Repository di codice per esempi di AWS SRA - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Repository di codice per esempi di AWS SRA

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio.

Per aiutarti a iniziare a creare e implementare le linee guida nell'AWS SRA, questa guida è accompagnata da un repository infrastructure-as-code (IaC) all'indirizzo https://github.com/aws-samples/aws-security-reference-architecture-examples. Questo repository contiene codice per aiutare sviluppatori e ingegneri a implementare alcune delle linee guida e dei modelli di architettura presentati in questo documento. Questo codice è tratto dall'esperienza diretta dei consulenti di AWS Professional Services con i clienti. I modelli sono di natura generale: il loro obiettivo è illustrare un modello di implementazione piuttosto che fornire una soluzione completa. Le configurazioni dei servizi AWS e le distribuzioni delle risorse sono volutamente molto restrittive. Potrebbe essere necessario modificare e personalizzare queste soluzioni per adattarle al proprio ambiente e alle proprie esigenze di sicurezza.

L'archivio di codice AWS SRA fornisce esempi di codice con opzioni di distribuzione sia AWS CloudFormation che Terraform. I modelli di soluzione supportano due ambienti: uno richiede AWS Control Tower e l'altro utilizza AWS Organizations senza AWS Control Tower. Le soluzioni in questo repository che richiedono AWS Control Tower sono state distribuite e testate all'interno di un ambiente AWS Control Tower utilizzando AWS CloudFormation e Customizations for AWS Control Tower (cFCT). Le soluzioni che non richiedono AWS Control Tower sono state testate all'interno di un ambiente AWS Organizations utilizzando AWS CloudFormation. La soluzione cFct aiuta i clienti a configurare rapidamente un ambiente AWS sicuro e multi-account basato sulle best practice di AWS. Aiuta a risparmiare tempo automatizzando la configurazione di un ambiente per l'esecuzione di carichi di lavoro sicuri e scalabili, implementando al contempo una linea di base di sicurezza iniziale attraverso la creazione di account e risorse. AWS Control Tower fornisce anche un ambiente di base per iniziare con un'architettura multi-account, gestione delle identità e degli accessi, governance, sicurezza dei dati, progettazione di rete e registrazione. Le soluzioni nel repository AWS SRA forniscono configurazioni di sicurezza aggiuntive per implementare i modelli descritti in questo documento.

Ecco un riepilogo delle soluzioni nel repository AWS SRA. Ogni soluzione include un file README.md con i dettagli. 

  • La soluzione CloudTrail Organization crea un percorso organizzativo all'interno dell'account Org Management e delega l'amministrazione a un account membro come l'account Audit o Security Tooling. Questo percorso è crittografato con una chiave gestita dal cliente creata nell'account Security Tooling e invia i log a un bucket S3 nell'account Log Archive. Facoltativamente, gli eventi relativi ai dati possono essere abilitati per le funzioni di Amazon S3 e AWS Lambda. Un percorso organizzativo registra gli eventi per tutti gli account AWS dell'organizzazione AWS impedendo allo stesso tempo agli account dei membri di modificare le configurazioni.

  • La soluzione GuardDuty Organization abilita Amazon GuardDuty delegando l'amministrazione all'account Security Tooling. Si configura GuardDuty all'interno dell'account Security Tooling per tutti gli account aziendali AWS esistenti e futuri. I GuardDuty risultati vengono inoltre crittografati con una chiave KMS e inviati a un bucket S3 nell'account Log Archive.

  • La soluzione Security Hub Organization configura AWS Security Hub delegando l'amministrazione all'account Security Tooling. Configura Security Hub all'interno dell'account Security Tooling per tutti gli account aziendali AWS esistenti e futuri. La soluzione fornisce anche parametri per sincronizzare gli standard di sicurezza abilitati su tutti gli account e le regioni, nonché per configurare un aggregatore di regioni all'interno dell'account Security Tooling. La centralizzazione di Security Hub all'interno dell'account Security Tooling offre una visione trasversale della conformità agli standard di sicurezza e dei risultati dei servizi AWS e delle integrazioni di partner AWS di terze parti.

  • La soluzione Inspector configura Amazon Inspector all'interno dell'account amministratore delegato (Security Tooling) per tutti gli account e le regioni governate dell'organizzazione AWS.

  • La soluzione Firewall Manager configura le politiche di sicurezza di AWS Firewall Manager delegando l'amministrazione all'account Security Tooling e configurando Firewall Manager con una policy di gruppo di sicurezza e più policy AWS WAF. La policy del gruppo di sicurezza richiede un gruppo di sicurezza massimo consentito all'interno di un VPC (esistente o creato dalla soluzione), che viene distribuito dalla soluzione.

  • La soluzione Macie Organization abilita Amazon Macie delegando l'amministrazione all'account Security Tooling. Configura Macie all'interno dell'account Security Tooling per tutti gli account aziendali AWS esistenti e futuri. Macie è inoltre configurato per inviare i risultati della scoperta a un bucket S3 centrale crittografato con una chiave KMS.

  • AWS Config

    • La soluzione Config Aggregator configura un aggregatore AWS Config delegando l'amministrazione all'account Security Tooling. La soluzione configura quindi un aggregatore AWS Config all'interno dell'account Security Tooling per tutti gli account esistenti e futuri nell'organizzazione AWS.

    • La soluzione Conformance Pack Organization Rules implementa le regole AWS Config delegando l'amministrazione all'account Security Tooling. Quindi crea un pacchetto di conformità dell'organizzazione all'interno dell'account amministratore delegato per tutti gli account esistenti e futuri nell'organizzazione AWS. La soluzione è configurata per implementare il modello di esempio del pacchetto di conformità Operational Best Practices for Encryption and Key Management.

    • La soluzione AWS Config Control Tower Management Account abilita AWS Config nell'account di gestione AWS Control Tower e aggiorna di conseguenza l'aggregatore AWS Config all'interno dell'account Security Tooling. La soluzione utilizza il CloudFormation modello AWS Control Tower per abilitare AWS Config come riferimento per garantire la coerenza con gli altri account dell'organizzazione AWS.

  • IAM

    • La soluzione Access Analyzer abilita AWS IAM Access Analyzer delegando l'amministrazione all'account Security Tooling. Quindi configura un Access Analyzer a livello di organizzazione all'interno dell'account Security Tooling per tutti gli account esistenti e futuri nell'organizzazione AWS. La soluzione distribuisce inoltre Access Analyzer in tutti gli account membri e le regioni per supportare l'analisi delle autorizzazioni a livello di account.

    • La soluzione IAM Password Policy aggiorna la policy sulle password degli account AWS all'interno di tutti gli account di un'organizzazione AWS. La soluzione fornisce parametri per la configurazione delle impostazioni delle policy relative alle password per aiutarti ad allinearti agli standard di conformità del settore.

  • La soluzione EC2 Default EBS Encryption abilita la crittografia Amazon EBS predefinita a livello di account all'interno di ogni account AWS e regione AWS dell'organizzazione AWS. Applica la crittografia dei nuovi volumi e snapshot EBS che crei. Ad esempio, Amazon EBS crittografa i volumi EBS creati all'avvio di un'istanza e gli snapshot che copi da uno snapshot non crittografato.

  • La soluzione S3 Block Account Public Access abilita le impostazioni a livello di account Amazon S3 all'interno di ogni account AWS dell'organizzazione AWS. La caratteristica di blocco dell'accesso pubblico di Amazon S3 fornisce le impostazioni per access point, bucket e account con cui è possibile gestire l'accesso pubblico alle risorse di Amazon S3. Per impostazione predefinita, nuovi bucket, access point e oggetti non consentono l'accesso pubblico. Tuttavia, gli utenti possono modificare le policy di bucket, le policy di access point o le autorizzazioni degli oggetti per consentire l'accesso pubblico. Le impostazioni di Amazon S3 Block Public Access hanno la precedenza su queste policy e autorizzazioni in modo da poter limitare l'accesso pubblico a queste risorse.

  • La soluzione Detective Organization automatizza l'abilitazione di Amazon Detective delegando l'amministrazione a un account (come l'account Audit o Security Tooling) e configurando Detective per tutti gli account AWS Organization esistenti e futuri.

  • La soluzione Shield Advanced automatizza l'implementazione di AWS Shield Advanced per fornire una protezione DDoS avanzata per le tue applicazioni su AWS.

  • La soluzione AMI Bakery Organization aiuta ad automatizzare il processo di creazione e gestione di immagini Amazon Machine Image (AMI) standard e rinforzate. Ciò garantisce la coerenza e la sicurezza tra le istanze AWS e semplifica le attività di distribuzione e manutenzione.