# SEC08-BP03 Automatizzazione della protezione dei dati a riposo
Usa l'automazione per convalidare e applicare i controlli dei dati a riposo. Usa la scansione automatica per rilevare le configurazioni errate delle soluzioni di archiviazione di dati ed esegui le correzioni attraverso la risposta programmatica automatica, ove possibile. Incorpora l'automazione nei tuoi processi CI/CD per rilevare le configurazioni errate dell'archiviazione di dati prima che vengano implementate in produzione.
**Risultato desiderato:** scansione e monitoraggio da parte di sistemi automatizzati delle posizioni di archiviazione di dati per individuare configurazioni errate dei controlli, accessi non autorizzati e usi imprevisti. Il rilevamento delle posizioni di archiviazione non configurate avvia correzioni automatiche. I processi automatizzati creano backup dei dati e archiviano copie immutabili al di fuori dell'ambiente originale.
**Anti-pattern comuni:**
+ Mancata tenuta in considerazione delle opzioni per abilitare la crittografia dalle impostazioni predefinite, ove supportate.
+ Mancata tenuta in considerazione degli eventi di sicurezza, oltre a quelli operativi, quando si formula una strategia di backup e ripristino automatizzata.
+ Mancata applicazione delle impostazioni di accesso pubblico per i servizi di archiviazione.
+ Assenza di monitoraggio e audit dei controlli per proteggere i dati a riposo.
**Vantaggi dell'adozione di questa best practice:** prevenzione grazie all'automazione del rischio di configurazioni errate delle posizioni di archiviazione di dati e dell'ingresso di configurazioni errate negli ambienti di produzione. Questa best practice aiuta anche a rilevare e correggere eventuali configurazioni errate.
**Livello di rischio associato se questa best practice non fosse adottata:** medio
## Guida all'implementazione
L'automazione è un tema ricorrente in tutte le pratiche per la protezione dei dati a riposo. [SEC01-BP06 Implementazione automatizzata dei controlli di sicurezza standard](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) illustra come acquisire la configurazione delle risorse utilizzando modelli di *infrastructure as code (IaC)*, ad esempio con [AWS CloudFormation](https://aws.amazon.com/cloudformation/). Questi modelli sono vincolati a un sistema di controllo della versione e consentono di distribuire risorse su AWS tramite una pipeline CI/CD. Queste tecniche si applicano anche all'automazione della configurazione delle soluzioni di archiviazione di dati, come le impostazioni di crittografia sui bucket Amazon S3.
Puoi controllare le impostazioni che definisci nei tuoi modelli IaC per eventuali configurazioni errate nelle pipeline CI/CD utilizzando le regole in [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html). Puoi monitorare impostazioni non ancora disponibili in CloudFormation o in altri strumenti IaC per evitare configurazioni errate con [AWS Config](https://aws.amazon.com/config/). È possibile correggere in automatico gli avvisi generati da Config per configurazioni errate, come illustrato in [SEC04-BP04 Avvio della riparazione delle risorse non conformi](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html).
L'utilizzo dell'automazione come parte della strategia di gestione delle autorizzazioni è anche parte integrante delle protezioni automatizzate dei dati. [SEC03-BP02 Concessione dell'accesso con privilegio minimo](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) e [SEC03-BP04 Riduzione delle autorizzazioni in modo continuo](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html) illustrano la configurazione delle policy di accesso con privilegio minimo monitorate di continuo da [AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) per generare esiti quando è possibile ridurre le autorizzazioni. Oltre all'automazione per il monitoraggio delle autorizzazioni, puoi configurare [Amazon GuardDuty](https://aws.amazon.com/guardduty/) in modo da rilevare comportamenti anomali di accesso ai dati per i tuoi [volumi EBS](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html) (tramite un'istanza EC2)[, bucket S3](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) e i [database di Amazon Relational Database Service](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html).
L'automazione svolge rileva inoltre i casi di archiviazione di dati sensibili in luoghi non autorizzati. [SEC07-BP03 Automazione dell'identificazione e della classificazione](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html) illustra in che modo [Amazon Macie](https://aws.amazon.com/macie/) può monitorare i bucket S3 alla ricerca di dati sensibili imprevisti e generare avvisi in grado di avviare una risposta automatica.
Segui le pratiche di [REL09 In che modo eseguire il backup dei dati?](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/back-up-data.html) per sviluppare una strategia automatizzata di backup e ripristino dei dati. Il backup e il ripristino dei dati sono importanti tanto per il ripristino da eventi di sicurezza quanto per gli eventi operativi.
