SEC05-BP03 Implementazione della protezione basata sulle ispezioni - Framework AWSWell-Architected
Guida all'implementazionePassaggi dell'implementazioneRisorse

SEC05-BP03 Implementazione della protezione basata sulle ispezioni

Imposta i punti di ispezione del traffico tra i livelli di rete per verificare che i dati in transito corrispondano a categorie e schemi previsti.  Analizza i flussi di traffico, i metadati e i modelli per identificare, rilevare e rispondere agli eventi in modo più efficace.

Risultato desiderato: ispezione e autorizzazione del traffico che attraversa i livelli di rete.  Le decisioni di autorizzazione e rifiuto si basano su regole esplicite, informazioni sulle minacce e deviazioni dai comportamenti di base.  Le protezioni diventano più severe man mano che il traffico si avvicina ai dati sensibili.

Anti-pattern comuni:

  • Affidamento esclusivo alle regole del firewall basate su porte e protocolli. Mancato sfruttamento di sistemi intelligenti.

  • Creazione di regole del firewall basate su specifici modelli di minaccia attuali, soggetti a modifiche.

  • Ispezione solo del traffico che transita da una sottorete privata a una pubblica o da una sottorete pubblica a Internet.

  • Mancata visione di base del traffico di rete da confrontare per individuare eventuali anomalie di comportamento.

Vantaggi dell'adozione di questa best practice: i sistemi di ispezione ti consentono di creare regole intelligenti, come consentire o negare il traffico solo in presenza di determinate condizioni all'interno dei dati di traffico. Approfitta dei set di regole gestiti da AWS e dai partner, in base alle più recenti informazioni sulle minacce, in quanto il panorama delle minacce cambia nel tempo.  In questo modo si riduce l'onere di mantenere le regole e di ricercare gli indicatori di compromissione, riducendo il potenziale di falsi positivi.

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all'implementazione

Raggiungi un controllo granulare sul traffico di rete stateful e stateless utilizzando AWS Network Firewall o altri firewall e sistemi di rilevamento delle intrusioni (IPS) su Marketplace AWS che puoi implementare dietro un Gateway Load Balancer (GWLB). AWS Network Firewall supporta le specifiche IPS open source compatibili con Suricata per proteggere il carico di lavoro.

Sia le soluzioni AWS Network Firewall sia i fornitori che utilizzano un GWLB supportano diversi modelli di implementazione delle ispezioni in linea.  Ad esempio, è possibile eseguire l'ispezione sulla base di un VPC, centralizzare in un VPC di ispezione o implementare un modello ibrido in cui il traffico est-ovest passa attraverso un VPC di ispezione e l'ingresso a Internet viene ispezionato tramite VPC.  Un'altra considerazione riguarda l'eventuale supporto da parte della soluzione dell'unwrapping della Transport Layer Security (TLS), che consente l'ispezione approfondita dei pacchetti per i flussi di traffico avviati in entrambe le direzioni. Per ulteriori informazioni e dettagli approfonditi su queste configurazioni, consulta la AWS Network Firewall Best Practice guide.

In caso di utilizzi soluzioni che eseguono ispezioni fuori banda, come l'analisi pcap dei dati a pacchetto provenienti da interfacce di rete operanti in modalità promiscua, puoi configurare il traffico in mirroring VPC. Il traffico in mirroring viene conteggiato ai fini della larghezza di banda disponibile delle interfacce ed è soggetto agli stessi costi di trasferimento dati del traffico non in mirroring. Puoi verificare la disponibilità di versioni virtuali di queste appliance su Marketplace AWS, che potrebbero supportare l'implementazione in linea dietro un GWLB.

Per i componenti che effettuano transazioni tramite protocolli basati su HTTP, proteggi l'applicazione dalle minacce comuni con un firewall per applicazioni Web (WAF). AWS WAF è un firewall per applicazioni Web che ti consente di monitorare e bloccare le richieste HTTP(S) corrispondenti alle regole configurabili prima dell'invio a Gateway Amazon API, Amazon CloudFront, AWS AppSync o un Application Load Balancer. Quando valuti l'implementazione del tuo firewall per applicazioni Web, prendi in considerazione l'analisi dei pacchetti a livello applicativo, poiché alcuni richiedono la terminazione di TLS prima dell'ispezione del traffico. Per iniziare a usare AWS WAF, puoi utilizzare Regole gestite da AWS in combinazione con le tue oppure puoi utilizzare integrazioni dei partner esistenti.

Puoi gestire a livello centrale AWS WAF, AWS Shield Advanced, AWS Network Firewall e i gruppi di sicurezza Amazon VPC in tutta la tua organizzazione AWS grazie ad AWS Firewall Manager

Passaggi dell'implementazione

  1. Stabilisci se puoi applicare le regole di ispezione in modo ampio, ad esempio tramite una VPC di ispezione, o se necessiti di un approccio più granulare per VPC.

  2. Per soluzioni di ispezione in linea:

    1. Se usi AWS Network Firewall, crea regole, policy firewall e il firewall stesso. Una volta configurati questi elementi, puoi indirizzare il traffico verso l'endpoint del firewall per consentire l'ispezione. 

    2. Se utilizzi un'appliance di terze parti con un Gateway Load Balancer (GWLB), implementa e configura l'appliance in una o più zone di disponibilità. Quindi, crea il tuo GWLB, il servizio endpoint, l'endpoint e configura il routing per il tuo traffico.

  3. Per soluzioni di ispezione fuori banda:

    1. Attiva il mirroring del traffico VPC sulle interfacce in cui è necessario eseguire il mirroring del traffico in entrata e in uscita. È possibile utilizzare le regole Amazon EventBridge per richiamare una funzione AWS Lambda per attivare il mirroring del traffico sulle interfacce in caso di creazione di nuove risorse. Indirizza le sessioni di mirroring del traffico al Network Load Balancer davanti all'appliance che elabora il traffico.

  4. Per soluzioni di traffico Web in entrata:

    1. Per configurare AWS WAF, inizia configurando un elenco di controllo degli accessi Web (ACL Web). L'ACL Web è una raccolta di regole con un'azione predefinita elaborata in serie (ALLOW o DENY) che definisce il modo in cui il WAF gestisce il traffico. Puoi creare regole e gruppi personalizzati o utilizzare gruppi di regole AWS gestiti nel tuo ACL Web.

    2. Una volta configurato l'ACL Web, associalo a una risorsa AWS (ad esempio, un'Application Load Balancer, API REST API Gateway o una distribuzione CloudFront) per iniziare a proteggere il traffico Web.

Risorse

Documenti correlati:

Esempi correlati:

Strumenti correlati: