10 modi di proteggere i tuoi dati su AWS

10 modi di proteggere i tuoi dati su AWS

Per facilitare il compito, spesso gravoso, della sicurezza al personale aziendale sottoponiamo un elenco di best practice per proteggere i propri dati personali su AWS redatto da Sekhar Sarukkai e pubblicato su cloudcomputing-news, stimolati dai recenti fatti che hanno popolato le prime pagine dei giornali.

Abbiamo tutti letto della messa online di dati personali e sensibili di 200 milioni di americani. Un errore compiuto da una società di Marketing, la Deep Root Analytics. L’azienda aveva memorizzato i dati in un bucket di S3 AWS lasciandolo, per sbaglio, esposto per due settimane senza impostazioni di accesso protette. Il che ha reso accessibili i dati a chiunque sapeva, ha trovato o ha indovinato il nome del sottomenu di sei caratteri che Amazon utilizza per identificare un singolo bucket. Un errore banale che ha provocato un danno enorme.

Aws utilizza il metodo di ”Shared responsability”, ossia la sicurezza dell’ecosistema AWS è condivisa in modo responsabile dal cliente e dal provider.

AWS si impegna, quindi, per la sicurezza nella creazione di strumenti innovativi e sofisticati di protezione e si assume la piena responsabilità per la protezione dei suoi sistemi cloud, set-up del software, computer fisici, server e connessioni. È anche responsabile di individuare e bloccare eventuali intrusioni o tentativi fraudolenti di accesso.

Invece i clienti sono responsabili della gestione e della configurazione di tutto ciò che accade all’interno di AWS. Quindi, sono responsabili di tutte le applicazioni eseguite utilizzando il sistema di gestione dell’identità e accesso (IAM) di AWS, nonché della protezione delle password e dei suoi sistemi e delle connessioni a AWS, incluso qualsiasi firewall.

Le organizzazioni, consapevoli che il rischio non viene solo dall’esterno, ma, è molto probabile che sia causato dall’interno, anche solo per sola semplice negligenza, devono attrezzarsi per attuare un sistema di sicurezza efficace e soprattutto diffonderlo all’intero personale IT.

A questo punto, andiamo a scoprire le 10 best practice per proteggere i propri dati personali su AWS sintetizzate da Sekhar Sarukkai e pubblicate su cloudcomputing-news.

1. Abilitare CloudTrail in qualunque luogo si utilizzi AWS: CloudTrail è un servizio AWS che consente di creare registri di tutte le attività utente e fornisce un percorso di verifica per scopi di conformità.
Bisogna ricordarsi di abilitarlo su tutti i servizi, compresi i servizi non geografici come CloudFront. È inoltre necessario attivare la registrazione di più aree.

2. Abilitare l’autenticazione multifattoriale (MFA) nell’account utente principale: l’abilitazione è fondamentale perché grazie a questa tipologia di account è possibile accedere a tutte le risorse di AWS.
Ricordarsi, inoltre, di utilizzare un dispositivo dedicato per questo MFA invece che un mobile personale, in modo da ridurre le possibilità che ad esempio per un dispositivo smarrito o una modifica personale si sia suscettibili di una violazione.

3. Fornire una politica rigorosa di password: una buona password con un livello alto di sicurezza è composta da 14 caratteri con almeno una lettera maiuscola, una lettera minuscola, un numero e un simbolo. La password, poi, dovrebbe essere impostata per scadere dopo non più di 90 giorni e non dovrebbe essere consentito al personale di poterla riutilizzare.

4. Mantenere l’accesso al registro CloudTrail il più limitato possibile: questo ridurrà al minimo il numero di dipendenti che potrebbero compromettere la sicurezza, ad esempio per attacco phishing oppure per un ricattato.

5. Assicurarsi che l’autenticazione multifattore sia necessaria per eliminare i bucket CloudTrail: si riduce così al minimo la possibilità che un hacker nasconda le tracce dopo un accesso non autorizzato.

6. Non utilizzare mai le chiavi di accesso in account di root: è un rischio enorme.

7. Limitare l’accesso alle porte comunemente utilizzate: Ad esempio CIFS, DNS, FTP, MongoDB, MSSQL e SMTP.

8. Impostare gli account con una scadenza, in modo che dopo 90 giorni di inattività vengano automaticamente chiusi: un account inattivo, infatti, non porta nessun vantaggio ma invece aumenta i potenziali punti di accesso per chi cerca di violare il proprio setup.

9. Attivare la registrazione di accesso per i bucket S3: Se si verifica un danno questi registri possono aiutare molto nelle indagini di violazione.

10. Usare un accesso limitato a tutti i gruppi di protezione EC2: l’accesso limitato pone fine ad attacchi meno sofisticati, come il Denial of Service.
Assicurarsi che l’accesso avvenga tramite i ruoli IAM anziché tramite credenziali individuali che altrimenti potrebbero essere facilmente compromesse.

Comments are closed.

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi