SEC 9: Come proteggere i dati in transito?

Proteggi i dati in transito implementando più controlli, per ridurre il rischio di accessi non autorizzati o perdita.

Risorse

AWS Certificate Manager
Services Integrated with AWS Certificate Manager
HTTPS Listeners for Your Application Load Balancer
AWS VPN
API Gateway Edge-Optimized

Best practice:

• Implementazione della gestione sicura delle chiavi e dei certificati: Memorizza chiavi di crittografia e certificati in modo sicuro e ruotali a intervalli di tempo adeguati, applicando un controllo degli accessi severo; puoi utilizzare ad esempio un servizio di gestione dei certificati come AWS Certificate Manager.

• Applicazione della crittografia dei dati in transito: Applica i tuoi requisiti di crittografia definiti in base ad appropriati standard e raccomandazioni in modo da soddisfare i requisiti aziendali, legali e di conformità.

• Automatizzazione del rilevamento degli accessi indesiderati ai dati: Utilizza strumenti come Amazon GuardDuty per rilevare automaticamente i tentativi di spostamento dei dati al di fuori di limiti definiti in base al livello di classificazione dei dati, ad esempio per rilevare un trojan che sta copiando i dati in una rete sconosciuta o non attendibile utilizzando il protocollo DNS.

• Autenticazione delle comunicazioni di rete: Verifica l'identità delle comunicazioni utilizzando protocolli che supportano l'autenticazione, ad esempio Transport Layer Security (TLS) o IPsec.

Piano di miglioramento

Implementazione della gestione sicura delle chiavi e dei certificati

Implementazione della gestione sicura delle chiavi e dei certificati: Implementa la soluzione definita per la gestione sicura delle chiavi e dei certificati.
AWS Certificate Manager
How to host and manage an entire private certificate infrastructure in AWS

Implementazione di protocolli sicuri: Utilizza protocolli sicuri che offrono autenticazione e riservatezza, come TLS (Transport Layer Security) o IPsec, per ridurre il rischio di manomissione o perdita dei dati. Consulta la documentazione di AWS per i protocolli e la sicurezza attinenti ai servizi in uso.
AWS Documentation

Applicazione della crittografia dei dati in transito

Applicazione della crittografia dei dati in transito: I requisiti di crittografia definiti dovrebbero essere basati sugli standard e sulle best practice più recenti e consentire solo protocolli sicuri. Configura ad esempio un solo gruppo di sicurezza per consentire l'utilizzo del protocollo HTTPS a un Application Load Balancer o a un'istanza EC2.

Configurazione dei protocolli sicuri nei servizi edge: Configura HTTPS con Amazon CloudFront e le cifrature richieste.
Using HTTPS with CloudFront

Utilizzo di una VPN per la connettività esterna: Valuta l'impiego di una VPN IPsec per la protezione delle connessioni punto a punto o rete a rete al fine di garantire la riservatezza e l'integrità dei dati.
VPN connections

Configurazione dei protocolli sicuri nei sistemi di bilanciamento del carico: Abilita listener HTTPS per la protezione delle connessioni verso i sistemi di bilanciamento del carico.
HTTPS listeners for your application load balancer

Configurazione di protocolli sicuri per le istanze: Valuta la possibilità di configurare la crittografia HTTPS sulle istanze.
Tutorial: Configure Apache web server on Amazon Linux 2 to use SSL/TLS

Configurazione di protocolli sicuri in Amazon Relational Database Service (Amazon RDS): Utilizza i protocolli SSL/TLS per crittografare la connessione verso le istanze di database.
Using SSL to encrypt a connection to a DB Instance

Configurazione di protocolli sicuri in Amazon Redshift: Configura il cluster per la richiesta di una connessione SSL/TLS.
Configure security options for connections

Configurazione di protocolli sicuri per servizi AWS aggiuntivi: Determina le funzionalità di crittografia in transito per i servizi AWS che utilizzi.
AWS documentation

Automatizzazione del rilevamento degli accessi indesiderati ai dati

Automatizzazione del rilevamento degli accessi indesiderati ai dati: Utilizza uno strumento o un meccanismo di rilevamento per rilevare automaticamente i tentativi di spostamento dei dati all'esterno dei confini definiti, ad esempio per individuare un sistema di database che copia i dati su un host non riconosciuto.
VPC Flow Logs

Possibilità di utilizzare Amazon Macie: Amazon Macie monitora in modo costante l'attività di accesso ai dati per scoprire anomalie o generare notifiche dettagliate quando determina il rischio di accessi non autorizzati o una perdita di dati inavvertita.
Amazon Macie

Autenticazione delle comunicazioni di rete

Implementazione di protocolli sicuri: Utilizza protocolli sicuri che offrono autenticazione e riservatezza, come TLS (Transport Layer Security) o IPsec, per ridurre il rischio di manomissione o perdita dei dati. Consulta i documenti di AWS per i protocolli e la sicurezza attinenti ai servizi in uso.
AWS Documentation