SEC01-BP01 Separazione dei carichi di lavoro tramite account - Pilastro della sicurezza

SEC01-BP01 Separazione dei carichi di lavoro tramite account

Definisci guardrail e isolamento comuni tra ambienti (ad esempio, quelli di produzione, sviluppo e test) e carichi di lavoro mediante una strategia multi-account. La separazione a livello di account è fortemente consigliata, in quanto fornisce un solido confine di isolamento in termini di sicurezza, fatturazione e accesso.

Risultato desiderato: una struttura di account in grado di isolare operazioni cloud, carichi di lavoro non correlati e ambienti in account separati, così da aumentare la sicurezza nell'infrastruttura cloud.

Anti-pattern comuni:

  • Inserimento di più carichi di lavoro non correlati con diversi livelli di sensibilità dei dati nello stesso account.

  • Scarsa definizione della struttura dell'unità organizzativa (UO).

Vantaggi dell'adozione di questa best practice:

  • Riduzione dell'impatto in caso di accesso involontario a un carico di lavoro.

  • Governance centralizzata dell'accesso a risorse, regioni e servizi AWS.

  • Garanzia di sicurezza dell'infrastruttura cloud grazie a policy e amministrazione centralizzata dei servizi di sicurezza.

  • Processo automatizzato di creazione e mantenimento dell'account.

  • Audit centralizzati della tua infrastruttura per la conformità e i requisiti normativi.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

Gli Account AWS offrono un confine di isolamento della sicurezza tra carichi di lavoro o risorse che operano a livelli di sensibilità diversi. AWS fornisce strumenti per gestire i carichi di lavoro del cloud su larga scala attraverso una strategia multi-account per sfruttare questo margine di isolamento. Per linee guida su concetti, modelli e implementazioni di strategie multi-account su AWS, consulta Organizing Your AWS Environment Using Multiple Accounts.

Se disponi di più Account AWS, organizza gli account in una gerarchia definita da livelli di unità organizzative (UO). I controlli di sicurezza possono quindi essere organizzati e applicati alle unità organizzative e agli account membri, stabilendo controlli preventivi coerenti sugli account membri dell'organizzazione. I controlli di sicurezza sono ereditati e consentono di filtrare le autorizzazioni disponibili per gli account membri situati ai livelli inferiori di una gerarchia di unità organizzative. Un buon progetto sfrutta questa ereditarietà per ridurre il numero e la complessità delle policy di sicurezza necessarie per raggiungere i controlli desiderati per ciascun account membro.

È possibile utilizzare due servizi, AWS Organizations e AWS Control Tower, per implementare e gestire questa struttura multi-account nel proprio ambiente AWS. AWS Organizations consente di organizzare gli account in una gerarchia definita da uno o più livelli di unità organizzative, con ciascuna di esse contenente un numero di account membri. Con le policy di controllo dei servizi, l'amministratore dell'organizzazione può stabilire controlli preventivi granulari sugli account membri, mentre AWS Config consente di definire controlli proattivi e investigativi sugli account membri. Molti servizi AWS si integrano con AWS Organizations per offrire controlli amministrativi delegati ed eseguire attività specifiche del servizio su tutti gli account membri dell'organizzazione.

Ripartito nei livelli di AWS Organizations, AWS Control Tower offre una configurazione immediata delle best practice per un ambiente AWS multi-account con una zona di destinazione. La zona di destinazione è il punto di ingresso nell'ambiente multi-account stabilito da Control Tower. Control Tower offre diversi vantaggi rispetto a AWS Organizations. Tre sono i vantaggi che consentono di migliorare la governance degli account:

  • Controlli di sicurezza obbligatori integrati applicati in automatico agli account ammessi nell'organizzazione.

  • Controlli opzionali attivabili o disattivabili per un determinato insieme di unità organizzative.

  • AWS Control Tower Account Factory consente l'implementazione automatizzata di account contenenti linee di base e opzioni di configurazione preapprovate all'interno della tua organizzazione.

Passaggi dell'implementazione

  1. Progettazione di una struttura delle unità organizzative: una struttura delle unità organizzative progettata in modo corretto riduce l'onere di gestione richiesto per creare e mantenere policy di controllo dei servizi e altri controlli di sicurezza. La struttura delle unità organizzative deve essere allineata a esigenze aziendali, sensibilità dei dati e struttura del carico di lavoro.

  2. Creazione di una zona di destinazione per il tuo ambiente multi-account: una zona di destinazione costituisce una base infrastrutturale e di sicurezza coerente, che consente all'organizzazione di sviluppare, lanciare e implementare rapidamente carichi di lavoro. Puoi utilizzare una zona di destinazione AWS Control Tower personalizzata per orchestrare il tuo ambiente.

  3. Definizione di guardrail: implementa guardrail di sicurezza coerenti per il tuo ambiente mediante la tua zona di destinazione. AWS Control Tower fornisce un elenco di controlli obbligatori e facoltativi implementabili. I controlli obbligatori vengono implementati in automatico in caso di utilizzo di Control Tower. Esamina l'elenco dei controlli altamente consigliati e facoltativi e adotta quelli più adatti alle tue esigenze.

  4. Restrizione dell'accesso alle regioni aggiunte di recente: per le nuove Regioni AWS, le risorse IAM, ad esempio utenti e ruoli, verranno propagate solo alle regioni da te specificate. Puoi eseguire questa azione tramite la console in caso di utilizzo di Control Tower o modificando le policy di autorizzazione IAM in AWS Organizations.

  5. Presa in esame di AWS CloudFormation StackSets: StackSets consente di implementare risorse, tra cui gruppi, ruoli e policy IAM in vari Account AWS e regioni a partire da un modello approvato.

Risorse

Best practice correlate:

Documenti correlati:

Video correlati:

Workshop correlati: