Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS
SEC06-BP05 Automatizza la protezione dell'elaborazione - AWS Well-Architected Framework
Guida all'implementazioneRisorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

SEC06-BP05 Automatizza la protezione dell'elaborazione

PDFRSS

Automatizza le operazioni di protezione delle risorse di calcolo per ridurre la necessità di intervento umano. Usa la scansione automatica per rilevare potenziali problemi all'interno delle tue risorse di calcolo e rimedia con risposte programmatiche automatiche o operazioni di gestione del parco.  Incorpora l'automazione nei tuoi processi CI/CD per distribuire carichi di lavoro affidabili con dipendenze. up-to-date

Risultato desiderato: tutte le scansioni e le applicazioni di patch alle risorse di calcolo avvengono per mezzo di sistemi automatizzati. Utilizzate la verifica automatizzata per verificare che le immagini e le dipendenze del software provengano da fonti attendibili e non siano state manomesse. I carichi di lavoro vengono controllati automaticamente per individuare eventuali up-to-date dipendenze e firmati per stabilire l'affidabilità negli ambienti di elaborazione. AWS  Le correzioni automatiche vengono avviate al rilevamento di risorse non conformi. 

Anti-pattern comuni:

  • Adozione della pratica dell'infrastruttura immutabile, senza però disporre di una soluzione di patch di emergenza o di sostituzione dei sistemi di produzione.

  • Utilizzo dell'automazione per correggere le risorse non correttamente configurate, ma senza un meccanismo di annullamento manuale.  Possono verificarsi situazioni in cui è necessario modificare i requisiti e sospendere le automazioni fino a quando non si modificano.

Vantaggi dell'adozione di questa best practice: riduzione del rischio di accessi alle risorse di calcolo e relativi utilizzi non autorizzati mediante l'automazione.  Contribuisce a evitare che le configurazioni errate si diffondano negli ambienti di produzione e a rilevare e correggere tali configurazioni nel caso in cui si verifichino.  L'automazione aiuta anche a rilevare l'accesso non autorizzato delle risorse di calcolo e il loro utilizzo, riducendo i tempi di risposta.  In questo modo è possibile ridurre la portata complessiva dell'impatto del problema.

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all'implementazione

È possibile applicare le automazioni descritte nelle pratiche del pilastro della sicurezza per proteggere le risorse di calcolo. SEC06-BP01 Perform vulnerability management descrive come utilizzare Amazon Inspector nelle pipeline CI/CD e per la scansione continua degli ambienti di runtime alla ricerca di vulnerabilità ed esposizioni comuni note (). CVEs  Puoi utilizzare AWS Systems Manager per applicare patch o eseguire nuove implementazioni da nuove immagini tramite runbook automatizzati in modo da mantenere il tuo parco di calcolo aggiornato con software e librerie più recenti.  Utilizza queste tecniche per ridurre la necessità di processi manuali e l'accesso interattivo alle tue risorse di elaborazione.  SECPer saperne di più, consulta 06-BP03 Riduci la gestione manuale e l'accesso interattivo.

L'automazione svolge anche un ruolo nell'implementazione di carichi di lavoro affidabili, come descritto in SEC06-BP02 Fornire elaborazione da immagini rafforzate e 06-BP04 Convalidare l'integrità del software. SEC  Puoi utilizzare servizi come EC2Image Builder e Amazon Elastic Container Registry (ECR) per scaricare, verificare, costruire e archiviare immagini e dipendenze di codice consolidate e approvate. AWS SignerAWS CodeArtifact   Oltre a Inspector, ognuno di questi sistemi può svolgere un ruolo nel processo CI/CD, in modo che il carico di lavoro passi alla produzione solo quando viene confermato che le sue dipendenze provengono da fonti attendibili. up-to-date  Il carico di lavoro è inoltre firmato in modo che gli ambienti di AWS calcolo, come AWS LambdaAmazon Elastic EKS Kubernetes Service (), possano verificare che non sia stato manomesso prima di consentirne l'esecuzione.

Oltre a questi controlli preventivi, è possibile utilizzare l'automazione nei controlli investigativi anche per le risorse di calcolo.  Ad esempio, AWS Security Huboffre lo standard NIST800-53 Rev. 5 che include controlli come [EC2.8] EC2. Le istanze devono utilizzare Instance Metadata Service Version 2 (). IMDSv2  IMDSv2utilizza le tecniche di autenticazione della sessione, bloccando le richieste che contengono un' X-Forwarded-ForHTTPintestazione e una rete TTL di 1 per interrompere il traffico proveniente da fonti esterne e recuperare informazioni sull'istanza. EC2 Questo Security Hub di check-in può rilevare quando EC2 le istanze vengono utilizzate IMDSv1 e avviare la riparazione automatica. Scopri di più sul rilevamento e sulle riparazioni automatiche in SEC04-BP04 Avvia la correzione per le risorse non conformi.

Passaggi dell'implementazione

  1. Automatizza la creazione sicura, conforme e avanzata con Image AMIs Builder. EC2  È possibile produrre immagini che incorporano i controlli degli standard dei benchmark del Center for Internet Security (CIS) o della Security Technical Implementation Guide (STIG) a partire da immagini di base e dei partner. AWS APN

  2. Automatizza la gestione delle configurazioni. Applica e convalida in automatico le configurazioni sicure nelle risorse di calcolo utilizzando un servizio o uno strumento di gestione della configurazione. 

    1. Gestione automatizzata della configurazione tramite AWS Config

    2. Gestione automatizzata del livello di sicurezza e conformità tramite AWS Security Hub

  3. Automatizza l'applicazione di patch o la sostituzione delle istanze Amazon Elastic Compute Cloud (AmazonEC2). AWS Systems Manager Patch Manager automatizza il processo di applicazione di patch alle istanze gestite con aggiornamenti relativi alla sicurezza e di altro tipo. Gestione patch consente di applicare patch sia per i sistemi operativi sia per le applicazioni

    1. AWS Systems Manager Patch Manager

  4. Automatizza la scansione delle risorse di elaborazione per individuare vulnerabilità ed esposizioni comuni (CVEs) e incorpora soluzioni di scansione di sicurezza all'interno della pipeline di sviluppo.

    1. Amazon Inspector

    2. ECRScansione di immagini

  5. Prendi in considerazione Amazon GuardDuty per il rilevamento automatico di malware e minacce per proteggere le risorse di elaborazione. GuardDuty può anche identificare potenziali problemi quando una AWS Lambdafunzione viene richiamata nel tuo AWS ambiente. 

    1. Amazon GuardDuty

  6. Prendi in considerazione le soluzioni dei AWS partner. AWS I partner offrono prodotti leader del settore equivalenti, identici o integrati con i controlli esistenti negli ambienti locali. Questi prodotti integrano i servizi AWS esistenti per permettere di implementare un'architettura di sicurezza completa e un'esperienza più fluida nel cloud e negli ambienti on-premises.

    1. Sicurezza dell'infrastruttura

Risorse

Best practice correlate:

Documenti correlati:

Video correlati:

Argomento successivo:

Protezione dei dati

Hai bisogno di aiuto?

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.