Registrazione e monitoraggio di applicazioni tramite AWS CloudTrail - AWS Guida prescrittiva
Utilizzo di CloudTrailCasi d'uso per CloudTrailBest practice per CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione e monitoraggio di applicazioni tramite AWS CloudTrail

AWS CloudTrail è un Servizio AWS che aiuta a gestire l'auditing operativo e dei rischi, la governance e la conformità del tuo Account AWS. Le operazioni eseguite da un utente, un ruolo o un Servizio AWS vengono registrate come eventi in CloudTrail. Gli eventi possono includere le operazioni eseguite nella AWS Management Console, AWS Command Line Interface (AWS CLI) e nelle SDK e API AWS.

Utilizzo di CloudTrail

CloudTrail è abilitato sul tuo Account AWS al momento della sua creazione. Quando si verifica un'attività nel tuo Account AWS, tale attività viene registrata in un evento CloudTrail. Puoi visualizzare facilmente gli eventi recenti nella console CloudTrail accedendo a Cronologia di eventi.

Per un record continuo di attività ed eventi nel tuo Account AWS, puoi creare un trail. È possibile creare trail per una singola Regione AWS o per tutte le regioni. I trail registrano i file di log in ogni regione e CloudTrail può fornire i file di log in un unico bucket Amazon Simple Storage Service (Amazon S3) consolidato.

Puoi configurare più trail in modo tale che elaborino e registrino solo gli eventi specificati. Ciò può essere utile quando desideri eseguire il triage degli eventi che si verificano nel tuo Account AWS con gli eventi che si verificano nella tua applicazione.

Nota

Per determinare se un file di log è stato modificato, eliminato o modificato dopo che CloudTrail lo ha distribuito, puoi utilizzare la funzionalità di convalida. Questa caratteristica è stata sviluppata utilizzando algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata. Puoi utilizzare la AWS CLI per convalidare i file nel percorso in cui CloudTrail li ha distribuiti. Per ulteriori informazioni su questa funzionalità e su come abilitarla, consulta Convalida dell'integrità dei file di log di CloudTrail (documentazione di CloudTrail).

Casi d'uso per CloudTrail

  • Aiuto per la conformità: l'utilizzo di CloudTrail può aiutarti a rispettare le policy interne e gli standard normativi fornendo una cronologia degli eventi nel tuo Account AWS.

  • Analisi di sicurezza: puoi eseguire analisi di sicurezza e rilevare i modelli di comportamento degli utenti inserendo i file di log di CloudTrail in soluzioni di gestione e analisi dei log, come CloudWatch Logs, Amazon EventBridge, Amazon Athena, servizio OpenSearch di Amazon o un'altra soluzione di terze parti.

  • Esfiltrazione di dati: è possibile rilevare l'esfiltrazione di dati raccogliendo dati sulle attività degli oggetti Amazon S3 tramite eventi API a livello di oggetto registrati in CloudTrail. Dopo aver raccolto i dati sull'attività, è possibile utilizzare altri Servizi AWS, come EventBridge e AWS Lambda, per attivare una risposta automatica.

  • Risoluzione dei problemi operativi: è possibile risolvere i problemi operativi utilizzando i file di log di CloudTrail. Ad esempio, è possibile identificare rapidamente le modifiche più recenti apportate alle risorse del proprio ambiente, tra cui la creazione, la modifica e l'eliminazione di risorse AWS.

Best practice per CloudTrail

  • Abilita CloudTrail in tutte le Regioni AWS.

  • Abilita la convalida dell'integrità dei file di log.

  • Crittografa i log.

  • Inserisci i file di log di CloudTrail in CloudWatch Logs.

  • Centralizza i log di tutti gli Account AWS e le regioni.

  • Applica le policy del ciclo di vita ai bucket S3 contenenti file di log.

  • Impedisci agli utenti di disattivare la registrazione in CloudTrail. Applica la seguente policy di controllo dei servizi (SCP) in AWS Organizations. Questo SCP imposta una regola di rifiuto esplicita per le azioni StopLogging e DeleteTrail in tutta l'organizzazione.

    {
"Version": "2012-10-17",
"Statement":
       [ 
                 { "Action": 
                     [
                     "cloudtrail:StopLogging",
                     "cloudtrail:DeleteTrail"
                      ],
                      "Resource": "*",
                      "Effect": "Deny"
                  }
        ]
}