Security OU — Account Security Tooling - AWS Guida prescrittiva
Amministratore delegato per i servizi di sicurezzaAWS CloudTrailAWS Security HubAmazon GuardDutyAWSConfigAmazon Security LakeAmazon MacieAWSIAMAccess AnalyzerAWS Firewall ManagerAmazon EventBridgeAmazon DetectiveAWS Audit ManagerAWSArtefattoAWS KMSCA privata AWSAmazon InspectorImplementazione di servizi di sicurezza comuni in tutti gli account AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Security OU — Account Security Tooling

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio.

Il diagramma seguente illustra i servizi AWS di sicurezza configurati nell'account Security Tooling.

Servizi di sicurezza per l'account Security Tooling

L'account Security Tooling è dedicato alla gestione dei servizi di sicurezza, al monitoraggio degli AWS account e all'automazione degli avvisi e delle risposte di sicurezza. Gli obiettivi di sicurezza includono i seguenti:

  • Fornisci un account dedicato con accesso controllato per gestire l'accesso alle barriere di sicurezza, il monitoraggio e la risposta.

  • Mantieni l'infrastruttura di sicurezza centralizzata appropriata per monitorare i dati delle operazioni di sicurezza e mantenere la tracciabilità. Il rilevamento, l'indagine e la risposta sono parti essenziali del ciclo di vita della sicurezza e possono essere utilizzati per supportare un processo di qualità, un obbligo legale o di conformità e per l'identificazione e la risposta alle minacce.

  • Supporta ulteriormente una strategia defense-in-depth organizzativa mantenendo un altro livello di controllo sulla configurazione e sulle operazioni di sicurezza appropriate, come le chiavi di crittografia e le impostazioni dei gruppi di sicurezza. Questo è un account in cui lavorano gli operatori di sicurezza. I only/audit roles to view AWS organization-wide information are typical, whereas write/modify ruoli di lettura sono in numero limitato, strettamente controllati, monitorati e registrati.

Considerazioni di natura progettuale

  • AWSPer impostazione predefinita, Control Tower nomina l'account nell'unità organizzativa di sicurezza Account di controllo. Puoi rinominare l'account durante la configurazione del AWS Control Tower.

  • Potrebbe essere opportuno avere più di un account Security Tooling. Ad esempio, il monitoraggio e la risposta agli eventi di sicurezza vengono spesso assegnati a un team dedicato. La sicurezza della rete potrebbe richiedere un account e ruoli propri in collaborazione con l'infrastruttura cloud o il team di rete. Tali divisioni mantengono l'obiettivo di separare le enclave di sicurezza centralizzate e enfatizzano ulteriormente la separazione dei compiti, il privilegio minimo e la potenziale semplicità delle assegnazioni dei team. Se si utilizza AWS Control Tower, limita la creazione di AWS account aggiuntivi nell'unità organizzativa di sicurezza.

Amministratore delegato per i servizi di sicurezza

L'account Security Tooling funge da account amministratore per i servizi di sicurezza gestiti in una struttura amministratore/membro in tutti gli account. AWS Come accennato in precedenza, questa operazione viene gestita tramite la funzionalità di amministratore delegato di AWS Organizations. I servizi AWS SRA che attualmente supportano l'amministratore delegato includono AWS Config, Firewall AWS Manager, Amazon, Access GuardDuty Analyzer AWSIAM, Amazon Macie, Security AWS Hub, Amazon Detective, AWS Audit Manager, Amazon Inspector AWS CloudTrail e Systems Manager. AWS Il tuo team di sicurezza gestisce le funzionalità di sicurezza di questi servizi e monitora eventuali eventi o risultati specifici in materia di sicurezza.

IAMIdentity Center supporta l'amministrazione delegata di un account membro. AWSSRAutilizza l'account Shared Services come account amministratore delegato per IAM Identity Center, come spiegato più avanti nella sezione IAMIdentity Center dell'account Shared Services.

AWS CloudTrail

AWS CloudTrailè un servizio che supporta la governance, la conformità e il controllo delle attività dell'account. AWS Con CloudTrail, puoi registrare, monitorare continuamente e conservare le attività dell'account relative alle azioni sull'AWSinfrastruttura. CloudTrail è integrato con AWS Organizations e tale integrazione può essere utilizzata per creare un unico percorso che registra tutti gli eventi per tutti gli account dell'AWSorganizzazione. Questo tipo di trail viene indicato come trail dell'organizzazione. È possibile creare e gestire un percorso organizzativo solo dall'interno dell'account di gestione dell'organizzazione o da un account amministratore delegato. Quando si crea un percorso organizzativo, viene creato un percorso con il nome specificato in ogni AWS account appartenente all'AWSorganizzazione. Il trail registra l'attività di tutti gli account, incluso l'account di gestione, dell'AWSorganizzazione e archivia i log in un unico bucket S3. Data la sensibilità di questo bucket S3, dovresti proteggerlo seguendo le best practice descritte nella sezione Amazon S3 come archivio di log centrale più avanti in questa guida. Tutti gli account AWS dell'organizzazione possono visualizzare il percorso dell'organizzazione nel proprio elenco di percorsi. Tuttavia, gli AWS account dei membri hanno accesso in sola visualizzazione a questo percorso. Per impostazione predefinita, quando si crea un percorso organizzativo nella CloudTrail console, il percorso è un percorso multiregionale. Per ulteriori best practice di sicurezza, consulta la AWS CloudTrail documentazione.

In AWSSRA, l'account Security Tooling è l'account amministratore delegato per la gestione. CloudTrail Il bucket S3 corrispondente per archiviare i log dell'organizzazione viene creato nell'account Log Archive. Questo serve a separare la gestione e l'utilizzo dei privilegi di CloudTrail registro. Per informazioni su come creare o aggiornare un bucket S3 per archiviare i file di registro per un percorso organizzativo, consulta la documentazione. AWS CloudTrail

Nota

È possibile creare e gestire gli itinerari organizzativi sia dagli account di gestione che da quelli di amministratore delegato. Tuttavia, come best practice, è necessario limitare l'accesso all'account di gestione e utilizzare la funzionalità di amministratore delegato laddove disponibile.

Considerazione di natura progettuale

  • Se un account membro richiede l'accesso ai file di CloudTrail registro per il proprio account, puoi condividere selettivamente i file di CloudTrail registro dell'organizzazione dal bucket S3 centrale. Tuttavia, se gli account membri richiedono gruppi di CloudWatch log locali per CloudTrail i registri del proprio account o desiderano configurare la gestione dei log e gli eventi relativi ai dati (di sola lettura, sola scrittura, eventi di gestione, eventi relativi ai dati) in modo diverso dall'organigramma, possono creare un percorso locale con i controlli appropriati. I percorsi locali specifici per account comportano costi aggiuntivi.

AWS Security Hub

AWSSecurity Hub ti offre una visione completa del tuo stato di sicurezza AWS e ti aiuta a controllare il tuo ambiente rispetto agli standard e alle migliori pratiche del settore della sicurezza. Security Hub raccoglie dati sulla sicurezza da servizi AWS integrati, prodotti di terze parti supportati e altri prodotti di sicurezza personalizzati che potresti utilizzare. Aiuta a monitorare e analizzare costantemente le tendenze di sicurezza e a identificare i problemi di sicurezza più importanti. Oltre alle fonti acquisite, Security Hub genera i propri risultati, che sono rappresentati da controlli di sicurezza mappati a uno o più standard di sicurezza. Questi standard includono AWS Foundational Security Best Practices (FSBP), Center for Internet Security (CIS) AWS Foundations Benchmark v1.20 e v1.4.0, National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5, Payment Card Industry Data Security Standard () e standard di gestione dei servizi. PCI DSS Per un elenco degli standard di sicurezza attuali e dettagli su controlli di sicurezza specifici, consulta il riferimento agli standard del Security Hub nella documentazione di Security Hub.

Security Hub si integra con AWS Organizations per semplificare la gestione del livello di sicurezza di tutti gli account esistenti e futuri dell'organizzazione. AWS È possibile utilizzare la funzionalità di configurazione centrale di Security Hub dall'account amministratore delegato (in questo caso, Security Tooling) per specificare in che modo il servizio Security Hub, gli standard di sicurezza e i controlli di sicurezza sono configurati negli account e nelle unità organizzative () dell'organizzazione (OUs) tra le regioni. È possibile configurare queste impostazioni in pochi passaggi da una regione principale, denominata regione di origine. Se non utilizzi la configurazione centrale, devi configurare Security Hub separatamente in ogni account e regione. L'amministratore delegato può designare gli account e OUs gestirli autonomamente, in cui il membro può configurare le impostazioni separatamente in ciascuna regione, oppure gestirli centralmente, dove l'amministratore delegato può configurare l'account membro o l'unità organizzativa tra le regioni. È possibile designare tutti gli account e OUs quelli dell'organizzazione come gestiti centralmente, tutti autogestiti o una combinazione di entrambi. Ciò semplifica l'applicazione di una configurazione coerente, fornendo al contempo la flessibilità necessaria per modificarla per ogni unità organizzativa e account.

L'account amministratore delegato di Security Hub può anche visualizzare i risultati, visualizzare approfondimenti e controllare i dettagli di tutti gli account membri. È inoltre possibile designare una regione di aggregazione all'interno dell'account amministratore delegato per centralizzare i risultati tra i propri account e le regioni collegate. I risultati vengono sincronizzati in modo continuo e bidirezionale tra la regione di aggregazione e tutte le altre regioni.

Security Hub supporta integrazioni con diversi AWS servizi. Amazon GuardDuty, AWS Config, Amazon Macie, Access Analyzer AWSIAM, AWS Firewall Manager, Amazon Inspector AWS e Systems Manager Patch Manager possono inviare i risultati a Security Hub. Security Hub elabora i risultati utilizzando un formato standard chiamato AWSSecurity Finding Format (ASFF). Security Hub mette in correlazione i risultati tra i prodotti integrati per dare priorità a quelli più importanti. Puoi arricchire i metadati dei risultati del Security Hub per contribuire a contestualizzare, assegnare priorità e agire meglio sui risultati di sicurezza. Questo arricchimento aggiunge tag di risorse, un nuovo tag di AWS applicazione e informazioni sul nome dell'account a ogni risultato che viene inserito in Security Hub. Ciò consente di ottimizzare i risultati per le regole di automazione, cercare o filtrare risultati e approfondimenti e valutare lo stato del livello di sicurezza per applicazione. Inoltre, puoi utilizzare le regole di automazione per aggiornare automaticamente i risultati. Quando Security Hub acquisisce i risultati, può applicare una serie di azioni relative alle regole, come sopprimere i risultati, modificarne la gravità e aggiungere note ai risultati. Queste azioni relative alle regole hanno effetto quando i risultati soddisfano i criteri specificati, ad esempio la risorsa o IDs l'account a cui è associato il risultato o il suo titolo. È possibile utilizzare le regole di automazione per aggiornare alcuni campi di ricerca inASFF. Le regole si applicano sia ai risultati nuovi che a quelli aggiornati.

Durante l'indagine su un evento di sicurezza, puoi passare da Security Hub ad Amazon Detective per indagare su un GuardDuty ritrovamento di Amazon. Security Hub consiglia di allineare gli account degli amministratori delegati per servizi come Detective (laddove esistono) per un'integrazione più fluida. Ad esempio, se non allinei gli account amministratore tra Detective e Security Hub, la navigazione dai risultati a Detective non funzionerà. Per un elenco completo, consulta Panoramica delle integrazioni dei AWS servizi con Security Hub nella documentazione di Security Hub.

Puoi utilizzare Security Hub con la funzionalità Network Access Analyzer di Amazon VPC per monitorare continuamente la conformità della configurazione di AWS rete. Questo ti aiuterà a bloccare l'accesso indesiderato alla rete e a impedire l'accesso esterno alle tue risorse critiche. Per ulteriori dettagli sull'architettura e sull'implementazione, consulta il post AWS sul blog Verifica continua della conformità della rete utilizzando Amazon VPC Network Access Analyzer and AWS Security Hub.

Oltre alle funzionalità di monitoraggio, Security Hub supporta l'integrazione con Amazon EventBridge per automatizzare la correzione di risultati specifici. È possibile definire azioni personalizzate da intraprendere quando si riceve un risultato. Ad esempio, puoi configurare operazioni personalizzate per inviare risultati a un sistema di ticket o a un sistema di correzione automatizzato. Per ulteriori discussioni ed esempi, consulta i post del AWS blog Automated Response and Remediation with AWS Security Hub e How to deploy the AWS Solution for Security Hub Automated Response and Remediation.

Security Hub utilizza regole AWS Config collegate ai servizi per eseguire la maggior parte dei controlli di sicurezza. Per supportare questi controlli, AWSConfig deve essere abilitato su tutti gli account, inclusi l'account amministratore (o amministratore delegato) e gli account membro, in ogni regione in AWS cui è abilitato Security Hub.

Considerazioni di natura progettuale

  • Se uno standard di conformità, come PCI -DSS, è già presente in Security Hub, il servizio Security Hub completamente gestito è il modo più semplice per renderlo operativo. Tuttavia, se desideri assemblare uno standard di conformità o sicurezza personalizzato, che potrebbe includere controlli di sicurezza, operativi o di ottimizzazione dei costi, i pacchetti di conformità AWS Config offrono un processo di personalizzazione semplificato. (Per ulteriori informazioni su AWS Config e sui pacchetti di conformità, consulta la sezione AWS Config.)

  • I casi d'uso più comuni per Security Hub includono:

    • Come dashboard che offre visibilità ai proprietari delle applicazioni sullo stato di sicurezza e conformità delle loro risorse AWS

    • Come punto di vista centrale dei risultati di sicurezza utilizzati dalle operazioni di sicurezza, dai soccorritori agli incidenti e dai cacciatori di minacce per valutare e intervenire sui risultati di AWS sicurezza e conformità in tutti gli account e le regioni AWS

    • Per aggregare e indirizzare i risultati di sicurezza e conformità provenienti da più AWS account e regioni, verso un sistema centralizzato di gestione delle informazioni e degli eventi di sicurezza (SIEM) o altro sistema di orchestrazione della sicurezza

    Per ulteriori indicazioni su questi casi d'uso, incluso come configurarli, consulta il post sul blog Tre modelli di utilizzo ricorrenti del Security Hub e come implementarli.

Esempio di implementazione

La libreria di AWS SRA codici fornisce un'implementazione di esempio di Security Hub. Include l'attivazione automatica del servizio, l'amministrazione delegata a un account membro (Security Tooling) e la configurazione per abilitare Security Hub per tutti gli account esistenti e futuri dell'organizzazione. AWS

Amazon GuardDuty

Amazon GuardDuty è un servizio di rilevamento delle minacce che monitora continuamente le attività dannose e i comportamenti non autorizzati per proteggere i tuoi AWS account e i tuoi carichi di lavoro. Devi sempre acquisire e archiviare i log appropriati per scopi di monitoraggio e controllo, ma Amazon GuardDuty estrae flussi di dati indipendenti direttamente dai log di VPC flusso e dai log di AWS CloudTrail Amazon. AWS DNS Non è necessario gestire le policy dei bucket di Amazon S3 o modificare il modo in cui raccogli e archivia i log. GuardDutyle autorizzazioni sono gestite come ruoli collegati ai servizi che puoi revocare in qualsiasi momento disabilitandoli. GuardDuty Ciò semplifica l'attivazione del servizio senza configurazioni complesse ed elimina il rischio che una modifica delle IAM autorizzazioni o una modifica della politica del bucket S3 influiscano sul funzionamento del servizio.

Oltre a fornire fonti di dati di base, GuardDuty offre funzionalità opzionali per identificare i problemi di sicurezza. Questi includono EKS Protection, RDS Protection, S3 Protection, Malware Protection e Lambda Protection. Per i nuovi rilevatori, queste funzionalità opzionali sono abilitate di default ad eccezione della EKS protezione, che deve essere abilitata manualmente.

  • Con GuardDuty S3 Protection, GuardDuty monitora gli eventi relativi ai dati di Amazon S3 oltre CloudTrail agli eventi di gestione predefiniti. CloudTrail Il monitoraggio degli eventi relativi ai dati consente di monitorare GuardDuty le API operazioni a livello di oggetto per individuare potenziali rischi per la sicurezza dei dati all'interno dei bucket S3.

  • GuardDuty Malware Protection rileva la presenza di malware sulle EC2 istanze Amazon o sui carichi di lavoro dei container avviando scansioni senza agenti sui volumi Amazon Elastic Block Store (Amazon) collegati. EBS

  • GuardDuty RDSLa protezione è progettata per profilare e monitorare l'attività di accesso ai database Amazon Aurora senza influire sulle prestazioni del database.

  • GuardDuty EKSLa protezione include il monitoraggio dei log EKS di controllo e il monitoraggio del EKS runtime. Con EKS Audit Log Monitoring, GuardDuty monitora i log di audit di Kubernetes dai EKS cluster Amazon e li analizza alla ricerca di attività potenzialmente dannose e sospette. EKSRuntime Monitoring utilizza il GuardDuty security agent (che è un EKS componente aggiuntivo di Amazon) per fornire visibilità in fase di runtime nei singoli carichi di EKS lavoro Amazon. L'agente GuardDuty di sicurezza aiuta a identificare contenitori specifici all'interno EKS dei cluster Amazon che sono potenzialmente compromessi. Può anche rilevare i tentativi di trasferire i privilegi da un singolo container all'EC2host Amazon sottostante o all'ambiente più ampio. AWS

GuardDuty è abilitato in tutti gli account tramite AWS Organizations e tutti i risultati sono visualizzabili e utilizzabili dai team di sicurezza appropriati nell'account amministratore GuardDuty delegato (in questo caso, l'account Security Tooling). 

Quando AWS Security Hub è abilitato, GuardDuty i risultati vengono trasferiti automaticamente a Security Hub. Quando Amazon Detective è abilitato, GuardDuty i risultati vengono inclusi nel processo di inserimento dei log di Detective. GuardDuty e Detective supportano i flussi di lavoro degli utenti con più servizi, dove GuardDuty fornisce collegamenti dalla console che reindirizzano l'utente da un risultato selezionato a una pagina Detective che contiene un set curato di visualizzazioni per indagare su tale risultato. Ad esempio, puoi anche integrarti GuardDuty con Amazon EventBridge per automatizzare le migliori pratiche GuardDuty, come l'automazione delle risposte a nuove GuardDuty scoperte.

Esempio di implementazione

La libreria di AWS SRA codici fornisce un'implementazione di esempio di Amazon GuardDuty. Include la configurazione crittografata del bucket S3, l'amministrazione delegata e l' GuardDuty abilitazione per tutti gli account esistenti e futuri dell'organizzazione. AWS

AWSConfig

AWSConfig è un servizio che consente di valutare, controllare e valutare le configurazioni delle AWS risorse supportate nei propri account. AWS AWSConfig monitora e registra continuamente le configurazioni AWS delle risorse e valuta automaticamente le configurazioni registrate rispetto alle configurazioni desiderate. Puoi anche integrare AWS Config con altri servizi per svolgere il lavoro pesante delle pipeline di audit e monitoraggio automatizzate. Ad esempio, AWS Config può monitorare le modifiche ai singoli AWS segreti in Secrets Manager. 

È possibile valutare le impostazioni di configurazione delle AWS risorse utilizzando le regole di AWSConfig. AWSConfig fornisce una libreria di regole personalizzabili e predefinite chiamate regole gestite, oppure puoi scrivere regole personalizzate. È possibile eseguire le regole AWS Config in modalità proattiva (prima che le risorse siano state distribuite) o in modalità investigativa (dopo la distribuzione delle risorse). Le risorse possono essere valutate in caso di modifiche alla configurazione, in base a una pianificazione periodica o in entrambi i casi.

Un pacchetto di conformità è una raccolta di regole di AWS Config e azioni correttive che possono essere implementate come singola entità in un account e in una regione o all'interno di un'organizzazione in Organizations. AWS I Conformance Pack vengono creati creando un YAML modello che contiene l'elenco delle regole gestite o personalizzate da AWS Config e delle azioni correttive. Per iniziare a valutare il tuo AWS ambiente, usa uno dei modelli di conformance pack di esempio. 

AWSConfig si integra con AWS Security Hub per inviare i risultati delle valutazioni delle regole gestite e personalizzate da AWS Config come risultati in Security Hub. 

AWSLe regole di configurazione possono essere utilizzate insieme a AWS Systems Manager per correggere efficacemente le risorse non conformi. Si utilizza AWS Systems Manager Explorer per raccogliere lo stato di conformità delle regole di AWS Config negli AWS account tra le AWS regioni e quindi si utilizzano i documenti di Systems Manager Automation (runbook) per risolvere le regole di Config non conformi. AWS Per i dettagli sull'implementazione, consulta il post del blog Correggere le regole di AWS configurazione non conformi con i runbook di AWS Systems Manager Automation.

L'aggregatore AWS Config raccoglie dati di configurazione e conformità su più account, regioni e organizzazioni in Organizations. AWS La dashboard dell'aggregatore mostra i dati di configurazione delle risorse aggregate. I dashboard di inventario e conformità offrono informazioni essenziali e aggiornate sulle configurazioni AWS delle risorse e sullo stato di conformità tra AWS account, AWS regioni o all'interno di un'organizzazione. AWS Ti consentono di visualizzare e valutare l'inventario AWS delle risorse senza dover scrivere query avanzate di AWS Config. È possibile ottenere informazioni essenziali come un riepilogo della conformità per risorse, i primi 10 account con risorse non conformi, un confronto tra le EC2 istanze in esecuzione e quelle interrotte per tipo e i volumi per tipo e dimensione di volume. EBS

Se utilizzi AWS Control Tower per gestire la tua AWS organizzazione, implementerà una serie di regole AWS Config come barriere investigative (classificate come obbligatorie, fortemente consigliate o facoltative). Questi guardrail ti aiutano a gestire le tue risorse e a monitorare la conformità tra gli account della tua organizzazione. AWS Queste regole di AWS Config utilizzeranno automaticamente un aws-control-tower tag con un valore di. managed-by-control-tower

AWSConfig deve essere abilitato per ogni account membro dell'AWSorganizzazione e della AWS regione che contiene le risorse che si desidera proteggere. Puoi gestire centralmente (ad esempio, creare, aggiornare ed eliminare) le regole di AWS Config in tutti gli account AWS all'interno dell'organizzazione. Dall'account amministratore delegato AWS Config, puoi distribuire un set comune di regole Config AWS su tutti gli account e specificare gli account in cui le regole di Config AWS non devono essere create. L'account amministratore delegato AWS Config può anche aggregare i dati di configurazione e conformità delle risorse di tutti gli account membri per fornire un'unica visualizzazione. Utilizza l'account APIs dell'amministratore delegato per applicare la governance assicurandoti che le regole AWS Config sottostanti non possano essere modificate dagli account membri della tua organizzazione. AWS

Considerazioni di natura progettuale

  • AWSConfig trasmette le notifiche di modifica della configurazione e della conformità ad Amazon. EventBridge Ciò significa che puoi utilizzare le funzionalità di filtro native EventBridge per filtrare gli eventi AWS Config in modo da poter indirizzare tipi specifici di notifiche a obiettivi specifici. Ad esempio, è possibile inviare notifiche di conformità per regole o tipi di risorse specifici a indirizzi e-mail specifici o indirizzare le notifiche di modifica della configurazione a uno strumento esterno di gestione dei servizi IT (ITSM) o database di gestione della configurazione (CMDB). Per ulteriori informazioni, consulta il post di blog AWSConfig best practice

  • Oltre a utilizzare la valutazione proattiva delle regole di AWS Config, puoi utilizzare AWS CloudFormation Guard, uno strumento di policy-as-code valutazione che verifica in modo proattivo la conformità della configurazione delle risorse. L'interfaccia a riga di comando AWS CloudFormation Guard (CLI) fornisce un linguaggio dichiarativo specifico del dominio (DSL) che è possibile utilizzare per esprimere le politiche sotto forma di codice. Inoltre, puoi utilizzare AWS CLI i comandi per convalidare dati strutturati in formato o JSON formattato come set di CloudFormation modifiche, file di YAML configurazione Terraform basati su Terraform o configurazioni Kubernetes. JSON È possibile eseguire le valutazioni localmente utilizzando AWS CloudFormation Guard CLI come parte del processo di creazione o eseguirlo all'interno della pipeline di distribuzione. Se disponi di applicazioni AWSCloud Development Kit (AWSCDK), puoi utilizzare cdk-nag per il controllo proattivo delle migliori pratiche.

Esempio di implementazione

La libreria di AWS SRA codici fornisce un'implementazione di esempio che distribuisce i pacchetti di conformità AWS Config a AWS tutti gli account e le regioni all'interno di un'organizzazione. AWS Il modulo AWSConfig Aggregator consente di configurare un aggregatore AWS Config delegando l'amministrazione a un account membro (Security Tooling) all'interno dell'account di gestione dell'organizzazione e quindi configurando AWS Config Aggregator all'interno dell'account amministratore delegato per tutti gli account esistenti e futuri dell'organizzazione. AWS Puoi utilizzare il modulo AWSConfig Control Tower Management Account per abilitare AWS Config all'interno dell'account Org Management: non è abilitato da Control Tower. AWS

Amazon Security Lake

Amazon Security Lake è un servizio di data lake di sicurezza completamente gestito. Puoi utilizzare Security Lake per centralizzare automaticamente i dati di sicurezza provenienti da AWS ambienti, fornitori di software as a service (SaaS), locali e fonti di terze parti. Security Lake ti aiuta a creare una fonte di dati normalizzata che semplifica l'uso degli strumenti di analisi rispetto ai dati di sicurezza, in modo da ottenere una comprensione più completa del tuo livello di sicurezza in tutta l'organizzazione. Il data lake è supportato da bucket Amazon Simple Storage Service (Amazon S3) e tu mantieni la proprietà dei tuoi dati. Security Lake raccoglie automaticamente i log per i AWS servizi, inclusi i log di controllo di AWS CloudTrail AmazonVPC, Amazon Route 53, Amazon S3AWS, Lambda e Amazon. EKS

AWSSRAconsiglia di utilizzare l'account Log Archive come account amministratore delegato per Security Lake. Per ulteriori informazioni sulla configurazione dell'account amministratore delegato, consulta Amazon Security Lake nella sezione Security OU — Log Archive account. I team di sicurezza che desiderano accedere ai dati di Security Lake o che hanno bisogno della possibilità di scrivere log non nativi nei bucket Security Lake utilizzando le funzioni personalizzate di estrazione, trasformazione e caricamento (ETL) devono operare all'interno dell'account Security Tooling.

Security Lake può raccogliere log da diversi provider cloud, log da soluzioni di terze parti o altri log personalizzati. Si consiglia di utilizzare l'account Security Tooling per eseguire ETL le funzioni di conversione dei log nel formato Open Cybersecurity Schema Framework (OCSF) e di generare un file in formato Apache Parquet. Security Lake crea il ruolo tra account con le autorizzazioni appropriate per l'account Security Tooling e la fonte personalizzata supportata da funzioni AWS Lambda o crawler AWS Glue, per scrivere dati nei bucket S3 per Security Lake.

L'amministratore di Security Lake deve configurare i team di sicurezza che utilizzano l'account Security Tooling e richiedono l'accesso ai log raccolti da Security Lake come abbonati. Security Lake supporta due tipi di accesso per gli abbonati:

  • Accesso ai dati: gli abbonati possono accedere direttamente agli oggetti Amazon S3 per Security Lake. Security Lake gestisce l'infrastruttura e le autorizzazioni. Quando configuri l'account Security Tooling come abbonato all'accesso ai dati di Security Lake, l'account riceve una notifica dei nuovi oggetti nei bucket Security Lake tramite Amazon Simple Queue Service (AmazonSQS) e Security Lake crea le autorizzazioni per accedere a quei nuovi oggetti.

  • Accesso tramite query: gli abbonati possono interrogare i dati di origine dalle tabelle di AWS Lake Formation nel bucket S3 utilizzando servizi come Amazon Athena. L'accesso da più account viene impostato automaticamente per l'accesso alle query utilizzando AWS Lake Formation. Quando si configura l'account Security Tooling come abbonato all'accesso alle query di Security Lake, all'account viene concesso l'accesso in sola lettura ai registri dell'account Security Lake. Quando si utilizza questo tipo di sottoscrittore, le tabelle Athena e AWS Glue vengono condivise dall'account Security Lake Log Archive con l'account Security Tooling tramite Resource Access AWS Manager (). AWS RAM Per abilitare questa funzionalità, è necessario aggiornare le impostazioni di condivisione dei dati tra account alla versione 3.

Per ulteriori informazioni sulla creazione di abbonati, consulta Gestione degli abbonati nella documentazione di Security Lake.

Per le migliori pratiche per l'acquisizione di fonti personalizzate, consulta Raccolta di dati da fonti personalizzate nella documentazione di Security Lake.

Puoi utilizzare Amazon QuickSight OpenSearch, Amazon e Amazon SageMaker per configurare analisi sui dati di sicurezza archiviati in Security Lake.

Considerazione di natura progettuale

Se un team dell'applicazione necessita dell'accesso tramite query ai dati di Security Lake per soddisfare un requisito aziendale, l'amministratore di Security Lake deve configurare l'account dell'applicazione come abbonato.

Amazon Macie

Amazon Macie è un servizio di sicurezza e privacy dei dati completamente gestito che utilizza l'apprendimento automatico e il pattern matching per scoprire e proteggere i tuoi dati sensibili in. AWS È necessario identificare il tipo e la classificazione dei dati che il carico di lavoro sta elaborando per garantire l'applicazione dei controlli appropriati. Puoi utilizzare Macie per automatizzare l'individuazione e la segnalazione di dati sensibili in due modi: eseguendo il rilevamento automatico dei dati sensibili e creando ed eseguendo processi di rilevamento di dati sensibili. Con il rilevamento automatico dei dati sensibili, Macie valuta l'inventario dei bucket S3 su base giornaliera e utilizza tecniche di campionamento per identificare e selezionare oggetti S3 rappresentativi dai bucket. Macie recupera e analizza quindi gli oggetti selezionati, ispezionandoli alla ricerca di dati sensibili. I lavori di rilevamento di dati sensibili forniscono un'analisi più approfondita e mirata. Con questa opzione, definisci l'ampiezza e la profondità dell'analisi, inclusi i bucket S3 da analizzare, la profondità di campionamento e i criteri personalizzati che derivano dalle proprietà degli oggetti S3. Se Macie rileva un potenziale problema con la sicurezza o la privacy di un bucket, crea una policy per te. Il rilevamento automatico dei dati è abilitato di default per tutti i nuovi clienti Macie e i clienti Macie esistenti possono abilitarlo con un clic.

Macie è abilitato in tutti gli account tramite AWS Organizations. I responsabili che dispongono delle autorizzazioni appropriate nell'account amministratore delegato (in questo caso, l'account Security Tooling) possono abilitare o sospendere Macie in qualsiasi account, creare processi di rilevamento di dati sensibili per i bucket di proprietà degli account dei membri e visualizzare tutti i risultati delle politiche per tutti gli account membri. I risultati relativi ai dati sensibili possono essere visualizzati solo dall'account che ha creato il processo relativo ai dati sensibili. Per ulteriori informazioni, consulta Gestione di più account in Amazon Macie nella documentazione di Macie.

I risultati di Macie vengono trasmessi a AWS Security Hub per la revisione e l'analisi. Macie si integra anche con Amazon EventBridge per facilitare le risposte automatiche ai risultati, ad esempio avvisi, feed di informazioni di sicurezza e sistemi di gestione degli eventi (SIEM) e correzione automatica.

Considerazioni di natura progettuale
Esempio di implementazione

La libreria di AWS SRA codici fornisce un'implementazione di esempio di Amazon Macie. Include la delega dell'amministrazione a un account membro e la configurazione di Macie all'interno dell'account amministratore delegato per tutti gli account esistenti e futuri dell'organizzazione. AWS Macie è inoltre configurato per inviare i risultati a un bucket S3 centrale crittografato con una chiave gestita dal cliente. AWS KMS

AWSIAMAccess Analyzer

Per accelerare il percorso di adozione del AWS cloud e continuare a innovare, è fondamentale mantenere uno stretto controllo sugli accessi dettagliati (autorizzazioni), contenere la proliferazione degli accessi e garantire che le autorizzazioni vengano utilizzate in modo efficace. Un accesso eccessivo e inutilizzato presenta problemi di sicurezza e rende più difficile per le aziende applicare il principio del privilegio minimo. Questo principio è un importante pilastro dell'architettura di sicurezza che implica il continuo ridimensionamento delle IAM autorizzazioni per bilanciare i requisiti di sicurezza con i requisiti operativi e di sviluppo delle applicazioni. Questo impegno coinvolge diverse parti interessate, tra cui i team di sicurezza centrale e Cloud Center of Excellence (CCoE), nonché i team di sviluppo decentralizzati.

AWSIAMAccess Analyzer fornisce strumenti per impostare in modo efficiente le autorizzazioni granulari, verificare le autorizzazioni previste e perfezionare le autorizzazioni rimuovendo gli accessi non utilizzati per aiutarvi a soddisfare gli standard di sicurezza aziendali. Ti offre visibilità sui risultati di accesso esterni e non utilizzati tramite dashboard e AWSSecurity Hub. Inoltre, supporta Amazon EventBridge per flussi di lavoro di notifica e correzione personalizzati basati su eventi.

La funzionalità dei risultati esterni di IAM Access Analyzer ti aiuta a identificare le risorse della tua AWS organizzazione e degli account, come i bucket IAM o i ruoli Amazon S3, che sono condivisi con un'entità esterna. L'AWSorganizzazione o l'account che scegli è nota come zona di fiducia. L'analizzatore utilizza il ragionamento automatico per analizzare tutte le risorse supportate all'interno della zona di fiducia e genera risultati per i responsabili che possono accedere alle risorse dall'esterno della zona di fiducia. Questi risultati aiutano a identificare le risorse condivise con un'entità esterna e consentono di visualizzare in anteprima in che modo la politica influenzi l'accesso pubblico e interaccount alla risorsa prima di distribuire le autorizzazioni per le risorse.

IAMI risultati di Access Analyzer consentono inoltre di identificare gli accessi non utilizzati concessi nelle AWS organizzazioni e negli account, tra cui:

  • Ruoli non utilizzati: IAM ruoli che non hanno alcuna attività di accesso all'interno della finestra di utilizzo specificata.

  • IAMUtenti, credenziali e chiavi di accesso non utilizzati: credenziali che appartengono agli IAM utenti e vengono utilizzate per accedere a servizi AWS e risorse.

  • IAMPolitiche e autorizzazioni non utilizzate: autorizzazioni a livello di servizio e a livello di azione che non sono state utilizzate da un ruolo all'interno di una finestra di utilizzo specificata. IAMAccess Analyzer utilizza policy basate sull'identità associate ai ruoli per determinare i servizi e le azioni a cui tali ruoli possono accedere. L'analizzatore fornisce una revisione delle autorizzazioni non utilizzate per tutte le autorizzazioni a livello di servizio.

È possibile utilizzare i risultati generati da IAM Access Analyzer per ottenere visibilità e correggere eventuali accessi non intenzionali o non utilizzati in base alle politiche e agli standard di sicurezza dell'organizzazione. Dopo la correzione, questi risultati vengono contrassegnati come risolti alla successiva esecuzione dell'analizzatore. Se il risultato è intenzionale, è possibile contrassegnarlo come archiviato in IAM Access Analyzer e dare priorità ad altri risultati che presentano un rischio maggiore per la sicurezza. Inoltre, è possibile impostare regole di archiviazione per archiviare automaticamente risultati specifici. Ad esempio, puoi creare una regola di archiviazione per archiviare automaticamente tutti i risultati per un bucket Amazon S3 specifico a cui concedi regolarmente l'accesso.

In qualità di builder, puoi utilizzare IAM Access Analyzer per eseguire controlli automatici delle IAM policy nelle fasi iniziali dello sviluppo e della distribuzione (CI/CD) process to adhere to your corporate security standards. You can integrate IAM Access Analyzer custom policy checks and policy reviews with AWS CloudFormation to automate policy reviews as a part of your development team’s CI/CDpipeline). Questo include:

  • IAMconvalida delle policy : IAM Access Analyzer convalida le policy in base alla grammatica e alle best practice delle policy. IAM AWS È possibile visualizzare i risultati dei controlli di convalida delle politiche, tra cui avvisi di sicurezza, errori, avvertenze generali e suggerimenti per la politica. Attualmente sono disponibili oltre 100 controlli di convalida delle politiche che possono essere automatizzati utilizzando l'interfaccia a riga di AWS comando () e. AWS CLI APIs

  • IAMcontrolli delle policy personalizzati: i controlli delle policy personalizzati di IAM Access Analyzer convalidano le policy rispetto agli standard di sicurezza specificati. I controlli delle policy personalizzati utilizzano il ragionamento automatico per fornire un livello più elevato di garanzia sul rispetto degli standard di sicurezza aziendali. I tipi di controlli delle policy personalizzati includono:

    • Verifica rispetto a una politica di riferimento: quando modifichi una politica, puoi confrontarla con una politica di riferimento, ad esempio una versione esistente della politica, per verificare se l'aggiornamento concede un nuovo accesso. CheckNoNewAccessAPIConfronta due criteri (un criterio aggiornato e un criterio di riferimento) per determinare se il criterio aggiornato introduce un nuovo accesso rispetto al criterio di riferimento e restituisce una risposta positiva o negativa.

    • Verifica in base a un elenco di IAM azioni: puoi utilizzare il CheckAccessNotGrantedAPIper assicurarti che una policy non conceda l'accesso a un elenco di azioni critiche definite nel tuo standard di sicurezza. Ciò API richiede una politica e un elenco di un massimo di 100 IAM azioni per verificare se la politica consente almeno una delle azioni e restituisce una risposta positiva o negativa.

I team di sicurezza e gli altri autori di IAM policy possono utilizzare IAM Access Analyzer per creare policy conformi alla grammatica e agli standard di sicurezza delle IAM policy. La creazione manuale di policy della giusta dimensione può essere soggetta a errori e richiedere molto tempo. La funzionalità di generazione delle policy di IAM Access Analyzer aiuta a creare IAM policy basate sull'attività di accesso del principale. IAMAccess Analyzer esamina AWS CloudTrail i registri relativi ai servizi supportati e genera un modello di policy che contiene le autorizzazioni utilizzate dal principale nell'intervallo di date specificato. È quindi possibile utilizzare questo modello per creare una politica con autorizzazioni dettagliate che conceda solo le autorizzazioni necessarie.

  • È necessario che il CloudTrail percorso sia abilitato affinché il tuo account generi una politica basata sull'attività di accesso.

  • IAMAccess Analyzer non identifica l'attività a livello di azione per gli eventi relativi ai dati, come gli eventi relativi ai dati di Amazon S3, nelle policy generate.

  • L'iam:PassRoleazione non viene tracciata CloudTrail e non è inclusa nelle politiche generate.

Access Analyzer viene distribuito nell'account Security Tooling tramite la funzionalità di amministratore delegato in Organizations. AWS L'amministratore delegato dispone delle autorizzazioni per creare e gestire analizzatori con l'organizzazione come zona di fiducia. AWS

Considerazione di natura progettuale

  • Per ottenere risultati relativi all'account (in cui l'account funge da limite affidabile), crei un analizzatore con ambito account in ogni account membro. Questa operazione può essere eseguita nell'ambito della pipeline degli account. I risultati relativi all'account confluiscono in Security Hub a livello di account membro. Da lì, passano all'account amministratore delegato di Security Hub (Security Tooling).

Esempi di implementazione

AWS Firewall Manager

AWSFirewall Manager aiuta a proteggere la rete semplificando le attività di amministrazione e manutenzione per AWS WAF AWS Shield Advanced, i gruppi di VPC sicurezza Amazon, AWS Network Firewall e Route 53 Resolver DNS Firewall su più account e risorse. Con Firewall Manager, puoi configurare le regole del AWS WAF firewall, le protezioni Shield Advanced, i gruppi di VPC sicurezza Amazon, i firewall AWS Network Firewall e le associazioni dei gruppi di regole DNS Firewall solo una volta. Il servizio applica automaticamente le regole e le protezioni su tutti gli account e le risorse, anche quando vengono aggiunte nuove risorse.

Firewall Manager è particolarmente utile quando si desidera proteggere l'intera AWS organizzazione anziché un numero limitato di account e risorse specifici o se si aggiungono frequentemente nuove risorse da proteggere. Firewall Manager utilizza le policy di sicurezza per consentire di definire una serie di configurazioni, incluse le regole, le protezioni e le azioni pertinenti che devono essere implementate e gli account e le risorse (indicati dai tag) da includere o escludere. È possibile creare configurazioni granulari e flessibili pur rimanendo in grado di scalare il controllo fino a un numero elevato di account e. VPCs Queste politiche applicano in modo automatico e coerente le regole configurate anche quando vengono creati nuovi account e risorse. Firewall Manager è abilitato in tutti gli account tramite AWS Organizations e la configurazione e la gestione vengono eseguite dai team di sicurezza appropriati nell'account amministratore delegato di Firewall Manager (in questo caso, l'account Security Tooling). 

È necessario abilitare AWS Config per ogni AWS regione che contiene le risorse che si desidera proteggere. Se non desideri abilitare AWS Config per tutte le risorse, devi abilitarlo per le risorse associate al tipo di policy di Firewall Manager che utilizzi. Quando si utilizzano sia AWS Security Hub che Firewall Manager, Firewall Manager invia automaticamente i risultati a Security Hub. Firewall Manager crea risultati per le risorse che non sono conformi e per gli attacchi rilevati e invia i risultati a Security Hub. Quando si imposta una policy di Firewall Manager per AWSWAF, è possibile abilitare centralmente la registrazione sulle liste di controllo degli accessi Web (webACLs) per tutti gli account interessati e centralizzare i log in un unico account. 

Considerazione di natura progettuale

  • Gli account manager dei singoli account membri dell'AWSorganizzazione possono configurare controlli aggiuntivi (come AWS WAF regole e gruppi di VPC sicurezza Amazon) nei servizi gestiti di Firewall Manager in base alle loro esigenze particolari.

Esempio di implementazione

La libreria di AWS SRA codici fornisce un'implementazione di esempio di AWSFirewall Manager. Dimostra l'amministrazione delegata (Security Tooling), implementa un gruppo di sicurezza massimo consentito, configura una politica di gruppo di sicurezza e configura più politiche. WAF

Amazon EventBridge

Amazon EventBridge è un servizio di bus eventi senza server che semplifica la connessione delle applicazioni con dati provenienti da una varietà di fonti. Viene spesso utilizzato nell'automazione della sicurezza. Puoi impostare regole di routing per determinare dove inviare i dati per creare architetture applicative che reagiscano in tempo reale a tutte le tue fonti di dati. Puoi creare un bus di eventi personalizzato per ricevere eventi dalle tue applicazioni personalizzate, oltre a utilizzare il bus di eventi predefinito in ogni account. È possibile creare un bus di eventi nell'account Security Tooling in grado di ricevere eventi specifici di sicurezza da altri account dell'organizzazione. AWS Ad esempio, collegando le regole di AWS Config e Security EventBridge Hub a GuardDuty, crei una pipeline flessibile e automatizzata per il routing dei dati di sicurezza, la generazione di avvisi e la gestione delle azioni per risolvere i problemi. 

Considerazioni di natura progettuale

  • EventBridge è in grado di indirizzare gli eventi verso una serie di destinazioni diverse. Uno schema utile per automatizzare le azioni di sicurezza consiste nel connettere eventi particolari ai singoli risponditori AWS Lambda, che intraprendono le azioni appropriate. Ad esempio, in determinate circostanze potresti volerlo utilizzare per EventBridge indirizzare i risultati di un bucket S3 pubblico a un risponditore Lambda che corregge la policy del bucket e rimuove le autorizzazioni pubbliche. Questi risponditori possono essere integrati nei playbook e nei runbook investigativi per coordinare le attività di risposta.

  • Una procedura ottimale per un team addetto alle operazioni di sicurezza di successo consiste nell'integrare il flusso di eventi e risultati relativi alla sicurezza in un sistema di notifica e flusso di lavoro, ad esempio un sistema di ticketing, un sistema di bug/problemi o un altro sistema di gestione delle informazioni e degli eventi di sicurezza (). SIEM Ciò elimina il flusso di lavoro dalle e-mail e dai report statici e consente di indirizzare, intensificare e gestire eventi o risultati. Le funzionalità di routing flessibili integrate EventBridge sono un potente fattore abilitante per questa integrazione.

Amazon Detective

Amazon Detective supporta la tua strategia di controllo della sicurezza reattivo semplificando l'analisi, l'indagine e l'identificazione rapida della causa principale dei risultati di sicurezza o delle attività sospette per i tuoi analisti di sicurezza. Detective estrae automaticamente gli eventi basati sul tempo come tentativi di accesso, API chiamate e traffico di rete dai log e dai AWS CloudTrail log di flusso di AmazonVPC. Puoi usare Detective per accedere a un massimo di un anno di dati storici sugli eventi. Detective utilizza questi eventi utilizzando flussi di CloudTrail log indipendenti e log di flusso di AmazonVPC. Detective utilizza l'apprendimento automatico e la visualizzazione per creare una visione unificata e interattiva del comportamento delle risorse e delle interazioni tra di esse nel tempo, chiamata grafico comportamentale. È possibile esplorare il grafico comportamentale per esaminare diverse azioni, ad esempio tentativi di accesso falliti o chiamate sospette. API

Detective si integra con Amazon Security Lake per consentire agli analisti della sicurezza di interrogare e recuperare i log archiviati in Security Lake. Puoi utilizzare questa integrazione per ottenere informazioni aggiuntive dai log e dai AWS CloudTrail log di VPC flusso di Amazon archiviati in Security Lake durante le indagini di sicurezza in Detective.

Detective acquisisce anche i risultati rilevati da Amazon GuardDuty, comprese le minacce rilevate da GuardDuty Runtime Monitoring. Quando un account abilita Detective, diventa l'account amministratore per il grafico del comportamento. Prima di provare ad abilitare Detective, assicurati che il tuo account sia registrato GuardDuty da almeno 48 ore. Se non soddisfi questo requisito, non puoi abilitare Detective.

Detective raggruppa automaticamente più risultati correlati a un singolo evento di compromissione della sicurezza in gruppi di ricerca. Gli autori delle minacce in genere eseguono una sequenza di azioni che portano a molteplici risultati di sicurezza distribuiti tra tempo e risorse. Pertanto, i gruppi di ricerca dovrebbero essere il punto di partenza per le indagini che coinvolgono più entità e risultati. Detective fornisce anche riepiloghi dei gruppi di ricerca utilizzando l'intelligenza artificiale generativa che analizza automaticamente i gruppi di ricerca e fornisce approfondimenti in linguaggio naturale per aiutarti ad accelerare le indagini di sicurezza.

Detective si integra con AWS Organizations. L'account Org Management delega un account membro come account amministratore di Detective. In AWSSRA, questo è l'account Security Tooling. L'account amministratore Detective ha la capacità di abilitare automaticamente tutti gli account dei membri correnti dell'organizzazione come account membri investigativi e anche di aggiungere nuovi account membro man mano che vengono aggiunti all'AWSorganizzazione. Gli account amministratore Detective hanno anche la possibilità di invitare gli account dei membri che attualmente non risiedono nell'AWSorganizzazione, ma si trovano nella stessa regione, a contribuire con i propri dati al grafico del comportamento dell'account principale. Quando un account membro accetta l'invito ed è abilitato, Detective inizia a inserire ed estrarre i dati dell'account membro in quel grafico comportamentale.

Considerazione di natura progettuale

  • Puoi accedere ai profili di ricerca di Detective dalle console GuardDuty e AWS Security Hub. Questi collegamenti possono aiutare a semplificare il processo di indagine. Il tuo account deve essere l'account amministrativo sia di Detective che del servizio da cui stai facendo pivot (GuardDuty o Security Hub). Se gli account principali sono gli stessi per i servizi, i collegamenti di integrazione funzionano perfettamente.

AWS Audit Manager

AWSAudit Manager ti aiuta a controllare continuamente AWS l'utilizzo per semplificare la gestione degli audit e della conformità alle normative e agli standard di settore. Consente di passare dalla raccolta, revisione e gestione manuale delle prove a una soluzione che automatizza la raccolta delle prove, fornisce un modo semplice per tracciare la fonte delle prove di audit, consente la collaborazione in team e aiuta a gestire la sicurezza e l'integrità delle prove. Quando è il momento di effettuare un audit, Gestione audit aiuta a gestire le revisioni dei controlli effettuati dalle parti interessate.

Con Audit Manager è possibile eseguire l'audit rispetto a framework predefiniti come il benchmark Center for Internet Security (CIS), il CIS AWS Foundations Benchmark, System and Organization Controls 2 (SOC2) e il Payment Card Industry Data Security Standard (PCIDSS). Inoltre, vi dà la possibilità di creare i vostri framework con controlli standard o personalizzati in base ai requisiti specifici per gli audit interni.

Audit Manager raccoglie quattro tipi di prove. Vengono automatizzati tre tipi di prove: prove di verifica della conformità provenienti da AWS Config e AWS Security Hub, prove di eventi di gestione e prove di configurazione da AWS service-to-service API chiamate. AWS CloudTrail Per le prove che non possono essere automatizzate, Audit Manager consente di caricare prove manuali.

Nota

Audit Manager aiuta a raccogliere prove rilevanti per verificare la conformità a standard e regolamenti di conformità specifici. Tuttavia, non valuta la tua conformità. Pertanto, le prove raccolte tramite Audit Manager potrebbero non includere dettagli sui processi operativi necessari per gli audit. Audit Manager non sostituisce i consulenti legali o gli esperti di conformità. Ti consigliamo di avvalerti dei servizi di un valutatore terzo certificato per i framework di conformità in base ai quali sei stato valutato.

Le valutazioni di Audit Manager possono essere eseguite su più account nelle AWS organizzazioni. Audit Manager raccoglie e consolida le prove in un account amministratore delegato in Organizations. AWS Questa funzionalità di controllo viene utilizzata principalmente dai team di controllo interno e di conformità e richiede solo l'accesso in lettura agli account. AWS

Considerazioni di natura progettuale

  • Audit Manager integra altri servizi AWS di sicurezza come Security Hub e AWS Config per aiutare a implementare un framework di gestione del rischio. Audit Manager fornisce funzionalità indipendenti di garanzia del rischio, mentre Security Hub aiuta a supervisionare il rischio e i pacchetti di conformità AWS Config aiutano a gestire i rischi. I professionisti dell'audit che conoscono il modello a tre linee sviluppato dall'Institute of Internal Auditors (IIA) dovrebbero tenere presente che questa combinazione di AWS servizi consente di coprire le tre linee di difesa. Per ulteriori informazioni, consulta la serie di blog suddivisa in due parti sul blog AWS Cloud Operations & Migrations.

  • Affinché Audit Manager raccolga le prove del Security Hub, l'account amministratore delegato per entrambi i servizi deve essere lo stesso AWS account. Per questo motivo AWSSRA, nell'account Security Tooling è l'amministratore delegato per Audit Manager.

AWSArtefatto

AWSArtifact è ospitato all'interno dell'account Security Tooling per separare la funzionalità di gestione degli artefatti di conformità dall'account Org Management. AWS Questa separazione dei compiti è importante perché si consiglia di evitare di utilizzare l'account AWS Org Management per le distribuzioni a meno che non sia assolutamente necessario. Invece, trasferisci le distribuzioni agli account dei membri. Poiché la gestione degli artefatti di controllo può essere eseguita da un account membro e la funzione è strettamente allineata con il team di sicurezza e conformità, l'account Security Tooling è designato come account amministratore per Artifact. AWS Puoi utilizzare i report di AWS Artifact per AWS scaricare documenti di sicurezza e conformità, AWS ISO come certificazioni, Payment Card Industry PCI () e report System and Organization Controls (). SOC

AWSArtifact non supporta la funzionalità di amministrazione delegata. È invece possibile limitare questa funzionalità ai soli IAM ruoli nell'account Security Tooling che appartengono ai team di audit e conformità, in modo che possano scaricare, esaminare e fornire tali report a revisori esterni, se necessario. Puoi inoltre limitare IAM ruoli specifici in modo che abbiano accesso solo a specifici report di AWS Artifact tramite policy. IAM Per IAM politiche di esempio, consulta la documentazione di AWSArtifact.

Considerazione di natura progettuale

  • Se scegli di avere un AWS account dedicato per i team di audit e conformità, puoi ospitare AWS Artifact in un account di controllo di sicurezza, separato dall'account Security Tooling. AWSI report sugli Artifact forniscono prove che dimostrano che un'organizzazione sta seguendo un processo documentato o soddisfa un requisito specifico. Gli elementi degli audit vengono raccolti e archiviati durante l'intero ciclo di vita di sviluppo del sistema e possono essere utilizzati come prove in audit e valutazioni interni o esterni.

AWS KMS

AWSKey Management Service (AWSKMS) consente di creare e gestire chiavi crittografiche e controllarne l'utilizzo in un'ampia gamma di servizi e nelle applicazioni. AWS AWSKMSè un servizio sicuro e resiliente che utilizza moduli di sicurezza hardware per proteggere le chiavi crittografiche. Segue i processi del ciclo di vita standard del settore per i materiali chiave, come l'archiviazione, la rotazione e il controllo dell'accesso alle chiavi. AWSKMSpuò aiutare a proteggere i dati con chiavi di crittografia e firma e può essere utilizzato sia per la crittografia lato server che per la crittografia lato client tramite la crittografia. AWS SDK Per motivi di protezione e flessibilità, AWS KMS supporta tre tipi di chiavi: chiavi gestite dal cliente, chiavi AWS gestite e chiavi di proprietà. AWS Le chiavi gestite dal cliente sono AWS KMS chiavi AWS del tuo account che crei, possiedi e gestisci. AWSle chiavi gestite sono AWS KMS chiavi del tuo account che vengono create, gestite e utilizzate per tuo conto da un AWS servizio integrato con AWSKMS. AWSle chiavi possedute sono una raccolta di AWS KMS chiavi possedute e gestite da un AWS servizio per l'utilizzo in più AWS account. Per ulteriori informazioni sull'uso KMS delle chiavi, consulta la AWSKMSdocumentazione e i dettagli AWS KMS crittografici.

AWSSRARaccomanda un modello di gestione delle chiavi distribuito in cui le KMS chiavi risiedono localmente all'interno dell'account in cui vengono utilizzate e consente ai responsabili dell'infrastruttura e dei carichi di lavoro di un account specifico di gestire le proprie chiavi. Si consiglia di evitare di utilizzare una sola chiave in un unico account per tutte le funzioni crittografiche. Le chiavi possono essere create in base ai requisiti di protezione delle funzioni e dei dati e per applicare il principio del privilegio minimo. Questo modello offre ai team addetti al carico di lavoro maggiore controllo, flessibilità e agilità sull'uso delle chiavi di crittografia. Inoltre, aiuta a evitare API limiti, limita l'ambito di impatto a un singolo AWS account e semplifica la reportistica, il controllo e altre attività relative alla conformità. In alcuni casi, le autorizzazioni di crittografia verrebbero mantenute separate dalle autorizzazioni di decrittografia e gli amministratori gestirebbero le funzioni del ciclo di vita, ma non sarebbero in grado di crittografare o decrittografare i dati con le chiavi che gestiscono. In un modello decentralizzato, è importante implementare e applicare protezioni in modo che le chiavi decentralizzate siano gestite allo stesso modo e l'utilizzo delle chiavi sia verificato in base alle migliori pratiche e politiche consolidate. KMS Per ulteriori informazioni, consulta le migliori pratiche di sicurezza per AWS il servizio di gestione delle chiavi nella documentazione. AWS KMS

Un'opzione di implementazione alternativa consiste nel centralizzare la responsabilità della gestione delle KMS chiavi su un singolo account, delegando al contempo la possibilità di utilizzare le chiavi nell'account dell'applicazione da parte delle risorse dell'applicazione utilizzando una combinazione di chiavi e policy. IAM Questo approccio è sicuro e semplice da gestire, ma è possibile che si verifichino ostacoli dovuti ai limiti di AWS KMS throttling, ai limiti del servizio di account e al sovraccarico del team di sicurezza delle attività operative di gestione delle chiavi.

Combina i modelli centralizzati e distribuiti. AWS SRA Nell'account Security Tooling, AWS KMS viene utilizzato per gestire la crittografia dei servizi di sicurezza centralizzati come l'AWS CloudTrail organigramma gestito dall'organizzazione. AWS La sezione relativa all'account dell'applicazione più avanti in questa guida descrive i modelli KMS chiave utilizzati per proteggere le risorse specifiche del carico di lavoro.

CA privata AWS

AWS Private Certificate Authority(CA privata AWS) è un servizio CA privato gestito che consente di gestire in modo sicuro il ciclo di vita dei TLS certificati di entità finale privati per EC2 istanze, contenitori, dispositivi IoT e risorse locali. Consente comunicazioni crittografate con le applicazioni in esecuzione. TLS Con CA privata AWS, è possibile creare una gerarchia di CA personalizzata (da una CA principale, a certificati subordinatiCAs, a certificati di entità finale) ed emettere certificati con essa per autenticare utenti interni, computer, applicazioni, servizi, server e altri dispositivi e per firmare il codice informatico. I certificati emessi da una CA privata sono considerati affidabili solo all'interno AWS dell'organizzazione, non su Internet.

Un'infrastruttura a chiave pubblica (PKI) o un team di sicurezza possono essere responsabili della gestione di tutta PKI l'infrastruttura. Ciò include la gestione e la creazione della CA privata. Tuttavia, deve esserci una disposizione che consenta ai team addetti al carico di lavoro di soddisfare autonomamente i requisiti dei certificati. AWSSRARappresenta una gerarchia di CA centralizzata in cui la CA principale è ospitata all'interno dell'account Security Tooling. Ciò consente ai team addetti alla sicurezza di applicare un controllo di sicurezza rigoroso, poiché la CA principale è la base dell'intero sistema. PKI Tuttavia, la creazione di certificati privati dalla CA privata è delegata ai team di sviluppo delle applicazioni condividendo la CA con un account dell'applicazione utilizzando AWS Resource Access Manager (AWSRAM). AWSRAMgestisce le autorizzazioni necessarie per la condivisione tra account. Ciò elimina la necessità di una CA privata in ogni account e fornisce un modo di implementazione più conveniente. Per ulteriori informazioni sul flusso di lavoro e sull'implementazione, consulta il post del blog How to use AWS RAM to share your CA privata AWS cross-account.

Nota

ACMconsente inoltre di fornire, gestire e distribuire TLS certificati pubblici da utilizzare con AWS i servizi. Per supportare questa funzionalità, ACM deve risiedere nell'AWSaccount che utilizzerebbe il certificato pubblico. Questo è discusso più avanti in questa guida, nella sezione Account dell'applicazione.

Considerazioni di natura progettuale

  • Con CA privata AWS, è possibile creare una gerarchia di autorità di certificazione con un massimo di cinque livelli. È inoltre possibile creare più gerarchie, ognuna con una propria root. La CA privata AWS gerarchia deve essere conforme alla progettazione dell'organizzazione. PKI Tuttavia, tenete presente che l'aumento della gerarchia CA aumenta il numero di certificati nel percorso di certificazione, il che, a sua volta, aumenta il tempo di convalida di un certificato di entità finale. Una gerarchia CA ben definita offre vantaggi che includono il controllo di sicurezza granulare appropriato per ogni CA, la delega della CA subordinata a un'applicazione diversa, che porta alla divisione delle attività amministrative, l'uso di CA con fiducia revocabile limitata, la capacità di definire periodi di validità diversi e la capacità di applicare limiti di percorso. Idealmente, root e subordinato si trovano in account separati. CAs AWS Per ulteriori informazioni sulla pianificazione di una gerarchia di CA utilizzando CA privata AWS, consulta la CA privata AWS documentazione e il post di blog Come proteggere una CA privata AWS gerarchia su scala aziendale per il settore automobilistico e manifatturiero.

  • CA privata AWS può integrarsi con la gerarchia CA esistente, il che consente di utilizzare le funzionalità di ACM automazione e AWS integrazione nativa di insieme all'attuale root of trust. È possibile creare una CA subordinata CA privata AWS supportata da una CA principale in locale. Per ulteriori informazioni sull'implementazione, vedere Installazione di un certificato CA subordinato firmato da una CA principale esterna nella CA privata AWS documentazione.

Amazon Inspector

Amazon Inspector è un servizio automatizzato di gestione delle vulnerabilità che rileva e analizza automaticamente le EC2 istanze Amazon, le immagini dei container in Amazon Container Registry (Amazon) ECR e le funzioni AWS Lambda alla ricerca di vulnerabilità software note ed esposizione involontaria della rete.

Amazon Inspector valuta continuamente il tuo ambiente durante l'intero ciclo di vita delle risorse scansionando automaticamente le risorse ogni volta che apporti modifiche. Gli eventi che avviano la nuova scansione di una risorsa includono l'installazione di un nuovo pacchetto su un'EC2istanza, l'installazione di una patch e la pubblicazione di un nuovo rapporto sulle vulnerabilità e le esposizioni comuni () che influisce sulla risorsa. CVE Amazon Inspector supporta le valutazioni benchmark del Center of Internet Security (CIS) per i sistemi operativi in istanze. EC2

Amazon Inspector si integra con strumenti di sviluppo come Jenkins e TeamCity per la valutazione delle immagini dei container. È possibile valutare le immagini dei container per individuare le vulnerabilità del software nell'ambito dell'integrazione continua e della distribuzione continua (CI/CD) tools, and push security to an earlier point in the software development lifecycle. Assessment findings are available in the CI/CD tool’s dashboard, so you can perform automated actions in response to critical security issues such as blocked builds or image pushes to container registries. If you have an active AWS account, you can install the Amazon Inspector plugin from your CI/CD tool marketplace and add an Amazon Inspector scan in your build pipeline without needing to activate the Amazon Inspector service. This feature works with CI/CD tools hosted anywhere—on AWS, on premises, or in hybrid clouds—so you can consistently use a single solution across all your development pipelines. When Amazon Inspector is activated, it automatically discovers all your EC2 instances, container images in Amazon ECR and CI/CDstrumenti) e funzioni AWS Lambda su larga scala e monitorarle continuamente per individuare eventuali vulnerabilità note.

I risultati sulla raggiungibilità della rete di Amazon Inspector valutano l'accessibilità delle EC2 istanze VPC da o verso dispositivi periferici come gateway InternetVPC, connessioni peering o reti VPNs private virtuali () attraverso un gateway virtuale. Queste regole aiutano ad automatizzare il monitoraggio delle AWS reti e a identificare i punti in cui l'accesso di rete alle EC2 istanze potrebbe essere configurato in modo errato a causa di gruppi di sicurezza, elenchi di controllo degli accessi (), gateway Internet e così via. ACLs Per ulteriori informazioni, consulta la documentazione di Amazon Inspector.

Quando Amazon Inspector identifica vulnerabilità o percorsi di rete aperti, produce un risultato che puoi esaminare. La scoperta include dettagli completi sulla vulnerabilità, tra cui un punteggio di rischio, la risorsa interessata e raccomandazioni per la correzione. Il punteggio di rischio è specificamente adattato all'ambiente in uso e viene calcolato correlando up-to-date CVE le informazioni con fattori temporali e ambientali, come l'accessibilità della rete e le informazioni sulla sfruttabilità, per fornire un risultato contestuale.

Per eseguire la scansione delle vulnerabilità, le EC2 istanze devono essere gestite in AWS Systems Manager utilizzando AWS Systems Manager Agent (SSMAgent). Non sono necessari agenti per la raggiungibilità di rete delle EC2 istanze o la scansione delle vulnerabilità delle immagini dei container nelle funzioni Amazon o ECR Lambda.

Amazon Inspector è integrato con AWS Organizations e supporta l'amministrazione delegata. In AWSSRA, l'account Security Tooling diventa l'account amministratore delegato per Amazon Inspector. L'account amministratore delegato di Amazon Inspector può gestire i risultati, i dati e determinate impostazioni per i membri dell'organizzazione. AWS Ciò include la visualizzazione dei dettagli dei risultati aggregati per tutti gli account dei membri, l'attivazione o la disabilitazione delle scansioni per gli account dei membri e la revisione delle risorse scansionate all'interno dell'organizzazione. AWS

Considerazioni di natura progettuale

  • Amazon Inspector si integra automaticamente con AWS Security Hub quando entrambi i servizi sono abilitati. Puoi utilizzare questa integrazione per inviare tutti i risultati da Amazon Inspector a Security Hub, che li includerà quindi nell'analisi del tuo livello di sicurezza.

  • Amazon Inspector esporta automaticamente gli eventi relativi a risultati, modifiche alla copertura delle risorse e scansioni iniziali di singole risorse su Amazon e EventBridge, facoltativamente, in un bucket Amazon Simple Storage Service (Amazon S3). Per esportare i risultati attivi in un bucket S3, è necessaria una AWS KMS chiave che Amazon Inspector possa utilizzare per crittografare i risultati e un bucket S3 con autorizzazioni che consentano ad Amazon Inspector di caricare oggetti. EventBridge l'integrazione ti consente di monitorare ed elaborare i risultati quasi in tempo reale come parte dei flussi di lavoro di sicurezza e conformità esistenti. EventBridge gli eventi vengono pubblicati sull'account amministratore delegato di Amazon Inspector oltre all'account membro da cui hanno avuto origine.

Esempio di implementazione

La libreria di AWS SRA codici fornisce un'implementazione di esempio di Amazon Inspector. Dimostra l'amministrazione delegata (Security Tooling) e configura Amazon Inspector per tutti gli account esistenti e futuri dell'organizzazione. AWS

Implementazione di servizi di sicurezza comuni in tutti gli account AWS

La sezione Applica i servizi di sicurezza all'intera AWS organizzazione precedente di questo riferimento ha evidenziato i servizi di sicurezza che proteggono un AWS account e ha osservato che molti di questi servizi possono essere configurati e gestiti anche all'interno di AWS Organizations. Alcuni di questi servizi devono essere distribuiti in tutti gli account e li vedrai in. AWS SRA Ciò consente una serie coerente di barriere e fornisce monitoraggio, gestione e governance centralizzati in tutta l'organizzazione. AWS 

Security Hub GuardDuty, AWS Config, Access Analyzer e gli itinerari AWS CloudTrail dell'organizzazione vengono visualizzati in tutti gli account. I primi tre supportano la funzionalità di amministratore delegato descritta in precedenza nella sezione Account di gestione, accesso affidabile e amministratori delegati. CloudTrail attualmente utilizza un meccanismo di aggregazione diverso.

L'archivio del AWS SRA GitHub codice fornisce un'implementazione di esempio per abilitare Security Hub GuardDuty, AWS Config, Firewall Manager CloudTrail e gli itinerari organizzativi su tutti gli account, incluso AWS l'account Org Management.

Considerazioni di natura progettuale

  • Le configurazioni specifiche degli account potrebbero richiedere servizi di sicurezza aggiuntivi. Ad esempio, gli account che gestiscono i bucket S3 (gli account Application e Log Archive) dovrebbero includere anche Amazon Macie e prendere in considerazione l'attivazione della registrazione degli eventi dei dati S3 CloudTrail in questi servizi di sicurezza comuni. (Macie supporta l'amministrazione delegata con configurazione e monitoraggio centralizzati.) Un altro esempio è Amazon Inspector, applicabile solo agli account che ospitano EC2 istanze o immagini Amazon. ECR

  • Oltre ai servizi descritti in precedenza in questa sezione, AWS SRA include due servizi incentrati sulla sicurezza, Amazon Detective e AWS Audit Manager, che supportano l'integrazione di AWS Organizations e la funzionalità di amministratore delegato. Tuttavia, questi servizi non sono inclusi tra i servizi consigliati per la baseline degli account, poiché abbiamo visto che questi servizi vengono utilizzati al meglio nei seguenti scenari:

    • Hai un team o un gruppo di risorse dedicato che svolgono queste funzioni. Detective viene utilizzato al meglio dai team di analisti della sicurezza e Audit Manager è utile per i team interni di audit o conformità.

    • Desideri concentrarti su un set di strumenti di base come GuardDuty Security Hub all'inizio del progetto e poi sfruttarli utilizzando servizi che offrono funzionalità aggiuntive.