Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Costruire la propria architettura di sicurezza: un approccio graduale

L'architettura di sicurezza multi-account consigliata dalla AWS SRA è un'architettura di base che consente di inserire la sicurezza nelle prime fasi del processo di progettazione. Il percorso verso il cloud di ogni organizzazione è unico. Per far evolvere con successo la vostra architettura di sicurezza cloud, dovete immaginare lo stato di destinazione desiderato, comprendere la vostra attuale preparazione al cloud e adottare un approccio agile per colmare eventuali lacune. L' AWS SRA fornisce uno stato obiettivo di riferimento per l'architettura di sicurezza. La trasformazione incrementale consente di dimostrare rapidamente il valore aggiunto riducendo al minimo la necessità di fare previsioni di ampia portata.

Il AWS Cloud Adoption Framework (AWS CAF) consiglia quattro fasi iterative e incrementali di trasformazione del cloud: immagina, allinea, lancia e scala. Quando entri nella fase di lancio e ti concentri sulla realizzazione di iniziative pilota in produzione, dovresti concentrarti sulla creazione di una solida architettura di sicurezza come base per la fase di scalabilità, in modo da avere la capacità tecnica di migrare e gestire i carichi di lavoro più critici per l'azienda con sicurezza. Questo approccio graduale è applicabile se sei una startup, una piccola o media azienda che desidera espandere la propria attività o un'azienda che sta acquisendo nuove unità aziendali o sta effettuando fusioni e acquisizioni. L' AWS SRA ti aiuta a raggiungere quell'architettura di base di sicurezza in modo da poter applicare i controlli di sicurezza in modo uniforme in tutta la tua organizzazione in espansione. AWS Organizations L'architettura di base è composta da più servizi. Account AWS La pianificazione e l'implementazione devono essere un processo in più fasi in modo da poter eseguire iterazioni su traguardi più piccoli per raggiungere l'obiettivo principale di configurare l'architettura di sicurezza di base. Questa sezione descrive le fasi tipiche del tuo percorso verso il cloud sulla base di un approccio strutturato. Queste fasi sono in linea con i principi di progettazione della sicurezza del AWS Well-Architected Framework.  

Fase 1: creazione dell'unità organizzativa e della struttura degli account

Un prerequisito per una solida base di sicurezza è un' AWS organizzazione e una struttura degli account ben progettate. Come spiegato in precedenza nella sezione sugli elementi costitutivi SRA di questa guida, averne più di uno Account AWS aiuta a isolare diverse funzioni aziendali e di sicurezza in base alla progettazione. All'inizio potrebbe sembrare un lavoro inutile, ma è un investimento per aiutarvi a scalare in modo rapido e sicuro. Questa sezione spiega anche come gestire più Account AWS account e come AWS Organizations utilizzare le funzionalità di accesso affidabile e di amministratore delegato per la gestione Servizi AWS centralizzata di più account.

Puoi usare AWS Control Towerquanto descritto in precedenza in questa guida per orchestrare la tua landing zone. Se al momento ne utilizzi uno Account AWS, consulta la Account AWS guida sulla transizione a più account per migrare a più account il prima possibile. Ad esempio, se la tua startup sta attualmente ideando e prototipando il tuo prodotto in un unico prodotto Account AWS, dovresti prendere in considerazione l'adozione di una strategia multi-account prima di lanciare il prodotto sul mercato. Allo stesso modo, le organizzazioni di piccole, medie e imprese dovrebbero iniziare a sviluppare la propria strategia multi-account non appena pianificano i carichi di lavoro di produzione iniziali. Inizia con la tua fondazione Account AWS, quindi aggiungi OUs gli account e gli account relativi al carico di lavoro OUs .

Per Account AWS consigli sulla struttura delle unità organizzative oltre a quelli forniti nell' AWS SRA, consulta il post sul blog Strategia multiaccount per le piccole e medie imprese. Mentre stai finalizzando la struttura dell'unità organizzativa e degli account, prendi in considerazione i controlli di sicurezza di alto livello a livello di organizzazione che vorresti applicare utilizzando le politiche di controllo dei servizi (SCPs), le politiche di controllo delle risorse () e le politiche dichiarative. RCPs

Fase 2: Implementazione di una solida base di identità

Non appena ne avrai creati più di uno Account AWS, dovresti consentire ai tuoi team di accedere alle AWS risorse all'interno di tali account. Esistono due categorie generali di gestione delle identità: gestione delle identità e degli accessi della forza lavoro e gestione delle identità e degli accessi dei clienti (CIAM). Workforce IAM è destinato alle organizzazioni in cui dipendenti e carichi di lavoro automatizzati devono accedere AWS per svolgere il proprio lavoro. CIAM viene utilizzato quando un'organizzazione ha bisogno di un modo per autenticare gli utenti per fornire l'accesso alle applicazioni dell'organizzazione. È innanzitutto necessaria una strategia IAM per la forza lavoro, in modo che i team possano creare e migrare le applicazioni. Dovresti sempre utilizzare i ruoli IAM anziché gli utenti IAM per fornire l'accesso a utenti umani o automatici. Segui le indicazioni AWS SRA su come utilizzare all' AWS IAM Identity Center interno degli account Org Management e Shared Services per gestire centralmente l'accesso Single Sign-On (SSO) al tuo. Account AWS La guida fornisce anche considerazioni di progettazione per l'utilizzo della federazione IAM quando non è possibile utilizzare IAM Identity Center.

Quando lavori con i ruoli IAM per fornire agli utenti l'accesso alle AWS risorse, dovresti utilizzare IAM Access Analyzer e IAM access advisor, come indicato nelle sezioni Security Tooling e Org Management di questa guida. Questi servizi ti aiutano a ottenere il privilegio minimo, un importante controllo preventivo che ti aiuta a creare un buon livello di sicurezza. 

Fase 3: mantenimento della tracciabilità

Quando gli utenti avranno accesso AWS e inizieranno a creare, vorrai sapere chi sta facendo cosa, quando e da dove. Avrai anche bisogno di visibilità su potenziali configurazioni errate di sicurezza, minacce o comportamenti imprevisti. Una migliore comprensione delle minacce alla sicurezza consente di dare priorità ai controlli di sicurezza appropriati. Per monitorare AWS l'attività, segui i consigli AWS SRA per configurare un percorso organizzativo utilizzando AWS CloudTraile centralizzando i log all'interno dell'account Log Archive. Per il monitoraggio degli eventi di sicurezza AWS Security Hub CSPM, usa Amazon GuardDuty e Amazon Security Lake come indicato nella sezione Account Security Tooling. AWS Config 

Fase 4: applicare la sicurezza a tutti i livelli

A questo punto, dovresti avere:

In questa fase, pianifica di applicare la sicurezza ad altri livelli della tua AWS organizzazione, come descritto nella sezione Applica i servizi di sicurezza in tutta l'organizzazione. AWS Puoi creare controlli di sicurezza per il tuo livello di rete utilizzando servizi come AWS WAF,, AWS Shield, AWS Firewall ManagerAWS Network Firewall, AWS Certificate Manager (ACM), Amazon CloudFront, Amazon Route 53 e Amazon VPC, come indicato nella sezione Account di rete. Man mano che procedi verso il basso dello stack tecnologico, applica controlli di sicurezza specifici per il carico di lavoro o lo stack di applicazioni. Utilizza gli endpoint VPC, Amazon Inspector AWS Systems Manager e Gestione dei segreti AWS Amazon Cognito come indicato nella sezione Account dell'applicazione. 

Fase 5: protezione dei dati in transito e a riposo

I dati aziendali e dei clienti sono risorse preziose che devi proteggere. AWS fornisce vari servizi e funzionalità di sicurezza per proteggere i dati in movimento e a riposo. Usa Amazon CloudFront con AWS Certificate Manager, come indicato nella sezione Account di rete, per proteggere i dati in movimento raccolti su Internet. Per i dati in movimento all'interno delle reti interne, utilizzate un Application Load Balancer con AWS Autorità di certificazione privata, come spiegato nella sezione Account dell'applicazione. AWS KMS e ti AWS CloudHSM aiutano a fornire una gestione delle chiavi crittografiche per proteggere i dati inattivi. 

Fase 6: preparazione per gli eventi di sicurezza

Durante la gestione dell'ambiente IT, si verificheranno eventi di sicurezza, ossia cambiamenti nel funzionamento quotidiano dell'ambiente IT che indicano una possibile violazione delle politiche di sicurezza o un fallimento del controllo di sicurezza. Una tracciabilità adeguata è fondamentale per essere consapevoli di un evento di sicurezza il più rapidamente possibile. È altrettanto importante essere preparati a valutare e rispondere a tali eventi di sicurezza in modo da poter intraprendere le azioni appropriate prima che l'evento di sicurezza si aggravi. La preparazione consente di valutare rapidamente un evento di sicurezza per comprenderne il potenziale impatto.

L' AWS SRA, attraverso la progettazione dell'account Security Tooling e l'implementazione di servizi di sicurezza comuni a tutti Account AWS, offre la possibilità di rilevare gli eventi di sicurezza all'interno dell'organizzazione. AWS Amazon Detective all'interno dell'account Security Tooling ti aiuta a valutare un evento di sicurezza e a identificarne la causa principale. Durante un'indagine di sicurezza, devi essere in grado di esaminare i log pertinenti per registrarli e comprendere l'ambito e la tempistica completi dell'incidente. I registri sono necessari anche per la generazione di avvisi quando si verificano azioni di interesse specifiche. L' AWS SRA consiglia un account Log Archive centrale per l'archiviazione immutabile di tutti i registri operativi e di sicurezza. Puoi interrogare i log utilizzando CloudWatch Logs Insights per i dati archiviati in gruppi di CloudWatch log e Amazon Athena e Amazon Service per i dati archiviati in Amazon S3. OpenSearch Usa Amazon Security Lake per centralizzare automaticamente i dati di sicurezza provenienti dall' AWS ambiente, dai provider di software as a service (SaaS), dagli ambienti locali e da altri provider cloud. Configura gli abbonati nell'account Security Tooling o in qualsiasi account dedicato, come indicato dall' AWS SRA, per interrogare i log e analizzarli. 

AWS Security Incident Responseti aiuta ad automatizzare la risposta, l'indagine e la correzione degli incidenti di sicurezza. Fornisce playbook e flussi di lavoro predefiniti per aiutarti a rispondere agli eventi di sicurezza in modo rapido e coerente. Quando la funzionalità di risposta proattiva è abilitata, Security Incident Response si integra con Security Hub CSPM e GuardDuty attiva automaticamente i flussi di lavoro di risposta quando vengono rilevati problemi di sicurezza. Il servizio consente di standardizzare e automatizzare i processi di risposta agli incidenti in tutta l'organizzazione. AWS Se hai bisogno di ulteriore assistenza, puoi aprire una richiesta supportata dal servizio e contattare il AWS Customer Incident Response Team (CIRT).