Protezione dei dati in Accelerate - Guida utente di AMS Accelerate
Monitoraggio con Amazon MacieMonitora con GuardDutyMonitoraggio con il firewall DNS di Amazon Route 53 ResolverCrittografia dei dati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in Accelerate

AMS Accelerate sfrutta strumenti e processi nativi Servizi AWS come Amazon GuardDuty, Amazon Macie (opzionalmente) e altri strumenti e processi proprietari interni per monitorare continuamente gli account gestiti. Dopo l'attivazione di un allarme, AMS Accelerate si assume la responsabilità della valutazione iniziale e della risposta all'allarme. I processi di risposta AMS si basano sugli standard NIST. AMS Accelerate testa regolarmente i processi di risposta utilizzando Security Incident Response Simulation per allineare il flusso di lavoro con i programmi di risposta alla sicurezza dei clienti esistenti.

Quando AMS Accelerate rileva una violazione, o una minaccia imminente di violazione, delle vostre politiche di AWS sicurezza, Accelerate raccoglie informazioni, comprese le risorse interessate e qualsiasi modifica relativa alla configurazione. AMS Accelerate fornisce follow-the-sun supporto 24 ore su 24, 7 giorni su 7, 365 giorni all'anno con operatori dedicati che esaminano e esaminano attivamente le dashboard di monitoraggio, le code di incidenti e le richieste di assistenza su tutti gli account gestiti. Accelerate analizza i risultati con esperti di sicurezza interni per analizzare l'attività e inviarti notifiche tramite i contatti relativi all'escalation di sicurezza elencati nel tuo account.

Sulla base dei risultati, Accelerate interagisce con te in modo proattivo. Se ritieni che l'attività non sia autorizzata o sospetta, AMS collabora con te per indagare e risolvere o contenere il problema. Esistono alcuni tipi di risultati generati da Accelerate GuardDuty che richiedono la conferma dell'impatto prima che Accelerate intraprenda qualsiasi azione. Ad esempio, il tipo di GuardDuty risultato UnauthorizedAccess:IAMUser/ConsoleLoginindica che uno dei tuoi utenti ha effettuato l'accesso da una posizione insolita; AMS ti avvisa e ti chiede di esaminare i risultati per confermare se questo comportamento è legittimo.

Monitoraggio con Amazon Macie

AMS Accelerate supporta, ed è una best practice utilizzare, Amazon Macie per rilevare un elenco ampio e completo di dati sensibili, come informazioni sanitarie personali (PHI), informazioni di identificazione personale (PII) e dati finanziari.

Puoi configurare Macie per l'esecuzione periodica su qualsiasi bucket Amazon S3. Ciò automatizza la valutazione di oggetti nuovi o modificati all'interno di un bucket nel tempo. Man mano che vengono generati i risultati di sicurezza, AMS invia una notifica all'utente e collabora con l'utente per porvi rimedio, se necessario.

Per ulteriori informazioni, consulta Analizzare i risultati di Amazon Macie.

Monitora con GuardDuty

GuardDuty è un servizio di monitoraggio continuo della sicurezza che utilizza feed di intelligence sulle minacce, come elenchi di indirizzi IP e domini dannosi, e l'apprendimento automatico per identificare attività impreviste, potenzialmente non autorizzate e dannose all'interno dell'ambiente. AWS Ciò potrebbe includere problemi come l'aumento dei privilegi, l'uso di credenziali esposte o la comunicazione con indirizzi IP o domini dannosi. GuardDuty monitora il comportamento di Account AWS accesso alla ricerca di segnali di compromissione, come installazioni di infrastrutture non autorizzate, istanze distribuite in una regione che non hai mai usato. AWS GuardDuty rileva anche chiamate API insolite, ad esempio una modifica delle politiche relative alle password per ridurre la sicurezza delle password. Per ulteriori informazioni, consulta la Guida per l'utente GuardDuty .

Per visualizzare e analizzare i GuardDuty risultati, completa i seguenti passaggi:

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

  2. Scegli Risultati, quindi seleziona un risultato specifico per visualizzarne i dettagli. I dettagli di ogni risultato variano a seconda del tipo di scoperta, delle risorse coinvolte e della natura dell'attività.

Per ulteriori informazioni sui campi di ricerca disponibili, vedere i dettagli dei GuardDuty risultati.

Utilizza le regole di GuardDuty soppressione per filtrare i risultati

Una regola di soppressione è un insieme di criteri costituito da un attributo di filtro associato a un valore. È possibile utilizzare le regole di soppressione per filtrare i risultati di basso valore su cui non si intende agire, ad esempio risultati falsi positivi o attività note. Il filtraggio dei risultati aiuta a riconoscere più facilmente le minacce alla sicurezza che potrebbero avere il maggiore impatto sull'ambiente.

Per filtrare i risultati, le regole di soppressione archiviano automaticamente i nuovi risultati che corrispondono ai criteri specificati. I risultati archiviati non vengono inviati a AWS Security Hub, Amazon S3 o Events. CloudTrail Pertanto, i filtri di soppressione riducono i dati non utilizzabili se si utilizzano i risultati tramite GuardDuty Security Hub o un'applicazione di avvisi e ticketing SIEM di terze parti.

AMS dispone di una serie definita di criteri per identificare le regole di soppressione per gli account gestiti. Quando un account gestito soddisfa questi criteri, AMS applica i filtri e crea una richiesta di servizio (SR) che descrive in dettaglio il filtro di soppressione distribuito.

È possibile comunicare con AMS tramite un SR per modificare o ripristinare i filtri di soppressione.

Visualizza i risultati archiviati

GuardDuty continua a generare risultati anche quando tali risultati corrispondono alle tue regole di soppressione. I risultati soppressi vengono contrassegnati come archiviati. GuardDuty archivia i risultati archiviati per 90 giorni. È possibile visualizzare i risultati archiviati nella GuardDuty console per quei 90 giorni selezionando Archiviati dalla tabella dei risultati. Oppure, visualizza i risultati archiviati tramite l' GuardDuty API utilizzando l'ListFindingsAPI con un findingCriteria di service.archived uguale a true.

Casi d'uso comuni per le regole di soppressione

I seguenti tipi di risultati presentano casi d'uso comuni per l'applicazione delle regole di soppressione.

  • Recon: EC2 /Portscan: utilizza una regola di soppressione per archiviare automaticamente i risultati quando si utilizza uno scanner di vulnerabilità autorizzato.

  • UnauthorizedAccess:EC2/SSHBruteForce: utilizza una regola di soppressione per archiviare automaticamente i risultati quando sono indirizzati a istanze bastion.

  • Recon:EC2/PortProbeUnprotectedPort: utilizza una regola di soppressione per archiviare automaticamente i risultati quando è indirizzata a istanze esposte intenzionalmente.

Monitoraggio con il firewall DNS di Amazon Route 53 Resolver

Amazon Route 53 Resolver risponde in modo ricorsivo alle richieste DNS provenienti da risorse AWS per record pubblici, nomi DNS specifici di Amazon VPC e zone ospitate private di Amazon Route 53 ed è disponibile per impostazione predefinita in tutti. VPCs Con il DNS Firewall per Route 53 Resolver è possibile filtrare e regolare il traffico DNS in uscita per il proprio cloud privato virtuale. A tale scopo, è possibile creare raccolte riutilizzabili di regole di filtro nei gruppi di regole di DNS Firewall, associare i gruppi di regole al VPC e quindi monitorare l'attività nei record e nei parametri di DNS Firewall. In base all'attività, è possibile regolare di conseguenza il comportamento di DNS Firewall. Per ulteriori informazioni, consulta Usare DNS Firewall per filtrare il traffico DNS in uscita.

Per visualizzare e gestire la configurazione del firewall DNS di Route 53 Resolver, utilizzare la seguente procedura:

  1. Accedi AWS Management Console e apri la console Amazon VPC all'indirizzo. https://console.aws.amazon.com/vpc/

  2. In DNS Firewall, scegli Gruppi di regole.

  3. Rivedi, modifica o elimina la configurazione esistente o crea un nuovo gruppo di regole. Per ulteriori informazioni, consulta Come funziona Route 53 Resolver DNS Firewall.

Monitoraggio e sicurezza del firewall DNS di Amazon Route 53 Resolver

Amazon Route 53 DNS Firewall utilizza i concetti di associazione di regole, azione delle regole e priorità di valutazione delle regole. Un elenco di domini è un insieme riutilizzabile di specifiche di dominio utilizzate in una regola DNS Firewall all'interno di un gruppo di regole. Quando associ un gruppo di regole a un VPC, DNS Firewall confronta le query DNS con gli elenchi di dominio utilizzati nelle regole. Se DNS Firewall trova una corrispondenza, gestisce la query DNS in base all'azione della regola corrispondente. Per ulteriori informazioni sui gruppi di regole e sulle regole, consulta Gruppi di regole e regole del firewall DNS.

Gli elenchi di domini rientrano in due categorie principali:

  • Elenchi di domini gestiti, che AWS creano e gestiscono per te.

  • Elenchi di domini personalizzati, creati e gestiti dall'utente.

I gruppi di regole vengono valutati in base all'indice di priorità delle associazioni.

Per impostazione predefinita, AMS implementa una configurazione di base costituita dalle seguenti regole e gruppi di regole:

  • Un gruppo di regole denominato. DefaultSecurityMonitoringRule Il gruppo di regole ha la massima priorità di associazione disponibile al momento della creazione per ogni VPC esistente in ogni VPC abilitato. Regione AWS

  • Una regola denominata DefaultSecurityMonitoringRule con priorità 1 all'interno del gruppo di DefaultSecurityMonitoringRule regole, utilizzando l'elenco dei domini AWSManagedDomainsAggregateThreatList gestiti con l'azione ALERT.

Se si dispone di una configurazione esistente, la configurazione di base viene distribuita con una priorità inferiore rispetto alla configurazione esistente. La configurazione esistente è quella predefinita. La configurazione di base di AMS viene utilizzata come soluzione generica se la configurazione esistente non fornisce istruzioni con priorità più elevata su come gestire la risoluzione delle query. Per modificare o rimuovere la configurazione di base, esegui una delle seguenti operazioni:

  • Contatta il tuo Cloud Service Delivery Manager (CSDM) o Cloud Architect (CA).

  • Crea una richiesta di servizio.

La crittografia dei dati in AMS Accelerate

AMS Accelerate ne utilizza diversi Servizi AWS per la crittografia dei dati.

Amazon Simple Storage Service offre diverse opzioni di crittografia degli oggetti che proteggono i dati in transito e a riposo. La crittografia lato server crittografa l'oggetto prima di salvarlo su disco nei suoi data center e quindi lo decrittografa al momento del download. Se la richiesta è autenticata e sono disponibili le autorizzazioni per l'accesso, non c'è differenza nelle modalità di accesso agli oggetti, crittografati o meno. Per ulteriori informazioni, consulta Protezione dei dati in Amazon S3.