Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Monitoraggio della sicurezza per AWS CloudHSM
Per impostazione predefinita, AWS CloudHSM raccoglie i log di controllo HSM e li invia ad Amazon CloudWatch Logs per tuo conto. In questi dati di registro sono inclusi anche gli eventi relativi alla sicurezza. Si consiglia di monitorare i registri per verificare la presenza di eventi relativi alla sicurezza, come la creazione o l'eliminazione di determinati tipi di utenti o gli errori di accesso.
Non è possibile creare un allarme direttamente nel flusso di log. Innanzitutto, è necessario impostare un filtro metrico CloudWatch Logs, quindi è possibile creare un allarme sul filtro metrico.
La sezione descrive come configurare i filtri CloudWatch metrici e gli allarmi per i seguenti eventi relativi alla sicurezza in: AWS CloudHSM
Questa sezione descrive anche come configurare una EventBridge regola Amazon per i seguenti eventi relativi alla sicurezza in: AWS CloudHSM
Creazione di funzionari addetti alle criptovalute (consigliata)
Un ufficiale addetto alle AWS CloudHSM criptovalute (CO) può eseguire operazioni di gestione degli utenti. Ad esempio, possono creare ed eliminare utenti e modificare le password degli utenti. Pertanto, è importante tracciare e monitorare la creazione di nuove informazioni in COs modo da poter rilevare eventuali rischi per la sicurezza, come accessi non autorizzati o autorizzazioni con privilegi eccessivi.
La tabella seguente mostra i valori di configurazione per il filtro metrico. Per istruzioni su come configurare un filtro metrico, consulta Creare un filtro metrico per un gruppo di log nella documentazione di Logs. CloudWatch
| Proprietà | Valore |
|---|---|
| Pattern |
|
| Nome del gruppo di log | <Nome del gruppo di log per il cluster> AWS CloudHSM |
| Nome parametro |
|
| Namespace metrico | <Your custom namespace> |
| Valore del parametro |
|
La tabella seguente mostra i valori di configurazione per l'allarme. Per istruzioni su come configurare questo allarme, consulta Creare un CloudWatch allarme basato su un filtro metrico di gruppo di log nella documentazione di Logs. CloudWatch
| Proprietà | Valore |
|---|---|
| Namespace | <Custom namespace you created for the metric filter> |
| Statistic |
|
| Tipo di soglia |
|
| Ogni volta che la durata è |
|
| Oltre |
|
Creazione di utenti crittografici (consigliata)
Un utente AWS CloudHSM crittografico (CU) può eseguire la gestione delle chiavi e le operazioni crittografiche sull'HSM. Pertanto, è importante tracciare e monitorare la creazione di nuove informazioni in CUs modo da rilevare eventuali rischi per la sicurezza, come l'uso non autorizzato di chiavi di crittografia o autorizzazioni con privilegi eccessivi.
La tabella seguente mostra i valori di configurazione per il filtro metrico. Per istruzioni su come configurare un filtro metrico, consulta Creare un filtro metrico per un gruppo di log nella documentazione di Logs. CloudWatch
| Proprietà | Valore |
|---|---|
| Pattern |
|
| Nome del gruppo di log | <Nome del gruppo di log per il cluster> AWS CloudHSM |
| Nome parametro |
|
| Namespace metrico | <Your custom namespace> |
| Valore del parametro |
|
La tabella seguente mostra i valori di configurazione per l'allarme. Per istruzioni su come configurare questo allarme, consulta Creare un CloudWatch allarme basato su un filtro metrico di gruppo di log nella documentazione di Logs. CloudWatch
| Proprietà | Valore |
|---|---|
| Namespace | <Custom namespace you created for the metric filter> |
| Statistic |
|
| Tipo di soglia |
|
| Ogni volta che la durata è |
|
| Oltre |
|
Eliminazione dei funzionari o degli utenti addetti alle criptovalute (scelta consigliata)
Analogamente al monitoraggio della creazione di COs and CUs, è importante tenere traccia dell'eliminazione di questi tipi di utenti. Il monitoraggio dell'eliminazione degli utenti può aiutarti a rilevare problemi di accesso e identificare potenziali violazioni della sicurezza.
La tabella seguente mostra i valori di configurazione per il filtro metrico. Per istruzioni su come configurare un filtro metrico, consulta Creare un filtro metrico per un gruppo di log nella documentazione di Logs. CloudWatch
| Proprietà | Valore |
|---|---|
| Pattern |
|
| Nome del gruppo di log | <Nome del gruppo di log per il cluster> AWS CloudHSM |
| Nome parametro |
|
| Namespace metrico | <Your custom namespace> |
| Valore del parametro |
|
La tabella seguente mostra i valori di configurazione per l'allarme. Per istruzioni su come configurare questo allarme, consulta Creare un CloudWatch allarme basato su un filtro metrico di gruppo di log nella documentazione di Logs. CloudWatch
| Proprietà | Valore |
|---|---|
| Namespace | <Custom namespace you created for the metric filter> |
| Statistic |
|
| Tipo di soglia |
|
| Ogni volta che la durata è |
|
| Oltre |
|
Inserimento di nomi utente errati (consigliato)
Ti consigliamo di monitorare i tentativi di accesso con un nome utente errato. Questi possono indicare che qualcuno sta cercando di ottenere un accesso non autorizzato. Per prevenire l'affaticamento degli avvisi, l'allarme viene attivato se un utente inserisce il nome utente sbagliato due o più volte. È possibile configurare questo valore in base alle esigenze dell'organizzazione e delle politiche.
La tabella seguente mostra i valori di configurazione per il filtro metrico. Per istruzioni su come configurare un filtro metrico, consulta Creare un filtro metrico per un gruppo di log nella documentazione di Logs. CloudWatch
| Proprietà | Valore |
|---|---|
| Pattern |
|
| Nome del gruppo di log | <Nome del gruppo di log per il cluster> AWS CloudHSM |
| Nome parametro |
|
| Namespace metrico | <Your custom namespace> |
| Valore del parametro |
|
La tabella seguente mostra i valori di configurazione per l'allarme. Per istruzioni su come configurare questo allarme, consulta Creare un CloudWatch allarme basato su un filtro metrico di gruppo di log nella documentazione di Logs. CloudWatch
| Proprietà | Valore |
|---|---|
| Namespace | <Custom namespace you created for the metric filter> |
| Statistic |
|
| Tipo di soglia |
|
| Ogni volta che la durata è |
|
| Oltre |
|
Inserimento di password errate (consigliato)
Ti consigliamo di monitorare i tentativi di accesso con una password errata. Questi possono indicare che qualcuno sta cercando di ottenere un accesso non autorizzato. Per prevenire l'affaticamento degli avvisi, l'allarme viene attivato se un utente inserisce la password errata due o più volte. È possibile configurare questo valore in base alle esigenze dell'organizzazione e delle politiche.
