Nozioni di base sul tutorial di AWS CloudTrail

Se ancora non si conosce AWS CloudTrail, questo tutorial consente di imparare a utilizzarne le funzionalità. In questo tutorial, è possibile rivedere l'attività recente dell'account AWS nella console CloudTrail ed esaminare un evento. È possibile quindi creare un percorso, che è un record dell'attività dell'evento di gestione in corso archiviato in un bucket Amazon S3. Diversamente dalla Event history (Cronologia eventi), questo record non è limitato a 90 giorni, registra eventi in tutte le regioni AWS e può aiutare a soddisfare le esigenze di sicurezza e di verifica nel corso del tempo.

Prerequisiti

Prima di iniziare, è necessario completare i prerequisiti e la configurazione:

• Creare un account AWS, se non se ne possiede già uno.

  Se non si dispone di un Account AWS, completare la procedura seguente per crearne uno.

  Come registrarsi a un Account AWS

  1. Aprire la pagina all'indirizzo https://portal.aws.amazon.com/billing/signup.

  2. Seguire le istruzioni online.

     Nel corso della procedura di registrazione, si riceverà una telefonata, durante la quale sarà necessario inserire un codice di verifica sulla tastiera del telefono.

     Durante la registrazione di un Account AWS, viene creato un Utente root dell'account AWS. L'utente root ha accesso a tutte le risorse e i Servizi AWS in tale account. Come best practice di sicurezza, assegnare l’accesso amministrativo a un utente amministrativo e utilizzare solo l’utente root per eseguire attività che richiedono l’accesso di un utente root.

• Creare un utente IAM per l'amministrazione di CloudTrail. Per ulteriori informazioni, consulta Concessione di autorizzazioni per l'amministrazione di CloudTrail.

Fase 1: revisione dell'attività dell'account AWS nella cronologia eventi

CloudTrail è abilitato sull'account AWS al momento della sua creazione. Quando si verifica un'attività in qualsiasi servizio AWS che supporti CloudTrail, questa viene registrata in un evento CloudTrail insieme ad altri eventi del servizio AWS nella Event history (Cronologia eventi). Vale a dire, è possibile visualizzare, cercare e scaricare eventi recenti nell'account AWS prima di creare un percorso, anche se la creazione di un percorso è importante per record a lungo termine e per la verifica dell'attività dell'account AWS. A differenza di un percorso, Event history (Cronologia eventi) mostra solo gli eventi che si sono verificati negli ultimi 90 giorni.

1. Accedi alla AWS Management Console usando l'utente IAM configurato per l'amministrazione di CloudTrail. Apri la console CloudTrail all'indirizzo https://console.aws.amazon.com/cloudtrail/home/.

2. Esaminare le informazioni contenute nel pannello di controllo sugli eventi più recenti che si sono verificati nell'account AWS. Un evento recente dovrebbe essere un evento ConsoleLogin, in cui sia mostrato che si è appena effettuato l'accesso alla AWS Management Console.

   

3. Per visualizzare ulteriori informazioni su un evento, espanderlo.

   

4. Nel riquadro di navigazione scegliere Event history (Cronologia eventi). Consultare un elenco filtrato di eventi, con gli eventi più recenti visualizzati per primi. Il filtro predefinito per gli eventi è di Read-only (Sola lettura), impostato su false (Falso). È possibile rimuovere il filtro scegliendo la X alla sua destra.

   

5. Molti altri eventi sono mostrati senza il filtro predefinito. È possibile filtrare gli eventi in diversi modi. Ad esempio, per visualizzare tutti gli eventi di login della console, è possibile scegliere il filtro Event name (Nome evento) e specificare ConsoleLogin (Accesso console). La scelta dei filtri dipende dall'utente.

   

6. È possibile salvare la cronologia eventi scaricandola come file in formato JSON o CSV. Il download della cronologia eventi può richiedere alcuni minuti.

   

Per ulteriori informazioni, consulta Visualizzazione di eventi mediante la cronologia eventi di CloudTrail.

Fase 2: creazione del primo trail

Anche se gli eventi forniti nella Event history (Cronologia eventi) nella console CloudTrail sono utili per rivedere le attività recenti, sono limitati alle attività recenti e non includono tutti gli eventi possibili che possono essere registrati da CloudTrail. Inoltre, la visualizzazione di eventi nella console è limitata dalla regione AWS in cui si è effettuato l'accesso. Per creare un record delle attività in corso nel proprio account AWS che consenta di acquisire informazioni per tutte le Regioni AWS, creare un percorso. Per impostazione predefinita, quando si crea un trail nella console CloudTrail, il percorso registra gli eventi in tutte le regioni. La registrazione degli eventi in tutte regioni del proprio account è una best practice consigliata.

Per il primo percorso, consigliamo di creare un trail che registri tutti gli eventi di gestione in tutte le regioni AWS e non registri alcun evento dati. Esempi di eventi di gestione includono eventi di sicurezza come gli eventi IAM CreateUser e AttachRolePolicy, eventi delle risorse come RunInstances e CreateBucket e molto altro. È possibile creare un bucket Amazon S3 in cui si archivieranno i file di log per il percorso nell’ambito della creazione del percorso nella console CloudTrail.

Nota

Questo tutorial presuppone che si stia creando il primo percorso. A seconda del numero di percorsi presenti nel proprio account AWS e di come tali percorsi sono configurati, la procedura seguente potrebbe essere soggetta o non soggetta a costi. CloudTrail archivia i file di log in un bucket Amazon S3, che comporta costi. Per ulteriori informazioni sui prezzi, consultare Prezzi di AWS CloudTrail e Prezzi di Amazon S3.

1. Accedi alla AWS Management Console usando l'utente IAM configurato per l'amministrazione di CloudTrail. Apri la console CloudTrail all'indirizzo https://console.aws.amazon.com/cloudtrail/home/. Nel selettore Region (Regione), scegliere la regione AWS in cui creare il trail. Questa è la regione di origine del percorso.

   Nota

   La regione di origine è l'unica regione AWS in cui è possibile visualizzare e aggiornare il percorso dopo la sua creazione, anche se il percorso registra gli eventi in tutte le regioni AWS.

2. Nella home page del servizio CloudTrail, nella pagina Trails (Percorsi) o nella sezione Trails (Percorsi) della pagina Pannello di controllo, scegliere Create trail (Crea percorso).

3. In Trail, attribuire un nome al trail, ad esempio My-Management-Events-Trail. Come best practice, è consigliabile utilizzare un nome che identifichi in modo rapido lo scopo del percorso. In questo caso, si crea un percorso che registra gli eventi di gestione.

4. Lascia le impostazioni predefinite per i percorsi dell'organizzazione AWS Organizations. Questa opzione non sarà disponibile per la modifica, a meno che siano stati configurati account in Organizations.

5. Per Storage location (Posizione di archiviazione), scegliere Create new S3 bucket (Crea nuovo bucket S3) per creare un bucket. Quando si crea un bucket, CloudTrail crea e applica le policy del bucket obbligatorie. Assegnare un nome al bucket, ad esempio mio-bucket-per-archiviazione-registri-cloudtrail.

   Per semplificare la ricerca dei registri, creare una nuova cartella (nota anche come prefisso) in un bucket esistente per archiviare i registri di CloudTrail. Inserire il prefisso in Prefix (Prefisso).

   Nota

   Il nome del bucket Amazon S3 deve essere univoco a livello globale. Per ulteriori informazioni, consulta Requisiti di denominazione dei bucket Amazon S3.

   

6. Deselezionare la casella di controllo per disabilitare Log file SSE-KMS encryption (Crittografia SSE-KMS dei file di log). Per impostazione predefinita, i file di log sono crittografati con la crittografia SSE-S3. Per ulteriori informazioni su questa impostazione, consultare Protezione dei dati mediante la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3).

7. Lascia le impostazioni predefinite in Additional settings (Impostazioni aggiuntive).

8. Per il momento, non inviare registri ad Amazon CloudWatch Logs.

9. In Tags (Tag), aggiungere uno o più tag personalizzati (coppie chiave-valore) al percorso. I tag consentono di identificare i percorsi CloudTrail e altre risorse, ad esempio i bucket Amazon S3 contenenti file di log di CloudTrail. Ad esempio, è possibile allegare un tag con il nome Compliance e il valore Auditing.

   Nota

   Sebbene sia possibile aggiungere tag ai percorsi durante la creazione nella console CloudTrail e creare un bucket Amazon S3 per archiviare i file di log nella console CloudTrail, non è possibile aggiungere tag al bucket Amazon S3 dalla console CloudTrail. Per ulteriori informazioni sulla visualizzazione e la modifica delle proprietà di un bucket Amazon S3, inclusa l'aggiunta di tag a un bucket, consultare la Guida per l'utente di Amazon S3.

   

   Quando hai terminato la creazione di tag, seleziona Next (Successivo).

10. Nella pagina Choose log events (Seleziona eventi di log), seleziona i tipi di evento da registrare. Per questo percorso, mantieni le impostazioni predefinite, Management events (Eventi di gestione). Nell'area Management events (Eventi di gestione), scegli di registrare sia gli eventi Read (Lettura) che Write (Scrittura), se non sono già selezionati. Lascia vuote le caselle di controllo per Exclude AWS KMS events (Escludi eventi KMS) ed Exclude Amazon RDS Data API events (Escludi eventi API di dati di Amazon RDS), per registrare tutti gli eventi.

    

11. Lascia le impostazioni predefinite per Data events (Eventi di dati) ed Insights events (Eventi Insights). Questo percorso non registra alcun dato o evento CloudTrail Insights. Seleziona Successivo.

12. Nella pagina Review and create (Verifica e crea), rivedere le impostazioni selezionate per il percorso. Scegliere Edit (Modifica) in una sezione per tornare indietro e apportare modifiche. Quando si è pronti per creare il percorso, scegliere Create trail (Crea percorso).

13. La pagina Trails (Percorsi) mostra il nuovo percorso nella tabella. Tenere presente che il percorso è impostato su Multi-region trail (Percorso multiregione) per impostazione predefinita e che la registrazione è attivata per il percorso per impostazione predefinita.

    

Fase 3: visualizzazione dei file di log

Entro 15 minuti in media dalla creazione del primo percorso, CloudTrail fornisce il primo set di file di log per il bucket Amazon S3 per il percorso. È possibile esaminare questi file e le informazioni che contengono.

Nota

In genere, CloudTrail distribuisce i log con una media di circa 15 minuti da una chiamata API. Questo tempo non è garantito. Per ulteriori informazioni, consultare l'Accordo sul Livello di Servizio (SLA) di AWS CloudTrail.

1. Nel riquadro di navigazione selezionare Trails (Percorso). Nella pagina Trails (Percorsi), trovare il nome del percorso appena creato (nell'esempio, My-Management-Events-Trail).

   Nota

   Assicurarsi di essere ancora collegati utilizzando l'utente IAM configurato per l'amministrazione CloudTrail. In caso contrario, si potrebbe non disporre di autorizzazioni sufficienti per visualizzare i percorsi nella console CloudTrail o il bucket Amazon S3 contenente i file di log del percorso.

2. Nella riga del percorso, scegliere il valore per il bucket S3 (nell'esempio, aws-cloudtrail-logs-08132020-mytrail).

3. La console Amazon S3 si apre e mostra il bucket, nel livello superiore per i file di log. Poiché è stato creato un trail che registra eventi in tutte le regioni AWS, la visualizzazione si apre al livello che mostra le cartelle di ogni regione. La gerarchia di navigazione del bucket Amazon S3 a questo livello è bucket-name/AWSLogs/account-id/CloudTrail. Sceglire la cartella per la regione AWS in cui si desidera esaminare i file di log. Ad esempio, per esaminare i file di log per la regione Stati Uniti orientali (Ohio), scegliere us-east-2.

   

4. Passare alla struttura della cartella del bucket, all'anno, al mese e al giorno in cui si desidera esaminare i log di attività in quella regione. In quel giorno, sono presenti molti file. Il nome dei file inizia con il proprio ID account AWS e termina con l'estensione .gz. Ad esempio, se il proprio ID account fosse 123456789012, si vedrebbero file con nomi simili a questo: 123456789012_CloudTrail_us-east-2_20190610T1255abcdeEXAMPLE.json.gz.

   Per visualizzare questi file, è possibile scaricarli, decomprimerli e quindi visualizzarli in un editor di testo normale o un visualizzatore file JSON. Alcuni browser, inoltre, supportano la visualizzazione dei file .gz e JSON direttamente. Consigliamo di utilizzare un visualizzatore JSON, che semplifica l'analisi delle informazioni dei file di log di CloudTrail.

   Mentre si sta esaminando il contenuto dei file, ci si potrebbe iniziare a chiedere che cosa si stia osservando. CloudTrail registra gli eventi per ogni servizio AWS che abbia avuto attività in quella regione AWS nel momento in cui si è verificato l'evento. Vale a dire, gli eventi dei diversi servizi AWS sono mescolati e la loro registrazione è basata solo sull'ora in cui si sono verificati. Per ulteriori informazioni su ciò che un determinato servizio AWS registra con CloudTrail, inclusi esempi di voci di file di log per le chiamate API del servizio, consultare l'elenco dei servizi supportati per CloudTrail e leggere l'argomento integrativo di CloudTrail per quel servizio. Per ulteriori informazioni sul contenuto e la struttura dei file di log di CloudTrail, consultare Riferimento agli eventi di log di CloudTrail.

   Si potrebbe notare anche ciò che non si vede nei file di log negli Stati Uniti orientali (Ohio). Nello specifico, non viene visualizzato alcun evento di accesso alla console, anche se si ha la certezza di aver effettuato l'accesso. Questo accade perché l'accesso alla console e gli eventi IAM sono eventi di servizio globali, che di solito sono registrati in una regione AWS specifica. In questo caso, vengono registrati negli Stati Uniti orientali (Virginia settentrionale) e si trovano nella cartella us-east-1. Aprire la cartella all'anno, al mese e al giorno a cui si è interessati. Scorrere i file di log, si vedranno eventi ConsoleLogin simili ai seguenti:

   {
       "eventVersion": "1.05",
       "userIdentity": {
           "type": "IAMUser",
           "principalId": "AKIAIOSFODNN7EXAMPLE",
           "arn": "arn:aws:iam::123456789012:user/Mary_Major",
           "accountId": "123456789012",
           "userName": "Mary_Major"
       },
       "eventTime": "2019-06-10T17:14:09Z",
       "eventSource": "signin.amazonaws.com",
       "eventName": "ConsoleLogin",
       "awsRegion": "us-east-1",
       "sourceIPAddress": "203.0.113.67",
       "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0",
       "requestParameters": null,
       "responseElements": {
           "ConsoleLogin": "Success"
       },
       "additionalEventData": {
           "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true",
           "MobileVersion": "No",
           "MFAUsed": "No"
       },
       "eventID": "2681fc29-EXAMPLE",
       "eventType": "AwsConsoleSignIn",
       "recipientAccountId": "123456789012"
   }

   Questa voce del file di log non indica solo l'identità dell'utente IAM che ha effettuato l'accesso (Mary_Major), la data, l'ora e la riuscita dell'accesso. Fornisce anche l'indirizzo IP da cui è stato effettuato l'accesso, il sistema operativo e il software del browser del computer utilizzato e specifica che l'utente non ha utilizzato l'autenticazione a più fattori (Multi-Factor Authentication, MFA).

Fase 4: piano per le fasi successive

Ora che si dispone di un percorso, si ha accesso a un record aggiornato di eventi e attività nell'account AWS. Questo record consente di soddisfare le esigenze dell'account e di auditing dell'account AWS. Tuttavia, con CloudTrail e con i dati CloudTrail è possibile fare molto di più.

• Aggiungere ulteriore sicurezza per i propri dati del percorso. CloudTrail applica automaticamente un determinato livello di sicurezza quando si crea un percorso. Tuttavia, vi sono ulteriori azioni da intraprendere per ottenere la massima protezione dei dati.

  • Per impostazione predefinita, al bucket Amazon S3 creato come parte della creazione di un percorso è applicata una policy che permette a CloudTrail di scrivere file di log per quel bucket. Il bucket non è accessibile pubblicamente, ma potrebbe essere accessibile ad altri utenti nell'account AWS se questi godono delle autorizzazioni di accesso in lettura e in scrittura per i bucket nell'account AWS. Consultare la policy per il bucket e, se necessario, apportare modifiche per limitare l'accesso a un determinato gruppo di utenti IAM. Per ulteriori informazioni, consultare la documentazione della sicurezza di Amazon S3 e la spiegazione passo per passo di esempio per proteggere un bucket.

  • I file di log distribuiti da CloudTrail al bucket sono crittografati tramite la crittografia Amazon lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3). Per fornire un livello di sicurezza gestibile direttamente, è invece possibile utilizzare la crittografia lato server con chiavi gestite da AWS KMS (SSE-KMS) per i file di log di CloudTrail. Per utilizzare SSE-KMS con CloudTrail, è possibile creare e gestire una chiave KMS, nota anche come AWS KMS key. Per ulteriori informazioni, consulta Crittografia dei file di log di CloudTrail con chiavi AWS KMS (SSE-KMS).

  • Per una maggiore sicurezza di pianificazione, esaminare le best practice per la sicurezza di CloudTrail.

• Creare un trail per registrare gli eventi dei dati. Se si desidera registrare l'aggiunta, il recupero e l'eliminazione di oggetti in uno o più bucket Amazon S3 oppure se si desidera registrare il momento dell'aggiunta, della modifica o dell'eliminazione di oggetti in tabelle Dynamo DB o il momento in cui una o più funzioni AWS Lambda vengono richiamate, si tratta di eventi di dati. Il percorso dell'evento di gestione creato in precedenza in questo tutorial non registra questi tipi di eventi. È possibile creare appositamente un percorso separato per registrare gli eventi di dati per alcune o tutte le risorse supportate. Per ulteriori informazioni, consulta Eventi di dati.

  Nota

  Per la registrazione degli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni, consultare Prezzi di AWS CloudTrail.

• Registrare gli eventi CloudTrail Insights sul proprio percorso. CloudTrail Insights aiuta a identificare e a rispondere ad attività insolite o anomale associate alle chiamate API write grazie a un'analisi continua degli eventi di gestione CloudTrail. CloudTrail Insights utilizza modelli matematici per determinare i livelli normali di attività dell'API e degli eventi di servizio per un account. Identifica comportamenti che si discostano dai normali schemi, genera eventi Insights e li distribuisce a una cartella /CloudTrail-Insight nel bucket S3 di destinazione scelto per il percorso. Per ulteriori informazioni su CloudTrail Insights, consultare Registrazione di eventi Insights per i percorsi.

  Nota

  Per la registrazione degli eventi Insights vengono applicati costi aggiuntivi. Per ulteriori informazioni, consultare Prezzi di AWS CloudTrail.

• Configura allarmi CloudWatch Logs per avvisare l'utente quando si verificano determinati eventi. CloudWatch Logs consente di monitorare e ricevere avvisi al verificarsi di eventi specifici acquisiti da CloudTrail. Ad esempio, è possibile monitorare la chiave di sicurezza e gli eventi di gestione correlati alla rete, ad esempio le modifiche dei gruppi di sicurezza, eventi di accesso alla AWS Management Console non riuscito o modifiche delle policy IAM. Per ulteriori informazioni, consulta Monitoraggio dei file di log CloudTrail con Amazon CloudWatch Logs.

• Utilizzare gli strumenti di analisi per individuare tendenze nei log CloudTrail. Anche se i filtri della cronologia di eventi possono aiutare a trovare eventi specifici o tipi di eventi nell'attività recente, non offrono la possibilità di ricercare le attività su lunghi di di tempo. Per analisi più approfondite e sofisticate, è possibile utilizzare Amazon Athena. Per ulteriori informazioni, consultare Esecuzione di query sui log AWS CloudTrail nella Guida per l'utente di Amazon Athena.