Sicurezza del cloud

Sfondo

Crawford Technologies, Inc (CrawfordTech) è un Independent Software Vendor (ISV) da oltre 25 anni. L’innovazione costante ha mantenuto CrawfordTech all’avanguardia nelle tendenze tecnologiche. Sin dall’inizio, CrawfordTech ha affrontato lo sviluppo di software e soluzioni tenendo conto di questi cinque principi:

• Ridurre al minimo il costo totale di proprietà (TCO)
• Fornire un percorso di aggiornamento chiaro
• Sfruttare i punti di forza esistenti.
• Trova il giusto equilibrio tra innovazione e affidabilità.
• Garantire la sicurezza dei nostri clienti

Architettura

Questo modello condiviso alleggerisce l’onere operativo di CrawfordTech e del cliente, poiché AWS gestisce, gestisce e controlla i componenti dal sistema operativo host e dal livello di virtualizzazione fino alla sicurezza fisica delle strutture in cui opera il servizio. CrawfordTech si assume la responsabilità e la gestione del sistema operativo guest (inclusi aggiornamenti e patch di sicurezza), di altri software applicativi associati e della configurazione del firewall del gruppo di sicurezza fornito da AWS. CrawfordTech ha scelto di eseguire tutto l’hardware virtualizzato, il software applicativo e di sistema in un Virtual Private Cloud (VPC) e ha attentamente considerato i servizi scelti come sue responsabilità, i servizi AWS utilizzati, l’integrazione di tali servizi nell’ambiente informatico e le leggi e i regolamenti applicabili.

Come mostrato nel grafico sottostante, questa differenziazione di responsabilità è comunemente definita Sicurezza “del” Cloud rispetto a Sicurezza “nel” Cloud.

Responsabilità di AWS “Sicurezza del Cloud” – AWS è responsabile della protezione dell’infrastruttura che gestisce tutti i servizi offerti nel Cloud AWS. Questa infrastruttura è composta da hardware, software, networking e strutture che gestiscono i servizi Cloud AWS.

Responsabilità di CrawfordTech “Sicurezza nel cloud”: la responsabilità di CrawfordTech è determinata dai servizi AWS Cloud selezionati. Ciò ha determinato la quantità di lavoro di configurazione che CrawfordTech ha dovuto eseguire come parte delle sue responsabilità di sicurezza. Ad esempio, un servizio come Amazon Elastic Compute Cloud (Amazon EC2) è classificato come Infrastructure as a Service (IaaS) e, in quanto tale, ha richiesto a CrawfordTech di eseguire tutte le attività di configurazione e gestione della sicurezza necessarie.

CrawfordTech è responsabile della gestione del sistema operativo guest (inclusi aggiornamenti e patch di sicurezza), di qualsiasi software applicativo o utility installato da CrawfordTech sulle istanze e della configurazione del firewall fornito da AWS (chiamato gruppo di sicurezza) su ogni istanza. Per i servizi astratti, come Amazon S3 e Amazon DynamoDB, AWS gestisce il livello infrastrutturale, il sistema operativo e le piattaforme e CrawfordTech accede agli endpoint per archiviare e recuperare i dati. CrawfordTech è responsabile della gestione dei propri dati (incluse le opzioni di crittografia), della classificazione delle risorse e dell’utilizzo degli strumenti IAM per applicare le autorizzazioni appropriate.

Modello sicuro

Questo modello di responsabilità condivisa CrawfordTech/AWS si estende anche ai controlli IT. Proprio come la responsabilità di gestire l’ambiente IT è condivisa tra AWS e i suoi clienti, così sono condivise la gestione, il funzionamento e la verifica dei controlli IT. AWS aiuta ad alleviare l’onere dei controlli operativi gestendo quei controlli associati all’infrastruttura fisica distribuita nell’ambiente AWS che potrebbero essere stati precedentemente gestiti da singole organizzazioni clienti. Questo spostamento della gestione di determinati controlli IT ad AWS si traduce in un (nuovo) ambiente di controllo distribuito. CrawfordTech utilizza la documentazione di controllo e conformità AWS per eseguire le sue procedure di valutazione e verifica dei controlli come richiesto. Di seguito sono riportati esempi di controlli gestiti da AWS, CrawfordTech e/o entrambi.

Controlli ereditati: controlli che CrawfordTech eredita completamente da AWS.

