Security OU - Account Security Tooling - AWSGuida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Security OU - Account Security Tooling

Influenza il future dellaAWS Security Reference Architecture (AWSSRA) partecipando a un breve sondaggio.

Il diagramma seguente illustra i servizi di sicurezza AWS configurati nell'account Security Tooling.


      Servizi di sicurezza per l'account Security Tooling

L'account Security Tooling è dedicato alla gestione dei servizi di sicurezza, al monitoraggio degli account AWS e all'automazione degli avvisi e delle risposte di sicurezza. Gli obiettivi di sicurezza sono i seguenti:

  • Fornisci un account dedicato con accesso controllato per gestire l'accesso ai dispositivi di sicurezza, il monitoraggio e la risposta.

  • Mantieni l'infrastruttura di sicurezza centralizzata appropriata per monitorare i dati delle operazioni di sicurezza e mantenere la tracciabilità. Il rilevamento, l'indagine e la risposta sono parti essenziali del ciclo di vita della sicurezza e possono essere utilizzate per supportare un processo di qualità, un obbligo legale o di conformità e per le iniziative di identificazione e risposta alle minacce.

  • Supporta ulteriormente una strategia defense-in-depth organizzativa mantenendo un altro livello di controllo sulla configurazione e sulle operazioni di sicurezza appropriate, come le chiavi di crittografia e le impostazioni dei gruppi di sicurezza. Questo è un account in cui lavorano gli operatori di sicurezza. I ruoli di sola lettura/controllo per visualizzare le informazioni a livello di organizzazione AWS sono tipici, mentre i ruoli di scrittura/modifica sono in numero limitato, strettamente controllati, monitorati e registrati.

Considerazioni di natura progettuale
  • Per impostazione predefinita, AWS Control Tower assegna all'account dell'unità operativa di sicurezza l'account di audit. Puoi rinominare l'account durante la configurazione di AWS Control Tower.

  • Potrebbe essere opportuno avere più di un account Security Tooling. Ad esempio, il monitoraggio e la risposta agli eventi di sicurezza vengono spesso assegnati a un team dedicato. La sicurezza della rete potrebbe garantire il proprio account e i propri ruoli in collaborazione con l'infrastruttura cloud o il team di rete. Tali divisioni mantengono l'obiettivo di separare le enclavi di sicurezza centralizzate e sottolineano ulteriormente la separazione dei compiti, il minor numero di privilegi e la potenziale semplicità delle assegnazioni dei team. Se utilizzi AWS Control Tower, limita la creazione di account AWS aggiuntivi nell'ambito dell'unità organizzativa di sicurezza.

Amministratore delegato per i servizi di sicurezza

L'account Security Tooling funge da account amministratore per i servizi di sicurezza gestiti in una struttura di amministratori/membri in tutti gli account AWS. Come accennato in precedenza, questo viene gestito tramite la funzionalità di amministratore delegato di AWS Organizations. I servizi dell'AWS SRA che attualmente supportano gli amministratori delegati includono AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS IAM Access Analyzer, Amazon Macie, AWS Security Hub, AWS Detective, AWS Audit Manager, Amazon Inspector e AWS Systems Manager. Il tuo team di sicurezza gestisce le funzionalità di sicurezza di questi servizi e monitora qualsiasi evento o risultato specifico della sicurezza.

IAM Identity Center supporta l'amministrazione delegata a un account membro. AWS SRA utilizza l'account Shared Services come account amministratore delegato per IAM Identity Center, come spiegato più avanti nella sezione IAM Identity Center dell'account Shared Services.

AWS Security Hub

AWS Security Hub, che fornisce una visione completa dello stato di sicurezza in AWS e permette di verificare l'ambiente rispetto agli standard di settore e best practice. Security Hub raccoglie i dati di sicurezza dai servizi integrati di AWS, i prodotti di terza parte supportati e altri prodotti di sicurezza personalizzati che potresti utilizzare. Ti aiuta a monitorare e analizzare continuamente le tendenze di sicurezza e identificare i problemi di sicurezza più importanti.

Security Hub si integra con AWS Organizations per semplificare la gestione della posizione di sicurezza in tutti gli account esistenti e future della tua organizzazione AWS. L'account amministratore delegato di Security Hub (in questo caso, Security Tooling) ha Security Hub abilitato automaticamente e può scegliere gli account AWS da abilitare come account membro. L'account amministratore delegato di Security Hub può anche visualizzare i risultati, visualizzare approfondimenti e controllare i dettagli di tutti gli account dei membri. Puoi inoltre designare una regione di aggregazione all'interno dell'account amministratore delegato per centralizzare i risultati tra i tuoi account e le aree geografiche collegate. I tuoi risultati vengono sincronizzati in modo continuo e bidirezionale tra la regione aggregatrice e tutte le altre regioni.

Security Hub supporta le integrazioni con diversi servizi AWS. Amazon GuardDuty, AWS Config, Amazon Macie, AWS IAM Access Analyzer, AWS Firewall Manager, Amazon Inspector e AWS Systems Manager Patch Manager possono inviare i risultati a Security Hub. Inoltre, puoi passare da Security Hub ad Amazon Detective per indagare su un GuardDuty risultato di Amazon. Security Hub consiglia di allineare gli account degli amministratori delegati per questi servizi (laddove esistono) per un'integrazione più fluida. Ad esempio, se non allinei gli account dell'amministratore tra Detective e Security Hub, il passaggio dai finding a Detective non funzionerà. 

Puoi utilizzare Security Hub con la funzionalità Network Access Analyzer di Amazon VPC per monitorare continuamente la conformità della configurazione di rete AWS. Questo ti aiuterà a bloccare gli accessi indesiderati alla rete e a impedire l'accesso esterno alle tue risorse critiche. Per ulteriori dettagli sull'architettura e sull'implementazione, consulta il post del blog AWS Verifica continua della conformità della rete utilizzando Amazon VPC Network Access Analyzer e AWS Security Hub

Oltre al monitoraggio, Security Hub supporta l'integrazione con Amazon EventBridge per automatizzare la correzione di risultati specifici. È possibile definire azioni personalizzate da eseguire quando viene ricevuto un finding. Ad esempio, puoi configurare operazioni personalizzate per inviare risultati a un sistema di ticket o a un sistema di correzione automatizzato. Ulteriori discussioni ed esempi sono disponibili in questi due post del blog di AWS: Automated Response and Remediation with AWS Security Hub e How to deploy the AWS Solution for Security Hub Automated Response and Remediation

Security Hub utilizza regole AWS Config collegate ai servizi per eseguire la maggior parte dei controlli di sicurezza. Per supportare questi controlli, AWS Config deve essere abilitato su tutti gli account, inclusi l'account amministratore (o amministratore delegato) e gli account dei membri, in ogni regione AWS in cui è abilitato Security Hub. 

Considerazioni di natura progettuale
  • Oltre alle regole specifiche e gestite di AWS Config utilizzate da Security Hub, puoi utilizzare l'automazione per importare altre regole AWS Config in Security Hub in modo che le tue regole AWS Config vengano visualizzate insieme agli altri risultati di sicurezza. Ciò consente di utilizzare più facilmente le regole di AWS Config per garantire la conformità continua in tutti i tuoi account AWS. Per ulteriori informazioni, consulta il post del blog Come importare le valutazioni delle regole di AWS Config come risultato in Security Hub

  • Se uno standard di conformità, come PCI-DSS, è già presente in Security Hub, il servizio Security Hub completamente gestito è il modo più semplice per renderlo operativo. Tuttavia, se desideri creare uno standard di conformità o sicurezza personalizzato, che potrebbe includere controlli di sicurezza, operativi o di ottimizzazione dei costi, i pacchetti di conformità di AWS Config offrono un modo semplificato per eseguire questa personalizzazione. (Per ulteriori informazioni su AWS Config e pacchetti di conformità, consulta la sezione AWS Config.

AWS GuardDuty

Amazon GuardDuty è un servizio di rilevamento delle minacce che monitora continuamente attività dannose e comportamenti non autorizzati per proteggere gli account e i carichi di lavoro AWS. Devi sempre acquisire e archiviare i log appropriati per scopi di monitoraggio e controllo, ma Amazon GuardDuty estrae flussi di dati indipendenti direttamente da AWS CloudTrail, dai log di flusso di Amazon VPC e dai log di AWS DNS. Non è necessario gestire le policy relative ai bucket di Amazon S3 o modificare il modo in cui raccogli e archivia i log. GuardDuty le autorizzazioni sono gestite come ruoli collegati al servizio che è possibile revocare in qualsiasi momento disattivando GuardDuty. Ciò semplifica l'attivazione del servizio senza configurazioni complesse ed elimina il rischio che una modifica delle autorizzazioni IAM o una modifica della politica del bucket S3 influiscano sul funzionamento del servizio.

GuardDuty è abilitato in tutti gli account tramite AWS Organizations e tutti i risultati sono visualizzabili e utilizzabili dai team di sicurezza appropriati nell'account amministratore GuardDuty delegato (in questo caso, l'account Security Tooling). 

Quando AWS Security Hub è abilitato, GuardDuty i risultati vengono trasferiti automaticamente a Security Hub. Quando Amazon Detective è abilitato, GuardDuty i finding vengono inclusi nel processo di inserimento del registro di Detective. GuardDuty e Detective supportano flussi di lavoro tra utenti interservizi, dove GuardDuty fornisce collegamenti dalla console che reindirizzano l'utente da un finding selezionato a una pagina Detective che contiene un set selezionato di visualizzazioni per indagare su tale risultato. Ad esempio, puoi anche integrarti GuardDuty con Amazon EventBridge per automatizzare le best practice GuardDuty, come l'automazione delle risposte ai nuovi GuardDuty risultati.

AWS Config

AWS Config è un servizio che consente di valutare, eseguire audit e valutare le configurazioni delle risorse AWS supportate negli account AWS. AWS Config monitora e registra continuamente le configurazioni delle risorse AWS e valuta automaticamente le configurazioni registrate rispetto alle configurazioni desiderate. Puoi anche integrare AWS Config con altri servizi per fare il lavoro pesante delle pipeline di audit e monitoraggio automatizzate. Ad esempio, AWS Config può monitorare le modifiche nei singoli segreti in AWS Secrets Manager. 

AWS Config deve essere abilitato per ogni account membro dell'organizzazione AWS e per ogni regione AWS che contiene le risorse che desideri proteggere. Puoi gestire centralmente (ad esempio, creare, aggiornare ed eliminare) le regole di AWS Config su tutti gli account all'interno della tua organizzazione AWS. Dall'account amministratore delegato di AWS Config, puoi distribuire un set comune di regole AWS Config su tutti gli account e specificare gli account in cui le regole di AWS Config non devono essere create. L'account di amministratore delegato di AWS Config può anche aggregare i dati di configurazione e conformità delle risorse provenienti da tutti gli account membri per fornire un'unica visualizzazione. Usa le API dell'account amministratore delegato per applicare la governance assicurandoti che le regole AWS Config sottostanti non siano modificabili dagli account dei membri della tua organizzazione AWS.

Un pacchetto di conformità è una raccolta di regole di AWS Config e di azioni correttive che possono essere distribuite come singola entità in un account e in un'organizzazione in AWS Organizations. I pacchetti di conformità sono creati creando un modello YAML che contiene l'elenco di regole e azioni di correzione gestite o personalizzate da AWS Config. Per iniziare a valutare il tuo ambiente AWS, utilizza uno dei modelli di pacchetti di conformità di esempio

AWS Config si integra con AWS Security Hub per inviare i risultati delle valutazioni delle regole gestite e personalizzate di AWS Config come risultati in Security Hub. 

Le regole di AWS Config possono essere utilizzate insieme ad AWS Systems Manager per correggere efficacemente le risorse non conformi. Utilizzi AWS Systems Manager Explorer per raccogliere lo stato di conformità delle regole di AWS Config nei tuoi account AWS nelle regioni AWS e quindi utilizzare i documenti di Systems Manager Automation (runbook) per risolvere le tue regole AWS Config non conformi. Per i dettagli sull'implementazione, consulta il post del blog Correggi le regole di AWS Config non conformi con i runbook di AWS Systems Manager Automation

Se utilizzi AWS Control Tower per gestire la tua organizzazione AWS, implementerà una serie di regole AWS Config come guardrail investigativi (classificati come obbligatori, fortemente consigliati o opzionali). Questi guardrail ti aiutano a gestire le tue risorse e a monitorare la conformità tra gli account della tua organizzazione AWS. Queste regole di AWS Config utilizzeranno automaticamente unaws-control-tower tag con un valore dimanaged-by-control-tower.

Considerazione del design
  • AWS Config trasmette le notifiche di modifica della configurazione e della conformità ad Amazon EventBridge. Ciò significa che puoi utilizzare le funzionalità di filtro native EventBridge per filtrare gli eventi di AWS Config in modo da poter indirizzare tipi specifici di notifiche a destinazioni specifiche. Ad esempio, è possibile inviare notifiche di conformità per regole o tipi di risorse specifici a indirizzi e-mail specifici oppure indirizzare le notifiche di modifica della configurazione a uno strumento esterno di gestione dei servizi IT (ITSM) o di un database di gestione della configurazione (CMDB). Per ulteriori informazioni, consulta il post del blog Best practice di AWS Config.

Amazon Macie

Amazon Macie è un servizio di sicurezza e privacy dei dati completamente gestito che utilizza il machine learning e la corrispondenza di modelli per individuare e aiutare a proteggere i dati sensibili in AWS. È necessario comprendere il tipo e la classificazione dei dati che il carico di lavoro sta elaborando per garantire l'applicazione dei controlli appropriati. Macie automatizza la scoperta di dati sensibili su larga scala. Con Macie, puoi eseguire varie attività di rilevamento di contenuti sensibili e classificazione dei dati sugli oggetti in Amazon S3. Macie è abilitata in tutti gli account tramite AWS Organizations. I dirigenti che dispongono delle autorizzazioni appropriate nell'account amministratore delegato (in questo caso, l'account Security Tooling) possono abilitare o sospendere Macie in qualsiasi account, creare lavori di rilevamento di dati sensibili per i bucket di proprietà degli account dei membri e visualizzare tutti i risultati delle politiche per tutti gli account dei membri. I risultati dei dati sensibili possono essere visualizzati solo dall'account che ha creato il job dei risultati sensibili. Per ulteriori informazioni, consulta Gestire più account in Amazon Macie nella documentazione di Macie.

I risultati di Macie vengono trasmessi ad AWS Security Hub per la revisione e l'analisi. Macie si integra inoltre con Amazon EventBridge per facilitare le risposte automatiche a risultati quali avvisi, feed verso sistemi SIEM (Security Information and Event Management) e soluzioni automatiche.

Considerazioni di natura progettuale
  • Se gli oggetti S3 sono crittografati con una chiave AWS Key Management Service (AWS KMS) che gestisci, puoi aggiungere il ruolo collegato al servizio Macie come utente chiave a quella chiave KMS per consentire a Macie di scansionare i dati.

  • Macie è ottimizzato per la scansione di oggetti in Amazon S3. Di conseguenza, qualsiasi tipo di oggetto supportato da MacIE che può essere inserito in Amazon S3 (in modo permanente o temporaneo) può essere scansionato alla ricerca di dati sensibili. Ciò significa che i dati provenienti da altre fonti, ad esempio esportazioni periodiche di istantanee di database Amazon Relational Database Service (Amazon RDS) o Amazon Aurora, tabelle Amazon DynamoDB esportate o file di testo estratti da applicazioni native o di terze parti, possono essere spostati su Amazon S3 e valutata da Macie.

AWS IAM Access Analyzer

AWS IAM Access Analyzer che consente di identificare le risorse nell'organizzazione e negli account AWS, ad esempio bucket Amazon S3 o ruoli IAM, condivise con un'entità esterna. Questo controllo investigativo aiuta a identificare l'accesso non intenzionale ai dati e alle risorse, che rappresenta un rischio per la sicurezza.

Access Analyzer viene distribuito nell'account Security Tooling tramite la funzionalità di amministratore delegato in AWS Organizations. L'amministratore delegato dispone delle autorizzazioni per creare e gestire gli analizzatori con l'organizzazione AWS come zona di attendibilità. I risultati di Access Analyzer vengono trasmessi automaticamente a Security Hub. Access Analyzer invia anche un evento a EventBridge per ogni risultato generato, quando lo stato di un risultato esistente cambia e quando un risultato viene eliminato. EventBridge può indirizzare ulteriormente questi eventi verso flussi di notifiche o correzioni. 

Considerazione del design
  • Per ottenere risultati relativi all'ambito dell'account (in cui l'account funge da limite affidabile), crei un analizzatore dell'ambito dell'account in ogni account membro. Questa operazione può essere eseguita come parte della pipeline di account. I risultati relativi all'account confluiscono in Security Hub a livello di account membro. Da lì, passano all'account amministratore delegato di Security Hub (Security Tooling).

AWS Firewall Manager

AWS Firewall Manager aiuta a proteggere la rete semplificando le attività di amministrazione e manutenzione per AWS WAF, AWS Shield Advanced, i gruppi di sicurezza Amazon VPC, AWS Network Firewall e Route 53 Resolver DNS Firewall su più account e risorse. Con Firewall Manager, puoi configurare le regole del firewall AWS WAF, le protezioni Shield Advanced, i gruppi di sicurezza Amazon VPC, i firewall AWS Network Firewall e le associazioni dei gruppi di regole DNS Firewall una sola volta. Il servizio applica automaticamente le regole e le protezioni su tutti gli account e le risorse, anche quando vengono aggiunte nuove risorse.

Firewall Manager è particolarmente utile quando si desidera proteggere l'intera organizzazione AWS anziché un numero limitato di account e risorse specifici o se si aggiungono spesso nuove risorse che si desidera proteggere. Firewall Manager utilizza criteri di sicurezza per consentire di definire una serie di configurazioni, comprese le regole, le protezioni e le azioni pertinenti che devono essere implementate e gli account e le risorse (indicati dai tag) da includere o escludere. Puoi creare configurazioni granulari e flessibili pur essendo in grado di estendere il controllo a un gran numero di account e VPC. Queste politiche applicano automaticamente e in modo coerente le regole configurate anche quando vengono creati nuovi account e risorse. Firewall Manager è abilitato in tutti gli account tramite AWS Organizations e la configurazione e la gestione vengono eseguite dai team di sicurezza appropriati nell'account amministratore delegato di Firewall Manager (in questo caso, l'account Security Tooling). 

Devi abilitare AWS Config per ogni regione AWS che contiene le risorse che desideri proteggere. Se non desideri abilitare AWS Config per tutte le risorse, devi abilitarlo per le risorse associate al tipo di policy di Firewall Manager che utilizzi. Quando utilizzi sia AWS Security Hub che Firewall Manager, Firewall Manager invia automaticamente i risultati a Security Hub. Firewall Manager crea i finding per le risorse non conformi e per gli attacchi che rileva e invia i risultati a Security Hub. Quando si imposta una policy di Firewall Manager per AWS WAF, è possibile abilitare centralmente la registrazione sulle liste di controllo degli accessi Web (Web ACL) per tutti gli account rientranti nell'ambito di applicazione e centralizzare i log in un unico account. 

Considerazione del design
  • Gli account manager degli account dei singoli membri dell'organizzazione AWS possono configurare controlli aggiuntivi (come le regole AWS WAF e i gruppi di sicurezza Amazon VPC) nei servizi gestiti di Firewall Manager in base alle loro esigenze particolari.

Amazon EventBridge

Amazon EventBridge è un servizio bus di eventi serverless che semplifica la connessione delle applicazioni ai dati provenienti da un'ampia gamma di origini. Viene spesso utilizzato nell'automazione della sicurezza. È possibile impostare regole di routing per determinare dove inviare i dati per creare architetture applicative che reagiscano in tempo reale a tutte le fonti di dati. Puoi creare un bus eventi personalizzato per ricevere eventi dalle tue applicazioni personalizzate, oltre a utilizzare il bus eventi predefinito in ogni account. È possibile creare un bus di eventi nell'account Security Tooling in grado di ricevere eventi specifici per la sicurezza da altri account dell'organizzazione AWS. Ad esempio, collegando le regole di AWS Config e Security Hub con EventBridge, si crea una pipeline flessibile e automatizzata per il routing dei dati di sicurezza, la generazione di avvisi e la gestione delle azioni per risolvere i problemi. GuardDuty 

Considerazioni di natura progettuale
  • EventBridge è in grado di indirizzare gli eventi verso una serie di obiettivi diversi. Uno schema utile per automatizzare le azioni di sicurezza consiste nel collegare eventi particolari ai singoli risponditori di AWS Lambda, che intraprendono le azioni appropriate. Ad esempio, in determinate circostanze potresti utilizzare per EventBridge indirizzare un finding di un bucket S3 pubblico a un risponditore Lambda che corregge la policy del bucket e rimuove le autorizzazioni pubbliche. Questi soccorritori possono essere integrati nei manuali e nei runbook investigativi per coordinare le attività di risposta.

  • Una delle best practice per un team addetto alle operazioni di sicurezza di successo consiste nell'integrare il flusso degli eventi e dei risultati di sicurezza in un sistema di notifiche e flussi di lavoro come un sistema di ticketing, un sistema di bug/issue o un altro sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM). Ciò elimina il flusso di lavoro dalle e-mail e dai report statici e consente di indirizzare, escalare e gestire eventi o risultati. Le capacità di routing flessibili EventBridge disponibili sono un potente fattore abilitante per questa integrazione.

Amazon Detective

Amazon Detective supporta la tua strategia di controllo di sicurezza reattiva semplificando l'analisi, l'analisi e l'identificazione rapida delle cause di sicurezza o delle attività sospette per i tuoi analisti di sicurezza. Detective estrae automaticamente eventi temporali come tentativi di accesso, chiamate API e traffico di rete dai CloudTrail log di AWS e dai log di flusso di Amazon VPC. Detective utilizza questi eventi utilizzando flussi indipendenti di CloudTrail log e log di flusso Amazon VPC. Detective utilizza l'apprendimento automatico e la visualizzazione per creare una visione unificata e interattiva del comportamento delle risorse e delle interazioni tra di esse nel tempo: questo è chiamato grafico del comportamento. Puoi esplorare il grafico del comportamento per esaminare azioni diverse, come tentativi di accesso falliti o chiamate API sospette.

Detective acquisisce anche i risultati rilevati da Amazon GuardDuty. Quando un account abilita Detective, diventa l'account amministratore per il grafico del comportamento. Prima di provare ad abilitare Detective, assicurati che il tuo account sia registrato GuardDuty da almeno 48 ore. Se non soddisfi questo requisito, non puoi abilitare Detective.

Detective si integra con AWS Organizations. L'account Org Management delega un account membro come account amministratore di Detective. In AWS SRA, questo è l'account Security Tooling. L'account amministratore di Detective ha la capacità di abilitare automaticamente tutti gli account dei membri correnti dell'organizzazione come account dei membri investigativi e anche di aggiungere nuovi account membri man mano che vengono aggiunti all'organizzazione AWS. Gli account degli amministratori investigativi hanno anche la possibilità di invitare gli account dei membri che attualmente non risiedono nell'organizzazione AWS, ma si trovano nella stessa regione, a contribuire con i propri dati al grafico di comportamento dell'account principale. Quando un account membro accetta l'invito ed è abilitato, Detective inizia a inserire ed estrarre i dati dell'account membro in quel grafico del comportamento.

Considerazione del design
  • Puoi accedere a Detective alla ricerca di profili dalle console di AWS Security Hub GuardDuty e AWS. Questi collegamenti possono aiutare a semplificare il processo di indagine. Il tuo account deve essere l'account amministrativo sia di Detective che del servizio da cui stai passando (GuardDuty o Security Hub). Se gli account principali sono gli stessi per i servizi, i collegamenti di integrazione funzionano perfettamente.

AWS Audit Manager

AWS Audit Manager ti aiuta a controllare continuamente l'utilizzo di AWS per semplificare la gestione degli audit e la conformità alle normative e agli standard di settore. Consente di passare dalla raccolta, revisione e gestione manuale delle prove a una soluzione che automatizza la raccolta delle prove, fornisce un modo semplice per tracciare l'origine delle prove di audit, consente la collaborazione tra i team e aiuta a gestire la sicurezza e l'integrità delle prove. Quando è il momento di una verifica, Audit Manager ti aiuta a gestire le revisioni dei tuoi controlli a cura delle parti interessate.

Con Audit Manager puoi eseguire il controllo rispetto a framework predefiniti come il benchmark Center for Internet Security (CIS), il CIS AWS Foundations Benchmark, System and Organization Controls 2 (SOC 2) e il Payment Card Industry Data Security Standard (PCI DSS). Ti offre anche la possibilità di creare i tuoi framework con controlli standard o personalizzati in base ai tuoi requisiti specifici per gli audit interni.

Audit Manager raccoglie quattro tipi di prove. Sono automatizzati tre tipi di prove: prove di verifica della conformità da AWS Config e AWS Security Hub, prove di eventi di gestione provenienti da AWS CloudTrail e prove di configurazione provenienti da chiamate service-to-service API AWS. Per prove che non possono essere automatizzate, Audit Manager consente di caricare prove manuali.

Nota

Audit Manager aiuta a raccogliere prove pertinenti per verificare la conformità a standard e regolamenti di conformità specifici. Tuttavia, non valuta la tua conformità. Pertanto, le prove raccolte tramite Audit Manager potrebbero non includere i dettagli dei processi operativi necessari per gli audit. Audit Manager non sostituisce i consulenti legali o gli esperti di conformità. Ti consigliamo di rivolgerti ai servizi di un valutatore terzo certificato per il/i framework di conformità in base ai quali verrai valutato.

Le valutazioni di Audit Manager possono essere eseguite su più account nelle tue organizzazioni AWS. Audit Manager raccoglie e consolida le prove in un account amministratore delegato in AWS Organizations. Questa funzionalità di audit viene utilizzata principalmente dai team di conformità e di controllo interno e richiede solo l'accesso in lettura ai tuoi account AWS.

Considerazioni di natura progettuale
  • Audit Manager integra altri servizi di sicurezza AWS come Security Hub e AWS Config per aiutare a implementare un framework di gestione del rischio. Audit Manager offre funzionalità indipendenti di garanzia del rischio, mentre Security Hub ti aiuta a supervisionare il rischio e i pacchetti di conformità di AWS Config aiutano a gestire i rischi. I professionisti della revisione che hanno familiarità con il modello a tre linee sviluppato dall'Institute of Internal Auditors (IIA) dovrebbero tenere presente che questa combinazione di servizi AWS consente di coprire le tre linee di difesa. Per ulteriori informazioni, consulta la serie di blog in due parti sul blog di AWS Cloud Operations & Migrations.

  • Affinché Audit Manager possa raccogliere le prove di Security Hub, l'account amministratore delegato per entrambi i servizi deve essere lo stesso account AWS. Per questo motivo, in AWS SRA, l'account Security Tooling è l'amministratore delegato di Audit Manager.

AWS Artifact

AWS Artifact è ospitato all'interno dell'account Security Tooling per delegare la funzionalità di gestione degli artefatti di conformità dall'account AWS Org Management. Questa delega è importante perché ti consigliamo di evitare di utilizzare l'account AWS Org Management per le distribuzioni, a meno che non sia assolutamente necessario. Invece, delega le distribuzioni agli account dei membri. Poiché la gestione degli artefatti di audit può essere eseguita da un account membro e la funzione è strettamente in linea con i team di sicurezza e conformità, l'account Security Tooling è designato come account amministratore delegato per AWS Artifact. Puoi utilizzare i report di AWS Artifact per scaricare documenti di sicurezza e conformità AWS, come le certificazioni ISO di AWS, Payment Card Industry (PCI) e i report sui controlli di sistema e organizzazione (SOC). Puoi limitare questa funzionalità solo ai ruoli di AWS Identity and Access Management (IAM) relativi ai tuoi team di audit e conformità, in modo che possano scaricare, esaminare e fornire tali report ai revisori esterni, se necessario. Puoi inoltre limitare ruoli IAM specifici per avere accesso solo a report AWS Artifact specifici tramite le politiche IAM. Per esempi di policy IAM, consulta la documentazione di AWS Artifact.

Considerazione del design
  • Se scegli di avere un account AWS dedicato per i team di audit e conformità, puoi ospitare AWS Artifact in un account di controllo di sicurezza, separato dall'account Security Tooling. I report di AWS Artifact forniscono prove che dimostrano che un'organizzazione sta seguendo un processo documentato o soddisfa un requisito specifico. Gli artefatti degli audit vengono raccolti e archiviati durante tutto il ciclo di sviluppo del sistema e possono essere utilizzati come prove in audit e valutazioni interni o esterni.

AWS KMS

AWS Key Management Service (AWS KMS) ti aiuta a creare e gestire chiavi crittografiche e a controllarne l'uso in un'ampia gamma di servizi AWS e nelle tue applicazioni. AWS KMS è un servizio sicuro e resiliente che utilizza moduli di sicurezza hardware per proteggere le chiavi crittografiche. Segue i processi del ciclo di vita standard del settore per i materiali chiave, come l'archiviazione, la rotazione e il controllo degli accessi delle chiavi. AWS KMS può aiutare a proteggere i dati con chiavi di crittografia e firma e può essere utilizzato sia per la crittografia lato server che per la crittografia lato client tramite AWS Encryption SDK. Per protezione e flessibilità, AWS KMS supporta tre tipi di chiavi: chiavi gestite dal cliente, chiavi gestite da AWS e chiavi di proprietà di AWS. Le chiavi gestite dal cliente sono chiavi AWS KMS nel tuo account AWS create, di tua proprietà e gestite da te. Le chiavi gestite da AWS sono chiavi AWS KMS nel tuo account che sono create, gestite e utilizzate per tuo conto da un servizio AWS integrato con AWS KMS. Le chiavi di proprietà di AWS sono una raccolta di chiavi AWS KMS che un servizio AWS possiede e gestisce per l'utilizzo in più account AWS. Per ulteriori informazioni sull'uso delle chiavi KMS, consulta la documentazione di AWS KMS e i dettagli crittografici di AWS KMS.

Un'opzione di implementazione consiste nel centralizzare la responsabilità della gestione delle chiavi KMS su un singolo account, delegando al contempo la possibilità di utilizzare le chiavi nell'account dell'applicazione in base alle risorse dell'applicazione utilizzando una combinazione di politiche chiave e IAM. Questo approccio è sicuro e semplice da gestire, ma puoi incontrare ostacoli dovuti ai limiti di limitazione delle limitazioni di AWS KMS, ai limiti del servizio dell'account e al team di sicurezza inondato di attività operative di gestione delle chiavi. Un'altra opzione di implementazione consiste nell'avere un modello decentralizzato in cui consenta ad AWS KMS di risiedere in più account e consentire ai responsabili dell'infrastruttura e dei carichi di lavoro in un account specifico di gestire le proprie chiavi. Questo modello offre ai team addetti al carico di lavoro maggiore controllo, flessibilità e agilità sull'uso delle chiavi di crittografia. Inoltre, aiuta a evitare i limiti delle API, limita l'ambito di impatto a un solo account AWS e semplifica la reportistica, il controllo e altre attività relative alla conformità. In un modello decentralizzato è importante implementare e applicare i guardrail in modo che le chiavi decentralizzate siano gestite allo stesso modo e l'uso delle chiavi KMS sia verificato in base alle migliori pratiche e politiche stabilite. Per ulteriori informazioni, consulta il whitepaper Best practice di AWS Key Management Service. AWS SRA consiglia un modello di gestione delle chiavi distribuito in cui le chiavi KMS risiedono localmente all'interno dell'account in cui vengono utilizzate. Ti consigliamo di evitare di utilizzare una singola chiave in un account per tutte le funzioni crittografiche. Le chiavi possono essere create in base a requisiti di funzionalità e protezione dei dati e per applicare il principio di privilegio minimo. In alcuni casi, le autorizzazioni di crittografia verrebbero mantenute separate dalle autorizzazioni di decrittografia e gli amministratori gestirebbero le funzioni del ciclo di vita ma non sarebbero in grado di crittografare o decrittografare i dati con le chiavi che gestiscono. 

