Le migliori pratiche di sicurezza in AWS CloudTrail

AWS CloudTrail fornisce una serie di funzionalità di sicurezza da considerare durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni.

CloudTrail best practice in materia di sicurezza investigativa

Creazione di un trail

Per una registrazione continua degli eventi nel tuo AWS account, devi creare un percorso. Sebbene CloudTrail fornisca 90 giorni di informazioni sulla cronologia degli eventi per gli eventi di gestione nella CloudTrail console senza creare un percorso, non è un record permanente e non fornisce informazioni su tutti i possibili tipi di eventi. Per un record in corso e per un record che contiene tutti i tipi di eventi specificati devi creare un percorso che fornisca i relativi file di log per un bucket Amazon S3 specificato.

Per facilitare la gestione CloudTrail dei dati, prendi in considerazione la creazione di un percorso che registri tutti Regioni AWS gli eventi di gestione e quindi la creazione di percorsi aggiuntivi che registrino tipi di eventi specifici per le risorse, come l'attività o le funzioni dei bucket di Amazon S3. AWS Lambda

Di seguito sono riportate alcune delle procedure che è possibile eseguire:

• Creazione di un trail per l'account AWS .

• Creazione di un trail per un'organizzazione.

Applica percorsi a tutti Regioni AWS

Per ottenere un record completo degli eventi registrati da un'identità o da un servizio IAM nel tuo AWS account, ogni percorso deve essere configurato per registrare tutti gli eventi Regioni AWS. Registrando tutti gli eventi Regioni AWS, ti assicuri che tutti gli eventi che si verificano nel tuo AWS account vengano registrati, indipendentemente dalla AWS regione in cui si sono verificati. Ciò include la registrazione degli eventi di servizio globali, che vengono registrati in una AWS regione specifica di quel servizio. Quando crei un percorso che si applica a tutte le regioni, CloudTrail registra gli eventi in ogni regione e consegna i file di registro CloudTrail degli eventi a un bucket S3 da te specificato. Se viene aggiunta una Regione AWS dopo aver creato un percorso che si applica a tutte le Regioni, la nuova Regione viene automaticamente inclusa e gli eventi in tale Regione vengono registrati. Questa è l'opzione predefinita quando crei un trail nella CloudTrail console.

Di seguito sono riportate alcune delle procedure che è possibile eseguire:

• Creazione di un trail per l'account AWS .

• Aggiornamento di un percorso esistente per registrare gli eventi in tutte le Regioni AWS

• Implementa controlli investigativi continui per garantire che tutti i percorsi creati registrino tutti gli eventi Regioni AWS utilizzando la regola multi-region-cloud-trail-enabled in. AWS Config

Abilita l'integrità dei file di CloudTrail registro

I file di log convalidati sono particolarmente preziosi nelle indagini giudiziarie e sulla sicurezza. Ad esempio, un file di log convalidato consente di confermare senza ombra di dubbio che tale file non ha subito modifiche oppure che una specifica attività API è stata eseguita utilizzando credenziali di un'identità IAM attendibile. Il processo di convalida dell'integrità dei file di CloudTrail registro consente inoltre di sapere se un file di registro è stato eliminato o modificato o di affermare con certezza che nessun file di registro è stato inviato all'account durante un determinato periodo di tempo. CloudTrail la convalida dell'integrità dei file di registro utilizza algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende computazionalmente impossibile modificare, eliminare o falsificare i file di registro senza essere rilevati. CloudTrail Per ulteriori informazioni, consulta Abilitazione della convalida e convalida dei file.

Integrazione con Amazon CloudWatch Logs

CloudWatch Logs ti consente di monitorare e ricevere avvisi per eventi specifici acquisiti da. CloudTrail Gli eventi inviati a CloudWatch Logs sono quelli configurati per essere registrati dal tuo percorso, quindi assicurati di aver configurato il percorso o i percorsi per registrare i tipi di eventi (eventi di gestione e/o eventi relativi ai dati) che ti interessa monitorare.

