SEC 6: In che modo proteggi le risorse di calcolo?

Le risorse di calcolo nel carico di lavoro richiedono più livelli di difesa per contribuire alla protezione da minacce esterne ed interne. Le risorse di calcolo includono istanze EC2, container, funzioni di AWS Lambda, servizi di database, dispositivi IoT e altro.

Risorse

Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall

Best practice:

• Gestione delle vulnerabilità: Scansiona e correggi frequentemente le vulnerabilità del codice, delle dipendenze e dell'infrastruttura per proteggere da nuove minacce.

• Riduzione della superficie d'attacco: Riduci la superficie di attacco attraverso la protezione avanzata dei sistemi operativi e riducendo al minimo i componenti, le librerie e i servizi di consumo esterni in uso.

• Implementazione di servizi gestiti: Implementa servizi che gestiscono le risorse, ad esempio Amazon RDS, AWS Lambda e Amazon ECS, per ridurre le attività di manutenzione della sicurezza nell'ambito del modello di responsabilità condivisa.

• Automatizzazione della protezione delle risorse di calcolo: Automatizza i meccanismi di protezione delle risorse di calcolo, tra cui la gestione delle vulnerabilità, la riduzione della superficie di attacco e la gestione delle risorse.

• Concessione del permesso di eseguire azioni a distanza: Eliminare la possibilità di accesso interattivo riduce il rischio di errore umano e la potenziale configurazione o gestione manuale. Ad esempio, usa un flusso di lavoro per distribuire le istanze EC2 utilizzando l'infrastruttura come codice, dopodiché gestiscile mediante strumenti, invece di consentire l'accesso diretto o attraverso un host bastione.

• Convalida dell'integrità del software: Implementa meccanismi (ad esempio la firma del codice) per verificare che il software, il codice e le librerie utilizzati nel carico di lavoro provengano da origini attendibili e non siano stati manomessi.

Piano di miglioramento

Gestione delle vulnerabilità

Configurazione di Amazon Inspector: Amazon Inspector testa l'accessibilità di rete delle istanze Amazon EC2 e lo stato di sicurezza delle applicazioni eseguite su tali istanze. Amazon Inspector valuta le applicazioni per rilevare esposizione, vulnerabilità e deviazioni dalle best practice.
What is Amazon Inspector?

Scansione del codice sorgente: Esegui la scansione di librerie e dipendenze per rilevare eventuali vulnerabilità.
Amazon CodeGuru
OWASP: Source Code Analysis Tools

Riduzione della superficie d'attacco

Rafforzamento del sistema operativo: Configura i sistemi operativi per adeguarli alle best practice.
Securing Amazon Linux
Securing Microsoft Windows Server

Rafforzamento delle risorse containerizzate: Configura le risorse containerizzate per il rispetto delle best practice in materia di sicurezza.

Best practice per AWS Lambda: Implementa le best practice per AWS Lambda
AWS Lambda best practices

Implementazione di servizi gestiti

Identificazione dei servizi disponibili: Esplora, testa e implementa servizi che gestiscono le risorse, come Amazon RDS, AWS Lambda e Amazon ECS.
AWS Home

Automatizzazione della protezione delle risorse di calcolo

Automatizzazione della gestione delle configurazioni: Applica e convalida in automatico configurazioni sicure sfruttando un apposito servizio o strumento di gestione.
AWS Systems Manager
AWS CloudFormation
Lab: Automated deployment of VPC
Lab: Automated deployment of EC2 web application

Automatizzazione dell'applicazione di patch delle istanze EC2: AWS Systems Manager Patch Manager automatizza il processo di applicazione di patch alle istanze gestite con aggiornamenti correlati alla sicurezza e di altro tipo. Puoi utilizzare Patch Manager per applicare patch sia per i sistemi operativi sia per le applicazioni.
AWS Systems Manager Patch Manager
Centralized multi-account and multi-region patching with AWS Systems Manager Automation

Implementazione di strumenti di rilevamento e prevenzione delle intrusioni: Implementa uno strumento di rilevamento e prevenzione delle intrusioni per monitorare e bloccare le attività sospette sulle istanze.

Possibilità di adottare soluzioni dei partner APN: I partner APN offrono centinaia di prodotti leader nel settore che sono equivalenti, identici o si integrano ai controlli esistenti negli ambienti in locale. Questi prodotti completano i servizi AWS esistenti per consentirti di distribuire un'architettura di sicurezza completa e un'esperienza più fluida nel cloud e negli ambienti in locale.
Infrastructure security

Concessione del permesso di eseguire azioni a distanza

Sostituzione dell'accesso alla console: Sostituisci l'accesso via console (SSH o RDP) alle istanze con Run Command di AWS Systems Manager per automatizzare le attività di gestione.
AWS Systems Manager Run Command

Convalida dell'integrità del software

Sperimentazione di meccanismi: La firma del codice è uno dei meccanismi utili per convalidare l'integrità del software.
NIST: Security Considerations for Code Signing