• Controlli fisici e ambientali

Controlli condivisi – Controlli che si applicano sia al livello infrastrutturale che a quello del cliente, ma in contesti o prospettive completamente separati. In un controllo condiviso, AWS fornisce i requisiti per l’infrastruttura e CrawfordTech fornisce la propria implementazione di controllo nell’ambito dell’uso dei servizi AWS. Esempi includono:

• Gestione delle patch: AWS è responsabile dell’applicazione di patch e della correzione dei difetti all’interno dell’infrastruttura, ma CrawfordTech è responsabile dell’applicazione di patch al suo sistema operativo guest e alle sue applicazioni.
• Gestione della configurazione: AWS gestisce la configurazione dei propri dispositivi infrastrutturali, ma CrawfordTech è responsabile della configurazione dei propri sistemi operativi guest, database e applicazioni.
• Consapevolezza e formazione: AWS forma i dipendenti AWS e CrawfordTech forma i propri dipendenti.

Conformità

Segui le best practice IAM

• Utilizza il servizio AWS Identity and Access Management che consente agli utenti di gestire in modo sicuro l’accesso ai servizi e alle risorse AWS.
• Gestisci AWS creando gruppi e utenti e applicando policy di autorizzazione granulari per fornire un accesso limitato ad API e risorse.
• Seguire l’approccio dei “privilegi minimi” per la sicurezza.
• Ruotare le chiavi di accesso e le password.

Gestisci l’accesso a livello di sistema operativo e mantieni sicure le istanze EC2

• Eseguire periodicamente una valutazione dell’ispettore per generare un report sulle vulnerabilità a livello di sistema operativo.
• Utilizzare System Patch Manager per mantenere aggiornati i pacchetti del sistema operativo.
• Applicare periodicamente patch alle istanze EC2 per proteggere l’infrastruttura da bug e vulnerabilità recentemente scoperti.
• Seguire i consigli di sicurezza forniti dai fornitori di sistemi operativi RedHat, Suse, Microsoft, ecc.

Crittografia

• Crittografare tutti i dati, siano essi in transito o inattivi.
• Utilizzare AWS KMS per archiviare le chiavi di crittografia inattive, generate da AWS.
• Utilizzare Cloud HSM per fornire dispositivi con crittografia hardware per l’archiviazione delle chiavi.
• Utilizzare i servizi AWS che forniscono crittografia in transito fornendo endpoint https che forniscono crittografia end-to-end.
• AWS Certificate Manager per creare un certificato SSL per il pubblico dominio.

Seguire le best practice di sicurezza per i servizi di database e storage AWS

• L’archiviazione RDS verrà crittografata quando è inattiva.
• Limitare l’accesso alle istanze RDS per ridurre il rischio di attività dannose come attacchi brute force, iniezioni SQL o attacchi DoS.
• L’archiviazione S3 verrà crittografata a riposo.
• Verrà utilizzata la policy S3 per limitare l’accesso ai contenuti S3.
• Utilizza AWS Macie per rilevare e proteggere i dati sensibili all’interno di AWS-S3.
• Utilizza AWS Parameter Store per archiviare credenziali e segreti specifici dell’ambiente, per ottenere la gestione dei segreti per la tua applicazione cloud-native.

Sicurezza di rete

• Utilizzare sistemi di rilevamento delle intrusioni (IDS) o sistemi di prevenzione delle intrusioni (IPS) per consentire il rilevamento e la prevenzione di attacchi a infrastrutture critiche come i gateway di pagamento.
• Assicurarsi che i registri di flusso VPC siano abilitati per monitorare il traffico di rete.
• Limita l’accesso in base al gruppo di sicurezza. (EC2, RDS, Elastic Cache, ecc.)
• Utilizza Guard Duty per monitorare costantemente gli account e le infrastrutture AWS.

Sicurezza delle applicazioni Web

• Utilizzare firewall per applicazioni Web (WAF) per eseguire un’ispezione approfondita dei pacchetti per il traffico Web.
• Utilizza Amazon Inspector, un servizio di valutazione della sicurezza automatizzato che migliora la sicurezza e la conformità delle applicazioni distribuite su AWS.

Abilitare la gestione della configurazione

• Utilizza AWS Config per verificare, valutare e valutare le modifiche alla configurazione in AWS.

Monitoraggio e allerta

• CloudTrail consente l’audit e il monitoraggio delle attività autorizzate e non autorizzate all’interno dell’account AWS.
• È possibile impostare avvisi CloudWatch per attività dannose all’interno dell’account AWS e dell’infrastruttura distribuita all’interno di AWS e nei registri delle applicazioni.
• Imposta allarmi di fatturazione per tenere informato il tuo team sull’utilizzo dei costi di specifici account o infrastrutture.

Conformità, Formazione e Certificazione

• Utilizza AWS Artifact per l’accesso on-demand ai report di conformità AWS.
• Formare e istruire i team che utilizzano la piattaforma cloud AWS per la distribuzione oppure essere responsabili dell’infrastruttura.

L’implementazione di queste best practice di sicurezza nel cloud basate sulle linee guida fornite da AWS ha consentito a CrawfordTech di implementare misure di sicurezza adeguate, offrendo le migliori pratiche di sicurezza con servizi di prima classe su cui i clienti possono contare.