View a markdown version of this page

Utilizzo di account alternativi - Guida sulla risposta agli incidenti di sicurezza di AWS

Utilizzo di account alternativi

Sebbene possa essere necessario rispondere a un evento nell'account interessato, è l'ideale per esaminare i dati al di fuori dell'account interessato. Alcuni clienti dispongono di un processo per creare ambienti di account AWS separati e isolati, utilizzando modelli che preconfigurano le risorse di cui devono effettuare il provisioning. Questi modelli vengono implementati tramite un servizio, ad esempio AWS CloudFormation o Terraform, che fornisce un metodo semplice per creare una raccolta di risorse AWS correlate e per effettuarne il provisioning in modo ordinato e prevedibile.

La preconfigurazione di questi account utilizzando meccanismi basati su modelli aiuta a eliminare le interazioni umane durante le fasi iniziali di un incidente e garantisce che l'ambiente e le risorse siano preparati in modo ripetibile e prevedibile e tali operazioni possono essere sottoposte a verifica. Inoltre, questo meccanismo aumenta anche la capacità di mantenere la sicurezza e il contenimento dei dati nell'ambiente forense.

Questo approccio richiede di collaborare con i servizi cloud e i team di architetti per determinare un processo di account AWS appropriato che possa essere utilizzato per le indagini. Ad esempio, i team dei servizi cloud potrebbero utilizzare AWS Organizations per generare nuovi account e assistere l'utente nella preconfigurazione di tali account utilizzando un metodo basato su modelli o script.

Questo metodo di segmentazione è ideale quando è necessario mantenere un'organizzazione più grande lontana da una potenziale minaccia. Questa segmentazione, mediante l'utilizzo di un account AWS nuovo e principalmente non connesso, consente a un utente dell'organizzazione, etichettato nella documentazione multi-account come unità organizzativa (UO) di sicurezza, di spostarsi nell'account, eseguire le attività forensi necessarie e potenzialmente trasferire l'account nel suo insieme a un'entità giuridica, se necessario. Questo metodo di analisi forense e di attribuzione richiede un'esame e una pianificazione significative e dovrebbe allinearsi alle policy GRC dell'azienda. Sebbene questa operazione non sia semplice, è molto più facile effettuarla prima di creare un'ampia base di account.