Volkswagen Group централизованно управляет угрозами безопасности в AWS с помощью Amazon GuardDuty

Группе компаний Volkswagen Group (Volkswagen) требуется надежная защита, чтобы обеспечить работоспособность при том, что в ней работает более 650 000 человек. Глобальный производитель автомобилей использует локальное и облачное решение, в том числе приложения на основе Amazon Web Services (AWS). Чтобы еще больше улучшить состояние безопасности, Volkswagen развернула Amazon GuardDuty. Это сервис обнаружения угроз, который постоянно отслеживает вредоносное или несанкционированное поведение с целью защиты своих аккаунтов AWS, рабочих нагрузок и данных. С помощью сервисов безопасности AWS компания обеспечила централизованное отслеживание своих аккаунтов AWS и смогла автоматически реагировать на угрозы.

Группа Volkswagen основана в 1937 году, и ее правление находится в ФРГ. Под ее управлением работает 118 заводов в 20 европейских странах. Она создает продукты для 10 автомобильных брендов, в том числе Volkswagen Passenger Cars, Audi, SEAT, ŠKODA, Bentley, Bugatti, Lamborghini, Porsche, Ducati и Volkswagen Commercial Vehicles. Группе компаний Volkswagen потребовалось масштабировать свои проекты, чтобы обеспечить хостинг приложений на уровне организации. В 2016 году она начала пользоваться AWS для масштабирования крупных проектов, например приложения, которое консолидирует средства управления электромобилями. «После того как мы начали использовать сервисы AWS для масштабирования проекта матрицы модульного электромобиля, спрос на хостинг приложений возрос, – говорит Сачин Патил, менеджер по сервисам облака AWS уровня Foundational в компании Volkswagen. – Затем мы начали тяжелую работу над обеспечением поддержки этих проектов сервисами AWS».

Volkswagen использует более 200 сервисов AWS, в том числе Amazon Elastic Compute Cloud (Amazon EC2). Это веб‑сервис, предоставляющий безопасные масштабируемые вычислительные ресурсы в облаке. По мере внедрения сервисов AWS компании потребовалось укрепить безопасность и улучшить обнаружение уязвимостей в аккаунтах AWS. Для достижения этой цели компания Volkswagen разработала решение с использованием Amazon GuardDuty наряду с собственным локальным сервисом для информационной безопасности и управления событиями на основе Splunk – программного решения, которое собирает, индексирует и коррелирует данные в режиме, приближенному к реальному времени, и предоставляет интерфейс с возможностью поиска.

Компания Volkswagen развернула Amazon GuardDuty с помощью системы выделения аккаунтов, которая была разработана самостоятельно для внутреннего пользования. Но этот процесс отнимал много времени, и стало ясно, что компании Volkswagen нужны индивидуальные средства управления безопасностью для отдельных аккаунтов AWS. Это было громоздкой задачей для такой крупной организации. После того как компания представила AWS эту реализацию во время ежеквартального экономического обзора, команда AWS добавила к Amazon GuardDuty поддержку AWS Organizations. AWS Organizations – это сервис, который обеспечивает в организациях централизованное управление средами AWS по мере их развития и масштабирования. Благодаря AWS Organizations компания Volkswagen может развертывать Amazon GuardDuty при создании каждого аккаунта AWS. «Поскольку Amazon GuardDuty поддерживает AWS Organizations, нам не нужно активировать Amazon GuardDuty в каждом отдельном аккаунте. По умолчанию этот сервис связан с каждым создаваемым нами аккаунтом, – говорит Сачин. – AWS – это компания, которая ориентирована на клиента, и коллектив AWS прислушивается к нашим вопросам. Сервис AWS Organizations для Amazon GuardDuty сэкономил нам много времени». С помощью AWS Organizations для Amazon GuardDuty компания Volkswagen сократила сроки предоставления аккаунта на 5–7 минут для каждого пакета.

Кроме того, Volkswagen использует AWS Organizations для реализации AWS Security Hub. Это сервис, который обеспечивает комплексное отслеживание предупреждений системы безопасности и ее состояния для всех аккаунтов AWS, так что владельцы аккаунтов имеют централизованный доступ к информации об угрозах и проблемах безопасности. Благодаря использованию AWS Organizations для активации AWS Security Hub и других сервисов уровня организации, компания Volkswagen сократила время предоставления аккаунта на дополнительные 15–20 минут на пакет. Также она обнаруживает угрозы в момент создания аккаунта, что способствует укреплению системы безопасности. Когда система определяет угрозу, информация о ней передается в инстанс инструмента информационной безопасности и управления событиями Splunk, который предупреждает центр безопасности (SOC) Volkswagen о необходимости принятия мер.

Кроме того, компания Volkswagen автоматизировала процесс обнаружения угроз, чтобы снизить нагрузку на сотрудников. Например, если Amazon GuardDuty обнаруживает инстанс Amazon EC2, который может быть заражен вирусом руткит, запускается рабочий процесс, оповещающий владельца аккаунта по электронной почте. Также информация об угрозе добавляется в AWS Security Hub, предупреждая команду SOC. Затем участник команды может проверить данные, полученные от Amazon GuardDuty, и принять меры по устранению проблемы, например вывести инстанс Amazon EC2 из эксплуатации и создать его копию в аккаунте AWS SOC. Этот аккаунт содержит инструменты, которые используются для анализа первопричин и устранения проблем. После устранения проблемы она помечается как решенная и Amazon GuardDuty оповещает аккаунт, что нужно просмотреть отчеты о безопасности в AWS Security Hub. В особо критических случаях команда SOC и владельцы аккаунтов получают предупреждения, которые могут сразу автоматически заблокировать затронутое приложение или аккаунт, предотвращая нанесение ущерба другим частям системы Volkswagen.

Кроме того, Volkswagen использует AWS Organizations для применения политик управления сервисами и управления разрешениями для всех аккаунтов AWS. Например, команда SOC управляет списком утвержденных регионов AWS, которые разрешено использовать владельцам аккаунтов. Когда сотрудник создает проект, команда утверждает определенные регионы AWS в зависимости от требований проекта, его предназначения и применимых нормативов. Эти политики дают команде SOC возможность обнаруживать потенциальные проблемы безопасности и запрещать сотрудникам предоставлять и использовать ресурсы, которые находятся вне утвержденных регионов AWS. В процессе предоставления аккаунта Volkswagen автоматически применяет политики управления сервисами, предотвращая внесение изменений в Amazon GuardDuty или AWS Security Hub отдельными аккаунтами. Благодаря введению централизованных и превентивных политик Volkswagen может сократить количество потенциальных ошибок и уделять основное внимание инновациям. «Когда наши пользователи думают о применении сервисов AWS для обеспечения безопасности, эти сервисы уже подключены. Нет необходимости создавать решение с нуля, – говорит Сачин. – Это, в свою очередь, экономит много времени, поскольку пользователи знают, что решение безопасно и отвечает стандарту Volkswagen. Они могут уделять основное внимание созданию приложений и подключению к автомобилям».

Благодаря Amazon GuardDuty, AWS Security Hub и AWS Organizations, компания Volkswagen может автоматически обнаруживать угрозы безопасности и быстро развертывать решения по защите аккаунтов AWS, бизнес-приложений и инфраструктуры. Volkswagen будет продолжать пользоваться сервисами AWS для разработки инновационных решений, таких как Firestarter. Это приложение, которое предоставляется по Amazon API Gateway и основано на React – библиотеке JavaScript с открытым исходным кодом. Volkswagen будет предоставлять Firestarter на основе Amazon API Gateway. Это полностью управляемый сервис, предназначенный для создания, публикации, обслуживания, мониторинга и обеспечения безопасности API в любых масштабах. С помощью Firestarter компания Volkswagen оптимизирует и ускорит переход к использованию сред AWS для новых клиентов.

Также компания Volkswagen воспользовалась преимуществом поддержки со стороны команды AWS. «Очень заметно, что AWS ориентируется на клиента, – говорит Анураг Агравал, менеджер базовой платформы в Volkswagen. – От AWS мы узнали много нового, и это стало частью нашей организации».