### Passaggi dell'implementazione
1. Acquisisci la configurazione dell'archiviazione di dati nei modelli IaC. Utilizza i controlli automatizzati nelle pipeline CI/CD per rilevare configurazioni errate.
1. Puoi utilizzare [CloudFormation](https://aws.amazon.com/cloudformation/) per i modelli IaC e [CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) per verificare la presenza di errori di configurazione nei modelli.
1. Utilizza [AWS Config](https://aws.amazon.com/config/) per eseguire le regole in modalità di valutazione proattiva. Utilizza questa impostazione per verificare la conformità di una risorsa come passaggio della pipeline CI/CD prima di crearla.
1. Monitora le risorse per individuare eventuali configurazioni errate dell'archiviazione di dati.
1. Imposta [AWS Config](https://aws.amazon.com/config/) in modo che monitori le risorse di archiviazione di dati al fine di rilevare eventuali modifiche nelle configurazioni di controllo e generare avvisi per richiamare correzioni in caso di rilevamento di una configurazione errata.
1. Consulta [SEC04-BP04 Avvio della riparazione delle risorse non conformi](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) per ulteriori indicazioni sulle correzioni automatiche.
1. Monitora e riduci in modo continuo le autorizzazioni di accesso ai dati tramite l'automazione.
1. È possibile eseguire [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) in modo continuo così da generare avvisi in caso di potenziale riduzione delle autorizzazioni.
1. Monitora e avvisa in caso di comportamenti anomali di accesso ai dati.
1. [GuardDuty](https://aws.amazon.com/guardduty/) analizza sia le firme note delle minacce sia le deviazioni dai comportamenti di accesso di base per le risorse di archiviazione di dati, come volumi EBS, bucket S3 e database RDS.
1. Monitora e invia avvisi sui dati sensibili archiviati in luoghi inaspettati.
1. Usa [Amazon Macie](https://aws.amazon.com/macie/) per una scansione continua dei tuoi bucket S3 alla ricerca di dati sensibili.
1. Automatizza i backup sicuri e crittografati dei tuoi dati.
1. [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) è un servizio gestito che permette di creare backup di varie origini dati su AWS. [Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) ti consente di copiare carichi di lavoro completi del server e mantenere una protezione continua dei dati con un obiettivo del punto di ripristino (RPO) misurato in secondi. È possibile configurare entrambi i servizi in modo che lavorino all'unisono per automatizzare la creazione di backup dei dati e la loro copia in posizioni di failover. Questo può aiutare a mantenere i dati disponibili in caso di eventi operativi o di sicurezza.
## Risorse
**Best practice correlate:**
+ [SEC01-BP06 Implementazione automatizzata dei controlli di sicurezza standard](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html)
+ [SEC03-BP02 Concessione dell'accesso con privilegio minimo](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html)
+ [SEC03-BP04 Riduzione delle autorizzazioni in modo continuo](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html)
+ [SEC04-BP04 Avvio della riparazione delle risorse non conformi](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html)
+ [SEC07-BP03 Automazione dell'identificazione e della classificazione](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html)
+ [REL09-BP02 Protezione e crittografia dei backup](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_secured_backups_data.html)
+ [REL09-BP03 Esecuzione del backup dei dati in automatico](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_automated_backups_data.html)
**Documenti correlati:**
+ [AWS Prescriptive Guidance: Automatically encrypt existing and new Amazon EBS volumes](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html)
+ [Ransomware Risk Management on AWS Using the NIST Cyber Security Framework (CSF)](https://docs.aws.amazon.com/whitepapers/latest/ransomware-risk-management-on-aws-using-nist-csf/ransomware-risk-management-on-aws-using-nist-csf.html)
**Esempi correlati:**
+ [How to use AWS Config proactive rules and AWS CloudFormation Hooks to prevent creation of noncompliant cloud resources](https://aws.amazon.com/blogs/mt/how-to-use-aws-config-proactive-rules-and-aws-cloudformation-hooks-to-prevent-creation-of-non-complaint-cloud-resources/)
+ [Automate and centrally manage data protection for Amazon S3 with AWS Backup](https://aws.amazon.com/blogs/storage/automate-and-centrally-manage-data-protection-for-amazon-s3-with-aws-backup/)
+ [AWS re:Invent 2023 - Implement proactive data protection using Amazon EBS snapshots](https://www.youtube.com/watch?v=d7C6XsUnmHc)
+ [AWS re:Invent 2022 - Build and automate for resilience with modern data protection](https://www.youtube.com/watch?v=OkaGvr3xYNk)
**Strumenti correlati:**
+ [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html)
+ [AWS CloudFormation Guard Rules Registry](https://github.com/aws-cloudformation/aws-guard-rules-registry)
+ [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/)
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
+ [Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/)