SEC 6: In che modo proteggi le risorse di calcolo?

Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne ed interne. Le risorse di calcolo includono istanze EC2, container, funzioni di AWS Lambda, servizi di database, dispositivi IoT e altro.

Risorse

Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall

Best practice:

Piano di miglioramento

Gestione delle vulnerabilità

  • Configurazione di Amazon Inspector: Amazon Inspector testa l'accessibilità di rete delle istanze Amazon EC2 e lo stato di sicurezza delle applicazioni eseguite su tali istanze. Amazon Inspector valuta le applicazioni per rilevare esposizione, vulnerabilità e deviazioni dalle best practice.
    What is Amazon Inspector?
  • Scansione del codice sorgente: Esegui la scansione di librerie e dipendenze per rilevare eventuali vulnerabilità.
    Amazon CodeGuru
    OWASP: Source Code Analysis Tools
  • Riduzione della superficie d'attacco

  • Rafforzamento del sistema operativo: Configura i sistemi operativi per adeguarli alle best practice.
    Securing Amazon Linux
    Securing Microsoft Windows Server
  • Rafforzamento delle risorse containerizzate: Configura le risorse containerizzate per il rispetto delle best practice in materia di sicurezza.
  • Best practice per AWS Lambda: Implementa le best practice per AWS Lambda
    AWS Lambda best practices
  • Implementazione di servizi gestiti

  • Identificazione dei servizi disponibili: Esplora, testa e implementa servizi che gestiscono le risorse, come Amazon RDS, AWS Lambda e Amazon ECS.
    AWS Home
  • Automatizzazione della protezione delle risorse di calcolo

  • Automatizzazione della gestione delle configurazioni: Applica e convalida in automatico configurazioni sicure sfruttando un apposito servizio o strumento di gestione.
    AWS Systems Manager
    AWS CloudFormation
    Lab: Automated deployment of VPC
    Lab: Automated deployment of EC2 web application
  • Automatizzazione dell'applicazione di patch delle istanze EC2: AWS Systems Manager Patch Manager automatizza il processo di applicazione di patch alle istanze gestite con aggiornamenti correlati alla sicurezza e di altro tipo. Puoi utilizzare Patch Manager per applicare patch sia per i sistemi operativi sia per le applicazioni.
    AWS Systems Manager Patch Manager
    Centralized multi-account and multi-region patching with AWS Systems Manager Automation
  • Implementazione di strumenti di rilevamento e prevenzione delle intrusioni: Implementa uno strumento di rilevamento e prevenzione delle intrusioni per monitorare e bloccare le attività sospette sulle istanze.
  • Possibilità di adottare soluzioni dei partner APN: I partner APN offrono centinaia di prodotti leader nel settore che sono equivalenti, identici o si integrano ai controlli esistenti negli ambienti in locale. Questi prodotti completano i servizi AWS esistenti per consentirti di distribuire un'architettura di sicurezza completa e un'esperienza più fluida nel cloud e negli ambienti in locale.
    Infrastructure security
  • Concessione del permesso di eseguire azioni a distanza

  • Sostituzione dell'accesso alla console: Sostituisci l'accesso via console (SSH o RDP) alle istanze con Run Command di AWS Systems Manager per automatizzare le attività di gestione.
    AWS Systems Manager Run Command
  • Convalida dell'integrità del software

  • Sperimentazione di meccanismi: La firma del codice è uno dei meccanismi utili per convalidare l'integrità del software.
    NIST: Security Considerations for Code Signing