Panoramica del laboratorio
In questo laboratorio vengono illustrati i passaggi necessari per controllare le risorse AWS per garantire che la configurazione sia conforme alle best practice di sicurezza di base. Questo laboratorio utilizza le funzioni di verifica della sicurezza di AWS Trusted Advisor. Gli argomenti trattati includono l’utilizzo di gruppi di sicurezza, l’autenticazione a più fattori (MFA) e AWS Identity and Access Management (IAM).
Obiettivi
Al termine del laboratorio, sarai in grado di intraprendere le seguenti azioni:
- Usare Trusted Advisor per eseguire una verifica di base delle risorse AWS disponibili
- Modificare i gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) per soddisfare le best practice
- Configurare l’autenticazione a più fattori (MFA) (opzione facoltativa, che richiede l’installazione di programmi software sul dispositivo mobile)
Competenze tecniche preliminari
Per completare correttamente questo laboratorio, devi avere familiarità con i servizi AWS, tra cui Amazon EC2, e devi avere una conoscenza di base dei gruppi di sicurezza. Inoltre devi essere in grado di accedere alla Console di gestione AWS e di utilizzarla, e devi avere familiarità con IAM.
Durata
Per completare questo laboratorio ci vorranno 90 minuti.
Legenda icone
In questo laboratorio vengono utilizzate varie icone per richiamare l’attenzione su diversi tipi di istruzioni e note. Nell’elenco seguente viene illustrato lo scopo di ciascuna di esse:
- Un output di esempio che puoi utilizzare per verificare l’output di un passaggio/un’attività che esegui.
- Una nota, un suggerimento o indicazioni importanti.
- Ulteriori informazioni: dove trovare ulteriori informazioni.
Best practice sulla sicurezza AWS
Modello di responsabilità condivisa
Il modello di sicurezza AWS è quello della responsabilità condivisa, che richiede ad AWS e ai clienti di collaborare per raggiungere gli obiettivi di sicurezza. AWS offre un’infrastruttura sottostante caratterizzata da sicurezza e disponibilità elevate in cui operano tutti i servizi AWS. I livelli di sicurezza AWS includono la sicurezza fisica dei componenti hardware, delle strutture, dell’infrastruttura di rete e di virtualizzazione.
Per i livelli fuori dal controllo diretto di AWS è necessario che il cliente si assuma la responsabilità di proteggere in modo adeguato le risorse che usa nell’infrastruttura cloud.
Protezione delle risorse cloud
AWS mette a disposizione del cliente alcuni controlli da usare per proteggere i propri asset informativi nel cloud. Questi includono IAM, Amazon Virtual Private Clouds (VPC), gruppi di sicurezza, liste di controllo degli accessi di rete e certificati.
Quando si crea e si gestisce un’infrastruttura basata su cloud in AWS, è importante seguire delle best practice per tenere al sicuro i dati e le risorse.
L’articolo Best practice per la sicurezza, l’identità e la conformità è un’utile guida di riferimento per comprendere le best practice sulla sicurezza di Amazon Web Services.
AWS Trusted Advisor
AWS Trusted Advisor offre best practice in cinque categorie:
- Ottimizzazione dei costi
- Sicurezza
- Tolleranza ai guasti
- Ottimizzazione delle prestazioni
- Limiti del servizio
Puoi usare più di 60 controlli di AWS Trusted Advisor per monitorare e migliorare la distribuzione di Amazon EC2, Elastic Load Balancing (ELB), Amazon Elastic Block Store (Amazon EBS), Amazon Simple Storage Service (Amazon S3), Amazon EC2 Auto Scaling, AWS Identity and Access Management (IAM), Amazon Relational Database Service (Amazon RDS), Amazon Route 53 e altri servizi. Puoi visualizzare lo stato generale delle tue risorse AWS e una stima di quanto risparmi sulla pagina dei suggerimenti di AWS Trusted Advisor.
