Accesso per operatori su AWS

Molti dei sistemi e servizi principali di AWS sono progettati senza accesso da parte dell'operatore, tra cui Servizio AWS di gestione delle chiavi (AWS KMS), Amazon EC2 (tramite AWS Nitro System), AWS Lambda, Amazon Elastic Kubernetes Service (Amazon EKS) e AWS Wickr. Questi servizi non dispongono di alcun mezzo tecnico per consentire agli operatori AWS di accedere ai dati dei clienti. I sistemi e i servizi sono invece gestiti tramite automazione e API sicure che proteggono i dati dei clienti dalla divulgazione involontaria o addirittura forzata.

AWS ha sempre utilizzato un modello basato sul privilegio minimo per ridurre quanto più possibile il numero di persone che hanno accesso ai sistemi che elaborano i dati dei clienti. In questo modo ci assicuriamo che ogni dipendente di Amazon abbia accesso solo al set minimo di sistemi necessari per svolgere il compito o la responsabilità lavorativa assegnata, limitatamente al tempo in cui tale privilegio è necessario. Qualsiasi accesso ai sistemi che archiviano o elaborano dati o metadati dei clienti viene registrato, monitorato per rilevare eventuali anomalie e verificato. AWS impedisce qualsiasi azione che possa disabilitare o aggirare questi controlli.

Applichiamo inoltre il principio del privilegio minimo alla configurazione dei sistemi e dei servizi AWS. In questo campo AWS supera gli standard del settore. AWS Identity and Account Management (IAM) consente ai clienti di definire autorizzazioni granulari utilizzando i ruoli IAM, in modo da controllare attentamente quali persone hanno accesso a quali dati. Aggiungiamo inoltre un ulteriore ed esclusivo livello di sicurezza chiamato Forward Access Sessions (FAS) che garantisce che le autorizzazioni sensibili siano crittograficamente condizionate all'autorizzazione del cliente. I servizi AWS come Amazon EC2 e Amazon Simple Storage Service (Amazon S3) consentono inoltre ai clienti di crittografare i propri dati in modo che nemmeno AWS possa utilizzare le chiavi di crittografia del cliente senza l'autorizzazione diretta dello stesso. Ciò viene applicato dal FAS, che dimostra che il cliente ha autorizzato questa operazione. In più, queste azioni, note come operazioni di servizio “per conto di”, vengono registrate e rese visibili ai clienti in AWS CloudTrail. Per impostazione predefinita, non esiste una chiave superutente che consenta ai servizi AWS di accedere alle risorse dei clienti in un altro servizio senza la loro autorizzazione implicita.

Per impedire l'accesso non monitorato degli operatori ai sistemi contenenti i dati dei clienti, AWS ha progettato i propri sistemi in modo da garantire che tutte le operazioni amministrative siano registrate e monitorate centralmente. Tutte le azioni degli operatori sono riconducibili, nei minimi dettagli, alla persona che le ha effettivamente eseguite; non ci sono account di team condivisi che garantiscano l'anonimato. L'accesso viene monitorato in tempo reale per rilevare attività insolite, compresi potenziali errori o attività sospette, mentre i manager e i team dirigenziali degli operatori AWS, così come l'organizzazione indipendente AWS Security, ricevono riepiloghi periodici di tutte queste attività. Il monitoraggio avviene a più livelli e include agenti di registrazione on-host che inviano rapidamente gli eventi locali off-host a un sistema centralizzato di aggregazione dei log gestito dal team di sicurezza di AWS, nonché avvisi in tempo reale se per qualsiasi motivo l'agente on-host smette di funzionare. A ciò si aggiungono il monitoraggio a livello di rete, il monitoraggio dei servizi del host bastione e altri controlli.

Il personale AWS esegue tutte le operazioni tramite interfacce sicure che garantiscono che gli operatori dispongano di postazioni di lavoro aggiornate e protette, di token di sicurezza hardware convalidati FIPS e che siano correttamente autenticati. Queste interfacce forniscono agli operatori AWS credenziali temporanee di breve durata e monitorano inoltre tutte le attività mediante meccanismi che non possono essere ignorati o aggirati. Le interfacce sicure degli operatori consentono solo operazioni limitate che non divulgano i dati dei clienti e impongono l'approvazione di più persone per le operazioni sensibili.

Se occorre accedere a risorse interne che possono memorizzare o elaborare i dati dei clienti, ad esempio per risolvere un problema relativo a un servizio, aggiungiamo un ulteriore livello di controllo per limitare, valutare e monitorare l'accesso degli operatori.

Il personale di supporto AWS che assiste i clienti con le loro richieste di supporto non ha accesso ai dati dei clienti. Tutte le autorizzazioni AWS IAM utilizzate per scopi di supporto sono completamente documentate e sono accessibili da ruoli dedicati che possono essere disabilitati da ciascun cliente AWS. Qualsiasi utilizzo di questi ruoli dedicati viene registrato anche in AWS CloudTrail.

AWS gestisce data center sicuri per ridurre il rischio di intercettazioni di rete, furti o altri attacchi fisici. Utilizziamo il principio del privilegio minimo per controllare le richieste di accesso. Tali richieste devono specificare a quale livello del data center l'individuo deve accedere e sono limitate nel tempo. Nessun supporto di archiviazione elettronica è autorizzato a lasciare i data center AWS senza essere distrutto fisicamente o senza la cancellazione crittografica dei dati utilizzando le tecniche descritte nel documento NIST 800-88. I servizi e i sistemi AWS supportano la crittografia sempre attiva per rete, memoria e archiviazione. In molti casi, esistono due o più livelli di crittografia sempre attiva, che garantiscono che l'unico accesso ai dati sia da parte dei sistemi responsabili dell'elaborazione di tali dati per i clienti.

AWS adotta controlli e verifiche organizzative e tecniche per garantire che nessun evento di sicurezza possa passare inosservato e che nessun individuo o gruppo possa eludere importanti controlli di sicurezza. I sistemi di controllo degli accessi e i sistemi di monitoraggio degli accessi di AWS sono intenzionalmente indipendenti e gestiti da team separati.

Abbiamo progettato AWS con misure di sicurezza basate su difesa in profondità, tra cui controlli sulle modifiche, funzionalità di log immutabili, separazione dei compiti, approvazioni da più parti, meccanismi di autorizzazione contingenti e strumenti operativi pratici. Queste misure di sicurezza vanno oltre le pratiche di sicurezza standard, in modo che le azioni intraprese dagli operatori AWS siano sicure, trasparenti, registrate e verificate.

Abbiamo implementato gruppi di autorizzazioni per assegnare l'accesso alle risorse, uno strumento di autorizzazione per gestire l'appartenenza ai gruppi di autorizzazioni e strumenti sicuri che consentono agli operatori autorizzati di eseguire la manutenzione e la risoluzione dei problemi del sistema senza accesso diretto alle risorse del servizio. Inoltre, aggiorniamo automaticamente i dati delle persone autorizzate quando i dipendenti cambiano ruolo o lasciano l'azienda.