Nell'account Security Tooling, AWS KMS viene utilizzato per gestire la crittografia di servizi di sicurezza centralizzati come il percorso CloudTrail organizzativo AWS gestito dall'organizzazione AWS.

CA privata AWS

AWS Private Certificate Authority(CA privata AWS) è un servizio di CA privato gestito che consente di gestire in modo sicuro il ciclo di vita dei certificati TLS privati per le istanze, i container, i dispositivi IoT e le risorse locali di EC2. Consente comunicazioni TLS crittografate con applicazioni in esecuzione. ConCA privata AWS, puoi creare la tua gerarchia di CA (una CA principale, tramite CA subordinate, verso certificati di entità finali) ed emettere certificati per autenticare utenti interni, computer, servizi, server e altri dispositivi. I certificati emessi da una CA privata sono affidabili solo all'interno dell'organizzazione AWS, non su Internet.

Un'infrastruttura a chiave pubblica (PKI) o un team di sicurezza può essere responsabile della gestione di tutta l'infrastruttura PKI. Ciò include la gestione e la creazione della CA privata. Tuttavia, deve esserci una disposizione che consenta ai team addetti al carico di lavoro di soddisfare autonomamente i requisiti relativi ai certificati. L'AWS SRA rappresenta una gerarchia CA centralizzata in cui la CA root è ospitata all'interno dell'account Security Tooling. Ciò consente ai team di sicurezza di applicare rigorosi controlli di sicurezza, poiché la CA root è il fondamento dell'intera PKI. Tuttavia, la creazione di certificati privati dalla CA privata viene delegata ai team di sviluppo delle applicazioni condividendo la CA con un account applicativo utilizzando AWS Resource Access Manager (AWS RAM). AWS RAM gestisce le autorizzazioni necessarie per la condivisione tra account. Ciò elimina la necessità di una CA privata in ogni account e offre un modo di implementazione più conveniente. Per ulteriori informazioni sul flusso di lavoro e sull'implementazione, consulta il post del blog Come usare la RAM AWS per condividere i tuoiCA privata AWS account multipli.

Nota

ACM ti aiuta anche a fornire, gestire e distribuire certificati TLS pubblici da utilizzare con i servizi AWS. Per supportare questa funzionalità, ACM deve risiedere nell'account AWS che utilizzerebbe il certificato pubblico. Questo è discusso più avanti in questa guida, nella sezione Account dell'applicazione.

Considerazioni di natura progettuale
  • Con CA privata AWS, è possibile creare una gerarchia di autorità di certificazione con un massimo di cinque livelli. È inoltre possibile creare più gerarchie, ognuna con una propria root. LaCA privata AWS gerarchia deve rispettare il design PKI dell'organizzazione. Tuttavia, tieni presente che l'aumento della gerarchia delle CA aumenta il numero di certificati nel percorso di certificazione, il che, a sua volta, aumenta il tempo di convalida di un certificato di entità finale. Una gerarchia CA ben definita offre vantaggi che includono il controllo di sicurezza granulare appropriato per ogni CA, la delega della CA subordinata a un'applicazione diversa, che porta alla divisione delle attività amministrative, l'uso di CA con attendibilità revocabile limitata, la capacità di definire diversi periodi di validità e il capacità di far rispettare i limiti del percorso. Idealmente, le CA root e subordinate si trovano in account AWS separati. Per ulteriori informazioni sulla pianificazione di una gerarchia di CA mediante l'utilizzoCA privata AWS, consulta la CA privata AWSdocumentazione e il post del blog Come proteggere unaCA privata AWS gerarchia su scala aziendale per il settore automobilistico e la produzione.

  • CA privata AWSpuò integrarsi con la gerarchia CA esistente, il che consente di utilizzare l'automazione e la capacità di integrazione nativa di AWS di ACM insieme alla radice di fiducia esistente che usi oggi. È possibile creare una CA subordinataCA privata AWS supportata da una CA principale in locale. Per ulteriori informazioni sull'implementazione, vedere Installazione di un certificato CA subordinato firmato da una CA madre esterna nellaCA privata AWS documentazione.

Amazon Inspector

Amazon Inspector è un servizio di gestione delle vulnerabilità automatizzato che scansiona continuamente i carichi di lavoro Amazon EC2 e di container alla ricerca di vulnerabilità software e esposizione alla rete non intenzionale. 

Amazon Inspector valuta continuamente il tuo ambiente durante tutto il ciclo di vita delle tue risorse scansionando automaticamente le risorse ogni volta che le apporti modifiche. Gli eventi che avviano la nuova scansione di una risorsa includono l'installazione di un nuovo pacchetto su un'istanza EC2, l'installazione di una patch e la pubblicazione di un nuovo rapporto CVE (Common Vulnerabilities and Exposures) che influisce sulla risorsa. Quando viene rilevata una vulnerabilità aperta, Amazon Inspector calcola un punteggio di rischio di Amazon Inspector correlando le informazioni up-to-date CVE con fattori temporali e ambientali come l'accessibilità della rete e le informazioni sulla sfruttabilità per fornire un risultato contestuale. 

I risultati sulla raggiungibilità della rete di Amazon Inspector valutano l'accessibilità delle istanze EC2 da o verso i bordi VPC, come gateway Internet, connessioni peering VPC o reti private virtuali (VPN) tramite un gateway virtuale. Queste regole aiutano ad automatizzare il monitoraggio delle reti AWS e a identificare dove l'accesso alla rete alle istanze EC2 potrebbe essere configurato in modo errato a causa di gruppi di sicurezza mal gestiti, elenchi di controllo degli accessi (ACL), gateway Internet e così via. Per ulteriori informazioni, consulta la documentazione di Amazon Inspector.

Gli agenti AWS Systems Manager (agenti SSM) sono necessari per la scansione delle vulnerabilità delle istanze EC2. Non sono necessari agenti per la raggiungibilità di rete o la scansione delle vulnerabilità delle immagini dei container in Amazon Elastic Container Registry (Amazon ECR). 

Amazon Inspector è integrato con AWS Organizations e supporta l'amministrazione delegata. In AWS SRA, l'account Security Tooling diventa l'account di amministratore delegato per Amazon Inspector.

Considerazioni di natura progettuale
  • Amazon Inspector si integra automaticamente con AWS Security Hub quando entrambi i servizi sono abilitati. Puoi utilizzare questa integrazione per inviare tutti i risultati da Amazon Inspector a Security Hub, che li includerà nell'analisi della posizione di sicurezza.

  • Amazon Inspector esporta automaticamente i risultati in Amazon e EventBridge, facoltativamente, in un bucket Simple Storage Service (Amazon S3). Per esportare i finding attivi in un bucket S3, è necessaria una chiave KMS che Amazon Inspector possa utilizzare per crittografare i finding e un bucket S3 con autorizzazioni che consentano ad Amazon Inspector di caricare oggetti. EventBridge l'integrazione consente di monitorare ed elaborare i risultati quasi in tempo reale come parte dei flussi di lavoro esistenti in materia di sicurezza e conformità. EventBridge gli eventi vengono pubblicati sull'account amministratore delegato di Amazon Inspector in aggiunta all'account membro da cui hanno avuto origine.

Implementazione di servizi di sicurezza comuni all'interno di tutti gli account AWS

La sezione Applica i servizi di sicurezza nella tua organizzazione AWS all'inizio di questo riferimento ha evidenziato i servizi di sicurezza che proteggono un account AWS e ha rilevato che molti di questi servizi possono essere configurati e gestiti anche all'interno di AWS Organizations. Alcuni di questi servizi dovrebbero essere distribuiti in tutti gli account e li vedrai nell'AWS SRA. Ciò consente un set coerente di guardrail e fornisce monitoraggio, gestione e governance centralizzati in tutta l'organizzazione AWS. 

Security Hub GuardDuty, AWS Config, Access Analyzer e i percorsi CloudTrail organizzativi di AWS vengono visualizzati in tutti gli account. I primi tre supportano la funzionalità di amministratore delegato discussa in precedenza nella sezione Account di gestione, accesso affidabile e amministratori delegati. CloudTrail attualmente utilizza un meccanismo di aggregazione diverso.

L'archivio diGitHub codici AWS SRA fornisce un'implementazione di esempio per abilitare Security Hub GuardDuty, AWS Config, Firewall Manager e percorsi CloudTrail organizzativi su tutti i tuoi account, incluso l'account AWS Org Management.

Considerazioni di natura progettuale
  • Configurazioni specifiche dell'account potrebbero richiedere servizi di sicurezza aggiuntivi. Ad esempio, gli account che gestiscono i bucket S3 (gli account Application e Log Archive) dovrebbero includere anche Amazon Macie e prendere in considerazione l'idea di attivare la registrazione degli eventi di dati CloudTrail S3 in questi servizi di sicurezza comuni. (Macie supporta l'amministrazione delegata con configurazione e monitoraggio centralizzati.) Un altro esempio è Amazon Inspector, applicabile solo agli account che ospitano istanze EC2 o immagini Amazon ECR.

  • Oltre ai servizi descritti in precedenza in questa sezione, l'AWS SRA include due servizi incentrati sulla sicurezza, AWS Detective e AWS Audit Manager, che supportano l'integrazione di AWS Organizations e la funzionalità di amministratore delegato. Tuttavia, questi servizi non sono inclusi tra i servizi consigliati per il baselining degli account, poiché abbiamo visto che questi servizi sono utilizzati al meglio nei seguenti scenari:

    • Hai un team o un gruppo di risorse dedicato che svolgono queste funzioni. Detective è utilizzato al meglio dai team di analisti della sicurezza e Audit Manager è utile per i team interni di audit o conformità.

    • Desiderate concentrarvi su un set di strumenti di base, ad GuardDuty esempio Security Hub, all'inizio del progetto, e poi sfruttare questi strumenti utilizzando servizi che forniscono funzionalità aggiuntive.