Panoramica della Sicurezza

Sicurezza ZoneHero: Una Panoramica Tecnica

In ZoneHero, crediamo nella trasparenza in materia di sicurezza. Questo documento descrive la nostra architettura di sicurezza, concentrandosi sugli aspetti che puoi verificare e validare autonomamente. Ti mostreremo esattamente come proteggiamo la tua infrastruttura, quali permessi richiediamo e come manteniamo una rigorosa separazione tra il nostro Piano di Controllo e il tuo traffico.

Comunicazione con il Piano di Controllo

Il nostro Piano di Controllo gestisce la configurazione dei bilanciatori del carico mantenendo rigorosi principi di minimizzazione dei dati. In nessun momento il traffico dei tuoi bilanciatori del carico passa attraverso il nostro Piano di Controllo o qualsiasi parte della nostra infrastruttura. Ecco esattamente quali dati fluiscono tra i tuoi bilanciatori del carico e il nostro Piano di Controllo:

Dati Inviati al Piano di Controllo

  • ID dell’account AWS (dall’autenticazione IAM)
  • Nome del cluster e ID dell’istanza
  • Statistiche di utilizzo di base:
    • Numero di richieste
    • Volumi di dati
    • Numero di connessioni
    • Utilizzate per le decisioni di routing e la fatturazione

Dati Ricevuti dal Piano di Controllo

  • Pesi delle zone di disponibilità
  • Lista dei server upstream dai tuoi Target groups configurati
  • Certificati TLS per l’uso con gli ascoltatori abilitati TLS
  • Nessun traffico cliente passa mai attraverso il nostro Piano di Controllo

Sicurezza delle Connessioni

  • Tutte le comunicazioni sono autenticate tramite le credenziali AWS IAM e limitate alla stessa regione AWS
  • TLSv1.3 imposto sui nostri endpoint
  • DNSSEC abilitato sul nostro dominio zonehero.cloud e tutti i suoi sottodomini

Misure di Sicurezza Verificabili

Permessi IAM e Controllo degli Accessi

Richiediamo permessi minimi ed esplicitamente definiti nel tuo account AWS. Puoi verificare le nostre limitazioni di accesso attraverso il nostro CloudFormation template:

# Esempio dal nostro template IAM
- Effect: Allow
  Action:
    - ec2:*
    - autoscaling:*
  Resource: '*'
  Condition:
    StringEquals:
      aws:ResourceTag/ZoneHeroType: hlb

I permessi che richiediamo sono esplicitamente definiti in un unico CloudFormation template verificabile. Ecco esattamente a cosa servono:

  1. Gestione dell’Infrastruttura:

    • Creare, avviare e arrestare istanze EC2
    • Gestire i gruppi Auto Scaling
    • Configurare i modelli di lancio
    • Tutte le azioni di modifica/distruzione sono limitate alle risorse taggate con ZoneHeroType: hlb
    • Non può modificare o distruggere la tua infrastruttura esistente
  2. Operazioni dei Bilanciatori del Carico:

    • Elencare le istanze nei tuoi Target groups specificati
    • Accedere ai certificati TLS sotto /hlb/* in Secrets Manager
    • Pubblicare le metriche su CloudWatch (limitato al namespace ZoneHero)
  3. Gestione DNS:

    • Mantenere i record Route53 solo nelle zone che specifichi
    • Nessun accesso ad altri record o zone DNS

Punti chiave di verifica:

  • Tutti i permessi definiti in un unico CloudFormation template piccolo e verificabile
  • Tutte le azioni sull’infrastruttura limitate dai tag delle risorse, eccetto:
    • ec2:Create*
    • ec2:RunInstances
    • autoscaling:Create*
  • Assumere un ruolo richiede un ID esterno specifico
  • Accesso limitato ai segreti e alle zone DNS

Per verificare questi permessi:

  1. Esamina il CloudFormation template che forniamo
  2. Controlla i log CloudTrail per le azioni eseguite dal nostro ruolo
  3. Verifica che la modifica di risorse non-HLB fallisca

Isolamento di Rete

Il tuo traffico non lascia mai il tuo VPC. Ecco come puoi verificarlo:

  1. Posizione dei Bilanciatori del Carico:

    • I bilanciatori del carico vengono eseguiti interamente nel tuo account AWS
    • Verifica tramite Console AWS o CLI:
    aws ec2 describe-instances --filters "Name=tag:ZoneHeroType,Values=hlb"
  2. Flusso del Traffico:

    • Cliente → Il tuo VPC → Le tue Applicazioni
    • Usa i VPC Flow Logs per verificare i modelli di traffico
    • Configurazione verificabile connettendosi ai nodi HLB tramite AWS Systems Manager Session Manager
  3. Comunicazione del Piano di Controllo:

    • Solo il traffico di gestione lascia il tuo VPC
    • Sempre regionale (nessun traffico inter-regione)
    • Supporto opzionale di AWS PrivateLink
    • Verifica tramite le regole dei gruppi di sicurezza

Separazione dell’Infrastruttura

Manteniamo confini chiari tra la nostra infrastruttura di gestione e le tue risorse:

  1. Separazione degli Account:

    • I tuoi bilanciatori del carico vengono eseguiti nel tuo account
    • Il nostro Piano di Controllo viene eseguito nel nostro account
    • Verifica tramite i tag e la proprietà delle risorse AWS
  2. Isolamento Regionale:

    • Le istanze HLB comunicano solo con il nostro endpoint nella stessa regione
    • Nessun trasferimento di dati inter-regione
    • Verifica tramite le chiamate API AWS e gli endpoint
  3. Autenticazione:

    • Autenticazione basata su AWS IAM
    • Verifica dell’identità dell’istanza
    • Monitora tramite i log CloudTrail

Migliori Pratiche di Sicurezza

Configurazione Raccomandata dei Gruppi di Sicurezza

Per le tue istanze dei bilanciatori del carico, raccomandiamo di impostare gruppi di sicurezza il più restrittivi possibile.

Puoi riutilizzare i gruppi di sicurezza esistenti dei tuoi bilanciatori del carico dell’applicazione.

Gestione dei Certificati TLS

Due opzioni per la gestione dei certificati:

  1. Auto-gestito:

    • Archiviazione in AWS Secrets Manager sotto /hlb/*
    • Formato richiesto:
      • fullchain.pem: Catena dei certificati
      • privkey.pem: Chiave privata
    • Rotazione tramite il template Lambda fornito o la tua soluzione
  2. PrivateLink Enterprise:

    • Percorso di rete completamente privato
    • Nessuna esposizione di endpoint pubblico
    • Contattaci per i dettagli di configurazione

Audit e Verifica

Puoi monitorare le nostre attività attraverso gli strumenti AWS standard:

  1. Log CloudTrail:

    • Traccia tutte le chiamate API effettuate dal nostro ruolo
    • Monitora la creazione/modifica delle risorse
    • Verifica l’utilizzo dei permessi
  2. VPC Flow Logs:

    • Monitora i modelli di traffico di rete
    • Verifica l’isolamento del traffico
    • Traccia la comunicazione del Piano di Controllo
  3. AWS Config:

    • Traccia le configurazioni delle risorse
    • Monitora le modifiche dei gruppi di sicurezza
    • Verifica la conformità dei tag

Funzionalità di Sicurezza Enterprise

Per i clienti enterprise che richiedono misure di sicurezza aggiuntive:

  1. AWS PrivateLink:

    • Connettività di rete privata
    • Nessuna esposizione di endpoint pubblico
    • Isolamento di rete completo
  2. Configurazioni IAM Personalizzate:

    • Restrizioni di permessi aggiuntive
    • Requisiti di tag personalizzati
    • Limitazioni specifiche delle risorse

Confini di Sicurezza

Comprensione chiara delle responsabilità di sicurezza:

Siamo responsabili di:

  • Sicurezza del Piano di Controllo
  • Provisioning dei bilanciatori del carico
  • Distribuzione della configurazione
  • Distribuzione dei certificati

Tu mantieni il controllo di:

  • Rete VPC
  • Gruppi di sicurezza
  • Gestione dei certificati
  • Configurazione DNS
  • Modelli di traffico

Comandi di Verifica

Ecco alcuni comandi utili per verificare le nostre misure di sicurezza:

# Elenca tutte le risorse gestite da HLB
aws ec2 describe-instances --filters "Name=tag:ZoneHeroType,Values=hlb"

# Verifica i permessi del ruolo IAM
aws iam get-role --role-name hlb/service-role

# Monitora gli eventi CloudTrail
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=hlb/service-role

Domande sulla Sicurezza?

Se hai requisiti o domande specifiche sulla sicurezza:

  • Dettagli tecnici: Consulta la nostra documentazione GitLab
  • Funzionalità enterprise: Contatta il nostro
  • Preoccupazioni sulla sicurezza: Invia un’email a

Conclusione

Il nostro modello di sicurezza è costruito sulle migliori pratiche AWS e progettato per la trasparenza. Mantieni il controllo della tua infrastruttura mentre noi forniamo il servizio di bilanciamento del carico. Tutte le misure di sicurezza sono verificabili attraverso gli strumenti e le pratiche AWS standard.

Ricorda: Il sistema più sicuro è quello che puoi verificare tu stesso. Ti incoraggiamo a esaminare i nostri permessi, monitorare le nostre attività e mantenere le migliori pratiche di sicurezza nel tuo ambiente.