge, policy applicative e persino livelli di applicazione delle policy privati o interni aumenta la visibilità delle richieste di comunicazione e garantisce un'applicazione unificata delle policy. Per ulteriori informazioni, consulta il post sul blog [Deploying defense in depth using Regole gestite da AWS](https://aws.amazon.com/blogs/security/deploying-defense-in-depth-using-aws-managed-rules-for-aws-waf-part-2/) for. AWS WAF
## AWS Private CA
[AWS Autorità di certificazione privata](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html)(AWS Private CA) viene utilizzato nell'account dell'applicazione per generare certificati privati da utilizzare con un Application Load Balancer. È uno scenario comune che Application Load Balancer fornisca contenuti sicuri tramite TLS. Ciò richiede l'installazione di certificati TLS sull'Application Load Balancer. Per le applicazioni strettamente interne, i certificati TLS privati possono fornire un canale sicuro.
In AWS SRA, AWS Private CA è ospitato nell'account Security Tooling ed è condiviso con l'account dell'Applicazione utilizzando. AWS RAM Ciò consente agli sviluppatori di un account dell'Applicazione di richiedere un certificato da una CA privata condivisa. La CAs condivisione all'interno o all'interno dell'organizzazione Account AWS aiuta a ridurre i costi e la complessità legati alla creazione e alla gestione dei duplicati CAs in tutta l'organizzazione Account AWS. Quando utilizzi ACM per emettere certificati privati da una CA condivisa, il certificato viene generato localmente nell'account richiedente e ACM fornisce la gestione e il rinnovo completi del ciclo di vita.
## Amazon Inspector
L' AWS SRA utilizza [Amazon](https://aws.amazon.com/inspector/) Inspector per rilevare e EC2 scansionare automaticamente le istanze e le immagini dei container che risiedono in Amazon Elastic Container**** Registry (Amazon ECR) alla ricerca di vulnerabilità del software ed esposizione involontaria della rete.
Amazon Inspector viene inserito nell'account Application, poiché fornisce servizi di gestione delle vulnerabilità alle EC2 istanze di questo account. Inoltre, Amazon Inspector segnala [percorsi di rete indesiderati](https://docs.aws.amazon.com/inspector/latest/user/findings-types.html#findings-types-network) da EC2 e verso le istanze.
Amazon Inspector negli account dei membri è gestito centralmente dall'account amministratore delegato. In AWS SRA, l'account Security Tooling è l'account amministratore delegato. L'account amministratore delegato può gestire i risultati, i dati e alcune impostazioni per i membri dell'organizzazione. Ciò include la visualizzazione dei dettagli aggregati dei risultati per tutti gli account dei membri, l'attivazione o la disabilitazione delle scansioni per gli account dei membri e la revisione delle risorse analizzate all'interno dell'organizzazione. AWS
**Considerazione di natura progettuale**
Puoi utilizzare [Patch Manager, una funzionalità di AWS Systems Manager, per attivare patch](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) su richiesta per correggere vulnerabilità di sicurezza zero-day di Amazon Inspector o altre vulnerabilità di sicurezza critiche. Patch Manager ti aiuta a correggere queste vulnerabilità senza dover attendere la normale pianificazione delle patch. La correzione viene eseguita utilizzando il runbook Systems Manager Automation. Per ulteriori informazioni, consulta la serie di blog in due parti [Automatizzare la gestione e la correzione delle vulnerabilità utilizzando Amazon AWS Inspector e](https://aws.amazon.com/blogs/mt/automate-vulnerability-management-and-remediation-in-aws-using-amazon-inspector-and-aws-systems-manager-part-1/). AWS Systems Manager
## AWS Systems Manager
[AWS Systems Manager](https://aws.amazon.com/systems-manager/)è uno strumento Servizio AWS che puoi utilizzare per visualizzare i dati operativi provenienti da più risorse Servizi AWS e automatizzare le attività operative tra le tue risorse. AWS Con i flussi di lavoro e i runbook di approvazione automatizzati, puoi lavorare per ridurre gli errori umani e semplificare le attività di manutenzione e distribuzione delle risorse. AWS
Oltre a queste funzionalità di automazione generali, Systems Manager supporta una serie di funzionalità di sicurezza preventive, investigative e reattive. [AWS Systems Manager Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html) (SSM Agent) è un software Amazon che può essere installato e configurato su un' EC2 istanza, un server locale o una macchina virtuale (VM). SSM Agent consente a Systems Manager di aggiornare, gestire e configurare tali risorse. Systems Manager ti aiuta a mantenere la sicurezza e la conformità scansionando queste istanze gestite e segnalando (o adottando azioni correttive) su eventuali violazioni rilevate nelle patch, nella configurazione e nelle politiche personalizzate.
L' AWS SRA utilizza [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html), una funzionalità di Systems Manager, per fornire una shell interattiva basata su browser e un'esperienza CLI. Ciò fornisce una gestione delle istanze sicura e verificabile senza la necessità di aprire porte in ingresso, mantenere host bastion o gestire chiavi SSH. L' AWS SRA utilizza [Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html), una funzionalità di Systems Manager, per applicare patch alle EC2 istanze sia per i sistemi operativi che per le applicazioni.
L' AWS SRA utilizza anche [Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), una funzionalità di Systems Manager, per semplificare le attività comuni di manutenzione e distribuzione delle EC2 istanze Amazon e di altre AWS risorse. Il servizio di automazione consente di semplificare le attività IT più comuni, ad esempio la modifica dello stato di una o più nodi (utilizzando un'automazione di approvazione) e la gestione dello stato dei nodi in base a una pianificazione. Systems Manager comprende caratteristiche che supportano la gestione di grandi gruppi di istanze mediante l'uso di tag e controlli di velocità che semplificano l'implementazione delle modifiche in base ai limiti da te definiti. L'automazione offre automazioni con un solo clic per semplificare attività complesse come la creazione di Amazon Machine Images dorate (AMIs) e il ripristino di istanze irraggiungibili. EC2 Inoltre, puoi migliorare la sicurezza operativa dando ai ruoli IAM l'accesso a runbook specifici per eseguire determinate funzioni, senza concedere direttamente le autorizzazioni a tali ruoli. Ad esempio, se desideri che un ruolo IAM disponga delle autorizzazioni per riavviare EC2 istanze specifiche dopo gli aggiornamenti delle patch, ma non vuoi concedere l'autorizzazione direttamente a quel ruolo, puoi invece creare un runbook di automazione e concedere al ruolo le autorizzazioni per eseguire solo il runbook.
**Considerazioni di natura progettuale**
Systems Manager si affida ai metadati delle EC2 istanze per funzionare correttamente. Systems Manager può accedere ai metadati dell'istanza utilizzando la versione 1 o la versione 2 di Instance Metadata Service (IMDSv1 and IMDSv2).
SSM Agent deve comunicare con diverse Servizi AWS risorse come Amazon EC2 messages, Systems Manager e Amazon S3. Affinché questa comunicazione avvenga, la sottorete richiede la connettività Internet in uscita o il provisioning di endpoint VPC appropriati. L' AWS SRA utilizza gli endpoint VPC per l'agente SSM per stabilire percorsi di rete privati verso vari. Servizi AWS
L'utilizzo dell'automazione consente di condividere le best practice con tutta l'organizzazione. È possibile creare best practice per la gestione delle risorse nei runbook e condividere i runbook tra e gruppi. Regioni AWS Puoi anche limitare i valori consentiti per i parametri del runbook. In questi casi d'uso, potrebbe essere necessario creare runbook di automazione in un account centrale come Security Tooling o Shared Services e condividerli con il resto dell'organizzazione. AWS I casi d'uso più comuni includono la capacità di implementare centralmente patch e aggiornamenti di sicurezza, rimediare alla deriva dalle configurazioni VPC o dalle policy dei bucket S3 e gestire le istanze su larga scala. EC2 Per i dettagli sull'implementazione, vedere la [documentazione di Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation-multiple-accounts-and-regions.html).
## Amazon Aurora
Nell' AWS SRA, [Amazon Aurora e Amazon](https://aws.amazon.com/rds/aurora/) [S3](https://aws.amazon.com/s3/) costituiscono il livello logico dei dati. Aurora è un motore di database relazionale completamente gestito compatibile con MySQL e PostgreSQL. Un'applicazione in esecuzione sulle EC2 istanze comunica con Aurora e Amazon S3 in base alle esigenze. Aurora è configurata con un cluster di database all'interno di un sottogruppo di database.
**Considerazione di natura progettuale**
Come in molti servizi di database, la sicurezza per Aurora è gestita su tre livelli. Per controllare chi può eseguire azioni di gestione di Amazon Relational Database Service (Amazon RDS) su cluster e istanze DB Aurora, utilizzi IAM. Per controllare quali dispositivi e EC2 istanze possono aprire connessioni all'endpoint e alla porta del cluster dell'istanza DB per i cluster Aurora DB in un VPC, si utilizza un gruppo di sicurezza VPC. Per autenticare gli accessi e le autorizzazioni per un cluster Aurora DB, puoi adottare lo stesso approccio di un'istanza DB autonoma di MySQL o PostgreSQL oppure puoi utilizzare l'autenticazione del database IAM per Aurora MySQL Compatible Edition. Con quest'ultimo approccio, ti autentichi nel tuo cluster DB Aurora compatibile con MySQL utilizzando un ruolo IAM e un token di autenticazione.
## Simple Storage Service (Amazon S3)
[Amazon S3](https://aws.amazon.com/s3/) è un servizio di storage di oggetti che offre scalabilità, disponibilità dei dati, sicurezza e prestazioni all'avanguardia nel settore. È la spina dorsale dei dati di molte applicazioni basate su AWS di essa e autorizzazioni e controlli di sicurezza appropriati sono fondamentali per proteggere i dati sensibili. [Per le best practice di sicurezza consigliate per Amazon S3, consulta la [documentazione](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html), i [talk tecnici online](https://www.youtube.com/watch?v=7M3s_ix9ljE) e approfondimenti nei post del blog.](https://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3/) La best practice più importante consiste nel bloccare l'accesso eccessivamente permissivo (in particolare l'accesso pubblico) ai bucket S3.
## AWS KMS
L' AWS SRA illustra il modello di distribuzione consigliato per la gestione delle chiavi, in cui le chiavi AWS KMS key risiedono all'interno della stessa risorsa da crittografare. Account AWS Per questo motivo, AWS KMS viene utilizzato nell'account dell'applicazione oltre ad essere incluso nell'account Security Tooling. Nell'account dell'applicazione, AWS KMS viene utilizzato per gestire le chiavi specifiche delle risorse dell'applicazione. È possibile implementare una separazione delle funzioni utilizzando [politiche chiave per concedere le](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) autorizzazioni di utilizzo delle chiavi ai ruoli delle applicazioni locali e per limitare le autorizzazioni di gestione e monitoraggio ai custodi chiave.
**Considerazione di natura progettuale**
In un modello distribuito, la responsabilità AWS KMS chiave della gestione spetta al team dell'applicazione. Tuttavia, il team di sicurezza centrale può essere responsabile della governance e del [monitoraggio](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html) di importanti eventi crittografici come i seguenti:
Il materiale chiave importato in una chiave KMS si avvicina alla data di scadenza.
Il materiale chiave di una chiave KMS è stato ruotato automaticamente.
La chiave AKMS è stata eliminata.
C'è un alto tasso di errori di decrittografia.
## AWS CloudHSM
[AWS CloudHSM](https://aws.amazon.com/cloudhsm/)fornisce moduli di sicurezza hardware gestiti (HSMs) in. Cloud AWS Consente di generare e utilizzare le proprie chiavi di crittografia AWS utilizzando lo standard FIPS 140-2 di livello 3 convalidato a HSMs cui è possibile controllare l'accesso. È possibile utilizzarlo AWS CloudHSM per eseguire l'offload dell' SSL/TLS elaborazione per i server Web. Ciò riduce il carico sul server Web e fornisce una maggiore sicurezza memorizzando la chiave privata del server Web. AWS CloudHSM Allo stesso modo, puoi implementare un HSM dal VPC AWS CloudHSM in entrata nell'account di rete per archiviare le tue chiavi private e firmare le richieste di certificato se devi agire come autorità di certificazione emittente.
**Considerazione di natura progettuale**
Se hai un requisito rigoroso per FIPS 140-2 livello 3, puoi anche scegliere di configurare l'utilizzo del AWS CloudHSM cluster come archivio AWS KMS di chiavi personalizzato anziché utilizzare l'archivio di chiavi KMS nativo. In questo modo, trarrai vantaggio dall'integrazione AWS KMS e Servizi AWS dalla crittografia dei tuoi dati, pur essendo responsabile della protezione delle tue chiavi HSMs KMS. Ciò combina il sistema single-tenant HSMs sotto il tuo controllo con la facilità d'uso e l'integrazione di. AWS KMS Per gestire l' AWS CloudHSM infrastruttura, è necessario utilizzare un'infrastruttura a chiave pubblica (PKI) e disporre di un team con esperienza nella gestione. HSMs
## Gestione dei segreti AWS
[Gestione dei segreti AWS](https://aws.amazon.com/secrets-manager/)ti aiuta a proteggere le credenziali (*segreti*) di cui hai bisogno per accedere alle tue applicazioni, servizi e risorse IT. Il servizio consente di ruotare, gestire e recuperare in modo efficiente le credenziali del database, le chiavi API e altri segreti durante tutto il loro ciclo di vita. Puoi sostituire le credenziali codificate nel codice con una chiamata API a Secrets Manager per recuperare il segreto a livello di codice. Questo aiuta a garantire che il segreto non possa essere compromesso da qualcuno che sta esaminando il codice, perché il segreto non esiste più nel codice. Inoltre, Secrets Manager consente di spostare le applicazioni tra ambienti (sviluppo, preproduzione, produzione). Invece di modificare il codice, potete assicurarvi che nell'ambiente sia disponibile un segreto denominato e referenziato in modo appropriato. Ciò favorisce la coerenza e la riutilizzabilità del codice applicativo in diversi ambienti, richiedendo al contempo un minor numero di modifiche e interazioni umane dopo il test del codice.
Con Secrets Manager, puoi gestire l'accesso ai segreti utilizzando policy IAM granulari e politiche basate sulle risorse. Puoi contribuire a proteggere i segreti crittografandoli con chiavi di crittografia che gestisci utilizzando. AWS KMS Secrets Manager si integra anche con i servizi AWS di registrazione e monitoraggio per il controllo centralizzato.
Secrets Manager utilizza [la crittografia a busta](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) con AWS KMS keys chiavi dati per proteggere ogni valore segreto. Quando crei un segreto, puoi scegliere qualsiasi chiave simmetrica gestita dal cliente nella regione Account AWS and oppure puoi utilizzare la chiave AWS gestita per Secrets Manager.
Come best practice, puoi monitorare i tuoi segreti per registrare eventuali modifiche. Questo vi aiuta a garantire che eventuali utilizzi o modifiche imprevisti possano essere esaminati. Le modifiche indesiderate possono essere annullate. Secrets Manager attualmente ne supporta due Servizi AWS che consentono di monitorare l'organizzazione e l'attività: AWS CloudTrail e AWS Config. CloudTrail acquisisce tutte le chiamate API per Secrets Manager come eventi, incluse le chiamate dalla console Secrets Manager e le chiamate di codice a Secrets Manager APIs. Inoltre, CloudTrail acquisisce altri eventi correlati (non API) che potrebbero avere un impatto sulla sicurezza o sulla conformità o che potrebbero aiutarti a risolvere problemi operativi. Account AWS Questi includono alcuni eventi di rotazione dei segreti e l'eliminazione di versioni segrete. AWS Config può fornire controlli investigativi tracciando e monitorando le modifiche ai segreti in Secrets Manager. Queste modifiche includono la descrizione di un segreto, la configurazione di rotazione, i tag e la relazione con altre AWS fonti, come la chiave di crittografia KMS o AWS Lambda le funzioni utilizzate per la rotazione segreta. Puoi anche configurare Amazon EventBridge, che riceve notifiche di modifica della configurazione e della conformità AWS Config, per indirizzare particolari eventi segreti per azioni di notifica o correzione.
In AWS SRA, Secrets Manager si trova nell'account dell'applicazione per supportare i casi d'uso delle applicazioni locali e per gestire i segreti vicini al loro utilizzo. Qui, un profilo di istanza è allegato alle EC2 istanze nell'account dell'applicazione. È quindi possibile configurare segreti separati in Secrets Manager per consentire a quel profilo di istanza di recuperare segreti, ad esempio per unirsi al dominio Active Directory o LDAP appropriato e accedere al database Aurora. Secrets Manager [si integra con Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-secrets-manager.html) per gestire le credenziali utente quando crei, modifichi o ripristini un'istanza database Amazon RDS o un cluster DB Multi-AZ. Ciò consente di gestire la creazione e la rotazione delle chiavi e sostituisce le credenziali codificate nel codice con chiamate API programmatiche a Secrets Manager.
**Considerazione di natura progettuale**
In generale, configura e gestisci Secrets Manager nell'account più vicino a dove verranno utilizzati i segreti. Questo approccio sfrutta la conoscenza locale del caso d'uso e offre velocità e flessibilità ai team di sviluppo delle applicazioni. Per informazioni strettamente controllate che potrebbero richiedere un ulteriore livello di controllo, i segreti possono essere gestiti centralmente da Secrets Manager nell'account Security Tooling.
## Amazon Cognito
[Amazon Cognito](https://aws.amazon.com/cognito/) ti consente di aggiungere la registrazione, l'accesso e il controllo degli accessi degli utenti alle tue app Web e mobili in modo rapido ed efficiente. Amazon Cognito è scalabile fino a milioni di utenti e supporta l'accesso con provider di identità social, come Apple, Facebook, Google e Amazon, e provider di identità aziendali tramite SAML 2.0 e OpenID Connect. I due componenti principali di Amazon Cognito sono i pool di [utenti e i pool](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) di [identità](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html). I pool di utenti sono directory di utenti che forniscono opzioni di registrazione e accesso per gli utenti dell'applicazione. I pool di identità consentono di concedere ai propri utenti l'accesso ad altri. Servizi AWSÈ possibile usare i pool di identità e i bacini d'utenza separatamente o insieme. Per scenari di utilizzo comuni, consulta la documentazione di [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-scenarios.html).
Amazon Cognito offre un'interfaccia utente integrata e personalizzabile per la registrazione e l'accesso degli utenti. Puoi usare Android, iOS e Amazon Cognito JavaScript SDKs per aggiungere pagine di registrazione e accesso degli utenti alle tue app. [Amazon Cognito Sync](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-sync.html) è una Servizio AWS libreria client che consente la sincronizzazione tra dispositivi dei dati utente relativi alle applicazioni.
Amazon Cognito supporta l'autenticazione e la crittografia a più fattori dei dati inattivi e dei dati in transito. I pool di utenti di Amazon Cognito forniscono [funzionalità di sicurezza avanzate](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-advanced-security.html) per proteggere l'accesso agli account utente nell'applicazione. Queste funzionalità di sicurezza avanzate forniscono autenticazione adattiva basata sul rischio e protezione dall'uso di credenziali compromesse.
