|
| Approvazione per la sospensione | example-inc:suspension:approval | Il link all'approvazione della sospensione dell'account | workload/deprecation |
# Gestione degli incidenti
I tag possono svolgere un ruolo fondamentale in tutte le fasi della gestione degli incidenti, a partire dalla registrazione degli incidenti, dall'assegnazione delle priorità, all'indagine, alla comunicazione, alla risoluzione fino alla chiusura.
I tag possono indicare dove registrare un incidente, il team o i team che devono essere informati dell'incidente e la priorità di escalation definita. È importante ricordare che i tag non sono crittografati, quindi considera quali informazioni memorizzi in essi. Inoltre, nelle organizzazioni, nei team e nelle linee di reporting, le responsabilità cambiano, quindi valuta la possibilità di archiviare un collegamento a un portale sicuro in cui queste informazioni possano essere gestite in modo più efficace. Non è necessario che questi tag siano esclusivi. Ad esempio, l'ID dell'applicazione potrebbe essere utilizzato per cercare i percorsi di escalation in un portale di gestione dei servizi IT. Assicurati che nelle definizioni operative sia chiaro che questo tag viene utilizzato per diversi scopi.
I tag dei requisiti operativi possono anche essere dettagliati, per aiutare i responsabili degli incidenti e il personale operativo a perfezionare ulteriormente i propri obiettivi in risposta a un incidente o evento.
I link relativi (all'URL della Knowledge System Base) per [runbook](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.runbook.en.html) e [playbook](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.playbook.en.html) possono essere inclusi come tag per aiutare i team che hanno risposto a identificare il processo, la procedura e la documentazione corrispondenti.
*Tabella 9 - Utilizzate i tag operativi per informare la gestione degli incidenti*
| Caso d'uso | Tag Key | Rationale | Valori di esempio |
| --- | --- | --- | --- |
| Gestione degli incidenti | example-inc:incident-management:escalationlog | Il sistema utilizzato dal team di supporto per registrare gli incidenti | jira, servicenow, zendesk |
| Gestione degli incidenti | example-inc:incident-management:escalationpath | Percorso di escalation | ops-center, dev-ops, app-team |
| Allocazione dei costi e gestione degli incidenti | example-inc:cost-allocation:CostCenter | Monitora i costi per centro di costo. Questo è un esempio di tag a doppio uso in cui il centro di costo viene utilizzato come codice applicativo per la registrazione degli incidenti | 123-\$1 |
| Pianificazione del backup | example-inc:backup:schedule | Pianificazione del backup della risorsa | Daily |
| Playbook/ Gestione degli incidenti | example-inc:incident-management:playbook | Playbook documentato | webapp/incident/playbook |
# Applicazione delle patch
Organizations può automatizzare la propria strategia di patching per ambienti di elaborazione mutabili e mantenere le istanze mutabili in linea con la linea di base delle patch definita per quell'ambiente applicativo utilizzando Systems Manager Patch Manager e. AWS AWS Lambda****Una strategia di etichettatura per le istanze mutabili all'interno di questi ambienti può essere gestita assegnando tali istanze a Patch Groups e Maintenance Windows.**** Vedi i seguenti esempi per una divisione Dev → Test → Prod. AWS sono disponibili linee guida prescrittive per la [gestione delle patch delle istanze mutabili](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/welcome.html).
*Tabella 10 - I tag operativi possono essere specifici dell'ambiente*
| Sviluppo | Gestione temporanea | Produzione |
| --- | --- | --- |
| {
"Tags": [
{
"Key": "Maintenance Window",
"ResourceId": "i-012345678ab9ab111",
"ResourceType": "instance",
"Value": "cron(30 23 ? * TUE#1 *)"
},
{
"Key": "Name",
"ResourceId": "i-012345678ab9ab222",
"ResourceType": "instance",
"Value": "WEBAPP"
},
{
"Key": "Patch Group",
"ResourceId": "i-012345678ab9ab333",
"ResourceType": "instance",
"Value": "WEBAPP-DEV-AL2"
}
]
}
| {
"Tags": [
{
"Key": "Maintenance Window",
"ResourceId": "i-012345678ab9ab444",
"ResourceType": "instance",
"Value": "cron(30 23 ? * TUE#2 *)"
},
{
"Key": "Name",
"ResourceId": "i-012345678ab9ab555",
"ResourceType": "instance",
"Value": "WEBAPP"
},
{
"Key": "Patch Group",
"ResourceId": "i-012345678ab9ab666",
"ResourceType": "instance",
"Value": "WEBAPP-TEST-AL2"
}
]
}
| {
"Tags": [
{
"Key": "Maintenance Window",
"ResourceId": "i-012345678ab9ab777",
"ResourceType": "instance",
"Value": "cron(30 23 ? * TUE#3 *)"
},
{
"Key": "Name",
"ResourceId": "i-012345678ab9ab888",
"ResourceType": "instance",
"Value": "WEBAPP"
},
{
"Key": "Patch Group",
"ResourceId": "i-012345678ab9ab999",
"ResourceType": "instance",
"Value": "WEBAPP-PROD-AL2"
}
]
}
|
Le vulnerabilità zero-day possono essere gestite anche definendo tag a complemento della strategia di patching. Per una guida dettagliata, consulta [Evita le vulnerabilità zero-day applicando le patch di sicurezza lo stesso giorno utilizzando Systems AWS Manager](https://aws.amazon.com/blogs/mt/avoid-zero-day-vulnerabilities-same-day-security-patching-aws-systems-manager/).
# Osservabilità operativa
L'osservabilità è necessaria per ottenere informazioni utili sulle prestazioni degli ambienti e aiutarvi a rilevare e analizzare i problemi. Ha anche uno scopo secondario che consente di definire e misurare gli indicatori chiave di prestazione () e gli obiettivi dei livelli di servizio (KPIs), come l'SLOsoperatività. Per la maggior parte delle organizzazioni, le operazioni più importanti KPIs sono il tempo medio di rilevamento (MTTD) e il tempo medio di ripristino (MTTR) a seguito di un incidente.
In termini di osservabilità, il contesto è importante, poiché i dati vengono raccolti e quindi vengono raccolti i tag associati. Indipendentemente dal servizio, dall'applicazione o dal livello di applicazione su cui ti stai concentrando, puoi filtrare e analizzare per quel set di dati specifico. I tag possono essere utilizzati per automatizzare l'onboarding di CloudWatch Alarms in modo che i team giusti possano essere avvisati quando vengono superate determinate soglie metriche. Ad esempio, una chiave di tag `example-inc:ops:alarm-tag` e il relativo valore potrebbero indicare la creazione dell'allarme. CloudWatch Una soluzione che lo dimostra è descritta in [Utilizzare i tag per creare e mantenere CloudWatch allarmi Amazon per le istanze Amazon EC2](https://aws.amazon.com/blogs/mt/use-tags-to-create-and-maintain-amazon-cloudwatch-alarms-for-amazon-ec2-instances-part-1/).
La configurazione di troppi allarmi può facilmente creare una tempesta di avvisi, quando un gran numero di allarmi o notifiche sovraccarica rapidamente gli operatori e ne riduce l'efficacia complessiva, mentre gli operatori sono impegnati a classificare manualmente e a dare priorità ai singoli allarmi. È possibile fornire un contesto aggiuntivo per gli allarmi sotto forma di tag, il che significa che è possibile definire regole all'interno di Amazon EventBridge per garantire che venga prestata attenzione al problema originario anziché alle dipendenze a valle.
Il ruolo delle operazioni parallele DevOps viene spesso trascurato, ma per molte organizzazioni i team operativi centrali forniscono ancora una prima risposta fondamentale al di fuori del normale orario lavorativo. (Maggiori dettagli su questo modello sono disponibili nel [white paper Operational Excellence](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/separated-aeo-ieo-with-cent-gov-and-partner.html).) [A differenza del DevOps team responsabile del carico di lavoro, in genere non hanno la stessa conoscenza approfondita, quindi il contesto fornito dai tag all'interno di dashboard e avvisi può indirizzarli al runbook corretto per il problema o avviare un runbook automatizzato (consulta il post sul blog Automating Amazon Alarms with). CloudWatch AWS Systems Manager](https://aws.amazon.com/blogs/mt/automating-amazon-cloudwatch-alarms-with-aws-systems-manager/)
# Tag per la sicurezza dei dati, la gestione del rischio e il controllo degli accessi
Organizations ha esigenze e obblighi diversi da soddisfare per quanto riguarda la gestione appropriata dell'archiviazione e dell'elaborazione dei dati. La classificazione dei dati è un importante precursore per diversi casi d'uso, come il controllo degli accessi, la conservazione dei dati, l'analisi dei dati e la conformità.
# Sicurezza dei dati e gestione dei rischi
All'interno di un AWS ambiente, probabilmente avrai account con requisiti di conformità e sicurezza diversi. Ad esempio, potreste avere una sandbox per sviluppatori e un account che ospita l'ambiente di produzione per un carico di lavoro altamente regolamentato, come l'elaborazione dei pagamenti. Isolandoli in diversi account, è possibile [applicare controlli di sicurezza distinti](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html#apply-distinct-security-controls-by-environment), [limitare l'accesso ai dati sensibili](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html#constrain-access-to-sensitive-data) e ridurre l'ambito di controllo per i carichi di lavoro regolamentati.
L'adozione di un unico standard per tutti i carichi di lavoro può comportare delle sfide. Sebbene molti controlli si applichino allo stesso modo in un ambiente, alcuni controlli sono eccessivi o irrilevanti per gli account che non devono soddisfare specifici quadri normativi e per gli account in cui non saranno mai presenti dati personali identificabili (ad esempio, una sandbox per sviluppatori o account di sviluppo del carico di lavoro). Ciò porta in genere a risultati di sicurezza falsi positivi che devono essere valutati e chiusi senza alcuna azione, il che distoglie lo sforzo dai risultati da esaminare.
*Tabella 11 — Esempi di tag per la sicurezza dei dati e la gestione del rischio*
| Caso d’uso | Tag Key | Rationale | Valori di esempio |
| --- | --- | --- | --- |
| Gestione degli incidenti | example-inc:incident- management:escalationlog | Il sistema utilizzato dal team di supporto per registrare gli incidenti | jira, servicenow, zendesk |
| Gestione degli incidenti | example-inc:incident- management:escalationpath | Percorso di escalation | ops-center, dev-ops, app-team |
| Classificazione dei dati | example-inc:data:classification | Classificate i dati per la conformità e la governance | Public, Private, Confidential, Restricted |
| Conformità | example-inc:compliance:framework | Identifica il framework di conformità a cui è soggetto il carico di lavoro | PCI-DSS, HIPAA |
La gestione manuale dei diversi controlli in un AWS ambiente richiede molto tempo ed è soggetta a errori. Il passaggio successivo consiste nell'automatizzare l'implementazione dei controlli di sicurezza appropriati e configurare l'ispezione delle risorse in base alla classificazione di tale account. Applicando tag agli account e alle risorse al loro interno, l'implementazione dei controlli può essere automatizzata e configurata in modo appropriato per il carico di lavoro.
**Esempio: **
Un carico di lavoro include un bucket Amazon S3 con il `example-inc:data:classification` tag con il valore. `Private` L'automazione degli strumenti di sicurezza implementa una AWS Config regola `s3-bucket-public-read-prohibited` che controlla le impostazioni Block Public Access del bucket Amazon S3, la policy del bucket e l'elenco di controllo dell'accesso al bucket (ACL), confermando che la configurazione del bucket è appropriata per la classificazione dei dati. Per garantire che il contenuto del bucket sia coerente con la classificazione, [Amazon Macie può essere configurato per verificare la presenza di informazioni di identificazione personale](https://aws.amazon.com/about-aws/whats-new/2021/05/amazon-macie-supports-criteria-based-bucket-selection-sensitive-data-discovery-jobs/) (PII). Il blog [Using Amazon Macie to Validate S3 Bucket Data Classification](https://aws.amazon.com/blogs/architecture/using-amazon-macie-to-validate-s3-bucket-data-classification/) esplora questo modello in modo più approfondito.
Alcuni ambienti normativi, come quello assicurativo e sanitario, potrebbero essere soggetti a politiche obbligatorie di conservazione dei dati. La conservazione dei dati tramite tag, combinata con le policy del ciclo di vita di Amazon S3, può essere un modo semplice ed efficace per definire le transizioni degli oggetti verso un livello di storage diverso. Le regole del ciclo di vita di Amazon S3 possono essere utilizzate anche per far scadere gli oggetti per l'eliminazione dei dati dopo la scadenza del periodo di conservazione obbligatorio. Per una guida [approfondita su questo processo, consulta Semplifica il ciclo di vita dei dati utilizzando i tag degli oggetti con Amazon S3](https://aws.amazon.com/blogs/storage/simplify-your-data-lifecycle-by-using-object-tags-with-amazon-s3-lifecycle/) Lifecycle.
Inoltre, durante la valutazione o la risoluzione di problemi di sicurezza, i tag possono fornire all'investigatore un contesto importante che aiuta a qualificare il rischio e a coinvolgere i team appropriati per indagare o mitigare i risultati.
# Tag per la gestione delle identità e il controllo degli accessi
Quando si gestisce il controllo degli accessi in un AWS ambiente con AWS IAM Identity Center, i tag possono abilitare diversi modelli di scalabilità. È possibile applicare diversi modelli di delega, alcuni basati sull'etichettatura. Li affronteremo individualmente e forniremo collegamenti per ulteriori letture su ciascuno di essi.
# ABAC per risorse individuali
Gli utenti e i ruoli IAM Identity Center supportano il controllo degli accessi basato sugli attributi (ABAC), che consente di definire l'accesso alle operazioni e alle risorse in base ai tag. ABAC aiuta a ridurre la necessità di aggiornare le politiche di autorizzazione e ti aiuta a basare l'accesso sugli attributi dei dipendenti presenti nell'elenco aziendale. Se state già utilizzando una strategia multi-account, ABAC può essere utilizzato in aggiunta al controllo degli accessi basato sui ruoli (RBAC) per fornire a più team che operano sullo stesso account un accesso granulare a risorse diverse. Ad esempio, gli utenti di IAM Identity Center o i ruoli IAM possono includere condizioni per limitare l'accesso a istanze Amazon EC2 specifiche che altrimenti dovrebbero essere elencate esplicitamente in ciascuna policy per potervi accedere.
Poiché un modello di autorizzazione ABAC dipende dai tag per l'accesso alle operazioni e alle risorse, è importante fornire barriere per prevenire accessi involontari. SCPs può essere utilizzato per proteggere i tag all'interno dell'organizzazione, consentendone la modifica solo in determinate condizioni. I blog [Securing resource tags used for authorization using a service control policy in AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/) e [Permissions boundaries for IAM Entities](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) forniscono informazioni su come implementarla.
Laddove le istanze Amazon EC2 di lunga durata vengono utilizzate per supportare pratiche operative più tradizionali, questo approccio può essere utilizzato, il [blog Configure IAM Identity Center ABAC for Amazon EC2 instances and Systems Manager Session Manager](https://aws.amazon.com/blogs/security/configure-aws-sso-abac-for-ec2-instances-and-systems-manager-session-manager/) tratta in modo più dettagliato questa forma di controllo degli accessi basato sugli attributi. Come accennato in precedenza, non tutti i tipi di risorse supportano l'etichettatura e, tra quelli che lo fanno, non tutti supportano l'applicazione tramite le politiche dei tag, quindi è una buona idea valutarlo prima di iniziare a implementare questa strategia su un Account AWS.
Per maggiori informazioni sui servizi che supportano ABAC, consulta la sezione [AWS Servizi che funzionano con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM.