Hub per sviluppatoriStato dell'APISupporto

Guida alla protezione della rete

Tecniche e controlli di protezione della rete conformi al DPP e all'AUP di Amazon.

Panoramica

La protezione della rete è un insieme ben congegnato di strumenti, regole e configurazioni progettato con l'intento principale di proteggere la riservatezza, l'integrità e l'accessibilità dei dati. Qualsiasi dispositivo a cui è possibile accedere tramite connessione Internet è soggetto ad attacchi. La definizione di protocolli e politiche efficaci sulla protezione della rete può aiutare a proteggere il dispositivo e la rete da traffico di rete non necessario o dannoso.

Come parte della Politica sulla protezione dei dati di Amazon, gli sviluppatori sono tenuti a creare un ambiente sicuro per ridurre i rischi di perdita di dati e le relative vulnerabilità. La Politica sulla protezione dei dati di Amazon e le Condizioni d'uso sono accettate dagli sviluppatori durante il processo di registrazione.

Durante i controlli, Amazon valuta la conformità degli sviluppatori alle politiche di protezione dei dati. Senza eccezioni, Amazon richiede agli sviluppatori di mantenere i protocolli necessari per proteggere la propria infrastruttura di rete in modo coerente, in ogni momento. Questo documento tecnico illustra l'importanza delle tecniche e dei controlli di protezione della rete che possono aiutare a proteggere la rete mantenendo la conformità ai requisiti delle Condizioni d'uso e della Politica sulla protezione dei dati di Amazon.

Requisiti della Politica di protezione dei dati di Amazon

Come indicato nella Politica sulla protezione dei dati di Amazon al punto 1.1 Protezione della rete,

Protezione della rete. Gli sviluppatori devono implementare controlli di protezione della rete, tra cui firewall di rete ed elenchi di controllo degli accessi alla rete per negare l'accesso a indirizzi IP non autorizzati. Gli sviluppatori devono implementare software di segmentazione della rete, antivirus e antimalware sui dispositivi degli utenti finali. Gli sviluppatori devono limitare l'accesso pubblico solo agli utenti approvati ed effettuare corsi di formazione sulla protezione dei dati e sulla sicurezza IT per tutti coloro che hanno accesso al sistema.

Segmentazione della rete e filtraggio del firewall

La segmentazione della rete è una tecnica che divide una rete di grandi dimensioni in sottoreti più piccole, fornendo migliori controlli di accesso e sicurezza. Quando vengono implementate la segregazione e la segmentazione della rete, gli amministratori IT possono controllare meglio il flusso di traffico all'interno di un perimetro di sicurezza ben definito, in caso di violazioni e infiltrazioni da parte di intrusi. Mentre la segregazione divide la rete in base al ruolo e alla funzionalità, la segmentazione rende eterogenea una rete piatta e disconnette la rete dai suoi componenti.

La segmentazione della rete aiuta a limitare le violazioni della sicurezza, riducendo così i rischi durante attacchi ed errori. Un modo per implementare un'efficace segmentazione perimetrale è attraverso i firewall di rete. Ciò include impostare in modo efficace il limite di rete desiderato e assicurarsi che tutto il traffico che attraversa il limite venga instradato attraverso il firewall. Sebbene l'applicazione della segmentazione della rete possa essere specifica per le esigenze di un'azienda, gli sviluppatori devono implementare alcune best practice come organizzazione per la conformità alla Politica sulla protezione dei dati di Amazon. Alcuni esempi includono:

  • Definisci solide politiche di firewall di rete basate su un'analisi completa dei rischi dell'organizzazione. Le politiche di firewall efficaci si basano sul blocco di tutto il traffico in entrata e in uscita, con eccezioni stabilite per il traffico affidabile.
  • Segmenta le reti con reti locali virtuali (VLAN) o sottoreti. I tag VLAN reindirizzano esclusivamente il traffico autorizzato verso una rete isolata specifica, riducendo così lo sniffing dei pacchetti e gli attacchi alla superficie.
  • Esegui la microsegmentazione della rete isolando l'accesso ospite alle reti. Oltre a creare credenziali guest per l'accesso alle reti Wi-Fi, crea portali separati per fornitori di servizi di terze parti.
  • Segmenta l'accesso degli utenti all'interno dell'azienda tra i perimetri. Ciò limiterà l'autorizzazione a utenti specifici e attiverà gli avvisi quando viene tentato un accesso non autorizzato.

Utilizzando il firewall di rete AWS, ottieni un firewall di rete stateful e gestito e un servizio di rilevamento e prevenzione delle intrusioni per l'ambiente di cloud privato virtuale (VPC) che hai creato in Amazon Virtual Private Cloud (Amazon VPC).

The AWS network firewall placement within a simple architecture.

Network Firewall è supportato da AWS Firewall Manager, che può essere sfruttato per configurare e gestire centralmente i firewall sugli account e le applicazioni. La Politica del firewall definisce regole e altre impostazioni da applicare al firewall utilizzato per filtrare il traffico in entrata e in uscita da un VPC.

AWS WAF, AWS Shield e AWS Firewall Manager collaborano per fornire una soluzione di sicurezza completa. Quando il traffico entra nei limiti del VPC, AWS WAF può essere utilizzato per monitorare le richieste inoltrate alle tue applicazioni web e controllare l'accesso ai tuoi contenuti. Un metodo comune di attacco da parte di entità malevole consiste nell'inviare un grande volume di traffico per sovraccaricare i server, e AWS Shield aiuta a proteggere da questi attacchi di tipo Distributed Denial of Service (DDoS). Uno strumento complementare per una gestione centralizzata di questi meccanismi di protezione della rete è AWS Firewall Manager, che può essere utilizzato per impostare le regole del firewall e applicarle automaticamente sugli account e sulle risorse, anche quando vengono aggiunte nuove risorse.

Controlli degli accessi alla rete

Oltre a implementare la segmentazione della rete e i firewall, è necessario adottare misure per impedire ai dispositivi non autorizzati di accedere alla rete. Ciò è possibile attraverso strumenti di controllo degli accessi alla rete, che consentono alle aziende di verificare la conformità dei dispositivi e impedire ai dispositivi non autorizzati di accedere alle proprie reti aziendali.

Poiché le organizzazioni sono sempre più aperte all'utilizzo dei dispositivi personali da parte dei dipendenti per motivi di lavoro, è più importante che mai eseguire scansioni di questi dispositivi per verificare il rispetto alle politiche aziendali e le vulnerabilità prima di consentire l'accesso ai dati aziendali.

Oltre alle reti on-premise, è essenziale proteggere anche i servizi cloud dell'organizzazione. È importante notare che i controlli di accesso alla rete e Elenchi di controllo degli accessi (ACL) sono due concetti diversi. Mentre i Network Access Control sono protocolli di accesso applicati ai nodi di rete in base a identità utente autenticate o dispositivi affidabili, gli ACL sono regole applicate a livello di router per consentire o negare l'accesso a un ambiente.

Come parte della conformità alla Politica sulla protezione dei dati di Amazon, è fondamentale implementare strumenti o meccanismi di gestione delle identità e degli accessi in grado di applicare autorizzazioni dettagliate basate su attributi di controllo degli accessi come reparto, mansione, ruolo e nomi dei team. Questi controlli basati sui ruoli aiutano le organizzazioni a monitorare le azioni e ad associare eventi e azioni a identità pertinenti. Sia i dispositivi di rete on-premise che i dispositivi cloud dovrebbero disporre di un processo per autorizzare, limitare e controllare sia l'allocazione che l'uso dell'accesso a una rete. Spetta agli sviluppatori implementare uno strumento in base alle loro esigenze di scala e di prezzo.

Anti-malware

Qualsiasi dispositivo connesso a Internet è soggetto a malware. Malware è un termine generico utilizzato per indicare qualsiasi codice dannoso scritto per infettare il computer host. I virus sono un tipo di malware che si attacca facilmente ai programmi e si distribuisce tramite e-mail, dispositivi di archiviazione rimovibili e reti contaminate. Una volta che un computer è infetto, il malware può eliminare o crittografare file, modificare applicazioni o disabilitare le funzioni di sistema.

È essenziale che le organizzazioni sviluppino e implementino approcci efficaci alla prevenzione degli incidenti dovuti al malware basati sui vettori di attacco più diffusi. Le organizzazioni dovrebbero disporre di politiche mirate alla prevenzione degli incidenti dovuti al malware e di capacità di mitigazione delle minacce per contribuire a contenere tali incidenti.

Il software antivirus è il controllo tecnico di mitigazione delle minacce malware più comunemente utilizzato. Il software antivirus è in grado di eseguire scansioni dei dispositivi, identificare i virus e rimuoverli. Oltre alla scansione attiva, è necessario aggiornare regolarmente l'applicazione antivirus per proteggersi dalle minacce attuali. Sebbene i programmi antivirus siano progettati per proteggere un singolo endpoint, le aziende più grandi con un insieme diversificato di endpoint richiedono la protezione Enterprise Endpoint Security. Le soluzioni Endpoint Protection Platforms (EPP) avanzate forniscono funzionalità come firewall ed euristica con apprendimento automatico e contenimento all'avanguardia.

La Politica sulla protezione dei dati di Amazon richiede che gli utenti SP-API dispongano di meccanismi per proteggere i propri endpoint. Sebbene Amazon non sostenga uno strumento antimalware specifico, gli sviluppatori sono tenuti ad abilitare determinati controlli. Su tutti i sistemi che hanno accesso ai dati degli utenti devono essere installati antivirus e/o antimalware. I sistemi devono eseguire scansioni complete del sistema su base regolare, invece di affidarsi completamente alle scansioni all'accesso.

I controlli per disattivare le scansioni antivirus devono essere disabilitati. Assicurati che le definizioni degli antivirus siano aggiornate. La registrazione e gli avvisi dell'antivirus devono essere abilitati. Se l'antivirus è disabilitato, è necessario avvisare il team IT e avviare un'appropriata procedura di follow-up.

Sistemi di rilevamento delle intrusioni basate sulla rete (NIDS) e sistemi di prevenzione delle intrusioni nella rete (NIPS)

I sistemi di rilevamento delle intrusioni basate sulla rete (NIDS) monitorano gli schemi di traffico e rilevano attività dannose analizzando i pacchetti di rete in entrata e in uscita. Sebbene i NIDS siano in grado di rilevare e segnalare qualsiasi intrusione nella rete, i sistemi di prevenzione delle intrusioni nella rete (NIPS) possono prevenire un attacco interrompendo una connessione TCP (Transmission Control Protocol) o bloccando attività di rete sospette comandando i firewall. Le politiche di protezione dei dati di Amazon raccomandano l'installazione dei sistemi NIDS e NIPS su dispositivi di rete ed endpoint. Tieni presente che, se implementati correttamente, i NIPS sono in grado di rilevare una minaccia in anticipo e bloccare potenti attacchi alla rete che i controlli di sicurezza convenzionali non sono in grado di rilevare.

Amazon Guard Duty è un servizio NIDS nativo per il cloud che utilizza i dati sul traffico provenienti da VPC Flow Logs per rilevare i comportamenti legati alle minacce. È necessario abilitare la registrazione del flusso del tuo VPC. Questi registri offrono una visibilità completa sul tipo di traffico che attraversa il VPC. La registrazione del flusso può contribuire a rilevare il traffico problematico e fornire informazioni preziose. Può anche aiutare a risolvere eventuali problemi di accesso e sicurezza. Per esempio, il log di flusso può contribuire a ricercare eventuali gruppi di sicurezza eccessivamente permissivi. Per notificare al personale eventuali compromissioni sospette tramite e-mail o SMS (Short Message Service), al fine di reagire e mitigare eventuali minacce, è possibile configurare Amazon GuardDuty.

Questi strumenti non si limitano solo ad Amazon, sono disponibili altri provider di cloud e soluzioni open source come Snort e Wazuh per aiutarti a proteggere il tuo ambiente.

Conclusione

Questo white paper illustra l'importanza della protezione della rete e delle applicazioni. Utilizza queste indicazioni come linee guida per raddoppiare la protezione della rete, ma non limitarti a questi strumenti e controlli. Sebbene la maggior parte dei servizi sopra elencati siano servizi Amazon, puoi utilizzare strumenti analoghi a tua scelta che soddisfino le tue esigenze.

Avvisi

I venditori e gli sviluppatori Amazon sono responsabili di effettuare una valutazione indipendente delle informazioni contenute in questo documento. Questo documento: (a) è solo a scopo informativo, (b) rappresenta le pratiche correnti, che sono soggette a modifiche senza preavviso, e (c) non crea alcun impegno o garanzia da parte di Amazon.com Services LLC (Amazon) e dei suoi affiliati, fornitori o licenzianti. I prodotti o i servizi API di Amazon Services vengono forniti «così come sono» senza garanzie, dichiarazioni o condizioni di alcun tipo, esplicite o implicite. Questo documento non fa parte e non modifica alcun accordo tra Amazon e qualsiasi parte.

© 2022 Amazon.com Services LLC o società affiliate. Tutti i diritti riservati.


Questa pagina ti è stata utile?