**Considerazioni di natura progettuale**
È possibile creare una AWS Lambda funzione e quindi attivarla durante le operazioni del pool di utenti come l'iscrizione, la conferma e l'accesso (autenticazione) degli utenti con un trigger Lambda. Puoi aggiungere i problemi di autenticazione, migrare gli utenti e personalizzare i messaggi di verifica. Per le operazioni e il flusso di utenti comuni, consulta la documentazione di [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools-working-with-aws-lambda-triggers.html). Amazon Cognito chiama le funzioni Lambda in modo sincrono.
Puoi utilizzare i pool di utenti di Amazon Cognito per proteggere piccole applicazioni multi-tenant. Un caso d'uso comune della progettazione multi-tenant consiste nell'esecuzione di carichi di lavoro per supportare il test di più versioni di un'applicazione. La progettazione multi-tenant è utile anche per testare una singola applicazione con diversi set di dati che consente l'uso completo delle risorse del cluster. Tuttavia, assicurati che il numero di inquilini e il volume previsto siano in linea con le relative quote del servizio Amazon [Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/limits.html). Queste quote vengono condivise tra tutti i tenant dell'applicazione.
## Autorizzazioni verificate da Amazon
[Amazon Verified Permissions](https://aws.amazon.com/verified-permissions/) è un servizio scalabile di gestione delle autorizzazioni e di autorizzazione granulare per le applicazioni che crei. Gli sviluppatori e gli amministratori possono utilizzare [Cedar](https://www.cedarpolicy.com/en), un linguaggio di policy open source creato appositamente e incentrato sulla sicurezza, con ruoli e attributi per definire controlli di accesso più granulari, sensibili al contesto e basati su policy. Gli sviluppatori possono creare applicazioni più sicure più rapidamente esternalizzando le autorizzazioni e centralizzando la gestione e l'amministrazione delle policy. Le autorizzazioni verificate includono definizioni di schemi, formulazioni di policy, grammatica e [ragionamento automatico](https://aws.amazon.com/blogs/security/aws-security-profile-byron-cook-director-aws-automated-reasoning-group/) che si estendono a milioni di autorizzazioni, in modo da poter applicare i principi di negazione predefinita e privilegio minimo. Il servizio include anche uno strumento di simulazione di valutazione per aiutarvi a testare le vostre decisioni di autorizzazione e le politiche relative agli autori. [Queste funzionalità facilitano l'implementazione di un modello di autorizzazione approfondito e granulare per supportare gli obiettivi zero-trust.](https://aws.amazon.com/security/zero-trust/) Verified Permissions centralizza le autorizzazioni in un archivio di policy e aiuta gli sviluppatori a utilizzare tali autorizzazioni per autorizzare le azioni degli utenti all'interno delle loro applicazioni.
È possibile connettere l'applicazione al servizio tramite l'API per autorizzare le richieste di accesso degli utenti. Per ogni richiesta di autorizzazione, il servizio recupera le politiche pertinenti e le valuta per determinare se un utente è autorizzato a intraprendere un'azione su una risorsa, in base a input di contesto quali utenti, ruoli, appartenenza al gruppo e attributi. È possibile configurare e connettere le autorizzazioni verificate a cui inviare i registri di gestione e autorizzazione delle politiche. AWS CloudTrail Se utilizzi Amazon Cognito come archivio di identità, puoi effettuare l'integrazione con Autorizzazioni verificate e utilizzare l'ID e i token di accesso che Amazon Cognito restituisce nelle decisioni di autorizzazione delle tue applicazioni. Fornisci token Amazon Cognito a Verified Permissions, che utilizza gli attributi contenuti nei token per rappresentare il principale e identificare i diritti del principale. Per ulteriori informazioni su questa integrazione, consulta il post del AWS blog [Semplificazione dell'autorizzazione granulare con Amazon Verified Permissions e Amazon](https://aws.amazon.com/blogs/security/simplify-fine-grained-authorization-with-amazon-verified-permissions-and-amazon-cognito/) Cognito.
