Sicurezza - Cloud Migration Factory su AWS
Ruoli IAMAmazon CognitoAmazon CloudFrontAWS WAF - Firewall per applicazioni WebGateway Amazon APIAmazon CloudWatch Alarms//CanarieChiavi AWS KMS gestite dal clienteRetention dei logAmazon Bedrock

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza

Quando crei sistemi sull'infrastruttura AWS, le responsabilità di sicurezza vengono condivise tra te e AWS. Questo modello condiviso può ridurre il carico operativo in quanto AWS opera, gestisce e controlla i componenti, dal sistema operativo host e dal livello di virtualizzazione fino alla sicurezza fisica delle strutture in cui operano i servizi. Per ulteriori informazioni sulla sicurezza su AWS, visita AWS Cloud Security.

Ruoli IAM

I ruoli AWS Identity and Access Management (IAM) consentono di assegnare policy di accesso e autorizzazioni granulari a servizi e utenti nel cloud AWS. Questa soluzione crea ruoli IAM che garantiscono alla funzione AWS Lambda l'accesso agli altri servizi AWS utilizzati in questa soluzione.

Amazon Cognito

L'utente Amazon Cognito creato da questa soluzione è un utente locale con le autorizzazioni per accedere solo al resto APIs di questa soluzione. Questo utente non dispone delle autorizzazioni per accedere ad altri servizi nel tuo account AWS. Per ulteriori informazioni, consulta Amazon Cognito User Pools nella Amazon Cognito Developer Guide.

La soluzione supporta opzionalmente l'accesso SAML esterno tramite la configurazione di provider di identità federati e la funzionalità dell'interfaccia utente ospitata di Amazon Cognito.

Amazon CloudFront

Questa soluzione predefinita implementa una console Web ospitata in un bucket Amazon S3. Per contribuire a ridurre la latenza e migliorare la sicurezza, questa soluzione include una CloudFront distribuzione Amazon con un'identità di accesso all'origine, ovvero un CloudFront utente speciale che aiuta a fornire l'accesso pubblico ai contenuti del bucket del sito Web della soluzione. Per ulteriori informazioni, consulta la sezione Limitazione dell'accesso ai contenuti Amazon S3 utilizzando un'identità Origin Access nella CloudFront Amazon Developer Guide.

Se durante la distribuzione stack viene selezionato un tipo di distribuzione privata, la CloudFront distribuzione non viene distribuita e richiede l'utilizzo di un altro servizio di web hosting per ospitare la console web.

AWS WAF - Firewall per applicazioni Web

Se il tipo di distribuzione selezionato nello stack è Public with AWS WAF, distribuirà CloudFormation gli endpoint ACLs Web e Rules AWS WAF richiesti configurati per proteggere, CloudFront API Gateway e endpoint Cognito creati dalla soluzione CMF. Questi endpoint saranno limitati per consentire solo a indirizzi IP di origine specificati di accedere a questi endpoint. Durante la distribuzione dello stack, è necessario fornire due intervalli CIDR con la funzione di aggiungere regole aggiuntive dopo la distribuzione tramite la console AWS WAF.

Importante

Quando configuri le restrizioni IP WAF, assicurati che l'indirizzo IP del tuo server di automazione CMF o l'IP del gateway NAT in uscita sia incluso negli intervalli CIDR consentiti. Questo è fondamentale per il corretto funzionamento degli script di automazione CMF che devono accedere agli endpoint API della soluzione.

Gateway Amazon API

Questa soluzione implementa Amazon API Gateway REST APIs e utilizza l'endpoint API e il certificato SSL predefiniti. L'endpoint API predefinito supporta la politica di sicurezza. TLSv1 Si consiglia di utilizzare la politica di sicurezza TLS_1_2 per applicare TLSv1 .2+ con il proprio nome di dominio personalizzato e il certificato SSL personalizzato. Per ulteriori informazioni, consulta la sezione relativa alla scelta di una versione TLS minima per un dominio personalizzato in API Gateway e alla configurazione di domini personalizzati nella Amazon API Gateway Developer Guide.

Amazon CloudWatch Alarms//Canarie

Gli CloudWatch allarmi Amazon ti aiutano a monitorare il rispetto dei presupposti funzionali e di sicurezza della soluzione. La soluzione include log e metriche per le funzioni di AWS Lambda e gli endpoint API Gateway. Se è necessario un monitoraggio aggiuntivo per un caso d'uso specifico, puoi configurare CloudWatch allarmi per monitorare:

  • Monitoraggio API Gateway:

    • Imposta allarmi per errori 4XX e 5XX per rilevare tentativi di accesso non autorizzati o problemi relativi alle API

    • Monitora la latenza dell'API Gateway per garantire le prestazioni

    • Tieni traccia del numero di richieste API per identificare modelli insoliti

  • Monitoraggio delle funzioni AWS Lambda:

    • Crea allarmi per errori e timeout della funzione Lambda

    • Monitora la durata della funzione Lambda per garantire prestazioni ottimali

    • Imposta allarmi per le esecuzioni simultanee per evitare rallentamenti

Puoi creare questi allarmi utilizzando la CloudWatch console o tramite CloudFormation modelli AWS. Per istruzioni dettagliate sulla creazione di CloudWatch allarmi, consulta Creating Amazon CloudWatch Alarms nella Amazon CloudWatch User Guide.

Chiavi AWS KMS gestite dal cliente

Questa soluzione utilizza la crittografia a riposo per proteggere i dati e utilizza chiavi gestite da AWS per i dati dei clienti. Queste chiavi vengono utilizzate per crittografare automaticamente e in modo trasparente i dati prima che vengano scritti su livelli di storage. Alcuni utenti potrebbero preferire avere un maggiore controllo sui processi di crittografia dei dati. Questo approccio consente di amministrare le proprie credenziali di sicurezza, offrendo un maggiore livello di controllo e visibilità. Per ulteriori informazioni, consulta Basic Concepts e AWS KMS Keys nella AWS Key Management Service Developer Guide.

Retention dei log

Questa soluzione acquisisce i log delle applicazioni e dei servizi creando gruppi di CloudWatch log Amazon nel tuo account. Per impostazione predefinita, i log vengono conservati per 10 anni. È possibile modificare il LogRetentionPeriod parametro per ogni gruppo di log, passare alla conservazione a tempo indeterminato o scegliere un periodo di conservazione compreso tra un giorno e 10 anni in base alle proprie esigenze. Per ulteriori informazioni, consulta What is Amazon CloudWatch Logs? nella Amazon CloudWatch Logs User Guide.

Amazon Bedrock

La soluzione seleziona automaticamente il miglior modello di base disponibile per la tua regione durante l'implementazione CloudFormation dello stack. Il processo di selezione utilizza una funzione Lambda che chiama list_foundation_models() e sceglie il primo modello disponibile da questo ordine di priorità:

  1. anthropic.claude-sonnet-4-20250514-v1:0(Sonetto 4)

  2. anthropic.claude-3-7-sonnet-20250219-v1:0(Sonetto 3.7)

  3. anthropic.claude-3-5-sonnet-20241022-v2:0(Sonetto 3.5 v2)

  4. anthropic.claude-3-5-sonnet-20240620-v1:0(Sonetto 3.5)

  5. anthropic.claude-3-sonnet-20240229-v1:0(Sonetto 3)

  6. amazon.nova-pro-v1:0(Nova Pro)

È necessario abilitare il modello selezionato nel proprio account AWS tramite la console Bedrock per utilizzare le funzionalità GenAI. Le funzionalità principali della soluzione rimangono pienamente operative senza abilitare le funzionalità GenAI. I clienti possono scegliere di utilizzare lo strumento con input manuali se preferiscono non utilizzare le funzionalità assistite dall'intelligenza artificiale.

Dopo l'implementazione, è possibile trovare il modello ARN selezionato negli output dello CloudFormation stack sotto il GenAISelectedModelArn campo in. WPMStack

CloudFormation stack output che mostra l'ARN del modello GenAI selezionato
Interfaccia di abilitazione del modello Amazon Bedrock

La configurazione predefinita di questa soluzione implementerà Amazon Bedrock Guardrails per:

  • Filtrare i contenuti dannosi

  • Blocca le iniezioni tempestive che non sono pertinenti al tuo caso d'uso

Interfaccia di configurazione Amazon Bedrock Guardrails

Per ulteriori informazioni, consulta Amazon Bedrock Guardrails. Per disattivare Guardrails nella soluzione CMF, puoi selezionare false nella sezione dei parametri del modello.