AWS Road to re:Invent: la sicurezza prima di tutto

AWS Road to re:Invent: la sicurezza prima di tutto

Con la diffusione dello smart working e, di conseguenza, del cloud, AWS ha rafforzato i suoi strumenti per la visibilità e la sicurezza, introducendo nuove funzioni per AWS Security HUB e Macie, e lanciando AWS IAM Access Analyzer

di pubblicata il , alle 15:17 nel canale Security
AWS
 

AWS è stata la prima azienda a credere e investire massicciamente sul cloud, e oggi è leader del settore. Le principali aziende si appoggiano ai suoi servizi per il loro business e, di conseguenza, la sicurezza è uno degli aspetti su cui Amazon investe di più, mettendo a disposizione dei clienti una serie di funzionalità per proteggere i dati e assicurarsi che non finiscano nelle mani sbagliate. Soprattutto ora, che l'utilizzo dei servizi cloud ha visto un'impennata a causa della pandemia che ha costretto tanti a lavorare in maniera agile. 

AWS Security

Tecnologia consumer e asset aziendali

Una delle principali sfide per le aziende è stata quella di garantire ai dipendenti un accesso sicuro a dati e app aziendali anche quando si trovano fuori dall'ufficio, utilizzando hardware di tipo consumer. Questo ha costretto molti a rivedere le loro policy, introducendo tecnologie come VPN e autenticazione a più fattori. Il principale problema però sembra essere quello del social engineering. con l'incremento delle chat, gli attaccanti ne hanno approfittato per cercare nuovi punti di ingresso nei network aziendali.

Quando si tratta di social engineering, la tecnologia da sola non è sufficiente, ed è importante fare formazione ai dipendenti, per metterli in guardia sui potenziali pericoli e per dare loro gli strumenti necessari a scoprire tentativi di attacco. AWS consiglia di effettuare in azienda dei corsi a tutti ai nuovi dipendenti, ma anche di proseguire la formazione ogni anno, aggiornando tutta la forza lavoro sulle nuove problematiche e le nuove modalità di attacco. Questa dovrebbe essere la base di partenza minima: idealmente bisognerebbe investire anche in corsi di formazione più frequenti, che includano pillole quotidiane o settimanali sulla sicurezza, ma anche dei percorsi per insegnare ai lavoratori come gestire i dati, il rischio, ed effettuare frequenti audit sulla sicurezza dell'infrastruttura.

Questo è utile per mitigare i potenziali errori dei dipendenti, ma non basta. I team IT dedicati alla sicurezza dovrebbero intervenire su tre aspetti, se già non lo hanno fatto: 

  • Minimizzare l'uso delle password, per esempio appoggiandosi a sistemi di Single Sign On. Questo perché più password devono essere gestite, maggiore è il rischio che siano semplici e che vengano riutilizzate o sottratte.
  • Minimizzare l'esposizione, riducendo il numero di porte aperte, verificando le policy di accesso ai bucket, e proteggendosi tramite WAF (Web Application Firewall) e tecnologie come AWS Shield
  • Applicare le patch, sempre e il più rapidamente possibile

Gli strumenti di AWS per la cybersecurity

AWS Security Hub

AWS Security Hub è uno dei principali strumenti che AWS mette a disposizione dei suoi clienti per avere completa visibilità sugli allarmi e sulla sicurezza degli account. Non si tratta di una singola applicazione, ma di un centro che aggrega tutti gli strumenti di cybersecurity di AWS (Amazon GuardDuty, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager) e di terze parti. 

Amazon Macieù

Recentemente, alcuni di questi strumenti sono stati aggiornati, a partire da Amazon Macie, che ora include informazioni sulla posizione, come il numero di pagina, il numero di riga, l'offset dei caratteri, l'indice dei record e l'indice delle celle dei dati sensibili trovati negli oggetti S3 scansionati. Questo semplifica individuazione dei dati sensibili identificati da Macie in vari tipi di file. Inoltre, alla console Macie è stata aggiunta una nuova possibilità di presentare ai clienti la stima della spesa per la valutazione di uno o più buckets selezionati, stima che tiene conto dei tipi di oggetti supportati, di tutti i file compressi e dei livelli di prezzi scontati di Macie, per dare ai clienti una stima più accurata della spesa prima di presentare i buckets per la valutazione.

AWS IAM Access Analyzer

Amazon ha poi introdotto AWS IAM Access Analyzer, uno strumento per controllare gli accessi e le autorizzazioni ai servizi e alle risorse AWS, come il calcolo delle istanze e bucket di archiviazione. Usando le policy delle risorse, per esempio, IAM consente ai clienti di controllare in modo dettagliato chi è in grado di accedere a una risorsa specifica e come può usarla. IAM Access Analyzer genera risultati completi che identificano le risorse a cui è possibile accedere dall'esterno di un account AWS. . IAM Access Analyzer tiene sotto costante controllo le policy nuove o aggiornate e analizza le autorizzazioni concesse utilizzando le policy per i bucket Amazon S3, le chiavi AWS KMS, le code Amazon SQS, i ruoli AWS IAM e le funzioni AWS Lambda.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^