SEC08-BP03 Automatizzazione della protezione dei dati a riposo

Usa l'automazione per convalidare e applicare i controlli dei dati a riposo.  Usa la scansione automatica per rilevare le configurazioni errate delle soluzioni di archiviazione dei dati ed esegui le correzioni attraverso la risposta programmatica automatica, ove possibile.  Incorpora l'automazione nei tuoi processi CI/CD per rilevare le configurazioni errate dell'archiviazione di dati prima che vengano implementate in produzione.

Risultato desiderato: i sistemi automatici scansionano e monitorano le posizioni di archiviazione di dati per individuare configurazioni errate di controlli, accessi non autorizzati e utilizzi imprevisti.  Il rilevamento di posizioni di archiviazione non configurate avvia correzioni automatiche.  I processi automatizzati creano backup dei dati e archiviano copie immutabili al di fuori dell'ambiente originale.

Anti-pattern comuni:

• Non considerare le opzioni per abilitare la crittografia dalle impostazioni predefinite, ove supportate.

• Non considerare gli eventi di sicurezza, oltre a quelli operativi, quando si formula una strategia di backup e ripristino automatizzata.

• Non applicare le impostazioni di accesso pubblico per i servizi di archiviazione.

• Non monitorare e verificare i controlli per proteggere i dati a riposo.

Vantaggi derivanti dall'adozione di questa best practice: l'automazione aiuta a prevenire il rischio di una configurazione errata delle posizioni di archiviazione di dati. Aiuta a prevenire che le configurazioni errate entrino negli ambienti di produzione. Questa best practice aiuta anche a rilevare e correggere eventuali configurazioni errate. 

Livello di rischio associato alla mancata adozione di questa best practice: medio

Guida all'implementazione 

L'automazione è un tema ricorrente in tutte le pratiche per la protezione dei dati a riposo. SEC01-BP06 Implementazione automatizzata dei controlli di sicurezza standard descrive come acquisire la configurazione delle risorse utilizzando modelli IaC (Infrastructure as code), ad esempio con AWS CloudFormation.  Questi modelli sono vincolati a un sistema di controllo della versione e vengono utilizzati per distribuire risorse su AWS tramite una pipeline CI/CD.  Queste tecniche si applicano anche all'automazione della configurazione delle soluzioni di archiviazione di dati, come le impostazioni di crittografia sui bucket Amazon S3.  

Puoi controllare le impostazioni che definisci nei tuoi modelli IaC per eventuali configurazioni errate nelle pipeline CI/CD utilizzando le regole in AWS CloudFormation Guard.  È possibile monitorare le impostazioni che non sono ancora disponibili in CloudFormation o in altri strumenti IaC per eventuali configurazioni errate con AWS Config.  Gli avvisi generati da Config per configurazioni errate possono essere corretti automaticamente, come descritto in SEC04-BP04 Avvio della riparazione per le risorse non conformi.

L'utilizzo dell'automazione come parte della strategia di gestione delle autorizzazioni è anche parte integrante delle protezioni automatizzate dei dati. SEC03-BP02 Concessione dell'accesso con privilegio minimo e SEC03-BP04 Riduzione delle autorizzazioni in modo continuo descrivono continuamente la configurazione delle policy di accesso con privilegio minimo che vengono continuamente monitorate dal Sistema di AWS Identity and Access Management Access Analyzer per generare risultati quando è possibile ridurre l'autorizzazione.  Oltre all'automazione per il monitoraggio delle autorizzazioni, puoi configurare Amazon GuardDuty per monitorare comportamenti anomali di accesso ai dati per i tuoi volumi EBS (tramite un'istanza EC2), i bucket S3 e i database Amazon Relational Database Service supportati.

L'automazione svolge anche la funzione di rilevare quando i dati sensibili vengono archiviati in luoghi non autorizzati. SEC07-BP03 Automazione dell'identificazione e della classificazione descrive come Amazon Macie può monitorare i bucket S3 per la ricerca di dati sensibili imprevisti e generare avvisi in grado di avviare una risposta automatica.

Segui le procedure descritte in REL09 Backup dei dati per sviluppare una strategia automatizzata di backup e ripristino dei dati. Il backup e il ripristino dei dati sono importanti tanto per il ripristino da eventi di sicurezza quanto per gli eventi operativi.

Passaggi dell'implementazione

1. Acquisisci la configurazione dell'archiviazione di dati nei modelli IaC.  Utilizza i controlli automatici nelle pipeline CI/CD per rilevare configurazioni errate.

   1. Puoi utilizzare <ulink type="marketing" url="cloudformation">&CFN;</ulink> per i tuoi modelli IaC e CloudFormation Guard per verificare la presenza di errori di configurazione nei modelli.

   2. Utilizza AWS Config per eseguire le regole in modalità di valutazione proattiva. Utilizza questa impostazione per verificare la conformità di una risorsa come passaggio della pipeline CI/CD prima di crearla.

2. Monitora le risorse per individuare eventuali configurazioni errate dell'archiviazione di dati.

   1. Imposta AWS Config per monitorare le risorse di archiviazione di dati per eventuali modifiche nelle configurazioni di controllo e generare avvisi per richiamare azioni correttive quando rileva una configurazione errata.

   2. Vedi SEC04-BP04 Avvio della riparazione delle risorse non conformi per ulteriori indicazioni sulle correzioni automatiche.

3. Monitora e riduci continuamente le autorizzazioni di accesso ai dati tramite l'automazione.

   1. IAM Access Analyzer può essere eseguito continuamente per generare avvisi quando le autorizzazioni possono essere potenzialmente ridotte.

4. Monitora e avvisa in caso di comportamenti anomali di accesso ai dati.

   1. GuardDuty controlla sia le firme delle minacce note sia le deviazioni dai comportamenti di accesso di base per le risorse di archiviazione dei dati come i volumi EBS, i bucket S3 e i database RDS.

5. Monitora e invia avvisi sui dati sensibili archiviati in luoghi inaspettati.

   1. Utilizza Amazon Macie per scansionare continuamente i tuoi bucket S3 alla ricerca di dati sensibili.

6. Automatizza i backup sicuri e crittografati dei tuoi dati.

   1. AWS Backup è un servizio gestito che crea backup crittografati e sicuri di varie origini dati su AWS.  Elastic Disaster Recovery consente di copiare carichi di lavoro completi del server e mantenere una protezione continua dei dati con un obiettivo del punto di ripristino (RPO) misurato in secondi.  È possibile configurare entrambi i servizi in modo che lavorino insieme per automatizzare la creazione di backup dei dati e la loro copia in posizioni di failover.  Questo può aiutare a mantenere i dati disponibili in caso di eventi operativi o di sicurezza.

Risorse

Best practice correlate:

• SEC01-BP06 Implementazione automatizzata dei controlli di sicurezza standard

• SEC03-BP02 Concessione dell'accesso con privilegio minimo

• SEC03-BP04 Riduzione delle autorizzazioni in modo continuo

• SEC04-BP04 Avvio della riparazione delle risorse non conformi

• SEC07-BP03 Automazione dell'identificazione e della classificazione

• REL09-BP02 Protezione e crittografia dei backup

• REL09-BP03 Esecuzione del backup dei dati in automatico

Documenti correlati:

• AWS Prescriptive Guidance: Automatically encrypt existing and new Amazon EBS volumes

• Ransomware Risk Management on AWS Using the NIST Cyber Security Framework (CSF)

Esempi correlati:

• How to use AWS Config proactive rules and AWS CloudFormation Hooks to prevent creation of noncompliant cloud resources

• Automate and centrally manage data protection for Amazon S3 with AWS Backup

• AWS re:Invent 2023 - Implement proactive data protection using Amazon EBS snapshots

• AWS re:Invent 2022 - Build and automate for resilience with modern data protection

Strumenti correlati:

• AWS CloudFormation Guard

• AWS CloudFormation Guard Rules Registry

• IAM Access Analyzer

• Amazon Macie

• AWS Backup

• Ripristino di emergenza elastico