AWS Security Hub: l’evoluzione della sicurezza per il cloud aziendale
La comodità del cloud è essenziale per le aziende nel 2020. Ma la sicurezza non può andare in secondo piano. Per questo motivo alla conferenza Road to re:Invent di Amazon Web Services l’aggiornamento delle difese in-the-cloud ha avuto un ruolo centrale. L’azienda ha evoluto il sistema di protezione con AWS Security Hub, una piattaforma centralizzata per controllare la sicurezza degli account AWS. Ma l’azienda ci ha tenuto anche a sottolineare alcune best practice che le aziende dovrebbero implementare per difendere al meglio le proprie reti.
Un’analisi sulla sicurezza: ecco perché serve AWS Security Hub
La prima parte della conferenza ha dato un “insider look” alle soluzioni in ambito di sicurezza che i partner di AWS hanno adottato in questi mesi. Con un aumento esponenziale del lavoro da remoto, sono sempre di più le possibili falle di sicurezza. Il primo motivo è il crescente uso di dispositivi commerciali per accedere al cloud aziendale. Di recente abbiamo raccontato come molti lavoratori abbiamo usato mezzi propri per allestire un ufficio in casa per lo smart working. AWS ha però rilevato che molte aziende hanno implementato velocemente soluzioni per proteggere le credenziali. Da semplici opzioni per il controllo fino a dispositivi ad autentificazione doppia.
Le VPN hanno visto un grande uso in questi ultimi mesi, per proteggersi da quello che Mark Ryland e Bill Shinn alla conferenza di oggi definiscono il “Far West” di internet. La stessa Amazon sta ampliando il portafoglio di soluzioni con VPN per andare incontro a questo “strong trend”.
AWS ha anche però fatto presente alcune best practice da seguire per evitare alcune delle minacce emerse in tempi recenti. Come le truffe sulle credenziali fatte attraverso finti responsabili IT e colleghi.
Best practice di sicurezza
- Evitare dispositivi personali, se necessario implementare tecnologia zerotrust. Dai software per limitare di monitoraggio fino ai plugin browser per bloccare richieste sospette.
- Usare controlli multi-factor per accedere alle risorse aziendali.
- Monitoraggio dei comportamenti degli utenti.
- Preparazione e training virtuale sulla sicurezza. Per tutti i nuovi assunti e poi una volta all’anno per l’intera forza lavoro.
- Durante il training, cambiare il più possibile modalità di apprendimento. Bisogna evitare subentri la noia, evitare videoconferenze poco partecipative.
- Addestrare alla prevenzione del social engineering. Non vedere le persone faccia a faccia è problematica se non si addestra alla sicurezza.
- Federare gli utenti. Quindi diminuire al minimo il numero di credenziali aziendali rilasciate, evitare che durino all’infinito (scadenza fissa).
- Diminuire al minimo i permessi da amministratore, a qualsiasi livello.
- Minimizzare l’esposizione esterna. In altre parole, quello che potete tenere on-premise, evitate di esporlo al cloud.
- Più patch di sistema, più spesso.
- Abilitato per Windows Hello
- GPU NVIDIA GTX GeForce, fino a 1TB di spazio di archiviazione e fino a 32 GB di RAM
- Durata della batteria: fino a 17.5 ore di autonomia e standby ottimizzato
- 3 versatili modalità di utilizzo: portatile, studio e tablet
- Processori Intel Core Quad-Core di decima generazione
AWS Security Hub
Se le best practice per i dipendenti sono un passo necessario e fondamentale, AWS Security Hub semplifica di molto la vita degli amministratori di sistema. Permette infatti una panoramica completa sugli allarmi di sicurezza e consente di essere proattivi nel difendere il sistema.
AWS Security Hub infatti integra:
- Amazon GuardDuty, per proteggere i dati sui server S3 con risorse ispettive interne su più group point.
- Amazon Detective, che segue le tracce del problema fino all’IP.
- AWS Firewall Manager, che gestisce gli scudi protettivi del sistema.
- Cloud Formation Guard, per le policies dev-ops.
- AWS Code Artifact, una singola repository per tutta l’azienda per gestire più artefatti software.
- AWS Shield Advanced, che permette di reagire in maniera proattiva agli eventi.
- Route 53 Resolvers, una query log che permette di controllare i DNS e monitorare gli accessi.
- Control Tower per gestire i vari account e organizzazioni.
- Secrets Manager per aggiungere policies ed eseguire ricerche avanzate.
Inoltre ci sono altri 50 servizi dei partner Amazon. E poi ci sono anche Amazon Macie e AWS Identity and Access Management (IAM) Access Analyzer, che AWS ha tanto migliorato da meritarsi un paragrafo a parte.
Amazon Macie
Macie è un servizio di sicurezza e privacy automatizzato. Poiché il volume di dati aumenta sempre, questo servizio individua i dati sensibili su scala e riduce i costi relativi alla protezione dei dati. Fornisce un inventario dei bucket di Amazon S3, distinguendo quelli non criptati, quelli pubblicamente accessibili e quelli condivisi con altri account AWS. Grazie al machine learning e al pattern matching avvisa ogni volta che trova problemi e situazioni a rischio.
Ora i risultati di Macie includono informazioni sulla posizione, il numero di pagina, di riga e l’offset dei caratteri. Inoltre rilevano l’indice dei record e delle celle scansionati. Consente di avere una stima della spesa più accurata, riducendo i costi fino all’80%. I clienti AWS possono fermare la scansione quando vogliono, per ragionare sui prezzi e trarne conseguenze.
AWS IAM Access Analyzer
Questa nuova risorsa permette di controllare l’accesso e i permessi ai servizi e alle risorse AWS. In questo modo potete effettuare un’analisi granulare di chi ha accesso a ogni specifica risorsa. In questo modo potete massimizzare la sicurezza, mettendo in pratica le best practice che limitano gli accessi. Efficientando il processo, potete rimuovere le autorizzazioni che nel tempo diventano obsolete o non più necessarie, fornendo il minimo livello di privilegio possibile.
Con le nuove risorse di sicurezza all’interno di AWS Security Hub e formando gli utenti a pratiche di buon senso, il cloud smette di essere un terrore per i sistemisti e torna a essere un territorio pieno di potenziale per il lavoro da remoto e in mobilità.