SEC06-BP05 Automatizzazione della protezione delle risorse di calcolo - Framework AWS Well-Architected
Guida all’implementazioneRisorse

SEC06-BP05 Automatizzazione della protezione delle risorse di calcolo

Automatizza le operazioni di protezione delle risorse di calcolo per ridurre la necessità di intervento umano. Usa la scansione automatica per rilevare potenziali problemi all’interno delle tue risorse di calcolo e rimedia con risposte programmatiche automatiche o operazioni di gestione del parco.  Incorpora l’automazione nei tuoi processi CI/CD per implementare carichi di lavoro affidabili con dipendenze aggiornate.

Risultato desiderato: tutte le scansioni e le applicazioni di patch alle risorse di calcolo avvengono per mezzo di sistemi automatizzati. Utilizzi la verifica automatica per controllare che immagini e dipendenze del software provengano da origini attendibili e non siano state manomesse. Il controllo dei carichi di lavoro avviene in automatico per verificare la presenza di dipendenze aggiornate, così come la relativa firma per stabilire l’affidabilità negli ambienti di calcolo AWS.  Le correzioni automatiche vengono avviate al rilevamento di risorse non conformi. 

Anti-pattern comuni:

  • Adozione della pratica dell’infrastruttura immutabile, senza però disporre di una soluzione di patch di emergenza o di sostituzione dei sistemi di produzione.

  • Utilizzo dell’automazione per correggere le risorse non correttamente configurate, ma senza un meccanismo di annullamento manuale.  Possono verificarsi situazioni in cui è necessario modificare i requisiti e sospendere le automazioni fino a quando non si modificano.

Vantaggi dell’adozione di questa best practice: riduzione del rischio di accessi alle risorse di calcolo e relativi utilizzi non autorizzati mediante l’automazione.  Contribuisce a evitare che le configurazioni errate si diffondano negli ambienti di produzione e a rilevare e correggere tali configurazioni nel caso in cui si verifichino.  L’automazione aiuta anche a rilevare l’accesso non autorizzato delle risorse di calcolo e il loro utilizzo, riducendo i tempi di risposta.  In questo modo è possibile ridurre la portata complessiva dell’impatto del problema.

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all’implementazione

È possibile applicare le automazioni descritte nelle pratiche del pilastro della sicurezza per proteggere le risorse di calcolo. SEC06-BP01 Gestione delle vulnerabilità illustra come utilizzare Amazon Inspector nelle pipeline CI/CD e per la scansione continua degli ambienti di runtime alla ricerca di vulnerabilità ed esposizioni comuni (CVE) note.  Puoi utilizzare AWS Systems Manager per applicare patch o eseguire nuove implementazioni da nuove immagini tramite runbook automatizzati in modo da mantenere il tuo parco di calcolo aggiornato con software e librerie più recenti.  Utilizza queste tecniche per ridurre la necessità di processi manuali e l’accesso interattivo alle tue risorse di elaborazione.  Consulta SEC06-BP03 Riduzione della gestione manuale e dell’accesso interattivo per scoprire di più.

L’automazione contribuisce anche all’implementazione di carichi di lavoro affidabili, come illustrato in SEC06-BP02 Provisioning di calcolo da immagini rafforzate e SEC06-BP04 Convalida dell’integrità del software.  Puoi utilizzare servizi come EC2 Image Builder, AWS Signer, AWS CodeArtifact e Amazon Elastic Container Registry (ECR) per scaricare, verificare, costruire e archiviare immagini e dipendenze di codice rafforzate e approvate.   Oltre a Inspector, ognuno di questi può svolgere un ruolo nel processo CI/CD, in modo che il carico di lavoro arrivi in produzione solo quando è confermato che le sue dipendenze sono aggiornate e provengono da origini affidabili.  Il carico di lavoro è inoltre firmato in modo che gli ambienti di calcolo AWS, come AWS Lambda e Amazon Elastic Kubernetes Service (EKS), possano verificare l’assenza di manomissioni prima di consentirne l’esecuzione.

Oltre a questi controlli preventivi, è possibile utilizzare l’automazione nei controlli investigativi anche per le risorse di calcolo.  Ad esempio, AWS Security Hub CSPM offre lo standard NIST 800-53 Rev. 5 che include controlli come le [EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 (IMDSv2)..  IMDSv2 utilizza le tecniche di autenticazione della sessione, il blocco delle richieste che contengono un’intestazione X-Forwarded-For HTTP e un TTL di rete pari a 1 per bloccare il traffico proveniente da origini esterne al fine di recuperare informazioni sull’istanza EC2. Questo controllo in Security Hub CSPM può rilevare quando le istanze EC2 utilizzano IMDSv1 e avviare una riparazione automatizzata. Scopri di più su rilevamento e riparazioni automatiche in SEC04-BP04 Avvio della riparazione delle risorse non conformi.

Passaggi dell’implementazione

  1. Automatizza la creazione di AMI rafforzate, conformi e consolidate con EC2 Image Builder.  È possibile produrre immagini che incorporano i controlli dei benchmark del Center for Internet Security (CIS) o gli standard della Security Technical Implementation Guide (STIG) dalle immagini di base di AWS e dei partner APN.

  2. Automatizza la gestione delle configurazioni. Applica e convalida in automatico le configurazioni sicure nelle risorse di calcolo utilizzando un servizio o uno strumento di gestione della configurazione. 

    1. Gestione automatizzata della configurazione tramite AWS Config

    2. Gestione automatizzata del livello di sicurezza e conformità tramite AWS Security Hub CSPM

  3. Automatizza applicazione delle patch o sostituzione delle istanze Amazon Elastic Compute Cloud (Amazon EC2). AWS Gestione patch di Systems Manager automatizza il processo di applicazione di patch alle istanze gestite con aggiornamenti correlati alla sicurezza e di altro tipo. Gestione patch consente di applicare patch sia per i sistemi operativi sia per le applicazioni

    1. AWS Systems Manager Patch Manager

  4. Automatizza la scansione delle risorse di calcolo alla ricerca di vulnerabilità ed esposizioni comuni (CVE) e integra le soluzioni di scansione della sicurezza nella tua pipeline di compilazione.

    1. Amazon Inspector

    2. Scansione delle immagini ECR

  5. Prendi in considerazione Amazon GuardDuty per il rilevamento automatico di malware e minacce al fine di proteggere le risorse di calcolo. GuardDuty può anche identificare potenziali problemi in caso di richiamo di una funzione AWS Lambda nel tuo ambiente AWS. 

    1. Amazon GuardDuty

  6. Prendi in considerazione le soluzioni dei partner AWS. AWS I partner offrono prodotti leader nel settore che sono equivalenti, identici o si integrano ai controlli esistenti negli ambienti on-premises. Questi prodotti integrano i servizi AWS esistenti per permettere di implementare un’architettura di sicurezza completa e un’esperienza più fluida nel cloud e negli ambienti on-premises.

    1. Sicurezza dell’infrastruttura

Risorse

Best practice correlate:

Documenti correlati:

Video correlati: