Centralizzare la gestione della sicurezza - Conformità al regolamento generale sulla protezione dei dati in AWS

Centralizzare la gestione della sicurezza

Molte organizzazioni devono affrontare sfide legate alla visibilità e alla gestione centralizzata dei loro ambienti. Man mano che l’impronta operativa di un’organizzazione cresce, questa sfida diventa sempre più gravosa, a meno che non si valuti attentamente la progettazione della sicurezza. La mancanza di conoscenza, combinata con una gestione decentralizzata e non uniforme dei processi di governance e sicurezza, può rendere vulnerabile il tuo ambiente.

AWS fornisce strumenti per aiutarti a soddisfare alcuni dei requisiti più impegnativi per la gestione e la governance dell'IT e strumenti per supportare un approccio di protezione dei dati basato sulla progettazione.

AWS Control Tower offre un modo per configurare e governare un ambiente AWS multi-account nuovo e sicuro. Automatizza la configurazione di una zona di destinazione, che è un ambiente multi-account basato su progetti di best practice, e abilita la governance utilizzando guardrail selezionabili da un elenco predefinito. I guardrail implementano regole di governance per la sicurezza, la conformità e le operations. AWS Control Tower permette di effettuare la gestione delle identità utilizzando la directory predefinita di AWS IAM Identity Center (IAM Identity Center) e consente la verifica tra account utilizzando IAM Identity Center e IAM. Centralizza anche i registri provenienti da CloudTrail e quelli di AWS Config, che sono archiviati in Amazon S3.

AWS Security Hub è un altro servizio che supporta la centralizzazione e può migliorare la visibilità all'interno di un'organizzazione. Security Hub centralizza e dà priorità ai risultati della sicurezza e della conformità provenienti da tutti gli account e i servizi AWS, come Amazon GuardDuty e Amazon Inspector, e può essere integrato con software di sicurezza di partner di terze parti per aiutarti ad analizzare le tendenze in materia di sicurezza e identificare i problemi di sicurezza prioritari.

Amazon GuardDuty è un servizio di rilevamento delle minacce intelligente che aiuta i clienti a monitorare e proteggere in modo più accurato e semplice i propri account AWS, i carichi di lavoro e i dati archiviati in Amazon S3. GuardDuty analizza miliardi di eventi provenienti da diverse fonti nei tuoi account AWS, tra cui eventi di AWS CloudTrailgestione, eventi di dati di CloudTrail Amazon S3, flussi di log di Amazon Virtual Private Cloud e registri DNS. Ad esempio, il servizio è in grado di rilevare chiamate API inconsuete, comunicazioni sospette in uscita verso indirizzi IP malevoli noti o possibili furti di dati effettuati tramite query DNS. GuardDuty è in grado di fornire risultati più accurati sfruttando l'intelligence sulle minacce basata sul machine learning e partner di sicurezza di terze parti.

Amazon Inspector è un servizio di valutazione della sicurezza automatizzato che aiuta a migliorare la sicurezza e la conformità delle applicazioni distribuite sulle istanze Amazon EC2. Amazon Inspector esamina automaticamente le applicazioni per rilevare esposizione, vulnerabilità e deviazioni dalle best practice. Dopo aver eseguito una valutazione, Amazon Inspector fornisce un elenco dettagliato con i risultati dell'analisi, ordinati secondo il livello di gravità.

Amazon CloudWatch Events ti consente di configurare l'account AWS per inviare eventi ad altri account AWS o di diventare un ricevitore di eventi provenienti da altri account o organizzazioni. Questo meccanismo può essere molto utile per implementare scenari di risposta agli incidenti tra account, intraprendendo azioni correttive tempestive (ad esempio, invocando una funzione Lambda o eseguendo un comando su un'istanza Amazon EC2), se necessario, ogni volta che si verifica un evento di incidente di sicurezza.

AWS security services flow diagram showing data path from sources to target options.

Figura 5. Intraprendere un'azione con AWS Security Hub e Amazon CloudWatch Events

AWS Organizations aiuta a gestire e governare in maniera centralizzata ambienti complessi. Permette di controllare l'accesso, la conformità e la sicurezza in un ambiente multi-account. AWS Organizations supporta le policy di controllo dei servizi (SCP), che definiscono le operazioni disponibili sui servizi AWS che possono essere eseguite con account o unità organizzative (OU) specifici all'interno di un'organizzazione.

AWS Systems Manager offre visibilità e controllo dell'infrastruttura su AWS. Permette di visualizzare i dati operativi di più servizi AWS da una console unificata e di automatizzare le attività operative da eseguire su di essi. È possibile ottenere informazioni sulle attività recenti delle API, sulle modifiche alla configurazione delle risorse, sugli avvisi operativi, sull'inventario del software e sullo stato di conformità delle patch. Tramite l'integrazione con altri servizi AWS, puoi anche intervenire sulle risorse a seconda delle tue esigenze operative, assicurandoti che il tuo ambiente sia in uno stato di conformità.

Ad esempio, l'integrazione di Amazon Inspector con AWS Systems Manager ti permette di semplificare e automatizzare le valutazioni della sicurezza grazie alla possibilità di istallare automaticamente l'agente Amazon Inspector offerta da Amazon Elastic Compute Cloud Systems Manager quando viene avviata un'istanza Amazon EC2. È possibile anche eseguire correzioni automatiche dei risultati di Amazon Inspector grazie alle funzioni di Amazon EC2 System Manager e Lambda.