Nozioni di base sulla sicurezza - AWS Guida prescrittiva
Funzionalità di sicurezzaPrincipi di progettazione della sicurezzaCome usare AWS SRA with AWS CAF and AWS Well-Architected Framework

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Nozioni di base sulla sicurezza

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio.

La AWS Security Reference Architecture si allinea a tre fondamenti AWS di sicurezza: AWS Cloud Adoption Framework (AWSCAF), AWS Well-Architected Framework e Shared AWS Responsibility Model.

AWSServizi professionali creati AWSCAFper aiutare le aziende a progettare e seguire un percorso accelerato verso un'adozione efficace del cloud. Le linee guida e le best practice fornite dal framework ti aiutano a creare un approccio completo al cloud computing in tutta l'azienda e durante l'intero ciclo di vita IT. AWSCAFOrganizza la guida in sei aree di interesse, chiamate prospettive. Ogni prospettiva copre responsabilità distinte possedute o gestite da parti interessate funzionalmente correlate. In generale, le prospettive aziendali, umane e di governance si concentrano sulle capacità aziendali, mentre le prospettive relative alla piattaforma, alla sicurezza e alle operazioni si concentrano sulle capacità tecniche.

AWSWell-Architected Framework aiuta gli architetti del cloud a creare un'infrastruttura sicura, ad alte prestazioni, resiliente ed efficiente per le loro applicazioni e carichi di lavoro. Il framework si basa su sei pilastri: eccellenza operativa, sicurezza, affidabilità, efficienza delle prestazioni, ottimizzazione dei costi e sostenibilità e fornisce un approccio coerente a AWS clienti e partner per valutare architetture e implementare progetti scalabili nel tempo. Disporre di carichi di lavoro ben progettati aumenta notevolmente la probabilità di successo aziendale.

  • Il pilastro di sicurezza Well-Architected Framework descrive come sfruttare le tecnologie cloud per proteggere dati, sistemi e risorse in modo da migliorare il livello di sicurezza. Questo vi aiuterà a soddisfare i requisiti aziendali e normativi seguendo le raccomandazioni attuali. AWS Esistono aree di interesse aggiuntive del Well-Architected Framework che forniscono più contesto per domini specifici come governance, serverless, AI/ML e giochi. Queste sono note come lenti AWSWell-Architected

La sicurezza e la conformità sono una responsabilità condivisa tra AWS e il cliente. Questo modello condiviso può contribuire ad alleggerire l'onere operativo in quanto AWS opera, gestisce e controlla i componenti, dal sistema operativo host e dal livello di virtualizzazione fino alla sicurezza fisica delle strutture in cui opera il servizio. Ad esempio, l'utente si assume la responsabilità e la gestione del sistema operativo guest (inclusi gli aggiornamenti e le patch di sicurezza), del software applicativo, della crittografia dei dati sul lato server, delle tabelle delle rotte del traffico di rete e della configurazione del firewall del gruppo di sicurezza AWS fornito. Per servizi astratti come Amazon Simple Storage Service (Amazon S3) e Amazon DynamoDBAWS, gestisce il livello di infrastruttura, il sistema operativo e le piattaforme e accedi agli endpoint per archiviare e recuperare dati. L'utente è responsabile della gestione dei dati (incluse le opzioni di crittografia), della classificazione delle risorse e AWS dell'utilizzo degli strumenti di Identity and Access Management (IAM) per applicare le autorizzazioni appropriate. Questo modello condiviso viene spesso descritto dicendo che AWS è responsabile della sicurezza del cloud (ovvero della protezione dell'infrastruttura che gestisce tutti i servizi offerti nel AWS cloud) e che l'utente è responsabile della sicurezza nel cloud (in base ai servizi AWS cloud selezionati). 

Nell'ambito delle indicazioni fornite da questi documenti fondamentali, due serie di concetti sono particolarmente importanti per la progettazione e la comprensione di AWSSRA: funzionalità di sicurezza e principi di progettazione della sicurezza.

Funzionalità di sicurezza

La prospettiva di sicurezza AWS CAF delinea nove funzionalità che aiutano a raggiungere la riservatezza, l'integrità e la disponibilità dei dati e dei carichi di lavoro cloud.

  • Governance della sicurezza per sviluppare e comunicare ruoli, responsabilità, politiche, processi e procedure di sicurezza nell'ambiente dell'AWSorganizzazione.

  • Garanzia di sicurezza per monitorare, valutare, gestire e migliorare l'efficacia dei programmi di sicurezza e privacy.

  • Gestione delle identità e degli accessi per gestire identità e autorizzazioni su larga scala.

  • Rilevamento delle minacce per comprendere e identificare potenziali configurazioni errate di sicurezza, minacce o comportamenti imprevisti.

  • Gestione delle vulnerabilità per identificare, classificare, correggere e mitigare continuamente le vulnerabilità di sicurezza.

  • Protezione dell'infrastruttura per convalidare la protezione dei sistemi e dei servizi all'interno dei carichi di lavoro.

  • Protezione dei dati per mantenere la visibilità e il controllo sui dati e su come accedervi e utilizzarli nell'organizzazione.

  • Sicurezza delle applicazioni per aiutare a rilevare e risolvere le vulnerabilità di sicurezza durante il processo di sviluppo del software.

  • Risposta agli incidenti per ridurre i potenziali danni rispondendo efficacemente agli incidenti di sicurezza.

Principi di progettazione della sicurezza

Il pilastro della sicurezza di Well-Architected Framework racchiude una serie di sette principi di progettazione che trasformano aree di sicurezza specifiche in linee guida pratiche che possono aiutarti a rafforzare la sicurezza del carico di lavoro. Laddove le funzionalità di sicurezza fanno da cornice alla strategia di sicurezza generale, questi principi del Well-Architected Framework descrivono cosa si può iniziare a fare. Si riflettono molto deliberatamente in questo contesto AWS SRA e consistono nei seguenti elementi:

  • Implementate una solida base di identità: implementate il principio del privilegio minimo e applicate la separazione dei compiti con l'autorizzazione appropriata per ogni interazione con le vostre risorse. AWS Centralizza la gestione delle identità e mira a eliminare la dipendenza dalle credenziali statiche a lungo termine.

  • Abilita la tracciabilità: monitora, genera avvisi e verifica le azioni e le modifiche all'ambiente in tempo reale. Integra la raccolta di log e parametri con i sistemi per analizzare e intervenire automaticamente.

  • Applica la sicurezza a tutti i livelli: applica un defense-in-depth approccio con più controlli di sicurezza. Applica diversi tipi di controlli (ad esempio controlli preventivi e di rilevamento) a tutti i livelli, tra cui l'edge of network, il cloud privato virtuale (VPC), il bilanciamento del carico, i servizi di istanza e di calcolo, il sistema operativo, la configurazione delle applicazioni e il codice.

  • Automatizza le migliori pratiche di sicurezza: i meccanismi di sicurezza automatizzati basati su software migliorano la capacità di scalare in modo sicuro, più rapido ed economico. Crea architetture sicure e implementa controlli definiti e gestiti come codice in modelli con controllo di versione.

  • Proteggi i dati in transito e a riposo: classifica i dati in base a livelli di sensibilità e utilizza meccanismi come la crittografia, la tokenizzazione e il controllo degli accessi, ove appropriato.

  • Tieni le persone lontane dai dati: utilizza meccanismi e strumenti per ridurre o eliminare la necessità di accedere direttamente o elaborare manualmente i dati. Ciò riduce il rischio di perdita, modifica e altri errori umani durante la gestione dei dati sensibili.

  • Preparati agli eventi di sicurezza: preparati a un incidente adottando politiche e processi di gestione degli incidenti e indagini in linea con i requisiti organizzativi. Esegui simulazioni di risposta agli incidenti e utilizza strumenti dotati di automazione per aumentare la velocità nel rilevamento, nell'indagine e nel ripristino.

Come usare AWS SRA with AWS CAF and AWS Well-Architected Framework

AWSCAF, AWS Well-Architected Framework AWS SRA e sono framework complementari che collaborano per supportare le attività di migrazione e modernizzazione del cloud.

  • AWSCAFsfrutta AWS l'esperienza e le best practice per aiutarti ad allineare i valori dell'adozione del cloud ai risultati aziendali desiderati. AWSCAFUtilizzatelo per identificare e dare priorità alle opportunità di trasformazione, valutare e migliorare la predisposizione al cloud e far evolvere iterativamente la vostra roadmap di trasformazione.

  • Il AWSWell-Architected Framework AWS fornisce consigli per creare un'infrastruttura sicura, ad alte prestazioni, resiliente ed efficiente per una varietà di applicazioni e carichi di lavoro in grado di soddisfare i risultati aziendali.

  • Ti AWS SRA aiuta a capire come implementare e gestire i servizi di sicurezza in un modo che sia in linea con i consigli di Well-Architected AWS CAF AWS Framework.

Ad esempio, la prospettiva della AWS CAF sicurezza suggerisce di valutare come gestire centralmente le identità della forza lavoro e la relativa autenticazione in. AWS Sulla base di queste informazioni, potresti decidere di utilizzare una soluzione di provider di identità aziendale (IdP) nuova o esistente come Okta, Active Directory o Ping Identity per questo scopo. Segui le indicazioni del AWS Well-Architected Framework e decidi di integrare il tuo IdP con AWS IAM l'Identity Center per offrire ai tuoi dipendenti un'esperienza single sign-on in grado di sincronizzare le appartenenze e le autorizzazioni ai gruppi. Leggi il AWS SRA consiglio di abilitare IAM Identity Center nell'account di gestione della tua AWS organizzazione e di amministrarlo tramite un account di strumenti di sicurezza utilizzato dal team addetto alle operazioni di sicurezza. Questo esempio illustra come vi AWS CAF aiuta a prendere le decisioni iniziali sul livello di sicurezza desiderato, il AWS Well-Architected Framework fornisce le indicazioni su come valutare i AWS servizi disponibili per raggiungere tale obiettivo e AWS SRA poi fornisce consigli su come implementare e gestire i servizi di sicurezza selezionati.