Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Proteggi i dati sensibili nei CloudWatch registri utilizzando Amazon Macie
*Anisha Salunkhe, Omar Franco e David Guardiola, Amazon Web Services*
## Riepilogo
Questo modello mostra come utilizzare Amazon Macie per rilevare automaticamente i dati sensibili in un gruppo di log di Amazon CloudWatch Logs implementando un flusso di lavoro completo di monitoraggio della sicurezza. La soluzione utilizza Amazon Data Firehose per lo streaming delle voci di CloudWatch log su Amazon Simple Storage Service (Amazon S3). Macie analizza periodicamente questo bucket alla ricerca di informazioni di identificazione personale (PII), dati finanziari e altri contenuti sensibili. L'infrastruttura viene distribuita tramite un AWS CloudFormation modello che fornisce tutte le configurazioni e le configurazioni necessarie. Servizi AWS
CloudWatch I log spesso contengono dati applicativi che possono includere inavvertitamente informazioni riservate sugli utenti. Ciò può creare rischi per la conformità e la sicurezza. Gli approcci tradizionali di monitoraggio dei registri non dispongono di funzionalità automatizzate di rilevamento dei dati sensibili. Ciò può rendere difficile identificare e rispondere alle potenziali esposizioni dei dati in tempo reale.
Questo modello aiuta i team di sicurezza e i responsabili della conformità a mantenere la riservatezza dei dati fornendo rilevazioni e avvisi automatici per i dati sensibili nei sistemi di registrazione. Questa soluzione consente una risposta proattiva agli incidenti tramite le notifiche di Amazon Simple Notification Service (Amazon SNS) e isola automaticamente i dati sensibili in un bucket Amazon S3 sicuro. Puoi personalizzare i modelli di rilevamento e integrare il flusso di lavoro con i processi operativi di sicurezza esistenti.
## Prerequisiti e limitazioni
**Prerequisiti**
+ Un attivo Account AWS
+ Autorizzazioni per creare uno stack CloudFormation
+ Un gruppo di CloudWatch log Logs che desideri monitorare
+ Un indirizzo e-mail attivo per ricevere notifiche da Amazon SNS
+ Accesso a [AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html).
+ [(Facoltativo) Accesso a AWS Command Line Interface (AWS CLI), [installato e configurato](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
**Limitazioni**
+ Macie è soggetta a quote di servizio. Per ulteriori informazioni, consulta [Quotas for Macie nella documentazione di Macie](https://docs.aws.amazon.com/macie/latest/user/macie-quotas.html).
## Architecture
**Architettura Target**
Il diagramma seguente mostra il flusso di lavoro per l'utilizzo di Macie per esaminare le voci di registro di CloudWatch Logs alla ricerca di dati sensibili.
![\[alt text not found\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/c9979070-09ab-4331-b969-5eff26fb2baa/images/d02f34ce-a7d1-4f96-a430-22975224eb9d.png)
Il flusso di lavoro mostra i seguenti passaggi:
1. Il gruppo CloudWatch Logs log genera i log, che sono soggetti al filtro di sottoscrizione.
1. Il filtro di sottoscrizione inoltra i log ad Amazon Data Firehose.
1. I log vengono crittografati con una chiave AWS Key Management Service (AWS KMS) quando passano attraverso il flusso di distribuzione di Amazon Data Firehose.
1. Il flusso di consegna consegna i log nel bucket di log esportati in Amazon S3.
1. Ogni giorno alle 4 del mattino, Amazon EventBridge avvia una AWS Lambda funzione che avvia una scansione Macie alla ricerca di dati sensibili nel bucket dei log esportati.
1. Se Macie identifica dati sensibili nel bucket, una funzione Lambda rimuove il registro dal bucket di log esportato e lo crittografa con un. AWS KMS key
1. La funzione Lambda isola i log che contengono dati sensibili nel bucket di isolamento dei dati.
1. L'identificazione di dati sensibili avvia un argomento di Amazon SNS.
1. Amazon SNS invia una notifica e-mail a un indirizzo e-mail configurato con informazioni sui log che contengono dati sensibili.
**Risorse distribuite**
Il CloudFormation modello distribuisce le seguenti risorse nel target Account AWS e: Regione AWS
+ [Due bucket Amazon S3:](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html#BasicsBucket)
+ Un bucket di log esportato per archiviare i dati dei log CloudWatch
+ Un bucket di isolamento dei dati per archiviare le informazioni sensibili
+ Una EventBridge [regola](https://docs.aws.amazon.com/macie/latest/user/findings-monitor-events-eventbridge.html) di Amazon che risponde alle scoperte di Macie
+ AWS Lambda [funzioni](https://docs.aws.amazon.com/lambda/latest/dg/concepts-basics.html#gettingstarted-concepts-function) che avviano eventi ed esportano i log nei bucket Amazon S3
+ [Un [argomento](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) e un abbonamento ad Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html)
+ [Uno stream Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html#key-concepts)
+ [Una sessione con Macie](https://docs.aws.amazon.com/macie/latest/user/macie-terms.html#macie-terms-session)
+ Un identificatore di dati [personalizzato](https://docs.aws.amazon.com/macie/latest/user/macie-terms.html#macie-terms-cdi) Macie
+ [Un filtro di sottoscrizione CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SubscriptionFilters.html)
+ AWS KMS [chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) per crittografare i log memorizzati nei bucket
+ I [ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) e le [politiche AWS Identity and Access Management (IAM) necessari per la soluzione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
## Tools (Strumenti)
**Servizi AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)ti aiuta a configurare AWS le risorse, fornirle in modo rapido e coerente e gestirle durante tutto il loro ciclo di vita in Account AWS e. Regioni AWS
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) ti aiuta a centralizzare i log di tutti i tuoi sistemi e applicazioni, Servizi AWS così puoi monitorarli e archiviarli in modo sicuro.
+ [Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) ti aiuta a distribuire dati di streaming in tempo reale ad altri Servizi AWS endpoint HTTP personalizzati e endpoint HTTP di proprietà di provider di servizi terzi supportati.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) è un servizio di bus eventi senza server che ti aiuta a connettere le tue applicazioni con dati in tempo reale provenienti da una varietà di fonti. Ad esempio, fonti come AWS Lambda funzioni, endpoint di invocazione HTTP che utilizzano destinazioni API o bus di eventi in altre. Account AWS
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) consente di creare e controllare chiavi crittografiche per proteggere i dati.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) è un servizio di calcolo che consente di eseguire il codice senza gestire i server o effettuarne il provisioning. Esegue il codice solo quando necessario e si ridimensiona automaticamente, quindi paghi solo per il tempo di elaborazione che utilizzi.
+ [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) ti aiuta a scoprire dati sensibili, offre visibilità sui rischi per la sicurezza dei dati e consente la protezione automatizzata contro tali rischi.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) ti aiuta a coordinare e gestire lo scambio di messaggi tra editori e clienti, inclusi server Web e indirizzi e-mail.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) è un servizio di archiviazione degli oggetti basato sul cloud che consente di archiviare, proteggere e recuperare qualsiasi quantità di dati.
**Repository di codici**
Il codice per questo pattern è disponibile nel repository GitHub [sample-macie-for-securing-cloudwatch-logs](https://github.com/aws-samples/sample-macie-for-securing-cloudwatch-logs).
## Best practice
[Segui le migliori pratiche riportate nella documentazione.CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/best-practices.html) CloudFormation
## Epiche
### Implementazione della soluzione
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Clona il repository del codice. | Immettete il seguente comando per clonare il repository sulla vostra workstation locale:git clone https://github.com/aws-samples/sample-macie-for-securing-cloudwatch-logs
| Sviluppatore di app |
| (Facoltativo) Modifica il modello. CloudFormation | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | Sviluppatore di app |
| Opzione 1: distribuzione tramite script con parametri della riga di comando. | Immetti il seguente comando per distribuire la soluzione utilizzando i parametri della riga di comando, dove il valore `enable-macie` è `true` solo se Amazon Macie non è già abilitato:./scripts/test-macie-solution.sh --deploy-stack \
--stack-name \
--email \
--enable-macie \
--region \
--resource-name \
--bucket-name
| Informazioni generali su AWS |
| Opzione 2: implementazione tramite script con variabili di ambiente. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | Informazioni generali su AWS |
| Opzione 3: distribuisci utilizzando. AWS CLI | Immetti il seguente comando per distribuire la soluzione utilizzando AWS CLI, dove il valore per `EnableMacie` è `true` solo se Amazon Macie non è già abilitato:aws cloudformation create-stack \
--region us-east-1 \
--stack-name macie-for-securing-cloudwatch-logs \
--template-body file://app/main.yml \
--capabilities CAPABILITY_IAM \
--parameters \
ParameterKey=ResourceName,ParameterValue= \
ParameterKey=BucketName,ParameterValue= \
ParameterKey=LogGroupName,ParameterValue= \
ParameterKey=SNSTopicEndpointEmail,ParameterValue= \
ParameterKey=EnableMacie,ParameterValue=
| |
| Opzione 4: distribuzione tramite. Console di gestione AWS | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | Informazioni generali su AWS |
| Monitora lo stato della distribuzione e conferma la distribuzione. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | Informazioni generali su AWS |
| Conferma l'abbonamento ad Amazon SNS. | Segui le istruzioni in [Conferma l'abbonamento ad Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToHttp.confirm.html) nella documentazione di Amazon SNS per confermare l'abbonamento ad Amazon SNS. | Sviluppatore di app |
### Test della soluzione
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Opzione 1: test con report automatizzati. | Se hai utilizzato il nome dello stack predefinito, inserisci il seguente comando per testare la soluzione:./scripts/test-macie-solution.sh \
--full-test
Se hai usato un nome di stack personalizzato, inserisci il seguente comando per testare la soluzione:./scripts/test-macie-solution.sh \
--full-test \
--stack-name
Se hai usato un nome di stack personalizzato e parametri personalizzati, inserisci il seguente comando per testare la soluzione:./scripts/test-macie-solution.sh --full-test \
--stack-name \
--region \
--log-group
| Informazioni generali su AWS |
| Opzione 2: test con convalida mirata. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | Informazioni generali su AWS |
### Eliminazione
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Opzione 1: eseguire la pulizia automatica. | Se hai utilizzato il nome dello stack predefinito, inserisci il seguente comando per eliminare lo stack:./scripts/cleanup-macie-solution.sh \
--full-cleanup
Se hai usato un nome di stack personalizzato, inserisci il seguente comando per eliminare lo stack:./scripts/cleanup-macie-solution.sh \
--full-cleanup \
--stack-name
Se hai usato un nome di stack personalizzato e parametri personalizzati, inserisci il seguente comando per eliminare lo stack:./scripts/cleanup-macie-solution.sh \
--full-cleanup \
--stack-name \
--region \
--disable-macie
| Informazioni generali su AWS |
| Opzione 2: eseguire step-by-step la pulizia. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | Informazioni generali su AWS |
| Verifica la pulizia. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | Informazioni generali su AWS |
## risoluzione dei problemi
| Problema | Soluzione |
| --- | --- |
| CloudFormation lo stato dello stack mostra **CREATE\$1FAILED**. | Il CloudFormation modello è configurato per pubblicare i log in Logs. CloudWatch Puoi visualizzare i log in in Console di gestione AWS modo da non doverti connettere alla tua EC2 istanza Amazon. Per ulteriori informazioni, consulta [Visualizzare CloudFormation i log nella console (post del](https://aws.amazon.com/blogs/devops/view-cloudformation-logs-in-the-console/)AWS blog). |
| CloudFormation `delete-stack`il comando fallisce. | Alcune risorse devono essere vuote prima di poter essere eliminate. Ad esempio, devi eliminare tutti gli oggetti in un bucket Amazon S3 o rimuovere tutte le istanze in un gruppo di EC2 sicurezza Amazon prima di poter eliminare il bucket o il gruppo di sicurezza. Per ulteriori informazioni, consulta [Delete stack fail](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors-delete-stack-fails) nella documentazione di Amazon S3. |
| Errore durante l'analisi di un parametro. | Quando usi la console AWS CLI o la CloudFormation console per passare un valore, aggiungi le virgolette. |
## Risorse correlate
+ [Procedure ottimali di architettura per lo storage](https://aws.amazon.com/architecture/storage/?docs3_bp1&cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=*all&awsf.methodology=*all) (AWS sito Web)
+ [Sintassi del pattern di filtro per filtri metrici, filtri di sottoscrizione, eventi di log dei filtri e Live Tail](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) (documentazione di CloudWatch Logs)
+ [Progettazione e implementazione della registrazione e del monitoraggio con Amazon CloudWatch](https://docs.aws.amazon.com/prescriptive-guidance/latest/implementing-logging-monitoring-cloudwatch/welcome.html) (AWS Prescriptive Guidance)
+ [Risoluzione dei problemi CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html) (documentazione)CloudFormation