La tabella seguente mostra i valori di configurazione per il filtro metrico. Per istruzioni su come configurare un filtro metrico, consulta Creare un filtro metrico per un gruppo di log nella documentazione di Logs. CloudWatch
| Proprietà | Valore |
|---|---|
| Pattern |
|
| Nome del gruppo di log | <Nome del gruppo di log per il cluster> AWS CloudHSM |
| Nome parametro |
|
| Namespace metrico | <Your custom namespace> |
| Valore del parametro |
|
La tabella seguente mostra i valori di configurazione per l'allarme. Per istruzioni su come configurare questo allarme, consulta Creare un CloudWatch allarme basato su un filtro metrico di gruppo di log nella documentazione di Logs. CloudWatch
| Proprietà | Valore |
|---|---|
| Namespace | <Custom namespace you created for the metric filter> |
| Statistic |
|
| Tipo di soglia |
|
| Ogni volta che la durata è |
|
| Oltre |
|
Chiamate API relative alla sicurezza (consigliate)
Il DeleteHsm monitoraggio delle chiamate ModifyCluster API e delle chiamate API AWS CloudHSM può fornire una supervisione fondamentale delle operazioni ad alto impatto. CopyBackupToRegion Queste chiamate API possono alterare il livello di sicurezza e lo stato operativo dell'infrastruttura. AWS CloudHSM
Implementando avvisi quasi in tempo reale per queste chiamate API, è possibile rilevare e rispondere tempestivamente a modifiche potenzialmente non autorizzate o accidentali ai cluster e ai cluster. HSMs Gli allarmi forniscono notifiche sulle azioni che possono influire sulla disponibilità delle chiavi crittografiche, sui trasferimenti di dati tra regioni o sulle configurazioni dei cluster. La vigilanza è essenziale per mantenere l'integrità e la disponibilità delle operazioni crittografiche sensibili. Gli allarmi aiutano a mantenere la conformità alle politiche di sicurezza e facilitano una risposta rapida agli incidenti. In definitiva, questo approccio di monitoraggio mirato migliora la governance complessiva della sicurezza delle AWS CloudHSM risorse perché fornisce alle parti interessate informazioni tempestive sui cambiamenti critici che potrebbero richiedere un'attenzione o una revisione immediata.
AWS CloudHSM è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o un Servizio AWS. CloudTrail acquisisce tutte le chiamate API AWS CloudHSM come eventi. In Amazon EventBridge, puoi creare una regola che monitora CloudTrail gli eventi associati a DeleteHsmCopyBackupToRegion, e le chiamate ModifyCluster API per AWS CloudHSM. Puoi configurare una destinazione che riceverà avvisi quando si verifica l'evento. Ti consigliamo di configurare un argomento Amazon Simple Notification Service (Amazon SNS) perché abilita avvisi quasi in tempo reale quando vengono eseguite queste operazioni critiche.
Quando crei una EventBridge regola, puoi personalizzare il testo che viene passato alla destinazione della regola. Il trasformatore di input estrae campi specifici dall'evento e li formatta in un messaggio conciso e informativo. L'avviso risultante fornisce un contesto immediato sull'evento, tra cui la chiamata API specifica Account AWS Regione AWS, l'ora dell'evento e l'identità dell'utente che ha eseguito l'azione.
Per creare la EventBridge regola
-
Segui le istruzioni in Definire la regola per inserire un nome e una descrizione personalizzati per la regola.
-
Segui le istruzioni riportate in Crea il modello di eventi. Scegli Modello personalizzato (editor JSON), quindi inserisci il seguente modello di evento:
{ "source": ["aws.cloudhsm"], "detail-type": ["AWS API Call via CloudTrail"], "detail": { "eventSource": ["cloudhsm.amazonaws.com"], "eventName": ["DeleteHsm", "CopyBackupToRegion", "ModifyCluster"] } } -
Segui le istruzioni in Seleziona obiettivi e tieni presente quanto segue:
-
Scegli l'argomento Amazon SNS che riceverà gli eventi che corrispondono allo schema specificato.
-
In Impostazioni aggiuntive, per Configura l'input target, scegli Input transformer.
-
Seleziona Configura il trasformatore di input.
-
In Percorso di input, inserisci quanto segue:
{ "account": "$.account", "region": "$.region", "eventName": "$.detail.eventName", "eventTime": "$.detail.eventTime", "userIdentity": "$.detail.userIdentity.arn" } -
In Modello, inserisci quanto segue:
{ "account": <account>, "region": <region>, "message": "Critical AWS CloudHSM operation detected: <eventName> was performed at <eventTime> by <userIdentity>" }
-
-
Segui le istruzioni in Configura i tag e rivedi la regola per completare la creazione della regola.