Desidero informazioni su Security by Design
Security by Design

Security by Design (SbD) è un approccio ai controlli di sicurezza che formalizza la progettazione degli account di AWS, automatizza i controlli di sicurezza e ottimizza l'auditing. Invece di fare affidamento retroattivamente agli audit, l'approccio SbD fornisce controlli di sicurezza integrati in tutto il processo di gestione IT di AWS. Mediante i modelli Security by Design di CloudFormation, le procedure di sicurezza e conformità nel cloud possono diventare più efficienti e complete.

SbD prevede un approccio globale a sicurezza e conformità in quattro fasi adatto a diversi settori, standard e criteri di sicurezza. L'approccio SbD di AWS può essere usato per progettare le caratteristiche di sicurezza e conformità in ogni fase di una soluzione, consentendo ai clienti di includere interamente il proprio servizio nell'ambiente di AWS: autorizzazioni, creazione di log, relazioni di trust, applicazione di crittografia, autorizzazione di immagini di macchine approvate e molto altro. SbD consente ai clienti di automatizzare la struttura front-end di un account AWS, codificando in modo affidabile sicurezza e conformità negli account AWS e relegando al passato le lacune di conformità nei controlli IT.


L'approccio SbD delinea le responsabilità dei controlli, l'automazione degli standard di sicurezza, la configurazione della protezione e l'audit da parte del cliente dei controlli per l'infrastruttura, il sistema operativo, i servizi e le applicazioni in esecuzione in AWS. Questo sistema standardizzato, automatizzato, regolamentato e ripetibile può essere distribuito su casi d'uso, standard di sicurezza e requisiti di audit comuni per più settori e carichi di lavoro.

AWS consiglia di basare la protezione e la conformità sull'account AWS seguendo un approccio in quattro fasi:

Fase 1: definire i requisiti. Stabilisci le policy, quindi documenta i controlli che puoi sfruttare da AWS. Documenta quindi i controlli gestiti e applicati internamente nel tuo ambiente AWS, determinando quali regole di protezione applicare all'interno del tuo ambiente IT in AWS.

Fase 2: creare un "ambiente sicuro" adatto ai requisiti e alle implementazioni richiesti. Definisci la configurazione necessaria sotto forma di valori di configurazione di AWS, ad esempio illustrando i requisiti di crittografia (tramite crittografia forzata lato server per gli oggetti S3), le autorizzazioni per le risorse (quali ruoli si applicano a determinati ambienti), quali immagini di calcolo sono autorizzate (in base a quali immagini di server autorizzi) e il tipo di registrazione di log da abilitare (ad esempio impiegando CloudTrail sulle risorse compatibili). AWS fornisce un set comprovato di opzioni di configurazione e lancia nuovi servizi in modo continuo, perciò saranno disponibili modelli con cui allineare il tuo ambiente ai controlli di sicurezza. Questi modelli di protezione forniscono, sotto forma di modelli di AWS CloudFormation, un set di regole più ampio che può essere applicato sistematicamente. AWS ha sviluppato modelli che forniscono regole di protezione conformi a diversi framework di sicurezza. Per ulteriori informazioni, consulta il whitepaper "Introduction to Security by Design".

Se desideri un aiuto per creare un "ambiente sicuro", sono disponibili progettisti, servizi professionali e partner di AWS esperti nella trasformazione dell'IT. I loro team potranno collaborare con il tuo staff e il tuo team di audit per facilitare l'implementazione di ambienti sicuri di alta qualità e sostenere gli audit di terze parti.

Fase 3: applicare i modelli. Abilita Service Catalog, quindi applica il modello scelto nel catalogo. Questa fase consente di applicare l'"ambiente sicuro" nei nuovi ambienti appena creati, impedendo la creazione di ambienti non compatibili con le regole di sicurezza stabilite. In questo modo vengono personalizzate le rimanenti configurazioni di sicurezza dei controlli sugli account dei clienti in preparazione degli audit.

Fase 4: eseguire le attività di validazione. La distribuzione di AWS su Service Catalog e sui modelli di "ambiente sicuro" contribuisce a creare un ambiente pronto per essere sottoposto ad audit. Le regole definite nel modello possono essere usate come guida dell'audit. AWS Config consente di acquisire lo stato attuale di qualsiasi ambiente, confrontando quindi i vari stati con le regole dell'"ambiente sicuro". Si ottengono così funzionalità di raccolta delle evidenze mediante autorizzazioni di accesso in lettura e script univoci, che consentono di automatizzare la raccolta di prove per gli audit. I clienti possono convertire i tradizionali controlli amministrativi manuali in controlli applicati a livello tecnico con la garanzia che, se progettati adeguatamente e pertinenti, i controlli operano al 100% in qualsiasi momento, rispetto ai tradizionali metodi di campionamento degli audit o le revisioni point-in-time.

L'audit tecnico può essere reso più efficace con linee guida pre-audit, ad esempio supporto e formazione per i responsabili degli audit dei clienti, in modo da informare il personale delle funzionalità di automatizzazione dell'audit offerte dal cloud AWS.

AWS Security
Security by Design del cloud AWS

Impatto di SbD di AWS

L'approccio SbD si pone i seguenti obiettivi:

• Creazione di funzionalità che non possono essere annullate dagli utenti senza determinate autorizzazioni.
• Esecuzione di operazioni di controllo affidabili.
• Realizzazione di audit continuo e in tempo reale.
• Scripting tecnico della policy di governance.

Il risultato è un ambiente automatizzato che consente controlli di sicurezza, governance, protezione e conformità ai requisiti. I clienti potranno implementare in modo affidabile le operazioni per cui in precedenza venivano scritti standard, policy e normative. Inoltre, potranno automatizzare operazioni di sicurezza e compliance che daranno vita a un modello di governance funzionale affidabile per tutti gli ambienti in AWS.


Whitepaper

Familiarizza con i concetti fondamentali nel whitepaper sul Security by Design.

Partecipa alla formazione gestita dall'utente su "Auditing your AWS Architecture". Ti fornirà alcune delucidazioni sulle caratteristiche e l'interfaccia di AWS, in particolare in relazione alle opzioni di configurazione disponibili per i responsabili dell'audit e dei controlli di sicurezza.

Sono anche disponibili altre risorse utili:
a. Amazon Web Services: Overview of Security Processes
b. Whitepaper Introduction to Auditing the Use of AWS
c. Federal Financial Institutions Examination Council (FFIEC) – Audit Guide
d. SEC – Cybersecurity Initiative Audit Guide
e. CJIS Security Policy Audit Guide

 

Risorse Security by Design

 

Contattaci