Documenta e centralizza i diagrammi di architettura - AWS Security Incident Response Guida per l'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Documenta e centralizza i diagrammi di architettura

Per rispondere in modo rapido e preciso a un evento di sicurezza, è necessario comprendere come sono architettati i sistemi e le reti. La comprensione di questi modelli interni non è importante solo per la risposta agli incidenti, ma anche per verificare la coerenza tra le applicazioni con cui sono progettati i modelli, secondo le migliori pratiche. È inoltre necessario verificare che questa documentazione sia aggiornata e regolarmente aggiornata in base ai nuovi modelli di architettura. È necessario sviluppare documentazione e archivi interni che descrivano in dettaglio elementi come:

  • AWS struttura dell'account - Devi sapere:

    • Quanti AWS account hai?

    • Come sono organizzati questi AWS conti?

    • Chi sono i titolari aziendali degli AWS account?

    • Utilizzate Service Control Policies (SCPs)? In caso affermativo, quali barriere organizzative vengono implementate utilizzando? SCPs

    • Sono previste limitazioni alle regioni e ai servizi che è possibile utilizzare?

    • Quali sono le differenze tra le unità aziendali e gli ambienti (dev/test/prod)?

  • AWS modelli di servizio

    • Quali AWS servizi utilizzi?

    • Quali sono i AWS servizi più utilizzati?

  • Modelli di architettura

    • Quali architetture cloud utilizzate?

  • AWS modelli di autenticazione

    • In che modo i tuoi sviluppatori si autenticano in genere? AWS

    • Utilizzate ruoli o utenti IAM (o entrambi)? La tua autenticazione è AWS connessa a un provider di identità (IdP)?

    • Come si fa a mappare un ruolo o un utente IAM a un dipendente o a un sistema?

    • In che modo l'accesso viene revocato quando qualcuno non è più autorizzato?

  • AWS modelli di autorizzazione

    • Quali politiche IAM utilizzano i tuoi sviluppatori?

    • Utilizzate politiche basate sulle risorse?

  • Registrazione e monitoraggio

    • Quali fonti di registrazione utilizzate e dove vengono archiviate?

    • Aggregate AWS CloudTrail i log? In caso affermativo, dove vengono archiviati?

    • Come si interrogano CloudTrail i log?

    • Hai GuardDuty abilitato Amazon?

    • Come si accede ai GuardDuty risultati (ad esempio, console, sistema di ticketing, SIEM)?

    • I risultati o gli eventi sono aggregati in un SIEM?

    • I biglietti vengono creati automaticamente?

    • Quali strumenti sono disponibili per analizzare i registri per un'indagine?

  • Topologia di rete

    • Come sono disposti fisicamente o logicamente i dispositivi, gli endpoint e le connessioni della rete?

    • Come si connette la tua rete a? AWS

    • Come viene filtrato il traffico di rete tra gli ambienti?

  • Infrastruttura esterna

    • Come vengono implementate le applicazioni rivolte verso l'esterno?

    • Quali risorse sono accessibili AWS al pubblico?

    • Quali AWS account contengono un'infrastruttura rivolta verso l'esterno?

    • Che cos' DDoè il filtro S o esterno?

La documentazione dei diagrammi e dei processi tecnici interni facilita il lavoro dell'analista di risposta agli incidenti, aiutandolo ad acquisire rapidamente le conoscenze istituzionali necessarie per rispondere a un evento di sicurezza. Una documentazione completa dei processi tecnici interni non solo semplifica le indagini di sicurezza, ma consente anche la razionalizzazione e la valutazione dei processi.