Protezione dei dati in AMS - Guida per l'utente avanzato di AMS
Amazon MacieGuardDutyFirewall DNS Amazon Route 53 ResolverAWS Certificate Manager Certificato (ACM)Crittografia dei dati in AMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in AMS

AMS monitora continuamente gli account gestiti sfruttando AWS servizi nativi come Amazon GuardDuty, Amazon Macie (opzionalmente) e altri strumenti e processi proprietari interni. Dopo l'attivazione di un allarme, AMS si assume la responsabilità della valutazione iniziale e della risposta all'allarme. I nostri processi di risposta si basano sugli standard NIST. AMS testa regolarmente i propri processi di risposta utilizzando Security Incident Response Simulation con voi per allineare il flusso di lavoro ai programmi di risposta alla sicurezza dei clienti esistenti.

Quando AMS rileva una violazione o una minaccia imminente di violazione delle vostre politiche di AWS sicurezza, raccoglie informazioni, comprese le risorse interessate e qualsiasi modifica relativa alla configurazione. AMS fornisce follow-the-sun assistenza 24 ore su 24, 7 giorni su 7, 365 giorni all'anno, con operatori dedicati che esaminano e esaminano attivamente le dashboard di monitoraggio, la coda degli incidenti e le richieste di assistenza su tutti gli account gestiti. AMS esamina i risultati con i nostri esperti di sicurezza per analizzare l'attività e inviarti notifiche tramite i contatti di sicurezza indicati nel tuo account.

Sulla base dei nostri risultati, AMS interagisce con te in modo proattivo. Se ritieni che l'attività non sia autorizzata o sospetta, AMS collabora con te per indagare e risolvere o contenere il problema. Alcuni tipi di risultati generati da AMS richiedono la conferma dell'impatto prima GuardDuty che AMS sia in grado di intraprendere qualsiasi azione. Ad esempio, il tipo di GuardDuty risultato UnauthorizedAccess:IAMUser/ConsoleLoginindica che uno dei tuoi utenti ha effettuato l'accesso da una posizione insolita; AMS ti avvisa e ti chiede di esaminare i risultati per confermare se questo comportamento è legittimo.

Amazon Macie

AWS Managed Services consiglia di utilizzare Macie per rilevare un elenco ampio e completo di dati sensibili, come informazioni sanitarie personali (PHI), informazioni di identificazione personale (PII) e dati finanziari.

Macie può essere configurato per essere eseguito periodicamente su qualsiasi bucket Amazon S3, automatizzando nel tempo la valutazione di qualsiasi oggetto nuovo o modificato all'interno di un bucket. Man mano che vengono generati i risultati di sicurezza, AMS ti avviserà e collaborerà con te per correggerli, se necessario.

Per ulteriori informazioni, consulta Analizzare i risultati di Amazon Macie.

Sicurezza di Amazon Macie

Macie è un servizio di sicurezza intelligence/AI alimentato artificialmente che aiuta a prevenire la perdita di dati rilevando, classificando e proteggendo automaticamente i dati sensibili archiviati in AWS. Macie utilizza l'apprendimento automatico per riconoscere dati sensibili come le informazioni di identificazione personale (PII) o la proprietà intellettuale, assegna un valore aziendale e fornisce visibilità su dove sono archiviati questi dati e su come vengono utilizzati nell'organizzazione. Macie monitora continuamente l'attività di accesso ai dati per rilevare eventuali anomalie e invia avvisi quando rileva il rischio di accessi non autorizzati o fughe involontarie di dati. Il servizio Macie supporta Amazon S3 AWS CloudTrail e fonti di dati.

AMS monitora continuamente gli avvisi provenienti da Macie e, se viene avvisato, intraprende azioni rapide per proteggere le risorse e l'account. Con l'aggiunta di Macie all'elenco dei servizi supportati da AMS, ora siamo anche responsabili dell'abilitazione e della configurazione di Macie in tutti i tuoi account, secondo le tue istruzioni. Puoi visualizzare gli avvisi di Macie e le nostre azioni man mano che si svolgono nella console AWS o nelle integrazioni supportate. Durante l'onboarding dell'account, puoi indicare gli account che usi per archiviare le informazioni personali. Per tutti i nuovi account con PII, consigliamo di utilizzare Macie. Per gli account esistenti con PII, contattaci e provvederemo ad attivarli nel tuo account. Di conseguenza, puoi avere a disposizione un ulteriore livello di protezione e usufruire di tutti i vantaggi di Macie nel tuo ambiente AWS gestito da AMS.

AMS Macie FAQs

  • Perché ho bisogno di Macie quando tutti gli account AMS dispongono di Trend Micro e GuardDuty sono abilitati?

    Macie ti aiuta a proteggere i tuoi dati in Amazon S3 aiutandoti a classificare i dati di cui disponi, il valore che i dati hanno per l'azienda e il comportamento associato all'accesso a tali dati. Amazon GuardDuty offre un'ampia protezione degli account, dei carichi di lavoro e dei dati AWS aiutando a identificare minacce come la ricognizione degli attori delle minacce, il problema delle istanze e l'attività problematica dell'account. Entrambi i servizi incorporano l'analisi del comportamento degli utenti, l'apprendimento automatico e il rilevamento delle anomalie per rilevare le minacce nelle rispettive categorie. Trend Micro non si concentra sull'identificazione delle informazioni personali e delle relative minacce.

  • Come faccio ad attivare Macie nel mio account AMS?

    Se l'hai PII/PHI archiviato nei tuoi account o hai intenzione di archiviarlo, contatta il tuo CSDM o invia una richiesta di assistenza per abilitare Macie per i tuoi account nuovi o esistenti gestiti da AMS.

  • Quali sono le implicazioni in termini di costi dell'attivazione di Macie nel mio account AMS?

    I prezzi di Macie funzionano per AMS in modo simile ad altri servizi come Amazon Elastic Compute Cloud (Amazon EC2). Paghi per Amazon Macie in base all'utilizzo e un upgrade AMS in base al tuo. SLAs Le tariffe di Macie si basano sull'utilizzo, consulta i prezzi di Amazon Macie, calcolati in AWS CloudTrail base agli eventi e allo storage Amazon S3. Tieni presente che i costi di Macie tendono a diminuire a partire dal secondo mese dopo l'attivazione, perché si basano sui dati incrementali aggiunti ai bucket Amazon S3.

Per ulteriori informazioni su Macie, consulta Amazon Macie.

GuardDuty

GuardDuty è un servizio di monitoraggio continuo della sicurezza che utilizza feed di intelligence sulle minacce, come elenchi di indirizzi IP e domini dannosi, e l'apprendimento automatico per identificare attività impreviste e potenzialmente non autorizzate e dannose all'interno dell'ambiente AWS. Ciò può includere problemi come l'aumento dei privilegi, l'uso di credenziali esposte o la comunicazione con indirizzi IP o domini dannosi. GuardDuty monitora anche il comportamento di accesso all'account Amazon Web Services per rilevare segnali di compromissione, come installazioni di infrastrutture non autorizzate, come istanze distribuite in una regione che non è mai stata utilizzata, o chiamate API insolite, come una modifica della politica delle password per ridurre la sicurezza delle password. Per ulteriori informazioni, consulta la Guida per l'utente. GuardDuty

Per visualizzare e analizzare i GuardDuty risultati, utilizzare la procedura seguente.

  1. Apri la GuardDuty console.

  2. Scegliete Risultati, quindi scegliete un risultato specifico per visualizzare i dettagli. I dettagli di ogni risultato variano a seconda del tipo di scoperta, delle risorse coinvolte e della natura dell'attività.

Per ulteriori informazioni sui campi di ricerca disponibili, vedere i dettagli dei GuardDuty risultati.

GuardDuty sicurezza

Amazon GuardDuty offre il rilevamento delle minacce che ti consente di monitorare e proteggere continuamente i tuoi account e carichi di lavoro AWS. Amazon GuardDuty analizza i flussi continui di metadati generati dall'account e dall'attività di rete presenti negli eventi, nei log di flusso di AWS CloudTrail Amazon VPC e nei log di Domain Name System (DNS). Utilizza anche informazioni integrate sulle minacce, come indirizzi IP malevoli noti, rilevamento delle anomalie e apprendimento automatico per identificare le minacce con maggiore precisione. GuardDuty è un servizio AMS monitorato. Per ulteriori informazioni sul GuardDuty monitoraggio di Amazon, consultaGuardDuty monitoraggio. Per ulteriori informazioni GuardDuty, consulta Amazon GuardDuty.

