Nozioni di base sulla sicurezza - AWS Guida prescrittiva
Funzionalità di sicurezzaPrincipi di progettazione della sicurezzaCome utilizzare l' AWS SRA con AWS CAF e Well-Architected Framework AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Nozioni di base sulla sicurezza

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio.

L' AWS SRA si allinea a tre fondamenti AWS di sicurezza: AWS Cloud Adoption Framework (AWS CAF), AWS Well-Architected e Shared Responsibility Model. AWS

AWS Professional Services ha creato il AWS CAF per aiutare le aziende a progettare e seguire un percorso accelerato verso un'adozione efficace del cloud. Le linee guida e le best practice fornite dal framework ti aiutano a creare un approccio completo al cloud computing in tutta l'azienda e durante l'intero ciclo di vita IT. Il AWS CAF organizza la guida in sei aree di interesse, chiamate prospettive. Ogni prospettiva copre responsabilità distinte possedute o gestite da parti interessate funzionalmente correlate. In generale, le prospettive aziendali, umane e di governance si concentrano sulle capacità aziendali, mentre le prospettive relative alla piattaforma, alla sicurezza e alle operazioni si concentrano sulle capacità tecniche.

La prospettiva di sicurezza del AWS CAF consente di strutturare la selezione e l'implementazione dei controlli in tutta l'azienda. Seguire le attuali AWS raccomandazioni contenute nel pilastro della sicurezza può aiutarvi a soddisfare i requisiti aziendali e normativi.

AWS Well-Architected aiuta gli architetti del cloud a creare un'infrastruttura sicura, ad alte prestazioni, resiliente ed efficiente per le loro applicazioni e carichi di lavoro. Il framework si basa su sei pilastri (eccellenza operativa, sicurezza, affidabilità, efficienza delle prestazioni, ottimizzazione dei costi e sostenibilità) e offre a AWS clienti e partner un approccio coerente per valutare le architetture e implementare progetti scalabili nel tempo. Disporre di carichi di lavoro ben progettati aumenta notevolmente la probabilità di successo aziendale.

Il pilastro di sicurezza Well-Architected Framework descrive come sfruttare le tecnologie cloud per proteggere dati, sistemi e risorse in modo da migliorare il livello di sicurezza. Questo vi aiuterà a soddisfare i requisiti aziendali e normativi seguendo le raccomandazioni attuali. AWS Esistono aree di interesse aggiuntive del Well-Architected Framework che forniscono più contesto per domini specifici come governance, serverless, AI/ML e giochi. Queste sono note come lenti AWS Well-Architected.

La sicurezza e la conformità sono una responsabilità condivisa tra AWS e il cliente. Questo modello condiviso può contribuire ad alleggerire l'onere operativo in quanto AWS opera, gestisce e controlla i componenti, dal sistema operativo host e dal livello di virtualizzazione fino alla sicurezza fisica delle strutture in cui opera il servizio. Ad esempio, l'utente si assume la responsabilità e la gestione del sistema operativo guest (inclusi gli aggiornamenti e le patch di sicurezza), del software applicativo, della crittografia dei dati sul lato server, delle tabelle delle rotte del traffico di rete e della configurazione del firewall del AWS gruppo di sicurezza fornito. Per i servizi astratti come Amazon S3 e Amazon DynamoDB AWS , gestisce il livello di infrastruttura, il sistema operativo e le piattaforme e accedi agli endpoint per archiviare e recuperare dati. Sei responsabile della gestione dei dati (comprese le opzioni di crittografia), della classificazione degli asset e dell'utilizzo degli strumenti IAM per applicare le autorizzazioni appropriate. Questo modello condiviso viene spesso descritto dicendo che AWS sei responsabile della sicurezza del cloud (ovvero della protezione dell'infrastruttura che gestisce tutti i servizi offerti Cloud AWS) e che tu sei responsabile della sicurezza nel cloud (in base Cloud AWS ai servizi che scegli).

Nell'ambito delle linee guida fornite da questi documenti fondamentali, due serie di concetti sono particolarmente importanti per la progettazione e la comprensione dell' AWS SRA: le funzionalità di sicurezza e i principi di progettazione della sicurezza.

Funzionalità di sicurezza

La prospettiva di sicurezza del AWS CAF delinea nove funzionalità che aiutano a raggiungere la riservatezza, l'integrità e la disponibilità dei dati e dei carichi di lavoro cloud.

  • Governance della sicurezza per sviluppare e comunicare ruoli, responsabilità, politiche, processi e procedure di sicurezza nell'ambiente dell'organizzazione. AWS

  • Garanzia di sicurezza per monitorare, valutare, gestire e migliorare l'efficacia dei programmi di sicurezza e privacy.

  • Gestione delle identità e degli accessi per gestire identità e autorizzazioni su larga scala.

  • Rilevamento delle minacce per comprendere e identificare potenziali configurazioni errate di sicurezza, minacce o comportamenti imprevisti.

  • Gestione delle vulnerabilità per identificare, classificare, correggere e mitigare continuamente le vulnerabilità di sicurezza.

  • Protezione dell'infrastruttura per convalidare la protezione dei sistemi e dei servizi all'interno dei carichi di lavoro.

  • Protezione dei dati per mantenere la visibilità e il controllo sui dati e su come accedervi e utilizzarli nell'organizzazione.

  • Sicurezza delle applicazioni per aiutare a rilevare e risolvere le vulnerabilità di sicurezza durante il processo di sviluppo del software.

  • Risposta agli incidenti per ridurre i potenziali danni rispondendo efficacemente agli incidenti di sicurezza.

Principi di progettazione della sicurezza

Il pilastro della sicurezza di Well-Architected Framework racchiude una serie di sette principi di progettazione che trasformano aree di sicurezza specifiche in linee guida pratiche che possono aiutarti a rafforzare la sicurezza del carico di lavoro. Laddove le funzionalità di sicurezza fanno da cornice alla strategia di sicurezza generale, questi principi del Well-Architected Framework descrivono cosa si può iniziare a fare. Si riflettono in modo molto preciso in questo AWS SRA e consistono nei seguenti elementi:

  • Implementate una solida base di identità ‒ Implementate il principio del privilegio minimo e applicate la separazione dei compiti con l'autorizzazione appropriata per ogni interazione con le vostre risorse. AWS Centralizza la gestione delle identità e mira a eliminare la dipendenza dalle credenziali statiche a lungo termine.

  • Abilita la tracciabilità ‒ Monitora, genera avvisi e verifica le azioni e le modifiche all'ambiente in tempo reale. Integra la raccolta di log e parametri con i sistemi per analizzare e intervenire automaticamente.

  • Applica la sicurezza a tutti i livelli ‒ Applica un defense-in-depth approccio con più controlli di sicurezza. Applica diversi tipi di controlli (ad esempio controlli preventivi e di rilevamento) a tutti i livelli, tra cui edge of network, cloud privato virtuale (VPC), bilanciamento del carico, servizi di istanza e calcolo, sistema operativo, configurazione delle applicazioni e codice.

  • Automatizza le best practice di sicurezza ‒ I meccanismi di sicurezza automatizzati e basati su software migliorano la capacità di scalare in modo sicuro, più rapido ed economico. Crea architetture sicure e implementa controlli definiti e gestiti come codice in modelli con controllo di versione.

  • Proteggi i dati in transito e a riposo ‒ Classizza i dati in base a livelli di sensibilità e utilizza meccanismi come la crittografia, la tokenizzazione e il controllo degli accessi, ove appropriato.

  • Tieni le persone lontane dai dati ‒ Utilizza meccanismi e strumenti per ridurre o eliminare la necessità di accedere direttamente o elaborare manualmente i dati. Ciò riduce il rischio di perdita, modifica e altri errori umani durante la gestione dei dati sensibili.

  • Preparati agli eventi di sicurezza ‒ Preparati a un incidente adottando politiche e processi di gestione degli incidenti e indagini in linea con i requisiti organizzativi. Esegui simulazioni di risposta agli incidenti e utilizza strumenti dotati di automazione per aumentare la velocità nel rilevamento, nell’indagine e nel ripristino.

Come utilizzare l' AWS SRA con AWS CAF e Well-Architected Framework AWS

AWS CAF, AWS Well-Architected Framework AWS e SRA sono framework complementari che collaborano per supportare le attività di migrazione e modernizzazione del cloud.

  • Il AWS CAF sfrutta l' AWS esperienza e le migliori pratiche per aiutarvi ad allineare i valori dell'adozione del cloud ai risultati aziendali desiderati. Utilizzate il AWS CAF per identificare e dare priorità alle opportunità di trasformazione, valutare e migliorare la predisposizione al cloud e far evolvere iterativamente la vostra roadmap di trasformazione.

  • Il AWS Well-Architected Framework AWS fornisce consigli per creare un'infrastruttura sicura, ad alte prestazioni, resiliente ed efficiente per una varietà di applicazioni e carichi di lavoro in grado di soddisfare i risultati aziendali. 

  • L'AWS SRA aiuta a capire come implementare e gestire i servizi di sicurezza in un modo in linea con le raccomandazioni del AWS CAF e del Well-Architected Framework. AWS  

Ad esempio, la prospettiva della sicurezza del AWS CAF suggerisce di valutare come gestire centralmente le identità della forza lavoro e la loro autenticazione. AWS Sulla base di queste informazioni, potresti decidere di utilizzare una soluzione di provider di identità aziendale (IdP) nuova o esistente come Okta, Active Directory o Ping Identity per questo scopo. Segui le indicazioni del AWS Well-Architected Framework e decidi di integrare il tuo IdP con AWS IAM Identity Center il per offrire ai tuoi dipendenti un'esperienza di single sign-on in grado di sincronizzare le appartenenze e le autorizzazioni ai gruppi. Leggi la raccomandazione AWS SRA di abilitare IAM Identity Center nell'account di gestione della tua AWS organizzazione e di amministrarlo tramite un account di strumenti di sicurezza utilizzato dal tuo team addetto alle operazioni di sicurezza. Questo esempio illustra come il AWS CAF aiuta a prendere le decisioni iniziali sul livello di sicurezza desiderato, il AWS Well-Architected Framework fornisce le indicazioni su come valutare le risorse disponibili per raggiungere Servizi AWS tale obiettivo e l' AWS SRA fornisce quindi consigli su come implementare e gestire i servizi di sicurezza selezionati.