AWS Trusted Advisor è particolarmente utile per verificare che stai seguendo le best practice sulla sicurezza. In questo laboratorio userai i controlli di sicurezza gratuiti di AWS Trusted Advisor.
Prezzo di AWS Trusted Advisor
Se hai un piano di supporto Base o Sviluppatore, puoi utilizzare la console Trusted Advisor per accedere a tutti i controlli nella categoria Limiti del servizio e ai seguenti controlli nella categoria Sicurezza:
Security Groups – Specific Ports Unrestricted (Gruppi di sicurezza: porte specifiche senza limitazioni): verifica se i gruppi di sicurezza hanno regole che consentono un accesso senza limitazioni (0.0.0.0/0) a porte specifiche. L’accesso senza limitazioni aumenta la vulnerabilità ad attività dannose, come gli attacchi degli hacker, gli attacchi Denial-of-service e la perdita di dati. Le porte con rischio più elevato sono contrassegnate in rosso, quelle con meno rischi in giallo. Le porte contrassegnate in verde di solito sono usate dalle applicazioni che richiedono accesso senza limitazioni, ad esempio HTTP e SMTP.
Uso di IAM: verifica l’uso di IAM. Puoi usare IAM per creare utenti, gruppi e ruoli in AWS, e puoi usare autorizzazioni per controllare l’accesso alle risorse AWS.
MFA su account root: verifica l’account root e avverte se l’autenticazione a più fattori (MFA) non è abilitata. Per maggiore sicurezza, AWS consiglia di proteggere l’account con MFA, che richiede a un utente di inserire un codice di autenticazione univoco dal suo componente hardware o dispositivo virtuale MFA quando interagisce con la console AWS e i siti web associati.
Snapshot pubbliche di Amazon EBS: verifica le impostazioni delle autorizzazioni per snapshot per volumi Amazon EBS e avvisa se gli snapshot sono contrassegnati come pubblici. Quando si rende uno snapshot pubblico, si fornisce accesso a tutti gli account e a tutti gli utenti AWS a tutti i dati dello snapshot. Per condividere uno snapshot con utenti o account particolari, contrassegnalo come privato, quindi specifica l’utente o gli account con cui vuoi condividere i dati.
Snapshot pubblici di Amazon RDS: verifica le impostazioni delle autorizzazioni per snapshot DB per Amazon RDS e avvisa se gli snapshot sono contrassegnati come pubblici. Quando si rende uno snapshot pubblico, si fornisce accesso a tutti gli account e a tutti gli utenti AWS a tutti i dati dello snapshot. Per condividere uno snapshot con utenti o account particolari, contrassegnalo come privato, quindi specifica l’utente o gli account con cui vuoi condividere i dati.
MFA su account root: controlla l’account root e avverte se l’autenticazione a più fattori (MFA) non è abilitata
Alcuni di questi controlli possono essere usati come verifica di base della configurazione di sicurezza. Per avere pieno accesso a tutti gli oltre 60 controlli, devi aggiornare l’account del piano di supporto Business o Enterprise.
Ulteriori informazioni sui prezzi di AWS Support sono disponibili nella pagina AWS Support Plans
Dispositivi MFA
I dispositivi con autenticazione a più fattori (MFA) possono essere virtuali o fisici. L’autenticazione a più fattori fisica richiede l’acquisto di un componente hardware Gemalto Key Fob o di una scheda di visualizzazione. In alternativa, puoi usare una delle tante applicazioni MFA virtuali supportate gratuitamente disponibili per dispositivi mobili Android, iPhone, Windows e Blackberry. In questo laboratorio, ti verrà spiegata passo passo la configurazione di un’app MFA virtuale in un dispositivo mobile. Se non ti senti sicuro per questo passaggio, puoi saltarlo.
Consulta l’elenco delle applicazioni MFA virtuali supportate, per vedere se è disponibile un’opzione per il tuo dispositivo mobile: autenticazione a più fattori (MFA) per IAM