Come posso proteggere la mia istanza EC2 per soddisfare programmi di conformità?

Risoluzione

Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

È tua responsabilità rispettare leggi e regolamenti sulla privacy e programmi di conformità. Per ulteriori informazioni sui programmi di conformità esistenti, consulta Programmi per la conformità di AWS.

La tabella seguente include i programmi di conformità comuni, i relativi requisiti e i servizi AWS per aiutarti a configurare la conformità:

Programma di conformità	Requisiti principali	Servizi AWS da utilizzare
SOC 2	Sicurezza, disponibilità e riservatezza	AWS Identity and Access Management (AWS IAM), AWS CloudTrail, AWS Config, Amazon GuardDuty
Health Insurance Portability and Accountability Act (HIPAA)	Crittografia elettronica delle informazioni sanitarie protette (ePHI) e log di accesso	Servizio AWS di gestione delle chiavi (AWS KMS), CloudTrail, Amazon Macie
Standard di sicurezza dei dati delle carte di pagamento (PCI DSS)	Protezione dei dati dei titolari di carte e Web Application Firewall (WAF)	AWS WAF, AWS Shield, Amazon Inspector
Regolamento generale sulla protezione dei dati (GDPR)	Protezione delle Informazioni di identificazione personale (PII) e diritto alla cancellazione	Macie, AWS Lambda
ISO 27001	Gestione del rischio e crittografia	AWS Security Hub, AWS Artifact
National Institute of Standards and Technology (NIST) 800-53	Controllo degli accessi e registrazione	Policy di controllo dei servizi (SCP) di AWS Organizations
Federal Risk and Authorization Management Program (FedRAMP)	Sicurezza del cloud per il governo degli Stati Uniti	AWS GovCloud (Stati Uniti), AWS Control Tower

Per soddisfare i requisiti di conformità, è consigliabile implementare un approccio di sicurezza a più livelli per le istanze EC2.

Utilizza il controllo degli accessi per aderire al principio del privilegio minimo

Per configurare la conformità per programmi come SOC 2, NIST e ISO 27001, intraprendi le seguenti azioni:

• Utilizza la console Centro identità IAM o AWS CLI per applicare l'autenticazione a più fattori (MFA) per tutti gli utenti.
  Nota: l'MFA applicato è richiesto per PCI DSS e SOC 2.
• Utilizza ruoli IAM anziché utenti root o credenziali a lungo termine.
• Applica SCP per limitare le azioni rischiose.

Imposta la crittografia a riposo e in transito

Per configurare la conformità per programmi come HIPPA, PCI DSS e GDPR, intraprendi le seguenti azioni:

• Attiva la crittografia Amazon Elastic Block Store (Amazon EBS).
  Nota: puoi impostare la crittografia automatica per i nuovi volumi e snapshot EBS.
• Applica TLS 1.2 o versione successiva.
  Nota: è necessario per PCI DSS.
• Utilizza certificati Gestione certificati AWS (ACM) per gestire il traffico HTTPS.
• Configura i gruppi di sicurezza per bloccare il traffico non SSL/TLS.
  Nota: per consentire solo il traffico crittografato, autorizza le porte SSL/TLS come 443, 465 e 587 e blocca le porte in chiaro come 80, 21 e 3306. Per ulteriori informazioni sui gruppi di sicurezza, consulta Regole del gruppo di sicurezza per diversi casi d'uso.
• Combina le regole dei gruppi di sicurezza con meccanismi a livello di applicazione come HTTP Strict Transport Security (HSTS).

Configura firewall di sicurezza di rete

Per configurare la conformità per programmi come PCI DSS, FedRAMP e NIST, intraprendi le seguenti azioni:

• Limita i gruppi di sicurezza per autorizzare solo le porte richieste.
• Utilizza AWS WAF per proteggere l'istanza.
• Attiva i log di flusso di Amazon Virtual Private Cloud (Amazon VPC) per acquisire il traffico degli indirizzi IP in modo da rispettare le best practice operative per NIST 800-53.

Imposta gli audit trail

Per configurare la conformità per programmi come SOC 2, ISO 27001 e HIPAA, intraprendi le seguenti azioni:

• Per attivare CloudTrail per tutte le Regioni AWS, crea un trail con IsMultiRegionTrail impostato su true o aggiorna i trail esistenti.
• Invia i log ad Amazon Detective o al Security Hub per controlli automatici di conformità.

Configura la gestione delle patch e le scansioni delle vulnerabilità

Per configurare la conformità con programmi come PCI DSS e FedRAMP, intraprendi le seguenti azioni:

• Configura Gestione patch, una funzionalità di AWS Systems Manager, per applicare automaticamente le patch alle istanze Windows e Linux.
• Utilizza Amazon Inspector per scansionare le istanze alla ricerca di vulnerabilità dei pacchetti e problemi di raggiungibilità della rete.

Configura l'accesso SSH

Per configurare la conformità con programmi come SOC 2, HIPAA, PCI DSS e NIST, intraprendi le seguenti azioni:

• Rispetta le best practice di accesso SSH.
• Utilizza Gestione sessione, una funzionalità di AWS Systems Manager, per connetterti all'istanza anziché a SSH.
• Limita i gruppi di sicurezza a indirizzi IP specifici.
• Disattiva l'accesso tramite password e utilizza invece le coppie di chiavi SSH.
• Ruota le chiavi SSH ogni 90 giorni.

Imposta il rilevamento delle minacce

Per configurare la conformità con programmi come SOC 2 e IS 27001, configura le seguenti impostazioni GuardDuty:

• Integra GuardDuty con Security Hub affinché i risultati critici vengano approfonditi nelle sedi opportune.
• Configura scansioni antimalware on demand.
• Per identificare le minacce alla sicurezza che interessano maggiormente l'ambiente, imposta regole di soppressione per rimuovere i falsi positivi, i risultati di scarso valore e le minacce non attuabili.

Recupera informazioni sulle istanze per un report

Per ottenere dati sull'istanza come ID, tag e stato di conformità, esegui questo comando AWS CLI describe-instances:

aws ec2 describe-instances --query Reservations[*].Instances[*].{InstanceId, InstanceType, LaunchTime, State.Name, Tags[?Key==`Name`].Value} --output text > instances.csv

Importante: è consigliabile verificare e aggiornare regolarmente la configurazione per mantenere la conformità man mano che gli standard cambiano.