Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS
SEC05-BP04 Automatizza la protezione della rete - AWS Well-Architected Framework
Guida all'implementazionePassaggi dell'implementazioneRisorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

SEC05-BP04 Automatizza la protezione della rete

PDFRSS

Automatizza l'implementazione delle protezioni di rete utilizzando DevOps pratiche come infrastructure as code (IaC) e pipeline CI/CD.  Queste pratiche possono aiutare a tenere traccia delle modifiche apportate alle protezioni di rete attraverso un sistema di controllo delle versioni, a ridurre i tempi di implementazione delle modifiche e a rilevare se le protezioni di rete si allontanano dalla configurazione desiderata.  

Risultato desiderato: definizione delle protezioni di rete con modelli e relativo inserimento in un sistema di controllo delle versioni.  In caso di nuove modifiche, vengono avviate pipeline automatiche che ne orchestrano test e implementazione.  I controlli delle policy e altri test statici sono in atto per convalidare le modifiche prima dell'implementazione.  L'implementazione delle modifiche avviene in un ambiente di staging per convalidare il funzionamento previsto dei controlli.  Anche l'implementazione negli ambienti di produzione avviene in automatico una volta approvati i controlli.

Anti-pattern comuni:

  • Affidamento ai singoli team del carico di lavoro la definizione dell'intero stack di rete, delle protezioni e delle automazioni.  Mancata pubblicazione degli aspetti standard dello stack di rete e delle protezioni in modo centralizzato per consentire ai team del carico di lavoro di utilizzarli.

  • Affidamento a un team di rete centrale per definire tutti gli aspetti della rete, delle protezioni e delle automazioni.  Mancata delega degli aspetti specifici del carico di lavoro dello stack di rete e delle protezioni al team di quel carico di lavoro.

  • Individuazione del giusto equilibrio tra centralizzazione e delega tra un team di rete e i team del carico di lavoro, ma mancata applicazione di standard di test e implementazione coerenti nei modelli IaC e nelle pipeline CI/CD.  Mancata acquisizione delle configurazioni richieste negli strumenti che controllano l'aderenza dei modelli.

Vantaggi dell'adozione di questa best practice: l'utilizzo di modelli per definire le protezioni di rete consente di tracciare le modifiche e confrontarle nel tempo con un sistema di controllo delle versioni.  L'uso dell'automazione per testare e implementare le modifiche crea standardizzazione e prevedibilità, aumentando le possibilità di una corretta implementazione e riducendo le configurazioni manuali ripetitive.

Livello di rischio associato se questa best practice non fosse adottata: medio 

Guida all'implementazione

Una serie di controlli di protezione della rete descritti in SEC05-BP02 Controllo dei flussi di traffico all'interno dei livelli di rete e SEC 05-BP03 Implementazione della protezione basata sull'ispezione sono inclusi sistemi di regole gestite che possono essere aggiornati automaticamente in base alle più recenti informazioni sulle minacce.  Esempi di protezione degli endpoint Web includono regole gestite e mitigazione automatica a livello di applicazione.AWS WAFAWS Shield Advanced DDoS Utilizza i gruppi di regole AWS Network Firewall gestite per rimanere aggiornato sugli elenchi di domini con scarsa reputazione e sulle firme delle minacce.

Oltre alle regole gestite, ti consigliamo di utilizzare DevOps procedure per automatizzare la distribuzione delle risorse di rete, delle protezioni e delle regole specificate.  Puoi acquisire queste definizioni in AWS CloudFormation o in un altro strumento Infrastructure as Code (IaC) di tua scelta, trasferirle in un sistema di controllo delle versioni e implementarle mediante pipeline CI/CD.  Utilizzate questo approccio DevOps per ottenere i vantaggi tradizionali della gestione dei controlli di rete, come rilasci più prevedibili, test automatizzati con strumenti come AWS CloudFormation Guarde rilevamento degli scostamenti tra l'ambiente distribuito e la configurazione desiderata.

In base alle decisioni prese nell'ambito di SEC05-BP01 Create network layer, potreste avere un approccio di gestione centralizzato alla creazione VPCs dedicato ai flussi di ingresso, uscita e ispezione.  Come descritto nella AWS Security Reference Architecture (AWS SRA), è possibile definirli VPCs in un account dedicato all'infrastruttura di rete.  È possibile utilizzare tecniche simili per definire centralmente l'VPCsutilizzo dei carichi di lavoro in altri account, i relativi gruppi di sicurezza, le AWS Network Firewall distribuzioni, le regole di Route 53 Resolver e le configurazioni del DNS firewall e altre risorse di rete.  Puoi condividere queste risorse con gli altri tuoi account con AWS Resource Access Manager.  Grazie a questo approccio, puoi semplificare test e implementazione automatici dei controlli di rete nell'account di rete, con una sola destinazione da gestire.  Puoi farlo in un modello ibrido, in cui distribuisci e condividi determinati controlli centralmente e deleghi altri controlli ai singoli team del carico di lavoro e ai rispettivi account.

Passaggi dell'implementazione

  1. Stabilisci quali aspetti della rete e delle protezioni sono definiti a livello centrale e quali possono essere gestiti dai tuoi team del carico di lavoro.

  2. Crea ambienti per testare e implementare le modifiche alla tua rete e alle relative protezioni.  Ad esempio, utilizza un account Network Testing e uno Network Production.

  3. Determina come archivierai e manterrai i tuoi modelli in un sistema di controllo delle versioni.  Archivia i modelli centrali in un repository distinto da quello dei carichi di lavoro, mentre i modelli dei carichi di lavoro possono essere archiviati in repository specifici per quel carico di lavoro.

  4. Crea pipeline CI/CD per testare e implementare modelli.  Definisci i test per verificare che non ci siano configurazioni errate e che i modelli siano conformi agli standard aziendali.

Risorse

Best practice correlate:

Documenti correlati:

Esempi correlati:

Strumenti correlati:

Hai bisogno di aiuto?

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.