Unità operativa di sicurezza - Log Archive account - AWSGuida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Unità operativa di sicurezza - Log Archive account

Influenza il future dellaAWS Security Reference Architecture (AWSSRA) partecipando a un breve sondaggio.

Il diagramma seguente illustra i servizi di sicurezza AWS configurati nell'account Log Archive.


      Servizi di sicurezza nell'account Log Archive

L'account Log Archive è dedicato all'acquisizione e all'archiviazione di tutti i log e i backup relativi alla sicurezza. Grazie ai log centralizzati, puoi monitorare, controllare e avvisare in caso di accesso agli oggetti Amazon S3, attività non autorizzate da parte delle identità, modifiche delle policy IAM e altre attività critiche eseguite su risorse sensibili. Gli obiettivi di sicurezza sono semplici: dovrebbe trattarsi di uno storage immutabile, accessibile solo da meccanismi controllati, automatizzati e monitorati e costruito per durare (ad esempio, utilizzando i processi di replica e archiviazione appropriati). I controlli possono essere implementati in modo approfondito per proteggere l'integrità e la disponibilità dei registri e del processo di gestione dei registri. Oltre ai controlli preventivi, come l'assegnazione di ruoli con privilegi minimi da utilizzare per l'accesso e la crittografia dei log con una chiave AWS KMS controllata, utilizza controlli investigativi come AWS Config per monitorare (e avvisare e correggere) questa raccolta di autorizzazioni per modifiche impreviste.

Considerazione del design
  • I dati di registro operativi utilizzati dai team di infrastruttura, operazioni e carichi di lavoro spesso si sovrappongono ai dati di registro utilizzati dai team di sicurezza, audit e conformità. Ti consigliamo di consolidare i dati di registro operativi nell'account Log Archive. In base ai requisiti specifici di sicurezza e governance, potrebbe essere necessario filtrare i dati di registro operativi salvati in questo account. Potrebbe anche essere necessario specificare chi ha accesso ai dati di registro operativi nell'account Log Archive.

Tipi di registri

I log principali mostrati nell'AWS SRA includono CloudTrail (percorso organizzativo), log di flusso Amazon VPC, log di accesso da Amazon CloudFront e AWS WAF e log DNS di Amazon Route 53. Questi registri forniscono una verifica delle azioni intraprese (o tentate) da un utente, ruolo, servizio AWS o entità di rete (identificati, ad esempio, da un indirizzo IP). È possibile acquisire e archiviare anche altri tipi di log (ad esempio, registri delle applicazioni o registri del database). Per ulteriori informazioni sulle origini dei log e sulle best practice di registrazione, consulta la documentazione di sicurezza per ciascun servizio.

Amazon S3 come archivio di log centrale

Molti servizi AWS registrano le informazioni in Amazon S3, per impostazione predefinita o esclusivamente. AWS CloudTrail, Amazon VPC Flow Logs, AWS Config ed Elastic Load Balancing sono alcuni esempi di servizi che registrano informazioni in Amazon S3. Ciò significa che l'integrità dei log viene raggiunta tramite l'integrità degli oggetti S3; la riservatezza dei log viene raggiunta tramite i controlli di accesso agli oggetti S3; e la disponibilità dei log viene raggiunta tramite S3 Object Lock, le versioni degli oggetti S3 e le regole del ciclo di vita S3. Registrando le informazioni in un bucket S3 dedicato e centralizzato che risiede in un account dedicato, puoi gestire questi log in pochi bucket e applicare rigorosi controlli di sicurezza, accesso e separazione dei compiti. 

In AWS SRA, i log primari archiviati in Amazon S3 provengono da CloudTrail, quindi questa sezione descrive come proteggere tali oggetti. Questa guida si applica anche a qualsiasi altro oggetto S3 creato dalle tue applicazioni o da altri servizi AWS. Applica questi modelli ogni volta che hai dati in Amazon S3 che richiedono elevata integrità, forte controllo degli accessi e conservazione o distruzione automatizzata. 

Per impostazione predefinita, CloudTrail i log nei bucket S3 vengono crittografati tramite la crittografia Amazon lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3). Ciò aiuta a proteggere i dati inattivi, ma il controllo degli accessi è controllato esclusivamente dalle politiche IAM. Per fornire un livello di sicurezza gestito aggiuntivo, puoi utilizzare la crittografia lato server con chiavi AWS KMS gestite (SSE-KMS) su tutti i bucket di sicurezza S3. Questo aggiunge un secondo livello di controllo degli accessi. Per leggere i file di registro, un utente deve disporre sia delle autorizzazioni di lettura Amazon S3 per l'oggetto S3 sia di una politica o di un ruolo IAM applicato che consenta di decrittografare in base alla politica chiave associata.

Due opzioni consentono di proteggere o verificare l'integrità degli oggetti di CloudTrail registro in Amazon S3. CloudTrail fornisce la funzionalità di convalida dell'integrità del file di log per determinare se un file di log è stato modificato o eliminato dopo che è stato CloudTrail distribuito. L'altra opzione è S3 Object Lock. 

Oltre a proteggere il bucket S3 stesso, puoi rispettare il principio del privilegio minimo per i servizi di registrazione (ad esempio CloudTrail) e l'account Log Archive. Ad esempio, gli utenti con autorizzazioni concesse dalla policy AWS Managed IAM AWSCloudTrail_FullAccess possono disabilitare o riconfigurare le funzioni di auditing più sensibili e importanti negli account AWS. Limita l'applicazione di questa policy IAM al minor numero di persone possibile. 

Usa i controlli investigativi, come quelli forniti da AWS Config e AWS IAM Access Analyzer, per monitorare (e avvisare e porre rimedio) a questo più ampio collettivo di controlli preventivi in caso di modifiche impreviste. 

Per una discussione più approfondita delle best practice di sicurezza per i bucket S3, consulta la documentazione di Amazon S3, le conferenze tecniche online e il post del blog Le 10 migliori pratiche di sicurezza per proteggere i dati in Amazon S3.