# Gestione sicura dei carichi di lavoro
<a name="operating-your-workload-securely"></a>

L’operatività dei carichi di lavoro include l’intero ciclo di vita di un carico di lavoro, dalla progettazione allo sviluppo, dall’esecuzione ai miglioramenti continui. Uno dei modi per migliorare la tua capacità di operare in sicurezza nel cloud è adottare un approccio organizzativo alla governance. La governance è alla base delle decisioni, che non dipendono solo dal buon senso delle persone coinvolte. Il modello e il processo di governance ti consentono di rispondere alla domanda "Come faccio a sapere se gli obiettivi di controllo per un dato carico di lavoro sono soddisfatti e adeguati per quel carico di lavoro?". Avere un approccio coerente alle decisioni velocizza l’implementazione dei carichi di lavoro e aiuta ad alzare il livello della sicurezza nella tua organizzazione. 

Per gestire il carico di lavoro in modo sicuro, è necessario applicare le best practice globali a ogni area di sicurezza. Segui i requisiti e i processi definiti in termini di eccellenza operativa a livello organizzativo e di carico di lavoro e applicali a tutte le aree. Rimanere aggiornati con le raccomandazioni di AWS e del settore nonché con l’intelligence sulle minacce aiuta a sviluppare il modello di rischio e gli obiettivi di controllo. L’automazione dei processi di sicurezza, i test e la convalida consentono di scalare le operazioni di sicurezza. 

L’automazione garantisce coerenza e ripetibilità dei processi. Le persone sono brave a fare molte cose, ma fare sempre la stessa attività in maniera ripetuta senza errori non è possibile. Anche con runbook scritti correttamente, corri il rischio che le persone non eseguano in modo coerente le attività ripetitive. Questo è soprattutto vero quando le persone hanno diverse responsabilità e devono quindi rispondere ad avvisi non noti. L’automazione, tuttavia, risponde sempre nello stesso modo. Il modo migliore per implementare le applicazioni è attraverso l’automazione. Il codice che esegue l’implementazione può essere testato e poi utilizzato per eseguire l’implementazione stessa. Questo aumenta la sicurezza nel processo di modifica e riduce il rischio di una modifica con esito negativo. 

Per verificare che la configurazione soddisfi gli obiettivi di controllo, testa l’automazione e l’applicazione implementata prima in un ambiente non di produzione. In questo modo puoi testare l’automazione per dimostrare l’esecuzione corretta di tutti i passaggi. Puoi anche ottenere un feedback anticipato sullo sviluppo e il ciclo di implementazione, riducendo così un’eventuale rielaborazione. Per ridurre la possibilità di errori di implementazione, effettua le modifiche di configurazione tramite codice e non tramite le persone. Se hai bisogno di implementare nuovamente un’applicazione, l’automazione semplifica di molto questa operazione. Quando definisci obiettivi di controllo aggiuntivi, puoi facilmente aggiungerli all’automazione per tutti i carichi di lavoro.

Invece di avere proprietari dei singoli carichi di lavoro che investono aspetti della sicurezza specifici, risparmia tempo utilizzando funzionalità comuni e componenti condivisi. Alcuni esempi di servizi che più team possono usare includono il processo di creazione degli account AWS, l’identità centralizzata per le persone, la configurazione di creazione di log comuni e la creazione di immagini basate su container e AMI. Questo approccio può aiutare gli sviluppatori a migliorare i tempi del ciclo del carico di lavoro e soddisfare costantemente gli obiettivi dei controlli di sicurezza. Se i team sono più coerenti, puoi convalidare gli obiettivi di controllo e comunicare meglio la tua posizione di rischio e di controllo alle parti interessate.

**Topics**
+ [SEC01-BP03 Identificazione e convalida degli obiettivi di controllo](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Aggiornamento continuo sulle minacce alla sicurezza e sulle raccomandazioni](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Riduzione dell’ambito di gestione della sicurezza](sec_securely_operate_reduce_management_scope.md)
+ [SEC01-BP06 Implementazione automatizzata dei controlli di sicurezza standard](sec_securely_operate_automate_security_controls.md)
+ [SEC01-BP07 Identificare le minacce e dare priorità alle mitigazioni utilizzando un modello di minaccia.](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Valutazione e implementazione periodiche di nuovi servizi e funzionalità di sicurezza](sec_securely_operate_implement_services_features.md)

# SEC01-BP03 Identificazione e convalida degli obiettivi di controllo
<a name="sec_securely_operate_control_objectives"></a>

 In base ai requisiti di conformità e ai rischi identificati dal modello di rischio, individua e convalida gli obiettivi di controllo e i controlli da applicare al carico di lavoro. La convalida continua degli obiettivi di controllo e dei controlli aiuta a misurare l’efficacia della mitigazione dei rischi. 

 **Risultato desiderato:** gli obiettivi di controllo della sicurezza della tua azienda sono ben definiti e in linea con i requisiti di conformità. I controlli vengono implementati e applicati attraverso l’automazione e le policy e vengono costantemente valutati per verificarne l’efficacia nel raggiungimento degli obiettivi. Le prove dell’efficacia, sia in un determinato momento che in un determinato periodo di tempo, sono prontamente comunicate ai revisori. 

 **Anti-pattern comuni:** 
+  I requisiti normativi, le aspettative del mercato e gli standard di settore per una sicurezza certa non sono ben compresi dalla tua azienda. 
+  I framework di sicurezza informatica e gli obiettivi di controllo non sono allineati ai requisiti dell’azienda. 
+  L’implementazione dei controlli non è perfettamente allineata agli obiettivi di controllo in modo misurabile. 
+  L’automazione non viene utilizzata per creare report sull’efficacia dei tuoi controlli. 

 **Livello di rischio associato se questa best practice non fosse adottata:** elevato 

## Guida all’implementazione
<a name="implementation-guidance"></a>

 I framework di sicurezza informatica comunemente utilizzati sono molti e possono costituire la base per gli obiettivi di controllo della sicurezza. Per determinare quale sia il framework più adatto alle tue esigenze, considera i requisiti normativi, le aspettative del mercato e gli standard di settore dell’azienda. Tra gli esempi citiamo [AICPA SOC 2](https://aws.amazon.com/compliance/soc-faqs/), [HITRUST](https://aws.amazon.com/compliance/hitrust/), [PCI-DSS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/), [ISO 27.001](https://aws.amazon.com/compliance/iso-27001-faqs/) e [NIST SP 800-53](https://aws.amazon.com/compliance/nist/). 

 Per gli obiettivi di controllo identificati, occorre comprendere in che modo i servizi AWS utilizzati permettono di conseguirli. Utilizza [AWS Artifact](https://aws.amazon.com/artifact/) per individuare documentazione e report in linea con i tuoi framework di riferimento, che illustrino l’ambito di responsabilità coperto da AWS e linee guida per il restante ambito di tua responsabilità. Per ulteriori indicazioni specifiche sui servizi in linea con le varie dichiarazioni di controllo del framework, consulta le [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf). 

 Nel definire i controlli che raggiungono i tuoi obiettivi, codifica l’applicazione utilizzando i controlli preventivi e automatizza le mitigazioni mediante i controlli di rilevamento. Aiuta a prevenire configurazioni e azioni delle risorse non conformi su AWS Organizations mediante le [policy di controllo dei servizi (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Implementa le regole in [AWS Config](https://aws.amazon.com/config/) al fine di monitorare e segnalare le risorse non conformi, quindi passa a un modello di applicazione delle regole una volta che sei sicuro del loro comportamento. Per implementare set di regole predefinite e gestite in linea con i tuoi framework di sicurezza informatica, prendi in considerazione l’uso degli [standard AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html) come prima opzione. Lo standard AWS Foundational Service Best Practices (FSBP) e il CIS AWS Foundations Benchmark sono validi punti di partenza con controlli che si allineano a molti obiettivi condivisi da più framework standard. Se Security Hub CSPM non dispone a livello intrinseco dei rilevamenti di controllo desiderati, è possibile integrarlo mediante i [pacchetti di conformità AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html). 

 Utilizza i [bundle dei partner APN](https://aws.amazon.com/partners/programs/gsca/bundles/) consigliati dal team AWS Global Security and Compliance Acceleration (GSCA) per ottenere assistenza da consulenti di sicurezza, agenzie di consulenza, sistemi di raccolta e di reporting delle prove, revisori e altri servizi complementari, se necessario. 

### Passaggi dell’implementazione
<a name="implementation-steps"></a>

1.  Valuta i framework di sicurezza informatica comuni e allinea i tuoi obiettivi di controllo a quelli scelti. 

1.  Ottieni la documentazione pertinente sulle linee guida e le responsabilità per il tuo framework utilizzando AWS Artifact. Comprendi quali parti della conformità rientrano nel modello di responsabilità condivisa AWS e quali sono di tua competenza. 

1.  Utilizza le policy di controllo dei servizi, le policy sulle risorse, le policy di attendibilità dei ruoli e altri guardrail per prevenire configurazioni e azioni delle risorse non conformi. 

1.  Valuta l’implementazione di standard Security Hub CSPM e pacchetti di conformità AWS Config in linea con i tuoi obiettivi di controllo. 

## Risorse
<a name="resources"></a>

 **Best practice correlate:** 
+  [SEC03-BP01 Definizione dei requisiti di accesso](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_define.html) 
+  [SEC04-BP01 Configurazione dei log di servizi e applicazioni](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_app_service_logging.html) 
+  [SEC07-BP01 Comprendere lo schema di classificazione dei dati](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_identify_data.html) 
+  [OPS01-BP03 Valutazione dei requisiti di governance](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_governance_reqs.html) 
+  [OPS01-BP04 Valutazione dei requisiti di conformità](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_compliance_reqs.html) 
+  [PERF01-BP05 Uso delle policy e delle architetture di riferimento](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_use_policies_and_reference_architectures.html) 
+  [COST02-BP01 Sviluppo di policy basate sui requisiti dell’organizzazione](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_govern_usage_policies.html) 

 **Documenti correlati:** 
+  [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **Strumenti correlati:** 
+  [AWS Artifact](https://aws.amazon.com/artifact/) 

# SEC01-BP04 Aggiornamento continuo sulle minacce alla sicurezza e sulle raccomandazioni
<a name="sec_securely_operate_updated_threats"></a>

 Rimani aggiornato sulle minacce più recenti e sulle misure di mitigazione monitorando le pubblicazioni di intelligence sulle minacce del settore e i feed di dati per gli aggiornamenti. Valuta le offerte di servizi gestiti che si aggiornano in automatico in base ai dati sulle minacce più recenti. 

 **Risultato desiderato:** rimani informato mentre le pubblicazioni di settore si aggiornano con le ultime minacce e raccomandazioni.  L’automazione viene utilizzata per rilevare potenziali vulnerabilità ed esposizioni man mano che si identificano nuove minacce. Intraprendi azioni di mitigazione contro queste minacce.  Adotta servizi AWS che si aggiornano automaticamente con le informazioni sulle minacce più recenti. 

 **Anti-pattern comuni:** 
+  Non disporre di un meccanismo affidabile e ripetibile per rimanere informati sulle ultime informazioni sulle minacce. 
+  Mantenere un inventario manuale del portafoglio tecnologico, dei carichi di lavoro e delle dipendenze che richiedono un esame umano per individuare potenziali vulnerabilità ed esposizioni. 
+  Non disporre di meccanismi per aggiornare i carichi di lavoro e le dipendenze alle ultime versioni disponibili, che forniscono mitigazioni note delle minacce. 

 **Vantaggi dell’adozione di questa best practice:** l’utilizzo di fonti di intelligence sulle minacce per rimanere aggiornati riduce il rischio di lasciarsi sfuggire importanti cambiamenti nel panorama delle minacce in grado di pregiudicare la tua azienda.  L’automazione in atto per scansionare, rilevare e correggere eventuali vulnerabilità o esposizioni nei carichi di lavoro e nelle relative dipendenze può aiutarti a mitigare i rischi in modo rapido e prevedibile, rispetto alle alternative manuali.  In questo modo puoi controllare i tempi e i costi relativi alla mitigazione delle vulnerabilità. 

 **Livello di rischio associato se questa best practice non fosse adottata:** elevato 

## Guida all’implementazione
<a name="implementation-guidance"></a>

 Consulta le pubblicazioni di intelligence sulle minacce per costanti aggiornamenti sul panorama delle minacce.  Consulta la knowledge base [MITRE ATT&CK](https://attack.mitre.org/) per documentazione su tattiche, tecniche e procedure avversarie (TTP) note. Consulta l’elenco delle [vulnerabilità e delle esposizioni comuni](https://cve.org/) (CVE) di MITRE per non perdere gli aggiornamenti sulle vulnerabilità note nei prodotti su cui fai affidamento. Analizza i rischi critici per le applicazioni Web grazie al popolare progetto [OWASP Top 10](https://owasp.org/www-project-top-ten/) di Open Worldwide Application Security Project (OWASP). 

 Non perdere gli ultimi aggiornamenti sugli eventi di sicurezza AWS e sulle procedure di correzione consigliate con i [bollettini sulla sicurezza](https://aws.amazon.com/security/security-bulletins/) AWS per le CVE. 

 Per ridurre gli sforzi complessivi e il sovraccarico per rimanere aggiornati, valuta la possibilità di utilizzare i servizi AWS che incorporano automaticamente nuove informazioni sulle minacce nel tempo.  Ad esempio, [Amazon GuardDuty](https://aws.amazon.com/guardduty/) rimane aggiornato grazie all’intelligence sulle minacce di settore in modo da rilevare comportamenti anomali e firme di minacce all’interno dei tuoi account.  [Amazon Inspector](https://aws.amazon.com/inspector/) mantiene in automatico aggiornato un database dei CVE che utilizza per le sue funzionalità di scansione continua.  [AWS WAF](https://aws.amazon.com/waf/) e [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-advanced-summary.html) forniscono gruppi di regole gestiti, aggiornati in automatico all’emergere di nuove minacce. 

 Esamina il [pilastro dell’eccellenza operativa Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html) per la gestione e l’applicazione di patch automatizzate del parco. 

## Passaggi dell’implementazione
<a name="implementation-steps"></a>
+  Abbonati agli aggiornamenti per le pubblicazioni di intelligence sulle minacce pertinenti alla tua azienda e al tuo settore. Abbonati ai bollettini sulla sicurezza AWS. 
+  Prendi in considerazione l’adozione di servizi che incorporino automaticamente nuove informazioni sulle minacce, come Amazon GuardDuty e Amazon Inspector. 
+  Implementa una strategia di gestione e applicazione delle patch del parco in linea con le best practice del pilastro dell’eccellenza operativa Well-Architected. 

## Risorse
<a name="resources"></a>

 **Best practice correlate:** 
+  [SEC01-BP07 Identificare le minacce e dare priorità alle mitigazioni utilizzando un modello di minaccia](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_threat_model.html) 
+  [OPS01-BP05 Valutazione del panorama delle minacce](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_eval_threat_landscape.html) 
+  [OPS11-BP01 Definizione di un processo per il miglioramento continuo](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_evolve_ops_process_cont_imp.html) 

# SEC01-BP05 Riduzione dell’ambito di gestione della sicurezza
<a name="sec_securely_operate_reduce_management_scope"></a>

 Stabilisci se sei in grado di ridurre l’ambito della sicurezza mediante servizi AWS che trasferiscono la gestione di determinati controlli su AWS (*servizi gestiti*). Questi servizi possono contribuire a ridurre le attività di manutenzione della sicurezza, come il provisioning dell’infrastruttura, l’impostazione del software, il patching o i backup. 

 **Risultato desiderato:** quando selezioni i servizi AWS per il carico di lavoro, prendi in considerazione l’ambito della gestione della sicurezza. Il costo delle spese generali di gestione e delle attività di manutenzione (il costo totale di proprietà o TCO) viene confrontato con il costo dei servizi selezionati, oltre ad altre considerazioni Well-Architected. La documentazione di controllo e conformità AWS viene incorporata nelle procedure di valutazione e verifica dei controlli. 

 **Anti-pattern comuni:** 
+  Implementazione dei carichi di lavoro senza comprendere a fondo il modello di responsabilità condivisa per i servizi selezionati. 
+  Hosting di database e altre tecnologie su macchine virtuali senza aver valutato un servizio gestito equivalente. 
+  Mancata inclusione delle attività di gestione della sicurezza nel costo totale di proprietà delle tecnologie di hosting su macchine virtuali rispetto alle opzioni di servizio gestito. 

 **Vantaggi dell’adozione di questa best practice:** l’utilizzo di servizi gestiti può ridurre l’onere complessivo della gestione dei controlli operativi della sicurezza, così da ridurre rischi per la sicurezza e costo totale di proprietà. Il tempo che altrimenti sarebbe dedicato a determinate attività di sicurezza può essere reinvestito in attività che forniscono maggior valore alla tua azienda. I servizi gestiti possono anche ridurre l’ambito dei requisiti di conformità spostando alcuni requisiti di controllo su AWS. 

 **Livello di rischio associato se questa best practice non fosse adottata:** medio 

## Guida all’implementazione
<a name="implementation-guidance"></a>

 Le modalità di integrazione dei componenti del carico di lavoro su AWS sono molteplici. L’installazione e l’esecuzione di tecnologie sulle istanze Amazon EC2 impongono spesso all’utente di assumersi la maggior parte delle responsabilità in materia di sicurezza. Per ridurre l’onere della gestione di alcuni controlli, individua i servizi gestiti AWS in grado di ridurre l’ambito della tua parte del modello di responsabilità condivisa e cerca di capire come utilizzarli nell’architettura esistente. Tra gli esempi citiamo l’utilizzo di [Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds/) per l’implementazione di database, [Amazon Elastic Kubernetes Service (Amazon EKS)](https://aws.amazon.com/eks/) o [Amazon Elastic Container Service (Amazon ECS)](https://aws.amazon.com/ecs/) per l’orchestrazione di container o l’utilizzo di [opzioni serverless](https://aws.amazon.com/serverless/). Quando sviluppi nuove applicazioni, pensa a quali servizi possono contribuire a ridurre i tempi e i costi di implementazione e gestione dei controlli di sicurezza. 

 Anche i requisiti di conformità possono essere un fattore di scelta dei servizi. I servizi gestiti possono trasferire la conformità di alcuni requisiti ad AWS. Discuti con il tuo team di conformità riguardo al loro livello di familiarità nel sottoporre ad audit gli aspetti dei servizi che gestisci e nell’accettare le dichiarazioni di controllo nei relativi report di audit di AWS. Puoi fornire gli artefatti di audit rilevati in [AWS Artifact](https://aws.amazon.com/artifact/) ai revisori o alle autorità di regolamentazione come prova dei controlli di sicurezza AWS. Puoi inoltre ricorrere alle linee guida sulla responsabilità fornite da alcuni degli artefatti di audit AWS per progettare la tua architettura, oltre alle [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf). Queste indicazioni aiutano a determinare i controlli di sicurezza aggiuntivi da mettere in atto per supportare i casi d’uso specifici del sistema. 

 Quando utilizzi servizi gestiti, è bene conoscere il processo di aggiornamento delle loro risorse a versioni più recenti (ad esempio, l’aggiornamento della versione di un database gestito da Amazon RDS o del runtime del linguaggio di programmazione per una funzione AWS Lambda). Anche se il servizio gestito può eseguire questa operazione per tuo conto, la configurazione della tempistica dell’aggiornamento e la conoscenza dell’impatto sulle tue operazioni restano di tua responsabilità. Strumenti come [AWS Health](https://aws.amazon.com/premiumsupport/technology/aws-health/) ti consentono di tracciare e gestire questi aggiornamenti in tutti i tuoi ambienti. 

### Passaggi dell’implementazione
<a name="implementation-steps"></a>

1.  Valuta i componenti del tuo carico di lavoro sostituibili con un servizio gestito. 

   1.  Se stai migrando un carico di lavoro ad AWS, considera la riduzione della gestione (tempo e spese) e la conseguente diminuzione del rischio quando valuti l’opportunità di rehosting, rifattorizzare, ridefinire la piattaforma, ricostruire o sostituire il carico di lavoro. A volte un investimento aggiuntivo all’inizio di una migrazione può comportare risparmi significativi nel lungo periodo. 

1.  Prendi in considerazione l’implementazione di servizi gestiti, come Amazon RDS, invece di installare e gestire le tue implementazioni tecnologiche. 

1.  Utilizza le linee guida sulla responsabilità in AWS Artifact per definire i controlli di sicurezza da adottare per il tuo carico di lavoro. 

1.  Tieni un inventario delle risorse in uso e rimani aggiornato con nuovi servizi e approcci per identificare nuove opportunità per ridurre l’ambito. 

## Risorse
<a name="resources"></a>

 **Best practice correlate:** 
+  [PERF02-BP01 Selezione delle migliori opzioni di elaborazione per il carico di lavoro](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_compute_hardware_select_best_compute_options.html) 
+  [PERF03-BP01 Uso di un archivio dati dedicato che supporta al meglio i requisiti di accesso e archiviazione dei dati](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_data_use_purpose_built_data_store.html) 
+  [SUS05-BP03 Utilizzo dei servizi gestiti](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_hardware_a4.html) 

 **Documenti correlati:** 
+  [Planned lifecycle events for AWS Health](https://docs.aws.amazon.com/health/latest/ug/aws-health-planned-lifecycle-events.html) 

 **Strumenti correlati:** 
+  [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) 
+  [AWS Artifact](https://aws.amazon.com/artifact/) 
+  [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **Video correlati:** 
+  [How do I migrate to an Amazon RDS or Aurora MySQL DB instance using AWS DMS?](https://www.youtube.com/watch?v=vqgSdD5vkS0) 
+  [AWS re:Invent 2023 - Manage resource lifecycle events at scale with AWS Health](https://www.youtube.com/watch?v=VoLLNL5j9NA) 

# SEC01-BP06 Implementazione automatizzata dei controlli di sicurezza standard
<a name="sec_securely_operate_automate_security_controls"></a>

 Applica pratiche DevOps moderne mentre sviluppi e implementi controlli di sicurezza standard in tutti i tuoi ambienti AWS.  Definisci controlli e configurazioni di sicurezza standard utilizzando i modelli Infrastructure as Code (IaC), acquisisci le modifiche in un sistema di controllo della versione, testa le modifiche come parte di una pipeline CI/CD e automatizza l’implementazione delle modifiche nei tuoi ambienti AWS. 

 **Risultato desiderato:** i modelli IaC acquisiscono controlli di sicurezza standardizzati, inserendoli in un sistema di controllo delle versioni.  Le pipeline CI/CD si trovano in luoghi che rilevano le modifiche e automatizzano i test e l’implementazione degli ambienti AWS.  Sono presenti guardrail per rilevare e fornire avvisi in caso di configurazioni errate nei modelli prima di procedere all’implementazione.  I carichi di lavoro vengono implementati in ambienti dotati di controlli standard.  I team hanno accesso all’implementazione di configurazioni di servizio approvate tramite un meccanismo self-service.  Sono disponibili strategie di backup e ripristino sicure per le configurazioni di controllo, gli script e i dati correlati. 

 **Anti-pattern comuni:** 
+  Apportare modifiche ai controlli di sicurezza standard manualmente, tramite una console Web o un’interfaccia a riga di comando. 
+  Affidarsi ai singoli team del carico di lavoro per implementare manualmente i controlli definiti da un team centrale. 
+  Affidarsi a un team di sicurezza centrale per implementare i controlli a livello di carico di lavoro su richiesta di un team del carico di lavoro. 
+  Consentire agli stessi individui o team di sviluppare, testare e implementare script di automazione per il controllo della sicurezza senza un’adeguata separazione dei compiti o dei controlli e degli equilibri.  

 **Vantaggi dell’adozione di questa best practice:** l’utilizzo di modelli per definire i controlli di sicurezza standard consente di tracciare e confrontare le modifiche nel tempo con un sistema di controllo delle versioni.  L’uso dell’automazione per testare e implementare le modifiche crea standardizzazione e prevedibilità, aumentando le possibilità di una corretta implementazione e riducendo le attività manuali ripetitive.  Fornire un meccanismo self-service per consentire ai team addetti al carico di lavoro di implementare servizi e configurazioni approvati riduce il rischio di configurazioni errate e usi impropri. Questo li aiuta anche a incorporare i controlli nelle prime fasi del processo di sviluppo. 

 **Livello di rischio associato se questa best practice non fosse adottata:** medio 

## Guida all’implementazione
<a name="implementation-guidance"></a>

 Se segui le pratiche illustrate in [SEC01-BP01 Separazione dei carichi di lavoro tramite account](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_multi_accounts.html), avrai più Account AWS per diversi ambienti da gestire mediante AWS Organizations.  Sebbene ciascuno di questi ambienti e carichi di lavoro possa richiedere controlli di sicurezza distinti, puoi standardizzarne alcuni in tutta l’organizzazione.  Gli esempi includono l’integrazione di gestori dell’identità digitale centralizzati, la definizione di reti e firewall e la configurazione di posizioni standard per l’archiviazione e l’analisi dei log.  Allo stesso modo in cui puoi utilizzare *infrastructure as code* (IaC) per applicare lo stesso criterio dello sviluppo del codice dell’applicazione al provisioning dell’infrastruttura, puoi usare l’IaC anche per definire e implementare controlli di sicurezza standard. 

 Se possibile, definisci i controlli di sicurezza in modo dichiarativo, ad esempio in [AWS CloudFormation](https://aws.amazon.com/cloudformation/), e archiviali in un sistema di controllo del codice sorgente.  Utilizza le pratiche DevOps per automatizzare l’implementazione dei controlli per versioni più prevedibili, test automatizzati mediante strumenti come [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) e per il rilevamento della deviazione tra i controlli implementati e la configurazione desiderata.  Puoi utilizzare servizi come [AWS CodePipeline](https://aws.amazon.com/codepipeline/), [AWS CodeBuild](https://aws.amazon.com/codebuild/) e [AWS CodeDeploy](https://aws.amazon.com/codedeploy/) per creare una pipeline CI/CD. Prendi in considerazione le linee guida in [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html) per configurare questi servizi negli account, separati dalle altre pipeline di implementazione. 

 Puoi inoltre definire modelli per standardizzare la definizione e l’implementazione di Account AWS, servizi e configurazioni.  Questa tecnica consente a un team di sicurezza centrale di gestire queste definizioni e di fornirle ai team che si occupano dei carichi di lavoro attraverso un approccio self-service.  Un modo per raggiungere questo obiettivo è utilizzare [Service Catalog](https://aws.amazon.com/servicecatalog/), dove è possibile pubblicare modelli come *prodotti* che i team addetti al carico di lavoro possono integrare nelle proprie implementazioni della pipeline.  [AWS Control Tower](https://aws.amazon.com/controltower/) offre alcuni modelli e controlli come punto di partenza.  Control Tower offre anche la funzionalità [Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/af-customization-page.html), che consente ai team addetti al carico di lavoro di creare di nuovi Account AWS mediante gli standard definiti da te.  Questa funzionalità aiuta a rimuovere le dipendenze da un team centrale per l’approvazione e la creazione di nuovi account quando vengono identificati come necessari dai team del carico di lavoro.  Potresti aver bisogno di questi account per isolare i diversi componenti del carico di lavoro in base a motivi quali la funzione che svolgono, la sensibilità dei dati elaborati o il loro comportamento. 

## Passaggi dell’implementazione
<a name="implementation-steps"></a>

1.  Determina come archivierai e manterrai i tuoi modelli in un sistema di controllo delle versioni. 

1.  Crea pipeline CI/CD per testare e implementare i tuoi modelli.  Definisci i test per verificare che non ci siano configurazioni errate e che i modelli siano conformi agli standard aziendali. 

1.  Crea un catalogo di modelli standardizzati affinché i team addetti al carico di lavoro possano implementare Account AWS e fornire servizi in base alle tue esigenze. 

1.  Implementa strategie di backup e ripristino sicure per le configurazioni di controllo, gli script e i dati correlati. 

## Risorse
<a name="resources"></a>

 **Best practice correlate:** 
+  [OPS05-BP01 Utilizzo del controllo delle versioni](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_version_control.html) 
+  [OPS05-BP04 Utilizzo di sistemi di gestione della compilazione e implementazione](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_build_mgmt_sys.html) 
+  [REL08-BP05 Implementazione delle modifiche tramite automazione](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_tracking_change_management_automated_changemgmt.html) 
+  [SUS06-BP01 Adozione di metodi che consentano di introdurre rapidamente migliorie in tema di sostenibilità](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_dev_a2.html) 

 **Documenti correlati:** 
+  [Organizzazione dell’ambiente AWS che utilizza più account](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html) 

 **Esempi correlati:** 
+  [Automate account creation, and resource provisioning using Service Catalog, AWS Organizations, and AWS Lambda](https://aws.amazon.com/blogs/mt/automate-account-creation-and-resource-provisioning-using-aws-service-catalog-aws-organizations-and-aws-lambda/) 
+  [Strengthen the DevOps pipeline and protect data with Gestione dei segreti AWS, AWS KMS, and AWS Certificate Manager](https://aws.amazon.com/blogs/security/strengthen-the-devops-pipeline-and-protect-data-with-aws-secrets-manager-aws-kms-and-aws-certificate-manager/) 

 **Strumenti correlati:** 
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [Landing Zone Accelerator on AWS](https://github.com/awslabs/landing-zone-accelerator-on-aws) 

# SEC01-BP07 Identificare le minacce e dare priorità alle mitigazioni utilizzando un modello di minaccia.
<a name="sec_securely_operate_threat_model"></a>

 Effettua la modellazione delle minacce per identificare e mantenere un registro aggiornato delle minacce potenziali e delle relative mitigazioni per il carico di lavoro. Definisci le priorità delle minacce e adatta le mitigazioni dei controlli di sicurezza per prevenire, intercettare e rispondere. Riesamina e mantieni questo aspetto nel contesto del tuo carico di lavoro e dell’evoluzione del panorama della sicurezza. 

 **Livello di rischio associato se questa best practice non fosse adottata:** elevato 

## Guida all’implementazione
<a name="implementation-guidance"></a>

 **Che cos’è la modellazione delle minacce?** 

 "La modellazione delle minacce mira a identificare, comunicare e comprendere minacce e mitigazioni nel contesto della protezione di qualcosa di valore". – [The Open Web Application Security Project (OWASP) Application Threat Modeling](https://owasp.org/www-community/Threat_Modeling) 

 **Perché adottare la modellazione delle minacce?** 

 I sistemi sono complessi, e nel tempo lo diventano sempre di più, e capaci di fornire un maggiore valore aziendale e una maggiore soddisfazione e coinvolgimento dei clienti. Ciò significa che le decisioni di progettazione IT devono tenere conto di un numero sempre maggiore di casi d’uso. Questa complessità e il numero di combinazioni di casi d’uso rendono in genere gli approcci non strutturati inefficaci per individuare e mitigare le minacce. È invece necessario un approccio sistematico per enumerare le potenziali minacce al sistema ed elaborare le mitigazioni, oltre che per stabilirne le priorità per assicurarsi che le risorse limitate dell’organizzazione abbiano il massimo impatto nel migliorare lo stato di sicurezza complessiva del sistema. 

 La modellazione delle minacce è progettata per offrire questo approccio sistematico, con l’obiettivo di trovare e affrontare i problemi nelle prime fasi del processo di progettazione, quando le mitigazioni hanno un costo e un impegno relativi bassi rispetto alle fasi successive del ciclo di vita. Questo approccio è in linea con il principio di sicurezza [https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview](https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview). In definitiva, la modellazione delle minacce si integra con il processo di gestione del rischio di un’organizzazione e aiuta a prendere decisioni sui controlli da implementare utilizzando un approccio orientato alle minacce. 

 **Quando eseguire la modellazione delle minacce?** 

 La modellazione delle minacce deve essere avviata il prima possibile nel ciclo di vita del carico di lavoro, in modo da avere una maggiore flessibilità di intervento sulle minacce identificate. Come per i bug del software, prima si identificano le minacce, più è conveniente affrontarle. Un modello di minacce è un documento vivo e deve continuare a evolvere in base ai cambiamenti dei carichi di lavoro. I modelli di minaccia vanno riesaminati nel tempo, anche in caso di modifiche importanti, di cambiamenti nel panorama delle minacce o di adozione di nuove funzionalità o servizi. 

### Passaggi dell’implementazione
<a name="implementation-steps"></a>

 **In che modo è possibile eseguire la modellazione delle minacce?** 

 Esistono diversi modi per eseguire la modellazione delle minacce. Come per i linguaggi di programmazione, anche in questo caso ci sono vantaggi e svantaggi e bisogna scegliere il metodo più adatto alle proprie esigenze. Un approccio consiste nell’iniziare con [4 domande per la modellazione delle minacce di Shostack](https://github.com/adamshostack/4QuestionFrame), che pone domande aperte per fornire una struttura per il tuo esercizio di modellazione delle minacce: 

1.  **A cosa si sta lavorando?** 

    Questa domanda ha lo scopo di aiutare a comprendere e concordare il sistema che si sta costruendo e i dettagli di tale sistema che sono rilevanti per la sicurezza. La creazione di un modello o di un diagramma è la soluzione più comune per rispondere a questa domanda, in quanto consente di visualizzare ciò che si sta creando, ad esempio utilizzando un [diagramma di flusso dei dati](https://en.wikipedia.org/wiki/Data-flow_diagram). Scrivere ipotesi e dettagli importanti del sistema aiuta anche a definire l’ambito di applicazione. In questo modo, tutti coloro che contribuiscono alla modellazione delle minacce possono concentrarsi sullo stesso aspetto, evitando deviazioni dispendiose in termini di tempo su argomenti fuori portata (comprese le versioni non aggiornate del sistema). Ad esempio, se si sta realizzando un’applicazione Web, probabilmente non vale la pena procedere alla modellazione per la sequenza di avvio attendibile del sistema operativo per i browser client, poiché non si ha la possibilità di influire su questo aspetto con il proprio progetto. 

1.  **Che cosa può andare storto?** 

    In questa fase si identificano le minacce al sistema. Le minacce sono azioni o eventi accidentali o intenzionali che producono impatti indesiderati e potrebbero compromettere la sicurezza del sistema. Senza una visione chiara di ciò che potrebbe andare storto, non è possibile fare nulla per evitarlo. 

    Non esiste un elenco canonico di ciò che può andare storto. La creazione di questo elenco richiede un brainstorming e la collaborazione tra tutte le persone del team e le [persone pertinenti coinvolte](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/#tips) nell’esercizio di modellazione delle minacce. Per semplificare il brainstorming, utilizza un modello per identificare le minacce, come [STRIDE](https://en.wikipedia.org/wiki/STRIDE_(security)), che suggerisce diverse categorie da valutare: spoofing, manomissione, ripudio, divulgazione di informazioni, negazione del servizio ed elevazione dei privilegi. Inoltre, potresti contribuire al brainstorming consultando gli elenchi esistenti e traendone ispirazione, tra cui [OWASP Top 10](https://owasp.org/www-project-top-ten/), [HiTrust Threat Catalog](https://hitrustalliance.net/hitrust-threat-catalogue/) e il catalogo delle minacce della tua organizzazione. 

1.  **Cosa si intende fare al riguardo?** 

    Come nel caso della domanda precedente, non esiste un elenco canonico di tutte le possibili mitigazioni. Gli input di questa fase sono le minacce, gli attori e le aree di miglioramento identificate nella fase precedente. 

    Sicurezza e conformità sono una [responsabilità condivisa tra AWS e l’utente](https://aws.amazon.com/compliance/shared-responsibility-model/). È importante capire che quando si chiede "Che si farà al riguardo?", si chiede anche "Chi è responsabile? Chi ha la responsabilità di fare qualcosa?" Comprendere l’equilibrio delle responsabilità tra utente e AWS consente di limitare l’esercizio di modellazione delle minacce alle mitigazioni sotto il proprio controllo, che di solito sono una combinazione di opzioni di configurazione del servizio AWS e di mitigazioni specifiche del proprio sistema. 

    In merito alla parte di responsabilità di AWS condivisa, scoprirai che i [servizi AWS rientrano nell’ambito di molti programmi di conformità](https://aws.amazon.com/compliance/services-in-scope/). Questi programmi aiutano a comprendere i solidi controlli in atto presso AWS per mantenere la sicurezza e la conformità del cloud. I report di audit di questi programmi possono essere scaricati per i clienti AWS da [AWS Artifact](https://aws.amazon.com/artifact/). 

    Indipendentemente dai servizi AWS utilizzati, c’è sempre una responsabilità del cliente e le mitigazioni allineate a tale responsabilità devono essere incluse nel modello di minaccia. Per quanto riguarda le mitigazioni dei controlli di sicurezza per i servizi AWS stessi, è necessario considerare l’implementazione dei controlli di sicurezza in tutti i domini, compresi quelli quali la gestione delle identità e degli accessi (autenticazione e autorizzazione), la protezione dei dati (a riposo e in transito), la sicurezza dell’infrastruttura, la creazione di log e il monitoraggio. La documentazione di ciascun servizio AWS prevede un [capitolo dedicato alla sicurezza](https://docs.aws.amazon.com/security/), con indicazioni sui controlli di sicurezza da prendere in considerazione come mitigazioni. È importante considerare il codice che si sta scrivendo e le sue dipendenze e pensare ai controlli attuabili per affrontare queste minacce. Questi controlli potrebbero corrispondere a elementi quali la [convalida degli input](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html), la [gestione delle sessioni](https://owasp.org/www-project-mobile-top-10/2014-risks/m9-improper-session-handling) e la [gestione dei limiti](https://owasp.org/www-community/vulnerabilities/Buffer_Overflow). Spesso la maggior parte delle vulnerabilità viene introdotta nel codice personalizzato, quindi è bene concentrarsi su quest’area. 

1.  **È stato fatto un buon lavoro?** 

    L’obiettivo è il miglioramento da parte del team e dell’organizzazione sia della qualità dei modelli di minacce sia della relativa velocità di esecuzione nel tempo. Questi miglioramenti derivano da una combinazione di pratica, apprendimento, insegnamento e revisione. Per approfondire e sperimentare nella pratica, è consigliabile che tu e il tuo team completiate il corso di formazione [Threat modeling the right way for builders training course](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) o il [workshop](https://catalog.workshops.aws/threatmodel/en-US). Inoltre, se stai cercando indicazioni su come integrare la modellazione delle minacce nel ciclo di vita di sviluppo delle applicazioni della tua organizzazione, consulta il post [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) sul blog di AWS sulla sicurezza. 

 **Threat Composer** 

 Come strumento di ausilio e guida nella modellazione delle minacce, prendi in considerazione l’utilizzo dello strumento [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer), il cui scopo è ridurre il time-to-value di questa attività. Lo strumento consente di eseguire le seguenti operazioni: 
+  Scrivere dichiarazioni utili sulle minacce in linea con la [sintassi delle minacce](https://catalog.workshops.aws/threatmodel/en-US/what-can-go-wrong/threat-grammar) che funzionino in un flusso di lavoro naturale non lineare 
+  Generare un modello di minaccia leggibile dall’uomo 
+  Generare un modello di minaccia leggibile dal computer per consentire la gestione dei modelli di minaccia come codice 
+  Velocizzare l’individuazione delle aree di miglioramento della qualità e della copertura utilizzando l’area del pannello di controllo contenente le informazioni dettagliate 

 Per ulteriori informazioni, visita Threat Composer e passa all’**area di lavoro esemplificativa** definita dal sistema. 

## Risorse
<a name="resources"></a>

 **Best practice correlate:** 
+  [SEC01-BP03 Identificazione e convalida degli obiettivi di controllo](sec_securely_operate_control_objectives.md) 
+  [SEC01-BP04 Aggiornamento continuo sulle minacce alla sicurezza e sulle raccomandazioni](sec_securely_operate_updated_threats.md) 
+  [SEC01-BP05 Riduzione dell’ambito di gestione della sicurezza](sec_securely_operate_reduce_management_scope.md) 
+  [SEC01-BP08 Valutazione e implementazione periodiche di nuovi servizi e funzionalità di sicurezza](sec_securely_operate_implement_services_features.md) 

 **Documenti correlati:** 
+  [Come approcciare la modellazione delle minacce](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (AWS Security Blog) 
+ [ NIST: Guide to Data-Centric System Threat modeling ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)

 **Video correlati:** 
+ [AWS Summit ANZ 2021 - How to approach threat modelling ](https://www.youtube.com/watch?v=GuhIefIGeuA)
+ [AWS Summit ANZ 2022 - Scaling security – Optimise for fast and secure delivery ](https://www.youtube.com/watch?v=DjNPihdWHeA)

 **Formazione correlata:** 
+ [ Threat modeling the right way for builders – AWS Skill Builder virtual self-paced training ](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)
+ [ Threat modeling the right way for builders – AWS Workshop ](https://catalog.workshops.aws/threatmodel)

 **Strumenti correlati:** 
+  [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer) 

# SEC01-BP08 Valutazione e implementazione periodiche di nuovi servizi e funzionalità di sicurezza
<a name="sec_securely_operate_implement_services_features"></a>

 Valuta e implementa servizi e funzionalità di sicurezza di AWS e partner AWS che consentano di sviluppare l’assetto di sicurezza del carico di lavoro.  

 **Risultato desiderato:** hai adottato una procedura standard che ti informa su nuovi servizi e funzionalità rilasciati da AWS e dai partner AWS. Puoi valutare come queste nuove funzionalità influenzino la progettazione di controlli attuali e nuovi per i tuoi ambienti e carichi di lavoro. 

 **Anti-pattern comuni:** 
+  Non ti iscrivi ai blog e ai feed RSS di AWS per conoscere rapidamente le nuove funzionalità e i servizi più importanti. 
+  Fai affidamento su notizie e aggiornamenti sui servizi e sulle funzioni di sicurezza provenienti da fonti di seconda mano 
+  Non incoraggi gli utenti AWS della tua organizzazione a rimanere informati sugli ultimi aggiornamenti 

 **Vantaggi dell’adozione di questa best practice:** rimanere aggiornati sui nuovi servizi e funzionalità di sicurezza, consente di adottare decisioni informate sull’implementazione dei controlli negli ambienti cloud e nei carichi di lavoro. Queste origini contribuiscono ad aumentare la consapevolezza dell’evoluzione del panorama della sicurezza e di come i servizi AWS possano essere utilizzati per proteggersi dalle minacce nuove ed emergenti.   

 **Livello di rischio associato se questa best practice non fosse adottata:** basso 

## Guida all’implementazione
<a name="implementation-guidance"></a>

 AWS informa i clienti sui nuovi servizi e funzionalità di sicurezza attraverso diversi canali: 
+  [AWS What’s New](https://aws.amazon.com/new) 
+  [AWS Blog delle novità](https://aws.amazon.com/blogs/aws/) 
+  [AWS Security Blog](https://aws.amazon.com/blogs/security/) 
+  [AWS Security Bulletins](https://aws.amazon.com/security/security-bulletins/) 
+  [AWS documentation overview](https://aws.amazon.com/documentation/) 

 Puoi iscriverti a un argomento [AWS Daily Feature Updates](https://aws.amazon.com/blogs/aws/subscribe-to-aws-daily-feature-updates-via-amazon-sns/) utilizzando Amazon Simple Notification Service (Amazon SNS) per un riepilogo giornaliero completo degli aggiornamenti. Alcuni servizi di sicurezza, come [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_sns.html) e [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-announcements.html), forniscono i propri argomenti SNS in modo da restare informati su nuovi standard, esiti e altri aggiornamenti di questi particolari servizi. 

 Anche durante [conferenze, eventi e webinar](https://aws.amazon.com/events/) che si tengono ogni anno in tutto il mondo, vengono annunciati nuovi servizi e funzionalità. Segnaliamo in particolare conferenza annuale sulla sicurezza [AWS re:Inforce](https://reinforce.awsevents.com/) e la conferenza più generale [AWS re:Invent](https://reinvent.awsevents.com/). I canali di notizie AWS di cui sopra condividono questi annunci relativi a conferenze sulla sicurezza e su altri servizi. Inoltre, puoi guardare le sessioni breakout di approfondimento didattiche online sul [ canale AWS Events channel](https://www.youtube.com/c/AWSEventsChannel) e su YouTube. 

 Puoi anche chiedere al [team del tuo Account AWS](https://aws.amazon.com/startups/learn/meet-your-aws-account-team) informazioni sugli aggiornamenti e consigli più recenti sui servizi di sicurezza. Puoi contattare il team tramite il [modulo Sales Support](https://aws.amazon.com/contact-us/sales-support/) se non disponi dei loro recapiti diretti. Allo stesso modo, se sei abbonato al [supporto AWS Enterprise, ](https://aws.amazon.com/premiumsupport/plans/enterprise/)riceverai aggiornamenti settimanali dal tuo Technical Account Manager (TAM) e potrai programmare una riunione di revisione regolare con lo stesso. 

### Passaggi dell’implementazione
<a name="implementation-steps"></a>

1.  Iscriviti ai vari blog e bollettini con il tuo lettore RSS preferito o all’argomento Daily Features Updates SNS. 

1.  Valuta gli eventi AWS a cui partecipare per conoscere in prima persona nuove funzionalità e servizi. 

1.  Organizza riunioni con il team Account AWS per qualsiasi domanda sull’aggiornamento dei servizi e delle funzionalità di sicurezza. 

1.  Prendi in considerazione la possibilità di abbonarti a Enterprise Support per avere consulenze regolari con un Technical Account Manager (TAM). 

## Risorse
<a name="resources"></a>

 **Best practice correlate:** 
+  [PERF01-BP01 Informazioni e identificazione dei servizi e delle funzionalità cloud disponibili](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_understand_cloud_services_and_features.html) 
+  [COST01-BP07 Mantenimento dell’aggiornamento sulle nuove versioni dei servizi](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_cloud_financial_management_scheduled.html)