# Protezione dei dati a riposo
I *dati a riposo* rappresentano tutti i dati conservati nello storage non volatile per qualsiasi durata del carico di lavoro. Sono inclusi storage a blocchi, storage di oggetti, database, archivi, dispositivi IoT e qualsiasi altro supporto di storage su cui sono conservati i dati. La protezione dei dati a riposo riduce il rischio di accesso non autorizzato quando vengono implementati crittografia e controlli degli accessi adeguati.
La crittografia e la tokenizzazione sono due metodi di protezione dei dati importanti ma diversi.
La *tokenizzazione* è un processo che consente di definire un token per rappresentare un'informazione altrimenti sensibile (ad esempio, un token per rappresentare il numero di carta di credito di un cliente). Un token deve essere privo di significato e non deve derivare dai dati di cui sta effettuando la tokenizzazione; pertanto, un digest crittografico non è utilizzabile come token. Pianificando attentamente l'approccio alla tokenizzazione, puoi fornire una protezione aggiuntiva ai contenuti e assicurarti di soddisfare i requisiti di conformità. Ad esempio, puoi limitare l'ambito di conformità di un sistema di elaborazione delle carte di credito se utilizzi un token anziché un numero di carta di credito.
La *crittografia* è un sistema per trasformare i contenuti in modo da renderli illeggibili senza una chiave segreta necessaria per decrittare di nuovo i contenuti in testo normale. Sia la tokenizzazione che la crittografia possono essere utilizzate per mettere in sicurezza e proteggere le informazioni nel modo più adeguato. Inoltre, il mascheramento è una tecnica che consente di redigere una parte di dati fino a un punto in cui i dati rimanenti non sono considerati sensibili. Ad esempio, PCI-DSS consente di conservare le ultime quattro cifre di un numero di carta fuori dal limite dell'ambito di conformità per l'indicizzazione.
**Audit dell'utilizzo delle chiavi di crittografia:** assicurati di comprendere e controllare l'uso delle chiavi di crittografia per convalidare che i meccanismi di controllo degli accessi sulle chiavi siano implementati in modo appropriato. Ad esempio, qualsiasi servizio AWS che utilizza una chiave AWS KMS registra ogni utilizzo in AWS CloudTrail. Puoi quindi eseguire query AWS CloudTrail utilizzando uno strumento come gli Approfondimenti di Amazon CloudWatch Logs, per assicurarti che tutti gli utilizzi delle chiavi siano validi.
**Topics**
+ [SEC08-BP01 Implementazione della gestione sicura delle chiavi](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Applicazione della crittografia dei dati a riposo](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatizzazione della protezione dei dati a riposo](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Applicazione del controllo degli accessi](sec_protect_data_rest_access_control.md)
# SEC08-BP01 Implementazione della gestione sicura delle chiavi
La gestione sicura delle chiavi include l’archiviazione, la rotazione, il controllo degli accessi e il monitoraggio del materiale relativo alla chiave necessario per proteggere i dati a riposo per il carico di lavoro.
**Risultato desiderato:** disponibilità di un meccanismo di gestione delle chiavi scalabile, ripetibile e automatizzato. Il meccanismo applica l’accesso con privilegio minimo al materiale relativo alle chiavi e offre il giusto equilibrio tra disponibilità, riservatezza e integrità delle chiavi. È possibile monitorare l’accesso alle chiavi e, se è necessaria la rotazione del materiale delle chiavi, tale operazione può essere eseguita tramite un processo automatizzato. L’accesso al materiale delle chiavi da parte di operatori umani non è consentito.
**Anti-pattern comuni:**
+ Accesso umano a materiale relativo alla chiave non crittografato.
+ Creazione di algoritmi crittografici personalizzati.
+ Autorizzazioni di accesso al materiale relativo alla chiave di accesso troppo ampie.
**Vantaggi dell’adozione di questa best practice:** predisponendo un meccanismo di gestione delle chiavi sicuro per il tuo carico di lavoro, puoi contribuire a proteggere i contenuti dagli accessi non autorizzati. Inoltre, la crittografia dei dati potrebbe essere prevista da requisiti normativi per la tua organizzazione. Una soluzione efficace di gestione delle chiavi può fornire meccanismi tecnici finalizzati alla protezione del materiale relativo alle chiavi in linea con tali normative.
**Livello di rischio associato se questa best practice non fosse adottata:** elevato
## Guida all’implementazione
La crittografia dei dati a riposo è un controllo di sicurezza fondamentale. Il carico di lavoro necessita di un meccanismo per archiviare e gestire in modo sicuro il materiale relativo alla chiave utilizzato per crittografare i dati a riposo.
AWS offre AWS Key Management Service (AWS KMS) per fornire uno spazio di archiviazione durevole, sicuro e ridondante per le chiavi AWS KMS. [Molti servizi AWS si integrano con AWS KMS](https://aws.amazon.com/kms/features/#integration) per supportare la crittografia dei dati. AWS KMS utilizza moduli di sicurezza hardware conformi allo standard FIPS 140-3 di livello 3 per proteggere le chiavi. Non esiste un meccanismo per esportare le chiavi AWS KMS convertendole in testo semplice.
Nell’implementazione di carichi di lavoro mediante una strategia multi-account, le chiavi AWS KMS devono essere conservate nello stesso account del carico di lavoro che le utilizza. [In questo modello distribuito](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html#app-kms) la responsabilità della gestione delle chiavi AWS KMS spetta al tuo team. In altri casi d’uso, la tua organizzazione può scegliere di archiviare le chiavi AWS KMS in un account centralizzato. Questa struttura centralizzata richiede policy aggiuntive per consentire l’accesso multi-account richiesto affinché l’account del carico di lavoro possa accedere alle chiavi di accesso archiviate nell’account centralizzato, ma può essere più applicabile nei casi d’uso in cui una singola chiave è condivisa tra Account AWS multipli.
Indipendentemente dalla posizione in cui è archiviato il materiale relativo alla chiave, l’accesso alla chiave deve essere strettamente controllato mediante l’uso di [policy della chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) e policy IAM. Le policy della chiave costituiscono la modalità principale per controllare l’accesso a una chiave AWS KMS. Inoltre, AWS KMS garantisce che le chiavi possano fornire l’accesso ai servizi AWS per crittografare e decrittografare i dati per tuo conto. Consulta le [linee guida per il controllo degli accessi alle chiavi AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html).
È necessario monitorare l’uso delle chiavi di crittografia per rilevare eventuali modelli di accesso insoliti. Le operazioni eseguite utilizzando chiavi gestite da AWS e chiavi gestite dal cliente archiviate in AWS KMS, possono essere registrate in AWS CloudTrail e devono essere riviste periodicamente. Presta particolare attenzione al monitoraggio degli eventi di eliminazione delle chiavi. Per ridurre le probabilità di distruzione accidentale o dolosa del materiale relativo alla chiave, gli eventi di eliminazione delle chiavi non hanno efficacia immediata. I tentativi di eliminazione delle chiavi in AWS KMS sono soggetti a un [periodo di attesa](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-how-it-works), che per impostazione predefinita è di 30 giorni (con un minimo di 7 giorni), così da garantire agli amministratori il tempo di rivedere queste azioni e annullare la richiesta, se necessario.
La maggior parte dei servizi AWS utilizza AWS KMS secondo una modalità chiara per te: il tuo unico requisito è decidere se utilizzare una chiave gestita da AWS o dal cliente. Se il carico di lavoro richiede l’uso diretto di AWS KMS per crittografare o decrittografare i dati, occorre utilizzare la [crittografia a busta](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) per proteggere i tuoi dati. L’[SDK di crittografia di AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) è in grado di fornire alle applicazioni primitive la crittografia lato client per implementare la crittografia a busta e integrarle con AWS KMS.
### Passaggi dell’implementazione
1. Determina le [opzioni di gestione delle chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) adeguate (gestite da AWS o dal cliente) per la chiave.
1. Per facilitare l’uso, AWS offre chiavi AWS di proprietà e gestite da AWS per la maggior parte dei servizi, fornendo funzionalità di crittografia a riposo senza la necessità di gestire il materiale o le policy della chiave.
1. Quando utilizzi chiavi gestite dal cliente, prendi in considerazione il keystore predefinito per fornire il miglior equilibrio tra agilità, sicurezza, sovranità dei dati e disponibilità. Per altri casi d’uso può essere richiesto l’uso di archivi di chiavi personalizzati con [AWS CloudHSM](https://aws.amazon.com/cloudhsm/) o l’[archivio chiavi esterno](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html).
1. Consulta l’elenco dei servizi che stai utilizzando per il tuo carico di lavoro per capire come AWS KMS si integra con il servizio. Ad esempio, le istanze EC2 possono utilizzare volumi EBS crittografati; verifica che anche gli snapshot Amazon EBS create da tali volumi siano crittografate utilizzando una chiave gestita dal cliente e mitigando la divulgazione accidentale di dati di snapshot non crittografati.
1. [How AWS services use AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/service-integration.html)
1. Per informazioni dettagliate sulle opzioni di crittografia offerte da un servizio AWS, consulta l’argomento relativo alla crittografia dei dati a riposo nella guida per l’utente o nella guida per gli sviluppatori del servizio.
1. Implementa AWS KMS: AWS KMS semplifica la creazione e la gestione delle chiavi e controlla l’uso della crittografia in un’ampia gamma di servizi AWS e nelle tue applicazioni.
1. [Nozioni di base: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
1. Consulta le [best practices for access control to your AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html).
1. Considera l’SDK di crittografia AWS: utilizza l’SDK di crittografia AWS con l’integrazione di AWS KMS quando la tua applicazione deve crittografare i dati lato client.
1. [SDK di crittografia AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
1. Abilita [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) per rivedere e inviare notifiche in automatico se esistono policy della chiave AWS KMS eccessivamente permissive.
1. Valuta la possibilità di utilizzare [controlli delle policy personalizzati](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CheckNoPublicAccess.html) per verificare che l’aggiornamento di una policy delle risorse non conceda l’accesso pubblico alle chiavi KMS.
1. Abilita [Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html) per ricevere notifiche in caso di policy della chiave configurate in modo errato, chiavi programmate per essere eliminate o chiavi senza la rotazione automatica abilitata.
1. Determina il livello di log appropriato per le tue chiavi AWS KMS. Poiché le chiamate a AWS KMS, inclusi gli eventi di sola lettura, vengono registrate, i log CloudTrail associati a AWS KMS possono diventare voluminosi.
1. Alcune organizzazioni preferiscono la segregazione dell’attività di log di AWS KMS in un percorso separato. Per maggiori dettagli, consulta la sezione [Logging AWS KMS API calls with CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) della guida per gli sviluppatori AWS KMS.
## Risorse
**Documenti correlati:**
+ [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
+ [AWS cryptographic services and tools](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Protezione dei dati Amazon S3 tramite la crittografia](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
+ [Crittografia envelope](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)
+ [Impegno per la sovranità digitale](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/)
+ [Demystifying AWS KMS key operations, bring your own key, custom key store, and ciphertext portability](https://aws.amazon.com/blogs/security/demystifying-kms-keys-operations-bring-your-own-key-byok-custom-key-store-and-ciphertext-portability/)
+ [AWS Key Management Service Dettagli della crittografia di](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Video correlati:**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
+ [AWS data protection: Using locks, keys, signatures, and certificates](https://www.youtube.com/watch?v=lD34wbc7KNA)
**Esempi correlati:**
+ [Implement advanced access control mechanisms using AWS KMS](https://catalog.workshops.aws/advkmsaccess/en-US/introduction)
# SEC08-BP02 Applicazione della crittografia dei dati a riposo
Crittografando i dati privati a riposo è possibile mantenere la riservatezza e fornire un ulteriore livello di protezione contro la divulgazione o esfiltrazione involontaria dei dati. La crittografia protegge i dati in modo che non possano essere letti o consultati senza prima essere stati decrittografati. Effettua un inventario e un controllo dei dati non crittografati per mitigare i rischi associati all'esposizione dei dati.
**Risultato desiderato:** disponi di meccanismi che effettuano la crittografia dei dati privati per impostazione predefinita quando sono a riposo. Questi meccanismi aiutano a mantenere la riservatezza dei dati e forniscono un ulteriore livello di protezione contro la divulgazione o esfiltrazione involontaria dei dati. Mantieni un inventario dei dati non crittografati e comprendi i controlli in atto per proteggerli.
**Anti-pattern comuni:**
+ Mancato utilizzo di configurazioni con crittografia predefinita.
+ Accesso estremamente permissivo alle chiavi di decrittografia.
+ Mancato monitoraggio dell'uso delle chiavi di crittografia e decrittografia.
+ Memorizzazione di dati non crittografati.
+ Utilizzo della stessa chiave di crittografia per tutti i dati, indipendentemente dall'uso, dal tipo e dalla classificazione dei dati stessi.
