AWS Config Rules è un nuovo set di funzionalità di governance del cloud che consente agli amministratori IT di definire le linee guida di provisioning e configurazione delle risorse AWS e di monitorare la conformità di tali linee guida in modo continuo. AWS Config Rules consente di scegliere tra un elenco di regole predefinite, basate su comuni best practice di AWS, e regole personalizzate. Ad esempio, è possibile verificare che i volumi EBS siano crittografati, che alle istanze EC2 siano stati applicati i tag corretti e che gli indirizzi IP elastici o EIP (Elastic IP Address) siano stati collegati alle istanze. AWS Config Rules monitora in modo continuo le modifiche di configurazione delle risorse AWS e offre un nuovo pannello di controllo per avere un riscontro ininterrotto dello stato di conformità. Utilizzando Config Rules, un amministratore IT è in grado di determinare rapidamente quali risorse non rientrano nei parametri di conformità e in quale momento si è verificata la violazione.
Anteprima di AWS Config Rules disponibile
Iscriviti per l'anteprima
Per attivare AWS Config Rules bastano pochi clic nella Console di gestione AWS. Per abilitare notifiche, flussi di lavoro e verifiche di conformità avanzati, è sufficiente usare i modelli di regola, oppure creare regole personalizzate utilizzando le funzioni AWS Lambda. È possibile accedere alle informazioni relative alla configurazione di qualsiasi risorsa tramite la Console di gestione AWS, l'interfaccia a riga di comando o i kit SDK.
Fai clic per allargare
AWS Config Rules fornisce un pannello di controllo che consente di visionare elenchi, grafici e diagrammi grazie ai quali individuare immediatamente le risorse che hanno violato la conformità e decidere di prendere opportune contromisure. Amministratori, esperti di sicurezza, sviluppatori e operatori avranno una panoramica condivisa sulla conformità. Per le aziende che devono attenersi a severi standard di settore, Config Rules può contribuire in modo decisivo a soddisfare i requisiti di conformità.
AWS Config Rules fornisce una panoramica in tempo reale della conformità delle risorse AWS con le policy e le linee guida aziendali. Non è necessario avviare complesse analisi per verificare lo stato delle risorse. È possibile valutare le regole ogni volta che una risorsa AWS viene modificata oppure a intervalli regolari. È anche possibile configurare Amazon SNS in modo da inviare un'e-mail o un SMS quando viene rilevata una modifica di configurazione.
AWS Config Rules offre un'interfaccia intuitiva che consente di gestire con la massima semplicità gli audit di conformità e la risoluzione dei problemi di configurazione. Tramite la console, è anche possibile pianificare snapshot di conformità automatici su tutto l'account, che consentono di confrontare lo stato di conformità in diversi momenti.
Sono disponibili numerosi partner APN (AWS Partner Network) in grado di fornire soluzioni che si integrano con AWS Config Rules e forniscono funzionalità di rilevamento delle risorse, gestione delle modifiche, conformità o sicurezza.
Il costo di AWS Config Rules viene calcolato in base al numero di regole attive nell'account. Ogni volta che viene verificata la corrispondenza tra una risorsa AWS e una regola, il risultato viene registrato come risultato di valutazione. È possibile valutare le regole ogni volta che una risorsa AWS viene modificata oppure a intervalli regolari, ad esempio ogni giorno oppure ogni ora. Una regola è attiva se in un determinato mese viene valutata una o più volte.
Costo di Config Rules:
2 USD per regola attiva al mese.
Per ogni regola attiva, il tuo account riceve nel mese corrispondente a titolo gratuito:
20.000 valutazioni
Le valutazioni non usate non possono essere utilizzate nel mese successivo. Se occorre un numero maggiore di valutazioni, il costo delle valutazioni aggiuntive è:
0,10 USD per mille valutazioni
I file degli snapshot di configurazione e dello storico delle configurazioni vengono caricati in un bucket Amazon S3 a scelta; le notifiche di modifica della configurazione vengono inviate tramite Amazon Simple Notification Service (SNS). Si applicano le tariffe standard di Amazon S3 e Amazon SNS. Le regole personalizzate vengono create tramite AWS Lambda. Si applicano le tariffe standard di AWS Lambda.
Salvo diversamente specificato, i prezzi sono al netto di eventuali tasse e imposte doganali, inclusa IVA, GST ed eventuali imposte sulle vendite. Per ulteriori informazioni, consulta le domande frequenti sul prezzo di Config Rules »
Cos'è una regola di configurazione?
Una regola di configurazione rappresenta le configurazioni desiderate per una risorsa; la regola viene valutata, ossia viene confrontata con la configurazione corrente per individuarne le differenze, secondo le impostazioni di AWS Config. I risultati della valutazione della regola rispetto alla configurazione di una risorsa sono quindi disponibili nel pannello di controllo. Usando Config Rules, è possibile prendere in esame conformità e livello di rischio dal punto di vista della configurazione, consultare tendenze di conformità nel corso del tempo e individuare quale modifica alla configurazione ha causato la mancata conformità di una risorsa a una determinata regola.
A chi è rivolto Config Rules?
A tutti i clienti AWS che desiderano migliorare la sicurezza e la governance aziendale su AWS analizzando in modo continuo la configurazione delle risorse. Agli amministratori di grandi aziende che devono mettere in pratica best practice, i quali possono codificare delle regole in Config Rules e implementare così una forma di governance automatica tra gli utenti. Agli esperti di sicurezza informatica che monitorano le attività e le configurazioni, perché possono individuarne le vulnerabilità. Ai clienti con carichi di lavoro che devono sottostare a standard specifici (ad esempio PCI DSS o HIPAA), perché possono sfruttarne le funzionalità per verificare la conformità della configurazione della loro infrastruttura AWS e generare report per audit. Agli operatori che devono gestire infrastrutture AWS di grandi dimensioni o componenti che variano di frequente, per eseguirne la risoluzione dei problemi.
Il servizio garantisce la conformità delle configurazioni?
Config Rules fornisce solamente informazioni sulla conformità delle risorse alle regole di configurazione specificate. Le regole saranno valutate nel momento in cui in AWS Config sono disponibili nuovi elementi di configurazione o CI (Configuration Items) per le risorse. Non costituisce una garanzia della conformità delle risorse, né impedirà agli utenti di eseguire azioni che vanno contro tale conformità. Inoltre, Config Rules non eseguirà alcuna operazione per far ritornare in uno stato di conformità risorse in violazione.
Il servizio è in grado di impedire agli utenti di eseguire azioni che vanno contro le regole di conformità?
Config Rules non agisce direttamente sul comportamento degli utenti finali. Il servizio verifica semplicemente le modifiche delle configurazioni delle risorse solo dopo che tali modifiche sono state effettuate e registrate in AWS Config. Config Rules non impedisce agli utenti le modifiche che potrebbero causare violazioni della conformità. Per avere il controllo sul provisioning in AWS e sui parametri di configurazione consentiti durante il provisioning da parte degli utenti, consigliamo di utilizzare rispettivamente le policy di AWS Identity and Access Management (IAM) e AWS Service Catalog.
È possibile valutare le regole prima del provisioning di una risorsa?
Config Rules valuta le regole dopo che l'elemento di configurazione o CI (Configuration Item) per una risorsa è stato acquisito da AWS Config. Non valuta quindi le regole prima del provisioning o prima delle modifiche della configurazione della risorsa.
Cos'è la configurazione di una risorsa?
La configurazione di una risorsa è definita dai dati inclusi nell'elemento di configurazione o CI (Configuration Item) di AWS Config. Il rilascio iniziale di Config Rules rende il CI di una risorsa disponibile al confronto con le regole correlate. Config Rules userà questi dati e qualsiasi altra informazione rilevante (ad esempio altre risorse allegate, orari lavorativi e così via) per valutare la conformità della configurazione di una risorsa.
Cos'è una regola?
Una regola rappresenta i valori degli attributi di un elemento di configurazione o CI (Configuration Item) per le risorse valutate mediante un confronto tra tali valori e i CI registrati da AWS Config. Sono previsti due tipi di regola:
- Regole gestite da AWS: le regole gestite da AWS sono predefinite e gestite da AWS. Per abilitarle, è sufficiente selezionare una regola che si desidera abilitare, quindi fornire alcuni parametri di configurazione. Ulteriori informazioni »
- Regole gestite dal cliente: le regole gestite dal cliente sono regole personalizzate, create e definite interamente dall'utente. È possibile creare funzioni in AWS Lambda che vengono richiamate come parte delle regole personalizzate; queste funzioni sono eseguite all'interno dell'account personale. Ulteriori informazioni »
Come vengono create le regole?
Generalmente, le regole vengono importate dall'amministratore dell'account AWS. Possono essere create a partire da regole gestite da AWS, un insieme di regole predefinito fornito da AWS, oppure da regole gestite dal cliente. Con le regole gestite da AWS, gli aggiornamenti di una regola vengono applicati automaticamente a tutti gli account che la usano. Con le regole gestite dal cliente, avrai una copia completa della regola e dovrai eseguirla all'interno del tuo account. La manutenzione di queste regole è inoltre tua responsabilità.
Come vengono valutate le regole?
Le regole possono essere attivate da una modifica oppure su base periodica. Una regola attivata da una modifica viene valutata quando AWS Config rileva una modifica della configurazione di una qualsiasi delle risorse specificate. Inoltre, è necessario specificare uno dei seguenti valori:
- Tag chiave:(valore opzionale): la valutazione della regola viene attivata da qualsiasi modifica della configurazione registrata per le risorse con uno specifico tag chiave:valore.
- Tipo o tipi di risorsa: la valutazione della regola viene attivata da qualsiasi modifica della configurazione registrata per le risorse che appartengono a uno o più tipi di risorsa specificati.
- ID risorsa: la valutazione della regola viene attivata da qualsiasi modifica registrata alle risorse specificate secondo il tipo di risorsa e l'ID.
Una regola attivata su base periodica verrà valutata secondo una frequenza specificata. Le frequenze disponibili sono: 1 ora, 3 ore, 6 ore, 12 ore o 24 ore. Una regola su base periodica potrà avere uno snapshot completo degli elementi di configurazione correnti per tutte le risorse disponibili a tale regola.
Cos'è una valutazione?
La valutazione di una regola determina lo stato di conformità tra la regola e una risorsa in un determinato momento. È il risultato della valutazione di una regola in base alla configurazione di una risorsa. Config Rules acquisisce e memorizza il risultato della valutazione. Questo risultato include la risorsa, la regola, l'ora della valutazione e un collegamento all'elemento di configurazione che ha causato la violazione della conformità.
Cos'è la conformità?
Una risorsa è conforme se si attiene a tutte le regole che le si applicano. In caso contrario, viene considerata non conforme. Analogamente, una regola è conforme se viene rispettata da tutte le risorse valutate da tale regola. In caso contrario, viene considerata non conforme. In alcuni casi, ad esempio quando a una regola non vengono assegnate le corrette autorizzazioni, non è possibile completare una valutazione per una risorsa, generando uno stato "dati insufficienti". Tale stato non viene preso in considerazione quando viene determinata la conformità di una risorsa o di una regola.
Quali informazioni contiene il pannello di controllo di Config Rules?
Il pannello di controllo di Config Rules offre una panoramica delle risorse monitorate da AWS Config e un riepilogo della conformità corrente, ordinato per risorsa e per regola. Quando consulti lo stato di conformità in base alle risorse, puoi determinare se una regola applicata a una determinata risorsa è conforme. Consultando lo stato di conformità in base alle regole, puoi invece analizzare quali risorse a cui si applica la regola sono al momento non conformi. A partire da queste visualizzazioni di riepilogo, è possibile accedere allo storico delle configurazioni, che consente di determinare quali parametri di configurazione sono stati modificati. La panoramica generale delle risorse offerta dal pannello di controllo può essere approfondita fino a ottenerne una visione granulare, che consente di ottenere informazioni complete sulle modifiche allo stato di conformità e su quali modifiche hanno provocato una violazione.
Le tariffe includono i costi delle funzioni AWS Lambda?
È possibile scegliere tra un elenco di regole gestite e fornite da AWS oppure creare le proprie regole usando funzioni AWS Lambda. Le regole gestite sono completamente gestite e mantenute da AWS; per queste regole non sarà addebitato alcun costo aggiuntivo di AWS Lambda. È sufficiente attivare le regole gestite fornendo eventuali parametri obbligatori; è prevista una tariffa unica per ciascuna regola di AWS Config. Le regole gestite dal cliente, invece, consentono un controllo completo sulle regole create tramite funzioni AWS Lambda nell'account. In aggiunta alla tariffa mensile per la regola attiva, si applicano il piano gratuito standard e le tariffe di esecuzione delle funzioni di AWS Lambda.
Cos'è una regola attiva?
Una regola è attiva se in un determinato ciclo di fatturazione (quindi in un determinato mese) ha generato almeno 1 valutazione. Una valutazione viene registrata quando viene eseguito un raffronto tra una risorsa AWS e una regola e il risultato viene registrato da AWS Config.
Cos'è una quota condivisa?
Al mese, per ogni regola attiva, riceverai una quota di 20.000 valutazioni. Se ad esempio hai impostato 3 regole di configurazione, avrai sull'account una quota di 60.000 valutazioni. Puoi scegliere di distribuire a tua discrezione questa quota gratuita tra le regole esistenti.
Le valutazioni non utilizzate vengono accumulate al mese successivo?
Le valutazioni non utilizzate scadono e non possono essere utilizzate nel ciclo di fatturazione successivo.
È possibile consultare qualche esempio di prezzi di AWS Config Rules?
Prezzi: scenario 1
AWS Config registra ogni modifica di una configurazione o di una risorsa AWS come elemento di configurazione o CI. Supponiamo che vengano registrati 7.000 CI/mese e che siano presenti 5 regole attive (2 su base periodica e 3 attivate da modifica), che risultano in un totale di 150 valutazioni al giorno.
Costi di AWS Config: 7.000 * 0,003 USD = 21,00 USD
Costi per 5 regole attive: 5 * 2,00 USD = 10,00 USD
Quota per risultati di valutazione: 5 * 20.000 = 100.000
Numero di risultati di valutazione usati: 150 valutazioni * 30 giorni = 4.500 valutazioni al mese
Costi aggiuntivi per i risultati di valutazione: 0,0 USD
Costi mensili totali di AWS Config: 31,00 USD
Prezzi: scenario 2
Supponiamo che vengano registrati 50.000 CI/mese e che siano presenti 2 regole attive, ognuna delle quali valutate su ogni CI con la creazione di un risultato.
Costi di AWS Config: 50.000 * 0,003 USD = 150,00 USD
Costi per 2 regole attive: 2 * 2,00 USD = 4,00 USD
Quota per risultati di valutazione: 2 * 20.000 = 40.000
Numero di risultati di valutazione usati: 2 * 50.000 = 100.000
Costi aggiuntivi per i risultati di valutazione: (100.000 – 40.000) = 60.000 * 0,0001 = 6.00 USD
Costi mensili totali di AWS Config: 150,00 USD + 4,00 USD + 6,00 USD = 160,00