Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Security OU — Account Security Tooling

Il diagramma seguente illustra i servizi AWS di sicurezza configurati nell'account Security Tooling.

L'account Security Tooling è dedicato alla gestione dei servizi di sicurezza, al monitoraggio Account AWS e all'automazione degli avvisi e delle risposte di sicurezza. Gli obiettivi di sicurezza includono i seguenti:

Amministratore delegato per i servizi di sicurezza

L'account Security Tooling funge da account amministratore per i servizi di sicurezza gestiti in una administrator/member struttura in tutto il. Account AWS Come accennato in precedenza, questo viene gestito tramite la funzionalità di amministratore AWS Organizations delegato. I servizi dell' AWS SRA che attualmente supportano l'amministratore delegato includono la gestione centralizzata IAM dell'accesso root,, AWS Firewall Manager Amazon AWS Config, IAM Access Analyzer GuardDuty, Amazon Macie,, Amazon AWS Security Hub Detective, AWS Security Hub CSPM AWS Audit Manager Amazon Inspector e. AWS CloudTrail AWS Systems Manager Il tuo team di sicurezza gestisce le funzionalità di sicurezza di questi servizi e monitora eventuali eventi o risultati specifici in materia di sicurezza.

AWS IAM Identity Center supporta l'amministrazione delegata di un account membro. AWS SRA utilizza l'account Shared Services come account amministratore delegato per IAM Identity Center, come spiegato più avanti nella sezione IAM Identity Center dell'account Shared Services.

Accesso root centralizzato

L'account Security Tooling è l'account amministratore delegato per la gestione centralizzata IAM della funzionalità di accesso root. Questa funzionalità deve essere abilitata a livello di organizzazione abilitando la gestione delle credenziali e l'azione root privilegiata negli account dei membri. Agli amministratori delegati devono essere fornite esplicitamente sts:AssumeRoot le autorizzazioni per poter eseguire azioni root privilegiate per conto degli account dei membri. Questa autorizzazione è disponibile solo dopo che l'azione root privilegiata in un account membro è stata abilitata nell'account di gestione dell'organizzazione o nell'account amministratore delegato. Con questa autorizzazione, gli utenti possono eseguire attività di utente root privilegiato sugli account dei membri, centralmente dall'account Security Tooling. Dopo aver avviato una sessione privilegiata, è possibile eliminare una policy del bucket S3 non configurata correttamente, eliminare una politica di coda SQS non configurata correttamente, eliminare le credenziali dell'utente root per un account membro e riattivare le credenziali dell'utente root per un account membro. È possibile eseguire queste azioni dalla console, utilizzando () o tramite. AWS Command Line Interface AWS CLI APIs

AWS CloudTrail

AWS CloudTrailè un servizio che supporta la governance, la conformità e il controllo delle attività nel tuo Account AWS. Con CloudTrail, puoi registrare, monitorare continuamente e conservare le attività dell'account relative alle azioni sull' AWS infrastruttura. CloudTrail è integrato con AWS Organizations e tale integrazione può essere utilizzata per creare un unico percorso che registra tutti gli eventi per tutti gli account dell' AWS organizzazione. Questo tipo di trail viene indicato come trail dell'organizzazione. È possibile creare e gestire un percorso organizzativo solo dall'interno dell'account di gestione dell'organizzazione o da un account amministratore delegato. Quando si crea un percorso organizzativo, viene creato un percorso con il nome specificato in ogni percorso Account AWS che appartiene all' AWS organizzazione. Il trail registra l'attività di tutti gli account, incluso l'account di gestione, dell' AWS organizzazione e archivia i log in un unico bucket S3. Data la sensibilità di questo bucket S3, dovresti proteggerlo seguendo le best practice descritte nella sezione Amazon S3 come archivio di log centrale più avanti in questa guida. Tutti gli account AWS dell'organizzazione possono visualizzare il percorso dell'organizzazione nel proprio elenco di percorsi. Tuttavia, i membri Account AWS hanno accesso in sola visualizzazione a questo percorso. Per impostazione predefinita, quando si crea un percorso organizzativo nella CloudTrail console, il percorso è un percorso multiregionale. Per ulteriori best practice di sicurezza, consulta la CloudTraildocumentazione.

In AWS SRA, l'account Security Tooling è l'account amministratore delegato per la gestione. CloudTrail Il bucket S3 corrispondente per archiviare i log dell'organizzazione viene creato nell'account Log Archive. Questo serve a separare la gestione e l'utilizzo dei privilegi di CloudTrail registro. Per informazioni su come creare o aggiornare un bucket S3 per archiviare i file di registro per un percorso organizzativo, consulta la documentazione. CloudTrail Come best practice di sicurezza, aggiungi la chiave di aws:SourceArn condizione dell'organigramma alla politica delle risorse del bucket S3 (e a qualsiasi altra risorsa come le chiavi KMS o gli argomenti SNS). Ciò garantisce che il bucket S3 accetti solo i dati associati al percorso specifico. Il percorso è configurato con la convalida dei file di registro per la convalida dell'integrità dei file di registro. I file di log e digest vengono crittografati utilizzando SSE-KMS. L'organigramma è inoltre integrato con un gruppo di log in CloudWatch Logs per inviare eventi per la conservazione a lungo termine.

AWS Security Hub CSPM

AWS Security Hub Cloud Security Posture Management (AWS Security Hub CSPM), precedentemente noto come AWS Security Hub, ti offre una visione completa del tuo livello di sicurezza e ti aiuta a controllare il tuo ambiente rispetto agli AWS standard e alle migliori pratiche del settore della sicurezza. Security Hub CSPM raccoglie dati di sicurezza da servizi AWS integrati, prodotti di terze parti supportati e altri prodotti di sicurezza personalizzati che potresti utilizzare. Aiuta a monitorare e analizzare costantemente le tendenze di sicurezza e a identificare i problemi di sicurezza più importanti. Oltre alle fonti acquisite, Security Hub CSPM genera i propri risultati, che sono rappresentati da controlli di sicurezza mappati a uno o più standard di sicurezza. Questi standard includono AWS Foundational Security Best Practices (FSBP), Center for Internet Security (CIS) AWS Foundations Benchmark v1.20 e v1.4.0, National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5, Payment Card Industry Data Security Standard (PCI DSS) e standard di gestione dei servizi. Per un elenco degli standard di sicurezza attuali e dettagli su controlli di sicurezza specifici, vedere il riferimento agli standard per Security Hub CSPM nella documentazione CSPM di Security Hub.

Security Hub CSPM si integra AWS Organizations per semplificare la gestione del livello di sicurezza su tutti gli account esistenti e futuri dell'organizzazione. AWS È possibile utilizzare la funzionalità di configurazione centrale CSPM di Security Hub dall'account amministratore delegato (in questo caso, Security Tooling) per specificare in che modo il servizio CSPM di Security Hub, gli standard di sicurezza e i controlli di sicurezza sono configurati negli account e nelle unità organizzative dell'organizzazione () tra le regioni. OUs  È possibile configurare queste impostazioni in pochi passaggi da una regione principale, denominata regione di origine. Se non utilizzi la configurazione centrale, devi configurare Security Hub CSPM separatamente in ogni account e regione. L'amministratore delegato può designare account e OUs gestirli autonomamente, in cui il membro può configurare le impostazioni separatamente in ciascuna regione, oppure gestirli centralmente, in cui l'amministratore delegato può configurare l'account membro o l'unità organizzativa tra le regioni. È possibile designare tutti gli account e OUs quelli dell'organizzazione come gestiti centralmente, tutti autogestiti o una combinazione di entrambi. Ciò semplifica l'applicazione di una configurazione coerente, fornendo al contempo la flessibilità necessaria per modificarla per ogni unità organizzativa e account. 

L'account amministratore delegato Security Hub CSPM può anche visualizzare risultati, visualizzare approfondimenti e controllare i dettagli di tutti gli account dei membri. È inoltre possibile designare una regione di aggregazione all'interno dell'account amministratore delegato per centralizzare i risultati tra i propri account e le regioni collegate. I risultati vengono sincronizzati in modo continuo e bidirezionale tra la regione di aggregazione e tutte le altre regioni.

Security Hub CSPM supporta integrazioni con diversi. Servizi AWS Amazon GuardDuty, Amazon Macie AWS Config, IAM Access Analyzer, Amazon AWS Firewall Manager Inspector, Amazon Route 53 Resolver DNS Firewall e AWS Systems Manager Patch Manager possono inviare i risultati al Security Hub CSPM. Security Hub CSPM elabora i risultati utilizzando un formato standard chiamato AWS Security Finding Format (ASFF). Security Hub CSPM mette in correlazione i risultati tra i prodotti integrati per dare priorità a quelli più importanti. Puoi arricchire i metadati dei risultati CSPM di Security Hub per contribuire a contestualizzare, dare priorità e agire meglio sui risultati di sicurezza. Questo arricchimento aggiunge tag di risorsa, un nuovo tag di AWS applicazione e informazioni sul nome dell'account a ogni risultato che viene inserito in Security Hub CSPM. Ciò consente di ottimizzare i risultati per le regole di automazione, cercare o filtrare risultati e approfondimenti e valutare lo stato del livello di sicurezza per applicazione. Inoltre, puoi utilizzare le regole di automazione per aggiornare automaticamente i risultati. Quando Security Hub CSPM acquisisce i risultati, può applicare una serie di azioni relative alle regole, come sopprimere i risultati, modificarne la gravità e aggiungere note ai risultati. Queste azioni relative alle regole hanno effetto quando i risultati soddisfano i criteri specificati, ad esempio la risorsa o l'account a cui è associato IDs il risultato o il relativo titolo. È possibile utilizzare le regole di automazione per aggiornare alcuni campi di ricerca nell'ASFF. Le regole si applicano sia ai risultati nuovi che a quelli aggiornati.

Durante l'indagine su un evento di sicurezza, puoi passare dal CSPM di Security Hub ad Amazon Detective per indagare su un GuardDuty risultato. Security Hub CSPM consiglia di allineare gli account degli amministratori delegati per servizi come Detective (laddove esistono) per un'integrazione più fluida. Ad esempio, se non allinei gli account amministratore tra Detective e Security Hub CSPM, la navigazione dai risultati a Detective non funzionerà. Per un elenco completo, consulta Panoramica delle Servizio AWS integrazioni con Security Hub CSPM nella documentazione CSPM di Security Hub.

Puoi utilizzare Security Hub CSPM con la funzionalità Network Access Analyzer di Amazon VPC per monitorare continuamente la conformità della configurazione di rete. AWS Questo ti aiuterà a bloccare l'accesso indesiderato alla rete e a impedire l'accesso esterno alle risorse critiche. Per ulteriori dettagli sull'architettura e sull'implementazione, consulta il post AWS sul blog Verifica continua della conformità della rete utilizzando Amazon VPC Network Access Analyzer e. AWS Security Hub CSPM

Oltre alle sue funzionalità di monitoraggio, Security Hub CSPM supporta l'integrazione con Amazon EventBridge per automatizzare la correzione di risultati specifici. È possibile definire azioni personalizzate da intraprendere quando si riceve un risultato. Ad esempio, puoi configurare operazioni personalizzate per inviare risultati a un sistema di ticket o a un sistema di correzione automatizzato. Per ulteriori discussioni ed esempi, consulta i post del AWS blog Risposta e correzione automatizzate con AWS Security Hub CSPM e Come implementare la AWS soluzione per la risposta e la correzione automatizzate CSPM di Security Hub.

Security Hub CSPM utilizza service-linked Regole di AWS Config per eseguire la maggior parte dei controlli di sicurezza. Per supportare questi controlli, AWS Config deve essere abilitato su tutti gli account, inclusi l'account amministratore (o amministratore delegato) e gli account membro, in tutti gli account in cui è abilitato Security Regione AWS Hub CSPM.

AWS Security Hub

AWS Security Hubè una soluzione di sicurezza cloud unificata che dà priorità alle minacce critiche alla sicurezza e ti aiuta a rispondere su larga scala. Security Hub rileva i problemi di sicurezza quasi in tempo reale correlando e arricchendo automaticamente i segnali di sicurezza provenienti da più fonti, come la gestione della postura (AWS Security Hub CSPM), la gestione delle vulnerabilità (Amazon Inspector), i dati sensibili (Amazon Macie) e il rilevamento delle minacce (Amazon). GuardDuty Ciò consente ai team di sicurezza di dare priorità ai rischi attivi nei loro ambienti cloud attraverso analisi automatizzate e approfondimenti contestuali. Security Hub fornisce una rappresentazione visiva del potenziale percorso di attacco che gli aggressori possono sfruttare per accedere alle risorse associate a un rilevamento dell'esposizione. Questo trasforma segnali di sicurezza complessi in informazioni fruibili, in modo da poter prendere rapidamente decisioni informate sulla sicurezza.

Security Hub è stato riprogettato strategicamente per semplificare l'abilitazione degli elementi costitutivi dei servizi di sicurezza associati per arrivare a un risultato di sicurezza. Correlando i risultati sulla sicurezza in una matrice di minacce tra diversi segnali di sicurezza quasi in tempo reale, puoi dare priorità ai rischi più critici per primi. I risultati sono correlati per rilevare l'esposizione associata alle risorse. AWS Le esposizioni rappresentano punti deboli più ampi nei controlli di sicurezza, configurazioni errate o altre aree che potrebbero essere sfruttate dalle minacce attive. Ad esempio, un'esposizione potrebbe essere un' EC2 istanza raggiungibile da Internet e che presenta vulnerabilità software con un'elevata probabilità di sfruttamento.

Security Hub e Security Hub CSPM sono servizi complementari. Security Hub CSPM offre una visione completa del tuo livello di sicurezza e ti aiuta a valutare il tuo ambiente cloud rispetto agli standard e alle best practice del settore della sicurezza. Security Hub offre un'esperienza unificata che ti aiuta a stabilire le priorità e a rispondere ai problemi di sicurezza critici. I risultati CSPM di Security Hub vengono indirizzati automaticamente a Security Hub, dove vengono correlati ai risultati di altri servizi di sicurezza, come Amazon Inspector, per generare esposizioni. Questo ti aiuta a identificare i rischi più critici nel tuo ambiente. 

Security Hub fornisce anche un riepilogo delle risorse presenti nell' AWS ambiente per tipo e risultati associati. Alle risorse viene data priorità in base alle esposizioni e alle sequenze di attacco. Quando scegli un tipo di risorsa, puoi esaminare tutte le risorse associate a quel tipo di risorsa.

Per un'esperienza ottimale, consigliamo di abilitare Security Hub e Security Hub CSPM, oltre a questi altri servizi di sicurezza: Amazon GuardDuty, AmazonInspector e Amazon Macie. Puoi verificare se questi servizi e funzionalità sono abilitati in modo uniforme su tutti gli account membri della tua organizzazione utilizzando i risultati della copertura del Security Hub.

Nell' AWS SRA, l'account Security Tooling funge da amministratore delegato per Security Hub, Security Hub CSPM e altri servizi di sicurezza. AWS All'interno dell'account Security Tooling è possibile visualizzare tutte le risorse associate agli account dei membri. Puoi anche visualizzare tutte le risorse della tua home page Regione AWS da Linked Regioni AWS.

Amazon GuardDuty

Amazon GuardDuty è un servizio di rilevamento delle minacce che monitora continuamente le attività dannose e i comportamenti non autorizzati per proteggere i tuoi Account AWS carichi di lavoro. Devi sempre acquisire e archiviare i log appropriati per scopi di monitoraggio e controllo, ma GuardDuty estrae flussi di dati indipendenti direttamente dai log di flusso di AWS CloudTrail Amazon VPC e dai log DNS. AWS Non è necessario gestire le policy dei bucket di Amazon S3 o modificare il modo in cui raccogli e archivia i log. GuardDutyle autorizzazioni sono gestite come ruoli collegati ai servizi che puoi revocare in qualsiasi momento disabilitandoli. GuardDuty Ciò semplifica l'attivazione del servizio senza configurazioni complesse ed elimina il rischio che una modifica delle autorizzazioni IAM o una modifica della policy del bucket S3 influiscano sul funzionamento del servizio.

Oltre a fornire fonti di dati di base, GuardDuty offre funzionalità opzionali per identificare i problemi di sicurezza. Questi includono EKS Protection, RDS Protection, S3 Protection, Malware Protection e Lambda Protection. Per i nuovi rilevatori, queste funzionalità opzionali sono abilitate di default ad eccezione di EKS Protection, che deve essere abilitata manualmente.

GuardDuty fornisce inoltre una funzionalità nota come Extended Threat Detection che rileva automaticamente gli attacchi in più fasi che riguardano fonti di dati, più tipi di risorse e un periodo di tempo all'interno di AWS un. Account AWS GuardDutymette in correlazione questi eventi, denominati segnali, per identificare gli scenari che si presentano come potenziali minacce all' AWS ambiente e quindi genera una ricerca della sequenza di attacco. Sono compresi gli scenari di minaccia che comportano compromissioni legate all'uso improprio AWS delle credenziali e tentativi di compromissione dei dati nell'ambiente. Account AWS GuardDuty considera critici tutti i tipi di ricerca delle sequenze di attacco. Questa funzionalità è abilitata per impostazione predefinita e non comporta costi aggiuntivi.

Nell' AWS SRA, GuardDuty è abilitata in tutti gli account tramite AWS Organizations e tutti i risultati sono visualizzabili e utilizzabili dai team di sicurezza appropriati nell'account amministratore GuardDuty delegato (in questo caso, l'account Security Tooling). GuardDuty i risultati attivi vengono esportati in un bucket S3 centrale nell'account Log Archive, in modo da poterli conservare per più di 90 giorni. I risultati vengono esportati dall'account amministratore delegato e includono anche tutti i risultati degli account dei membri associati nella stessa regione. I risultati nel bucket S3 sono crittografati con una AWS KMS chiave gestita dal cliente. La policy del bucket S3 e la policy delle chiavi KMS sono configurate per consentire solo GuardDuty l'utilizzo delle risorse.

Quando AWS Security Hub CSPM è abilitato, GuardDuty i risultati vengono trasferiti automaticamente a Security Hub CSPM e Security Hub. Quando Amazon Detective è abilitato, GuardDuty i risultati vengono inclusi nel processo di inserimento dei log di Detective. GuardDuty e Detective supportano i flussi di lavoro degli utenti con più servizi, dove GuardDuty fornisce collegamenti dalla console che reindirizzano l'utente da un risultato selezionato a una pagina Detective che contiene un set curato di visualizzazioni per indagare su tale risultato. Ad esempio, puoi anche integrarti GuardDuty con Amazon EventBridge per automatizzare le migliori pratiche GuardDuty, come l'automazione delle risposte a nuove GuardDuty scoperte.

AWS Config

AWS Configè un servizio che consente di valutare, controllare e valutare le configurazioni delle risorse supportate nel vostro. AWS Account AWS AWS Config monitora e registra continuamente le configurazioni AWS delle risorse e valuta automaticamente le configurazioni registrate rispetto alle configurazioni desiderate. È inoltre possibile integrarsi AWS Config con altri servizi per svolgere il lavoro pesante delle pipeline di audit e monitoraggio automatizzate. Ad esempio, AWS Config può monitorare le modifiche ai singoli segreti in Gestione dei segreti AWS.

È possibile valutare le impostazioni di configurazione AWS delle risorse utilizzando Regole di AWS Config. AWS Config fornisce una libreria di regole predefinite personalizzabili denominate regole gestite oppure è possibile scrivere regole personalizzate. È possibile eseguire Regole di AWS Config in modalità proattiva (prima che le risorse siano state distribuite) o in modalità investigativa (dopo che le risorse sono state distribuite). Le risorse possono essere valutate in caso di modifiche alla configurazione, in base a una pianificazione periodica o in entrambi i casi. 

Un pacchetto di conformità è una raccolta di AWS Config regole e azioni correttive che possono essere implementate come singola entità in un account e in una regione o all'interno di un'organizzazione in. AWS Organizations I pacchetti di conformità vengono creati creando un modello YAML che contiene l'elenco di regole gestite o personalizzate e azioni correttive. AWS Config Per iniziare a valutare il tuo AWS ambiente, usa uno dei modelli di pacchetto di conformità di esempio.

AWS Config si integra con AWS Security Hub CSPM per inviare i risultati delle valutazioni AWS Config gestite e personalizzate delle regole come risultati in Security Hub CSPM.

Regole di AWS Config può essere utilizzato insieme a per correggere efficacemente le risorse AWS Systems Manager non conformi. Si utilizza Systems Manager Explorer per raccogliere lo stato di conformità delle AWS Config regole in vigore Regioni AWS e quindi utilizzare i documenti di Systems Manager Automation (runbook) per risolvere le regole non conformi AWS Config . Account AWS Per i dettagli sull'implementazione, consulta il post di blog Rimediare alle regole non AWS Config conformi con i runbook di automazione. AWS Systems Manager

L' AWS Config aggregatore raccoglie dati di configurazione e conformità su più account, regioni e organizzazioni in. AWS Organizations La dashboard dell'aggregatore mostra i dati di configurazione delle risorse aggregate. I dashboard di inventario e conformità offrono informazioni essenziali e aggiornate sulle configurazioni AWS delle risorse e sullo stato di conformità all'interno Account AWS, all'interno o all'interno di un' Regioni AWS organizzazione. AWS Consentono di visualizzare e valutare l'inventario AWS delle risorse senza dover scrivere domande avanzate. AWS Config Puoi ottenere informazioni essenziali come un riepilogo della conformità per risorse, i primi 10 account con risorse non conformi, un confronto tra le EC2 istanze in esecuzione e quelle interrotte per tipo e i volumi EBS per tipo e dimensione di volume.

