Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Applica i servizi di sicurezza in tutta l'organizzazione AWS
| Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio |
Come descritto in una sezione precedente, i clienti sono alla ricerca di un altro modo per pensare e organizzare strategicamente l'intera gamma di servizi di AWS sicurezza. L'approccio organizzativo più comune oggi consiste nel raggruppare i servizi di sicurezza per funzione principale, in base alle funzioni di ciascun servizio. La prospettiva di sicurezza del AWS CAF elenca nove funzionalità funzionali, tra cui la gestione delle identità e degli accessi, la protezione dell'infrastruttura, la protezione dei dati e il rilevamento delle minacce. L' Servizi AWS abbinamento a queste capacità funzionali è un modo pratico per prendere decisioni di implementazione in ogni area. Ad esempio, per quanto riguarda la gestione delle identità e degli accessi, IAM e IAM Identity Center sono servizi da prendere in considerazione. Quando si progetta l'approccio al rilevamento delle minacce, GuardDuty potrebbe essere la prima considerazione da prendere in considerazione.
Oltre a questa visione funzionale, puoi anche visualizzare la tua sicurezza con una visione strutturale trasversale. Cioè, oltre a chiedere: «Cosa Servizi AWS devo usare per controllare e proteggere le mie identità, l'accesso logico o i meccanismi di rilevamento delle minacce?» , puoi anche chiedere: «Cosa Servizi AWS devo applicare a tutta la mia AWS organizzazione? Quali sono i livelli di difesa che devo mettere in atto per proteggere le EC2 istanze Amazon alla base della mia applicazione?» In questa visualizzazione, mappi Servizi AWS le funzionalità ai livelli del tuo AWS ambiente. Alcuni servizi e funzionalità si adattano perfettamente all'implementazione dei controlli nell'intera AWS organizzazione. Ad esempio, il blocco dell'accesso pubblico ai bucket Amazon S3 è un controllo specifico a questo livello. Dovrebbe essere preferibilmente eseguito presso l'organizzazione principale anziché far parte della configurazione dell'account individuale. Altri servizi e funzionalità sono utilizzati al meglio per proteggere le singole risorse all'interno di un Account AWS. L'implementazione di un'autorità di certificazione (CA) subordinata all'interno di un account che richiede certificati TLS privati è un esempio di questa categoria. Un altro raggruppamento altrettanto importante è costituito dai servizi che hanno un effetto sul livello di rete virtuale dell'infrastruttura. AWS Il diagramma seguente mostra sei livelli in un AWS ambiente tipico: AWS organizzazione, unità organizzativa (OU), account, infrastruttura di rete, principali e risorse.
La comprensione dei servizi in questo contesto strutturale, compresi i controlli e le protezioni a ogni livello, aiuta a pianificare e implementare una defense-in-depth strategia in tutto l' AWS ambiente. In questa prospettiva, è possibile rispondere alle domande sia dall'alto verso il basso (ad esempio, «Quali servizi sto utilizzando per implementare i controlli di sicurezza in tutta la mia AWS organizzazione?») e dal basso verso l'alto (ad esempio, «Quali servizi gestiscono i controlli su questa EC2 istanza?»). In questa sezione, esamineremo gli elementi di un AWS ambiente e identificheremo i servizi e le funzionalità di sicurezza associati. Naturalmente, alcuni Servizi AWS dispongono di un ampio set di funzionalità e supportano diversi obiettivi di sicurezza. Questi servizi potrebbero supportare più elementi dell' AWS ambiente in uso.
Per maggiore chiarezza, forniamo brevi descrizioni di come alcuni servizi soddisfino gli obiettivi dichiarati. La sezione successiva fornisce ulteriori approfondimenti sui singoli servizi inclusi in ciascuno di essi Account AWS.
Account multipli o a livello di organizzazione
Al livello più alto, ci sono Servizi AWS funzionalità progettate per applicare funzionalità o barriere di governance e controllo su più account di un' AWS organizzazione (inclusa l'intera organizzazione o specifici). OUs Le policy di controllo dei servizi (SCPs) e le politiche di controllo delle risorse (RCPs) sono buoni esempi di funzionalità IAM che forniscono barriere preventive a livello di organizzazione. AWS AWS Organizations fornisce inoltre una politica dichiarativa che definisce e applica a livello centrale la configurazione di base su larga scala. Servizi AWS Un altro esempio è CloudTrail che fornisce il monitoraggio tramite un percorso organizzativo che registra tutti gli eventi per tutti Account AWS all'interno dell'organizzazione. AWS Questo percorso completo è distinto dai percorsi individuali che potrebbero essere creati in ciascun account. Un terzo esempio è AWS Firewall Manager che puoi utilizzare per configurare, applicare e gestire più risorse su tutti gli account della tua AWS organizzazione: AWS WAF regole, regole AWS WAF classiche, AWS Shield Advanced protezioni, gruppi di sicurezza Amazon Virtual Private Cloud (Amazon VPC) AWS Network Firewall , policy Amazon Route 53 Resolver e policy DNS Firewall.
I servizi contrassegnati da un asterisco (*) nel diagramma seguente operano con un duplice ambito: a livello di organizzazione e incentrato sull'account. Questi servizi fondamentalmente monitorano o aiutano a controllare la sicurezza all'interno di un singolo account. Tuttavia, supportano anche la possibilità di aggregare i risultati di più account in un account a livello di organizzazione per una visibilità e una gestione centralizzate. Per maggiore chiarezza, considera SCPs che si applichi a un'intera unità organizzativa o organizzazione. Account AWS AWS Al contrario, è possibile configurare e gestire GuardDuty sia a livello di account (dove vengono generati i risultati individuali) che a livello di AWS organizzazione (utilizzando la funzionalità di amministratore delegato), dove i risultati possono essere visualizzati e gestiti in forma aggregata.
AWS conti
All'interno OUs, ci sono servizi che aiutano a proteggere più tipi di elementi all'interno di un Account AWS. Ad esempio, AWS Secrets Manager è spesso gestito da un account specifico e protegge le risorse (come le credenziali del database o le informazioni di autenticazione), le applicazioni e quelle Servizi AWS presenti in tale account. IAM Access Analyzer può essere configurato per generare risultati quando risorse specifiche sono accessibili da responsabili esterni a. Account AWS Come accennato nella sezione precedente, molti di questi servizi possono essere configurati e amministrati anche all'interno AWS Organizations, in modo da poter essere gestiti su più account. Questi servizi sono contrassegnati da un asterisco (*) nel diagramma. Inoltre, semplificano l'aggregazione dei risultati di più account e la loro trasmissione a un unico account. Ciò offre ai singoli team applicativi la flessibilità e la visibilità necessarie per gestire le esigenze di sicurezza specifiche del loro carico di lavoro, garantendo al contempo governance e visibilità ai team di sicurezza centralizzati. GuardDuty è un esempio di tale servizio. GuardDuty monitora le risorse e le attività associate a un singolo account e GuardDuty i risultati di più account membri (ad esempio tutti gli account di un' AWS organizzazione) possono essere raccolti, visualizzati e gestiti da un account amministratore delegato.
Rete virtuale, elaborazione e distribuzione di contenuti
Poiché l'accesso alla rete è fondamentale per la sicurezza e l'infrastruttura di elaborazione è un componente fondamentale di molti AWS carichi di lavoro, esistono molti servizi e funzionalità di AWS sicurezza dedicati a queste risorse. Ad esempio, Amazon Inspector è un servizio di gestione delle vulnerabilità che analizza continuamente i carichi di lavoro alla ricerca AWS di eventuali vulnerabilità. Queste scansioni includono controlli di raggiungibilità della rete che indicano che esistono percorsi di rete consentiti verso EC2 le istanze Amazon nel tuo ambiente. Amazon VPC ti consente di definire una rete virtuale in cui lanciare AWS risorse. Questa rete virtuale è molto simile a una rete tradizionale e include una varietà di caratteristiche e vantaggi. Gli endpoint VPC ti consentono di connettere privatamente il tuo VPC ai servizi endpoint supportati Servizi AWS e forniti da AWS PrivateLink senza richiedere un percorso verso Internet. Il diagramma seguente illustra i servizi di sicurezza che si concentrano sull'infrastruttura di rete, di elaborazione e di distribuzione dei contenuti.
Principi e risorse
AWS i principi e AWS le risorse (insieme alle politiche IAM) sono gli elementi fondamentali nella gestione delle identità e degli accessi su. AWS Un principal autenticato AWS può eseguire azioni e accedere alle AWS risorse. Un principale può essere autenticato come utente Account AWS root e utente IAM oppure assumendo un ruolo.
Nota
Non create chiavi API persistenti associate all'account utente AWS root. L'accesso all'account utente root deve essere limitato solo alle attività che richiedono un utente root e solo attraverso un rigoroso processo di eccezione e approvazione. Per le migliori pratiche per proteggere l'utente root del tuo account, consulta la documentazione IAM.
Una AWS risorsa è un oggetto che esiste all'interno di un Servizio AWS oggetto su cui puoi lavorare. Gli esempi includono un' EC2 istanza, uno CloudFormation stack, un argomento Amazon Simple Notification Service (Amazon SNS) e un bucket S3. Le policy IAM sono oggetti che definiscono le autorizzazioni quando sono associate a un principale IAM (utente, gruppo o ruolo) o a una risorsa. AWS Le policy basate sull'identità sono documenti di policy che si allegano a un principale (ruoli, utenti e gruppi di utenti) per controllare quali azioni un responsabile può eseguire, su quali risorse e in quali condizioni. Le politiche basate sulle risorse sono documenti di policy allegati a una risorsa come un bucket S3. Queste politiche concedono l'autorizzazione principale specificata per eseguire azioni specifiche su quella risorsa e definiscono le condizioni per tale autorizzazione. Le politiche basate sulle risorse sono politiche in linea. La sezione delle risorse IAM approfondisce i tipi di policy IAM e il modo in cui vengono utilizzate.
Per semplificare le cose in questa discussione, elenchiamo i servizi e le funzionalità di AWS sicurezza per i presidi IAM che hanno lo scopo principale di operare o applicare ai principali account. Manteniamo questa semplicità pur riconoscendo la flessibilità e l'ampiezza degli effetti delle politiche di autorizzazione IAM. Una singola dichiarazione in una policy può avere effetti su più tipi di entità. AWS Ad esempio, sebbene una policy basata sull'identità IAM sia associata a un principio IAM e definisca le autorizzazioni (allow, deny) per tale principale, la policy definisce implicitamente anche le autorizzazioni per le azioni, le risorse e le condizioni specificate. In questo modo, una policy basata sull'identità può essere un elemento fondamentale nella definizione delle autorizzazioni per una risorsa.
Il diagramma seguente illustra i servizi e le funzionalità di AWS sicurezza per i responsabili. AWS Le policy basate su identità sono collegate a un utente, un gruppo o un ruolo IAM. Queste policy consentono di specificare cosa può fare quell'identità (le sue autorizzazioni). Una policy di sessione IAM è una policy di autorizzazioni in linea che gli utenti passano durante la sessione quando assumono il ruolo. Puoi passare tu stesso la policy oppure puoi configurare il tuo identity broker in modo che inserisca la policy quando le tue identità vengono federate. AWS Ciò consente agli amministratori di ridurre il numero di ruoli da creare, poiché più utenti possono assumere lo stesso ruolo ma disporre di autorizzazioni di sessione uniche. Il servizio IAM Identity Center è integrato con le operazioni AWS API AWS Organizations e ti aiuta a gestire l'accesso SSO e le autorizzazioni degli utenti in tutta l'organizzazione. Account AWS AWS Organizations
Il diagramma seguente illustra i servizi e le funzionalità delle risorse dell'account. Le policy basate su risorse sono collegate a una risorsa. Ad esempio, puoi collegare policy basate sulle risorse a bucket S3, code Amazon Simple Queue Service (Amazon SQS), endpoint VPC e chiavi di crittografia. AWS KMS Puoi utilizzare politiche basate sulle risorse per specificare chi ha accesso alla risorsa e quali azioni può eseguire su di essa. Le policy dei bucket S3, le policy AWS KMS chiave e le policy degli endpoint VPC sono tipi di policy basate sulle risorse. IAM Access Analyzer ti aiuta a identificare le risorse della tua organizzazione e degli account, come i bucket S3 o i ruoli IAM, che sono condivisi con un'entità esterna. Ciò consente di identificare l'accesso involontario alle risorse e ai dati, il che rappresenta un rischio per la sicurezza. AWS Config consente di valutare, controllare e valutare le configurazioni delle AWS risorse supportate nel vostro. Account AWS AWS Config monitora e registra continuamente le configurazioni AWS delle risorse e valuta automaticamente le configurazioni registrate rispetto alle configurazioni desiderate.
