Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Le migliori pratiche di sicurezza in AWS CloudTrail
AWS CloudTrail fornisce una serie di funzionalità di sicurezza da considerare durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni.
Argomenti
CloudTrail best practice in materia di sicurezza investigativa
Creazione di un trail
Per una registrazione continua degli eventi nel tuo AWS account, devi creare un percorso. Sebbene CloudTrail fornisca 90 giorni di informazioni sulla cronologia degli eventi per gli eventi di gestione nella CloudTrail console senza creare un percorso, non è un record permanente e non fornisce informazioni su tutti i possibili tipi di eventi. Per un record in corso e per un record che contiene tutti i tipi di eventi specificati devi creare un percorso che fornisca i relativi file di log per un bucket Amazon S3 specificato.
Per facilitare la gestione CloudTrail dei dati, prendi in considerazione la creazione di un percorso che registri tutti Regioni AWS gli eventi di gestione e quindi la creazione di percorsi aggiuntivi che registrino tipi di eventi specifici per le risorse, come l'attività o le funzioni dei bucket di Amazon S3. AWS Lambda
Di seguito sono riportate alcune delle procedure che è possibile eseguire:
Applica percorsi a tutti Regioni AWS
Per ottenere un registro completo degli eventi registrati da un'IAMidentità o da un servizio presente nel tuo AWS account, ogni percorso deve essere configurato in modo da registrare tutti gli eventi Regioni AWS. Registrando tutti gli eventi Regioni AWS, ti assicuri che tutti gli eventi che si verificano nel tuo AWS account vengano registrati, indipendentemente dalla AWS regione in cui si sono verificati. Ciò include la registrazione degli eventi di servizio globali, che vengono registrati in una AWS regione specifica di quel servizio. Quando crei un percorso che si applica a tutte le regioni, CloudTrail registra gli eventi in ogni regione e consegna i file di registro CloudTrail degli eventi a un bucket S3 da te specificato. Se viene aggiunta una Regione AWS dopo aver creato un percorso che si applica a tutte le Regioni, la nuova Regione viene automaticamente inclusa e gli eventi in tale Regione vengono registrati. Questa è l'opzione predefinita quando crei un trail nella CloudTrail console.
Di seguito sono riportate alcune delle procedure che è possibile eseguire:
-
Aggiornamento di un percorso esistente per registrare gli eventi in tutte le Regioni AWS
-
Implementa controlli investigativi continui per garantire che tutti i percorsi creati registrino tutti gli eventi Regioni AWS utilizzando la regola multi-region-cloud-trail-enabled in. AWS Config
Abilita l'integrità dei file di CloudTrail registro
I file di log convalidati sono particolarmente preziosi nelle indagini giudiziarie e sulla sicurezza. Ad esempio, un file di registro convalidato consente di affermare con certezza che il file di registro stesso non è cambiato o che determinate credenziali di IAM identità hanno svolto attività specifiche. API Il processo di convalida dell'integrità dei file di CloudTrail registro consente inoltre di sapere se un file di registro è stato eliminato o modificato o di affermare con certezza che nessun file di registro è stato inviato all'account in un determinato periodo di tempo. CloudTrail la convalida dell'integrità dei file di registro utilizza algoritmi standard del settore: SHA -256 per l'hashing e -256 per la firma digitale. SHA RSA Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail Per ulteriori informazioni, consulta Abilitazione della convalida e convalida dei file.
Integrazione con Amazon CloudWatch Logs
CloudWatch Logs ti consente di monitorare e ricevere avvisi per eventi specifici acquisiti da. CloudTrail Gli eventi inviati a CloudWatch Logs sono quelli configurati per essere registrati dal tuo percorso, quindi assicurati di aver configurato il percorso o i percorsi per registrare i tipi di eventi (eventi di gestione, eventi relativi ai dati e/o eventi di attività di rete (in anteprima)) che ti interessa monitorare.
Di seguito sono riportate alcune delle procedure che è possibile eseguire:
-
Consulta l'esempio CloudWatch di integrazioni di Logs per. CloudTrail
-
Configura il tuo percorso per inviare eventi ai registri. CloudWatch
-
Prendi in considerazione l'implementazione di controlli investigativi continui per garantire che tutti i trail inviino eventi a CloudWatch Logs per il monitoraggio utilizzando la regola cloud-trail-cloud-watch-logs-enabled in. AWS Config
Usa Amazon GuardDuty
Amazon GuardDuty è un servizio di rilevamento delle minacce che ti aiuta a proteggere account, container, carichi di lavoro e dati all'interno del tuo AWS ambiente. Utilizzando modelli di machine learning (ML) e funzionalità di rilevamento di anomalie e minacce, monitora GuardDuty continuamente diverse fonti di log per identificare e dare priorità ai potenziali rischi per la sicurezza e alle attività dannose nel tuo ambiente.
Ad esempio, GuardDuty rileverà la potenziale esfiltrazione di credenziali nel caso in cui rilevi credenziali create esclusivamente per un'EC2istanza Amazon tramite un ruolo di avvio dell'istanza ma utilizzate da un altro account all'interno. AWS Per ulteriori informazioni, consulta la Amazon GuardDuty User Guide.
Utilizza AWS Security Hub
Monitora il tuo utilizzo CloudTrail in relazione alle migliori pratiche di sicurezza utilizzando AWS Security Hub. Centrale di sicurezza utilizza controlli di sicurezza di investigazione per valutare le configurazioni delle risorse e gli standard di sicurezza per aiutarti a rispettare vari framework di conformità. Per ulteriori informazioni sull'utilizzo di Security Hub per valutare CloudTrail le risorse, consulta AWS CloudTrail i controlli nella Guida AWS Security Hub per l'utente.
CloudTrail best practice di sicurezza preventiva
Le seguenti best practice CloudTrail possono aiutare a prevenire gli incidenti di sicurezza.
Registrazione in un bucket Amazon S3 dedicato e centralizzato
CloudTrail i file di registro sono un registro di controllo delle azioni intraprese da un'IAMidentità o da un AWS servizio. L'integrità, la completezza e la disponibilità di questi log è cruciale per scopi forensi e di auditing. Effettuando la registrazione in un bucket Amazon S3 dedicato e centralizzato, puoi applicare rigorosi controlli di sicurezza, accesso e separazione dei compiti.
Di seguito sono riportate alcune delle procedure che è possibile eseguire:
-
Crea un AWS account separato come account di archivio dei registri. Se lo utilizzi AWS Organizations, registra questo account nell'organizzazione e valuta la possibilità di creare un percorso organizzativo per registrare i dati di tutti gli AWS account dell'organizzazione.
-
Se non utilizzi Organizations ma desideri registrare i dati per più AWS account, crea un percorso per registrare le attività in questo account di archivio dei registri. Limitare l'accesso a questo account ai soli utenti amministrativi affidabili che devono avere accesso ai dati di auditing e dell'account.
-
Come parte della creazione di un percorso, che si tratti di un percorso dell'organizzazione o di un percorso per un singolo AWS account, crea un bucket Amazon S3 dedicato per archiviare i file di registro per questo percorso.
-
Se desideri registrare l'attività per più di un AWS account, modifica la policy del bucket per consentire la registrazione e l'archiviazione dei file di registro per tutti gli AWS account su cui desideri registrare l'attività dell'account. AWS
-
Se non utilizzi un percorso dell'organizzazione, crea percorsi in tutti gli account AWS , specificando il bucket Amazon S3 nell'account archivio di log.
Utilizza la crittografia lato server con chiavi gestite AWS KMS
Per impostazione predefinita, i file di registro forniti dal CloudTrail bucket S3 vengono crittografati utilizzando la crittografia lato server con una chiave (-). KMS SSE KMS Da usareSSE: KMS con CloudTrail, crei e gestisci una AWS KMS key, nota anche come chiave. KMS
Nota
Se utilizzi SSE la convalida dei file di log KMS e hai modificato la tua policy sui bucket di Amazon S3 per SSE consentire KMS solo i file crittografati, non sarai in grado di creare percorsi che utilizzino quel bucket a meno che non modifichi la policy del bucket per AES256 consentire specificamente la crittografia, come mostrato nella seguente riga di policy di esempio.
"StringNotEquals": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] }
Di seguito sono riportate alcune delle procedure che è possibile eseguire:
-
Scopri i vantaggi della crittografia dei tuoi file di registro con -. SSE KMS
-
Crea una KMS chiave da usare per crittografare i file di registro.
-
Prendi in considerazione l'implementazione di controlli investigativi continui per garantire che tutti i percorsi crittografino i file di SSE registro KMS utilizzando la cloud-trail-encryption-enabledregola in. AWS Config
Aggiungi una chiave di condizione alla policy SNS tematica di Amazon predefinita
Quando configuri un percorso per inviare notifiche ad AmazonSNS, CloudTrail aggiunge una dichiarazione politica alla politica di accesso CloudTrail agli SNS argomenti che consente di inviare contenuti a un SNS argomento. Come best practice in materia di sicurezza, consigliamo di aggiungere una chiave di condizione aws:SourceArn (o facoltativamenteaws:SourceAccount) all'informativa sulla politica SNS tematica di Amazon. Questo aiuta a prevenire l'accesso non autorizzato dell'account al tuo SNS argomento. Per ulteriori informazioni, consulta Policy SNS tematica di Amazon per CloudTrail.
Implementazione dell'accesso con privilegio minimo ai bucket Amazon S3 in cui si archiviano i file di log
CloudTrail traccia gli eventi in un bucket Amazon S3 specificato dall'utente. Questi file di registro contengono un registro di controllo delle azioni intraprese da IAM identità e servizi. AWS L'integrità e la completezza di questi file di log sono fondamentali a scopo forense e di auditing. Per contribuire a garantire tale integrità, è necessario rispettare il principio del privilegio minimo quando si crea o si modifica l'accesso a qualsiasi bucket Amazon S3 utilizzato per archiviare i file di registro. CloudTrail
Utilizza le fasi seguenti:
-
Esaminare le policy dei bucket di Amazon S3 per tutti i bucket in cui si archiviano i file di log e adattarla, se necessario, per rimuovere qualsiasi accesso inutile. Questa policy sui bucket verrà generata automaticamente se crei un trail utilizzando la CloudTrail console, ma può anche essere creata e gestita manualmente.
-
Come best practice per la sicurezza, assicurati di aggiungere manualmente una chiave di condizione
aws:SourceArnper la policy del bucket. Per ulteriori informazioni, consulta Policy sui bucket Amazon S3 per CloudTrail. -
Se utilizzi lo stesso bucket Amazon S3 per archiviare file di log per più AWS account, segui le indicazioni per ricevere file di log per più account.
-
Se stai utilizzando un percorso dell'organizzazione, verifica di seguire le indicazioni per i percorsi dell'organizzazione ed esamina le policy di esempio per un bucket Amazon S3 per un percorso dell'organizzazione in Creare un percorso per un'organizzazione con AWS CLI.
-
Consulta la documentazione della sicurezza di Amazon S3 e la spiegazione passo per passo di esempio per proteggere un bucket.
Abilita l'MFAeliminazione nel bucket Amazon S3 in cui archivi i file di registro
Quando configuri l'autenticazione a più fattori (MFA), i tentativi di modificare lo stato di controllo delle versioni del bucket o di eliminare la versione di un oggetto in un bucket richiedono un'autenticazione aggiuntiva. In questo modo, anche se un utente acquisisce la password di un IAM utente con le autorizzazioni per eliminare definitivamente oggetti Amazon S3, puoi comunque impedire operazioni che potrebbero compromettere i tuoi file di registro.
Di seguito sono riportate alcune delle procedure che è possibile eseguire:
-
Consulta la guida all'MFAeliminazione nella Guida per l'utente di Amazon Simple Storage Service.
-
Aggiungi una policy sui bucket Amazon S3 da richiedere. MFA
Nota
Non è possibile utilizzare MFA delete con configurazioni del ciclo di vita. Per ulteriori informazioni sulle configurazioni del ciclo di vita e sul modo in cui interagiscono con altre configurazioni, consulta Configurazioni del ciclo di vita e altre configurazioni del bucket nella Guida per l'utente di Amazon Simple Storage Service.
Configurazione della gestione del ciclo di vita dell'oggetto nel bucket Amazon S3 in cui si archiviano i file di log
L'impostazione predefinita del CloudTrail percorso consiste nell'archiviare i file di registro a tempo indeterminato nel bucket Amazon S3 configurato per il percorso. È possibile utilizzare le regole d gestione del ciclo di vita di oggetti di Amazon S3 per definire le policy di conservazione per soddisfare al meglio le esigenze dell'azienda e le esigenze di auditing. Ad esempio, è possibile archiviare i file di log creati da più di un anno in Amazon Glacier o eliminare i file di log dopo un determinato periodo di tempo.
Nota
La configurazione del ciclo di vita su bucket abilitati all'autenticazione a più fattori (MFA) non è supportata.
Limita l'accesso alla policy AWSCloudTrail_FullAccess
Gli utenti con la FullAccess policy AWSCloudTrail_ hanno la possibilità di disabilitare o riconfigurare le funzioni di controllo più sensibili e importanti nei propri AWS account. Questa politica non è pensata per essere condivisa o applicata in modo generalizzato alle IAM identità dell'account. AWS Limita l'applicazione di questa politica al minor numero possibile di individui, a coloro che ti aspetti che agiscano come amministratori di AWS account.
