# Prospettiva della sicurezza: conformità e assurance La prospettiva della *sicurezza* aiuta a garantire la riservatezza, l'integrità e la disponibilità dei dati e dei carichi di lavoro in cloud. Comprende nove funzionalità mostrate nella figura seguente. Le parti interessate comuni includono CISO, CCO, responsabili dell'audit interno e architetti e tecnici della sicurezza. ![Un diagramma che illustra le funzionalità della prospettiva della sicurezza di AWS CAF.](http://docs.aws.amazon.com/it_it/whitepapers/latest/overview-aws-cloud-adoption-framework/images/cloud-adoption-9.png) *Funzionalità della prospettiva della sicurezza di AWS CAF* + **Governance della sicurezza**: sviluppa, mantieni e comunica in modo efficace ruoli, responsabilità, policy, processi e procedure di sicurezza. La garanzia di chiare linee di responsabilità è fondamentale per l'efficacia del programma di sicurezza. Comprendere le risorse, i rischi per la sicurezza e i requisiti di [conformità](https://aws.amazon.com/compliance/programs/) applicabili al proprio settore e/o organizzazione aiuta a dare priorità agli [sforzi di sicurezza](https://aws.amazon.com/security/?nc=sn&loc=0). Fornire indicazioni e consigli continui aiuta ad accelerare la trasformazione consentendo ai team di muoversi più velocemente. Comprendi la tua responsabilità in tema di [sicurezza nel cloud](https://aws.amazon.com/compliance/shared-responsibility-model/). Registra in un inventario, categorizza e assegna priorità alle parti interessate, alle risorse e agli scambi di informazioni pertinenti. Identifica leggi, norme, regolamenti e [standard/framework](https://d0.awsstatic.com/whitepapers/compliance/NIST_Cybersecurity_Framework_CSF.pdf) applicabili al tuo settore e/o organizzazione. Esegui una valutazione annuale dei rischi che interessano l'organizzazione. Le valutazioni dei rischi possono aiutare a determinare la probabilità e l'impatto dei rischi e/o delle vulnerabilità identificati che interessano l'organizzazione. Assegna risorse sufficienti a ruoli e responsabilità di sicurezza identificati. Sviluppa policy, processi, procedure e controlli di sicurezza in linea con i requisiti di conformità e la tolleranza al rischio dell'organizzazione. Aggiornali continuamente in base all'evoluzione dei rischi e dei requisiti. + **Assurance della sicurezza**: monitora, valuta, gestisci e migliora continuamente l'efficacia dei tuoi programmi di sicurezza e privacy. L'organizzazione e i clienti che servi hanno bisogno di fiducia e certezza che i controlli implementati consentano di soddisfare i requisiti normativi e di gestire in modo efficace ed efficiente i rischi per la sicurezza e la privacy in linea con gli obiettivi aziendali e la tolleranza al rischio. Documenta i controlli in un [framework di controllo](https://aws.amazon.com/audit-manager/) completo e stabilisci controlli di sicurezza e [privacy](https://aws.amazon.com/compliance/data-privacy/) dimostrabili che soddisfino tali obiettivi. Esamina i [report di audit](https://aws.amazon.com/artifact/), le [certificazioni o attestazioni di conformità](https://aws.amazon.com/compliance/programs/) che il fornitore di servizi cloud può vantare per aiutarti a comprendere i controlli che ha messo in atto, come tali controlli sono stati convalidati e quali sono i controlli nel tuo ambiente IT esteso che sono efficacemente all'opera. [Monitora e valuta](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) continuamente l'ambiente per verificare l'efficacia operativa dei controlli e dimostrare la conformità alle normative e agli standard di settore. Esamina le policy, i processi, le procedure, i controlli e i registri di sicurezza e intervista il personale chiave secondo necessità. + **Gestione di identità e autorizzazioni**: gestisci identità e autorizzazioni su vasta scala. Puoi creare identità in AWS o collegare il tuo sistema di verifica dell'identità e quindi concedere agli utenti le autorizzazioni necessarie, in modo che possano autenticarsi, accedere, effettuare il provisioning o orchestrare risorse AWS e applicazioni integrate. Una [gestione efficace delle identità e degli accessi](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-lens/identitymanagement.html) permette di verificare che le persone e le macchine corrette abbiano accesso alle risorse corrette nelle corrette condizioni. AWS [Well Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/identity-and-access-management.html) descrive concetti, principi di progettazione e best practice architetturali pertinenti per la gestione delle [identità](https://aws.amazon.com/single-sign-on/). Questi includono: affidamento a un provider di identità centralizzato, sfruttamento di gruppi di utenti e attributi per un accesso granulare su larga scala e credenziali temporanee e utilizzo di meccanismi di accesso avanzati, come l'autenticazione a più fattori (MFA). Per [controllare l'accesso](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) da parte di identità umane e macchine ad AWS e ai carichi di lavoro, imposta le autorizzazioni per operazioni di servizio specifiche su risorse specifiche in condizioni specifiche. Usa il principio del privilegio minimo, imposta i limiti delle autorizzazioni e usa le policy di controllo dei servizi in modo che le entità possono accedere alle risorse corrette man mano che l'ambiente e la base di utenti crescono. Concedi autorizzazioni basate sugli attributi (ABAC) in modo che le policy possano scalare e sia possibile verificare continuamente che le policy forniscano la protezione di cui c'è bisogno. + **Rilevamento delle minacce**: comprendi e identifica potenziali errori di configurazione della sicurezza, minacce o comportamenti imprevisti. Una migliore comprensione delle minacce alla sicurezza consente di dare priorità ai controlli protettivi. Un rilevamento efficace delle minacce consente di rispondere più velocemente alle minacce e di acquisire informazioni dagli eventi di sicurezza. Concorda obiettivi di intelligence tattica, operativa e strategica e metodologia generale. Esplora le origini dati pertinenti, elabora e analizza i dati e diffondi e rendi operative le informazioni dettagliate. Implementa il [monitoraggio](https://aws.amazon.com/security/continuous-monitoring-threat-detection/) totale all'interno dell'ambiente per raccogliere informazioni essenziali e in posizioni ad hoc per tenere traccia di tipi specifici di transazioni. Correlare i dati di monitoraggio provenienti da [più fonti di eventi](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-lens/securityoperations.html), tra cui traffico di rete, sistemi operativi, applicazioni, database e dispositivi endpoint, per fornire un robusto livello di sicurezza e migliorare la visibilità. Valuta la possibilità di sfruttare le tecnologie basate sull'inganno (ad esempio l'uso di [honeypot](https://docs.aws.amazon.com/solutions/latest/aws-waf-security-automations/architecture.html)) per comprendere i modelli di comportamento degli utenti non autorizzati. + **Gestione delle vulnerabilità**: identifica, classifica, correggi e mitiga continuamente le vulnerabilità della sicurezza. Le vulnerabilità possono essere introdotte anche con modifiche ai sistemi esistenti o con l'aggiunta di nuovi sistemi. [Scansiona](https://aws.amazon.com/inspector/) regolarmente le vulnerabilità per proteggerti dalle nuove minacce. Utilizza [scanner](https://aws.amazon.com/security-hub/?aws-security-hub-blogs.sort-by=item.additionalFields.createdDate&aws-security-hub-blogs.sort-order=desc) di vulnerabilità e agenti endpoint per associare i sistemi alle vulnerabilità note. Assegna la priorità alle azioni di remediation in base al rischio di vulnerabilità. Applica azioni correttive e riferisci i casi alle parti interessate pertinenti. Sfrutta il red teaming e i [test di penetrazione (pen-test)](https://aws.amazon.com/security/penetration-testing/) per identificare le vulnerabilità nell'architettura del sistema. Se necessario, richiedi l'autorizzazione preventiva del tuo provider di servizi cloud. + **Protezione dell'infrastruttura**: verifica che sistemi e servizi all'interno del carico di lavoro siano protetti contro gli accessi non intenzionali e non autorizzati e contro le potenziali vulnerabilità. Proteggere l'infrastruttura da accessi non intenzionali e non autorizzati e potenziali vulnerabilità permette di migliorare il livello di sicurezza nel cloud. Sfrutta le [difese in profondità](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) per stratificare una serie di meccanismi difensivi volti a proteggere i dati e i sistemi. Crea livelli di rete e posiziona carichi di lavoro senza requisiti di accesso a Internet in sottoreti private. Utilizza [gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html), [liste di controllo accessi alla rete](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) e [firewall di rete](https://aws.amazon.com/network-firewall/) per controllare il traffico. Applica l'approccio [Zero Trust](https://aws.amazon.com/security/zero-trust/) ai sistemi e ai dati in base al loro valore. Sfrutta gli [endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) del Virtual Private Cloud (VPC) per la connessione privata alle risorse in cloud. Ispeziona e filtra il traffico su ogni livello, ad esempio tramite un [ firewall per applicazioni web](https://aws.amazon.com/waf) e/o un [firewall di rete](https://aws.amazon.com/network-firewall/). Usa immagini avanzate del sistema operativo e proteggi fisicamente qualsiasi infrastruttura cloud [ibrida](https://aws.amazon.com/hybrid/) on-premise e all'[edge](https://d1.awsstatic.com/whitepapers/Security/security-at-the-edge.pdf). + **Protezione dei dati**: mantieni la visibilità e il controllo sui dati e su come accedervi e utilizzarli nell'organizzazione. La [protezione](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/data-protection.html) dei dati da accessi non intenzionali e non autorizzati e da potenziali vulnerabilità è uno degli obiettivi chiave del programma di sicurezza. Per aiutarti a determinare controlli di protezione e conservazione appropriati, [classifica](https://docs.aws.amazon.com/whitepapers/latest/data-classification/welcome.html?secd_dp2) i dati in base alla criticità e alla sensibilità (ad esempio, Informazioni personali di identificazione). Definisci i controlli di protezione dei dati e le policy di gestione del [ciclo di vita](https://docs.aws.amazon.com/dlm/latest/APIReference/Welcome.html). Crittografa tutti i dati a riposo e in transito e archivia i dati sensibili in account separati. Sfrutta il machine learning per [rilevare](https://aws.amazon.com/macie/), classificare e proteggere automaticamente i dati sensibili. + **Sicurezza delle applicazioni**: rileva e affronta le vulnerabilità della sicurezza durante il processo di sviluppo del software. Individuando le falle di sicurezza durante la fase di codifica di un'applicazione e potendo avere fiducia nel livello di sicurezza al lancio della produzione, è possibile risparmiare tempo, impegno e costi. Scansiona e correggi le vulnerabilità nel codice e nelle dipendenze per proteggerti dalle nuove minacce. Riduci al minimo la necessità di interventi umani [automatizzando](https://devops.awssecworkshops.com/) le attività relative alla sicurezza nei processi e negli strumenti di sviluppo e operativi. Utilizza [strumenti](https://aws.amazon.com/codeguru/) di analisi statica del codice per identificare i problemi di sicurezza più comuni. + **Risposta agli incidenti**: riduci i potenziali danni rispondendo in modo efficace agli incidenti di sicurezza. Risposte rapide, efficaci e coerenti agli incidenti di sicurezza permettono di ridurre i potenziali danni. [Forma](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/educate.html) il del personale che si occupa delle attività di sicurezza e della risposta agli incidenti in merito alle tecnologie cloud e al modo in cui l'organizzazione intende utilizzarle. Sviluppa [runbook](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/runbooks.html) e crea una libreria di meccanismi di risposta agli incidenti. Includi le principali parti interessate per comprendere meglio l'impatto delle tue scelte sull'organizzazione più ampia. [Simula](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/simulate.html) gli eventi di sicurezza e metti in pratica la tua risposta agli incidenti attraverso esercizi e giornate di simulazione. [Itera](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/iterate.html) sull'esito della simulazione per migliorare il livello di risposta, ridurre il time-to-value e ridurre ulteriormente il rischio. Conduci analisi post-incidente per acquisire informazioni dagli incidenti di sicurezza sfruttando un meccanismo standardizzato per identificare e risolvere le[cause principali](https://aws.amazon.com/detective/).