SEC03-BP08 Condivisione delle risorse in modo sicuro all'interno dell'organizzazione - Pilastro della sicurezza
Guida all'implementazioneRisorse

SEC03-BP08 Condivisione delle risorse in modo sicuro all'interno dell'organizzazione

Con l'aumento del numero di carichi di lavoro, è possibile che sia necessario condividere l'accesso alle risorse in tali carichi di lavoro o eseguire il provisioning delle risorse più volte su più account. Possono esistere costrutti per segmentare il proprio l'ambiente, come ambienti di sviluppo, di test e di produzione. Tuttavia, la presenza di costrutti di separazione non limita la possibilità di condivisione sicura. La condivisione di componenti sovrapposti consente di ridurre i costi operativi e di garantire un'esperienza coerente, senza dover intuire cosa potrebbe sfuggire durante la creazione della stessa risorsa più volte.

Risultato desiderato: ridurre al minimo gli accessi involontari tramite l'uso di metodi sicuri di condivisione delle risorse all'interno dell'organizzazione e contribuire alle iniziative di prevenzione della perdita dei dati. Ridurre i costi operativi rispetto alla gestione dei singoli componenti, ridurre gli errori dovuti alla creazione manuale dello stesso componente più volte e aumentare la scalabilità dei carichi di lavoro. Si riducono i tempi di risoluzione in caso di guasti multipli e si aumenta la sicurezza nel determinare quando un componente non è più necessario. Per linee guida prescrittive sull'analisi delle risorse condivise all'esterno, consulta SEC03-BP07 Analisi dell'accesso multi-account e pubblico.

Anti-pattern comuni:

  • Mancanza di un processo per il monitoraggio continuo e segnalazione automatica di condivisioni esterne inaspettate.

  • Mancanza di una linea di base su ciò che deve e ciò che non deve essere condiviso.

  • Scelta di una policy di ampia apertura piuttosto che di una condivisione esplicita quando richiesto.

  • Creazione manuale di risorse fondamentali che si sovrappongono quando necessario.

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all'implementazione

Progetta controlli e modelli di accesso per gestire il consumo di risorse condivise in modo sicuro e solo con entità fidate. Monitora le risorse condivise e controllane in modo costante l'accesso, ricevendo un avviso in caso di condivisione inappropriata o inaspettata. Consulta Analisi dell'accesso multi-account e pubblico per stabilire una governance che riduca l'accesso esterno alle sole risorse che lo richiedono e per stabilire un processo di monitoraggio continuo e avvisi automatici.

La condivisione tra più account all'interno di AWS Organizations è supportata da diversi servizi AWS, come AWS Security Hub, Amazon GuardDuty e AWS Backup. Questi servizi permettono di condividere i dati con un account centrale, di accedere a un account centrale o di gestire risorse e dati da un account centrale. Ad esempio, AWS Security Hub può trasferire gli esiti dai singoli account a un account centrale in cui è possibile visualizzare tutti gli esiti. AWS Backup può eseguire un backup di una risorsa e condividerlo tra gli account. Puoi usare AWS Resource Access Manager (AWS RAM) per la condivisione di altre risorse comuni, come sottoreti VPC e collegamenti del gateway di transito alla VPN, AWS Network Firewall o pipeline Amazon SageMaker.

Per limitare l'account in modo che condivida sole risorse all'interno dell'organizzazione, utilizza le policy di controllo dei servizi (SCP) per impedire l'accesso a principali esterni. In caso di condivisione di risorse, combina controlli basati sull'identità e di rete per creare un perimetro di dati per l'organizzazione e proteggere la stessa da accessi involontari. Un perimetro di dati è un insieme di guardrail preventivi che aiutano a verificare che solo le identità fidate accedano a risorse fidate dalle reti previste. Questi controlli pongono limiti adeguati alle risorse condivisibili e impediscono la condivisione o l'esposizione di risorse che non sono consentite. Ad esempio, nell'ambito del tuo perimetro di dati, puoi utilizzare le policy degli endpoint VPC e la condizione AWS:PrincipalOrgId per garantire che le identità che accedono ai bucket Amazon S3 appartengano alla tua organizzazione. È importante sottolineare che le SCP non si applicano a ruoli collegati a servizi o a principali dei servizi AWS.

Se usi Amazon S3, disattiva gli ACL per il bucket Amazon S3 e definisci il controllo degli accessi con le policy IAM. Per limitare l'accesso a un'origine Amazon S3 da Amazon CloudFront, effettua la migrazione dall'identità di accesso origine (OAI) al controllo di accesso origine (OAC) che supporta funzionalità aggiuntive, tra cui la crittografia lato server con AWS Key Management Service.

In alcuni casi, può essere necessario condividere le risorse al di fuori dell'organizzazione o concedere a terze parti l'accesso alle risorse stesse. Per linee guida prescrittive sulla gestione delle autorizzazioni per la condivisione esterna delle risorse, consulta Gestione delle autorizzazioni.

Passaggi dell'implementazione

  1. Utilizzo di AWS Organizations - AWS Organizations è un servizio di gestione degli account che consente di consolidare più Account AWS in un'organizzazione, che è possibile creare e gestire in modo centralizzato. È possibile raggruppare gli account in unità organizzative (OU) e associare policy diverse a ciascuna di esse per soddisfare le esigenze di bilancio, sicurezza e conformità. È inoltre possibile controllare il modo in cui i servizi di Intelligenza Artificiale (IA) e di machine learning (ML) di AWS possono raccogliere e archiviare i dati e utilizzare la gestione multi-account dei servizi AWS integrati nelle organizzazioni.

  2. Integrazione di AWS Organizations con i servizi AWS - Se usi un servizio AWS per eseguire attività per tuo conto negli account membri dell'organizzazione, AWS Organizations crea un ruolo collegato ai servizi IAM (SLR) per tale servizio in ogni account membro. L'accesso attendibile deve essere gestito tramite la AWS Management Console, le API AWS o la AWS CLI. Per linee guida prescrittive sull'attivazione dell'accesso attendibile, consulta Using AWS Organizations with other AWS services e AWS services that you can use with Organizations.

  3. Definizione di un perimetro dati - Un perimetro dati fornisce un limite ben chiaro per attendibilità e proprietà. Su AWS, solitamente è rappresentato come la tua organizzazione AWS gestita tramite AWS Organizations, insieme a eventuali sistemi o reti on-premises che accedono alle tue risorse AWS. L'obiettivo del perimetro dati è verificare che l'accesso sia consentito se l'identità è attendibile, la risorsa è attendibile e la rete è conforme. Tuttavia, la definizione di un perimetro di dati non è una soluzione adatta a tutti gli scenari. Valuta e adotta gli obiettivi di controllo delineati nel white paper Building a Perimeter on AWS in base ai tuoi specifici modelli e requisiti di rischio per la sicurezza. Devi valutare attentamente la tua specifica posizione di rischio e implementare i controlli perimetrali in linea con le tue esigenze di sicurezza.

  4. Utilizzo della condivisione delle risorse nei servizi AWS e restrizioni correlate - Molti servizi AWS consentono di condividere risorse con altri account o di destinare risorse ad altri account, come ad esempio Amazon Machine Image (AMI) e AWS Resource Access Manager (AWS RAM). Limita l'API ModifyImageAttribute in modo da specificare gli account affidabili con cui condividere l'AMI. Specifica la condizione ram:RequestedAllowsExternalPrincipals in caso di utilizzo di AWS RAM per limitare la condivisione solo alla tua organizzazione e impedire l'accesso di identità non attendibili. Per considerazioni e linee guida prescrittive, consulta Resource sharing and external targets.

  5. Utilizzo di AWS RAM per condividere risorse in modo sicuro all'interno di un account o con altri Account AWS - AWS RAM ti consente di condividere in modo sicuro le risorse create con i ruoli e gli utenti del tuo account e di altri Account AWS. In un ambiente multi-account, AWS RAM consente di creare una risorsa una sola volta e di condividerla con altri account. Questo approccio contribuisce a ridurre i costi operativi, fornendo al contempo coerenza, visibilità e la facilità di audit grazie alle integrazioni con Amazon CloudWatch e AWS CloudTrail, che non si ottengono quando si utilizza l'accesso multi-account.

    Se disponi di risorse condivise in precedenza mediante una policy basata sulle risorse, puoi utilizzare l'API PromoteResourceShareCreatedFromPolicy o un metodo equivalente per promuovere il passaggio da una condivisione di risorse a una condivisione completa di risorse completa AWS RAM.

    In alcuni casi, potrebbe essere necessario adottare ulteriori misure per condividere le risorse. Ad esempio, per condividere uno snapshot crittografato, occorre condividere una chiave AWS KMS.

Risorse

Best practice correlate:

Documenti correlati:

Video correlati:

Strumenti correlati: