Dropbox stratifica i servizi di sicurezza AWS per aumentare la protezione dei propri servizi di firma

Dropbox, società di archiviazione di file e spazi di lavoro intelligenti basata su cloud, ha acquisito la soluzione di firma e archiviazione elettronica HelloSign nel 2019. HelloSign è cresciuta rapidamente fino a raggiungere più di 80.000 clienti nel 2021 e ha riconosciuto l'importanza di proteggere le informazioni di identificazione personale (PII) e i dati delle carte di pagamento dei propri clienti. L'azienda voleva rendere il proprio servizio sicuro e altamente disponibile, il che richiedeva la protezione dei propri servizi da attacchi DDoS (Distributed Denial of Service) e da altri eventi di sicurezza.

L'azienda, che già utilizzava Amazon Web Services (AWS) per molte delle sue esigenze infrastrutturali, ha deciso di estenderne l'utilizzo per migliorare la propria sicurezza. In soli sei mesi, HelloSign ha aggiornato il proprio sistema di sicurezza utilizzando una suite di strumenti di protezione dimensionabili e personalizzati di AWS, implementando le best practice, facendo risparmiare tempo agli sviluppatori, migliorando i tempi di risposta della sicurezza ed evitando gli eventi di sicurezza.

Dropbox è uno spazio di lavoro intelligente che offre funzionalità di sincronizzazione e condivisione dei file per ottimizzare i flussi di lavoro. Dopo l'acquisizione di HelloSign, Dropbox ha offerto ai clienti la possibilità di inviare, firmare e archiviare documenti online senza uscire dal servizio. HelloSign ha deciso di potenziare il suo livello di sicurezza per acquisire più visibilità sulla sicurezza delle sue applicazioni Web e identificare in modo proattivo le PII archiviate, in modo da stabilire dove collocare controlli aggiuntivi.

HelloSign desiderava un'opzione dimensionabile e solida che non richiedesse il trasferimento dei dati a una soluzione di terze parti, per evitare di concedere a società esterne l'accesso alle informazioni personali e quindi dover condurre lunghi processi di revisione della sicurezza. HelloSign si era già affidato ad AWS per la sua infrastruttura, archiviando dati crittografati tramite Amazon Simple Storage Service (Amazon S3), un servizio di archiviazione di oggetti creato per recuperare qualsiasi quantità di dati da qualsiasi luogo. Anziché adottare i servizi di sicurezza in modo frammentario, HelloSign ha implementato rapidamente una suite di servizi di sicurezza AWS nel suo flusso di lavoro interno.

Al primo livello della soluzione di sicurezza di HelloSign c'è Amazon Macie, un servizio di sicurezza e privacy dei dati completamente gestito che utilizza il machine learning e la corrispondenza dei modelli per individuare e proteggere i dati sensibili nei bucket Amazon S3. Amazon Macie funziona su vasta scala e senza trasferire dati a terze parti. Per la gestione delle vulnerabilità, HelloSign utilizza Amazon Inspector, che aiuta a migliorare la sicurezza e la conformità delle applicazioni implementate su AWS valutandone le vulnerabilità e verificando l'accessibilità non intenzionale della rete. "Utilizziamo i risultati di Amazon Inspector come parte del nostro processo di automazione della gestione delle patch, risparmiando molto tempo e risorse nell'aggiornamento del nostro software e dei nostri sistemi", afferma Kirtika Dommeti, Senior Security Engineer presso HelloSign. Per aumentare ulteriormente la visibilità sulla sicurezza, HelloSign utilizza Amazon GuardDuty, un servizio di rilevamento delle minacce che esegue un monitoraggio costante per individuare attività dannose e comportamenti non autorizzati al fine di proteggere gli account e i carichi di lavoro AWS, nonché i dati archiviati in Amazon S3. Per comprendere meglio la causa principale degli esiti della sicurezza di Amazon GuardDuty, l'azienda sta valutando Amazon Detective, che utilizza il machine learning, l'analisi statistica e la teoria dei grafi per creare un set di dati collegato che consente agli utenti di condurre facilmente indagini di sicurezza più rapide ed efficienti.

Per monitorare e generare report sulla posizione di sicurezza di HelloSign in AWS, l'azienda utilizza la Centrale di sicurezza AWS, che aggrega tutti gli esiti sulla sicurezza ed esegue controlli basati sulle relative best practice in tutta la sua implementazione AWS. Questa visione completa degli avvisi e della posizione di sicurezza aiuta a supportare la conformità. Ad esempio, HelloSign utilizza la capacità di Amazon Macie di aiutare a rilevare le PII e le informazioni sulle carte di pagamento insieme ai controlli completi della posizione di sicurezza della Centrale di sicurezza AWS per soddisfare i benchmark del Center for Internet Security e gli standard PCI DSS (Payment Card Industry Data Security Standard).

HelloSign gestisce gli esiti utilizzando una logica di elaborazione proprietaria insieme a servizi come AWS Lambda, un servizio di calcolo serverless che consente agli utenti di eseguire codice senza effettuare il provisioning o gestire server, e Amazon DynamoDB, un database chiave-valore e di documenti che offre prestazioni di millisecondi a una cifra su qualsiasi scala. I team interni di HelloSign risolvono quindi qualsiasi problema tramite il flusso di lavoro di ticket e di risposta agli incidenti dell'azienda.

L'azienda affronta gli eventi di sicurezza delle applicazioni Web utilizzando Web Application Firewall AWS (AWS WAF), che aiuta a proteggere le applicazioni Web o le API da bot ed exploit Web comuni che possono intaccare la disponibilità, compromettere la sicurezza o consumare risorse eccessive. Utilizzando AWS WAF, HelloSign può filtrare il traffico prima che raggiunga i server Web dell'azienda, mitigando gli incidenti in soli 15-30 minuti, personalizzando le regole che bloccano in modo proattivo i modelli di eventi di sicurezza più comuni e applicando blocchi geografici o specifici per Paese alle aree soggette a sanzioni statunitensi. L'utilizzo di AWS WAF ha aiutato HelloSign a evitare 12 eventi di sicurezza DDoS e altre minacce alla sicurezza che altrimenti avrebbero potuto arrestare il sistema. HelloSign utilizza anche AWS Shield Avanzato, un servizio di protezione DDoS gestito che aiuta a salvaguardare le applicazioni in esecuzione su AWS. Per le risorse protette da AWS Shield Avanzato, i clienti ottengono AWS WAF e Gestione dei firewall AWS, un servizio di gestione della sicurezza, senza costi aggiuntivi. "Ora possiamo prendere decisioni intelligenti e ottenere visibilità sulla posizione dei clienti", afferma Dommeti.

HelloSign ha aggiornato il suo processo di autenticazione utilizzando AWS Single Sign-On (AWS SSO), che semplifica la gestione centralizzata dell'accesso a più account AWS e applicazioni aziendali e fornisce agli utenti la possibilità di accedere tramite Single Sign-On a tutti gli account e le applicazioni assegnati da un'unica posizione. L'automazione delle funzionalità di sicurezza entro 3 mesi ha semplificato il flusso di lavoro e ridotto le attività dispendiose in termini di tempo. In totale, queste misure hanno aumentato l'efficienza, facendo risparmiare a HelloSign circa 120 ore di lavoro a settimana. "Poiché i servizi sono intuitivi, siamo riusciti a farli funzionare e a formare nuovo personale per gestirli con facilità", afferma Dommeti.

La facilità d'uso e l'integrazione dei servizi di sicurezza AWS hanno aiutato HelloSign a raggiungere un livello di sicurezza superiore agli standard del settore. "Utilizzando AWS, siamo stati in grado di migliorare il nostro modello di sicurezza e automatizzare i processi manuali", afferma Mark Dorsi, Director of Security di HelloSign. "Abbiamo risparmiato circa un milione di dollari all'anno in termini di valutazione delle operazioni di sicurezza, personale e costi di licenza".