# SEC 8 In che modo proteggi i dati inattivi?
Proteggi i dati inattivi implementando più controlli, per ridurre il rischio di accessi non autorizzati o altri comportamenti impropri.
**Topics**
+ [SEC08-BP01 Implementazione della gestione sicura delle chiavi](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Applicazione della crittografia dei dati inattivi](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatizzazione della protezione dei dati a riposo](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Applicazione del controllo degli accessi](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 Utilizzo di meccanismi per tenere le persone a distanza dai dati](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 Implementazione della gestione sicura delle chiavi
Definendo un approccio alla crittografia che include l'archiviazione, la rotazione e il controllo degli accessi delle chiavi, proteggi i tuoi contenuti da utenti non autorizzati e dall'esposizione superflua a utenti autorizzati. AWS Key Management Service (AWS KMS) ti aiuta a gestire le chiavi di crittografia e [si integra con molti servizi AWS](https://aws.amazon.com/kms/details/#integration). Si tratta di un servizio che fornisce un'archiviazione durevole, sicura e ridondante per le tue chiavi AWS KMS. Puoi definire i tuoi alias delle chiavi e le policy a livello di chiave. Le policy ti aiutano a definire gli amministratori della chiave e i suoi utenti. Inoltre, AWS CloudHSM è un modulo di sicurezza hardware (HSM, Hardware Security Module) basato sul cloud che consente di generare e utilizzare chiavi di crittografia personalizzate nel Cloud AWS. Ti aiuta a rispettare i requisiti di conformità aziendali, contrattuali e normativi per la sicurezza dei dati utilizzando HSM conformi allo standard FIPS 140-2 Level 3.
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Implementazione di AWS KMS: AWS KMS semplifica la creazione e la gestione di chiavi e controlla l'uso della crittografia in un'ampia gamma di servizi AWS e nelle tue applicazioni. AWS KMS è un servizio sicuro e resiliente che usa moduli di sicurezza hardware convalidati FIPS 140-2 per proteggere le tue chiavi.
+ [Nozioni di base: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ Considerazione dell'SDK di crittografia AWS: utilizza l'SDK di crittografia AWS con integrazione di AWS KMS quando la tua applicazione richiede la crittografia dei dati lato client.
+ [SDK di crittografia AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## Risorse
**Documenti correlati:**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [Servizi e strumenti di crittografia di AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Nozioni di base: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [Protezione dei dati Amazon S3 tramite la crittografia](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Video correlati:**
+ [Come funziona la crittografia in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Protezione dello storage a blocchi in AWS).](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 Applicazione della crittografia dei dati inattivi
Devi accertarti che l'unico modo per archiviare i dati sia l'utilizzo della crittografia. AWS Key Management Service (AWS KMS) si integra perfettamente con molti servizi AWS per semplificare la crittografia di tutti i dati a riposo. Ad esempio, in Amazon Simple Storage Service (Amazon S3) puoi impostare [la crittografia predefinita](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) su un bucket in modo che tutti i nuovi oggetti vengano crittografati automaticamente. Inoltre, [Le istanze dei server virtuali Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)e [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) supportano l'applicazione della crittografia impostando la crittografia predefinita. Puoi utilizzare [Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) per verificare automaticamente che stai utilizzando la crittografia, ad esempio, per i [volumi Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [le istanze Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)e [bucket Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
**Livello di rischio associato se questa best practice non fosse adottata:** Alto
## Guida all'implementazione
+ Applicazione della crittografia dei dati inattivi per Amazon Simple Storage Service (Amazon S3): implementa la crittografia predefinita del bucket Amazon S3.
+ [Come abilitare la crittografia predefinita per un bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ Utilizzo di AWS Secrets Manager: Secrets Manager è il servizio AWS che facilita il compito di gestire i segreti. I segreti possono essere credenziali di database, password, chiavi API di terze parti e persino testo arbitrario.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ Configurazione della crittografia predefinita per nuovi volumi EBS: specifica che desideri che tutti i volumi EBS appena creati vengano creati in forma crittografata, con la possibilità di utilizzare la chiave predefinita fornita da AWS oppure una chiave creata da te.
