Sicurezza dell'infrastruttura in Amazon EC2 - Amazon Elastic Compute Cloud
Isolamento della reteIsolamento su host fisiciControllo del traffico di rete

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza dell'infrastruttura in Amazon EC2

In quanto servizio gestito, Amazon Elastic Compute Cloud è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security. Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Utilizzi chiamate API AWS pubblicate per accedere ad Amazon EC2 tramite la rete. I client devono supportare quanto segue:

  • Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. O puoi utilizzare AWS Security Token Service (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.

Per ulteriori informazioni, vedere Infrastructure Protection in the Security Pillar — AWS Well-Architected Framework.

Isolamento della rete

Un cloud privato virtuale (VPC) è una rete virtuale nella propria area logicamente isolata nel cloud. AWS Utilizzalo separatamente VPCs per isolare l'infrastruttura in base al carico di lavoro o all'entità organizzativa.

Una sottorete è un intervallo di indirizzi IP in un VPC. Quando avvii un'istanza, questa operazione viene eseguita in una sottorete nel VPC. Utilizza sottoreti per isolare i livelli dell'applicazione (ad esempio, web, applicazione e database) all'interno di un singolo VPC. Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet.

Per chiamare l' EC2 API Amazon dal tuo VPC utilizzando indirizzi IP privati, usa. AWS PrivateLink Per ulteriori informazioni, consulta Accedi ad Amazon EC2 utilizzando un endpoint VPC di interfaccia.

Isolamento su host fisici

EC2 Istanze diverse sullo stesso host fisico sono isolate l'una dall'altra come se si trovassero su host fisici separati. L'hypervisor isola CPU e memoria e le istanze vengono fornite su dischi virtualizzati anziché accedere a dispositivi vergini non formattati.

Quando si interrompe o termina un'istanza, la memoria ad essa allocata viene annullata (impostata su zero) dall'hypervisor prima che venga allocata a una nuova istanza e ogni blocco di archiviazione viene ripristinato. Questo garantisce che i dati non vengano involontariamente esposti a un'altra istanza.

Gli indirizzi MAC di rete vengono assegnati dinamicamente alle istanze dall'infrastruttura di rete. AWS Gli indirizzi IP vengono assegnati dinamicamente alle istanze dall'infrastruttura di AWS rete o assegnati da un EC2 amministratore tramite richieste API autenticate. La AWS rete consente alle istanze di inviare traffico solo dagli indirizzi MAC e IP loro assegnati. In caso contrario, il traffico viene interrotto.

Per impostazione predefinita, un'istanza non può ricevere traffico che non è specificatamente indirizzato ad essa. Se occorre eseguire Network Address Translation (NAT), routing o servizi firewall sull'istanza, puoi disabilitare il controllo dell'origine/della destinazione per l'interfaccia di rete.

Controllo del traffico di rete

Considerate le seguenti opzioni per controllare il traffico di rete verso le vostre EC2 istanze:

  • Limita l'accesso alle istanze mediante gruppi di sicurezza. Configura regole che consentano il traffico di rete minimo richiesto. Ad esempio, è possibile consentire il traffico solo dagli intervalli di indirizzi per la rete aziendale o solo per protocolli specifici, come HTTPS. Per le istanze Windows, consenti il traffico di gestione Windows e connessioni minime in uscita.

  • Sfrutta i gruppi di sicurezza come meccanismo principale per controllare l'accesso di rete alle EC2 istanze Amazon. Se necessario, usa la rete ACLs con parsimonia per fornire un controllo di rete generico e senza stato. I gruppi di sicurezza sono più versatili ACLs della rete grazie alla loro capacità di eseguire il filtraggio dei pacchetti con informazioni sullo stato e di creare regole che fanno riferimento ad altri gruppi di sicurezza. Tuttavia, la rete ACLs può essere efficace come controllo secondario per negare uno specifico sottoinsieme di traffico o fornire protezioni di sottorete di alto livello. Inoltre, poiché la rete ACLs si applica a un'intera sottorete, può essere utilizzata defense-in-depth nel caso in cui un'istanza venga avviata involontariamente senza un gruppo di sicurezza corretto.

  • [Istanze Windows] Gestisci centralmente le impostazioni di Windows Firewall con Group Policy Objects (GPO) per migliorare ulteriormente i controlli di rete. I clienti utilizzano spesso Windows Firewall per un'ulteriore visibilità sul traffico di rete e per integrare i filtri dei gruppi di sicurezza, creando regole avanzate per impedire l'accesso alla rete ad applicazioni specifiche o per filtrare il traffico da un sottoinsieme di indirizzi IP. Ad esempio, Windows Firewall può limitare l'accesso all'indirizzo IP del servizio di EC2 metadati a utenti o applicazioni specifici. In alternativa, un servizio pubblico potrebbe utilizzare gruppi di sicurezza per limitare il traffico a porte specifiche e Windows Firewall per mantenere un elenco di indirizzi IP bloccati in modo esplicito.

  • Utilizza sottoreti private per le istanze se non devono essere accessibili direttamente da Internet. Utilizza un host bastione o gateway NAT per l'accesso Internet da un'istanza in una sottorete privata.

  • [Istanze Windows] Utilizza protocolli di amministrazione sicuri come l'incapsulamento RDP over. SSL/TLS. The Remote Desktop Gateway Quick Start provides best practices for deploying remote desktop gateway, including configuring RDP to use SSL/TLS

  • [Istanze Windows] Usa Active Directory o AWS Directory Service per controllare e monitorare in modo rigoroso e centralizzato l'accesso interattivo di utenti e gruppi alle istanze di Windows ed evita le autorizzazioni degli utenti locali. Evita inoltre di utilizzare gli amministratori di dominio e crea account basati sui ruoli più granulari e specifici dell'applicazione. Just Enough Administration (JEA) consente di gestire le modifiche alle istanze di Windows senza accesso interattivo o amministratore. Inoltre, JEA consente alle organizzazioni di bloccare l'accesso amministrativo al sottoinsieme di comandi Windows PowerShell necessari per l'amministrazione delle istanze. Per ulteriori informazioni, consulta la sezione «Gestione dell'accesso a livello di sistema operativo ad Amazon EC2» nel white paper sulle best practice AWS di sicurezza.

  • [Istanze Windows] Gli amministratori di sistema devono utilizzare account Windows con accesso limitato per eseguire attività quotidiane e aumentare i diritti di accesso solo quando necessario per eseguire specifiche modifiche alla configurazione. Inoltre, accedi solo alle istanze di Windows direttamente quando è assolutamente necessario. Sfrutta invece sistemi centrali di gestione della configurazione come EC2 Run Command, Systems Center Configuration Manager (SCCM), Windows PowerShell DSC o Amazon EC2 Systems Manager (SSM) per inviare modifiche ai server Windows.

  • Configura le tabelle di routing della sottorete di Amazon VPC con le route di rete minime richieste. Ad esempio, posiziona solo EC2 le istanze Amazon che richiedono l'accesso diretto a Internet in sottoreti con percorsi verso un gateway Internet e posiziona solo EC2 le istanze Amazon che richiedono l'accesso diretto alle reti interne in sottoreti con percorsi verso un gateway privato virtuale.

  • Prendi in considerazione l'utilizzo di gruppi di sicurezza o interfacce di rete aggiuntivi per controllare e verificare il traffico di gestione delle EC2 istanze Amazon separatamente dal normale traffico delle applicazioni. Questo approccio consente ai clienti di implementare policy IAM speciali per il controllo delle modifiche, semplificando l'audit delle modifiche apportate alle regole dei gruppi di sicurezza o agli script di verifica automatica delle regole. L'utilizzo di più interfacce di rete fornisce inoltre opzioni aggiuntive per il controllo del traffico di rete, inclusa la possibilità di creare policy di instradamento basate su host o sfruttare diverse regole di instradamento delle sottoreti VPC basate sulla sottorete assegnata dell'interfaccia di rete.

  • Utilizza AWS Virtual Private Network o AWS Direct Connect per stabilire connessioni private dalle tue reti remote alle tue VPCs. Per ulteriori informazioni, consulta Opzioni di connettività Network-to-Amazon VPC.

  • Utilizza Log di flusso VPC per monitorare il traffico che raggiunge le istanze.

  • Utilizzate GuardDuty Malware Protection per identificare sulle vostre istanze comportamenti sospetti indicativi della presenza di software dannoso che potrebbero compromettere il carico di lavoro, riutilizzare le risorse per usi illeciti e ottenere l'accesso non autorizzato ai dati.

  • Usa GuardDuty Runtime Monitoring per identificare e rispondere a potenziali minacce alle tue istanze. Per ulteriori informazioni, consulta Come funziona il monitoraggio del runtime con EC2 le istanze Amazon.

  • Utilizza AWS Security Hub, Reachability Analyzer o Strumento di analisi degli accessi alla rete per verificare l'accessibilità indesiderata alla rete dalle istanze.

  • Usa EC2 Instance Connect per connetterti alle tue istanze tramite Secure Shell (SSH) senza la necessità di condividere e gestire le chiavi SSH.

  • Utilizza AWS Systems Manager Session Manager per accedere alle istanze in remoto anziché aprire porte SSH o RDP in entrata e gestire coppie di chiavi.

  • Utilizza AWS Systems Manager Run Command per automatizzare attività amministrative comuni che non dovranno così connettersi alle istanze.

  • [Istanze Windows] Molti dei ruoli del sistema operativo Windows e delle applicazioni aziendali Microsoft forniscono inoltre funzionalità avanzate, quali restrizioni dell'intervallo di indirizzi IP all'interno di IIS, criteri di filtro TCP/IP in Microsoft SQL Server e policy di filtro delle connessioni in Microsoft Exchange. La funzionalità di restrizione di rete all'interno del livello dell'applicazione può fornire ulteriori livelli di difesa per i server applicazioni aziendali critici.

Amazon VPC supporta controlli di sicurezza di rete aggiuntivi, come gateway, server proxy e opzioni di monitoraggio della rete. Per ulteriori informazioni, consulta Controllo del traffico di rete nella Guida per l'utente di Amazon VPC.