Raccomandazioni sul controllo di sicurezza per la registrazione e il monitoraggio

La registrazione e il monitoraggio sono aspetti importanti del rilevamento delle minacce. Il rilevamento delle minacce è una delle funzionalità dal punto di vista della sicurezza del AWS Cloud Adoption Framework (AWS CAF). Utilizzando i dati di registro, l'organizzazione può monitorare l'ambiente per comprendere e identificare potenziali errori di configurazione della sicurezza, minacce e comportamenti imprevisti. La comprensione delle potenziali minacce può aiutare l'organizzazione a dare priorità ai controlli di sicurezza e un rilevamento efficace delle minacce può aiutare a rispondere alle minacce più rapidamente.

Configura almeno un percorso multiregionale in CloudTrail

AWS CloudTrailti aiuta a verificare la governance, la conformità e il rischio operativo del tuo Account AWS. Le azioni intraprese da un utente, un ruolo o un utente Servizio AWS vengono registrate come eventi in CloudTrail. Gli eventi includono le azioni intraprese in AWS Management Console, AWS Command Line Interface (AWS CLI) e AWS SDKs e APIs. Questa cronologia degli eventi consente di analizzare il livello di sicurezza, tenere traccia delle modifiche alle risorse e verificare la conformità.

Per una registrazione continua degli eventi della tua azienda Account AWS, devi creare un percorso. Ogni percorso deve essere configurato per registrare tutti gli eventi Regioni AWS. Registrando tutti gli eventi Regioni AWS, ti assicuri che tutti gli eventi che si verificano nel tuo Account AWS vengano registrati, indipendentemente dal luogo in cui si Regione AWS sono verificati. Un percorso multiregionale garantisce la registrazione degli eventi di servizio globali.

Per ulteriori informazioni, consulta le seguenti risorse:

• CloudTrail le migliori pratiche di sicurezza per gli investigatori contenute nella documentazione CloudTrail

• Conversione di un percorso che si applica a una regione in modo da applicarlo a tutte le regioni della documentazione CloudTrail

• Abilitazione e disabilitazione della registrazione degli eventi di servizio globale nella documentazione CloudTrail

Configurare la registrazione a livello di servizio e applicazione

AWS Well-Architected Framework consiglia di conservare i registri degli eventi di sicurezza di servizi e applicazioni. Si tratta di un principio fondamentale di sicurezza per audit, indagini e casi d'uso operativi. La conservazione dei log dei servizi e delle applicazioni è un requisito di sicurezza comune, determinato dagli standard, dalle politiche e dalle procedure di governance, rischio e conformità (GRC).

I team addetti alle operazioni di sicurezza si affidano ai log e agli strumenti di ricerca per scoprire potenziali eventi di interesse che potrebbero indicare attività non autorizzate o modifiche involontarie. È possibile abilitare la registrazione per diversi servizi, a seconda del caso d'uso. Ad esempio, puoi registrare l'accesso al bucket Amazon S3, il traffico AWS WAF Web ACL, il traffico Amazon API Gateway a livello di rete o le distribuzioni Amazon. CloudFront

Per ulteriori informazioni, consulta le seguenti risorse:

• Trasmetti Amazon CloudWatch Logs a un account centralizzato per il controllo e l'analisi nel blog di architettura AWS

• Configurare la registrazione di servizi e applicazioni nel AWS Well-Architected Framework

Stabilisci una posizione centralizzata per analizzare i log e rispondere agli eventi di sicurezza

L'analisi manuale dei log e l'elaborazione delle informazioni non sono sufficienti per tenere il passo con il volume di informazioni associato alle architetture complesse. L'analisi e il reporting da soli non facilitano l'assegnazione tempestiva degli eventi alla risorsa corretta. Il AWS Well-Architected Framework consiglia di AWS integrare gli eventi e i risultati di sicurezza in un sistema di notifica e flusso di lavoro, ad esempio un sistema di ticketing, bug o di gestione delle informazioni e degli eventi di sicurezza (SIEM). Questi sistemi consentono di assegnare, indirizzare e gestire gli eventi di sicurezza.

Per ulteriori informazioni, consulta le seguenti risorse:

• Analizza log, risultati e metriche centralmente nel Well-Architected Framework AWS

• Analizza la sicurezza, la conformità e l'attività operativa utilizzando CloudTrail Amazon Athena nel blog sulla AWS sicurezza

• AWS Partner che forniscono servizi di rilevamento e risposta alle minacce nel AWS Partners Portfolio

Impedisci l'accesso non autorizzato ai bucket S3 che contengono file di registro CloudTrail

Per impostazione predefinita, i file di CloudTrail log vengono archiviati in bucket Amazon S3. È una best practice di sicurezza quella di impedire l'accesso non autorizzato a qualsiasi bucket Amazon S3 che CloudTrail contiene file di registro. Questo ti aiuta a mantenere l'integrità, la completezza e la disponibilità di questi log, il che è fondamentale per scopi forensi e di controllo. Se desideri registrare gli eventi relativi ai dati per i bucket S3 che contengono file di CloudTrail registro, puoi creare un percorso a questo scopo. CloudTrail

Per ulteriori informazioni, consulta le seguenti risorse:

• Configurazione delle impostazioni di accesso pubblico a blocchi per i bucket S3 nella documentazione di Amazon S3

• CloudTrail le migliori pratiche di sicurezza preventiva nella documentazione CloudTrail

• Creazione di una traccia nella documentazione CloudTrail

Configura gli avvisi per le modifiche ai gruppi di sicurezza o alla rete ACLs

Un gruppo di sicurezza in Amazon Virtual Private Cloud (Amazon VPC) controlla il traffico a cui è consentito raggiungere e uscire dalle risorse a cui è associato. Una lista di controllo degli accessi alla rete (ACL) consente o nega traffico specifico in entrata o in uscita a livello di sottorete del VPC. Queste risorse sono fondamentali per la gestione dell'accesso nel tuo ambiente. AWS

Crea e configura un CloudWatch allarme Amazon che ti avvisi in caso di modifiche alla configurazione di un gruppo di sicurezza o di un ACL di rete. Configura questo allarme per avvisarti ogni volta che viene eseguita una chiamata AWS API per aggiornare i gruppi di sicurezza. Puoi anche utilizzare servizi, come Amazon EventBridge e AWS Config, per rispondere automaticamente a questi tipi di eventi di sicurezza.

Per ulteriori informazioni, consulta le seguenti risorse:

• Ripristina e ricevi automaticamente notifiche sulle modifiche ai tuoi gruppi di sicurezza Amazon VPC nel AWS Security Blog

• Utilizzo degli CloudWatch allarmi Amazon nella documentazione CloudWatch

• Implementa eventi di sicurezza utilizzabili nel Well-Architected AWS Framework

• Automatizza la risposta agli eventi nel AWS Well-Architected Framework

Configura gli avvisi per gli CloudWatch allarmi che entrano nello stato ALARM

In CloudWatch, è possibile specificare le azioni intraprese da un allarme quando cambia stato tra gli stati OKALARM, eINSUFFICIENT_DATA. Il tipo più comune di azione di allarme consiste nell'avvisare una o più persone inviando un messaggio a un argomento di Amazon Simple Notification Service (Amazon SNS). Puoi anche configurare allarmi da creare OpsItemso attivare incidenti. AWS Systems Manager

Ti consigliamo di attivare le azioni di allarme per avvisare automaticamente se una metrica monitorata non rientra nella soglia definita. Il monitoraggio degli allarmi consente di identificare attività insolite e di rispondere rapidamente ai problemi operativi e di sicurezza.

Per ulteriori informazioni, consulta le seguenti risorse:

• Implementa eventi di sicurezza utilizzabili nel Well-Architected AWS Framework

• Azioni di allarme nella documentazione CloudWatch