Ad esempio, puoi monitorare i principali eventi di sicurezza e di gestione relativi alla rete, come gli eventi di accesso non riuscito. AWS Management Console

Di seguito sono riportate alcune delle procedure che è possibile eseguire:

• Consulta l'esempio CloudWatch di integrazioni di Logs per. CloudTrail

• Configura il tuo percorso per inviare eventi ai registri. CloudWatch

• Prendi in considerazione l'implementazione di controlli investigativi continui per garantire che tutti i trail inviino eventi a CloudWatch Logs per il monitoraggio utilizzando la regola cloud-trail-cloud-watch-logs-enabled in. AWS Config

Utilizza AWS Security Hub

Monitora il tuo utilizzo CloudTrail in relazione alle migliori pratiche di sicurezza utilizzando. AWS Security Hub Centrale di sicurezza utilizza controlli di sicurezza di investigazione per valutare le configurazioni delle risorse e gli standard di sicurezza per aiutarti a rispettare vari framework di conformità. Per ulteriori informazioni sull'utilizzo di Security Hub per valutare CloudTrail le risorse, consulta AWS CloudTrail i controlli nella Guida AWS Security Hub per l'utente.

CloudTrail best practice di sicurezza preventiva

Le seguenti best practice CloudTrail possono aiutare a prevenire gli incidenti di sicurezza.

Registrazione in un bucket Amazon S3 dedicato e centralizzato

CloudTrail i file di registro sono un registro di controllo delle azioni intraprese da un'identità o da un AWS servizio IAM. L'integrità, la completezza e la disponibilità di questi log è cruciale per scopi forensi e di auditing. Effettuando la registrazione in un bucket Amazon S3 dedicato e centralizzato, puoi applicare rigorosi controlli di sicurezza, accesso e separazione dei compiti.

Di seguito sono riportate alcune delle procedure che è possibile eseguire:

• Crea un AWS account separato come account di archivio dei registri. Se lo utilizzi AWS Organizations, registra questo account nell'organizzazione e valuta la possibilità di creare un percorso organizzativo per registrare i dati di tutti gli AWS account dell'organizzazione.

• Se non utilizzi Organizations ma desideri registrare i dati per più AWS account, crea un percorso per registrare le attività in questo account di archivio dei registri. Limitare l'accesso a questo account ai soli utenti amministrativi affidabili che devono avere accesso ai dati di auditing e dell'account.

• Come parte della creazione di un percorso, che si tratti di un percorso dell'organizzazione o di un percorso per un singolo AWS account, crea un bucket Amazon S3 dedicato per archiviare i file di registro per questo percorso.

• Se desideri registrare l'attività per più di un AWS account, modifica la policy del bucket per consentire la registrazione e l'archiviazione dei file di registro per tutti gli AWS account su cui desideri registrare l'attività dell'account. AWS

• Se non utilizzi un percorso dell'organizzazione, crea percorsi in tutti gli account AWS , specificando il bucket Amazon S3 nell'account archivio di log.

Utilizza la crittografia lato server con chiavi gestite AWS KMS

Per impostazione predefinita, i file di registro forniti dal CloudTrail bucket S3 sono crittografati utilizzando la crittografia lato server con una chiave KMS (SSE-KMS). Per utilizzare SSE-KMS con CloudTrail, devi creare e gestire una, nota anche come chiave KMS. AWS KMS key

Nota

Se utilizzi SSE-KMS e la convalida dei file di log e hai modificato la policy del bucket Amazon S3 per abilitare solo i file con crittografia SSE-KMS, non potrai creare percorsi che utilizzano quel bucket, a meno di modificare la policy del bucket per permettere espressamente la crittografia AES256, come illustrato nella seguente riga di policy di esempio.

"StringNotEquals": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] } 

Di seguito sono riportate alcune delle procedure che è possibile eseguire:

• Esaminare i vantaggi della crittografia dei file di log con SSE-KMS.

• Crea una chiave KMS da utilizzare per la crittografia dei file di log.

• Configurare la crittografia del file di log per i trail.

• Prendi in considerazione l'implementazione di controlli investigativi continui per garantire che tutti i percorsi crittografino i file di registro con SSE-KMS utilizzando la regola in. cloud-trail-encryption-enabled AWS Config

Aggiunta di una chiave di condizione alla policy predefinita dell'argomento Amazon SNS

Quando configuri un trail per inviare notifiche ad Amazon SNS, CloudTrail aggiunge una dichiarazione di policy alla policy di accesso agli argomenti SNS che consente di inviare contenuti CloudTrail a un argomento SNS. Come best practice di sicurezza, consigliamo di aggiungere una chiave di condizione aws:SourceArn (o facoltativamenteaws:SourceAccount) all'informativa sulla policy. CloudTrail Ciò consente di impedire l'accesso non autorizzato all'account all'argomento SNS. Per ulteriori informazioni, consulta Policy tematica di Amazon SNS per CloudTrail.