Tutti i nuovi account AMS sono GuardDuty abilitati per impostazione predefinita. AMS si configura GuardDuty durante l'onboarding dell'account. È possibile inviare richieste di modifica per modificare le impostazioni in qualsiasi momento. GuardDuty i prezzi funzionano per AMS in modo simile ad altri servizi come Amazon Elastic Compute Cloud (Amazon EC2). Paghi GuardDuty in base all'utilizzo e un upgrade AMS in base al tuo. SLAs GuardDuty le tariffe si basano sull'utilizzo (Amazon GuardDuty Pricing), misurato in base AWS CloudTrail agli eventi e al volume del log di flusso Amazon VPC.

Per GuardDuty AMS, sono abilitate le seguenti categorie di rilevamento primarie:

  • Ricognizione: attività che suggeriscono la ricognizione da parte di un autore della minaccia, ad esempio attività insolite delle API, scansione delle porte intra-VPC, modelli insoliti di richieste di accesso non riuscite o sondaggio delle porte sbloccato da un IP noto non valido.

  • Problema relativo all'istanza: attività problematica delle istanze, come il mining di criptovalute, il malware che utilizza algoritmi di generazione del dominio (DGA), attività di tipo Denial of Service in uscita, volume di traffico di rete insolitamente elevato, protocolli di rete insoliti, comunicazione tra istanze in uscita con un IP malevolo noto, EC2 credenziali Amazon temporanee utilizzate da un indirizzo IP esterno ed esfiltrazione di dati tramite DNS.

  • Attività dell'account: i modelli più comuni indicativi dell'attività dell'account includono chiamate API da un proxy di geolocalizzazione o anonimizzazione insolito, tentativi di disabilitare la AWS CloudTrail registrazione, lanci insoliti di istanze o infrastrutture, implementazioni di infrastrutture in una regione AWS insolita e chiamate API da indirizzi IP dannosi noti.

AMS utilizza i GuardDuty tuoi account gestiti per monitorare continuamente i risultati e gli avvisi e, se viene avvisato, AMS Operations intraprende azioni proattive per proteggere le tue risorse GuardDuty e il tuo account. Puoi visualizzare GuardDuty i risultati e le nostre azioni man mano che si svolgono nella console AWS o nelle integrazioni supportate.

GuardDuty funziona con Trend Micro Deep Security Manager nel tuo account. Trend Micro Deep Security Manager fornisce servizi di rilevamento delle intrusioni e prevenzione delle intrusioni basati su host. I servizi Trend Micro Web Reputation hanno alcune GuardDuty somiglianze con la capacità di rilevare quando un host sta tentando di comunicare con un host o un servizio Web noto per essere una minaccia. Tuttavia, GuardDuty fornisce ulteriori categorie di rilevamento delle minacce e lo fa monitorando il traffico di rete, un metodo complementare al rilevamento basato su host di Trend Micro. Il rilevamento delle minacce basato sulla rete consente una maggiore sicurezza evitando che i controlli falliscano se l'host mostra un comportamento problematico. AMS consiglia di utilizzarlo GuardDuty in tutti gli account AMS.

Per ulteriori informazioni su Trend Micro, consulta il Trend Micro Deep Security Help Center; tieni presente che i link non Amazon possono cambiare senza preavviso.

GuardDuty monitoraggio

GuardDuty ti informa sullo stato del tuo ambiente AWS producendo risultati di sicurezza che AMS acquisisce e può segnalare.

Amazon GuardDuty monitora la sicurezza del tuo ambiente AWS analizzando ed elaborando i log di flusso VPC, i log degli AWS CloudTrail eventi e i log del Domain Name System. Puoi ampliare questo ambito di monitoraggio configurando l'utilizzo anche GuardDuty di elenchi di IP e di minacce personalizzati e affidabili.

  • Gli elenchi di IP affidabili sono costituiti da indirizzi IP a cui hai consentito la comunicazione sicura con l'infrastruttura e le applicazioni AWS. GuardDuty non genera risultati per gli indirizzi IP negli elenchi di IP affidabili. In qualsiasi momento, puoi avere soltanto un elenco di IP affidabili caricati per account AWS per regione.

  • Gli elenchi di minacce sono costituiti da indirizzi IP dannosi noti. GuardDuty genera risultati basati su elenchi di minacce. In qualsiasi momento, puoi avere fino a sei elenchi di minacce caricati per account AWS per regione.

Per l'implementazione GuardDuty, utilizza AMS CT Deployment | Monitoraggio e notifica | GuardDuty IP set | Create (ct-08avsj2e9mc7g) per creare un set di indirizzi IP approvati. Puoi anche utilizzare AMS CT Deployment | Monitoring and notification | GuardDuty threat intel set | Create (ct-25v6r7t8gvkq5) per creare un set di indirizzi IP negati.

Per un elenco Cosa monitora il sistema di monitoraggio AMS? dei servizi monitorati da AMS, consulta.

Firewall DNS Amazon Route 53 Resolver

Amazon Route 53 Resolver risponde in modo ricorsivo alle richieste DNS provenienti da risorse AWS per record pubblici, nomi DNS specifici di Amazon VPC e zone ospitate private di Amazon Route 53 ed è disponibile per impostazione predefinita in tutti. VPCs Con il DNS Firewall per Route 53 Resolver è possibile filtrare e regolare il traffico DNS in uscita per il proprio cloud privato virtuale. A tale scopo, è possibile creare raccolte riutilizzabili di regole di filtro nei gruppi di regole di DNS Firewall, associare i gruppi di regole al VPC e quindi monitorare l'attività nei record e nei parametri di DNS Firewall. In base all'attività, è possibile regolare di conseguenza il comportamento di DNS Firewall. Per ulteriori informazioni, consulta Usare DNS Firewall per filtrare il traffico DNS in uscita.

Per visualizzare e gestire la configurazione del firewall DNS di Route 53 Resolver, utilizzare la seguente procedura:

  1. Accedi AWS Management Console e apri la console Amazon VPC all'indirizzo. https://console.aws.amazon.com/vpc/

  2. In DNS Firewall, scegli Gruppi di regole.

  3. Rivedi, modifica o elimina la configurazione esistente o crea un nuovo gruppo di regole. Per ulteriori informazioni, consulta Come funziona Route 53 Resolver DNS Firewall.

Monitoraggio e sicurezza del firewall DNS di Amazon Route 53 Resolver

Amazon Route 53 DNS Firewall utilizza i concetti di associazione di regole, azione delle regole e priorità di valutazione delle regole. Un elenco di domini è un insieme riutilizzabile di specifiche di dominio utilizzate in una regola DNS Firewall all'interno di un gruppo di regole. Quando associ un gruppo di regole a un VPC, DNS Firewall confronta le query DNS con gli elenchi di dominio utilizzati nelle regole. Se DNS Firewall trova una corrispondenza, gestisce la query DNS in base all'azione della regola corrispondente. Per ulteriori informazioni sui gruppi di regole e sulle regole, consulta Gruppi di regole e regole del firewall DNS.

Gli elenchi di domini rientrano in due categorie principali:

  • Elenchi di domini gestiti, che AWS creano e gestiscono per te.

  • Elenchi di domini personalizzati, creati e gestiti dall'utente.

I gruppi di regole vengono valutati in base all'indice di priorità delle associazioni.

Per impostazione predefinita, AMS implementa una configurazione di base costituita dalle seguenti regole e gruppi di regole:

  • Un gruppo di regole denominato. DefaultSecurityMonitoringRule Il gruppo di regole ha la massima priorità di associazione disponibile al momento della creazione per ogni VPC esistente in ogni VPC abilitato. Regione AWS

  • Una regola denominata DefaultSecurityMonitoringRule con priorità 1 all'interno del gruppo di DefaultSecurityMonitoringRule regole, utilizzando l'elenco dei domini AWSManagedDomainsAggregateThreatList gestiti con l'azione ALERT.

Se si dispone di una configurazione esistente, la configurazione di base viene distribuita con una priorità inferiore rispetto alla configurazione esistente. La configurazione esistente è quella predefinita. La configurazione di base di AMS viene utilizzata come soluzione generica se la configurazione esistente non fornisce istruzioni con priorità più elevata su come gestire la risoluzione delle query. Per modificare o rimuovere la configurazione di base, esegui una delle seguenti operazioni:

Se il tuo account è gestito in modalità Sviluppatore o in modalità Direct Change, puoi eseguire tu stesso le modifiche.

AWS Certificate Manager Certificato (ACM)

AMS dispone di un certificato CT, Deployment | Advanced stack components | ACM con un certificato aggiuntivo SANs | Create (ct-3l14e139i5p50), che puoi utilizzare per inviare una richiesta di certificato AWS Certificate Manager, con un massimo di cinque nomi alternativi Subject (SAN) aggiuntivi (come example.com, example.net ed example.org). Per i dettagli, consulta What Is? AWS Certificate Manager e ACM Certificate Characteristic.

Nota

Questa impostazione di timeout non riguarda solo l'esecuzione, ma anche la convalida del certificato ACM tramite la convalida via e-mail. Senza la tua convalida, la RFC fallisce.

Crittografia dei dati in AMS

AMS utilizza diversi AWS servizi per la crittografia dei dati, in particolare Amazon Simple Storage Service, AWS Key Management Service (AWS KMS), Amazon Elastic Block Store, Amazon Relational Database Service Amazon Redshift e Amazon OpenSearch Service. Amazon ElastiCache AWS Lambda

Amazon S3

Amazon S3 offre diverse opzioni di crittografia degli oggetti che proteggono i dati in transito e inattivi. La crittografia lato server crittografa l'oggetto prima di salvarlo su disco nei suoi data center e quindi lo decrittografa al momento del download. Se la richiesta è autenticata e sono disponibili le autorizzazioni per l'accesso, non c'è differenza nelle modalità di accesso agli oggetti, crittografati o meno. Per ulteriori informazioni, consulta Protezione dei dati in Amazon S3.

Amazon EBS

Con la crittografia Amazon EBS, non è necessario creare, mantenere e proteggere la propria infrastruttura di gestione delle chiavi. La crittografia Amazon EBS utilizza AWS KMS le chiavi durante la creazione di volumi e istantanee crittografati. Le operazioni di crittografia avvengono sui server che ospitano EC2 le istanze Amazon. Questo viene fatto per garantire che sia data-at-rest l'istanza che data-in-transit tra un'istanza e lo storage Amazon EBS collegato siano sicuri. A un'istanza possono essere collegati contemporaneamente sia volumi crittografati che non crittografati. Per ulteriori informazioni, consulta Crittografia Amazon EBS.

Amazon RDS

Amazon RDS può crittografare le tue istanze database di Amazon RDS. I dati crittografati a riposo includono lo storage sottostante per le istanze DB, i relativi backup automatici, le repliche di lettura e le istantanee. Le istanze DB crittografate con Amazon RDS utilizzano l'algoritmo di crittografia AES-256 standard del settore per crittografare i dati sul server che ospita le istanze database di Amazon RDS. Dopo la crittografia dei dati, Amazon RDS gestisce l'autenticazione dell'accesso e la decrittografia dei dati in modo trasparente con un impatto minimo sulle prestazioni. Non è quindi necessario modificare le applicazioni client di database per utilizzare la crittografia. Per ulteriori informazioni, consulta Crittografia delle risorse Amazon RDS.

Amazon Simple Queue Service

Oltre all'opzione predefinita di crittografia lato server gestita (SSE) di Amazon SQS, Amazon SQS-Managed SSE (SSE-SQS) consente di creare una crittografia lato server gestita personalizzata che utilizza chiavi di crittografia gestite da Amazon SQS per proteggere i dati sensibili inviati tramite code di messaggi. La crittografia lato server (SSE) consente di trasmettere dati sensibili in code crittografate. SSE protegge il contenuto dei messaggi nelle code utilizzando chiavi di crittografia gestite da Amazon SQS (SSE-SQS) o chiavi gestite in (SSE-KMS). AWS KMS Per informazioni sulla gestione di SSE tramite Encryption at rest, consulta Encryption at rest. AWS Management Console

Crittografia dei dati a riposo

OpenSearch I domini di servizio offrono la crittografia dei dati inattivi, una funzionalità di sicurezza che aiuta a prevenire l'accesso non autorizzato ai dati. La funzionalità utilizza AWS Key Management Service (AWS KMS) per archiviare e gestire le chiavi di crittografia e l'algoritmo Advanced Encryption Standard con chiavi a 256 bit (AES-256) per eseguire la crittografia. Per ulteriori informazioni, consulta Encryption of Data at Rest for Amazon OpenSearch Service.

Gestione delle chiavi

AWS KMS è un servizio gestito che semplifica la creazione e il controllo delle chiavi master dei clienti (CMKs), le chiavi di crittografia utilizzate per crittografare i dati. AWS KMS CMKs sono protetti da moduli di sicurezza hardware (HSMs) convalidati dal programma di convalida dei moduli crittografici FIPS 140-2 tranne nelle regioni Cina (Pechino) e Cina (Ningxia). Per ulteriori informazioni, consulta Che cos'è AWS Key Management Service?