SEC 1: Come gestire un carico di lavoro in sicurezza?

Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice globali a ogni area di sicurezza. Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornati con le raccomandazioni di AWS e del settore nonché con l'intelligence sulle minacce aiuta a sviluppare il modello di rischio e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida consentono di ricalibrare le operazioni di sicurezza.

Risorse

Security Best Practices the Well-Architected Way
Managing Multi-Account AWS Environments Using AWS Organizations
Enable AWS adoption at scale with automation and governance
AWS Security Hub: Manage Security Alerts and Automate Compliance
Using AWS Control Tower to Govern Multi-Account AWS Environments
IAM Best Practices
Getting started with AWS Organizations
AWS Control Tower
Security Bulletins
AWS Security Audit Guidelines
How to use service control policies to set permission guardrails across accounts in your AWS Organization

Best practice:

Piano di miglioramento

Carichi di lavoro separati tramite account

  • Impiego di AWS Organizations: Utilizza AWS Organizations per applicare a livello centrale una gestione basata su policy per più account AWS.
    Getting started with AWS Organizations
    How to use service control policies to set permission guardrails across accounts in your AWS Organization
  • Possibilità di utilizzare AWS Control Tower: AWS Control Tower rappresenta un modo semplice per configurare e gestire un nuovo ambiente AWS sicuro e multi-account in base alle best practice.
    AWS Control Tower
  • Protezione dell'account AWS

  • Impiego di AWS Organizations: Utilizza AWS Organizations per applicare a livello centrale una gestione basata su policy per più account AWS.
    Getting started with AWS Organizations
    How to use service control policies to set permission guardrails across accounts in your AWS Organization
  • Limite all'impiego dell'utente root AWS: Utilizza l'utente root solo per eseguire attività che lo richiedono specificamente.
    AWS Tasks That Require AWS Account Root User Credentials
  • Abilitazione di MFA per l'utente root: Abilita l'autenticazione MFA per l'utente root dell'account AWS, a meno che AWS Organizations non gestisca gli utenti root per tuo conto.
    Lab: AWS account and root user
    Root user
  • Modifica periodica della password dell'utente root: Modificare la password dell'utente root riduce il rischio di utilizzo di una password salvata. Si tratta di un aspetto particolarmente importante se non utilizzi AWS Organizations e chiunque dispone di un accesso fisico.
    Changing the AWS account root user password
  • Abilitazione della notifica durante l'uso dell'utente root dell'account AWS: La ricezione di notifiche riduce automaticamente il rischio.
    How to receive notifications when your AWS account's root access keys are used
  • Limita l'accesso alle regioni aggiunte di recente.: Per le nuove regioni AWS, le risorse IAM, ad esempio utenti e ruoli, verranno propagate solo alle regioni abilitate.
    Setting permissions to enable accounts for upcoming AWS Regions
  • Possibilità di utilizzare CloudFormation StackSets: CloudFormation StackSets consente di distribuire risorse, tra cui policy, ruoli e gruppi IAM, in una serie di regioni e account AWS a partire da un modello approvato.
    Use CloudFormation StackSets
  • Identificazione e convalida degli obiettivi di controllo

  • Individuazione dei requisiti di conformità: Scopri i requisiti organizzativi, legali e di conformità perché il tuo carico di lavoro risulti conforme.
  • Individuazione delle risorse di conformità di AWS: Identifica le risorse che AWS mette a disposizione per aiutarti nei processi di conformazione.
    https://aws.amazon.com/compliance/
    https://aws.amazon.com/artifact/
  • Aggiornamento costante sulle minacce alla sicurezza

  • Iscrizione alle fonti di informazioni sulle minacce: Consulta regolarmente le informazioni sulle minacce da varie fonti attinenti alle tecnologie che utilizzi per il tuo carico di lavoro.
    Common Vulnerabilities and Exposures List
  • Possibilità di utilizzare il servizio AWS Shield Advanced: Questo servizio fornisce visibilità quasi in tempo reale sulle fonti di intelligence, se il tuo carico di lavoro è accessibile da Internet.
    AWS Shield
  • Aggiornamento costante sulle raccomandazioni di sicurezza

  • Aggiornamento costante sulle novità di AWS: Segui o verifica regolarmente la presenza di nuovi consigli, suggerimenti e trucchi.
    AWS Well-Architected Labs
    AWS security blog
    AWS service documentation
  • Aggiornamento costante sulle novità del settore: Consulta regolarmente le notizie da varie fonti attinenti alle tecnologie impiegate nel tuo carico di lavoro.
    Example: Common Vulnerabilities and Exposures List
  • Automatizzazione dei test e della convalida dei controlli di sicurezza nelle pipeline

  • Automatizzazione della gestione delle configurazioni: Applica e convalida in automatico configurazioni sicure sfruttando un apposito servizio o strumento di gestione.
    AWS Systems Manager
    AWS CloudFormation
    Set Up a CI/CD Pipeline on AWS
  • Identificazione e assegnazione di priorità ai rischi utilizzando un modello di minaccia

  • Creazione di un modello di minaccia: Un modello di minaccia aiuta a identificare e affrontare potenziali minacce alla sicurezza.
    NIST: Guide to Data-Centric System Threat Modeling
  • Valutazione e implementazione periodiche di nuovi servizi e funzionalità di sicurezza

  • Pianificazione di revisioni periodiche: Crea un calendario di attività di revisione che preveda requisiti di conformità, valutazione delle nuove funzionalità e dei nuovi servizi di sicurezza AWS e l'aggiornamento costante rispetto alle novità del settore.
  • Approfondimento dei servizi e delle funzionalità AWS: Scopri le funzionalità di sicurezza disponibili per i servizi che utilizzi e approfondisci le nuove caratteristiche al momento del rilascio.
    AWS security blog
    AWS security bulletins
    AWS service documentation
  • Definizione del processo di onboarding del servizio AWS: Definisci i processi per l'onboarding di nuovi servizi AWS. Includi il modo in cui valuti la funzionalità dei nuovi servizi AWS e i requisiti di conformità per il tuo carico di lavoro.
  • Sperimentazione di servizi e funzionalità nuovi: Testa nuovi servizi e funzionalità al momento del rilascio in un ambiente non di produzione che replica in maniera fedele quello di produzione.
  • Implementazione di altri meccanismi di difesa: Implementa meccanismi automatizzati per difendere il carico di lavoro, esplora le opzioni disponibili.
    Remediating non-compliant AWS resources by AWS Config Rules