**Livello di rischio associato se questa best practice non fosse adottata:** elevato
## Guida all'implementazione
Mappa le chiavi di crittografia in base alle classificazioni dei dati all'interno dei carichi di lavoro. Questo approccio favorisce la protezione dei dati da accessi eccessivamente permissivi in caso di utilizzo di una sola chiave di crittografia o di un numero molto ridotto di chiavi di crittografia (vedi [SEC07-BP01 Comprendere lo schema di classificazione dei dati](sec_data_classification_identify_data.md)).
AWS Key Management Service (AWS KMS) si integra con molti servizi AWS per semplificare la crittografia dei dati a riposo. Ad esempio, in Amazon Elastic Compute Cloud (Amazon EC2) puoi impostare la [crittografia predefinita](https://docs.aws.amazon.com/ebs/latest/userguide/work-with-ebs-encr.html#encryption-by-default) sugli account in modo che i nuovi volumi EBS vengano crittografati in automatico. Quando utilizzi AWS KMS, devi considerare il livello di restrizione dei dati. Le chiavi AWS KMS predefinite e controllate dal servizio sono gestite e utilizzate da AWS per tuo conto. Per i dati sensibili che richiedono un accesso granulare alla chiave di crittografia sottostante, è opportuno considerare le chiavi gestite dal cliente (CMK). L'utente ha il pieno controllo sulle CMK, anche per quanto riguarda la rotazione e la gestione degli accessi attraverso l'uso di policy sulla chiave.
Inoltre, servizi come Amazon Simple Storage Service ([Amazon S3](https://aws.amazon.com/blogs/aws/amazon-s3-encrypts-new-objects-by-default/)) effettuano ora la crittografia di tutti i nuovi oggetti per impostazione predefinita. Questa implementazione offre una maggiore sicurezza senza alcun impatto sulle prestazioni.
Altri servizi, ad esempio [Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) (Amazon EC2) o [Amazon Elastic File System](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/efs.html) (Amazon EFS), supportano impostazioni per la crittografia predefinita. Puoi utilizzare anche [Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) per verificare in automatico che sia in uso la crittografia per i [volumi Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), le [istanze Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html), i [bucket Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html) e altri servizi all'interno della tua organizzazione.
AWS offre anche soluzioni per la crittografia lato client, consentendo di crittografare i dati prima di caricarli nel cloud. AWS Encryption SDK offre un modo per la crittografia dei dati mediante la [crittografia a busta](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping). L'utente fornisce la chiave di wrapping e AWS Encryption SDK genera una chiave dati unica per ogni oggetto di dati che crittografa. Prendi in considerazione AWS CloudHSM se hai bisogno di un modulo di sicurezza hardware (HSM) gestito single-tenant. AWS CloudHSM consente di generare, importare e gestire le chiavi crittografiche su un HSM convalidato FIPS 140-2 di livello 3. Alcuni casi d'uso di AWS CloudHSM includono la protezione delle chiavi private per il rilascio di un'autorità di certificazione (CA) e l'abilitazione della crittografia dei dati trasparente (TDE) per i database Oracle. Il client SDK AWS CloudHSM fornisce un software che consente di crittografare i dati sul lato client utilizzando le chiavi memorizzate all'interno di AWS CloudHSM prima di caricare i dati in AWS. La crittografia lato client Amazon DynamoDB consente inoltre di crittografare e firmare gli elementi prima del caricamento in una tabella DynamoDB.
### Passaggi dell'implementazione
+ **Configura **[https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)**:** specifica che desideri che tutti i volumi Amazon EBS appena creati vengano creati in forma crittografata, con la possibilità di utilizzare la chiave predefinita fornita da AWS oppure una chiave creata da te.
+ **Configura Amazon Machine Image (AMI) crittografate:** copiando un'AMI esistente con crittografia abilitata, verrà eseguita la crittografia automatica di volumi root e snapshot.
+ **Configura la **[https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)**:** configura la crittografia per cluster e snapshot del database Amazon RDS a riposo abilitando l'opzione di crittografia.
+ **Crea e configura chiavi AWS KMS con policy che limitano l'accesso ai principali opportuni per ciascuna classificazione dei dati:** ad esempio, crea una chiave AWS KMS per la crittografia dei dati di produzione e una chiave diversa per quella dei dati di sviluppo o di test. Puoi anche fornire l'accesso alle chiavi ad altri Account AWS. Considera la possibilità di predisporre account diversi per gli ambienti di sviluppo e di produzione. Qualora il tuo ambiente di produzione richieda la decodifica degli artefatti nell'account di sviluppo, puoi modificare la policy CMK utilizzata in modo da crittografare gli artefatti di sviluppo per consentire all'account di produzione di decrittografare tali artefatti. L'ambiente di produzione può quindi importare i dati decrittografati per utilizzarli nella produzione.
+ **Configura la crittografia nei servizi AWS aggiuntivi:** per gli altri servizi AWS che utilizzi, consulta la [documentazione di sicurezza](https://docs.aws.amazon.com/security/) relativa al servizio interessato per determinare le opzioni di crittografia del servizio.
## Risorse
**Documenti correlati:**
+ [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [AWS KMS Cryptographic Details Whitepaper](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS cryptographic services and tools](https://docs.aws.amazon.com/aws-crypto-tools/)
+ [Amazon EBS Encryption](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Default encryption for Amazon EBS volumes](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [Encrypting Amazon RDS Resources](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [Come si attiva la crittografia predefinita per un bucket Amazon S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [Protezione dei dati Amazon S3 tramite la crittografia](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Video correlati:**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 Automatizzazione della protezione dei dati a riposo
Usa l'automazione per convalidare e applicare i controlli dei dati a riposo. Usa la scansione automatica per rilevare le configurazioni errate delle soluzioni di archiviazione di dati ed esegui le correzioni attraverso la risposta programmatica automatica, ove possibile. Incorpora l'automazione nei tuoi processi CI/CD per rilevare le configurazioni errate dell'archiviazione di dati prima che vengano implementate in produzione.
**Risultato desiderato:** scansione e monitoraggio da parte di sistemi automatizzati delle posizioni di archiviazione di dati per individuare configurazioni errate dei controlli, accessi non autorizzati e usi imprevisti. Il rilevamento delle posizioni di archiviazione non configurate avvia correzioni automatiche. I processi automatizzati creano backup dei dati e archiviano copie immutabili al di fuori dell'ambiente originale.
**Anti-pattern comuni:**
+ Mancata tenuta in considerazione delle opzioni per abilitare la crittografia dalle impostazioni predefinite, ove supportate.
+ Mancata tenuta in considerazione degli eventi di sicurezza, oltre a quelli operativi, quando si formula una strategia di backup e ripristino automatizzata.
+ Mancata applicazione delle impostazioni di accesso pubblico per i servizi di archiviazione.
+ Assenza di monitoraggio e audit dei controlli per proteggere i dati a riposo.
**Vantaggi dell'adozione di questa best practice:** prevenzione grazie all'automazione del rischio di configurazioni errate delle posizioni di archiviazione di dati e dell'ingresso di configurazioni errate negli ambienti di produzione. Questa best practice aiuta anche a rilevare e correggere eventuali configurazioni errate.
**Livello di rischio associato se questa best practice non fosse adottata:** medio
## Guida all'implementazione
L'automazione è un tema ricorrente in tutte le pratiche per la protezione dei dati a riposo. [SEC01-BP06 Implementazione automatizzata dei controlli di sicurezza standard](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) illustra come acquisire la configurazione delle risorse utilizzando modelli di *infrastructure as code (IaC)*, ad esempio con [AWS CloudFormation](https://aws.amazon.com/cloudformation/). Questi modelli sono vincolati a un sistema di controllo della versione e consentono di distribuire risorse su AWS tramite una pipeline CI/CD. Queste tecniche si applicano anche all'automazione della configurazione delle soluzioni di archiviazione di dati, come le impostazioni di crittografia sui bucket Amazon S3.
Puoi controllare le impostazioni che definisci nei tuoi modelli IaC per eventuali configurazioni errate nelle pipeline CI/CD utilizzando le regole in [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html). Puoi monitorare impostazioni non ancora disponibili in CloudFormation o in altri strumenti IaC per evitare configurazioni errate con [AWS Config](https://aws.amazon.com/config/). È possibile correggere in automatico gli avvisi generati da Config per configurazioni errate, come illustrato in [SEC04-BP04 Avvio della riparazione delle risorse non conformi](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html).
L'utilizzo dell'automazione come parte della strategia di gestione delle autorizzazioni è anche parte integrante delle protezioni automatizzate dei dati. [SEC03-BP02 Concessione dell'accesso con privilegio minimo](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) e [SEC03-BP04 Riduzione delle autorizzazioni in modo continuo](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html) illustrano la configurazione delle policy di accesso con privilegio minimo monitorate di continuo da [AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) per generare esiti quando è possibile ridurre le autorizzazioni. Oltre all'automazione per il monitoraggio delle autorizzazioni, puoi configurare [Amazon GuardDuty](https://aws.amazon.com/guardduty/) in modo da rilevare comportamenti anomali di accesso ai dati per i tuoi [volumi EBS](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html) (tramite un'istanza EC2)[, bucket S3](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) e i [database di Amazon Relational Database Service](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html).
L'automazione svolge rileva inoltre i casi di archiviazione di dati sensibili in luoghi non autorizzati. [SEC07-BP03 Automazione dell'identificazione e della classificazione](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html) illustra in che modo [Amazon Macie](https://aws.amazon.com/macie/) può monitorare i bucket S3 alla ricerca di dati sensibili imprevisti e generare avvisi in grado di avviare una risposta automatica.
Segui le pratiche di [REL09 In che modo eseguire il backup dei dati?](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/back-up-data.html) per sviluppare una strategia automatizzata di backup e ripristino dei dati. Il backup e il ripristino dei dati sono importanti tanto per il ripristino da eventi di sicurezza quanto per gli eventi operativi.
### Passaggi dell'implementazione
1. Acquisisci la configurazione dell'archiviazione di dati nei modelli IaC. Utilizza i controlli automatizzati nelle pipeline CI/CD per rilevare configurazioni errate.
1. Puoi utilizzare [CloudFormation](https://aws.amazon.com/cloudformation/) per i modelli IaC e [CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) per verificare la presenza di errori di configurazione nei modelli.
1. Utilizza [AWS Config](https://aws.amazon.com/config/) per eseguire le regole in modalità di valutazione proattiva. Utilizza questa impostazione per verificare la conformità di una risorsa come passaggio della pipeline CI/CD prima di crearla.
1. Monitora le risorse per individuare eventuali configurazioni errate dell'archiviazione di dati.
1. Imposta [AWS Config](https://aws.amazon.com/config/) in modo che monitori le risorse di archiviazione di dati al fine di rilevare eventuali modifiche nelle configurazioni di controllo e generare avvisi per richiamare correzioni in caso di rilevamento di una configurazione errata.
1. Consulta [SEC04-BP04 Avvio della riparazione delle risorse non conformi](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) per ulteriori indicazioni sulle correzioni automatiche.
1. Monitora e riduci in modo continuo le autorizzazioni di accesso ai dati tramite l'automazione.
1. È possibile eseguire [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) in modo continuo così da generare avvisi in caso di potenziale riduzione delle autorizzazioni.
1. Monitora e avvisa in caso di comportamenti anomali di accesso ai dati.
1. [GuardDuty](https://aws.amazon.com/guardduty/) analizza sia le firme note delle minacce sia le deviazioni dai comportamenti di accesso di base per le risorse di archiviazione di dati, come volumi EBS, bucket S3 e database RDS.
1. Monitora e invia avvisi sui dati sensibili archiviati in luoghi inaspettati.
1. Usa [Amazon Macie](https://aws.amazon.com/macie/) per una scansione continua dei tuoi bucket S3 alla ricerca di dati sensibili.
1. Automatizza i backup sicuri e crittografati dei tuoi dati.
1. [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) è un servizio gestito che permette di creare backup di varie origini dati su AWS. [Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) ti consente di copiare carichi di lavoro completi del server e mantenere una protezione continua dei dati con un obiettivo del punto di ripristino (RPO) misurato in secondi. È possibile configurare entrambi i servizi in modo che lavorino all'unisono per automatizzare la creazione di backup dei dati e la loro copia in posizioni di failover. Questo può aiutare a mantenere i dati disponibili in caso di eventi operativi o di sicurezza.
## Risorse
**Best practice correlate:**
+ [SEC01-BP06 Implementazione automatizzata dei controlli di sicurezza standard](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html)
+ [SEC03-BP02 Concessione dell'accesso con privilegio minimo](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html)
+ [SEC03-BP04 Riduzione delle autorizzazioni in modo continuo](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html)
+ [SEC04-BP04 Avvio della riparazione delle risorse non conformi](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html)
+ [SEC07-BP03 Automazione dell'identificazione e della classificazione](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html)
+ [REL09-BP02 Protezione e crittografia dei backup](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_secured_backups_data.html)
+ [REL09-BP03 Esecuzione del backup dei dati in automatico](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_automated_backups_data.html)
**Documenti correlati:**
+ [AWS Prescriptive Guidance: Automatically encrypt existing and new Amazon EBS volumes](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html)
+ [Ransomware Risk Management on AWS Using the NIST Cyber Security Framework (CSF)](https://docs.aws.amazon.com/whitepapers/latest/ransomware-risk-management-on-aws-using-nist-csf/ransomware-risk-management-on-aws-using-nist-csf.html)
**Esempi correlati:**
+ [How to use AWS Config proactive rules and AWS CloudFormation Hooks to prevent creation of noncompliant cloud resources](https://aws.amazon.com/blogs/mt/how-to-use-aws-config-proactive-rules-and-aws-cloudformation-hooks-to-prevent-creation-of-non-complaint-cloud-resources/)
+ [Automate and centrally manage data protection for Amazon S3 with AWS Backup](https://aws.amazon.com/blogs/storage/automate-and-centrally-manage-data-protection-for-amazon-s3-with-aws-backup/)
+ [AWS re:Invent 2023 - Implement proactive data protection using Amazon EBS snapshots](https://www.youtube.com/watch?v=d7C6XsUnmHc)
+ [AWS re:Invent 2022 - Build and automate for resilience with modern data protection](https://www.youtube.com/watch?v=OkaGvr3xYNk)
**Strumenti correlati:**
+ [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html)
+ [AWS CloudFormation Guard Rules Registry](https://github.com/aws-cloudformation/aws-guard-rules-registry)
+ [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/)
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)
+ [Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/)
# SEC08-BP04 Applicazione del controllo degli accessi
Per proteggere i dati a riposo, applica il controllo degli accessi utilizzando meccanismi come l'isolamento e il controllo delle versioni. Applica i controlli in base al privilegio minimo e all'accesso condizionale. Impedisci che venga consentito l'accesso pubblico ai dati.
**Risultato desiderato:** puoi verificare che l'accesso ai dati sia consentito solo agli utenti autorizzati, in base alle necessità. La protezione dei dati è assicurata da backup regolari e dal controllo delle versioni, per evitare che la modifica dei dati o la loro eliminazione intenzionale o non voluta. L'isolamento dei dati critici dagli altri dati ne protegge la riservatezza e l'integrità.
**Anti-pattern comuni:**
+ Archiviazione dei dati con requisiti di sensibilità o classificazione diversi.
+ Utilizzo di autorizzazioni troppo permissive sulle chiavi di decrittografia.
+ Classificazione impropria dei dati.
+ Nessun mantenimento di backup dettagliati dei dati importanti.
+ Accesso persistente ai dati di produzione.
+ Nessun audit dell'accesso ai dati o revisione periodica delle autorizzazioni.
**Livello di rischio associato se questa best practice non fosse adottata:** elevato
## Guida all'implementazione
La protezione dei dati a riposo è importante per mantenere l'integrità, la riservatezza e la conformità dei dati ai requisiti normativi. Per ottenere tale risultato puoi implementare più controlli, inclusi controllo degli accessi, isolamento, accesso condizionale e controllo delle versioni.
Puoi applicare il controllo degli accessi con il principio del privilegio minimo, che fornisce solo le autorizzazioni necessarie agli utenti e ai servizi per eseguire le varie attività. È incluso l'accesso alle chiavi di crittografia. Rivedi le [policy AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) per verificare che il livello di accesso concesso sia appropriato e che si applichino le condizioni pertinenti.
Puoi separare i dati in base a diversi livelli di classificazione utilizzando Account AWS distinti per ogni livello e gestire tali account con [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html). Tale isolamento può aiutare a prevenire l'accesso non autorizzato e a ridurre al minimo il rischio di esposizione dei dati.
Rivedi periodicamente il livello di accesso concesso nelle policy dei bucket Amazon S3. Evita di utilizzare bucket leggibili o scrivibili pubblicamente a meno che ciò non sia assolutamente necessario. Valuta la possibilità di utilizzare [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) per rilevare i bucket disponibili pubblicamente e Amazon CloudFront per distribuire i contenuti da Amazon S3. Verifica che i bucket che non devono consentire l'accesso pubblico siano configurati correttamente a tale scopo.
Implementa meccanismi di controllo delle versioni e Object Lock per i dati critici archiviati in Amazon S3. Il [controllo delle versioni di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) preserva le versioni precedenti degli oggetti per recuperare i dati in caso di cancellazioni o sovrascritture accidentali. [Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) fornisce un controllo degli accessi obbligatorio per gli oggetti, che impedisce che questi ultimi vengano eliminati o sovrascritti, anche dall'utente root, fino alla scadenza del blocco. Inoltre, [Amazon Glacier Vault Lock](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) offre una funzionalità simile per gli archivi memorizzati in Amazon Glacier.
### Passaggi dell'implementazione
1. **Implementa il controllo degli accessi con il principio del privilegio minimo**:
+ Verifica le autorizzazioni di accesso concesse a utenti e servizi e verifica che dispongano solo delle autorizzazioni necessarie per svolgere le rispettive attività.
+ Verifica l'accesso alle chiavi di crittografia controllando le policy [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
1. **Separa i dati in base a diversi livelli di classificazione**:
+ Utilizza Account AWS distinti per ogni livello di classificazione dei dati.
+ Gestisci questi account utilizzando [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
1. **Verifica le autorizzazioni per bucket e oggetti Amazon S3**:
+ Rivedi periodicamente il livello di accesso concesso nelle policy dei bucket Amazon S3.
+ Evita di utilizzare bucket leggibili o scrivibili pubblicamente a meno che ciò non sia assolutamente necessario.
+ Valuta la possibilità di utilizzare [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) per rilevare i bucket pubblicamente disponibili.
+ Utilizza Amazon CloudFront per distribuire contenuti da Amazon S3.
+ Verifica che i bucket che non devono consentire l'accesso pubblico siano configurati correttamente a tale scopo.
+ Puoi applicare lo stesso processo di revisione per i database e qualsiasi altra origine dati che utilizzi l'autenticazione IAM, come SQS o datastore di terze parti.
1. **Utilizza il Sistema di analisi degli accessi AWS IAM**:
+ Puoi configurare [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) per analizzare i bucket Amazon S3 e generare esiti quando una policy S3 concede l'accesso a un'entità esterna.
1. **Implementa meccanismi di controllo delle versioni e Object Lock**:
+ Utilizza il [controllo delle versioni di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) per preservare le versioni precedenti degli oggetti, consentendo così il ripristino in caso di cancellazioni o sovrascritture accidentali.
+ Utilizza [Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) per fornire un controllo degli accessi obbligatorio per gli oggetti, che impedisce che questi ultimi vengano eliminati o sovrascritti, anche dall'utente root, fino alla scadenza del blocco.
+ Utilizza [Amazon Glacier Vault Lock](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) per gli archivi in Amazon Glacier.
1. **Utilizza l'Inventario Amazon S3**:
+ Puoi utilizzare l'[Inventario Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) per eseguire audit e segnalare lo stato di replica e crittografia dei tuoi oggetti S3.
1. **Verifica le autorizzazioni di condivisione di Amazon EBS e AMI**:
+ Esamina le tue autorizzazioni di [condivisione di Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) e [AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) per verificare che le immagini e i volumi non vengano condivisi con Account AWS esterni al tuo carico di lavoro.
1. **Rivedi periodicamente le condivisioni di AWS Resource Access Manager**:
+ Puoi utilizzare [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) per condividere risorse come le policy AWS Network Firewall, le regole del risolutore Amazon Route 53 e le sottoreti all'interno dei tuoi Amazon VPC.
+ Sottoponi regolarmente ad audit le risorse condivise e interrompi la condivisione delle risorse che non devono più essere condivise.
## Risorse
**Best practice correlate:**
+ [SEC03-BP01 Definizione dei requisiti di accesso](sec_permissions_define.md)
+ [SEC03-BP02 Concessione dell'accesso con privilegio minimo](sec_permissions_least_privileges.md)
**Documenti correlati:**
+ [AWS KMS Cryptographic Details Whitepaper](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [Introduzione alla gestione delle autorizzazioni di accesso alle risorse di Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ [Panoramica della gestione dell'accesso alle risorse AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ [Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront: A Match Made in the Cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ [Utilizzo del controllo delle versioni](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [Blocco degli oggetti mediante Object Lock di Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ [Sharing an Amazon EBS Snapshot](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [AMI condivise](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
+ [Ospitare un'applicazione a pagina singola su Amazon S3](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-a-react-based-single-page-application-to-amazon-s3-and-cloudfront.html)
+ [AWS Global Condition Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Building a Data Perimeter on AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
**Video correlati:**
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)