Southwest Airlines investe nella propria postura di sicurezza utilizzando la Centrale di sicurezza AWS

Southwest Airlines (Southwest) desiderava investire nella propria postura di sicurezza per proteggere le numerose applicazioni integrate che consentono alla compagnia aerea di funzionare in modo sicuro e senza intoppi. Utilizzando elementi nativi del cloud per raccogliere informazioni sulla sicurezza, la compagnia aerea poteva concentrarsi sulla creazione di applicazioni innovative anziché sulla gestione dell'infrastruttura. “Volevamo essere in grado di fornire informazioni approfondite sulla sicurezza ai nostri team in modo che fossero meglio attrezzati per indagare e riprendersi dagli eventi di sicurezza ed eseguire analisi forensi a posteriori”, afferma Will Walsh, cloud security senior manager presso Southwest.

Nell'ambito della sua migrazione ad Amazon Web Services (AWS), Southwest ha adottato la Centrale di sicurezza AWS, il servizio di gestione della postura di sicurezza nel cloud e parte fondamentale di un'integrazione più ampia, automatizzata e scalabile, che fornisce agli utenti una visione completa degli avvisi di sicurezza e della postura di sicurezza su tutti gli account AWS. Utilizzando la Centrale di sicurezza AWS, i team di sicurezza di Southwest ottengono una maggiore visibilità sulle operazioni di sicurezza della compagnia aerea e possono gestire con facilità applicazioni native del cloud e di terze parti.

Southwest, con sede in Texas, è una delle compagnie aeree low cost più grandi al mondo, con circa 54.000 dipendenti che trasportano 130 milioni di passeggeri all'anno verso 101 destinazioni in 11 Paesi. La compagnia aerea è stata uno dei primi clienti aziendali di AWS, che ha iniziato a utilizzare i servizi AWS nel 2010. In precedenza, la compagnia aerea utilizzava una tecnologia interna nei suoi data center per gestire gli orari dei voli, prevedere la domanda, programmare la manutenzione, ottenere prezzi dinamici per le vendite su dispositivi mobili e web e rispondere a eventi variabili come le condizioni meteorologiche che causano ritardi. Southwest voleva migliorare la flessibilità e fornire valore più velocemente, quindi nel 2017 ha iniziato a migrare le sue operazioni ad AWS. Inizialmente, Southwest operava nel cloud continuando a utilizzare lo stesso modello operativo di sicurezza che aveva sviluppato per i suoi data center, ma presto si è resa conto che adottando un approccio nativo del cloud avrebbe potuto massimizzare le sue funzionalità. Il passaggio a un modello di responsabilità condivisa, in cui AWS gestisce l'infrastruttura per conto di Southwest, consente ai team di sicurezza della compagnia aerea di concentrarsi su priorità più grandi, tra cui il rilevamento, la prevenzione e la risposta agli eventi di sicurezza.

Southwest ha scelto AWS per la sua elevata disponibilità, resilienza e la gamma di strumenti che il team di sviluppo può utilizzare per sviluppare le proprie funzionalità di sicurezza. “La migrazione ad AWS è stato un passo importante per migliorare la velocità di distribuzione delle nostre applicazioni di sicurezza”, afferma Jon Barcellona, cybersecurity engineering director presso Southwest. “L'utilizzo degli strumenti AWS semplifica l'integrazione, la gestione e la segmentazione delle nostre applicazioni in modo naturale.”

Southwest ha creato una soluzione di sicurezza che utilizza la Centrale di sicurezza AWS per gestire e raccogliere dati da vari servizi di sicurezza su AWS e da prodotti di sicurezza di terze parti. Per gestire i vari servizi AWS in uso, Southwest utilizza anche regole personalizzate in AWS Config, il servizio per la registrazione e la valutazione delle configurazioni delle risorse AWS. Tra i servizi che alimentano la Centrale di sicurezza AWS c'è Amazon GuardDuty, il servizio di rilevamento delle minacce che monitora continuamente attività dannose e comportamenti non autorizzati. Southwest utilizza anche Amazon Inspector, che valuta automaticamente le applicazioni per verificare l'esposizione, le vulnerabilità e le deviazioni dalle best practice. Per avviare le indagini, la compagnia aerea utilizza Amazon Detective, che semplifica l'analisi, l'indagine e l'identificazione rapida delle cause principali di potenziali problemi di sicurezza.

La soluzione di Southwest utilizza la Centrale di sicurezza AWS per raccogliere gli eventi rilevati tramite Amazon GuardDuty, AWS Config e Amazon Inspector. Successivamente, le informazioni sugli eventi vengono aggregate a livello regionale e inviate ai log di Amazon CloudWatch, il servizio di monitoraggio e osservabilità. Infine, Southwest utilizza un adattatore per i log di Amazon CloudWatch al fine di fornire informazioni sugli eventi alla soluzione di gestione degli eventi e delle informazioni di sicurezza aziendale di terze parti, che aggrega i dati provenienti da molte fonti ed esegue la correlazione degli eventi con contenuti complessi per rilevare eventi di sicurezza attuabili. Gli eventi vengono monitorati continuamente dal centro operativo di sicurezza e vengono analizzati, controllati ed eliminati a seconda dei casi.

Utilizzando la Centrale di sicurezza AWS, vari team di Southwest, tra cui il centro operativo di sicurezza, il team di intelligence sulle minacce, gli addetti alla risposta agli incidenti e i team dell'applicazione, possono ottenere un'elevata visibilità sulla postura di sicurezza della compagnia. La soluzione ha ridotto il tempo e la manodopera necessari per implementare oltre 350 controlli di sicurezza automatizzati e Southwest raggiunge un'elevata aderenza agli obiettivi di controllo di sicurezza associati, che comprendono la sua postura di sicurezza. A livello globale, Southwest esegue la scansione di oltre 600.000 risorse su centinaia di account AWS ogni mese, con il 98% delle risorse che supera i controlli di sicurezza. Rimediare al restante 2% delle risorse è semplice grazie alla Centrale di sicurezza AWS. “Utilizzando la Centrale di sicurezza AWS, ora disponiamo delle funzionalità di sicurezza più potenti di cui abbiamo bisogno”, afferma Barcellona.

Southwest utilizza AWS Security Finding Format (ASFF), il formato di risultati standard, per creare librerie che riducono i tempi di sviluppo dei futuri controlli di sicurezza automatizzati. Con l'adozione di un formato standard, Southwest può implementare controlli di test complessi su più account. La compagnia aerea ha ridotto i tempi di sviluppo per l'implementazione di nuovi controlli da 5-6 settimane a 1 settimana. I processi di ideazione, produzione e attivazione dello sviluppo, che prima richiedevano anni, ora avvengono in mesi o addirittura settimane. “La Centrale di sicurezza AWS ha standardizzato i nostri dati, quasi come per magia”, afferma Walsh. “Ora possiamo applicare il machine learning, l'intelligenza artificiale e il rilevamento delle anomalie, operazioni che prima non potevamo fare.”

In futuro, Southwest prevede di semplificare la gestione degli account utilizzando AWS Identity and Access Management (AWS IAM), che consente agli utenti di gestire l'accesso alle risorse e ai servizi AWS in modo sicuro. Southwest utilizzerà il Sistema di analisi degli accessi AWS IAM, che identifica le risorse e gli account condivisi con entità esterne, per ottenere una maggiore visibilità sul rischio per la sicurezza derivante dall'accesso involontario a risorse e dati.

Creando una soluzione di sicurezza nativa del cloud su AWS, Southwest ha ottenuto la visibilità, la resilienza e l'efficienza necessarie per mantenere al sicuro le sue applicazioni e i suoi dati sensibili. “Se il nostro sistema di sicurezza non funziona, non voliamo”, sottolinea Barcellona. “Per questo motivo, disporre di una solida postura di sicurezza e delle funzionalità che otteniamo su AWS è fondamentale per noi.”