SEC 1: Come gestire un carico di lavoro in sicurezza?

Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice globali a ogni area di sicurezza. Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornati con le raccomandazioni di AWS e del settore nonché con l'intelligence sulle minacce aiuta a sviluppare il modello di rischio e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida consentono di ricalibrare le operazioni di sicurezza.

Risorse

Security Best Practices the Well-Architected Way
Managing Multi-Account AWS Environments Using AWS Organizations
Enable AWS adoption at scale with automation and governance
AWS Security Hub: Manage Security Alerts and Automate Compliance
Using AWS Control Tower to Govern Multi-Account AWS Environments
IAM Best Practices
Getting started with AWS Organizations
AWS Control Tower
Security Bulletins
AWS Security Audit Guidelines
How to use service control policies to set permission guardrails across accounts in your AWS Organization

Best practice:

• Carichi di lavoro separati tramite account: Organizza i carichi di lavoro in account e account di gruppo separati in base alla funzione o a un set di controlli comune invece di ricalcare la struttura organizzativa dell'azienda. Inizia tenendo conto della sicurezza e dell'infrastruttura per consentire alla tua organizzazione di impostare guardrail comuni al crescere dei carichi di lavoro.

• Protezione dell'account AWS: Proteggi l'accesso agli account, ad esempio abilitando l'autenticazione MFA, limitando l'uso dell'utente root e configurando i contatti dell'account.

• Identificazione e convalida degli obiettivi di controllo: In base ai requisiti di conformità e ai rischi identificati dal modello di rischio, deriva e convalida gli obiettivi di controllo e i controlli da applicare al carico di lavoro. La convalida continua degli obiettivi di controllo e dei controlli aiuta a misurare l'efficacia della mitigazione dei rischi.

• Aggiornamento costante sulle minacce alla sicurezza: Riconosci i vettori di attacco rimanendo aggiornato sulle minacce alla sicurezza più recenti per definire e implementare controlli appropriati.

• Aggiornamento costante sulle raccomandazioni di sicurezza: Tieniti aggiornato sulle raccomandazioni di sicurezza di AWS e del settore, così da revisionare l'assetto di sicurezza del tuo carico di lavoro.

• Automatizzazione dei test e della convalida dei controlli di sicurezza nelle pipeline: Stabilisci previsioni e modelli sicuri per i meccanismi di sicurezza testati e convalidati come parte della compilazione, delle pipeline e dei processi. Utilizza strumenti e l'automazione per testare e convalidare tutti i controlli di sicurezza in modo continuo. Ad esempio, scansiona elementi quali immagini di macchine e modelli di infrastrutture come codice per individuare vulnerabilità di sicurezza, irregolarità e deviazioni da una previsione stabilita in ogni fase.

• Identificazione e assegnazione di priorità ai rischi utilizzando un modello di minaccia: Utilizza un modello di rischio per identificare e mantenere un registro aggiornato delle potenziali minacce. Classifica le minacce in ordine di priorità e adatta i controlli di sicurezza in modo da prevenirle, rilevarle e affrontarle. Rivedi e mantieni questo approccio nel contesto dell'evoluzione del panorama della sicurezza.

• Valutazione e implementazione periodiche di nuovi servizi e funzionalità di sicurezza: AWS e i partner APN rilasciano costantemente nuovi servizi e funzionalità che consentono di aggiornare l'assetto di sicurezza del carico di lavoro.

Piano di miglioramento

Carichi di lavoro separati tramite account

Impiego di AWS Organizations: Utilizza AWS Organizations per applicare a livello centrale una gestione basata su policy per più account AWS.
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

Possibilità di utilizzare AWS Control Tower: AWS Control Tower rappresenta un modo semplice per configurare e gestire un nuovo ambiente AWS sicuro e multi-account in base alle best practice.
AWS Control Tower

Protezione dell'account AWS

Impiego di AWS Organizations: Utilizza AWS Organizations per applicare a livello centrale una gestione basata su policy per più account AWS.
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

Limite all'impiego dell'utente root AWS: Utilizza l'utente root solo per eseguire attività che lo richiedono specificamente.
AWS Tasks That Require AWS Account Root User Credentials

Abilitazione di MFA per l'utente root: Abilita l'autenticazione MFA per l'utente root dell'account AWS, a meno che AWS Organizations non gestisca gli utenti root per tuo conto.
Lab: AWS account and root user
Root user

Modifica periodica della password dell'utente root: Modificare la password dell'utente root riduce il rischio di utilizzo di una password salvata. Si tratta di un aspetto particolarmente importante se non utilizzi AWS Organizations e chiunque dispone di un accesso fisico.
Changing the AWS account root user password

Abilitazione della notifica durante l'uso dell'utente root dell'account AWS: La ricezione di notifiche riduce automaticamente il rischio.
How to receive notifications when your AWS account's root access keys are used

Limita l'accesso alle regioni aggiunte di recente.: Per le nuove regioni AWS, le risorse IAM, ad esempio utenti e ruoli, verranno propagate solo alle regioni abilitate.
Setting permissions to enable accounts for upcoming AWS Regions

Possibilità di utilizzare CloudFormation StackSets: CloudFormation StackSets consente di distribuire risorse, tra cui policy, ruoli e gruppi IAM, in una serie di regioni e account AWS a partire da un modello approvato.
Use CloudFormation StackSets

Identificazione e convalida degli obiettivi di controllo

Individuazione dei requisiti di conformità: Scopri i requisiti organizzativi, legali e di conformità perché il tuo carico di lavoro risulti conforme.

Individuazione delle risorse di conformità di AWS: Identifica le risorse che AWS mette a disposizione per aiutarti nei processi di conformazione.
https://aws.amazon.com/compliance/
https://aws.amazon.com/artifact/

Aggiornamento costante sulle minacce alla sicurezza

Iscrizione alle fonti di informazioni sulle minacce: Consulta regolarmente le informazioni sulle minacce da varie fonti attinenti alle tecnologie che utilizzi per il tuo carico di lavoro.
Common Vulnerabilities and Exposures List

Possibilità di utilizzare il servizio AWS Shield Advanced: Questo servizio fornisce visibilità quasi in tempo reale sulle fonti di intelligence, se il tuo carico di lavoro è accessibile da Internet.
AWS Shield

Aggiornamento costante sulle raccomandazioni di sicurezza

Aggiornamento costante sulle novità di AWS: Segui o verifica regolarmente la presenza di nuovi consigli, suggerimenti e trucchi.
AWS Well-Architected Labs
AWS security blog
AWS service documentation

Aggiornamento costante sulle novità del settore: Consulta regolarmente le notizie da varie fonti attinenti alle tecnologie impiegate nel tuo carico di lavoro.
Example: Common Vulnerabilities and Exposures List

Automatizzazione dei test e della convalida dei controlli di sicurezza nelle pipeline

Automatizzazione della gestione delle configurazioni: Applica e convalida in automatico configurazioni sicure sfruttando un apposito servizio o strumento di gestione.
AWS Systems Manager
AWS CloudFormation
Set Up a CI/CD Pipeline on AWS

Identificazione e assegnazione di priorità ai rischi utilizzando un modello di minaccia

Creazione di un modello di minaccia: Un modello di minaccia aiuta a identificare e affrontare potenziali minacce alla sicurezza.
NIST: Guide to Data-Centric System Threat Modeling

Valutazione e implementazione periodiche di nuovi servizi e funzionalità di sicurezza

Pianificazione di revisioni periodiche: Crea un calendario di attività di revisione che preveda requisiti di conformità, valutazione delle nuove funzionalità e dei nuovi servizi di sicurezza AWS e l'aggiornamento costante rispetto alle novità del settore.

Approfondimento dei servizi e delle funzionalità AWS: Scopri le funzionalità di sicurezza disponibili per i servizi che utilizzi e approfondisci le nuove caratteristiche al momento del rilascio.
AWS security blog
AWS security bulletins
AWS service documentation

Definizione del processo di onboarding del servizio AWS: Definisci i processi per l'onboarding di nuovi servizi AWS. Includi il modo in cui valuti la funzionalità dei nuovi servizi AWS e i requisiti di conformità per il tuo carico di lavoro.

Sperimentazione di servizi e funzionalità nuovi: Testa nuovi servizi e funzionalità al momento del rilascio in un ambiente non di produzione che replica in maniera fedele quello di produzione.

Implementazione di altri meccanismi di difesa: Implementa meccanismi automatizzati per difendere il carico di lavoro, esplora le opzioni disponibili.
Remediating non-compliant AWS resources by AWS Config Rules