Implementazione dell'accesso con privilegio minimo ai bucket Amazon S3 in cui si archiviano i file di log

CloudTrail traccia gli eventi in un bucket Amazon S3 specificato dall'utente. Questi file di registro contengono un registro di controllo delle azioni intraprese dalle identità e dai servizi IAM. AWS L'integrità e la completezza di questi file di log sono fondamentali a scopo forense e di auditing. Per contribuire a garantire tale integrità, è necessario rispettare il principio del privilegio minimo quando si crea o si modifica l'accesso a qualsiasi bucket Amazon S3 utilizzato per archiviare i file di registro. CloudTrail

Utilizza le fasi seguenti:

• Esaminare le policy dei bucket di Amazon S3 per tutti i bucket in cui si archiviano i file di log e adattarla, se necessario, per rimuovere qualsiasi accesso inutile. Questa policy sui bucket verrà generata automaticamente se crei un trail utilizzando la CloudTrail console, ma può anche essere creata e gestita manualmente.

• Come best practice per la sicurezza, assicurati di aggiungere manualmente una chiave di condizione aws:SourceArn per la policy del bucket. Per ulteriori informazioni, consulta Policy sui bucket Amazon S3 per CloudTrail.

• Se utilizzi lo stesso bucket Amazon S3 per archiviare file di log per più AWS account, segui le indicazioni per ricevere file di log per più account.

• Se stai utilizzando un percorso dell'organizzazione, verifica di seguire le indicazioni per i percorsi dell'organizzazione ed esamina le policy di esempio per un bucket Amazon S3 per un percorso dell'organizzazione in Creare un percorso per un'organizzazione con AWS Command Line Interface.

• Consulta la documentazione della sicurezza di Amazon S3 e la spiegazione passo per passo di esempio per proteggere un bucket.

Abilitazione dell'eliminazione MFA sul bucket Amazon S3 in cui si archiviano i file di log

La configurazione dell'autenticazione a più fattori (MFA) garantisce che qualsiasi tentativo di modificare lo stato di controllo delle versioni del bucket oppure di eliminare in modo permanente una versione di un oggetto richiede un ulteriore livello di autenticazione. In questo modo, anche se un utente acquisisse una password di un utente IAM con autorizzazioni per eliminare definitivamente gli oggetti Amazon S3, sarà comunque possibile impedire operazioni che potrebbero compromettere i file di log.

Di seguito sono riportate alcune delle procedure che è possibile eseguire:

• Consulta la procedura di eliminazione tramite MFA nella Guida per l'utente di Amazon Simple Storage Service.

• Aggiungi una policy del bucket Amazon S3 per richiedere l'autenticazione MFA.

Nota

Non puoi utilizzare l'eliminazione MFA con le configurazioni del ciclo di vita. Per ulteriori informazioni sulle configurazioni del ciclo di vita e sul modo in cui interagiscono con altre configurazioni, consulta Configurazioni del ciclo di vita e altre configurazioni del bucket nella Guida per l'utente di Amazon Simple Storage Service.

Configurazione della gestione del ciclo di vita dell'oggetto nel bucket Amazon S3 in cui si archiviano i file di log

L'impostazione predefinita del CloudTrail percorso consiste nell'archiviare i file di registro a tempo indeterminato nel bucket Amazon S3 configurato per il percorso. È possibile utilizzare le regole d gestione del ciclo di vita di oggetti di Amazon S3 per definire le policy di conservazione per soddisfare al meglio le esigenze dell'azienda e le esigenze di auditing. Ad esempio, è possibile archiviare i file di log creati da più di un anno in Amazon Glacier o eliminare i file di log dopo un determinato periodo di tempo.

Nota

La configurazione del ciclo di vita su bucket abilitati a più fattori (MFA) non è supportata.

Limita l'accesso alla policy AWSCloudTrail_FullAccess

Gli utenti che dispongono della AWSCloudTrail_FullAccesspolicy hanno la possibilità di disabilitare o riconfigurare le funzioni di controllo più sensibili e importanti nei propri AWS account. Questa policy non è pensata per essere condivisa o applicata su larga scala alle identità IAM presenti nel tuo account. AWS Limita l'applicazione di questa politica al minor numero possibile di individui, a coloro che ti aspetti che agiscano come amministratori di AWS account.