Cos'è AWS Config?

AWS Config è un servizio completamente gestito che offre un inventario di risorse AWS, uno storico delle configurazioni e notifiche di modifica delle configurazioni per ottimizzare la protezione e la governance. AWS Config consente di individuare le risorse AWS esistenti, esportarne l'elenco completo con tutti i dettagli di configurazione e determinare il modo in cui una risorsa è stata configurata in un determinato momento. Queste funzionalità permettono l'esecuzione di controlli di conformità, analisi di sicurezza, monitoraggio delle modifiche alle risorse e risoluzione dei problemi.

Cos'è una regola di configurazione?

Una regola di configurazione rappresenta le configurazioni desiderate per una risorsa e viene valutata mettendola a confronto con le modifiche apportate alla configurazione delle risorse pertinenti, in base a quanto registrato da AWS Config. I risultati della valutazione della regola rispetto alla configurazione di una risorsa sono quindi disponibili nel pannello di controllo. Utilizzando Config Rules, è possibile prendere in esame conformità e livello di rischio dal punto di vista della configurazione, consultare tendenze di conformità nel corso del tempo e individuare quale modifica alla configurazione ha causato la mancata conformità di una risorsa a una determinata regola.

Quali sono i vantaggi di AWS Config?

Con AWS Config è possibile tenere traccia della configurazione delle risorse in modo semplice, senza necessità di investimenti iniziali e senza la complessità legata all'installazione e all'aggiornamento di agenti per la raccolta dei dati o alla gestione di database di grandi dimensioni. Dopo avere abilitato AWS Config, puoi visualizzare continuamente informazioni dettagliate aggiornate su tutti gli attributi di configurazione associati alle risorse AWS. Per ogni modifica alla configurazione riceverai una notifica tramite Amazon Simple Notification Service (SNS).

 

In che modo AWS Config può essere utile per i controlli?

AWS Config offre accesso allo storico delle configurazioni delle risorse. È possibile mettere in relazione le modifiche alla configurazione con eventi di AWS CloudTrail che possono aver contribuito alla modifica. Queste informazioni forniscono visibilità completa, da aspetti dettagliati per quanto riguarda, ad esempio, chi ha apportato la modifica e da quale indirizzo IP, fino all'effetto della modifica sulle risorse AWS e sulle risorse correlate. Puoi utilizzare queste informazioni per generare report utili per il controllo e la valutazione della conformità in un periodo di tempo.

A chi sono destinati AWS Config e Config Rules?

A tutti i clienti AWS che desiderano migliorare la sicurezza e la governance aziendale su AWS analizzando in modo continuo la configurazione delle risorse. Agli amministratori di grandi organizzazioni che consigliano best practice per la configurazione delle risorse, i quali possono codificare regole in Config Rules e implementare così una forma di governance automatica tra gli utenti. Agli esperti di sicurezza informatica che monitorano le attività e le configurazioni per individuarne le vulnerabilità. Ai clienti con carichi di lavoro che devono sottostare a standard specifici (ad esempio PCI DSS o HIPAA), perché possono sfruttarne le funzionalità per verificare la conformità della configurazione della loro infrastruttura AWS e generare report per audit. Agli operatori che gestiscono un'infrastruttura AWS di grandi dimensioni o componenti che cambiano frequentemente, che possono utilizzare Config Rules per la risoluzione dei problemi. AWS Config è ideale per i clienti che desiderano tenere traccia delle modifiche alla configurazione delle risorse, rispondere a domande specifiche sulle configurazioni delle risorse, dimostrare la conformità, risolvere i problemi o eseguire analisi della sicurezza.

Il servizio garantisce la conformità delle configurazioni?

Config Rules fornisce informazioni sulla conformità delle risorse alle regole di configurazione specificate. Le regole vengono valutate nel momento in cui in AWS Config sono disponibili nuovi elementi di configurazione (CI, Configuration Item) per la risorsa. Non viene garantita la conformità delle risorse, né viene impedito agli utenti di eseguire azioni che vanno contro tale conformità. Config Rules inoltre non esegue alcuna operazione per far ritornare in uno stato di conformità risorse non conformi.

Il servizio è in grado di impedire agli utenti di eseguire azioni che vanno contro le regole di conformità?

Config Rules non agisce direttamente sul comportamento degli utenti finali in AWS. Il servizio verifica semplicemente le modifiche alla configurazione delle risorse solo dopo che tali modifiche sono state effettuate e registrate in AWS Config. Config Rules non impedisce agli utenti le modifiche che potrebbero causare violazioni della conformità. Per avere il controllo sul provisioning in AWS e sui parametri di configurazione consentiti durante il provisioning da parte degli utenti, consigliamo di utilizzare rispettivamente le policy di AWS Identity and Access Management (IAM) e AWS Service Catalog.

È possibile valutare le regole prima del provisioning di una risorsa?

Config Rules valuta le regole dopo che l'elemento di configurazione per una risorsa è stato acquisito da AWS Config. Non valuta quindi le regole prima del provisioning o prima che vengano apportate modifiche alla configurazione della risorsa.

Come funziona AWS Config con AWS CloudTrail?

AWS CloudTrail registra l'attività delle API utente nell'account e consente di accedere alle informazioni su tale attività. Puoi ottenere informazioni complete sulle azioni delle API, ad esempio l'identità del chiamante, l'ora della chiamata, i parametri della richiesta e gli elementi di risposta rinviati dal servizio AWS. AWS Config registra i dettagli di configurazione per le risorse AWS in momenti specifici come elementi di configurazione. Puoi utilizzare un elemento di configurazione per sapere come era una risorsa AWS in un determinato momento. Puoi utilizzare AWS CloudTrail per sapere chi ha effettuato una chiamata a un'API per modificare la risorsa. Puoi ad esempio utilizzare la Console di gestione AWS per AWS Config per rilevare che il gruppo di sicurezza "Production-DB" non era configurato correttamente in passato. Utilizzando le informazioni integrate di AWS CloudTrail, puoi individuare l'utente che ha configurato in modo errato il gruppo di sicurezza "Production-DB".

 

Inizia a usare AWS gratis

Crea un account gratuito

 

Ricevi dodici mesi di accesso al piano gratuito di AWS e sfrutta le funzionalità di supporto di base di AWS, inclusi l'assistenza al cliente 24x7x365, i forum di supporto e molto altro.

Ulteriori informazioni sull'anteprima di AWS Config Rules.

Come si inizia a utilizzare questo servizio?

Il modo più rapido per iniziare a utilizzare AWS Config consiste nell'utilizzare la Console di gestione AWS. Puoi attivare AWS Config in pochi clic. Per ulteriori dettagli, vedi la documentazione sulle nozioni di base.

Come si accede alla configurazione delle risorse?

Puoi analizzare la configurazione corrente e lo storico delle risorse utilizzando la Console di gestione AWS, l'interfaccia a riga di comando di AWS o gli SDK.

Per ulteriori dettagli, consulta la documentazione di AWS Config.

AWS Config viene attivato a livello regionale o globale?

Puoi attivare AWS Config per le singole regioni per il tuo account.

AWS Config può aggregare i dati di diversi account AWS?

Sì, è possibile configurare AWS Config in modo che fornisca aggiornamenti sulla configurazione da diversi account a un bucket S3 dopo aver applicato le policy IAM appropriate al bucket S3. Puoi anche pubblicare notifiche in un argomento di SNS nella stessa regione, una volta che le policy IAM appropriate sono state applicate all'argomento di SNS.

L'attività delle API in AWS Config viene registrata da AWS CloudTrail?

Sì. Tutta l'attività delle API AWS Config, incluso l'utilizzo delle API AWS Config per la lettura dei dati di configurazione, viene registrata da AWS CloudTrail.

Che ora e che fusi orari sono indicati nella vista della sequenza temporale di una risorsa? Cosa succede con l'ora legale?

AWS Config visualizza l'ora di registrazione degli elementi di configurazione per una risorsa lungo una sequenza temporale. Tutti gli orari vengono espressi in base al fuso UTC (Coordinated Universal Time, tempo coordinato universale). Quando la sequenza temporale viene visualizzata nella console di gestione, il servizio utilizza il fuso orario corrente (modificato in base all'ora legale, se pertinente) per visualizzare tutti gli orari nella vista della sequenza temporale.

Cos'è la configurazione di una risorsa?

La configurazione di una risorsa è definita dai dati inclusi nell'elemento di configurazione di AWS Config. Il rilascio iniziale di Config Rules rende l'elemento di configurazione di una risorsa disponibile per il confronto con le regole pertinenti. Config Rules può utilizzare questi dati e qualsiasi altra informazione rilevante, ad esempio altre risorse collegate, orari lavorativi e così via, per valutare la conformità della configurazione di una risorsa.

Cos'è una regola?

Una regola rappresenta i valori degli attributi di un elemento di configurazione desiderati per le risorse e viene valutata confrontando tali valori degli attributi con gli elementi di configurazione registrati da AWS Config. Sono previsti due tipi di regola:

Regole gestite da AWS: le regole gestite da AWS sono predefinite e gestite da AWS. Per abilitarle, è sufficiente selezionare una regola che si desidera abilitare, quindi fornire alcuni parametri di configurazione. Ulteriori informazioni »

Regole gestite dal cliente: le regole gestite dal cliente sono regole personalizzate, create e definite interamente dall'utente. Puoi creare funzioni in AWS Lambda che possono essere richiamate come parte di una regola personalizzata. Queste funzioni vengono eseguite nel tuo account. Ulteriori informazioni »

Il modo più rapido per iniziare a utilizzare AWS Config consiste nell'utilizzare la Console di gestione AWS. Puoi attivare AWS Config in pochi clic. Per ulteriori dettagli, vedi la documentazione sulle nozioni di base.

Come vengono create le regole?

Generalmente, le regole vengono importate dall'amministratore dell'account AWS. Possono essere create a partire da regole gestite da AWS, un set di regole predefinito fornito da AWS, oppure da regole gestite dal cliente. Con le regole gestite da AWS, gli aggiornamenti di una regola vengono applicati automaticamente a tutti gli account che la utilizzano. Con le regole gestite dal cliente, il cliente ha una copia completa della regola e la esegue nell'account. La manutenzione di queste regole è inoltre responsabilità del cliente.

Quante regole è possibile creare?

Di default è possibile creare fino a 50 regole in un account AWS. Inoltre è possibile richiedere di aumentare questo limite per il proprio account visitando la pagina AWS Service Limits.

Come vengono valutate le regole?

Le regole possono essere attivate da una modifica oppure su base periodica. Una regola attivata da una modifica viene valutata quando AWS Config rileva una modifica alla configurazione di una qualsiasi delle risorse specificate. È inoltre necessario specificare uno dei seguenti valori:

Tag chiave:(valore opzionale): la valutazione della regola viene attivata da qualsiasi modifica alla configurazione registrata per le risorse con il tag chiave:valore specificato.

Tipo o tipi di risorsa: la valutazione della regola viene attivata da qualsiasi modifica alla configurazione registrata per le risorse che appartengono al tipo o ai tipi di risorsa specificati.

ID risorsa: la valutazione della regola viene attivata da qualsiasi modifica registrata alle risorse specificate dal tipo e dall'ID di risorsa.

Una regola periodica viene attivata in base a una frequenza specificata. Le frequenze disponibili sono: 1 ora, 3 ore, 6 ore, 12 ore o 24 ore. Una regola periodica potrà avere uno snapshot completo degli elementi di configurazione correnti per tutte le risorse disponibili per tale regola.

Cos'è una valutazione?

La valutazione di una regola determina lo stato di conformità tra la regola e una risorsa in un determinato momento. È il risultato della valutazione di una regola in base alla configurazione di una risorsa. Config Rules acquisisce e memorizza il risultato della valutazione. Questo risultato include la risorsa, la regola, l'ora della valutazione e un collegamento all'elemento di configurazione che ha causato la violazione della conformità.

Cos'è la conformità?

Una risorsa è conforme se rispetta tutte le regole applicabili. In caso contrario, viene considerata non conforme. Analogamente, una regola è conforme se viene rispettata da tutte le risorse valutate da tale regola. In caso contrario, viene considerata non conforme. In alcuni casi, ad esempio quando a una regola non vengono assegnati i permessi appropriati, potrebbe non essere possibile completare una valutazione per una risorsa e viene generato uno stato di dati insufficienti. Tale stato viene escluso quando viene determinata la conformità di una risorsa o di una regola.

Quali informazioni contiene il pannello di controllo di Config Rules?

Il pannello di controllo di Config Rules offre una panoramica delle risorse monitorate da AWS Config e un riepilogo della conformità corrente, ordinato per risorsa e per regola. Quando consulti lo stato di conformità in base alle risorse, puoi determinare se una regola applicata a una determinata risorsa non è conforme. Consultando lo stato di conformità in base alle regole, puoi invece analizzare quali risorse a cui si applica la regola sono al momento non conformi. A partire da queste visualizzazioni di riepilogo, è possibile accedere alla vista della sequenza temporale delle risorse, per determinare quali parametri di configurazione sono stati modificati. La panoramica generale delle risorse offerta dal pannello di controllo può essere approfondita fino a ottenerne una visione granulare, che consente di ottenere informazioni complete sulle modifiche allo stato di conformità e su quali modifiche hanno provocato una violazione.

Quali tipi di risorsa AWS sono compatibili con AWS Config?

Per un elenco completo dei tipi di risorse supportate, consulta la nostra documentazione.

In quali regioni è disponibile AWS Config?

Per informazioni dettagliate sulle regioni in cui è disponibile AWS Config, visita la pagina seguente:

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

 

Cos'è un elemento di configurazione?

Un elemento di configurazione corrisponde alla configurazione di una risorsa in un momento specifico. Un elemento di configurazione è costituito da cinque sezioni:

  1. Informazioni di base sulla risorsa, comuni per tipi di risorsa diversi, ad esempio nomi ARN (Amazon Resource Name) e tag.
  2. Dati di configurazione specifici della risorsa, ad esempio tipo di istanza EC2,
  3. Mappa delle relazioni con altre risorse, ad esempio la risorsa EC2::Volume vol-3434df43 è "collegata all'istanza" EC2::Instance i-3432ee3a.
  4. ID degli eventi AWS CloudTrail correlati a questo stato.
  5. Metadata che aiutano a identificare le informazioni sull'elemento di configurazione, ad esempio la versione dell'elemento di configurazione e quando l'elemento è stato acquisito.

Ulteriori informazioni sugli elementi di configurazione

Cosa sono le relazioni di AWS Config e come vengono utilizzate?

AWS Config prende in considerazione le relazioni fra le risorse mentre registra le modifiche. Se, ad esempio, un nuovo gruppo di sicurezza Amazon EC2 è associato a un'istanza Amazon EC2, AWS Config registra le configurazioni aggiornate sia della risorsa principale, ovvero il gruppo di sicurezza Amazon EC2, sia delle risorse correlate, ad esempio l'istanza Amazon EC2, se tali risorse vengono effettivamente modificate.

AWS Config registra ogni stato di una risorsa nel tempo?

AWS Config rileva una modifica alla configurazione di una risorsa e registra lo stato di configurazione risultante da tale modifica. Nei casi in cui vengono apportate diverse modifiche alla configurazione di una risorsa in rapida successione (ad esempio nell'arco di pochi minuti), Config registra solo la configurazione più recente della risorsa che rappresenta l'impatto cumulativo del set di modifiche. In situazioni di questo tipo, Config elencherà solo la modifica più recente nel campo relatedEvents dell'elemento di configurazione. In questo modo, utenti e programmi possono continuare ad apportare modifiche alle configurazioni dell'infrastruttura senza dover aspettare la registrazione degli stati temporanei intermedi.

AWS Config registra le modifiche alla configurazione non risultanti da attività delle API in una risorsa?

Sì. AWS Config analizza regolarmente la configurazione delle risorse per rilevare le modifiche che non sono ancora state registrate e registrarle. Gli elementi di configurazione registrati da queste analisi non presenteranno un campo relatedEvent nel payload e verrà acquisito solo lo stato più recente diverso dallo stato già registrato.

AWS Config registra le modifiche alla configurazione del software all’interno delle istanze EC2?
Sì. AWS Config consente di registrare le modifiche alla configurazione del software all’interno delle istanze EC2 nell’account AWS e anche nelle macchine virtuali (VM) o server nell’ambiente locale. Le informazioni sulla configurazione registrate da AWS Config includono aggiornamenti al sistema operativo, configurazione della rete, applicazioni installate e così via. È possibile valutare se le istanze, le VM e i server sono conformi alle linee guida utilizzando AWS Config Rules. La visibilità approfondita e il monitoraggio continuo offerti da AWS Config consentono di valutare la conformità e risolvere i problemi operativi.

AWS Config continua a inviare notifiche se una risorsa precedentemente non conforme lo è ancora dopo una valutazione periodica delle regole? AWS Config invia notifiche solo quando lo stato di conformità cambia. Se una risorsa precedentemente non conforme lo è ancora, Config non invia una nuova notifica. Se lo stato di conformità cambia in "conforme", si riceve una notifica del cambiamento di stato.

Si possono contrassegnare risorse perché vengano o no valutate da Config Rules? Quando si configurano le Config Rules, occorre specificare se la regola deve eseguire valutazioni su un tipo specifico di risorse o su risorse con un tag specifico.

Come viene addebitato il servizio?

Con AWS Config l'addebito viene effettuato in base al numero di elementi di configurazione registrati per le risorse supportate nell'account AWS. La registrazione di un elemento di configurazione viene addebitata una sola volta. Non sono previsti addebiti aggiuntivi per il mantenimento dell'elemento di configurazione né impegni anticipati. Puoi interrompere la registrazione degli elementi di configurazione in qualsiasi momento e continuare ad accedere agli elementi di configurazione registrati in precedenza. I costi per gli elementi di configurazione vengono cumulati nella fattura mensile. Vedi i dettagli sui prezzi.

Se utilizzi AWS Config Rules, l'addebito verrà effettuato in base alle regole attive nel mese. Ogni volta che una regola viene confrontata con una risorsa AWS, il risultato viene registrato come valutazione. Una regola è attiva se in un determinato mese viene valutata una o più volte.

I file degli snapshot di configurazione e dello storico delle configurazioni vengono caricati in un bucket Amazon S3 a scelta e le notifiche di modifica alla configurazione vengono inviate tramite Amazon Simple Notification Service (SNS). Si applicano le tariffe standard di Amazon S3 e Amazon SNS. Le regole gestite dal cliente vengono create tramite AWS Lambda. Si applicano le tariffe standard di AWS Lambda.

I prezzi di Config Rules includono i costi delle funzioni AWS Lambda?

È possibile scegliere tra un set di regole gestite fornite da AWS oppure creare le proprie regole utilizzando funzioni AWS Lambda. Le regole gestite sono completamente gestite e mantenute da AWS e per queste regole non sarà addebitato alcun costo aggiuntivo di AWS Lambda. È sufficiente abilitare le regole gestite fornendo eventuali parametri obbligatori. È prevista una tariffa unica per ciascuna regola di AWS Config. Le regole gestite dal cliente, invece, consentono un controllo completo sulle regole create tramite funzioni AWS Lambda nell'account. In aggiunta alla tariffa mensile per la regola attiva, si applicano il piano gratuito standard e le tariffe di esecuzione delle funzioni di AWS Lambda.

Cosa significa quota condivisa per Config Rules?

Ogni mese riceverai una quota di 20.000 valutazioni per regola attiva. Se ad esempio hai impostato 3 regole di configurazione, avrai sull'account una quota di 60.000 valutazioni. Puoi scegliere di distribuire a tua discrezione questa quota gratuita tra le regole esistenti.

Le valutazioni non utilizzate vengono accumulate per il mese successivo?

Le valutazioni non utilizzate scadono e non possono essere utilizzate nel ciclo di fatturazione successivo.

Potete illustrare la suddivisione delle spese con un esempio?

Esempio di prezzi 1:
AWS Config registra ogni modifica di una configurazione o di una risorsa AWS come elemento di configurazione. Supponiamo che vengano registrati 7.000 elementi di configurazione/mese e che siano presenti 5 regole attive (2 su base periodica e 3 attivate da modifica), che risultano in un totale di 150 valutazioni al giorno.

Costi di AWS Config: 7.000 * 0,003 USD = 21,00 USD
Costi per 5 regole attive: 5 * 2,00 USD = 10,00 USD

Quota per risultati di valutazione: 5 * 20.000 = 100.000
Numero di risultati di valutazione utilizzati: 150 valutazioni * 30 giorni = 4.500 valutazioni/mese
Costi aggiuntivi per i risultati di valutazione: 0,0 USD

Costi mensili totali di AWS Config: 31,00 USD

Le spese addebitate per il servizio dipendono dal numero di elementi di configurazione registrati dalle risorse. Ciò dipende dal numero di risorse nell'account e dalle modifiche alla configurazione apportate a queste risorse. Per un account con diverse centinaia di risorse e un'attività standard di modifica alla configurazione, AWS Config acquisirebbe meno di 3.000 elementi di configurazione al mese, con una spesa inferiore a 9 USD al mese.


Esempio di prezzi 2:
Supponiamo che vengano registrati 50.000 elementi di configurazione/mese e che siano presenti 2 regole attive, ognuna delle quali viene valutata su ogni elemento di configurazione con la creazione di un risultato.

Costi di AWS Config: 50.000 * 0,003 USD = 150,00 USD
Costi per 2 regole attive: 2 * 2,00 USD = 4,00 USD

Quota per risultati di valutazione: 2 * 20.000 = 40.000
Numero di risultati di valutazione utilizzati: 2 * 50.000 = 100.000
Costi aggiuntivi per i risultati di valutazione: (100.000 – 40.000) = 60.000 * 0,0001 = 6.00 USD

Costi mensili totali di AWS Config: 150,00 USD + 4,00 USD + 6,00 USD = 160,00 USD

Quali soluzioni dei partner AWS sono disponibili per AWS Config?

I partner dell'ecosistema, come Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks e RedHat CloudForms, offrono soluzioni completamente integrate con i dati di AWS Config. Anche i provider di servizi gestiti, ad esempio 2nd Watch e CloudNexa, hanno annunciato integrazioni con AWS Config. Con Config Rules, inoltre, partner come CloudHealth Technologies, AlertLogic e TrendMicro forniscono soluzioni integrate che possono essere utilizzate dai clienti. Queste soluzioni includono funzionalità come la gestione delle modifiche e l'analisi della sicurezza e consentono di visualizzare, monitorare e gestire le configurazioni delle risorse AWS.

Per ulteriori informazioni, vedi le soluzioni dei partner AWS Config.