La sicurezza perimetrale - AWS Guida prescrittiva
Implementazione di servizi perimetrali in un unico account di reteImplementazione dei servizi perimetrali nei singoli account dell'applicazioneServizi AWS aggiuntivi per configurazioni di sicurezza perimetrale

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

La sicurezza perimetrale

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio.

Questa sezione amplia le indicazioni fornite dall'AWS SRA offrendo consigli per la creazione di un perimetro sicuro su AWS. Approfondisce i servizi perimetrali AWS e il modo in cui si inseriscono in OUs ciò che è definito dall'AWS SRA.

Nel contesto di questa guida, un perimetro è definito come il confine in cui le applicazioni si connettono a Internet. La sicurezza del perimetro include la distribuzione sicura dei contenuti, la protezione a livello di applicazione e la mitigazione della denial of service (S) distribuita. DDo I servizi perimetrali AWS includono Amazon CloudFront, AWS WAF, AWS Shield, Amazon Route 53 e AWS Global Accelerator. Questi servizi sono progettati per fornire un accesso sicuro, a bassa latenza e ad alte prestazioni alle risorse AWS e alla distribuzione di contenuti. Puoi utilizzare questi servizi perimetrali con altri servizi di sicurezza come Amazon GuardDuty e AWS Firewall Manager per creare un perimetro sicuro per le tue applicazioni.

Per quanto concerne la sicurezza perimetrale, esistono vari modelli architetturali che possono essere adottati per soddisfare le diverse esigenze organizzative. Questa sezione si concentra su due modelli comuni: l'implementazione di servizi perimetrali in un account centrale (rete) e l'implementazione di alcuni servizi perimetrali in singoli account dedicati al carico di lavoro (applicazione). Inoltre, descrive i vantaggi di entrambe le architetture e le relative considerazioni principali.

Implementazione di servizi perimetrali in un unico account di rete

Il diagramma seguente si basa sulla baseline di AWS SRA per illustrare l'architettura in cui i servizi perimetrali vengono implementati nell'account di rete.

Implementazione di servizi perimetrali in un account di rete

L'implementazione di servizi perimetrali in un unico account di rete offre diversi vantaggi:

  • Questo modello supporta casi d'uso come quelli presenti in settori altamente regolamentati, in cui si desidera limitare l'amministrazione dei servizi perimetrali in tutta l'organizzazione a un unico team specializzato.

  • Semplifica la configurazione richiesta per limitare la creazione, la modifica e l'eliminazione dei componenti di rete.

  • Riduce la complessità del rilevamento in quanto l'ispezione avviene in un'unica posizione, comportando quindi un minor numero di punti di aggregazione dei log.

  • Puoi creare risorse di best practice personalizzate come CloudFront policy e funzioni edge e condividerle tra le distribuzioni dello stesso account.

  • Semplifica la gestione delle risorse aziendali critiche sensibili agli errori di configurazione, come le impostazioni della cache della rete di distribuzione di contenuti (CDN) o i record DNS, riducendo le posizioni in cui viene implementata tale modifica.

Le sezioni seguenti approfondiscono ciascun servizio e illustrano le considerazioni relative all'architettura.

Amazon CloudFront

Amazon CloudFront è un servizio di rete per la distribuzione di contenuti (CDN) progettato per prestazioni elevate, sicurezza e praticità per gli sviluppatori. Per gli endpoint HTTP pubblici con accesso a Internet, ti consigliamo di utilizzarli CloudFront per distribuire i contenuti rivolti a Internet. CloudFront è un reverse proxy che funge da punto di ingresso unico per l'applicazione a livello globale. Può anche essere combinato con AWS WAF e funzioni edge come Lambda @Edge e CloudFront funzioni per aiutare a creare soluzioni sicure e personalizzabili per la distribuzione di contenuti.

In questa architettura di distribuzione, tutte le CloudFront configurazioni, incluse le funzioni edge, vengono distribuite nell'account di rete e gestite da un team di rete centralizzato. Solo i dipendenti autorizzati del team di rete devono avere accesso a questo account. I team applicativi che desiderano apportare modifiche alla propria CloudFront configurazione o alla lista di controllo degli accessi Web (Web ACL) per AWS WAF devono richiedere tali modifiche al team di rete. È consigliabile implementare un flusso di lavoro, come ad esempio un sistema di gestione di ticket, per consentire ai team applicativi di richiedere modifiche alla configurazione.

In questo modello, sia le origini dinamiche che quelle statiche sono posizionate all'interno dei singoli account dell'applicazione, pertanto l'accesso a tali origini richiede autorizzazioni e ruoli tra account diversi. I log CloudFront delle distribuzioni sono configurati per essere inviati all'account Log Archive.

AWS WAF

AWS WAF è un firewall per applicazioni web che consente di monitorare le richieste HTTP e HTTPS inoltrate alle risorse delle applicazioni web protette. Questo servizio può aiutare a proteggere le risorse da exploit web comuni e minacce volumetriche, nonché da minacce più sofisticate come frodi nella creazione di account, accessi non autorizzati agli account utente e bot che tentano di eludere il rilevamento. AWS WAF può aiutare a proteggere i seguenti tipi di risorse: CloudFront distribuzioni, Amazon API Gateway REST, Application Load APIs Balancers, AWS AppSync GraphQL, pool di utenti Amazon Cognito APIs, servizi AWS App Runner e istanze AWS Verified Access.

In questa architettura di distribuzione, AWS WAF è collegato alle CloudFront distribuzioni configurate nell'account di rete. Quando configuri AWS WAF con CloudFront, l'impronta perimetrale viene estesa alle CloudFront edge location anziché al VPC dell'applicazione. In questo modo, il filtraggio del traffico dannoso viene spostato più vicino all'origine di tale traffico, contribuendo così a limitarne l'ingresso nella rete principale.

Sebbene il Web ACLs sia distribuito nell'account di rete, consigliamo di utilizzare AWS Firewall Manager per gestire centralmente il Web ACLs e assicurarsi che tutte le risorse siano conformi. Imposta l'account strumenti di sicurezza come account amministratore per Gestione dei firewall. Implementa le policy di Firewall Manager con riparazione automatica per far sì che tutte (o alcune) CloudFront distribuzioni del tuo account abbiano un ACL web collegato.

Puoi inviare log AWS WAF completi a un bucket S3 nell'account archivio di log configurando l'accesso multi-account al bucket S3. Per ulteriori informazioni, consulta l'articolo di AWS re:Post su questo argomento.

Controllo dell'integrità di AWS Shield e AWS Route 53

AWS Shield Standard e AWS Shield Advanced forniscono protezioni contro gli attacchi Distributed Denial of Service (DDoS) per le risorse AWS a livello di rete e trasporto (livelli 3 e 4) e a livello di applicazione (livello 7). Shield Standard è incluso automaticamente senza costi aggiuntivi oltre a quelli corrisposti per AWS WAF e altri servizi AWS. Shield Advanced offre una protezione estesa dagli eventi DDo S per le EC2 istanze Amazon, i sistemi di bilanciamento del carico Elastic Load Balancing CloudFront , le distribuzioni e le zone ospitate Route 53. Se possiedi siti Web ad alta visibilità o le tue applicazioni sono soggette a frequenti eventi DDo S, prendi in considerazione le funzionalità aggiuntive fornite da Shield Advanced.

Questa sezione si concentra sulle configurazioni Shield Avanzato, poiché Shield Standard non è configurabile dall'utente.

Per configurare Shield Advanced per proteggere le tue CloudFront distribuzioni, sottoscrivi l'account di rete a Shield Advanced. Nell'account, aggiungi il supporto Shield Response Team (SRT) e fornisci le autorizzazioni necessarie affinché il team SRT possa accedere al tuo Web ACLs durante un evento S. DDo Puoi contattare l'SRT in qualsiasi momento per creare e gestire mitigazioni personalizzate per la tua applicazione durante un evento S attivo. DDo La configurazione anticipata dell'accesso offre all'SRT la flessibilità necessaria per eseguire il debug e rivedere il Web ACLs senza dover gestire le autorizzazioni durante un evento.

Usa Firewall Manager con riparazione automatica per aggiungere le tue CloudFront distribuzioni come risorse protette. Se disponi di altre risorse con connessione a Internet come Application Load Balancer, potresti prendere in considerazione l'idea di aggiungerle come risorse protette da Shield Avanzato. Tuttavia, se nel flusso di dati sono presenti più risorse protette Shield Advanced (ad esempio, l'Application Load Balancer è l'origine di CloudFront), ti consigliamo di utilizzare solo il punto di ingresso come risorsa protetta per ridurre le tariffe DTO (Duplicate Data Transfer Out) per Shield Advanced.

Abilita la funzionalità di coinvolgimento proattivo per consentire a SRT di monitorare in modo proattivo le risorse protette e contattarti se necessario. Per configurare efficacemente la funzionalità di coinvolgimento proattivo, crea controlli di integrità Route 53 per la tua applicazione e associali alle CloudFront distribuzioni. Shield Avanzato utilizza i controlli dell'integrità come punto dati aggiuntivo quando valuta un evento. I controlli dell'integrità devono essere definiti correttamente per ridurre i falsi positivi con il sistema di rilevamento. Per ulteriori informazioni sull'identificazione di parametri corretti per i controlli dell'integrità, consulta le best practice per l'utilizzo dei controlli dell'integrità con Shield Avanzato nella documentazione AWS. Se rilevi un tentativo DDo S, puoi contattare l'SRT e scegliere la massima severità disponibile per il tuo piano di supporto.

Gestione certificati AWS e AWS Route 53

Gestione certificati AWS (ACM) ti aiuta a fornire, gestire e rinnovare i certificati SSL/TLS X.509 pubblici e privati. Quando utilizzi ACM per gestire i certificati, le chiavi private dei certificati vengono protette e archiviate in modo sicuro utilizzando una crittografia avanzata e le best practice di gestione delle chiavi.

ACM viene distribuito nell'account di rete per generare un certificato TLS pubblico per le distribuzioni. CloudFront I certificati TLS sono necessari per stabilire una connessione HTTPS tra i visualizzatori e. CloudFront Per ulteriori informazioni, consulta la documentazione relativa ad CloudFront . ACM fornisce la convalida DNS o e-mail per convalidare la proprietà del dominio. Ti consigliamo di utilizzare la convalida DNS invece della convalida tramite e-mail poiché, utilizzando Route 53 per gestire i tuoi record DNS pubblici, puoi aggiornare direttamente i tuoi record attraverso ACM. ACM rinnova automaticamente i certificati convalidati da DNS finché un certificato è in uso e il tuo registro CNAME rimane invariato.

CloudFront log di accesso e log AWS WAF

Per impostazione predefinita, i log di CloudFront accesso sono archiviati nell'account di rete e i log di AWS WAF sono aggregati nell'account Security Tooling utilizzando l'opzione di registrazione Firewall Manager. Ti consigliamo di replicare questi log nell'account archivio di log in modo che i team di sicurezza centralizzati possano accedervi per finalità di monitoraggio.

Considerazioni di natura progettuale

  • In questa architettura, il gran numero di dipendenze da un singolo team di rete può influire sulla capacità di apportare modifiche rapidamente.

  • Monitora le quote di servizio per ogni account. Le quote di servizio, anche denominate limiti, rappresentano il numero massimo di risorse di servizio o operazioni per l'account AWS. Per ulteriori informazioni, consulta la sezione quote di servizio AWS nella documentazione di AWS.

  • La fornitura di parametri specifici ai team addetti ai carichi di lavoro potrebbe introdurre delle complessità.

  • I team applicativi hanno un accesso limitato alle configurazioni; ciò potrebbe causare un ritardo dovuto alla necessità di attendere che i team di rete implementino le modifiche per loro conto.

  • I team che condividono le risorse in un unico account potrebbero trovarsi in competizione per i budget e le risorse comuni, causando possibili difficoltà nell'allocazione delle risorse. Consigliamo di implementare meccanismi per addebitare ai team applicativi l'utilizzo dei servizi perimetrali implementati nell'account di rete.

Implementazione dei servizi perimetrali nei singoli account dell'applicazione

Il diagramma seguente illustra il modello di architettura in cui i servizi perimetrali vengono implementati e gestiti indipendentemente nei singoli account dell'applicazione.

Implementazione dei servizi perimetrali nei singoli account dell'applicazione

L'implementazione dei servizi perimetrali negli account dell'applicazione offre diversi vantaggi:

  • Questo design offre ai singoli account di carico di lavoro l'autonomia necessaria per personalizzare le configurazioni dei servizi in base alle loro esigenze. Questo approccio elimina la dipendenza da un team specializzato per l'implementazione delle modifiche alle risorse in un account condiviso e consente agli sviluppatori di ciascun team di gestire le configurazioni in modo indipendente.

  • Ogni account dispone delle proprie quote di servizio, quindi i proprietari delle applicazioni non sono limitati a lavorare all'interno delle quote di un account condiviso.

  • Questo design contribuisce a contenere l'impatto di attività dannose limitandolo a un determinato account e impedendo che l'attacco si diffonda ad altri carichi di lavoro.

  • Elimina i rischi derivanti dai cambiamenti, poiché l'ambito dell'impatto è limitato al solo carico di lavoro in questione. Consente anche di utilizzare IAM per limitare i team che possono implementare le modifiche, in modo da garantire una separazione logica tra i team addetti ai carichi di lavoro e il team di rete centrale.

  • Decentralizzando l'implementazione dell'ingresso e dell'uscita della rete, ma disponendo di controlli logici comuni (utilizzando servizi come Gestione dei firewall AWS), è possibile adattare i controlli di rete a carichi di lavoro specifici continuando a soddisfare uno standard minimo di obiettivi di controllo.

Le sezioni seguenti approfondiscono ciascun servizio e illustrano le considerazioni relative all'architettura.

Amazon CloudFront

In questa architettura di distribuzione, CloudFront le configurazioni Amazon, incluse le funzioni edge, vengono gestite e distribuite nei singoli account delle applicazioni. Questo assicura che ogni proprietario di applicazioni e account del carico di lavoro abbia l'autonomia necessaria per configurare i servizi perimetrali secondo le esigenze specifiche dell'applicazione.

Le origini dinamiche e statiche si trovano nello stesso account dell'applicazione e le CloudFront distribuzioni hanno accesso a livello di account a tali origini. I log delle CloudFront distribuzioni vengono archiviati localmente in ogni account dell'applicazione. I log possono essere replicati sull'account archivio di log per supportare le esigenze normative e di conformità.

AWS WAF

In questa architettura di distribuzione, AWS WAF è collegato alle CloudFront distribuzioni configurate nell'account dell'applicazione. Come nel modello precedente, ti consigliamo di utilizzare AWS Firewall Manager per gestire centralmente il web ACLs e assicurarti che tutte le risorse siano conformi. Le regole comuni di AWS WAF, come il set di regole principali gestite da AWS e l'elenco di reputazione IP di Amazon, devono essere incluse come impostazione predefinita. Queste regole vengono applicate automaticamente a qualsiasi risorsa idonea nell'account dell'applicazione.

Oltre alle regole applicate da Gestione dei firewall, ogni proprietario di un'applicazione può aggiungere all'ACL Web regole AWS WAF rilevanti per la sicurezza della propria applicazione. Questo assicura una certa flessibilità in ciascun account dell'applicazione, mantenendo al contempo un controllo generale nell'account strumenti di sicurezza.

Utilizza l'opzione registrazione di log in Gestione dei firewall per centralizzare i log e inviarli a un bucket S3 nell'account strumenti di sicurezza. A ogni team applicativo viene fornito l'accesso per esaminare i pannelli di controllo di AWS WAF per la propria applicazione. Puoi configurare la dashboard utilizzando un servizio come Amazon QuickSight. Se vengono identificati falsi positivi o sono necessari altri aggiornamenti alle regole AWS WAF, puoi aggiungere regole AWS WAF a livello di applicazione all'ACL Web implementato da Gestione dei firewall. I log vengono replicati sull'account archivio di log e archiviati per le indagini sulla sicurezza.

AWS Global Accelerator

AWS Global Accelerator ti consente di creare acceleratori per migliorare le prestazioni delle tue applicazioni per utenti locali e globali. Global Accelerator fornisce indirizzi IP statici che fungono da punti di ingresso fissi per le applicazioni ospitate in una o più Regioni AWS. Puoi associare questi indirizzi a risorse o endpoint AWS regionali, come Application Load Balancer, Network Load Balancer, EC2 istanze e indirizzi IP elastici. Ciò consente al traffico di entrare nella rete globale AWS il più vicino possibile agli utenti.

Global Accelerator attualmente non supporta origini tra account diversi. Pertanto, viene implementato nello stesso account dell'endpoint di origine. Implementa gli acceleratori in ogni account dell'applicazione e aggiungili come risorse protette per AWS Shield Avanzato nello stesso account. Le mitigazioni offerte da Shield Avanzato consentiranno solo al traffico valido di raggiungere gli endpoint dell'ascoltatore di Global Accelerator.

Controlli dell'integrità di AWS Shield Avanzato e AWS Route 53

Per configurare AWS Shield Advanced per proteggere le tue CloudFront distribuzioni, devi sottoscrivere ogni account Application a Shield Advanced. Inoltre, è necessario configurare funzionalità come l'accesso allo Shield Response Team (SRT) e il coinvolgimento proattivo a livello di account, poiché devono essere configurate nello stesso account della risorsa. Usa Firewall Manager con riparazione automatica per aggiungere le tue CloudFront distribuzioni come risorse protette e applicare la policy a ciascun account. I controlli di integrità della Route 53 per ogni CloudFront distribuzione devono essere implementati nello stesso account e associati alla risorsa.

ACM e zone Amazon Route 53

Quando utilizzi servizi come Amazon CloudFront, gli account dell'Applicazione richiedono l'accesso all'account che ospita il dominio principale per creare sottodomini personalizzati e applicare certificati emessi da Amazon Certificate Manager (ACM) o un certificato di terze parti. Puoi delegare un dominio pubblico dall'account centrale di servizi condivisi a singoli account dell'applicazione utilizzando la delega di zona Amazon Route 53. La delega di zona offre a ciascun account la possibilità di creare e gestire sottodomini specifici dell'applicazione, come API o sottodomini statici. L'ACM presente in ogni account consente a ciascun account dell'applicazione di gestire i processi di verifica e approvazione dei certificati (convalida dell'organizzazione, convalida estesa o convalida del dominio) in base alle esigenze specifiche.

CloudFront log di accesso, log di flusso di Global Accelerator e log AWS WAF

In questo modello, configuriamo i log di CloudFront accesso e i log di flusso di Global Accelerator nei bucket S3 nei singoli account delle applicazioni. Gli sviluppatori che desiderano analizzare i log per ottimizzare le prestazioni o ridurre i falsi positivi avranno accesso diretto a questi log senza dover richiedere l'accesso a un archivio di log centrale. Inoltre, i log archiviati localmente possono supportare requisiti di conformità regionali come la residenza dei dati o l'oscuramento dei dati PII (informazioni di identificazione personale).

I log completi di AWS WAF vengono archiviati nei bucket S3 dell'account archivio di log utilizzando la registrazione di log in Gestione dei firewall. I team applicativi possono visualizzare i log utilizzando dashboard configurati utilizzando un servizio come Amazon. QuickSight Inoltre, ogni team applicativo ha accesso ai log AWS WAF campionati dal proprio account per un debugging rapido.

Ti consigliamo di replicare i log su un data lake centralizzato che si trova nell'account archivio di log. L'aggregazione dei log in un data lake centralizzato offre una visione completa di tutto il traffico verso le risorse e le distribuzioni AWS WAF. Questo aiuta i team di sicurezza ad analizzare e rispondere centralmente ai modelli delle minacce alla sicurezza globali.

Considerazioni di natura progettuale

  • Questo modello trasferisce la responsabilità dell'amministrazione della rete e della sicurezza agli sviluppatori e ai proprietari degli account, il che potrebbe comportare costi supplementari nel processo di sviluppo.

  • Possono anche verificarsi delle incongruenze nel processo decisionale. È necessario stabilire comunicazioni, modelli e corsi di formazione efficaci per assicurarsi che i servizi siano configurati correttamente e seguano le raccomandazioni di sicurezza.

  • Vi è una dipendenza dall'automazione e aspettative chiare sui controlli di sicurezza di base combinati con i controlli specifici dell'applicazione.

  • Utilizza servizi come Gestione dei firewall e AWS Config per assicurarti che l'architettura implementata sia conforme alle best practice di sicurezza. Inoltre, configura il CloudTrail monitoraggio di AWS per rilevare eventuali errori di configurazione.

  • L'aggregazione di log e parametri in una posizione centrale per l'analisi potrebbe introdurre complessità.

Servizi AWS aggiuntivi per configurazioni di sicurezza perimetrale

Origini dinamiche: sistemi Application Load Balancer

Puoi configurare Amazon CloudFront per utilizzare le origini di Application Load Balancer per la distribuzione dinamica dei contenuti. Questa configurazione consente di indirizzare le richieste a varie origini di Application Load Balancer in base a diversi fattori come il percorso della richiesta, l'hostname o i parametri della stringa di query.

Le origini di Application Load Balancer vengono implementate nell'account dell'applicazione. Se le CloudFront distribuzioni si trovano nell'account Network, è necessario impostare le autorizzazioni tra account per la CloudFront distribuzione per accedere all'origine Application Load Balancer. I log dell'Application Load Balancer vengono inviati all'account archivio di log.

Per impedire agli utenti di accedere direttamente a un Application Load Balancer senza procedere CloudFront, completa questi passaggi di alto livello:

  • CloudFront Configurare per aggiungere un'intestazione HTTP personalizzata alle richieste inviate all'Application Load Balancer e configurare Application Load Balancer per inoltrare solo le richieste che contengono l'intestazione HTTP personalizzata.

  • Utilizza un elenco di prefissi gestito da AWS per CloudFront dal gruppo di sicurezza Application Load Balancer. Ciò limita il traffico HTTP/HTTPS in entrata verso l'Application Load Balancer solo dagli indirizzi IP che appartengono CloudFront ai server rivolti all'origine.

Per ulteriori informazioni, consulta Limitazione dell'accesso agli Application Load Balancer nella documentazione. CloudFront

Origini statiche: Amazon S3 e AWS Elemental MediaStore

Puoi configurare l'utilizzo CloudFront di Amazon S3 o AWS MediaStore Elemental origin per la distribuzione di contenuti statici. Queste origini vengono implementate nell'account dell'applicazione. Se le tue CloudFront distribuzioni si trovano nell'account di rete, devi configurare le autorizzazioni tra più account per la CloudFront distribuzione nell'account di rete per accedere alle origini.

Per verificare che gli endpoint di origine statici siano accessibili solo tramite CloudFront e non direttamente tramite la rete Internet pubblica, puoi utilizzare le configurazioni OAC (Origin Access Control). Per ulteriori informazioni sulla limitazione dell'accesso, consulta Limitazione dell'accesso a un'origine Amazon S3 e Limitazione dell'accesso a MediaStore un'origine nella documentazione. CloudFront

Gestione dei firewall AWS

Gestione dei firewall AWS semplifica le attività di amministrazione e manutenzione su più account e risorse, tra cui AWS WAF, AWS Shield Avanzato, gruppi di sicurezza Amazon VPC, Firewall di rete AWS e risolutore Amazon Route 53 DNS Firewall, per una varietà di protezioni.

Delega l'account strumenti di sicurezza come account amministratore predefinito di Gestione dei firewall e utilizzalo per gestire centralmente le regole AWS WAF e le protezioni Shield Avanzato tra gli account della tua organizzazione. Usa Gestione dei firewall per gestire centralmente le regole AWS WAF comuni, offrendo al contempo a ciascun team applicativo la flessibilità necessaria per aggiungere regole specifiche dell'applicazione all'ACL Web. Questo aiuta a far rispettare le policy di sicurezza a livello di organizzazione, come la protezione da vulnerabilità comuni, consentendo al contempo ai team applicativi di aggiungere regole AWS WAF specifiche per la loro applicazione.

Usa la registrazione di log in Gestione dei firewall per centralizzare i log di AWS WAF in un bucket S3 nell'account strumenti di sicurezza e replica i log sull'account archivio di log in modo da poterli archiviare per le indagini sulla sicurezza. Inoltre, integra Firewall Manager con AWS Security Hub per visualizzare centralmente i dettagli di configurazione e le notifiche DDo S in Security Hub.

Per ulteriori suggerimenti, consulta Gestione dei firewall AWS nella sezione relativa all'account strumenti di sicurezza di questa guida.

Centrale di sicurezza AWS

L'integrazione tra Gestione dei firewall e Centrale di sicurezza invia quattro tipi di esiti a Centrale di sicurezza:

  • Risorse non adeguatamente protette da regole AWS WAF

  • Risorse non adeguatamente protette da AWS Shield Avanzato

  • Risultati di Shield Advanced che indicano che è in corso un attacco DDo S

  • Gruppi di sicurezza che vengono utilizzati in modo errato

Questi esiti derivanti da tutti gli account dei membri dell'organizzazione vengono aggregati nell'account amministratore delegato di Centrale di sicurezza (strumenti di sicurezza). L'account strumenti di sicurezza aggrega, organizza e prioritizza gli esiti o gli avvisi sulla sicurezza in un unico posto. Utilizza le regole di Amazon CloudWatch Events per inviare i risultati ai sistemi di ticketing o creare riparazioni automatiche come bloccare intervalli di IP dannosi.

Per ulteriori consigli, consulta Centrale di sicurezza AWS nella sezione relativa all'account strumenti di sicurezza di questa guida.

Amazon GuardDuty

Puoi utilizzare l'intelligence sulle minacce fornita da Amazon GuardDuty per aggiornare automaticamente il Web ACLs in risposta ai GuardDuty risultati. Ad esempio, se GuardDuty rileva attività sospette, l'automazione può essere utilizzata per aggiornare la voce nei set IP di AWS WAF e applicare il ACLs Web AWS WAF alle risorse interessate per bloccare le comunicazioni dall'host sospetto mentre si eseguono ulteriori indagini e correzioni. L'account Security Tooling è l'account amministratore delegato per. GuardDuty Pertanto, è necessario utilizzare una funzione AWS Lambda con autorizzazioni tra account per aggiornare gli insiemi di indirizzi IP di AWS WAF nell'account dell'applicazione.

Per ulteriori consigli, consulta Amazon GuardDuty nella sezione relativa all'account Security Tooling di questa guida.

AWS Config

AWS Config è un prerequisito per Gestione dei firewall e viene implementato negli account AWS, inclusi l'account di rete e l'account dell'applicazione. Inoltre, utilizza le regole di AWS Config per verificare che le risorse implementate siano conformi alle best practice di sicurezza. Ad esempio, puoi utilizzare una regola AWS Config per verificare se ogni CloudFront distribuzione è associata a un ACL web o imporre che tutte le CloudFront distribuzioni siano configurate per fornire i log di accesso a un bucket S3.

Per suggerimenti generali, consulta AWS Config nella sezione relativa all'account strumenti di sicurezza di questa guida.