+ [Crittografia predefinita per i volumi EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ Configurazione di Amazon Machine Images (AMI) crittografate: copiando un'AMI esistente con crittografia abilitata verrà eseguita la crittografia automatica di volumi root e snapshot.
+ [AMI con snapshot crittografati](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ Configurazione della crittografia Amazon Relational Database Service (Amazon RDS): configura la crittografia per cluster e snapshot del database Amazon RDS inattivi abilitando l'opzione di crittografia.
+ [Crittografia delle risorse Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)
+ Configurazione della crittografia in servizi AWS aggiuntivi: per i servizi AWS che usi, stabilisci le funzionalità di crittografia.
+ [Documentazione di AWS](https://docs.aws.amazon.com/)
## Risorse
**Documenti correlati:**
+ [AMI con snapshot crittografati](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [Documentazione di AWS](https://docs.aws.amazon.com/)
+ [SDK di crittografia AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [Whitepaper per i dettagli della crittografia di AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [Servizi e strumenti di crittografia di AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Crittografia Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Crittografia predefinita per i volumi EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [Crittografia delle risorse Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [Come abilitare la crittografia predefinita per un bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [Protezione dei dati Amazon S3 tramite la crittografia](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Video correlati:**
+ [Come funziona la crittografia in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Protezione dello storage a blocchi in AWS).](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 Automatizzazione della protezione dei dati a riposo
utilizza strumenti automatizzati per convalidare e applicare la protezione dei dati a riposo in modo continuo; ad esempio verifica che siano presenti solo risorse di storage crittografate. Puoi [automatizzare la convalida della crittografia di tutti i volumi EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) utilizzando [Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) può anche verificare una serie di controlli diversi tramite verifiche automatiche a fronte di standard di sicurezza. Inoltre, le Regole di AWS Config possono correggere automaticamente [le risorse non conformi](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation).
**Livello di rischio associato se questa best practice non fosse adottata:** Medio
## Guida all'implementazione
*I dati a riposo* rappresentano tutti i dati conservati nello storage non volatile per qualsiasi durata del carico di lavoro. Sono inclusi storage a blocchi, storage di oggetti, database, archivi, dispositivi IoT e qualsiasi altro supporto di storage su cui sono conservati i dati. La protezione dei dati a riposo riduce il rischio di accesso non autorizzato quando vengono implementati crittografia e controlli degli accessi adeguati.
Applica la crittografia dei dati a riposo: devi accertarti che l'unico modo per archiviare i dati sia l'utilizzo della crittografia. AWS KMS si integra perfettamente con molti servizi AWS per semplificare la crittografia di tutti i dati inattivi. Ad esempio, in Amazon Simple Storage Service (Amazon S3) puoi impostare [la crittografia predefinita](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) su un bucket in modo che tutti i nuovi oggetti vengano crittografati automaticamente. Inoltre, [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) e [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) supportano l'applicazione della crittografia impostando la crittografia predefinita. Puoi utilizzare [AWS Managed Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) per verificare automaticamente che stai utilizzando la crittografia, ad esempio, per i [volumi EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [le istanze Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)e [bucket Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
## Risorse
**Documenti correlati:**
+ [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [SDK di crittografia AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**Video correlati:**
+ [How Encryption Works in AWS (Come funziona la crittografia in AWS)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 Applicazione del controllo degli accessi
Applica il controllo degli accessi con privilegi minimi e meccanismi come backup, isolamento e controllo delle versioni, per favorire la protezione dei dati a riposo. Impedisci agli operatori di concedere l'accesso pubblico ai tuoi dati.
Controlli diversi inclusi l'accesso (tramite il privilegio minimo), i backup (vedi [il whitepaper sull'affidabilità](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)), l'isolamento e il controllo delle versioni possono tutti aiutare a proteggere i dati a riposo. L'accesso ai dati deve essere controllato utilizzando i meccanismi di rilevamento trattati in precedenza in questo documento, tra cui CloudTrail e il registro del livello di servizio, ad esempio i registri di accesso Amazon Simple Storage Service (Amazon S3). Devi eseguire un inventario dei dati accessibili al pubblico e pianificare come ridurre la quantità di dati disponibili nel tempo. Amazon Glacier Vault Lock e Amazon S3 Object Lock sono funzionalità che forniscono un controllo degli accessi obbligatorio. Una volta bloccata una policy Vault con l'opzione di conformità, nemmeno l'utente root può modificarla fino alla scadenza del blocco. Il meccanismo soddisfa i requisiti di gestione di libri e record di SEC, CFTC e FINRA. Per ulteriori dettagli, consulta [questo whitepaper](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf).
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
+ Applicazione del controllo degli accessi: applica il controllo degli accessi con privilegio minimo, incluso l'accesso alle chiavi di crittografia.
+ [Introduzione alla gestione delle autorizzazioni di accesso per le risorse Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ Separazione dei dati in base a diversi livelli di classificazione: usa diversi Account AWS per i livelli di classificazione dei dati gestiti da AWS Organizations.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ Revisione delle policy AWS KMS: rivedi il livello di accesso consentito nelle policy di AWS KMS.
+ [Panoramica sulla gestione dell'accesso alle risorse di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ Esame dei bucket Amazon S3 e delle autorizzazioni degli oggetti: rivedi con regolarità il livello di accesso concesso nelle policy dei bucket Amazon S3. Le best practice prevedono l'assenza di bucket pubblicamente leggibili o scrivibili. Valuta l'utilizzo di AWS Config per rilevare i bucket disponibili pubblicamente e di Amazon CloudFront per fornire contenuti provenienti da Amazon S3.
+ [Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront: un abbinamento nel cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ Abilitazione del controllo delle versioni e del blocco degli oggetti di Amazon S3.
+ [Utilizzo del controllo delle versioni](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [Blocco degli oggetti con Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ Utilizzo di Amazon S3 Inventory: Amazon S3 Inventory è uno degli strumenti utilizzabili per eseguire audit e segnalare lo stato di replica e crittografia degli oggetti.
+ [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Esame delle autorizzazioni di condivisione Amazon EBS e AMI: le autorizzazioni di condivisione consentono la condivisione di immagini e volumi con Account AWS esterni al tuo carico di lavoro.
+ [Condivisione di uno snapshot Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [AMI condivise](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
## Risorse
**Documenti correlati:**
+ [Whitepaper per i dettagli della crittografia di AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Video correlati:**
+ [Securing Your Block Storage on AWS (Protezione dello storage a blocchi in AWS).](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 Utilizzo di meccanismi per tenere le persone a distanza dai dati
Evita a tutti gli utenti di accedere direttamente a dati e sistemi sensibili in circostanze operative normali. Ad esempio, usa un flusso di lavoro per la gestione delle modifiche per gestire le istanze Amazon Elastic Compute Cloud (Amazon EC2) tramite strumenti, invece di consentire l'accesso diretto o tramite un host bastione. A tal fine puoi utilizzare [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), che utilizza [documenti di automazione](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) che contengono le fasi utilizzate per eseguire le attività. Questi documenti possono essere archiviati nel controllo sorgente, revisionati in peering prima dell'esecuzione e testati accuratamente per ridurre al minimo i rischi rispetto all'accesso alla shell. Gli utenti aziendali possono utilizzare un pannello di controllo anziché accedere direttamente a un datastore per eseguire query. Se non vengono utilizzate le pipeline CI/CD, determina quali controlli e processi sono necessari per fornire in modo adeguato un meccanismo di accesso di tipo break-glass normalmente disabilitato.
**Livello di rischio associato se questa best practice non fosse adottata:** Basso
## Guida all'implementazione
+ Implementazione di meccanismi per tenere le persone lontane dai dati: i meccanismi includono l'utilizzo di pannelli di controllo, ad esempio Quick, per mostrare i dati agli utenti anziché eseguire query direttamente.
+ [Quick](https://aws.amazon.com/quicksight/)
+ Automazione della gestione della configurazione: esegui azioni a distanza, applica e convalida in automatico configurazioni sicure sfruttando un apposito servizio o strumento di gestione. Evita l'uso di bastion host o l'accesso diretto alle istanze EC2.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Pipeline CI/CD per modelli AWS CloudFormation su AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## Risorse
**Documenti correlati:**
+ [Whitepaper per i dettagli della crittografia di AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Video correlati:**
+ [Come funziona la crittografia in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Protezione dello storage a blocchi in AWS).](https://youtu.be/Y1hE1Nkcxs8)