La tecnologia cloud ha conquistato il mondo negli ultimi anni. Le aziende tecnologiche hanno già migrato al cloud o sono in fase di migrazione. Uno dei motivi principali di questa rapidità è la facilità d’uso, la minore preoccupazione nella gestione dell’infrastruttura, l’assenza di problemi di scalabilità e l’efficienza dei costi. Ogni medaglia ha il suo rovescio, e la tecnologia cloud non fa eccezione. La tecnologia cloud presenta le proprie sfide. La più grande di tutte è la sicurezza cloud.
AWS, ovvero Amazon Web Services, è un provider di servizi cloud e detiene la quota di mercato più ampia nel 2024. AWS attualmente detiene il 32% della quota di mercato, e il motivo di questa posizione non sono solo i vantaggi offerti dalla tecnologia cloud, ma il numero di strumenti e opzioni di integrazione disponibili. AWS offre servizi per quasi tutto ciò che si può immaginare, inclusi l’invio di messaggi, la gestione degli utenti, la creazione di macchine virtuali, ecc.
In questo articolo parleremo di cosa sia l’AWS Security Framework, come funziona e perché le aziende ne hanno bisogno. Discuteremo inoltre diversi modi per proteggere le applicazioni web e serverless insieme ai vari strumenti e tecnologie offerti da AWS per automatizzare il processo DevSecOps.
Gestione delle identità e degli accessi in AWS
Le aziende con centinaia di dipendenti necessitano di uno strumento adeguato per gestire le identità e le modalità di accesso alle diverse risorse. I dipendenti devono avere determinati livelli di accesso in base alle risorse o ai dati di cui hanno bisogno, e per ottenere ciò è necessario IAM. In questa sezione vedremo come funziona AWS IAM.
- AWS Identity and Access Management (IAM): IAM viene utilizzato dalle aziende per controllare l’accesso alle risorse AWS o ai dati archiviati in AWS per motivi di sicurezza. Le funzionalità IAM sono accessibili tramite l’interfaccia utente AWS o API. Questo strumento aiuta gli amministratori a gestire centralmente utenti, chiavi di accesso e permessi, consentendo loro di fare di più e ridurre la complessità.
- AWS Single Sign-On (SSO): Gli account e le applicazioni AWS possono essere gestiti anche da un’unica fonte utilizzando il servizio cloud AWS Single Sign-On (SSO), che semplifica la gestione degli account SSO AWS.
- AWS Organizations per la sicurezza multi-account: Un’organizzazione può avere più account AWS sotto l’account root o principale. Il servizio AWS Organization è fornito per gestire tutti questi account. Questo viene solitamente utilizzato quando le aziende acquisiscono piccole società o alcuni team creano account separati in base al caso d’uso.
Implementazione della sicurezza di rete e protezione dei dati in AWS
La sicurezza di rete è un processo utilizzato per proteggere le informazioni sensibili sulle reti (durante il trasferimento dalla sorgente alla destinazione). La sicurezza di rete può essere implementata in diversi modi, ad esempio tramite hardware, software e protocolli, con l’obiettivo finale di proteggere i dati. Alcuni degli strumenti forniti da AWS per la protezione dei dati sono i seguenti:
Virtual Private Cloud
Amazon Virtual Private Cloud (VPC) consente di creare sezioni isolate all’interno del cloud che saranno separate dal resto del cloud. Queste reti isolate separano le risorse utilizzate nella rete, offrendo subnet pubbliche e private, che aiutano a proteggere le risorse sensibili dall’accesso diretto a Internet.
Security Groups e Network Access Control Lists
AWS fornisce due strumenti per controllare il traffico all’interno del VPC. Il primo sono i Security Groups, in cui AWS offre una sorta di firewall virtuale che opera a livello di istanza e può essere configurato per il traffico in ingresso e per controllare il traffico in uscita tramite intervallo IP, porta, protocollo, ecc. L’altro sono le Network Access Control Lists (NACLs). Queste regole operano a livello di rete, in questo caso a livello di subnet, e controllano sia il traffico in entrata che in uscita.
AWS Private Link e VPC Endpoints
Se un’organizzazione o un cliente desidera accedere a un servizio AWS senza utilizzare Internet pubblica, può utilizzare AWS PrivateLink, che è uno dei VPC Endpoints. PrivateLink consente ai clienti di accedere ai servizi in modo sicuro e permette anche di accedere alle risorse VPC dai servizi AWS e dai servizi VPC Endpoint.
Crittografia dei dati
La crittografia dei dati AWS è uno degli strumenti di sicurezza più importanti che aiuta a proteggere i dati sensibili sia nella fase di inattività (data at rest) sia in transito (data in motion). Per proteggere i dati a riposo, è possibile utilizzare servizi AWS come Amazon EBS, S3 e RDS, che possono essere configurati direttamente per crittografare automaticamente i dati presenti (l’abilitazione diretta della crittografia potrebbe non funzionare per casi d’uso di archiviazione dati complessi). Per quanto riguarda i dati in transito, è possibile utilizzare i protocolli SSL/TLS insieme a connessioni VPN per evitare che gli attaccanti intercettino i dati.
AWS Certificate Manager
Per far funzionare correttamente le tecniche di crittografia in AWS, viene utilizzato AWS Certificate Manager (ACM). ACM aiuta a fornire, gestire e distribuire certificati SSL/TLS e a gestire anche il rinnovo dei certificati. Questo è ampiamente utilizzato dalle aziende che utilizzano AWS per distribuire applicazioni web.
Tipologie di AWS Security Framework
Alcuni dei principali framework di sicurezza forniti da AWS sono i seguenti:
1. AWS Cloud Adoption Framework (CAF)
AWS CAF aiuta i provider ad avere una visione della sicurezza e a definire le best practice per la sicurezza dei dati. Si concentra maggiormente sul mostrare alle aziende come garantire il giusto equilibrio tra sicurezza e business, come implementare le soluzioni IAM e come soddisfare la conformità federale con gli enti governativi. Il framework è più una guida che mostra alle aziende come implementare e integrare la sicurezza nel proprio business.
2. Framework di conformità
AWS dispone di un programma formale di sicurezza e conformità, con alcuni requisiti definiti. AWS ha progettato una serie di servizi infrastrutturali per garantire che le organizzazioni soddisfino le proprie esigenze normative, come PCI DSS (Payment Card Industry Data Security Standard per l’industria delle carte di pagamento), HIPAA e SOC2.
3. AWS Control Tower
AWS Control Tower è un servizio che aiuta i provider a configurare un ambiente AWS multi-account sicuro e conforme. Può essere utilizzato per configurare i ruoli principali degli account e la base dei servizi che aggiungono funzionalità per condividere account, accedere ai dati cloud e gestire la risoluzione dei problemi di configurazione degli account.
4. Data Protection Framework
AWS fornisce linee guida e servizi per aiutare a proteggere i dati sensibili e PII dell’azienda. Questo include la protezione dei dati sia a riposo che in transito. Può essere realizzato tramite la gestione dei dati, inclusa la gestione delle chiavi di crittografia, il monitoraggio, i controlli di accesso e i modelli di utilizzo dei dispositivi.
5. Incident Response Framework
Incident response è un piano utilizzato dalle aziende per gestire, rispondere e riprendersi da un incidente di sicurezza. Gli utenti AWS possono costruire un solido piano di risposta agli incidenti con l’aiuto di AWS CloudTrail per l’audit dell’uso delle API, Amazon GuardDuty per il rilevamento delle minacce e AWS Systems Manager per automatizzare le azioni di risposta.
6. Shared Responsibility Model
Questo non è un framework ma un concetto importante da comprendere in termini di sicurezza AWS. Secondo questo modello, la responsabilità della sicurezza dei dati non è solo del provider cloud ma anche dell’utente finale.
Strumenti AWS per monitoraggio della sicurezza, logging e conformità
AWS offre diversi servizi per logging, monitoraggio e conformità. Alcuni di questi sono:
#1. AWS CloudTrail
AWS CloudTrail viene utilizzato per il monitoraggio della sicurezza e l’audit. Fornisce una traccia di log per ogni azione che potrebbe essere avvenuta su qualsiasi servizio AWS da parte di un utente, ruolo o servizio AWS stesso.
#2. Amazon CloudWatch
Amazon CloudWatch aiuta a monitorare le risorse e le applicazioni che l’utente esegue su AWS. Viene utilizzato per monitorare risorse AWS come istanze Amazon EC2, tabelle Amazon Dynamo DB e molte altre.
#3. AWS Config
AWS Config aiuta a tenere traccia della configurazione delle risorse AWS utilizzate dagli utenti nei propri account. In pratica confronta le configurazioni dell’utente con le impostazioni desiderate, aiutando a mantenere la sicurezza e la conformità come obiettivo finale.
#4. AWS Artifact
Per ottenere informazioni sulla conformità dai report di sicurezza e conformità AWS e dagli accordi online, AWS offre il servizio AWS Artifact. Questo servizio fornisce agli utenti diversi documenti di conformità, tra cui certificazioni ISO AWS, report PCI (Payment Card Industry) e report SOC (Service Organization Control).
#5. AWS Control Tower
AWS Control Tower fornisce un framework utilizzato dalle aziende per configurare un ambiente AWS multi-account. Garantisce una policy multi-account conforme e ben governata mantenendo una policy uniforme su tutti gli account e le unità organizzative.
#6. AWS Audit Manager
AWS Audit Manager è un servizio che monitora l’utilizzo di AWS per facilitare la valutazione del rischio e della conformità alle normative e agli standard di settore. Raccoglie automaticamente le prove, riducendo così lo sforzo manuale necessario per prepararsi a un audit.
Rilevamento delle minacce e risposta agli incidenti negli ambienti AWS
La capacità di rilevare e rispondere rapidamente alle minacce alla sicurezza è fondamentale. Alcuni degli strumenti offerti da AWS a questo scopo sono:
Amazon GuardDuty
AWS mette a disposizione degli utenti un servizio intelligente di rilevamento delle minacce chiamato Amazon GuardDuty. Questo strumento monitora continuamente qualsiasi attività sospetta o comportamento non autorizzato nell’account AWS. Il servizio è in grado di analizzare qualsiasi numero di record dalle fonti dati AWS utilizzando machine learning, rilevamento delle anomalie e threat intelligence integrata.
AWS Security Hub
Nel tuo ambiente AWS possono sorgere diversi problemi di sicurezza. Per individuare quelli più critici, l’amministratore può utilizzare AWS Security Hub, che fornisce una panoramica dello stato di sicurezza e organizza e dà priorità agli alert per le minacce critiche.
Amazon Detective
Per indagini di sicurezza molto più rapide, le organizzazioni possono utilizzare Amazon Detective, che sfrutta machine learning e teoria dei grafi per costruire un set collegato di dati dalle risorse AWS.
Amazon Macie
La protezione dei dati è una necessità assoluta per qualsiasi organizzazione. Amazon offre Amazon Macie, che utilizza machine learning e pattern matching per proteggere i dati sensibili in AWS. Può anche fornire un elenco di bucket Amazon S3 che potrebbero contenere dati e risultare non crittografati o pubblicamente accessibili (ovvero mal configurati).
AWS IoT Device Defender
Nell’utilizzo di dispositivi IoT, le organizzazioni devono prestare attenzione a problemi come certificati di identità condivisi tra più dispositivi o dispositivi con traffico in uscita anomalo che potrebbe indicare la partecipazione a un attacco DDoS. Questi problemi vengono gestiti automaticamente da AWS IoT Device Defender, garantendo così la sicurezza dell’infrastruttura hardware.
Come proteggere applicazioni web e serverless in AWS
I servizi web sono ormai comuni, dove gli sviluppatori utilizzano un Web Server per distribuire applicazioni, ma il serverless è un concetto nuovo. Negli ambienti serverless, gli sviluppatori non devono gestire o mantenere l’infrastruttura; tutto è gestito dal provider cloud. Vediamo i servizi chiave e i loro ruoli per proteggere le applicazioni web e serverless:
1. AWS WAF (Web Application Firewall)
Le comuni vulnerabilità web possono influire sulla disponibilità dell’applicazione, comprometterne la sicurezza o causare un consumo eccessivo di risorse. AWS WAF protegge l’applicazione da tutte queste minacce. Consente agli utenti di creare regole di sicurezza per controllare il traffico bot e bloccare i pattern di attacco comuni, come SQL injection o cross-site scripting.
2. Amazon Inspector
Uno dei servizi AWS che ci aiuta a garantire la conformità è Amazon Inspector, che analizza l’esposizione dell’applicazione, le vulnerabilità e le best practice. Amazon Inspector fornisce un report dettagliato su tutti questi aspetti e sul relativo livello di gravità. Questi report includono anche suggerimenti su come risolvere i problemi.
3. AWS Shield
AWS Shield è un servizio di protezione contro Distributed Denial of Service (DDoS) che mira a ridurre al minimo i tempi di inattività e la latenza delle applicazioni. Protegge le applicazioni in esecuzione su AWS da tutti i tipi di attacchi DDoS.
4. AWS Firewall Manager
AWS Firewall Manager semplifica la configurazione e la gestione centralizzata di AWS WAF, AWS Shield Advanced e dei security group Amazon VPC su account e applicazioni. AWS Firewall Manager rende più semplice la gestione di più regole di sicurezza e la protezione continua dei workload.
5. AWS Network Firewall
AWS Network Firewall semplifica la distribuzione delle protezioni di rete per tutti gli Amazon Virtual Private Cloud. Con AWS Network Firewall, è possibile creare policy di sicurezza con regole firewall che offrono un controllo granulare sul traffico di rete tra i VPC.
Diversi strumenti per implementare automazione della sicurezza e DevSecOps
È importante integrare l’automazione della sicurezza nel processo DevOps per ottenere una postura di sicurezza più robusta. Alcuni degli strumenti AWS che ci aiutano in questo sono:
AWS Systems Manager
AWS Systems Manager è un servizio di gestione che consente di raccogliere automaticamente l’inventario software, applicare patch ai sistemi operativi, creare immagini di sistema e configurare sistemi operativi Windows e Linux.
AWS CloudFormation
AWS CloudFormation fornisce un linguaggio comune per definire e fornire risorse AWS e applicazioni di terze parti nell’ambiente Cloud. In termini di sicurezza, CloudFormation consente di definire i controlli di sicurezza come parte dei template infrastrutturali e di applicarli senza necessità di ulteriori interventi.
Integrazione con pipeline CI/CD
Le aziende utilizzano pipeline CI/CD per costruire, testare e distribuire applicazioni. I seguenti servizi e funzionalità AWS possono essere integrati con le pipeline CI/CD esistenti per migliorare la sicurezza complessiva del ciclo di build.
- AWS CodePipeline aiuta a gestire il processo di rilascio e integra controlli di sicurezza in varie fasi.
- Amazon CodeGuru Reviewer può eseguire revisioni automatiche del codice per identificare vulnerabilità di sicurezza e suggerire correzioni.
- AWS CodeBuild può essere configurato per eseguire scansioni e test di sicurezza come parte del processo di build.
- La funzione di scansione Amazon ECR on push può eseguire automaticamente la scansione delle immagini container alla ricerca di vulnerabilità quando vengono caricate nel registro container.
Risposta e remediation automatizzata di AWS Security Hub
La risposta e remediation automatizzata di AWS Security Hub consente di rispondere automaticamente ai rilevamenti di sicurezza. Si basa su documenti di automazione AWS Systems Manager per risolvere problemi di sicurezza comuni. Ad esempio, se Security Hub rileva una regola di security group troppo permissiva, può modificarla automaticamente per limitare l’accesso.
Best practice per la sicurezza AWS
AWS, essendo ampiamente utilizzato, è un obiettivo primario per gli attaccanti. Vediamo alcune delle best practice da implementare durante l’utilizzo della sicurezza AWS.
#1. Implementazione del principio del minimo privilegio
Il principio del minimo privilegio prevede che vengano fornite solo le autorizzazioni strettamente necessarie a utenti e servizi per svolgere il proprio lavoro. AWS mette a disposizione AWS Identity and Access Management (IAM) per la creazione di policy che aiutano a limitare l’accesso in base a condizioni specifiche. Tuttavia, queste policy dovrebbero essere riviste e sottoposte ad audit periodicamente per garantire che siano adeguate e aggiornate agli standard più recenti.
#2. Protezione dell’infrastruttura di rete
Virtual Private Cloud (VPC) deve essere correttamente verificato e configurato per mantenere la sicurezza dell’infrastruttura dell’utente. Gli amministratori AWS possono utilizzare security group e network access control list (NACL) per controllare il traffico in ingresso e in uscita. Per proteggere le risorse sensibili, è necessario implementare la segmentazione della rete utilizzando subnet pubbliche e private e posizionando le risorse nelle subnet private in base alla criticità e al caso d’uso aziendale.
#3. Strategie di protezione e crittografia dei dati
I dati devono essere crittografati sia a riposo che in transito. Le aziende possono utilizzare il servizio AWS Key Management per creare e gestire le chiavi di crittografia. La crittografia predefinita dovrebbe essere abilitata in modo che i dati siano crittografati a riposo nei bucket Amazon S3 e EBS. Inoltre, gli sviluppatori possono utilizzare i protocolli SSL/TLS per crittografare i dati in transito. Per controllare chi può accedere ai dati S3, AWS fornisce policy di bucket e access control list.
#4. Monitoraggio e risposta agli incidenti
Le organizzazioni possono abilitare il logging e il monitoraggio dettagliato tramite AWS CloudTrail, Amazon CloudWatch e AWS Config. Inoltre, l’organizzazione dovrebbe ricevere alert quando viene rilevata automaticamente un’attività sospetta, e Amazon GuardDuty dovrebbe essere utilizzato per il rilevamento intelligente delle minacce.
#5. Valutazione continua della sicurezza e conformità
AWS raccomanda di pianificare valutazioni regolari della sicurezza all’interno dell’organizzazione. L’azienda può utilizzare Amazon Inspector, un servizio di valutazione della sicurezza per la vulnerability assessment. Inoltre, l’azienda può utilizzare strumenti AWS e di terze parti per auditare continuamente l’utilizzo di AWS, incluso AWS Audit Manager, per rispettare le policy e gli standard di sicurezza aziendali.
Perché SentinelOne per la sicurezza AWS?
SentinelOne è una soluzione leader utilizzata dalle aziende di tutto il mondo per proteggere l’infrastruttura AWS. Può aiutare le aziende a colmare le lacune di sicurezza utilizzando strumenti avanzati di rilevamento delle minacce insieme a funzionalità di risposta automatizzata su vari servizi AWS. Questo include istanze EC2, container o applicazioni containerizzate e funzioni serverless tramite AWS Lambda.
SentinelOne utilizza modelli avanzati di machine learning e analisi comportamentale per identificare e bloccare attacchi sofisticati o violazioni dei dati. Lo strumento può essere facilmente integrato con servizi AWS come AWS CloudTrail e AWS GuardDuty. La facilità di integrazione rende più semplice per le aziende adottare lo strumento.
SentinelOne può rilevare exploit zero-day insieme a malware fileless (malware che non necessita di file eseguibili sul sistema) nell’infrastruttura cloud, aggiungendo un ulteriore livello di difesa ai controlli di sicurezza esistenti. Poiché lo strumento utilizza un’architettura cloud-native, le prestazioni di AWS sono appena influenzate.
Protezione dei carichi di lavoro cloud (CWPP) basata su AI per server, VM e container, che rileva e blocca le minacce in tempo reale durante l'esecuzione.
Conclusione
AWS Security non è un termine di moda usato dagli ingegneri; è una soluzione di sicurezza offerta da AWS per garantire che i dati e le applicazioni archiviati/ospitati in AWS siano protetti dagli attori delle minacce. L’AWS Security Framework è un processo multilivello che aiuta le aziende a individuare e risolvere i problemi di sicurezza nell’infrastruttura AWS. Questo non avviene solo tramite un paio di strumenti, ma attraverso una varietà di strumenti e linee guida per garantire che i dati sensibili non finiscano nelle mani sbagliate.
L’AWS Security Framework si occupa anche delle esigenze di automazione e scalabilità delle organizzazioni. Fornisce servizi come AWS Config, CloudFormation e Systems Manager che aiutano le organizzazioni a integrare la sicurezza come servizio Infrastructure as a Code. Aiuta inoltre a gestire l’uniformità delle policy di sicurezza su più account AWS all’interno della stessa organizzazione.
Vedere SentinelOne in azione
Scoprite come la sicurezza del cloud basata sull'intelligenza artificiale può proteggere la vostra organizzazione con una demo individuale con un esperto dei prodotti SentinelOne.
Richiedi una demoDomande frequenti
L'AWS security framework è composto da diversi strumenti e servizi di sicurezza con un unico obiettivo: proteggere l'infrastruttura cloud AWS. Alcuni dei controlli del framework includono identity and access management (IAM) per gestire l'autenticazione e l'autorizzazione degli utenti, controlli di rete per gestire i security group e le VPC, e controlli di protezione dei dati per garantire la cifratura e la gestione delle chiavi.
Nell'ambiente AWS, un framework è un metodo strutturato o un insieme di raccomandazioni che aiutano gli utenti finali (sviluppatori o aziende) a raggiungere determinati risultati (questi possono variare da azienda ad azienda). In generale, tali sistemi affrontano best practice, principi di progettazione e una serie di domande per valutare l'architettura o i processi esistenti.
I sei pilastri dell'AWS Well-Architected Framework sono Security, Reliability, Performance Efficiency, Operational Excellence e Cost Optimization. Ciascuno di questi pilastri contribuisce a creare sistemi cloud più efficienti. Operational Excellence può essere definita come la gestione e il monitoraggio dei sistemi che consentono lo sviluppo di proposte di valore aziendali e personali.