Se gestisci la tua AWS organizzazione, questa implementerà una serie di AWS Config regole come barriere investigative (classificate come obbligatorie, fortemente consigliate o facoltative). AWS Control Tower Queste barriere ti aiutano a gestire le tue risorse e a monitorare la conformità tra gli account della tua organizzazione. AWS Queste AWS Config regole utilizzeranno automaticamente un aws-control-tower tag con un valore di. managed-by-control-tower

AWS Config deve essere abilitato per ogni account membro dell' AWS organizzazione e Regione AWS deve contenere le risorse che si desidera proteggere. È possibile gestire centralmente (ad esempio, creare, aggiornare ed eliminare) AWS Config le regole per tutti gli account all'interno AWS dell'organizzazione. Dall'account amministratore AWS Config delegato, è possibile implementare un insieme comune di AWS Config regole per tutti gli account e specificare gli account in cui AWS Config le regole non devono essere create. L'account amministratore AWS Config delegato può anche aggregare i dati di configurazione e conformità delle risorse di tutti gli account membri per fornire una vista unica. Utilizza l'account APIs dell'amministratore delegato per applicare la governance assicurandoti che le AWS Config regole sottostanti non possano essere modificate dagli account dei membri dell'organizzazione. AWS AWS Config è integrato nativamente a cui inviare i risultati AWS Security Hub CSPM, se Security Hub CSPM è abilitato ed esiste almeno una regola AWS Config gestita o personalizzata.

In AWS SRA, l'account amministratore AWS Config delegato è l'account Security Tooling. Il canale AWS Config di distribuzione è configurato per fornire istantanee della configurazione delle risorse in un bucket S3 centralizzato nell'account Log Archive. Poiché l'account Log Archive è l'archivio centrale dell'archivio dei log, viene utilizzato per archiviare la configurazione delle risorse.

Amazon Security Lake

Amazon Security Lake è un servizio di data lake di sicurezza completamente gestito. Puoi utilizzare Security Lake per centralizzare automaticamente i dati di sicurezza provenienti da AWS ambienti, fornitori di software as a service (SaaS), locali e fonti di terze parti. Security Lake ti aiuta a creare una fonte di dati normalizzata che semplifica l'uso degli strumenti di analisi rispetto ai dati di sicurezza, in modo da ottenere una comprensione più completa del tuo livello di sicurezza in tutta l'organizzazione. Il data lake è supportato da bucket Amazon Simple Storage Service (Amazon S3) e tu mantieni la proprietà dei tuoi dati. Security Lake raccoglie automaticamente i log per Servizi AWS, tra cui, log di audit, risultati e log AWS Security Hub CSPM di AWS CloudTrail Amazon VPC, Amazon Route 53 AWS Lambda, Amazon S3 e Amazon EKS. AWS WAF

AWS SRA consiglia di utilizzare l'account Log Archive come account amministratore delegato per Security Lake. Per ulteriori informazioni sulla configurazione dell'account amministratore delegato, consulta Amazon Security Lake nella sezione Security OU ‒ Account di archiviazione dei log. I team di sicurezza che desiderano accedere ai dati di Security Lake o hanno bisogno della possibilità di scrivere log non nativi nei bucket Security Lake utilizzando funzioni personalizzate di estrazione, trasformazione e caricamento (ETL) devono operare all'interno dell'account Security Tooling.

Security Lake può raccogliere log da diversi provider cloud, log da soluzioni di terze parti o altri log personalizzati. Si consiglia di utilizzare l'account Security Tooling per eseguire le funzioni ETL per convertire i log in formato Open Cybersecurity Schema Framework (OCSF) e generare un file in formato Apache Parquet. Security Lake crea il ruolo tra account con le autorizzazioni appropriate per l'account Security Tooling e l'origine personalizzata supportata da funzioni Lambda o AWS Glue crawler, per scrivere dati nei bucket S3 per Security Lake.

L'amministratore di Security Lake deve configurare i team di sicurezza che utilizzano l'account Security Tooling e richiedono l'accesso ai log raccolti da Security Lake come abbonati. Security Lake supporta due tipi di accesso per gli abbonati:

Per ulteriori informazioni sulla creazione di abbonati, consulta Gestione degli abbonati nella documentazione di Security Lake.  

Per le migliori pratiche per l'acquisizione di fonti personalizzate, consulta Raccolta di dati da fonti personalizzate nella documentazione di Security Lake.

Puoi utilizzare Amazon Quick Sight, Amazon OpenSearch Service e Amazon SageMaker per configurare analisi sui dati di sicurezza archiviati in Security Lake.

Amazon Macie

Amazon Macie è un servizio di sicurezza e privacy dei dati completamente gestito che utilizza l'apprendimento automatico e il pattern matching per scoprire e proteggere i tuoi dati sensibili in. AWSÈ necessario identificare il tipo e la classificazione dei dati che il carico di lavoro sta elaborando per garantire l'applicazione dei controlli appropriati. Puoi utilizzare Macie per automatizzare l'individuazione e la segnalazione di dati sensibili in due modi: eseguendo il rilevamento automatico dei dati sensibili e creando ed eseguendo processi di rilevamento di dati sensibili. Con il rilevamento automatico dei dati sensibili, Macie valuta l'inventario dei bucket S3 su base giornaliera e utilizza tecniche di campionamento per identificare e selezionare oggetti S3 rappresentativi dai bucket. Macie recupera e analizza quindi gli oggetti selezionati, ispezionandoli alla ricerca di dati sensibili. I lavori di rilevamento di dati sensibili forniscono un'analisi più approfondita e mirata. Con questa opzione, definisci l'ampiezza e la profondità dell'analisi, inclusi i bucket S3 da analizzare, la profondità di campionamento e i criteri personalizzati che derivano dalle proprietà degli oggetti S3. Se Macie rileva un potenziale problema con la sicurezza o la privacy di un bucket, crea una policy per te. Il rilevamento automatico dei dati è abilitato di default per tutti i nuovi clienti Macie e i clienti Macie esistenti possono abilitarlo con un clic.

Macie è abilitato in tutti gli account tramite. AWS Organizations I responsabili che dispongono delle autorizzazioni appropriate nell'account amministratore delegato (in questo caso, l'account Security Tooling) possono abilitare o sospendere Macie in qualsiasi account, creare processi di rilevamento di dati sensibili per i bucket di proprietà degli account dei membri e visualizzare tutti i risultati delle politiche per tutti gli account membri. I risultati relativi ai dati sensibili possono essere visualizzati solo dall'account che ha creato il processo relativo ai dati sensibili. Per ulteriori informazioni, consulta Gestire più account Macie come organizzazione nella documentazione di Macie.

I risultati di Macie vengono esaminati e AWS Security Hub CSPM analizzati. Macie si integra anche con Amazon EventBridge per facilitare le risposte automatiche ai risultati come avvisi, feed ai sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) e la riparazione automatica.

Sistema di analisi degli accessi IAM

Per accelerare il percorso di Cloud AWS adozione e continuare a innovare, è fondamentale mantenere uno stretto controllo sugli accessi dettagliati (autorizzazioni), contenere la proliferazione degli accessi e garantire che le autorizzazioni vengano utilizzate in modo efficace. Un accesso eccessivo e inutilizzato presenta problemi di sicurezza e rende più difficile per le aziende applicare il principio del privilegio minimo. Questo principio è un importante pilastro dell'architettura di sicurezza che implica il continuo dimensionamento corretto delle autorizzazioni IAM per bilanciare i requisiti di sicurezza con i requisiti operativi e di sviluppo delle applicazioni. Questo impegno coinvolge diverse parti interessate, tra cui i team di sicurezza centrale e del Cloud Center of Excellence (CCoE), nonché i team di sviluppo decentralizzati.

AWS Identity and Access Management Access Analyzer fornisce strumenti per impostare in modo efficiente le autorizzazioni granulari, verificare le autorizzazioni previste e perfezionare le autorizzazioni rimuovendo gli accessi non utilizzati per aiutarti a soddisfare gli standard di sicurezza aziendali. Offre visibilità sull'accesso esterno e interno alle risorse e sui risultati degli accessi non utilizzati tramite dashboard e. AWSAWS Security Hub CSPM Inoltre, supporta Amazon EventBridge per flussi di lavoro di notifica e correzione personalizzati basati su eventi.

La funzionalità di analisi degli accessi esterni di IAM Access Analyzer consente di identificare le risorse AWS dell'organizzazione e degli account, come i bucket Amazon S3 o i ruoli IAM, condivisi con un'entità esterna. L' AWS organizzazione o l'account che scegli è nota come zona di fiducia. L'analizzatore utilizza il ragionamento automatico per analizzare tutte le risorse supportate all'interno della zona di fiducia e genera risultati per i responsabili che possono accedere alle risorse dall'esterno della zona di fiducia. Questi risultati aiutano a identificare le risorse condivise con un'entità esterna e consentono di visualizzare in anteprima in che modo la politica influenzi l'accesso pubblico e interaccount alla risorsa prima di distribuire le autorizzazioni per le risorse. Questa funzionalità è disponibile senza costi aggiuntivi.

Allo stesso modo, la funzione di ricerca degli analizzatori di accesso interni di IAM Access Analyzer consente di identificare le risorse AWS dell'organizzazione e gli account condivisi con i responsabili interni all'organizzazione o all'account. Questa analisi supporta il principio del privilegio minimo garantendo che le risorse specificate siano accessibili solo ai responsabili designati all'interno dell'organizzazione. Si tratta di una funzionalità a pagamento che richiede una configurazione esplicita delle risorse da ispezionare. Utilizzate questa funzionalità in modo oculato per monitorare risorse sensibili specifiche che, per progettazione, devono essere bloccate anche internamente.

I risultati di IAM Access Analyzer ti aiutano anche a identificare gli accessi non utilizzati concessi nelle tue AWS organizzazioni e nei tuoi account, tra cui: 

Puoi utilizzare i risultati generati da IAM Access Analyzer per ottenere visibilità e porre rimedio a qualsiasi accesso non intenzionale o non utilizzato in base alle politiche e agli standard di sicurezza della tua organizzazione. Dopo la correzione, questi risultati vengono contrassegnati come risolti alla successiva esecuzione dell'analizzatore. Se il risultato è intenzionale, puoi contrassegnarlo come archiviato in IAM Access Analyzer e dare priorità ad altri risultati che presentano un rischio maggiore per la sicurezza. Inoltre, puoi impostare regole di archiviazione per archiviare automaticamente risultati specifici. Ad esempio, puoi creare una regola di archiviazione per archiviare automaticamente tutti i risultati per un bucket Amazon S3 specifico a cui concedi regolarmente l'accesso. 

In qualità di builder, puoi utilizzare IAM Access Analyzer per eseguire controlli automatici delle policy IAM nelle prime fasi del processo di sviluppo e implementazione (CI/CD) per rispettare gli standard di sicurezza aziendali. Puoi integrare i controlli e le revisioni delle politiche personalizzati di IAM Access Analyzer AWS CloudFormation per automatizzare le revisioni delle politiche come parte delle pipeline del tuo team di sviluppo. CI/CD Questo include: 

I team di sicurezza e altri autori di policy IAM possono utilizzare IAM Access Analyzer per creare policy conformi alla grammatica e agli standard di sicurezza delle policy IAM. La creazione manuale di policy della giusta dimensione può essere soggetta a errori e richiedere molto tempo. La funzionalità di generazione delle policy di IAM Access Analyzer aiuta a creare policy IAM basate sull'attività di accesso del principale. IAM Access Analyzer esamina AWS CloudTrail i log relativi ai servizi supportati e genera un modello di policy che contiene le autorizzazioni utilizzate dal principale nell'intervallo di date specificato. È quindi possibile utilizzare questo modello per creare una policy con autorizzazioni granulari che conceda solo le autorizzazioni necessarie.

IAM Access Analyzer viene distribuito nell'account Security Tooling tramite la funzionalità di amministratore delegato in. AWS Organizations L'amministratore delegato dispone delle autorizzazioni per creare e gestire analizzatori con l'organizzazione come zona di fiducia. AWS

AWS Firewall Manager

AWS Firewall Manageraiuta a proteggere la rete semplificando le attività di amministrazione e manutenzione per AWS WAF i AWS Shield Advanced gruppi AWS Network Firewall di sicurezza Amazon VPC e il firewall DNS su più account Amazon Route 53 Resolver e risorse. Con Firewall Manager, puoi configurare le regole del AWS WAF firewall, le protezioni Shield Advanced, i gruppi di sicurezza Amazon VPC, i firewall Network Firewall e le associazioni dei gruppi di regole DNS Firewall solo una volta. Il servizio applica automaticamente le regole e le protezioni su tutti gli account e le risorse, anche quando vengono aggiunte nuove risorse.

Firewall Manager è particolarmente utile quando si desidera proteggere l'intera AWS organizzazione anziché un numero limitato di account e risorse specifici o se si aggiungono frequentemente nuove risorse da proteggere. Firewall Manager utilizza le policy di sicurezza per consentire di definire una serie di configurazioni, incluse le regole, le protezioni e le azioni pertinenti che devono essere implementate e gli account e le risorse (indicati dai tag) da includere o escludere. È possibile creare configurazioni granulari e flessibili pur rimanendo in grado di scalare il controllo fino a un numero elevato di account e. VPCs Queste politiche applicano in modo automatico e coerente le regole configurate anche quando vengono creati nuovi account e risorse. Firewall Manager è abilitato in tutti gli AWS Organizations account e la configurazione e la gestione vengono eseguite dai team di sicurezza appropriati nell'account amministratore delegato di Firewall Manager (in questo caso, l'account Security Tooling).

È necessario abilitarlo AWS Config per ogni Regione AWS elemento contenente le risorse che si desidera proteggere. Se non si desidera abilitare AWS Config per tutte le risorse, è necessario abilitarla per le risorse associate al tipo di policy di Firewall Manager che si utilizza. Quando si utilizzano entrambi AWS Security Hub CSPM e Firewall Manager, Firewall Manager invia automaticamente i risultati a Security Hub CSPM. Firewall Manager crea i risultati per le risorse che non sono conformi e per gli attacchi rilevati e li invia a Security Hub CSPM. Quando si imposta una policy di Firewall Manager per AWS WAF, è possibile abilitare centralmente la registrazione sulle liste di controllo degli accessi Web (web ACLs) per tutti gli account interessati e centralizzare i log in un unico account.

Con Firewall Manager puoi avere uno o più amministratori in grado di gestire le risorse firewall della tua organizzazione. Quando si assegnano più amministratori, è possibile applicare condizioni di ambito amministrativo restrittive per definire le risorse (account, regioni OUs, tipi di policy) che ogni amministratore può gestire. Ciò offre la flessibilità necessaria per ricoprire diversi ruoli di amministratore all'interno dell'organizzazione e consente di mantenere il principio dell'accesso con privilegi minimi. L' AWS SRA utilizza un amministratore con ambito amministrativo completo delegato all'account Security Tooling.

Amazon EventBridge

Amazon EventBridge è un servizio di bus eventi senza server che semplifica la connessione delle applicazioni con dati provenienti da una varietà di fonti. Viene spesso utilizzato nell'automazione della sicurezza. Puoi impostare regole di routing per determinare dove inviare i dati per creare architetture applicative che reagiscano in tempo reale a tutte le tue fonti di dati. Puoi creare un bus di eventi personalizzato per ricevere eventi dalle tue applicazioni personalizzate, oltre a utilizzare il bus di eventi predefinito in ogni account. È possibile creare un bus di eventi nell'account Security Tooling in grado di ricevere eventi specifici di sicurezza da altri account dell'organizzazione. AWS Ad esempio, collegando Amazon GuardDuty e AWS Security Hub CSPM with Regole di AWS Config EventBridge, crei una pipeline flessibile e automatizzata per il routing dei dati di sicurezza, la generazione di avvisi e la gestione delle azioni per risolvere i problemi.

Amazon Detective

Amazon Detective supporta la tua strategia di controllo della sicurezza reattivo semplificando l'analisi, l'indagine e l'identificazione rapida della causa principale dei risultati di sicurezza o delle attività sospette per i tuoi analisti di sicurezza. Detective estrae automaticamente eventi basati sul tempo come tentativi di accesso, chiamate API e traffico di rete dai log e dai AWS CloudTrail log di flusso di Amazon VPC. Detective utilizza questi eventi utilizzando flussi di CloudTrail log indipendenti e log di flusso di Amazon VPC. Puoi usare Detective per accedere a un massimo di un anno di dati storici sugli eventi. Detective utilizza l'apprendimento automatico e la visualizzazione per creare una visione unificata e interattiva del comportamento delle risorse e delle interazioni tra di esse nel tempo, chiamata grafico comportamentale. Puoi esplorare il grafico comportamentale per esaminare diverse azioni, come tentativi di accesso falliti o chiamate API sospette.

Detective si integra con Amazon Security Lake per consentire agli analisti della sicurezza di interrogare e recuperare i log archiviati in Security Lake. Puoi utilizzare questa integrazione per ottenere informazioni aggiuntive dai log e dai CloudTrail log di flusso di Amazon VPC archiviati in Security Lake durante le indagini di sicurezza in Detective.

Detective acquisisce anche i risultati rilevati da Amazon GuardDuty, comprese le minacce rilevate da GuardDuty Runtime Monitoring. Quando un account abilita Detective, diventa l'account amministratore per il grafico del comportamento. Prima di provare ad abilitare Detective, assicurati che il tuo account sia registrato GuardDuty da almeno 48 ore. Se non soddisfi questo requisito, non puoi abilitarlo. DetectiveDetective

Altre fonti di dati opzionali per Detective includono i log di audit di Amazon EKS e AWS Security Hub CSPM. L'origine dati dei log di audit di Amazon EKS migliora le informazioni fornite sui seguenti tipi di entità: cluster Amazon EKS, pod Kubernetes, immagini di container e soggetti Kubernetes. La fonte di dati Security Hub fa parte dei risultati di AWS sicurezza, in quanto mette in correlazione i risultati dei diversi prodotti in Security Hub e li inserisce in Detective.

Detective raggruppa automaticamente più risultati correlati a un singolo evento di compromissione della sicurezza in gruppi di ricerca. Gli autori delle minacce in genere eseguono una sequenza di azioni che portano a molteplici risultati di sicurezza distribuiti tra tempo e risorse. Pertanto, i gruppi di ricerca dovrebbero essere il punto di partenza per le indagini che coinvolgono più entità e risultati. Detective fornisce anche riepiloghi dei gruppi di ricerca utilizzando l'intelligenza artificiale generativa che analizza automaticamente i gruppi di ricerca e fornisce approfondimenti in linguaggio naturale per aiutarti ad accelerare le indagini di sicurezza.

Detective si integra con AWS Organizations. L'account Org Management delega un account membro come account amministratore di Detective. In AWS SRA, questo è l'account Security Tooling. L'account amministratore Detective ha la capacità di abilitare automaticamente tutti gli account dei membri correnti dell'organizzazione come account membri di Detective e anche di aggiungere nuovi account membro man mano che vengono aggiunti all' AWS organizzazione. Gli account amministratore Detective hanno anche la possibilità di invitare gli account dei membri che attualmente non risiedono nell' AWS organizzazione, ma si trovano nella stessa regione, a contribuire con i propri dati al grafico del comportamento dell'account principale. Quando un account membro accetta l'invito ed è abilitato, Detective inizia a inserire ed estrarre i dati dell'account membro in quel grafico comportamentale.

AWS Audit Manager

AWS Audit Managerti aiuta a controllare continuamente il tuo AWS utilizzo per semplificare la gestione degli audit e della conformità alle normative e agli standard di settore. Consente di passare dalla raccolta, revisione e gestione manuale delle prove a una soluzione che automatizza la raccolta delle prove, fornisce un modo semplice per tracciare la fonte delle prove di audit, consente la collaborazione in team e aiuta a gestire la sicurezza e l'integrità delle prove. Quando è il momento di effettuare un audit, Gestione audit aiuta a gestire le revisioni dei controlli effettuati dalle parti interessate.

Con Audit Manager è possibile eseguire l'audit sulla base di framework predefiniti come il benchmark Center for Internet Security (CIS), il benchmark CIS AWS Foundations, System and Organization Controls 2 (SOC 2) e il Payment Card Industry Data Security Standard (PCI DSS). Inoltre, offre la possibilità di creare framework personalizzati con controlli standard o personalizzati in base ai requisiti specifici per gli audit interni.

Audit Manager raccoglie quattro tipi di prove. Vengono automatizzati tre tipi di prove: prove di verifica della conformità provenienti da AWS Config e AWS Security Hub CSPM, prove di eventi di gestione e prove di configurazione derivanti da chiamate AWS service-to-service API. AWS CloudTrail Per le prove che non possono essere automatizzate, Audit Manager consente di caricare prove manuali.

Per impostazione predefinita, i dati in Audit Manager sono crittografati utilizzando chiavi AWS gestite. L' AWS SRA utilizza una chiave gestita dal cliente per la crittografia per fornire un maggiore controllo sull'accesso logico. È inoltre necessario configurare un bucket S3 nel punto in Regione AWS cui Audit Manager pubblica il rapporto di valutazione. Questi bucket devono essere crittografati con una chiave gestita dal cliente e avere una policy sui bucket configurata per consentire solo agli Audit Manager di pubblicare report.  

Le valutazioni di Audit Manager possono essere eseguite su più account nelle AWS organizzazioni. Audit Manager raccoglie e consolida le prove in un account amministratore delegato in. AWS Organizations Questa funzionalità di controllo viene utilizzata principalmente dai team addetti alla conformità e agli audit interni e richiede solo l'accesso in lettura a. Account AWS

AWS Artifact

AWS Artifactè ospitato all'interno dell'account Security Tooling per separare la funzionalità di gestione degli artefatti di conformità dall'account Org Management. AWS Questa separazione dei compiti è importante perché si consiglia di evitare di utilizzare l'account di gestione dell' AWS organizzazione per le distribuzioni a meno che non sia assolutamente necessario. Invece, trasferisci le distribuzioni agli account dei membri. Poiché la gestione degli artefatti di controllo può essere eseguita da un account membro e la funzione è strettamente allineata con il team di sicurezza e conformità, l'account Security Tooling è designato come account amministratore per. AWS ArtifactÈ possibile utilizzare AWS Artifact i report per scaricare documenti AWS di sicurezza e conformità, come le certificazioni AWS ISO, i report PCI (Payment Card Industry) e i report SOC (System and Organization Controls).

AWS Artifact non supporta la funzionalità di amministrazione delegata. Puoi invece limitare questa funzionalità ai soli ruoli IAM nell'account Security Tooling che riguardano i tuoi team di audit e conformità, in modo che possano scaricare, esaminare e fornire tali report a revisori esterni, se necessario. Puoi inoltre limitare ruoli IAM specifici in modo che abbiano accesso solo a AWS Artifact report specifici tramite le policy IAM. Per esempi di policy IAM, consulta la AWS Artifact documentazione.

