Fondamenti di sicurezza - AWS Guida prescrittiva
Funzionalità di sicurezzaPrincipi di progettazione della sicurezzaCome utilizzare AWS SRA con AWS CAF e AWS Well-Architected Framework

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fondamenti di sicurezza

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio.

L'architettura di riferimento per la sicurezza di AWS si allinea a tre fondamenti di sicurezza di AWS: AWS Cloud Adoption Framework (AWS CAF), AWS Well-Architected Framework e AWS Shared Responsibility Model.

AWS Professional Services ha creato AWS CAF per aiutare le aziende a progettare e seguire un percorso accelerato verso un'adozione efficace del cloud. Le linee guida e le best practice fornite dal framework ti aiutano a creare un approccio completo al cloud computing in tutta l'azienda e durante tutto il ciclo di vita IT. L'AWS CAF organizza le linee guida in sei aree di interesse, chiamate prospettive. Ogni prospettiva copre responsabilità distinte possedute o gestite da parti interessate funzionalmente correlate. In generale, le prospettive aziendali, umane e di governance si concentrano sulle capacità aziendali, mentre le prospettive relative alla piattaforma, alla sicurezza e alle operazioni si concentrano sulle capacità tecniche.

  • La prospettiva di sicurezza di AWS CAF ti aiuta a strutturare la selezione e l'implementazione dei controlli in tutta l'azienda. Seguire le attuali raccomandazioni di AWS nel pilastro della sicurezza può aiutarti a soddisfare i tuoi requisiti aziendali e normativi. 

AWS Well-Architected Framework aiuta gli architetti del cloud a creare un'infrastruttura sicura, ad alte prestazioni, resiliente ed efficiente per le loro applicazioni e carichi di lavoro. Il framework si basa su sei pilastri: eccellenza operativa, sicurezza, affidabilità, efficienza delle prestazioni, ottimizzazione dei costi e sostenibilità e fornisce un approccio coerente ai clienti e ai partner AWS per valutare architetture e implementare progetti scalabili nel tempo. Riteniamo che avere carichi di lavoro ben architettati aumenti notevolmente le probabilità di successo aziendale.

  • Il pilastro di sicurezza Well-Architected Framework descrive come sfruttare le tecnologie cloud per proteggere dati, sistemi e risorse in modo da migliorare il livello di sicurezza. Questo ti aiuterà a soddisfare i requisiti aziendali e normativi seguendo le attuali raccomandazioni di AWS. Esistono aree di interesse aggiuntive del Well-Architected Framework che forniscono più contesto per domini specifici come governance, serverless, AI/ML e giochi. Questi obiettivi sono noti come obiettivi AWS Well-Architected

La sicurezza e la conformità sono una responsabilità condivisa tra AWS e il cliente. Questo modello condiviso può aiutarti ad alleggerire il carico operativo poiché AWS opera, gestisce e controlla i componenti dal sistema operativo host e dal livello di virtualizzazione fino alla sicurezza fisica delle strutture in cui opera il servizio. Ad esempio, ti assumi la responsabilità e la gestione del sistema operativo guest (inclusi aggiornamenti e patch di sicurezza), del software applicativo, della crittografia dei dati lato server, delle tabelle delle rotte del traffico di rete e della configurazione del firewall del gruppo di sicurezza fornito da AWS. Per servizi astratti come Amazon Simple Storage Service (Amazon S3) e Amazon DynamoDB, AWS gestisce il livello di infrastruttura, il sistema operativo e le piattaforme e tu accedi agli endpoint per archiviare e recuperare dati. Sei responsabile della gestione dei dati (incluse le opzioni di crittografia), della classificazione degli asset e dell'utilizzo degli strumenti AWS Identity and Access Management (IAM) per applicare le autorizzazioni appropriate. Questo modello condiviso viene spesso descritto dicendo che AWS è responsabile della sicurezza del cloud (ovvero della protezione dell'infrastruttura che gestisce tutti i servizi offerti nel cloud AWS) e che tu sei responsabile della sicurezza nel cloud (come determinato dai servizi cloud AWS selezionati). 

Nell'ambito delle linee guida fornite da questi documenti fondamentali, due serie di concetti sono particolarmente importanti per la progettazione e la comprensione dell'AWS SRA: funzionalità di sicurezza e principi di progettazione della sicurezza.

Funzionalità di sicurezza

La prospettiva di sicurezza di AWS CAF delinea nove funzionalità che aiutano a raggiungere la riservatezza, l'integrità e la disponibilità dei dati e dei carichi di lavoro nel cloud.

  • Governance della sicurezza per sviluppare e comunicare ruoli, responsabilità, politiche, processi e procedure di sicurezza nell'ambiente AWS dell'organizzazione.

  • Garanzia di sicurezza per monitorare, valutare, gestire e migliorare l'efficacia dei tuoi programmi di sicurezza e privacy.

  • Gestione delle identità e degli accessi per gestire identità e autorizzazioni su larga scala.

  • Rilevamento delle minacce per comprendere e identificare potenziali configurazioni errate di sicurezza, minacce o comportamenti imprevisti.

  • Gestione delle vulnerabilità per identificare, classificare, correggere e mitigare continuamente le vulnerabilità di sicurezza.

  • Protezione dell'infrastruttura per convalidare la protezione dei sistemi e dei servizi all'interno dei carichi di lavoro.

  • Protezione dei dati per mantenere la visibilità e il controllo sui dati e su come accedervi e utilizzarli nell'organizzazione.

  • Sicurezza delle applicazioni per aiutare a rilevare e risolvere le vulnerabilità di sicurezza durante il processo di sviluppo del software.

  • Risposta agli incidenti per ridurre i potenziali danni rispondendo efficacemente agli incidenti di sicurezza.

Principi di progettazione della sicurezza

Il pilastro della sicurezza di Well-Architected Framework racchiude una serie di sette principi di progettazione che trasformano aree di sicurezza specifiche in linee guida pratiche che possono aiutarti a rafforzare la sicurezza del carico di lavoro. Laddove le funzionalità di sicurezza fanno da cornice alla strategia di sicurezza generale, questi principi del Well-Architected Framework descrivono cosa si può iniziare a fare. Si riflettono in modo molto preciso in questo SRA AWS e sono costituiti da quanto segue:

  • Implementa una solida base di identità: implementa il principio del privilegio minimo e applica la separazione dei compiti con l'autorizzazione appropriata per ogni interazione con le tue risorse AWS. Centralizza la gestione delle identità e mira a eliminare la dipendenza da credenziali statiche a lungo termine.

  • Abilita la tracciabilità: monitora, genera avvisi e verifica le azioni e le modifiche all'ambiente in tempo reale. Integra la raccolta di log e metriche con i sistemi per indagare e agire automaticamente.

  • Applica la sicurezza a tutti i livelli: applica un defense-in-depth approccio con più controlli di sicurezza. Applica diversi tipi di controlli (ad esempio controlli preventivi e di rilevamento) a tutti i livelli, tra cui edge of network, cloud privato virtuale (VPC), bilanciamento del carico, servizi di istanza e calcolo, sistema operativo, configurazione delle applicazioni e codice.

  • Automatizza le migliori pratiche di sicurezza: i meccanismi di sicurezza automatizzati e basati su software migliorano la capacità di scalare in modo sicuro, più rapido ed economico. Crea architetture sicure e implementa controlli definiti e gestiti come codice in modelli con controllo di versione.

  • Proteggi i dati in transito e a riposo: classifica i dati in base a livelli di sensibilità e utilizza meccanismi come la crittografia, la tokenizzazione e il controllo degli accessi, ove appropriato.

  • Tieni le persone lontane dai dati: utilizza meccanismi e strumenti per ridurre o eliminare la necessità di accedere direttamente o elaborare manualmente i dati. Ciò riduce il rischio di cattiva gestione o modifica e di errori umani nella gestione di dati sensibili.

  • Preparati agli eventi di sicurezza: preparati a un incidente adottando politiche e processi di gestione degli incidenti e indagini in linea con i requisiti organizzativi. Esegui simulazioni di risposta agli incidenti e utilizza strumenti automatizzati per aumentare la velocità di rilevamento, indagine e ripristino.

Come utilizzare AWS SRA con AWS CAF e AWS Well-Architected Framework

AWS CAF, AWS Well-Architected Framework e AWS SRA sono framework complementari che collaborano per supportare le attività di migrazione e modernizzazione del cloud.

  • AWS CAF sfrutta l'esperienza e le best practice di AWS per aiutarti ad allineare i valori dell'adozione del cloud ai risultati aziendali desiderati. Usa AWS CAF per identificare e dare priorità alle opportunità di trasformazione, valutare e migliorare la predisposizione al cloud ed evolvere iterativamente la tua roadmap di trasformazione.

  • AWS Well-Architected Framework fornisce consigli AWS per creare un'infrastruttura sicura, ad alte prestazioni, resiliente ed efficiente per una varietà di applicazioni e carichi di lavoro che soddisfino i risultati di business.

  • AWS SRA ti aiuta a capire come distribuire e governare i servizi di sicurezza in linea con le raccomandazioni di AWS CAF e AWS Well-Architected Framework.

Ad esempio, la prospettiva di sicurezza di AWS CAF suggerisce di valutare come gestire centralmente le identità della forza lavoro e la loro autenticazione in AWS. Sulla base di queste informazioni, potresti decidere di utilizzare una soluzione di provider di identità aziendale (IdP) nuova o esistente come Okta, Active Directory o Ping Identity per questo scopo. Segui le indicazioni contenute in AWS Well-Architected Framework e decidi di integrare il tuo IdP con AWS IAM Identity Center per offrire ai tuoi dipendenti un'esperienza di single sign-on in grado di sincronizzare le appartenenze e le autorizzazioni dei gruppi. Leggi la raccomandazione di AWS SRA di abilitare IAM Identity Center nell'account di gestione della tua organizzazione AWS e di amministrarlo tramite un account di strumenti di sicurezza utilizzato dal tuo team delle operazioni di sicurezza. Questo esempio illustra come AWS CAF ti aiuta a prendere le decisioni iniziali sulla posizione di sicurezza desiderata, AWS Well-Architected Framework fornisce indicazioni su come valutare i servizi AWS disponibili per raggiungere tale obiettivo e AWS SRA fornisce quindi consigli su come distribuire e governare i servizi di sicurezza selezionati.