Sicurezza dell'infrastruttura in Amazon EC2 - Amazon Elastic Compute Cloud
Isolamento della reteIsolamento su host fisiciControllo del traffico di rete

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza dell'infrastruttura in Amazon EC2

In quanto servizio gestito, Amazon Elastic Compute Cloud è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security. Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Utilizzi chiamate API AWS pubblicate per accedere ad Amazon EC2 attraverso la rete. I client devono supportare quanto segue:

  • Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. O puoi utilizzare AWS Security Token Service (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.

Per ulteriori informazioni, vedere Infrastructure Protection in the Security Pillar — AWS Well-Architected Framework.

Isolamento della rete

Un cloud privato virtuale (VPC) è una rete virtuale nella propria area logicamente isolata nel cloud. AWS Utilizza VPC separati per isolare l'infrastruttura in base a carico di lavoro o entità dell'organizzazione.

Una sottorete è un intervallo di indirizzi IP in un VPC. Quando avvii un'istanza, questa operazione viene eseguita in una sottorete nel VPC. Utilizza sottoreti per isolare i livelli dell'applicazione (ad esempio, web, applicazione e database) all'interno di un singolo VPC. Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet.

Per chiamare l'API di Amazon EC2 dal tuo VPC utilizzando indirizzi IP privati, utilizza AWS PrivateLink. Per ulteriori informazioni, consulta Accesso ad Amazon EC2 utilizzando un endpoint VPC di interfaccia.

Isolamento su host fisici

Istanze EC2 differenti sullo stesso host fisico sono tra loro isolate come se si trovassero su host fisici separati. L'hypervisor isola CPU e memoria e le istanze vengono fornite su dischi virtualizzati anziché accedere a dispositivi vergini non formattati.

Quando si interrompe o termina un'istanza, la memoria ad essa allocata viene annullata (impostata su zero) dall'hypervisor prima che venga allocata a una nuova istanza e ogni blocco di archiviazione viene ripristinato. Questo garantisce che i dati non vengano involontariamente esposti a un'altra istanza.

Gli indirizzi MAC di rete vengono assegnati dinamicamente alle istanze dall'infrastruttura di rete. AWS Gli indirizzi IP vengono assegnati dinamicamente a istanze dall'infrastruttura di rete AWS o assegnati da un amministratore EC2 tramite richiese API autenticate. La AWS rete consente alle istanze di inviare traffico solo dagli indirizzi MAC e IP loro assegnati. In caso contrario, il traffico viene interrotto.

Per impostazione predefinita, un'istanza non può ricevere traffico che non è specificatamente indirizzato ad essa. Se occorre eseguire Network Address Translation (NAT), routing o servizi firewall sull'istanza, puoi disabilitare il controllo dell'origine/della destinazione per l'interfaccia di rete.

Controllo del traffico di rete

Valuta le opzioni seguenti per il controllo del traffico di rete alle istanze EC2:

  • Limita l'accesso alle istanze mediante gruppi di sicurezza. Configura regole che consentano il traffico di rete minimo richiesto. Ad esempio, è possibile consentire il traffico solo dagli intervalli di indirizzi della rete aziendale o solo per protocolli specifici, come HTTPS. Per le istanze Windows, consenti il traffico di gestione di Windows e il numero minimo di connessioni in uscita.

  • Sfrutta i gruppi di sicurezza come meccanismo principale per controllare l'accesso della rete alle istanze Amazon EC2. Se necessario, utilizza liste di controllo degli accessi di rete con parsimonia per fornire un controllo di rete stateless di tipo granulare. I gruppi di sicurezza sono più versatili delle liste di controllo degli accessi di rete grazie alla loro capacità di eseguire il filtro dei pacchetti con stato e creare regole che fanno riferimento ad altri gruppi di sicurezza. Tuttavia, le liste di controllo degli accessi di rete possono essere efficaci come controllo secondario per negare un sottoinsieme specifico di traffico o fornire alla sottorete una protezione di alto livello. Inoltre, poiché gli ACL di rete si applicano a un'intera sottorete, possono essere utilizzati defense-in-depth nel caso in cui un'istanza venga avviata involontariamente senza un gruppo di sicurezza corretto.

  • [Istanze Windows] Gestisci centralmente le impostazioni di Windows Firewall con Group Policy Objects (GPO) per migliorare ulteriormente i controlli di rete. I clienti utilizzano spesso Windows Firewall per un'ulteriore visibilità sul traffico di rete e per integrare i filtri dei gruppi di sicurezza, creando regole avanzate per impedire l'accesso alla rete ad applicazioni specifiche o per filtrare il traffico da un sottoinsieme di indirizzi IP. Ad esempio, Windows Firewall può limitare l'accesso all'indirizzo IP del servizio di metadati EC2 a specifici utenti o applicazioni. In alternativa, un servizio pubblico potrebbe utilizzare gruppi di sicurezza per limitare il traffico a porte specifiche e Windows Firewall per mantenere un elenco di indirizzi IP bloccati in modo esplicito.

  • Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet. Utilizza un host bastione o gateway NAT per l'accesso Internet da un'istanza in una sottorete privata.