AWS KMS

AWS Key Management Service(AWS KMS) consente di creare e gestire chiavi crittografiche e di controllarne l'uso in un'ampia gamma di applicazioni e all'interno di esse. Servizi AWS AWS KMS è un servizio sicuro e resiliente che utilizza moduli di sicurezza hardware per proteggere le chiavi crittografiche. Segue i processi del ciclo di vita standard del settore per i materiali chiave, come l'archiviazione, la rotazione e il controllo dell'accesso alle chiavi. AWS KMS può aiutare a proteggere i dati con chiavi di crittografia e firma e può essere utilizzato sia per la crittografia lato server che per la crittografia lato client tramite Encryption SDK.AWS Per motivi di protezione e flessibilità, AWS KMS supporta tre tipi di chiavi: chiavi gestite dal cliente, chiavi gestite e chiavi di AWS proprietà. AWS Le chiavi gestite dal cliente sono AWS KMS chiavi Account AWS che potete creare, possedere e gestire. AWS le chiavi gestite sono AWS KMS chiavi del tuo account che vengono create, gestite e utilizzate per tuo conto da un Servizio AWS utente integrato con AWS KMS. AWS le chiavi possedute sono una raccolta di AWS KMS chiavi Servizio AWS possedute e gestite per essere utilizzate in più lingue Account AWS. Per ulteriori informazioni sull'uso AWS KMS delle chiavi, consulta la AWS KMS documentazione e i dettagli AWS KMS crittografici.

Un'opzione di implementazione consiste nel centralizzare la responsabilità della gestione delle AWS KMS chiavi su un singolo account, delegando al contempo la possibilità di utilizzare le chiavi nell'account dell'applicazione per le risorse dell'applicazione utilizzando una combinazione di politiche chiave e IAM. Questo approccio è sicuro e semplice da gestire, ma è possibile incontrare ostacoli dovuti ai limiti di AWS KMS throttling, ai limiti dei servizi di account e al sovraccarico del team di sicurezza delle attività operative di gestione delle chiavi. Un'altra opzione di implementazione consiste nell'adottare un modello decentralizzato in cui sia possibile risiedere in più account e consentire AWS KMS ai responsabili dell'infrastruttura e dei carichi di lavoro di un account specifico di gestire le proprie chiavi. Questo modello offre ai team addetti al carico di lavoro maggiore controllo, flessibilità e agilità sull'uso delle chiavi di crittografia. Inoltre, aiuta a evitare i limiti delle API, limita l'ambito di impatto a uno Account AWS solo e semplifica la reportistica, il controllo e altre attività relative alla conformità. In un modello decentralizzato è importante implementare e applicare dei guardrail in modo che le chiavi decentralizzate siano gestite nello stesso modo e l'utilizzo delle chiavi sia verificato in base alle migliori pratiche e politiche consolidate. AWS KMS Per ulteriori informazioni, consulta il white paper Best Practices.AWS Key Management Service AWS SRA consiglia un modello di gestione delle chiavi distribuito in cui AWS KMS le chiavi risiedono localmente all'interno dell'account in cui vengono utilizzate. Si consiglia di evitare di utilizzare una sola chiave in un unico account per tutte le funzioni crittografiche. Le chiavi possono essere create in base ai requisiti di protezione delle funzioni e dei dati e per applicare il principio del privilegio minimo. In alcuni casi, le autorizzazioni di crittografia verrebbero mantenute separate dalle autorizzazioni di decrittografia e gli amministratori gestirebbero le funzioni del ciclo di vita ma non sarebbero in grado di crittografare o decrittografare i dati con le chiavi che gestiscono.

Nell'account Security Tooling, AWS KMS viene utilizzato per gestire la crittografia dei servizi di sicurezza centralizzati come l'organigramma gestito dall'organizzazione. AWS CloudTrail AWS

AWS Private CA

AWS Autorità di certificazione privata(AWS Private CA) è un servizio CA privato gestito che consente di gestire in modo sicuro il ciclo di vita dei certificati TLS privati di entità finale per istanze EC2 , contenitori, dispositivi IoT e risorse locali. Consente comunicazioni TLS crittografate con le applicazioni in esecuzione. Con AWS Private CA, è possibile creare una gerarchia CA personalizzata (da una CA principale a certificati subordinati CAs a certificati di entità finale) ed emettere certificati con essa per autenticare utenti interni, computer, applicazioni, servizi, server e altri dispositivi e per firmare il codice informatico. I certificati emessi da una CA privata sono considerati affidabili solo all'interno AWS dell'organizzazione, non su Internet.

Un'infrastruttura a chiave pubblica (PKI) o un team di sicurezza possono essere responsabili della gestione di tutta l'infrastruttura PKI. Ciò include la gestione e la creazione della CA privata. Tuttavia, deve esserci una disposizione che consenta ai team addetti al carico di lavoro di soddisfare autonomamente i requisiti dei certificati. L' AWS SRA rappresenta una gerarchia di CA centralizzata in cui la CA principale è ospitata all'interno dell'account Security Tooling. Ciò consente ai team addetti alla sicurezza di applicare un controllo di sicurezza rigoroso, poiché la CA principale è la base dell'intera PKI. Tuttavia, la creazione di certificati privati dalla CA privata viene delegata ai team di sviluppo delle applicazioni condividendo la CA con un account dell'applicazione utilizzando (). AWS Resource Access Manager AWS RAM AWS RAM gestisce le autorizzazioni necessarie per la condivisione tra account. Ciò elimina la necessità di una CA privata in ogni account e fornisce un modo di implementazione più conveniente. Per ulteriori informazioni sul flusso di lavoro e sull'implementazione, consulta il post del blog How to use AWS RAM to share your AWS Private CA cross-account.

Amazon Inspector

Amazon Inspector è un servizio automatizzato di gestione delle vulnerabilità che rileva e analizza automaticamente le EC2 istanze Amazon, le immagini dei container in Amazon Elastic Container Registry (Amazon ECR) AWS Lambda , le funzioni e gli archivi di codice all'interno dei gestori del codice sorgente per individuare vulnerabilità software note ed esposizione involontaria alla rete.

Amazon Inspector valuta continuamente il tuo ambiente durante l'intero ciclo di vita delle tue risorse scansionando automaticamente le risorse ogni volta che apporti modifiche. Gli eventi che avviano la nuova scansione di una risorsa includono l'installazione di un nuovo pacchetto su un' EC2 istanza, l'installazione di una patch e la pubblicazione di un nuovo rapporto CVE (Common Vulnerabilities and Exposures) che influisce sulla risorsa. Amazon Inspector supporta le valutazioni benchmark del Center of Internet Security (CIS) per i sistemi operativi nelle istanze. EC2

Amazon Inspector si integra con strumenti di sviluppo come Jenkins e TeamCity per la valutazione delle immagini dei container. Puoi valutare le immagini dei container per individuare eventuali vulnerabilità del software all'interno del pannello di controllo CI/CD) tools, and push security to an earlier point in the software development lifecycle. Assessment findings are available in the CI/CD dello strumento di integrazione continua e distribuzione continua, in modo da eseguire azioni automatizzate in risposta a problemi di sicurezza critici come build bloccate o invio di immagini ai registri dei container. Se ne hai uno attivo Account AWS, puoi installare il plug-in Amazon Inspector dal marketplace CI/CD degli strumenti e aggiungere una scansione Amazon Inspector nella tua pipeline di compilazione senza dover attivare il servizio Amazon Inspector. Questa funzionalità è compatibile con CI/CD strumenti ospitati ovunque, in locale o in cloud ibridi AWS, in modo da poter utilizzare in modo coerente un'unica soluzione in tutte le pipeline di sviluppo. Quando Amazon Inspector è attivato, rileva automaticamente tutte le EC2 istanze, le immagini dei container in Amazon ECR e gli strumenti CI/CD e le funzioni Lambda su larga scala e le monitora continuamente per individuare vulnerabilità note.

I risultati sulla raggiungibilità della rete di Amazon Inspector valutano l'accessibilità delle EC2 istanze da o verso i edge VPC come gateway Internet, connessioni peering VPC o reti private virtuali () attraverso un gateway virtuale. VPNs Queste regole aiutano ad automatizzare il monitoraggio delle AWS reti e a identificare i punti in cui l'accesso di rete alle EC2 istanze potrebbe essere configurato in modo errato a causa di gruppi di sicurezza, elenchi di controllo degli accessi (), gateway Internet e così via. ACLs Per ulteriori informazioni, consulta la documentazione di Amazon Inspector.

Quando Amazon Inspector identifica vulnerabilità o percorsi di rete aperti, produce un risultato che puoi esaminare. La scoperta include dettagli completi sulla vulnerabilità, tra cui un punteggio di rischio, la risorsa interessata e raccomandazioni per la correzione. Il punteggio di rischio è specificamente adattato all'ambiente in uso e viene calcolato correlando le informazioni up-to-date CVE con fattori temporali e ambientali, come l'accessibilità della rete e le informazioni sulla sfruttabilità, per fornire un risultato contestuale.

Amazon Inspector Code Security analizza il codice sorgente delle applicazioni proprietarie, le dipendenze delle applicazioni di terze parti e l'infrastruttura come codice (IaC) alla ricerca di vulnerabilità. Dopo aver attivato Code Security, puoi creare e applicare una configurazione di scansione al tuo repository di codice per determinare la frequenza, il tipo di scansione e gli archivi da scansionare. Code Security supporta i test statici di sicurezza delle applicazioni (SAST), l'analisi della composizione del software (SCA) e la scansione IaC. Per configurare la frequenza, è possibile definire le scansioni su richiesta, in caso di modifiche al codice o periodicamente. La scansione del codice acquisisce frammenti di codice per evidenziare le vulnerabilità rilevate. I frammenti di codice vengono archiviati crittografati con chiavi KMS. L'amministratore delegato di un'organizzazione non può visualizzare frammenti di codice che appartengono agli account dei membri. Dopo aver integrato i gestori del codice sorgente (SCMs) con Code Security, tutti gli archivi di codice vengono elencati come progetti nella console Amazon Inspector. Code Security monitora solo il ramo predefinito di ogni repository. Amazon Inspector semplifica la correzione della sicurezza fornendo consigli specifici per la correzione del codice direttamente dove lavorano gli sviluppatori. L'integrazione bidirezionale con SCM suggerisce automaticamente le correzioni sotto forma di commenti nelle richieste pull (PRs) e nelle richieste di unione () in caso di risultati critici e importanti e avvisa gli sviluppatori delle vulnerabilità più importanti da risolvere senza interrompere il flusso di lavoro. MRs 

Per individuare le vulnerabilità, le EC2 istanze devono essere gestite utilizzando Agent (). AWS Systems Manager AWS Systems Manager SSMAgent  Non sono necessari agenti per la raggiungibilità di rete delle EC2 istanze o la scansione delle vulnerabilità delle immagini dei container nelle funzioni Amazon ECR o Lambda.

Amazon Inspector è integrato AWS Organizations e supporta l'amministrazione delegata. Nell' AWS SRA, l'account Security Tooling diventa l'account amministratore delegato per Amazon Inspector. L'account amministratore delegato di Amazon Inspector può gestire i risultati, i dati e determinate impostazioni per i membri dell'organizzazione. AWS Ciò include la visualizzazione dei dettagli dei risultati aggregati per tutti gli account dei membri, l'attivazione o la disabilitazione delle scansioni per gli account dei membri e la revisione delle risorse scansionate all'interno dell'organizzazione. AWS

AWS Security Incident Response

AWS Security Incident Responseè un servizio che ti aiuta a prepararti e a rispondere agli incidenti di sicurezza nel tuo ambiente. AWS Esamina i risultati, analizza gli eventi di sicurezza e gestisce i casi che richiedono l'attenzione immediata dell'utente. Inoltre, ti dà accesso al AWS Customer Incident Response Team (CIRT), che indaga sulle risorse interessate. AWS Security Incident Response fornisce inoltre funzionalità automatizzate di risposta e riparazione tramite AWS Systems Manager documenti (documenti SSM), che aiutano i team di sicurezza a rispondere e riprendersi dagli incidenti di sicurezza in modo più efficiente. AWS Security Incident Response si integra con Amazon GuardDuty AWS Security Hub CSPM per ricevere risultati di sicurezza e orchestrare risposte automatiche.

Nell' AWS SRA, AWS Security Incident Response viene distribuito nell'account Security Tooling come account amministratore delegato. L'account Security Tooling è selezionato perché è in linea con lo scopo dell'account di gestire i servizi di sicurezza e automatizzare gli avvisi e le risposte di sicurezza. L'account Security Tooling funge anche da account amministratore delegato per Security Hub CSPM e GuardDuty, insieme AWS Security Incident Response, aiuta a semplificare la gestione del flusso di lavoro. AWS Security Incident Response è configurato per funzionare con AWS Organizations, in modo da poter gestire le risposte agli incidenti tra gli account dell'organizzazione dall'account Security Tooling.

AWS Security Incident Response ti aiuta a implementare le seguenti fasi del ciclo di vita della risposta agli incidenti:

Puoi anche utilizzarlo AWS Security Incident Response per creare casi autogestiti. AWS Security Incident Response puoi creare una notifica o un caso in uscita quando devi essere a conoscenza di qualcosa che potrebbe influire sul tuo account o sulle tue risorse o agire di conseguenza. Questa funzionalità è disponibile solo quando abiliti i flussi di lavoro di risposta proattiva e triaging degli avvisi come parte dell'abbonamento.

Implementazione di servizi di sicurezza comuni all'interno di tutti Account AWS

La sezione Applica i servizi di sicurezza all'intera AWS organizzazione precedente di questo riferimento ha evidenziato i servizi di sicurezza che proteggono un Account AWS utente e ha osservato che molti di questi servizi possono essere configurati e gestiti anche all'interno AWS Organizations. Alcuni di questi servizi devono essere distribuiti in tutti gli account e li vedrai nell' AWS SRA. Ciò consente una serie coerente di barriere e fornisce monitoraggio, gestione e governance centralizzati in tutta l'organizzazione. AWS

Security Hub, CSPM, GuardDuty AWS Config, IAM Access Analyzer e gli itinerari CloudTrail dell'organizzazione vengono visualizzati in tutti gli account. I primi tre supportano la funzionalità di amministratore delegato descritta in precedenza nella sezione Account di gestione, accesso affidabile e amministratori delegati. CloudTrail attualmente utilizza un meccanismo di aggregazione diverso.

L'archivio del GitHub codice AWS SRA fornisce un'implementazione di esempio per abilitare Security Hub, CSPM, GuardDuty AWS Config AWS Firewall Manager, e i percorsi CloudTrail organizzativi su tutti gli account, incluso l' AWS account Org Management.