Verified Permissions ti aiuta a definire il controllo degli accessi basato su policy (PBAC). PBAC è un modello di controllo degli accessi che utilizza le autorizzazioni espresse sotto forma di policy per determinare chi può accedere a quali risorse in un'applicazione. PBAC unisce il controllo degli accessi basato sui ruoli (RBAC) e il controllo degli accessi basato sugli attributi (ABAC), dando vita a un modello di controllo degli accessi più potente e flessibile. Per ulteriori informazioni su PBAC e su come progettare un modello di autorizzazione utilizzando Autorizzazioni verificate, consulta il post del AWS blog [Controllo degli accessi basato su policy nello sviluppo di applicazioni con](https://aws.amazon.com/blogs/devops/policy-based-access-control-in-application-development-with-amazon-verified-permissions/) Amazon Verified Permissions.
Nella AWS SRA, Verified Permissions si trova nell'account dell'Applicazione per supportare la gestione delle autorizzazioni per le applicazioni attraverso la sua integrazione con Amazon Cognito.
## Difesa a più livelli
L'account Application offre l'opportunità di illustrare i principi di difesa a più livelli che consentono. AWS Considerate la sicurezza delle EC2 istanze che costituiscono il nucleo di una semplice applicazione di esempio rappresentata nell' AWS SRA e vedrete come Servizi AWS cooperare in una difesa a più livelli. Questo approccio è in linea con la visione strutturale dei servizi di AWS sicurezza, come descritto nella sezione [Applica i servizi di sicurezza in tutta l' AWS organizzazione](security-services.md) precedente di questa guida.
+ Lo strato più interno sono le istanze. EC2 Come accennato in precedenza, EC2 le istanze includono molte funzionalità di sicurezza native per impostazione predefinita o come opzioni. Alcuni esempi includono [IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html)il [sistema Nitro](https://aws.amazon.com/blogs/security/confidential-computing-an-aws-perspective/) e la crittografia [dello storage Amazon EBS.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ Il secondo livello di protezione si concentra sul sistema operativo e sul software in esecuzione sulle EC2 istanze. Servizi come [Amazon Inspector](https://aws.amazon.com/inspector/) ti [AWS Systems Manager](https://aws.amazon.com/systems-manager/)consentono di monitorare, generare report e intraprendere azioni correttive su queste configurazioni. [Amazon Inspector [monitora il tuo software alla ricerca di vulnerabilità e Systems](https://aws.amazon.com/blogs/security/how-to-visualize-multi-account-amazon-inspector-findings-with-amazon-elasticsearch-service/) Manager ti aiuta a mantenere la sicurezza e la conformità scansionando le istanze gestite per verificarne [lo stato di [patch](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) e configurazione](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-compliance.html), quindi segnalando e adottando le azioni correttive da te specificate.](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)
+ Le istanze e il software in esecuzione su queste istanze sono integrate nell'infrastruttura di rete. AWS Oltre a utilizzare le [funzionalità di sicurezza di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security.html), AWS SRA utilizza anche endpoint VPC per fornire connettività privata tra il VPC e il supporto e per fornire un meccanismo per posizionare le Servizi AWS politiche di accesso ai confini della rete.
+ L'attività e la configurazione delle EC2 istanze, del software, della rete e dei ruoli e delle risorse IAM sono ulteriormente monitorate da servizi Account AWS focalizzati come AWS Security Hub Amazon AWS Security Hub CSPM, GuardDuty AWS CloudTrail AWS Config, IAM Access Analyzer e Amazon Macie.
+ Infine, oltre all'account Application, AWS RAM aiuta a controllare quali risorse sono condivise con altri account e le policy di controllo dei servizi IAM ti aiutano a far rispettare autorizzazioni coerenti in tutta l'organizzazione. AWS