# SEC01-BP06 Automatizza l'implementazione dei controlli di sicurezza standard
<a name="sec_securely_operate_automate_security_controls"></a>

 Applica DevOps pratiche moderne mentre sviluppi e distribuisci controlli di sicurezza standard in tutti i tuoi ambienti. AWS  Definisci controlli e configurazioni di sicurezza standard utilizzando modelli Infrastructure as Code (IaC), acquisisci le modifiche in un sistema di controllo delle versioni, testa le modifiche come parte di una pipeline CI/CD e automatizza l'implementazione delle modifiche ai tuoi ambienti. AWS 

 **Risultato desiderato:** i modelli IaC acquisiscono controlli di sicurezza standardizzati, inserendoli in un sistema di controllo delle versioni.  Le pipeline CI/CD consentono di rilevare le modifiche e automatizzare i test e l'implementazione degli ambienti. AWS  Sono presenti guardrail per rilevare e fornire avvisi in caso di configurazioni errate nei modelli prima di procedere all'implementazione.  I carichi di lavoro vengono implementati in ambienti dotati di controlli standard.  I team hanno accesso all'implementazione di configurazioni di servizio approvate tramite un meccanismo self-service.  Sono disponibili strategie di backup e ripristino sicure per le configurazioni di controllo, gli script e i dati correlati. 

 **Anti-pattern comuni:** 
+  Apportare modifiche ai controlli di sicurezza standard manualmente, tramite una console Web o un'interfaccia a riga di comando. 
+  Affidarsi ai singoli team del carico di lavoro per implementare manualmente i controlli definiti da un team centrale. 
+  Affidarsi a un team di sicurezza centrale per implementare i controlli a livello di carico di lavoro su richiesta di un team del carico di lavoro. 
+  Consentire agli stessi individui o team di sviluppare, testare e implementare script di automazione per il controllo della sicurezza senza un'adeguata separazione dei compiti o dei controlli e degli equilibri.  

 **Vantaggi dell'adozione di questa best practice:** l'utilizzo di modelli per definire i controlli di sicurezza standard consente di tracciare e confrontare le modifiche nel tempo con un sistema di controllo delle versioni.  L'uso dell'automazione per testare e implementare le modifiche crea standardizzazione e prevedibilità, aumentando le possibilità di una corretta implementazione e riducendo le attività manuali ripetitive.  Fornire un meccanismo self-service per consentire ai team addetti al carico di lavoro di implementare servizi e configurazioni approvati riduce il rischio di configurazioni errate e usi impropri. Questo li aiuta anche a incorporare i controlli nelle prime fasi del processo di sviluppo. 

 **Livello di rischio associato se questa best practice non fosse adottata:** medio 

## Guida all'implementazione
<a name="implementation-guidance"></a>

 Se si seguono le pratiche descritte in [SEC01-BP01 Separazione dei carichi di lavoro utilizzando gli account](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_multi_accounts.html), si ottengono più unità per ambienti diversi da gestire. Account AWS AWS Organizations Sebbene ciascuno di questi ambienti e carichi di lavoro possa richiedere controlli di sicurezza distinti, puoi standardizzarne alcuni in tutta l'organizzazione.  Gli esempi includono l'integrazione di gestori dell'identità digitale centralizzati, la definizione di reti e firewall e la configurazione di posizioni standard per l'archiviazione e l'analisi dei log.  Allo stesso modo in cui puoi utilizzare *infrastructure as code* (IaC) per applicare lo stesso criterio dello sviluppo del codice dell'applicazione al provisioning dell'infrastruttura, puoi usare l'IaC anche per definire e implementare controlli di sicurezza standard. 

