Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
SEC08-BP04 Applicazione del controllo degli accessi
Per proteggere i dati a riposo, applica il controllo degli accessi utilizzando meccanismi come l'isolamento e il controllo delle versioni. Applica i controlli in base al privilegio minimo e all'accesso condizionale. Impedisci che venga consentito l'accesso pubblico ai dati.
Risultato desiderato: puoi verificare che l'accesso ai dati sia consentito solo agli utenti autorizzati, in base alle necessità. La protezione dei dati è assicurata da backup regolari e dal controllo delle versioni, per evitare che la modifica dei dati o la loro eliminazione intenzionale o non voluta. L'isolamento dei dati critici dagli altri dati ne protegge la riservatezza e l'integrità.
Anti-pattern comuni:
-
Archiviazione dei dati con requisiti di sensibilità o classificazione diversi.
-
Utilizzo di autorizzazioni troppo permissive sulle chiavi di decrittografia.
-
Classificazione impropria dei dati.
-
Nessun mantenimento di backup dettagliati dei dati importanti.
-
Accesso persistente ai dati di produzione.
-
Nessun audit dell'accesso ai dati o revisione periodica delle autorizzazioni.
Livello di rischio associato se questa best practice non fosse adottata: elevato
Guida all'implementazione
La protezione dei dati a riposo è importante per mantenere l'integrità, la riservatezza e la conformità dei dati ai requisiti normativi. Per ottenere tale risultato puoi implementare più controlli, inclusi controllo degli accessi, isolamento, accesso condizionale e controllo delle versioni.
Puoi applicare il controllo degli accessi con il principio del privilegio minimo, che fornisce solo le autorizzazioni necessarie agli utenti e ai servizi per eseguire le varie attività. È incluso l'accesso alle chiavi di crittografia. Rivedi le policy AWS Key Management Service (AWS KMS) per verificare che il livello di accesso concesso sia appropriato e che si applichino le condizioni pertinenti.
Puoi separare i dati in base a diversi livelli di classificazione utilizzando Account AWS distinti per ogni livello e gestire tali account con AWS Organizations. Tale isolamento può aiutare a prevenire l'accesso non autorizzato e a ridurre al minimo il rischio di esposizione dei dati.
Rivedi periodicamente il livello di accesso concesso nelle policy dei bucket Amazon S3. Evita di utilizzare bucket leggibili o scrivibili pubblicamente a meno che ciò non sia assolutamente necessario. Valuta la possibilità di utilizzare AWS Config per rilevare i bucket disponibili pubblicamente e Amazon CloudFront per distribuire i contenuti da Amazon S3. Verifica che i bucket che non devono consentire l'accesso pubblico siano configurati correttamente a tale scopo.
Implementa meccanismi di controllo delle versioni e Object Lock per i dati critici archiviati in Amazon S3. Il controllo delle versioni di Amazon S3 preserva le versioni precedenti degli oggetti per recuperare i dati in caso di cancellazioni o sovrascritture accidentali. Amazon S3 Object Lock fornisce un controllo degli accessi obbligatorio per gli oggetti, che impedisce che questi ultimi vengano eliminati o sovrascritti, anche dall'utente root, fino alla scadenza del blocco. Inoltre, Amazon S3 Glacier Vault Lock offre una funzionalità simile per gli archivi memorizzati in Amazon S3 Glacier.
Passaggi dell'implementazione
-
Implementa il controllo degli accessi con il principio del privilegio minimo:
-
Verifica le autorizzazioni di accesso concesse a utenti e servizi e verifica che dispongano solo delle autorizzazioni necessarie per svolgere le rispettive attività.
-
Verifica l'accesso alle chiavi di crittografia controllando le policy AWS Key Management Service (AWS KMS).
-
-
Separa i dati in base a diversi livelli di classificazione:
-
Utilizza Account AWS distinti per ogni livello di classificazione dei dati.
-
Gestisci questi account utilizzando AWS Organizations.
-
-
Verifica le autorizzazioni per bucket e oggetti Amazon S3:
-
Rivedi periodicamente il livello di accesso concesso nelle policy dei bucket Amazon S3.
-
Evita di utilizzare bucket leggibili o scrivibili pubblicamente a meno che ciò non sia assolutamente necessario.
-
Valuta la possibilità di utilizzare AWS Config per rilevare i bucket pubblicamente disponibili.
-
Utilizza Amazon CloudFront per distribuire contenuti da Amazon S3.
-
Verifica che i bucket che non devono consentire l'accesso pubblico siano configurati correttamente a tale scopo.
-
Puoi applicare lo stesso processo di revisione per i database e qualsiasi altra origine dati che utilizzi l'autenticazione IAM, come SQS o datastore di terze parti.
-
-
Utilizza il Sistema di analisi degli accessi AWS IAM:
-
Puoi configurare il Sistema di analisi degli accessi AWS IAM(https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) per analizzare i bucket Amazon S3 e generare risultati quando una policy S3 concede l'accesso a un'entità esterna.
-
-
Implementa meccanismi di controllo delle versioni e Object Lock:
-
Utilizza il controllo delle versioni di Amazon S3 per preservare le versioni precedenti degli oggetti, consentendo così il ripristino in caso di cancellazioni o sovrascritture accidentali.
-
Utilizza Amazon S3 Object Lock per fornire un controllo degli accessi obbligatorio per gli oggetti, che impedisce che questi ultimi vengano eliminati o sovrascritti, anche dall'utente root, fino alla scadenza del blocco.
-
Utilizza Amazon S3 Glacier Vault Lock per i datastore archiviati in Amazon S3 Glacier.
-
-
Utilizza l'Inventario Amazon S3:
-
Puoi utilizzare l'Inventario Amazon S3 per eseguire audit e segnalare lo stato di replica e crittografia dei tuoi oggetti S3.
-
-
Verifica le autorizzazioni di condivisione di Amazon EBS e AMI:
-
Esamina le tue autorizzazioni di condivisione di Amazon EBS e AMI per verificare che le immagini e i volumi non vengano condivisi con Account AWS esterni al tuo carico di lavoro.
-
-
Rivedi periodicamente le condivisioni di AWS Resource Access Manager:
-
Puoi utilizzare AWS Resource Access Manager per condividere risorse come le policy AWS Network Firewall, le regole del risolutore Amazon Route 53 e le sottoreti all'interno dei tuoi Amazon VPC.
-
Sottoponi regolarmente ad audit le risorse condivise e interrompi la condivisione delle risorse che non devono più essere condivise.
-
Risorse
Best practice correlate:
Documenti correlati:
Video correlati: