Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Domande frequenti sulla sicurezza
AMS fornisce assistenza 24 ore su 24, 7 giorni su 7, 365 giorni follow-the-sun l'anno tramite centri operativi globali. I tecnici operativi AMS dedicati monitorano attivamente i dashboard e le code degli incidenti. Di solito, AMS gestisce i tuoi account tramite l'automazione. In rare circostanze che richiedono competenze specifiche in materia di risoluzione dei problemi o di implementazione, un tecnico operativo AMS potrebbe accedere ai vostri AWS account.
Di seguito sono riportate le domande più comuni sulle migliori pratiche di sicurezza, i controlli, i modelli di accesso e i meccanismi di controllo che AMS Accelerate utilizza quando un tecnico operativo o un addetto all'automazione di AMS accede ai vostri account.
Quando gli ingegneri operativi AMS accedono ai miei ambienti?
I tecnici operativi AMS non hanno accesso permanente ai tuoi account o alle tue istanze. L'accesso agli account dei clienti è concesso agli operatori AMS solo per casi d'uso aziendali giustificabili, come avvisi, incidenti, richieste di modifica e così via. L'accesso è documentato nei log. AWS CloudTrail
Per la giustificazione dell'accesso, i trigger e gli iniziatori dei trigger, vedere. Trigger di accesso all'account cliente AMS
Quali ruoli assumono i tecnici operativi di AMS quando accedono ai miei account?
Nei rari casi (~ 5%) che richiedono l'intervento umano nell'ambiente, i tecnici operativi AMS accedono al tuo account con un ruolo di accesso predefinito in sola lettura. Il ruolo predefinito non ha accesso a nessun contenuto comunemente archiviato negli archivi di dati, come Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift e Amazon. ElastiCache
Per un elenco dei ruoli necessari ai tecnici operativi e ai sistemi AMS per fornire servizi nel tuo account, consulta. Ruoli IAM di accesso all'account cliente AMS
In che modo un tecnico operativo AMS accede al mio account?
Per accedere agli account dei clienti, i tecnici operativi AMS utilizzano un servizio di accesso AMS AWS interno. Questo servizio interno è disponibile solo attraverso un canale privato e sicuro, in modo che l'accesso agli account sia sicuro e controllato.
I tecnici operativi AMS utilizzano l'autenticazione interna del servizio di accesso AMS insieme a un'autenticazione a due fattori. Inoltre, il tecnico operativo deve fornire una giustificazione aziendale (ticket relativo all'incidente o ID della richiesta di assistenza) che dimostri la necessità di accedere all'account. AWS
In base all'autorizzazione del tecnico operativo, il servizio di accesso AMS fornisce all'ingegnere il ruolo appropriato (Read-only/Operator/Admin) e l'URL di accesso alla console AWS . L'accesso al tuo account è di breve durata e limitato nel tempo.
Per accedere alle EC2 istanze Amazon, i tecnici operativi AMS utilizzano lo stesso servizio di accesso AMS interno del broker. Una volta concesso l'accesso, i tecnici operativi AMS accedono AWS Systems Manager Session Manager alle istanze con credenziali di sessione di breve durata.
Per fornire l'accesso RDP per le istanze Windows, il tecnico operativo utilizza Amazon EC2 Systems Manager per creare un utente locale sull'istanza e stabilire il port forwarding verso l'istanza. L'ingegnere operativo utilizza le credenziali utente locali per l'accesso RDP all'istanza. Le credenziali dell'utente locale vengono rimosse alla fine della sessione.
Il diagramma seguente illustra il processo utilizzato dai tecnici operativi AMS per accedere all'account:
Come posso tenere traccia delle modifiche apportate da AMS nei miei AWS account gestiti da AMS?
Accesso all'account
Per aiutarti a tenere traccia delle modifiche apportate dall'automazione o dal team operativo di AMS Accelerate, AMS fornisce l'interfaccia SQL Change record nella console Amazon Athena e i log AMS Accelerate. Queste risorse forniscono le seguenti informazioni:
Chi ha avuto accesso al tuo account.
Quando è stato effettuato l'accesso all'account.
Quali privilegi sono stati utilizzati per accedere al tuo account.
Quali modifiche sono state apportate da AMS Accelerate al tuo account.
Perché sono state apportate le modifiche al tuo account.
Configurazione delle risorse
Visualizza CloudTrail i log per tenere traccia delle configurazioni AWS delle tue risorse negli ultimi 90 giorni. Se la tua configurazione risale a più di 90 giorni, accedi ai log in Amazon S3.
Registri delle istanze
Amazon CloudWatch Agent raccoglie i log del sistema operativo. Visualizza CloudWatch i log per vedere i log di accesso e di altre azioni supportati dal tuo sistema operativo.
Per ulteriori informazioni, consulta Monitoraggio delle modifiche nei tuoi account AMS Accelerate.
Quali sono i controlli di processo per l'accesso dei tecnici operativi AMS al mio account?
Prima di entrare in AMS, gli ingegneri operativi vengono sottoposti a un controllo dei precedenti penali. Poiché gli ingegneri AMS gestiscono l'infrastruttura dei clienti, hanno anche un controllo annuale obbligatorio dei precedenti. Se un tecnico non supera il controllo dei precedenti, l'accesso viene revocato.
Tutti i tecnici operativi di AMS devono completare la formazione obbligatoria sulla sicurezza, ad esempio sulla sicurezza dell'infrastruttura, la sicurezza dei dati e la risposta agli incidenti prima di poter accedere alle risorse.
Come viene gestito l'accesso privilegiato?
Un sottoinsieme di utenti deve completare una formazione aggiuntiva e mantenere i diritti di accesso privilegiati per un accesso elevato. L'accesso e l'utilizzo vengono ispezionati e controllati. AMS limita l'accesso privilegiato a circostanze eccezionali o quando l'accesso con privilegio minimo non è in grado di soddisfare la richiesta. L'accesso privilegiato è inoltre limitato nel tempo.
I tecnici operativi di AMS utilizzano l'MFA?
Sì. Tutti gli utenti devono utilizzare MFA e Proof of Presence per fornirti servizi.
Cosa succede al loro accesso quando un dipendente AMS lascia l'organizzazione o cambia ruolo lavorativo?
L'accesso agli account e alle risorse dei clienti viene fornito tramite l'appartenenza al gruppo interno. L'iscrizione si basa su criteri rigorosi, tra cui lo specifico ruolo professionale, il responsabile dei rapporti e lo status occupazionale in AMS. Se la famiglia professionale di un tecnico operativo cambia o il suo ID utente viene disabilitato, l'accesso viene revocato.
Quali controlli di accesso regolano l'accesso dei tecnici operativi AMS ai miei account?
Esistono diversi livelli di controlli tecnici per far rispettare i principi di «necessità di sapere» e «privilegio minimo» per l'accesso all'ambiente. Di seguito è riportato un elenco dei controlli di accesso:
Tutti i tecnici operativi devono far parte di un AWS gruppo interno specifico per accedere agli account e alle risorse dei clienti. L'appartenenza al gruppo è strettamente basata sulla necessità di conoscere ed è automatizzata con criteri predefiniti.
AMS pratica l'accesso «non persistente» all'ambiente. Ciò significa che l'accesso ai vostri AWS account da parte delle operazioni AMS avviene "just-in-time" con credenziali di breve durata. L'accesso agli account viene fornito solo dopo l'invio e la verifica di una giustificazione interna del business case (richiesta di assistenza, incidente, richiesta di gestione delle modifiche e così via).
AMS segue il principio del privilegio minimo. Pertanto, i tecnici operativi autorizzati presuppongono l'accesso in sola lettura per impostazione predefinita. L'accesso in scrittura viene utilizzato dai tecnici solo quando sono necessarie modifiche all'ambiente a causa di un incidente o di una richiesta di modifica.
AMS utilizza AWS Identity and Access Management ruoli standard facilmente identificabili che utilizzano il prefisso «ams» per monitorare e gestire gli account. Tutti gli accessi vengono registrati AWS CloudTrail per consentirti di verificarli.
AMS utilizza strumenti di backend automatizzati per rilevare le modifiche non autorizzate all'account durante la fase di convalida delle informazioni sui clienti durante la fase di esecuzione delle modifiche.
In che modo AMS monitora l'accesso degli utenti root?
L'accesso root attiva sempre il processo di risposta agli incidenti. AMS utilizza il GuardDuty rilevamento di Amazon per monitorare l'attività degli utenti root. Se GuardDuty genera un avviso, AMS crea un evento per ulteriori indagini. AMS ti avvisa se viene rilevata un'attività imprevista dell'account root e il team di sicurezza di AMS avvia un'indagine.
In che modo AMS risponde agli incidenti di sicurezza?
AMS analizza gli eventi di sicurezza generati da servizi di rilevamento come Amazon GuardDuty, Amazon Macie e dai problemi di sicurezza segnalati dai clienti. AMS collabora con il vostro team di risposta alla sicurezza per eseguire il processo Security Incident Response (SIR). Il processo AMS SIR si basa sul framework NIST SP 800-61 Rev. 2, Computer Security Incident Handling Guide e fornisce una risposta di sicurezza 24 ore su 24,
A quali certificazioni e framework standard del settore aderisce AMS?
Come altri AWS servizi, AWS Managed Services è certificato per OSPAR, HIPAA, HITRUST, GDPR, SOC*, ISO*, FedRAMP (Medium/High), IRAP e PCI. Per ulteriori informazioni sulle certificazioni di conformità dei clienti, sui regolamenti e sui framework a cui si AWS allinea, consulta AWS Compliance.
Barriere di sicurezza
AWS Managed Services utilizza più controlli per proteggere le tue risorse informative e aiutarti a mantenere sicura la tua AWS infrastruttura. AMS Accelerate mantiene una libreria di AWS Config regole e azioni correttive per aiutarti a garantire che i tuoi account siano conformi agli standard di settore per la sicurezza e l'integrità operativa. AWS Config le regole tengono costantemente traccia delle modifiche alla configurazione delle risorse registrate. Se una modifica viola le condizioni di una regola, AMS te ne segnala i risultati. Puoi porre rimedio alle violazioni automaticamente o su richiesta, in base alla gravità della violazione.
AMS utilizza AWS Config regole per contribuire a soddisfare i requisiti dei seguenti standard:
Centro per la sicurezza in Internet (CIS)
Framework di sicurezza cloud (CSF) del National Institute of Standards and Technology (NIST)
Health Insurance Portability and Accountability Act (HIPAA)
Standard di sicurezza dei dati (DSS) del settore delle carte di pagamento (PCI)
Per ulteriori informazioni, consulta Gestione della sicurezza in AMS Accelerate
Come posso accedere ai report più recenti sulla certificazione di sicurezza, sui framework e sulla conformità in materia? AWS
È possibile trovare i report di sicurezza e conformità correnti per AWS i servizi utilizzando i seguenti metodi:
È possibile utilizzare AWS Artifact
per scaricare il rapporto più recente sulla sicurezza, la disponibilità e la riservatezza di un AWS servizio. Per un elenco della maggior parte dei AWS servizi, incluso AWS Managed Services, conformi ai framework di conformità globali, consulta. https://aws.amazon.com/compliance/services-in-scope/
Ad esempio, seleziona PCI e cerca AWS Managed Services. Puoi cercare «AMS» per trovare elementi di sicurezza specifici per AMS da un account gestito da AMS. AWS AWS Managed Services rientra nell'ambito del SOC 3
. Il rapporto AWS SOC 2 (System and Organizations Controls) viene pubblicato nel AWS Artifact repository. Questo rapporto valuta i AWS controlli che soddisfano i criteri di sicurezza, disponibilità e riservatezza stabiliti nella sezione 100 del TSP dell'American Institute of Certified Public Accountants (AICPA), Trust Services Criteria.
AMS condivide diagrammi di architettura di riferimento relativi a diversi aspetti delle funzionalità di AMS?
Per visualizzare l'architettura di riferimento AMS, scarica il PDF di AWS Managed Services for Proactive Monitoring.
In che modo AMS tiene traccia di chi accede ai miei account e di cosa necessita l'azienda per accedervi?
Per supportare la continuità del servizio e la sicurezza degli account, AMS accede all'account o alle istanze solo in risposta a eventi proattivi relativi a salute o manutenzione, salute o sicurezza, attività pianificate o richieste dei clienti. L'accesso ai tuoi account è autorizzato tramite i processi AMS, come indicato nel modello di accesso per AMS Accelerate. Questi flussi di autorizzazione contengono barriere per impedire accessi involontari o inappropriati. Come parte del flusso di accesso, AMS fornisce al sistema di autorizzazione le esigenze aziendali. Questa esigenza aziendale potrebbe essere un elemento di lavoro associato al tuo account, ad esempio un caso che hai aperto con AMS. In alternativa, l'esigenza aziendale potrebbe essere un flusso di lavoro autorizzato, come la soluzione Patching. Tutti gli accessi richiedono una giustificazione convalidata, verificata e autorizzata in tempo reale dai sistemi AMS interni sulla base di regole aziendali per allineare le richieste di accesso a un'esigenza aziendale.
Ai tecnici operativi di AMS non viene fornito un percorso per accedere ai tuoi account senza esigenze aziendali valide. Tutti gli accessi all'account e le esigenze aziendali associate vengono assegnati alle AWS CloudTrail voci all'interno AWS dei vostri account. Ciò garantisce la massima trasparenza e l'opportunità di effettuare verifiche e ispezioni in modo autonomo. Oltre all'ispezione, AMS dispone di ispezioni automatizzate ed esegue l'ispezione manuale, se necessario, delle richieste di accesso ed esegue verifiche degli strumenti e dell'accesso umano per esaminare gli accessi anomali.
I tecnici AMS hanno accesso ai miei dati archiviati in servizi di archiviazione AWS dati, come Amazon S3, Amazon RDS, DynamoDB e Amazon Redshift?
I tecnici AMS non hanno accesso ai contenuti dei clienti archiviati nei AWS servizi comunemente utilizzati per l'archiviazione dei dati. L'accesso ai dati AWS APIs utilizzati per leggere, scrivere, modificare o eliminare in questi servizi è limitato da una politica di negazione esplicita di IAM associata ai ruoli IAM utilizzati per l'accesso degli ingegneri AMS. Inoltre, i guardrail e le automazioni interne di AMS impediscono ai tecnici operativi di AMS di rimuovere o modificare le condizioni di negazione.
I tecnici AMS hanno accesso ai dati dei clienti archiviati in Amazon EBS, Amazon EFS e Amazon FSx?
I tecnici AMS possono accedere EC2 alle istanze Amazon come amministratori. L'accesso da amministratore è necessario per la risoluzione di alcuni scenari che includono, a titolo esemplificativo, problemi del sistema operativo (OS) e guasti delle patch. Gli ingegneri AMS in genere accedono al volume di sistema per risolvere i problemi rilevati. Tuttavia, l'accesso per gli ingegneri AMS non è limitato o limitato al volume del sistema.
In che modo l'accesso viene limitato o controllato per i ruoli di automazione che dispongono di privilegi elevati per i miei ambienti?
Il ams-access-admin ruolo viene utilizzato esclusivamente dall'automazione AMS. Queste automazioni implementano, gestiscono e mantengono le risorse necessarie utilizzate da AMS per l'implementazione nei vostri ambienti per la raccolta di dati di telemetria, salute e sicurezza per lo svolgimento delle funzioni operative. Gli ingegneri AMS non possono assumere ruoli di automazione e sono limitati dalla mappatura dei ruoli nei sistemi interni. In fase di esecuzione, AMS applica dinamicamente una politica di sessione con privilegi minimi e ristretti a ogni automazione. Questa politica di sessione limita la capacità e le autorizzazioni dell'automazione.
In che modo AMS implementa il principio del privilegio minimo come richiesto nel AWS Well-Architected Framework per i ruoli di automazione?
In fase di esecuzione, AMS applica una politica di sessione ristretta con privilegi minimi a ogni automazione. Questa politica di sessione ristretta limita la capacità e le autorizzazioni dell'automazione. Le policy di sessione che dispongono delle autorizzazioni per creare risorse IAM richiedono anche l'aggiunta di un limite di autorizzazione. Questo limite di autorizzazione riduce il rischio di escalation dei privilegi. Ogni team adotta una politica di sessione utilizzata solo da quel team.
Quali sistemi di registrazione e monitoraggio vengono utilizzati per rilevare tentativi di accesso non autorizzati o attività sospette che coinvolgono ruoli di automazione?
AWS mantiene archivi centralizzati che forniscono le principali funzionalità di archiviazione dei log per uso interno da parte dei team di assistenza. AWS Questi log sono archiviati in Amazon S3 per garantire scalabilità, durabilità e disponibilità elevate. AWS I team di assistenza possono quindi raccogliere, archiviare e visualizzare i registri di servizio in un servizio di registro centrale.
Gli host di produzione AWS vengono distribuiti utilizzando immagini di base principali. Le immagini di base sono dotate di un set standard di configurazioni e funzioni che includono la registrazione e il monitoraggio per scopi di sicurezza. Questi registri vengono archiviati e accessibili dai team di AWS sicurezza per l'analisi delle cause principali in caso di sospetto incidente di sicurezza.
I log di un determinato host sono disponibili per il team proprietario di quell'host. I team possono cercare nei propri log per analisi operative e di sicurezza.
Come vengono gestiti gli incidenti o le violazioni di sicurezza riguardanti l'infrastruttura di automazione e quali protocolli aiutano a rispondere e mitigare rapidamente?
AWS i piani di emergenza e i playbook di risposta agli incidenti hanno definito e testato strumenti e processi per rilevare, mitigare, indagare e valutare gli incidenti di sicurezza. Questi piani e playbook includono linee guida per rispondere a potenziali violazioni dei dati in conformità ai requisiti contrattuali e normativi.
Vengono effettuati regolarmente valutazioni di sicurezza, scansioni di vulnerabilità e test di penetrazione sull'infrastruttura di automazione?
AWS Security esegue regolarmente scansioni di vulnerabilità sui sistemi operativi host, sulle applicazioni Web e sui database AWS dell'ambiente utilizzando una varietà di strumenti. AWS I team di sicurezza si abbonano inoltre ai feed di notizie per individuare eventuali difetti dei fornitori e monitorano in modo proattivo i siti Web dei fornitori e altri punti vendita pertinenti alla ricerca di nuove patch.
In che modo l'accesso all'infrastruttura di automazione è limitato solo al personale autorizzato?
L'accesso ai AWS sistemi viene assegnato in base al privilegio minimo e approvato da un individuo autorizzato. I compiti e le aree di responsabilità (ad esempio, richiesta e approvazione dell'accesso, richiesta e approvazione della gestione delle modifiche, sviluppo delle modifiche, test e implementazione e così via) sono suddivisi tra diversi soggetti per ridurre le modifiche o l'uso improprio non autorizzati o involontari dei sistemi. AWS Gli account di gruppo o condivisi non sono consentiti all'interno dei confini del sistema.
Quali misure vengono implementate per mantenere gli standard di sicurezza e prevenire accessi non autorizzati o violazioni dei dati nella pipeline di automazione?
L'accesso alle risorse, inclusi servizi, host, dispositivi di rete e gruppi Windows e UNIX, viene approvato nel sistema di gestione delle autorizzazioni AWS proprietario dal proprietario o dal gestore appropriato. Il registro dello strumento di gestione delle autorizzazioni registra le richieste di modifiche di accesso. Le modifiche alle funzioni lavorative revocano automaticamente l'accesso del dipendente alle risorse. L'accesso continuo per quel dipendente deve essere richiesto e approvato.
AWS richiede l'autenticazione a due fattori su un canale crittografico approvato per l'autenticazione alla AWS rete interna da postazioni remote. I dispositivi firewall limitano l'accesso all'ambiente informatico, impongono i confini dei cluster di elaborazione e limitano l'accesso alle reti di produzione.
Vengono implementati processi per proteggere le informazioni e gli strumenti di controllo da accessi, modifiche ed eliminazioni non autorizzati. I registri di audit contengono una serie di elementi di dati per supportare i requisiti di analisi necessari. Inoltre, i registri di audit sono disponibili per gli utenti autorizzati per l'ispezione o l'analisi su richiesta e in risposta a eventi relativi alla sicurezza o che hanno un impatto sull'azienda.
I diritti di accesso degli utenti ai AWS sistemi (ad esempio, rete, applicazioni, strumenti, ecc.) vengono revocati entro 24 ore dalla cessazione o dalla disattivazione. Gli account utente inattivi vengono disabilitati e and/or rimossi almeno ogni 90 giorni.
Il rilevamento o il monitoraggio delle anomalie sono attivati per l'accesso o la registrazione degli audit per rilevare l'aumento dei privilegi o l'uso improprio degli accessi per avvisare in modo proattivo il team AMS?
Gli host di produzione di AWS sono dotati di registrazione per motivi di sicurezza. Questo servizio registra le azioni umane sugli host, inclusi gli accessi, i tentativi di accesso non riusciti e le disconnessioni. Questi registri vengono archiviati e accessibili dai team AWS di sicurezza per l'analisi della causa principale in caso di sospetto incidente di sicurezza. I log di un determinato host sono disponibili anche per il team proprietario di quell'host. I team di assistenza hanno a disposizione uno strumento di analisi dei log front-end per effettuare ricerche nei log per analisi operative e di sicurezza. Vengono implementati processi per proteggere i log e gli strumenti di controllo da accessi, modifiche ed eliminazioni non autorizzati. Il team AWS di sicurezza esegue l'analisi dei registri per identificare gli eventi sulla base di parametri di gestione del rischio definiti.
Quali tipi di dati dei clienti vengono estratti dagli account gestiti da AMS e come vengono utilizzati e archiviati?
AMS non accede né utilizza i tuoi contenuti per nessuno scopo. AMS definisce i contenuti dei clienti come software (comprese le immagini delle macchine), dati, testo, audio, video o immagini su cui un cliente o qualsiasi utente finale trasferisce AWS per l'elaborazione, l'archiviazione o l'hosting Servizi AWS in relazione all'account del cliente, e qualsiasi risultato computazionale che un cliente o il suo utente finale ricava da quanto precede attraverso il loro utilizzo. Servizi AWS
