Esempio di team cloud: modifica delle configurazioni VPC

Il team cloud è responsabile della valutazione e della correzione dei risultati di sicurezza che presentano tendenze comuni, come le modifiche alle impostazioni AWS predefinite che potrebbero non essere adatte al caso d'uso. Questi risultati tendono a influire su molte Account AWS risorse, come le configurazioni VPC, oppure includono una restrizione che deve essere applicata all'intero ambiente. Per la maggior parte, il team cloud apporta modifiche manuali una tantum, come l'aggiunta o l'aggiornamento di una policy.

Dopo che l'organizzazione ha utilizzato un AWS ambiente per qualche tempo, è possibile che si stia sviluppando una serie di anti-pattern. Un anti-pattern è una soluzione utilizzata frequentemente per un problema ricorrente in cui la soluzione è controproducente, inefficace o meno efficace di un'alternativa. In alternativa a questi anti-pattern, l'organizzazione può utilizzare restrizioni a livello di ambiente più efficaci, come le policy di controllo dei AWS Organizations servizi (SCP) o i set di autorizzazioni di IAM Identity Center. Gli SCP e i set di autorizzazioni possono fornire restrizioni aggiuntive per i tipi di risorse, ad esempio impedire agli utenti di configurare un bucket Amazon Simple Storage Service (Amazon S3) pubblico. Sebbene si possa essere tentati di limitare ogni possibile configurazione di sicurezza, esistono dei limiti di dimensione delle policy per gli SCP e i set di autorizzazioni. Consigliamo un approccio equilibrato ai controlli preventivi e investigativi.

Di seguito sono riportati alcuni controlli dello standard AWS Security Hub Foundational Security Best Practices (FSBP) di cui il team cloud potrebbe essere responsabile:

• [EC2.2] Il gruppo di sicurezza predefinito VPC non dovrebbe consentire il traffico in entrata e in uscita

• [EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC

• [EC2.23] I gateway di transito Amazon EC2 non devono accettare automaticamente le richieste di allegati VPC

• [CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura

• [Config.1] AWS Config dovrebbe essere abilitato

Per questo esempio, il team cloud sta esaminando una scoperta relativa al controllo FSBP EC2.2. La documentazione relativa a questo controllo consiglia di non utilizzare il gruppo di sicurezza predefinito perché consente un ampio accesso tramite le regole predefinite in entrata e in uscita. Poiché il gruppo di sicurezza predefinito non può essere eliminato, si consiglia di modificare le impostazioni delle regole per limitare il traffico in entrata e in uscita. Per risolvere efficacemente questo problema, il team cloud dovrebbe utilizzare meccanismi consolidati per modificare le regole dei gruppi di sicurezza per tutti i VPC, poiché ogni VPC ha questo gruppo di sicurezza predefinito. Nella maggior parte dei casi, i team cloud gestiscono le configurazioni VPC utilizzando AWS Control Towerpersonalizzazioni o uno strumento Infrastructure as Code (IaC), come o. HashiCorp TerraformAWS CloudFormation