Panoramica della Sicurezza
Sicurezza ZoneHero: Una Panoramica Tecnica
In ZoneHero, crediamo nella trasparenza in materia di sicurezza. Questo documento descrive la nostra architettura di sicurezza, concentrandosi sugli aspetti che puoi verificare e validare autonomamente. Ti mostreremo esattamente come proteggiamo la tua infrastruttura, quali permessi richiediamo e come manteniamo una rigorosa separazione tra il nostro Piano di Controllo e il tuo traffico.
Comunicazione con il Piano di Controllo
Il nostro Piano di Controllo gestisce la configurazione dei bilanciatori del carico mantenendo rigorosi principi di minimizzazione dei dati. In nessun momento il traffico dei tuoi bilanciatori del carico passa attraverso il nostro Piano di Controllo o qualsiasi parte della nostra infrastruttura. Ecco esattamente quali dati fluiscono tra i tuoi bilanciatori del carico e il nostro Piano di Controllo:
Dati Inviati al Piano di Controllo
- ID dell’account AWS (dall’autenticazione IAM)
- Nome del cluster e ID dell’istanza
- Statistiche di utilizzo di base:
- Numero di richieste
- Volumi di dati
- Numero di connessioni
- Utilizzate per le decisioni di routing e la fatturazione
Dati Ricevuti dal Piano di Controllo
- Pesi delle zone di disponibilità
- Lista dei server upstream dai tuoi Target groups configurati
- Certificati TLS per l’uso con gli ascoltatori abilitati TLS
- Nessun traffico cliente passa mai attraverso il nostro Piano di Controllo
Sicurezza delle Connessioni
- Tutte le comunicazioni sono autenticate tramite le credenziali AWS IAM e limitate alla stessa regione AWS
- TLSv1.3 imposto sui nostri endpoint
- DNSSEC abilitato sul nostro dominio zonehero.cloud e tutti i suoi sottodomini
Misure di Sicurezza Verificabili
Permessi IAM e Controllo degli Accessi
Richiediamo permessi minimi ed esplicitamente definiti nel tuo account AWS. Puoi verificare le nostre limitazioni di accesso attraverso il nostro CloudFormation template:
# Esempio dal nostro template IAM
- Effect: Allow
Action:
- ec2:*
- autoscaling:*
Resource: '*'
Condition:
StringEquals:
aws:ResourceTag/ZoneHeroType: hlb
I permessi che richiediamo sono esplicitamente definiti in un unico CloudFormation template verificabile. Ecco esattamente a cosa servono:
Gestione dell’Infrastruttura:
- Creare, avviare e arrestare istanze EC2
- Gestire i gruppi Auto Scaling
- Configurare i modelli di lancio
- Tutte le azioni di modifica/distruzione sono limitate alle risorse taggate con
ZoneHeroType: hlb
- Non può modificare o distruggere la tua infrastruttura esistente
Operazioni dei Bilanciatori del Carico:
- Elencare le istanze nei tuoi Target groups specificati
- Accedere ai certificati TLS sotto
/hlb/*
in Secrets Manager - Pubblicare le metriche su CloudWatch (limitato al namespace ZoneHero)
Gestione DNS:
- Mantenere i record Route53 solo nelle zone che specifichi
- Nessun accesso ad altri record o zone DNS
Punti chiave di verifica:
- Tutti i permessi definiti in un unico CloudFormation template piccolo e verificabile
- Tutte le azioni sull’infrastruttura limitate dai tag delle risorse, eccetto:
- ec2:Create*
- ec2:RunInstances
- autoscaling:Create*
- Assumere un ruolo richiede un ID esterno specifico
- Accesso limitato ai segreti e alle zone DNS
Per verificare questi permessi:
- Esamina il CloudFormation template che forniamo
- Controlla i log CloudTrail per le azioni eseguite dal nostro ruolo
- Verifica che la modifica di risorse non-HLB fallisca
Isolamento di Rete
Il tuo traffico non lascia mai il tuo VPC. Ecco come puoi verificarlo:
Posizione dei Bilanciatori del Carico:
- I bilanciatori del carico vengono eseguiti interamente nel tuo account AWS
- Verifica tramite Console AWS o CLI:
aws ec2 describe-instances --filters "Name=tag:ZoneHeroType,Values=hlb"
Flusso del Traffico:
- Cliente → Il tuo VPC → Le tue Applicazioni
- Usa i VPC Flow Logs per verificare i modelli di traffico
- Configurazione verificabile connettendosi ai nodi HLB tramite AWS Systems Manager Session Manager
Comunicazione del Piano di Controllo:
- Solo il traffico di gestione lascia il tuo VPC
- Sempre regionale (nessun traffico inter-regione)
- Supporto opzionale di AWS PrivateLink
- Verifica tramite le regole dei gruppi di sicurezza
Separazione dell’Infrastruttura
Manteniamo confini chiari tra la nostra infrastruttura di gestione e le tue risorse:
Separazione degli Account:
- I tuoi bilanciatori del carico vengono eseguiti nel tuo account
- Il nostro Piano di Controllo viene eseguito nel nostro account
- Verifica tramite i tag e la proprietà delle risorse AWS
Isolamento Regionale:
- Le istanze HLB comunicano solo con il nostro endpoint nella stessa regione
- Nessun trasferimento di dati inter-regione
- Verifica tramite le chiamate API AWS e gli endpoint
Autenticazione:
- Autenticazione basata su AWS IAM
- Verifica dell’identità dell’istanza
- Monitora tramite i log CloudTrail
Migliori Pratiche di Sicurezza
Configurazione Raccomandata dei Gruppi di Sicurezza
Per le tue istanze dei bilanciatori del carico, raccomandiamo di impostare gruppi di sicurezza il più restrittivi possibile.
Puoi riutilizzare i gruppi di sicurezza esistenti dei tuoi bilanciatori del carico dell’applicazione.
Gestione dei Certificati TLS
Due opzioni per la gestione dei certificati:
Auto-gestito:
- Archiviazione in AWS Secrets Manager sotto
/hlb/*
- Formato richiesto:
fullchain.pem
: Catena dei certificatiprivkey.pem
: Chiave privata
- Rotazione tramite il template Lambda fornito o la tua soluzione
- Archiviazione in AWS Secrets Manager sotto
PrivateLink Enterprise:
- Percorso di rete completamente privato
- Nessuna esposizione di endpoint pubblico
- Contattaci per i dettagli di configurazione
Audit e Verifica
Puoi monitorare le nostre attività attraverso gli strumenti AWS standard:
Log CloudTrail:
- Traccia tutte le chiamate API effettuate dal nostro ruolo
- Monitora la creazione/modifica delle risorse
- Verifica l’utilizzo dei permessi
VPC Flow Logs:
- Monitora i modelli di traffico di rete
- Verifica l’isolamento del traffico
- Traccia la comunicazione del Piano di Controllo
AWS Config:
- Traccia le configurazioni delle risorse
- Monitora le modifiche dei gruppi di sicurezza
- Verifica la conformità dei tag
Funzionalità di Sicurezza Enterprise
Per i clienti enterprise che richiedono misure di sicurezza aggiuntive:
AWS PrivateLink:
- Connettività di rete privata
- Nessuna esposizione di endpoint pubblico
- Isolamento di rete completo
Configurazioni IAM Personalizzate:
- Restrizioni di permessi aggiuntive
- Requisiti di tag personalizzati
- Limitazioni specifiche delle risorse
Confini di Sicurezza
Comprensione chiara delle responsabilità di sicurezza:
Siamo responsabili di:
- Sicurezza del Piano di Controllo
- Provisioning dei bilanciatori del carico
- Distribuzione della configurazione
- Distribuzione dei certificati
Tu mantieni il controllo di:
- Rete VPC
- Gruppi di sicurezza
- Gestione dei certificati
- Configurazione DNS
- Modelli di traffico
Comandi di Verifica
Ecco alcuni comandi utili per verificare le nostre misure di sicurezza:
# Elenca tutte le risorse gestite da HLB
aws ec2 describe-instances --filters "Name=tag:ZoneHeroType,Values=hlb"
# Verifica i permessi del ruolo IAM
aws iam get-role --role-name hlb/service-role
# Monitora gli eventi CloudTrail
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=hlb/service-role
Domande sulla Sicurezza?
Se hai requisiti o domande specifiche sulla sicurezza:
- Dettagli tecnici: Consulta la nostra documentazione GitLab
- Funzionalità enterprise: Contatta il nostro
- Preoccupazioni sulla sicurezza: Invia un’email a
Conclusione
Il nostro modello di sicurezza è costruito sulle migliori pratiche AWS e progettato per la trasparenza. Mantieni il controllo della tua infrastruttura mentre noi forniamo il servizio di bilanciamento del carico. Tutte le misure di sicurezza sono verificabili attraverso gli strumenti e le pratiche AWS standard.
Ricorda: Il sistema più sicuro è quello che puoi verificare tu stesso. Ti incoraggiamo a esaminare i nostri permessi, monitorare le nostre attività e mantenere le migliori pratiche di sicurezza nel tuo ambiente.