Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Esempio di team cloud: modifica delle configurazioni VPC Il team cloud è responsabile della valutazione e della correzione dei risultati di sicurezza che presentano tendenze comuni, come le modifiche alle impostazioni AWS predefinite che potrebbero non essere adatte al caso d'uso. Questi risultati tendono a influire su molte Account AWS risorse, come le configurazioni VPC, oppure includono una restrizione che deve essere applicata all'intero ambiente. Per la maggior parte, il team cloud apporta modifiche manuali una tantum, come l'aggiunta o l'aggiornamento di una policy. Dopo che l'organizzazione ha utilizzato un AWS ambiente per un certo periodo di tempo, è possibile che si stia sviluppando una serie di anti-pattern. Un *anti-pattern* è una soluzione utilizzata frequentemente per un problema ricorrente in cui la soluzione è controproducente, inefficace o meno efficace di un'alternativa. In alternativa a questi anti-pattern, l'organizzazione può utilizzare restrizioni a livello di ambiente più efficaci, come le policy di controllo dei AWS Organizations servizi () o i set di autorizzazioni di IAM Identity Center. SCPs SCPs e i set di autorizzazioni possono fornire restrizioni aggiuntive per i tipi di risorse, ad esempio impedire agli utenti di configurare un bucket Amazon Simple Storage Service (Amazon S3) pubblico. Sebbene si possa essere tentati di limitare ogni possibile configurazione di sicurezza, esistono limiti alle dimensioni delle policy e ai set di autorizzazioni. SCPs Consigliamo un approccio equilibrato ai controlli preventivi e investigativi. Di seguito sono riportati alcuni controlli dello standard AWS Security Hub CSPM [Foundational Security Best Practices (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) di cui il team cloud potrebbe essere responsabile: + [[EC2.2] Il gruppo di sicurezza predefinito VPC non dovrebbe consentire il traffico in entrata e in uscita](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) + [[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i casi VPCs](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-6) + [[EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-23) + [[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudtrail-controls.html#cloudtrail-1) + [[Config.1] AWS Config dovrebbe essere abilitato](https://docs.aws.amazon.com/securityhub/latest/userguide/config-controls.html#config-1) Per questo esempio, il team cloud sta esaminando una scoperta relativa al controllo FSBP EC2.2. La [documentazione relativa](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-2) a questo controllo consiglia di non utilizzare il gruppo di sicurezza predefinito perché consente un ampio accesso tramite le regole predefinite in entrata e in uscita. Poiché il gruppo di sicurezza predefinito non può essere eliminato, si consiglia di modificare le impostazioni delle regole per limitare il traffico in entrata e in uscita. Per risolvere questo problema in modo efficiente, il team cloud dovrebbe utilizzare meccanismi consolidati per modificare le regole del gruppo di sicurezza per tutti, VPCs poiché ogni VPC ha questo gruppo di sicurezza predefinito. Nella maggior parte dei casi, i team cloud gestiscono le configurazioni VPC utilizzando [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)personalizzazioni o uno strumento Infrastructure as Code (IaC), come o. [https://www.terraform.io/](https://www.terraform.io/)