 Se possibile, definisci i controlli di sicurezza in modo dichiarativo, ad esempio in [AWS CloudFormation](https://aws.amazon.com/cloudformation/), e archiviali in un sistema di controllo del codice sorgente.  Utilizza DevOps procedure per automatizzare l'implementazione dei controlli per versioni più prevedibili, esegui test automatici utilizzando strumenti come [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html)e rilevando eventuali differenze tra i controlli implementati e la configurazione desiderata.  Puoi utilizzare servizi come [AWS CodePipeline](https://aws.amazon.com/codepipeline/), [AWS CodeBuild](https://aws.amazon.com/codebuild/) e [AWS CodeDeploy](https://aws.amazon.com/codedeploy/) per creare una pipeline CI/CD. Prendi in considerazione le indicazioni contenute nella [sezione Organizzazione AWS dell'ambiente utilizzando più account](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html) per configurare questi servizi nei rispettivi account, separati dalle altre pipeline di distribuzione. 

 È inoltre possibile definire modelli per standardizzare la definizione e la distribuzione Account AWS, i servizi e le configurazioni.  Questa tecnica consente a un team di sicurezza centrale di gestire queste definizioni e di fornirle ai team che si occupano dei carichi di lavoro attraverso un approccio self-service.  Un modo per raggiungere questo obiettivo è utilizzare [Service Catalog](https://aws.amazon.com/servicecatalog/), dove è possibile pubblicare modelli come *prodotti* che i team addetti al carico di lavoro possono integrare nelle proprie implementazioni della pipeline.  [AWS Control Tower](https://aws.amazon.com/controltower/) offre alcuni modelli e controlli come punto di partenza.  Control Tower offre anche la funzionalità [Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/af-customization-page.html), che consente ai team addetti al carico di lavoro di creare di nuovi Account AWS mediante gli standard definiti da te.  Questa funzionalità aiuta a rimuovere le dipendenze da un team centrale per l'approvazione e la creazione di nuovi account quando vengono identificati come necessari dai team del carico di lavoro.  Potresti aver bisogno di questi account per isolare i diversi componenti del carico di lavoro in base a motivi quali la funzione che svolgono, la sensibilità dei dati elaborati o il loro comportamento. 

## Passaggi dell'implementazione
<a name="implementation-steps"></a>

1.  Determina come archivierai e manterrai i tuoi modelli in un sistema di controllo delle versioni. 

1.  Crea pipeline CI/CD per testare e implementare i tuoi modelli.  Definisci i test per verificare che non ci siano configurazioni errate e che i modelli siano conformi agli standard aziendali. 

1.  Crea un catalogo di modelli standardizzati da distribuire ai team addetti ai carichi di lavoro Account AWS e di servizi in base alle tue esigenze. 

1.  Implementa strategie di backup e ripristino sicure per le configurazioni di controllo, gli script e i dati correlati. 

## Risorse
<a name="resources"></a>

 **Best practice correlate:** 
+  [OPS05-BP01 Usa il controllo della versione](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_version_control.html) 
+  [OPS05-BP04 Utilizza sistemi di gestione della compilazione e dell'implementazione](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_build_mgmt_sys.html) 
+  [REL08-BP05 Implementa le modifiche con l'automazione](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_tracking_change_management_automated_changemgmt.html) 
+  [SUS06-BP01 Adotta metodi in grado di introdurre rapidamente miglioramenti alla sostenibilità](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_dev_a2.html) 

 **Documenti correlati:** 
+  [Organizzazione dell'ambiente utilizzando più account AWS](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html) 

 **Esempi correlati:** 
+  [Automatizza la creazione di account e il provisioning delle risorse utilizzando Service Catalog e AWS OrganizationsAWS Lambda](https://aws.amazon.com/blogs/mt/automate-account-creation-and-resource-provisioning-using-aws-service-catalog-aws-organizations-and-aws-lambda/) 
+  [Rafforza la DevOps pipeline e proteggi i dati con Gestione dei segreti AWS, e AWS KMSAWS Certificate Manager](https://aws.amazon.com/blogs/security/strengthen-the-devops-pipeline-and-protect-data-with-aws-secrets-manager-aws-kms-and-aws-certificate-manager/) 

 **Strumenti correlati:** 
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [Landing Zone Accelerator attivo AWS](https://github.com/awslabs/landing-zone-accelerator-on-aws)