SEC08-BP04 Applica il controllo degli accessi - AWS Well-Architected Framework
Guida all'implementazioneRisorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

SEC08-BP04 Applica il controllo degli accessi

Per proteggere i dati a riposo, applica il controllo degli accessi utilizzando meccanismi come l'isolamento e il controllo delle versioni, quindi applica il principio del privilegio minimo. Impedisci l'accesso pubblico ai dati.

Risultato desiderato: verifica che solo gli utenti autorizzati possano accedere ai dati su base individuale. need-to-know La protezione dei dati è assicurata da backup regolari e dal controllo delle versioni, per evitare che la modifica dei dati o la loro eliminazione intenzionale o non voluta. L'isolamento dei dati critici dagli altri dati ne protegge la riservatezza e l'integrità.

Anti-pattern comuni:

  • Archiviazione dei dati con requisiti di sensibilità o classificazione diversi.

  • Utilizzo di autorizzazioni troppo permissive sulle chiavi di decrittografia.

  • Classificazione impropria dei dati.

  • Nessun mantenimento di backup dettagliati dei dati importanti.

  • Accesso persistente ai dati di produzione.

  • Nessun audit dell'accesso ai dati o revisione periodica delle autorizzazioni.

Livello di rischio associato se questa best practice non fosse adottata: basso

Guida all'implementazione

È possibile garantire la protezione dei dati a riposo mediante diversi controlli, tra cui l'accesso (utilizzando il privilegio minimo), l'isolamento e il controllo delle versioni. L'accesso ai dati deve essere verificato utilizzando meccanismi di rilevamento, come i log dei livelli di servizio AWS CloudTrail, come i log di accesso di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3). Dovresti fare un inventario dei dati accessibili al pubblico e creare un piano per ridurre la quantità di dati disponibili al pubblico nel tempo.

Amazon S3 Glacier Vault Lock e Amazon S3 Object Lock forniscono un controllo di accesso obbligatorio per gli oggetti in Amazon S3: una volta bloccata con l'opzione di conformità, una policy di vault non può essere modificata nemmeno dall'utente root fino alla scadenza del blocco.

Passaggi dell'implementazione

  • Applica il controllo degli accessi: applica il controllo degli accessi con privilegio minimo, incluso l'accesso alle chiavi di crittografia.

  • Separa i dati in base a diversi livelli di classificazione: usa diversi Account AWS per i livelli di classificazione dei dati e gestisci questi account mediante AWS Organizations.

  • Review AWS Key Management Service (AWS KMS): esamina il livello di accesso concesso nelle policy. AWS KMS

  • Rivedi bucket Amazon S3 e autorizzazioni degli oggetti: rivedi con regolarità il livello di accesso concesso nelle policy dei bucket S3. La best practice è evitare di utilizzare bucket leggibili o scrivibili pubblicamente. Prendi in considerazione AWS Configl'idea di utilizzarlo per rilevare i bucket disponibili pubblicamente e Amazon CloudFront per distribuire contenuti da Amazon S3. Verifica che i bucket che non consentono l'accesso pubblico siano configurati correttamente per impedirlo. Per impostazione predefinita, tutti i bucket S3 sono privati e possono accedervi soltanto gli utenti a cui è stato esplicitamente accordato l'accesso.

  • Usa AWS IAMAccess Analyzer: IAM Access Analyzer analizza i bucket Amazon S3 e genera un risultato quando una policy S3 concede l'accesso a un'entità esterna.

  • Utilizza il controllo delle versioni di Amazon S3 e il blocco degli oggetti quando opportuno.

  • Usa l'Inventario Amazon S3: l'Inventario Amazon S3 è uno degli strumenti che puoi utilizzare per eseguire audit e segnalare lo stato di replica e crittografia dei tuoi oggetti S3.

  • Rivedi Amazon EBS e AMI le autorizzazioni di condivisione: le autorizzazioni di condivisione possono consentire la condivisione di immagini e volumi con soggetti Account AWS esterni al tuo carico di lavoro.

  • Rivedi periodicamente le condivisioni di AWS Resource Access Manager per determinare se le risorse devono continuare a essere condivise. Resource Access Manager ti consente di condividere risorse, come policy AWS Network Firewall, regole resolver Amazon Route 53 e sottoreti, all'interno del tuo Amazon. VPCs Sottoponi regolarmente a audit le risorse condivise e interrompi la condivisione delle risorse che non devono più essere condivise.

Risorse

Best practice correlate:

Documenti correlati:

Video correlati: