SEC 8: In che modo proteggere i dati inattivi?

Proteggi i dati inattivi implementando più controlli, per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri.

Risorse

How Encryption Works in AWS
Securing Your Block Storage on AWS
AWS Key Management Service
Protecting Amazon S3 Data Using Encryption
Amazon EBS Encryption
Encrypting Amazon RDS Resources
AWS KMS Cryptographic Details Whitepaper
AWS Encryption SDK
AWS Crypto Tools
AWS cryptographic services and tools

Best practice:

Piano di miglioramento

Implementazione della gestione sicura delle chiavi

  • Implementazione di AWS Key Management Service (AWS KMS): AWS Key Management Service (AWS KMS) semplifica la creazione e la gestione delle chiavi e il controllo dell'utilizzo della crittografia su un'ampia gamma di servizi AWS e nelle applicazioni. AWS KMS è un servizio sicuro e resiliente che impiega moduli di sicurezza hardware conformi allo standard FIPS 140-2 per proteggere le chiavi.
    Getting started: AWS Key Management Service (AWS KMS)
  • Possibilità di adottare l'SDK di crittografia AWS: Utilizza l'SDK di crittografia AWS con integrazione di AWS KMS quando la tua applicazione richiede la crittografia dei dati lato client.
    AWS Encryption SDK
  • Applicazione della crittografia dei dati inattivi

  • Applicazione della crittografia dei dati inattivi per Amazon S3: Implementa la crittografia predefinita del bucket S3.
    How do I enable default encryption for an S3 bucket?
  • Utilizza AWS Secrets Manager: AWS Secrets Manager è un servizio AWS che facilita la gestione dei segreti. I segreti possono essere credenziali di database, password, chiavi API di terze parti e persino testo arbitrario.
    AWS Secrets Manager
  • Configurazione della crittografia predefinita per i nuovi volumi EBS: Specifica che desideri che tutti i volumi EBS appena creati vengano creati in forma crittografata, con la possibilità di utilizzare la chiave predefinita fornita da AWS oppure una chiave creata da te.
    Default encryption for EBS volumes
  • Configurazione di Amazon Machine Image (AMI): Copiando un'AMI esistente con crittografia abilitata verrà eseguita la crittografia automatica di volumi root e snapshot.
    AMIs with encrypted Snapshots
  • Configurazione della crittografia di Amazon RDS: Configura la crittografia per cluster e snapshot DB inattivi di Amazon RDS abilitando l'opzione di crittografia.
    Encrypting Amazon RDS resources
  • Configurazione della crittografia in servizi AWS aggiuntivi: Determina le funzionalità di crittografia per i servizi AWS che utilizzi.
    AWS Documentation
  • Automatizzazione della protezione dei dati inattivi

    Applicazione del controllo degli accessi

  • Applicazione del controllo degli accessi: Applica il controllo degli accessi con privilegi minimi, incluso l'accesso alle chiavi di crittografia.
    Introduction to Managing Access Permissions to Your Amazon S3 Resources
  • Separazione dei dati in base a diversi livelli di classificazione: Utilizza diversi account AWS per i livelli di classificazione dei dati gestiti da AWS Organizations.
    AWS Organizations
  • Revisione delle policy di AWS KMS: Rivedi il livello di accesso consentito nelle policy di AWS KMS.
    Overview of managing access to your AWS KMS resources
  • Revisione delle autorizzazioni per bucket e oggetti S3: Rivedi regolarmente il livello di accesso consentito nelle policy per bucket Amazon S3. Le best practice prevedono l'assenza di bucket pubblicamente leggibili o scrivibili. Valuta l'utilizzo di AWS Config per rilevare i bucket disponibili pubblicamente e di Amazon CloudFront per fornire contenuti provenienti da Amazon S3.
    AWS Config Rules
    Amazon S3 + Amazon CloudFront: A Match Made in the Cloud
  • Abilitazione del versioning e del blocco degli oggetti di Amazon S3
    Using versioning
    Locking Objects Using Amazon S3 Object Lock
  • Utilizzo di Amazon S3 Inventory: Amazon S3 Inventory è uno degli strumenti che puoi utilizzare per eseguire audit e segnalare lo stato di replica e crittografia dei tuoi oggetti.
    Amazon S3 Inventory
  • Revisione delle autorizzazioni di condivisione di Amazon EBS e AMI: Le autorizzazioni di condivisione possono consentire la condivisione di immagini e volumi con account AWS esterni al tuo carico di lavoro.
    Sharing an Amazon EBS Snapshot
    Shared AMIs
  • Utilizzo di meccanismi per tenere le persone a distanza dai dati

  • Implementazione di meccanismi per tenere le persone a distanza dai dati: I meccanismi includono l'utilizzo di pannelli di controllo, ad esempio Amazon QuickSight, per mostrare i dati agli utenti anziché eseguire query direttamente.
    Amazon QuickSight
  • Automatizzazione della gestione delle configurazioni: Esegui azioni a distanza, applica e convalida in automatico configurazioni sicure sfruttando un apposito servizio o strumento di gestione. Evita l'uso di bastion host o l'accesso diretto alle istanze EC2.
    AWS Systems Manager
    AWS CloudFormation
    CI/CD Pipeline for AWS CloudFormation templates on AWS