# Nozioni di base sulla sicurezza
**Topics**
+ [
# SEC 1 Come gestisci in modo sicuro un carico di lavoro?
](w2aac19b7b5b5.md)
# SEC 1 Come gestisci in modo sicuro un carico di lavoro?
Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice globali a ogni area di sicurezza. Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornati con le raccomandazioni di AWS e del settore nonché con l'intelligence sulle minacce aiuta a sviluppare il modello di rischio e gli obiettivi di controllo. L'automazione dei processi di sicurezza, i test e la convalida consentono di ricalibrare le operazioni di sicurezza.
**Topics**
+ [
# SEC01-BP01 Separazione dei carichi di lavoro tramite account
](sec_securely_operate_multi_accounts.md)
+ [
# SEC01-BP02 Protezione Account AWS
](sec_securely_operate_aws_account.md)
+ [
# SEC01-BP03 Identificazione e convalida degli obiettivi di controllo
](sec_securely_operate_control_objectives.md)
+ [
# SEC01-BP04 Aggiornamento costante sulle minacce alla sicurezza
](sec_securely_operate_updated_threats.md)
+ [
# SEC01-BP05 Aggiornamento costante sulle raccomandazioni di sicurezza
](sec_securely_operate_updated_recommendations.md)
+ [
# SEC01-BP06 Automatizzazione dei test e della convalida dei controlli di sicurezza nelle pipeline
](sec_securely_operate_test_validate_pipeline.md)
+ [
# SEC01-BP07 Identificazione e assegnazione di priorità ai rischi utilizzando un modello di minaccia
](sec_securely_operate_threat_model.md)
+ [
# SEC01-BP08 Valutazione e implementazione periodiche di nuovi servizi e funzionalità di sicurezza
](sec_securely_operate_implement_services_features.md)
# SEC01-BP01 Separazione dei carichi di lavoro tramite account
Inizia tenendo conto della sicurezza e dell'infrastruttura per consentire alla tua organizzazione di impostare guardrail comuni al crescere dei carichi di lavoro. Questo approccio fornisce limiti e controlli tra i carichi di lavoro. La separazione a livello di account è fortemente consigliata per isolare gli ambienti di produzione dagli ambienti di sviluppo e test, oppure per fornire un forte limite logico tra i carichi di lavoro che elaborano dati con diversi livelli di sensibilità, secondo quanto definito da requisiti di conformità esterni (ad esempio PCI-DSS o HIPAA), e i carichi di lavoro che non lo fanno.
**Livello di rischio associato se questa best practice non fosse adottata:** Alta
## Guida all'implementazione
+ Utilizzo di AWS Organizations: utilizza AWS Organizations per applicare a livello centrale una gestione basata su policy per più account Account AWS.
+ [Nozioni di base su AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [Come usare le policy di controllo dei servizi per impostare guardrail di permessi negli account della tua AWS Organization ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Considerazioni su AWS Control Tower: AWS Control Tower rappresenta un modo semplice per configurare e gestire un nuovo ambiente AWS sicuro e multi-account in base alle best practice.
+ [AWS Control Tower](https://aws.amazon.com/controltower/)
## Risorse
**Documenti correlati:**
+ [Best practice IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html?ref=wellarchitected)
+ [Bollettini sulla sicurezza](https://aws.amazon.com/security/security-bulletins)
+ [AWS Security Audit Guidelines](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html?ref=wellarchitected)
**Video correlati:**
+ [Gestire ambienti AWS multi-account tramite AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
+ [Uso di AWS Control Tower per gestire ambienti AWS multi-account ](https://youtu.be/2t-VkWt0rKk)
# SEC01-BP02 Protezione Account AWS
La protezione degli account Account AWS prevede diversi aspetti, tra cui la protezione di e il non utilizzo dell' [utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)e l'aggiornamento costante delle informazioni di contatto. Puoi utilizzare [AWS Organizations](https://aws.amazon.com/organizations/) per gestire e amministrare centralmente i tuoi account man mano che i tuoi carichi di lavoro in AWS crescono e li ridimensioni. AWS Organizations ti aiuta a gestire gli account, impostare controlli e configurare i servizi tra gli account.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Utilizzo di AWS Organizations: utilizza AWS Organizations per applicare a livello centrale una gestione basata su policy per più account Account AWS.
+ [Nozioni di base su AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [Come usare le policy di controllo dei servizi per impostare guardrail di permessi negli account della tua AWS Organization ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Limita l'uso dell'utente root AWS. Utilizza l'utente root solo per eseguire attività che lo richiedono specificamente.
+ [ Attività AWS che richiedono le credenziali di un utente root dell'account AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+ Abilita l'autenticazione a più fattori (MFA) per l'utente root: abilita MFA sull'utente root Account AWS, se AWS Organizations non gestisce gli utenti root per te.
+ [Utente root ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+ Modifica periodica della password dell'utente root: modificare periodicamente la password dell'utente root riduce il rischio di utilizzo di una password salvata. Si tratta di un aspetto particolarmente importante se non utilizzi AWS Organizations e chiunque dispone di un accesso fisico.
+ [ Modifica della password dell'utente root Account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+ Abilita le notifiche quando viene usato l'utente root Account AWS: ricevere una notifica in automatico riduce i rischi.
+ [ Come ricevere notifiche quando si utilizzano chiavi di accesso root di Account AWS](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ Accesso limitato a regioni aggiunte di recente: per le nuove Regioni AWS, le risorse IAM, ad esempio utenti e ruoli, verranno propagate solo alle regioni abilitate.
+ [ Definizione dei permessi per abilitare gli account per Regioni AWS imminenti ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+ Considera AWS CloudFormation StackSets: CloudFormation StackSets consente di distribuire risorse, tra cui policy, ruoli e gruppi IAM, in una serie di regioni e Account AWS a partire da un modello approvato.
+ [ Uso di CloudFormation StackSets ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)
## Risorse
**Documenti correlati:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Security Audit Guidelines ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Best practice IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Bollettini sulla sicurezza ](https://aws.amazon.com/security/security-bulletins/)
**Video correlati:**
+ [ Abilita l'adozione AWS su scala con automazione e governance ](https://youtu.be/GUMSgdB-l6s)
+ [ Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
**Esempi correlati:**
+ [ Laboratorio: Account AWS e utente root ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP03 Identificazione e convalida degli obiettivi di controllo
In base ai requisiti di conformità e ai rischi identificati dal modello di rischio, deriva e convalida gli obiettivi di controllo e i controlli da applicare al carico di lavoro. La convalida continua degli obiettivi di controllo e dei controlli aiuta a misurare l'efficacia della mitigazione dei rischi.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Identifica i requisiti di conformità. Scopri i requisiti organizzativi, legali e di conformità perché il tuo carico di lavoro risulti conforme.
+ Identifica le risorse di conformità AWS: identifica le risorse che AWS mette a disposizione per aiutarti nei processi di conformità.
+ [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
+ [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/)
## Risorse
**Documenti correlati:**
+ [AWS Security Audit Guidelines](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Bollettini sulla sicurezza](https://aws.amazon.com/security/security-bulletins/)
**Video correlati:**
+ [AWS Security Hub CSPM: gestire gli avvisi di sicurezza e automatizzare la conformità](https://youtu.be/HsWtPG_rTak)
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP04 Aggiornamento costante sulle minacce alla sicurezza
Per definire e implementare controlli appropriati, riconosci i vettori di attacco rimanendo aggiornato sulle minacce alla sicurezza più recenti. Usa AWS Managed Services per semplificare la ricezione di notifiche in seguito a comportamenti inaspettati o inusuali nei tuoi account AWS. Esegui delle indagini avvalendoti degli strumenti AWS Partner o di feed di informazioni sulle minacce di terze parti come parte del tuo flusso di informazioni di sicurezza. Al [CVE (Common Vulnerabilities and Exposures) ](https://cve.mitre.org/) contiene vulnerabilità di sicurezza informatica pubbliche che puoi utilizzare come aggiornamento.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Iscrizione alle fonti di informazione sulle minacce: consulta regolarmente le informazioni sulle minacce da varie fonti attinenti alle tecnologie che utilizzi per il tuo carico di lavoro.
+ [Elenco CVE (Common Vulnerabilities and Exposures) ](https://cve.mitre.org/)
+ Considera il servizio [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) : fornisce visibilità quasi in tempo reale sulle fonti di intelligence, se il tuo carico di lavoro è accessibile da Internet.
## Risorse
**Documenti correlati:**
+ [AWS Security Audit Guidelines](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [AWS Shield](https://aws.amazon.com/shield/)
+ [ Bollettini sulla sicurezza](https://aws.amazon.com/security/security-bulletins/)
**Video correlati:**
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP05 Aggiornamento costante sulle raccomandazioni di sicurezza
Tieniti aggiornato sulle raccomandazioni di sicurezza di AWS e del settore, così da revisionare l'assetto di sicurezza del tuo carico di lavoro. [Bollettini sulla sicurezza AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) contengono informazioni importanti sulla sicurezza e notifiche relative alla privacy.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Segui gli aggiornamenti di AWS: segui o verifica regolarmente la presenza di nuovi consigli, suggerimenti e trucchi.
+ [AWS Well-Architected Labs](https://wellarchitectedlabs.com/?ref=wellarchitected)
+ [Blog sulla sicurezza AWS](https://aws.amazon.com/blogs/security/?ref=wellarchitected)
+ [Documentazione del servizio AWS](https://aws.amazon.com/documentation/?ref=wellarchitected)
+ Sottoscrivi gli aggiornamenti di settore: consulta regolarmente le notizie da varie fonti attinenti alle tecnologie impiegate nel tuo carico di lavoro.
+ [Esempio: Elenco CVE (Common Vulnerabilities and Exposures)](https://cve.mitre.org/cve/?ref=wellarchitected)
## Risorse
**Documenti correlati:**
+ [Bollettini sulla sicurezza](https://aws.amazon.com/security/security-bulletins/)
**Video correlati:**
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP06 Automatizzazione dei test e della convalida dei controlli di sicurezza nelle pipeline
Stabilisci previsioni e modelli sicuri per i meccanismi di sicurezza testati e convalidati come parte della compilazione, delle pipeline e dei processi. Utilizza strumenti e l'automazione per testare e convalidare tutti i controlli di sicurezza in modo continuo. Ad esempio, scansiona elementi quali immagini di macchine e modelli di infrastrutture come codice per individuare vulnerabilità di sicurezza, irregolarità e deviazioni da una previsione stabilita in ogni fase. AWS CloudFormation Guard può aiutarti a verificare la sicurezza dei modelli CloudFormation, a risparmiare tempo e a ridurre il rischio che si verifichino errori di configurazione.
È fondamentale ridurre il numero di errori di sicurezza introdotti in un ambiente di produzione, quindi più operazioni di controllo di qualità e riduzione dei difetti è possibile eseguire nel processo di compilazione, più efficace sarà il risultato. Progetta pipeline di integrazione e distribuzione continue (CI/CD) per testare eventuali problemi di sicurezza quando possibile. Le pipeline CI/CD offrono l'opportunità di migliorare la sicurezza in ogni fase della compilazione e della distribuzione. Anche gli strumenti di sicurezza CI/CD devono essere mantenuti aggiornati per mitigare le minacce in continua evoluzione.
Monitora le modifiche alla configurazione del tuo carico di lavoro per facilitare gli audit di conformità, la gestione delle modifiche e le indagini che possono essere applicate al tuo caso. Puoi usare AWS Config per registrare e valutare le tue risorse AWS e di terze parti. Consente di eseguire audit costanti e di valutare la conformità generale a regole e pacchetti di conformità, ossia raccolte di regole con azioni di correzione.
Nel monitoraggio delle modifiche sono incluse modifiche pianificate, parte del processo di controllo delle modifiche della tua organizzazione (a cui a volte si fa riferimento con l'acronimo MACD: Move, Add, Change, Delete), le modifiche non pianificate e le modifiche inaspettate, come gli incidenti. Le modifiche possono avvenire a livello di infrastruttura, ma essere relative anche ad altre categorie, come le modifiche nei repository di codice, le modifiche delle immagini di macchine e degli inventari di applicazioni, le modifiche di processi e policy o le modifiche alla documentazione.
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
+ Automazione della gestione della configurazione: applica e convalida in automatico configurazioni sicure sfruttando un apposito servizio o strumento di gestione.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Configurazione di una pipeline CI/CD in AWS](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)
## Risorse
**Documenti correlati:**
+ [Come usare le policy di controllo dei servizi per impostare guardrail di permessi negli account della tua AWS Organization](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
**Video correlati:**
+ [Gestire ambienti AWS multi-account tramite AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP07 Identificazione e assegnazione di priorità ai rischi utilizzando un modello di minaccia
Utilizza un modello di rischio per identificare e mantenere un registro aggiornato delle potenziali minacce. Classifica le minacce in ordine di priorità e adatta i controlli di sicurezza in modo da prevenirle, rilevarle e affrontarle. Rivedi e mantieni questo approccio nel contesto dell'evoluzione del panorama della sicurezza.
La modellazione delle minacce offre un approccio sistematico di supporto nell'individuazione e nella risoluzione di problematiche di sicurezza nella fase iniziale del processo di progettazione. Se le mitigazioni avvengono prima è meglio, perché i costi sono inferiori a una fase più avanzata del ciclo di vita.
I passaggi di base tipici del processo di modellazione delle minacce sono:
1. Identificare gli asset, gli attori, i punti d'ingresso, i componenti, i casi d'uso e i livelli di fiducia e includerli in un diagramma di progettazione.
1. Identificare un elenco di minacce.
1. Per ogni minaccia identificare le mitigazioni, che possono includere implementazioni di controlli di sicurezza.
1. Creare e rivedere una matrice dei rischi per stabilire se la minaccia è stata correttamente mitigata.
La modellazione delle minacce è più efficace se viene eseguita a livello di carico di lavoro (o di funzionalità del carico di lavoro), garantendo la disponibilità dell'intero contesto per la valutazione. Mantenere e aggiornare questa matrice in linea con l'evoluzione dello scenario di sicurezza.
**Livello di rischio associato se questa best practice non fosse adottata:** Bassa
## Guida all'implementazione
+ Creazione di un modello di minaccia: un modello di minaccia aiuta a identificare e affrontare potenziali minacce alla sicurezza.
+ [NIST: Guida alla modellazione delle minacce del sistema incentrato sui dati ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)
## Risorse
**Documenti correlati:**
+ [AWS Security Audit Guidelines ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [Bollettini sulla sicurezza ](https://aws.amazon.com/security/security-bulletins/)
**Video correlati:**
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP08 Valutazione e implementazione periodiche di nuovi servizi e funzionalità di sicurezza
Valuta e implementa servizi e funzionalità di sicurezza di AWS e partner AWS che consentano di sviluppare l'assetto di sicurezza del carico di lavoro. Il blog sulla sicurezza AWS evidenzia nuovi servizi e funzionalità AWS, guide all'implementazione e linee guida generali sulla sicurezza. [Novità di AWS](https://aws.amazon.com/new) è un'ottima scelta per essere aggiornati su tutte le nuove funzionalità, i servizi e gli annunci AWS.
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
+ Pianificazione di revisioni regolari: crea un calendario di attività di revisione che preveda requisiti di conformità, valutazione delle nuove funzionalità e dei nuovi servizi di sicurezza AWS e l'aggiornamento costante rispetto alle novità del settore.
+ Funzionalità e servizi AWS: scopri le funzionalità di sicurezza disponibili per i servizi che utilizzi e approfondisci le nuove caratteristiche al momento del rilascio.
+ [ Blog sulla sicurezza AWS](https://aws.amazon.com/blogs/security/)
+ [ Bollettini sulla sicurezza AWS](https://aws.amazon.com/security/security-bulletins/)
+ [Documentazione del servizio AWS](https://aws.amazon.com/documentation/)
+ Definizione del processo di onboarding del servizio AWS: definisci i processi per l'onboarding di nuovi servizi AWS. Includi il modo in cui valuti la funzionalità dei nuovi servizi AWS e i requisiti di conformità per il tuo carico di lavoro.
+ Test di nuovi servizi e funzionalità: testa nuovi servizi e funzionalità al momento del rilascio in un ambiente non di produzione che replica in maniera fedele quello di produzione.
+ Implementazione di altri meccanismi di difesa: implementa meccanismi automatizzati per difendere il carico di lavoro, esplora le opzioni disponibili.
+ [Correzione di risorse AWS non conformi in base alle regole di Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
## Risorse
**Video correlati:**
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)