SEC 8: In che modo proteggere i dati inattivi?
Proteggi i dati inattivi implementando più controlli, per ridurre il rischio di accessi
non autorizzati o altri comportamenti impropri.
Risorse
How Encryption Works in AWS
Securing Your Block Storage on AWS
AWS Key Management Service
Protecting Amazon S3 Data Using Encryption
Amazon EBS Encryption
Encrypting Amazon RDS Resources
AWS KMS Cryptographic Details Whitepaper
AWS Encryption SDK
AWS Crypto Tools
AWS cryptographic services and tools
Best practice:
-
Implementazione della gestione sicura delle chiavi: Le chiavi di crittografia devono essere conservate in modo sicuro e sottoposte a un
rigido controllo degli accessi, ad esempio utilizzando un servizio di gestione come
AWS KMS. Valuta l'utilizzo di chiavi diverse e il controllo degli accessi alle chiavi,
in combinazione con le policy AWS IAM e delle risorse, per l'adeguamento ai livelli
di classificazione dei dati e ai requisiti di separazione.
-
Applicazione della crittografia dei dati inattivi: Applica i requisiti di crittografia basati sugli standard e sulle raccomandazioni
più recenti per favorire la protezione dei dati inattivi.
-
Automatizzazione della protezione dei dati inattivi: Utilizza strumenti automatizzati per convalidare e applicare la protezione dei dati
inattivi in modo continuo; ad esempio verifica che siano presenti solo risorse di
storage crittografate.
-
Applicazione del controllo degli accessi: Applica il controllo degli accessi con privilegi minimi e meccanismi come backup,
isolamento e versioning, per favorire la protezione dei dati inattivi. Impedisci agli
operatori di concedere l'accesso pubblico ai tuoi dati.
-
Utilizzo di meccanismi per tenere le persone a distanza dai dati: Evita a tutti gli utenti di accedere direttamente a dati e sistemi sensibili in circostanze
operative normali. Fornisci ad esempio un pannello di controllo anziché l'accesso
diretto a un datastore per eseguire query. Se non vengono utilizzate le pipeline CI/CD,
determina quali controlli e processi sono necessari per fornire in modo adeguato un
meccanismo di accesso di tipo break-glass normalmente disabilitato.
Piano di miglioramento
Implementazione della gestione sicura delle chiavi
Implementazione di AWS Key Management Service (AWS KMS): AWS Key Management Service (AWS KMS) semplifica la creazione e la gestione delle chiavi
e il controllo dell'utilizzo della crittografia su un'ampia gamma di servizi AWS e
nelle applicazioni. AWS KMS è un servizio sicuro e resiliente che impiega moduli di
sicurezza hardware conformi allo standard FIPS 140-2 per proteggere le chiavi.
Getting started: AWS Key Management Service (AWS KMS)
Possibilità di adottare l'SDK di crittografia AWS: Utilizza l'SDK di crittografia AWS con integrazione di AWS KMS quando la tua applicazione
richiede la crittografia dei dati lato client.
AWS Encryption SDK
Applicazione della crittografia dei dati inattivi
Applicazione della crittografia dei dati inattivi per Amazon S3: Implementa la crittografia predefinita del bucket S3.
How do I enable default encryption for an S3 bucket?
Utilizza AWS Secrets Manager: AWS Secrets Manager è un servizio AWS che facilita la gestione dei segreti. I segreti
possono essere credenziali di database, password, chiavi API di terze parti e persino
testo arbitrario.
AWS Secrets Manager
Configurazione della crittografia predefinita per i nuovi volumi EBS: Specifica che desideri che tutti i volumi EBS appena creati vengano creati in forma
crittografata, con la possibilità di utilizzare la chiave predefinita fornita da AWS
oppure una chiave creata da te.
Default encryption for EBS volumes
Configurazione di Amazon Machine Image (AMI): Copiando un'AMI esistente con crittografia abilitata verrà eseguita la crittografia
automatica di volumi root e snapshot.
AMIs with encrypted Snapshots
Configurazione della crittografia di Amazon RDS: Configura la crittografia per cluster e snapshot DB inattivi di Amazon RDS abilitando
l'opzione di crittografia.
Encrypting Amazon RDS resources
Configurazione della crittografia in servizi AWS aggiuntivi: Determina le funzionalità di crittografia per i servizi AWS che utilizzi.
AWS Documentation
Automatizzazione della protezione dei dati inattivi
Applicazione del controllo degli accessi
Applicazione del controllo degli accessi: Applica il controllo degli accessi con privilegi minimi, incluso l'accesso alle chiavi
di crittografia.
Introduction to Managing Access Permissions to Your Amazon S3 Resources
Separazione dei dati in base a diversi livelli di classificazione: Utilizza diversi account AWS per i livelli di classificazione dei dati gestiti da
AWS Organizations.
AWS Organizations
Revisione delle policy di AWS KMS: Rivedi il livello di accesso consentito nelle policy di AWS KMS.
Overview of managing access to your AWS KMS resources
Revisione delle autorizzazioni per bucket e oggetti S3: Rivedi regolarmente il livello di accesso consentito nelle policy per bucket Amazon
S3. Le best practice prevedono l'assenza di bucket pubblicamente leggibili o scrivibili.
Valuta l'utilizzo di AWS Config per rilevare i bucket disponibili pubblicamente e
di Amazon CloudFront per fornire contenuti provenienti da Amazon S3.
AWS Config Rules
Amazon S3 + Amazon CloudFront: A Match Made in the Cloud
Abilitazione del versioning e del blocco degli oggetti di Amazon S3
Using versioning
Locking Objects Using Amazon S3 Object Lock
Utilizzo di Amazon S3 Inventory: Amazon S3 Inventory è uno degli strumenti che puoi utilizzare per eseguire audit e
segnalare lo stato di replica e crittografia dei tuoi oggetti.
Amazon S3 Inventory
Revisione delle autorizzazioni di condivisione di Amazon EBS e AMI: Le autorizzazioni di condivisione possono consentire la condivisione di immagini e
volumi con account AWS esterni al tuo carico di lavoro.
Sharing an Amazon EBS Snapshot
Shared AMIs
Utilizzo di meccanismi per tenere le persone a distanza dai dati
Implementazione di meccanismi per tenere le persone a distanza dai dati: I meccanismi includono l'utilizzo di pannelli di controllo, ad esempio Amazon QuickSight,
per mostrare i dati agli utenti anziché eseguire query direttamente.
Amazon QuickSight
Automatizzazione della gestione delle configurazioni: Esegui azioni a distanza, applica e convalida in automatico configurazioni sicure
sfruttando un apposito servizio o strumento di gestione. Evita l'uso di bastion host
o l'accesso diretto alle istanze EC2.
AWS Systems Manager
AWS CloudFormation
CI/CD Pipeline for AWS CloudFormation templates on AWS
