Security by Design

L'approccio SbD delinea le responsabilità dei controlli, l'automazione degli standard di sicurezza, la configurazione della protezione e l'audit da parte del cliente dei controlli per l'infrastruttura di AWS del cliente, i sistemi operativi, i servizi e le applicazioni in esecuzione in AWS. Questo sistema standardizzato, automatizzato, regolamentato e ripetibile può essere distribuito per casi d'uso, standard di sicurezza e requisiti di audit comuni per più settori e carichi di lavoro.

AWS consiglia di basare la protezione e la conformità sull'account AWS seguendo un approccio in quattro fasi:

Fase 1: definire i requisiti. Stabilisci le policy, quindi documenta i controlli che puoi sfruttare da AWS. Documenta quindi i controlli gestiti e applicati internamente nel tuo ambiente AWS, determinando quali regole di protezione applicare all'interno del tuo ambiente IT in AWS.

Fase 2: creare un ambiente sicuro adatto ai requisiti e alle implementazioni richiesti. Definisci la configurazione necessaria sotto forma di valori di configurazione di AWS, ad esempio illustrando i requisiti di crittografia (tramite crittografia forzata lato server per gli oggetti S3), le autorizzazioni per le risorse (quali ruoli si applicano a determinati ambienti), quali immagini di calcolo sono autorizzate (in base a quali immagini consolidate di server autorizzi) e il tipo di registrazione di log da abilitare (ad esempio impiegando CloudTrail sulle risorse compatibili). AWS offre un set comprovato di opzioni di configurazione e rilascia nuovi servizi in modo continuo, rendendo inoltre disponibili modelli con cui allineare il tuo ambiente ai controlli di sicurezza. Questi modelli di protezione forniscono, sotto forma di modelli di AWS CloudFormation, un ampio set di regole che può essere applicato sistematicamente. AWS ha sviluppato modelli che offrono regole di protezione conformi a diversi framework di sicurezza. Per ulteriori informazioni, consulta il whitepaper Introduzione a Security by Design.

Maggiore aiuto per la creazione di un ambiente sicuro è offerto da progettisti esperti, servizi professionali e partner di AWS. Tali team potranno collaborare con il tuo staff e il tuo team di audit per facilitare l'implementazione di ambienti sicuri di alta qualità in supporto degli audit di terze parti.

Fase 3: applicare i modelli. AWS Service Catalog consente di richiedere l'utilizzo del modello nel catalogo. Questo è il passo che assicura l'uso dell'ambiente sicuro in tutti i nuovi ambienti che vengono creati e che impedisce a chiunque di creare un ambiente che non aderisce alle regole di sicurezza del tuo ambiente sicuro. La richiesta dell'uso del modello nel catalogo assicura che le configurazioni di sicurezza dei controlli rimanenti vengano preparate per l'audit.

Fase 4: eseguire le attività di convalida. La distribuzione di AWS tramite Service Catalog e i modelli di ambiente sicuro contribuiscono a creare un ambiente pronto per essere sottoposto ad audit. Le regole definite nel modello possono essere usate come guida dell'audit. AWS Config consente di acquisire lo stato attuale di qualsiasi ambiente, confrontando quindi i vari stati con le regole dell'ambiente sicuro. Utilizzando autorizzazioni di accesso in lettura sicure, insieme a script univoci, è possibile abilitare l'automazione degli audit per la raccolta delle prove. È possibile convertire i controlli amministrativi manuali tradizionali in controlli applicati tecnicamente con la garanzia che, se progettati e definiti correttamente, questi funzionino al 100% in qualsiasi momento, cosa che non è possibile con i metodi tradizionali di campionamento degli audit o con le revisioni point-in-time.

Questo audit tecnico può essere reso più efficace con linee guida che precedono l’audit, come ad esempio supporto e formazione per i revisori dei clienti, così da garantire che il personale responsabile dell’audit sia a conoscenza delle funzionalità uniche di automatizzazione dell’auting offerte da AWS Cloud.

L'approccio SbD può raggiungere i seguenti obiettivi:

• Creazione di funzionalità che non possono essere annullate dagli utenti non autorizzati a modificarle.
• Esecuzione di operazioni di controllo affidabili.
• Realizzazione di audit continuo e in tempo reale.
• Scripting tecnico della policy di governance.

Il risultato è un ambiente automatizzato che abilita le capacità di sicurezza, controllo, governance e conformità del tuo ambiente. Potrai ora eseguire in modo affidabile l’implementazione di quanto in precedenza veniva scritto solamente in policy, standard e normative. Potrai inoltre creare operazioni di sicurezza e conformità applicabili, che a loro volta daranno vita a un modello di governance funzionale e affidabile per i tuoi ambienti in AWS.