  • [Istanze Windows] Utilizza protocolli di amministrazione sicuri come l'incapsulamento RDP su SSL/TLS. Il Quick Start (Avvio rapido) di Gateway Desktop remoto fornisce procedure consigliate per la distribuzione del Gateway Desktop remoto, inclusa la configurazione di RDP per l'utilizzo di SSL/TLS.

  • [Istanze Windows] Usa Active Directory o AWS Directory Service per controllare e monitorare in modo rigoroso e centralizzato l'accesso interattivo di utenti e gruppi alle istanze di Windows ed evita le autorizzazioni degli utenti locali. Evita inoltre di utilizzare gli amministratori di dominio e crea account basati sui ruoli più granulari e specifici dell'applicazione. Just Enough Administration (JEA) consente di gestire le modifiche alle istanze di Windows senza accesso interattivo o amministratore. Inoltre, JEA consente alle organizzazioni di bloccare l'accesso amministrativo al sottoinsieme di comandi Windows PowerShell necessari per l'amministrazione delle istanze. Per ulteriori informazioni, consulta la sezione su "Gestione dell'accesso a livello di sistema operativo a Amazon EC2" nel whitepaper Best practice di sicurezza AWS.

  • [Istanze Windows] Gli amministratori di sistema devono utilizzare account Windows con accesso limitato per eseguire attività quotidiane e aumentare l'accesso solo quando necessario per eseguire modifiche specifiche alla configurazione. Inoltre, accedi solo alle istanze di Windows direttamente quando è assolutamente necessario. Sfrutta invece sistemi di gestione della configurazione centralizzati come EC2 Run Command, Systems Center Configuration Manager (SCCM), Windows PowerShell DSC o Amazon EC2 Systems Manager (SSM) per inviare modifiche ai server Windows.

  • Configura le tabelle di routing della sottorete di Amazon VPC con le route di rete minime richieste. Ad esempio, posiziona solo istanze Amazon EC2 che richiedono l'accesso diretto a Internet in sottoreti con percorsi verso un gateway Internet e posiziona solo istanze Amazon EC2 che richiedono l'accesso diretto alle reti interne in sottoreti con percorsi verso un gateway privato virtuale.

  • Prendi in considerazione l'utilizzo di gruppi di sicurezza aggiuntivi per controllare e verificare il traffico di gestione delle istanze Amazon EC2 separatamente dal normale traffico delle applicazioni. Questo approccio consente ai clienti di implementare criteri IAM speciali per il controllo delle modifiche, semplificando l'audit delle modifiche apportate alle regole dei gruppi di sicurezza o agli script di verifica automatica delle regole. L'utilizzo di più interfacce di rete offre anche opzioni aggiuntive per il controllo del traffico di rete, inclusa la possibilità di creare politiche di routing basate su host o sfruttare diverse regole di routing della sottorete VPC in base alla sottorete assegnata dell'interfaccia di rete.

  • Usa AWS Virtual Private Network o AWS Direct Connect per stabilire connessioni private dalle tue reti remote ai tuoi VPC. Per ulteriori informazioni, consulta la sezione relativa alle Opzioni di connettività da rete ad Amazon VPC.

  • Utilizza Log di flusso VPC per monitorare il traffico che raggiunge le istanze.

  • Utilizza GuardDuty Malware Protection per identificare sulle tue istanze comportamenti sospetti indicativi della presenza di software dannoso che potrebbero compromettere il carico di lavoro, riutilizzare le risorse per usi dannosi e ottenere l'accesso non autorizzato ai tuoi dati.

  • Usa GuardDuty Runtime Monitoring per identificare e rispondere a potenziali minacce alle tue istanze. Per ulteriori informazioni, consulta Come funziona il monitoraggio del runtime con le istanze Amazon EC2.

  • Usa AWS Security HubReachability Analyzer o Network Access Analyzer per verificare l'accessibilità involontaria della rete dalle tue istanze.

  • Utilizza Connessione all'istanza EC2 per connetterti alle istanze utilizzando Secure Shell (SSH) senza la necessità di condividere e gestire chiavi SSH.

  • Utilizza AWS Systems Manager Session Manager per accedere alle istanze da remoto anziché aprire porte SSH o RDP in entrata e gestire coppie di chiavi.

  • Usa AWS Systems Manager Run Command per automatizzare le attività amministrative più comuni invece di connetterti alle tue istanze.

  • [Istanze Windows] Molti ruoli del sistema operativo Windows e le applicazioni aziendali Microsoft offrono anche funzionalità avanzate come le restrizioni dell'intervallo di indirizzi IP all'interno di IIS, i criteri di filtro TCP/IP in Microsoft SQL Server e i criteri di filtro delle connessioni in Microsoft Exchange. La funzionalità di restrizione di rete all'interno del livello dell'applicazione può fornire ulteriori livelli di difesa per i server applicazioni aziendali critici.

Amazon VPC supporta controlli di sicurezza di rete aggiuntivi, come gateway, server proxy e opzioni di monitoraggio della rete. Per ulteriori informazioni, consulta Controllare il traffico di rete nella Amazon VPC User Guide.