La sicurezza di AWS è una responsabilità condivisa. Mentre AWS mantiene la responsabilità della sicurezza del cloud, il cliente è responsabile della sicurezza nel cloud. Sono disponibili diversi strumenti e servizi, di AWS e di altri fornitori, per aiutarla a raggiungere i suoi obiettivi di sicurezza e di Conformità. I Gruppi di Sicurezza AWS, in particolare, la aiutano a proteggere le sue risorse Amazon EC2.
Un gruppo di sicurezza AWS agisce come un firewall virtuale per le sue istanze EC2 per controllare il traffico in entrata e in uscita. Le regole in entrata e in uscita controllano il flusso di traffico verso e da la sua istanza, rispettivamente.
I Gruppi di sicurezza AWS la aiutano a proteggere il suo ambiente cloud controllando il modo in cui il traffico sarà consentito alle sue macchine EC2. Con i Gruppi di sicurezza, può assicurarsi che tutto il traffico che scorre a livello di istanza passi solo attraverso le porte e i protocolli da lei stabiliti.
Quando lancia un'istanza su Amazon EC2, deve assegnarla a un particolare gruppo di sicurezza. Può aggiungere regole a ciascun gruppo di sicurezza che consentono il traffico verso o da servizi designati, comprese le istanze associate.
Come le whitelist, le regole dei gruppi di sicurezza sono sempre permissive. Non è possibile creare regole che neghino l'accesso. Ad esempio, potrebbe avere del traffico proveniente da un Elastic Load Balancer (ELB) verso una sottorete con server web. Il gruppo di sicurezza AWS può elencare quell'ELB come unica fonte autorizzata.
I gruppi di sicurezza sono stateful, il che significa che se una richiesta in entrata passa, passerà anche la richiesta in uscita.
Può specificare uno o più gruppi di sicurezza per ogni istanza EC2, con un massimo di cinque per interfaccia di rete. Inoltre, ogni istanza in una sottorete del suo VPC può essere assegnata a un gruppo di sicurezza diverso. Nel consentire al traffico di raggiungere un'istanza, Amazon EC2 valuta tutte le regole di tutti i gruppi di sicurezza associati.
Una volta aggiunte o modificate, le regole saranno applicate automaticamente a tutte le istanze associate al gruppo di sicurezza.
Con strumenti come CloudGuard, può visualizzare la sua posturaCloud Security a livello di infrastruttura (VPC, gruppi di sicurezza, istanze EC2 e RDS, bucket Amazon S3, Elastic Load Balancers, ecc.
Una lista di controllo degli accessi alla rete (NACL) è un modo aggiuntivo per controllare il traffico in entrata e in uscita da una o più sottoreti. A differenza dei Gruppi di sicurezza AWS, le NACL sono stateless, quindi verranno valutate sia le regole in entrata che quelle in uscita. Le ACL di rete possono essere impostate come un livello di sicurezza aggiuntivo e opzionale per il suo VPC.
AWS Firewall Manager le permette di configurare e gestire centralmente le regole del firewall tra gli account e le applicazioni AWS. L'8 luglio 2020, AWS firewall Manager ha lanciato"nuove regole preconfigurate per aiutare i clienti a verificare i loro gruppi di sicurezza VPC e ottenere rapporti dettagliati sulle non conformità da un account amministratore centrale". Questa funzione rende più facile per i clienti l'audit centralizzato dei loro gruppi di sicurezza" e "elimina il lavoro pesante di configurare manualmente i controlli di audit personalizzati".
Come qualsiasi soluzione puntuale, è improbabile che i gruppi di sicurezza AWS soddisfino tutti i requisiti di sicurezza della maggior parte delle organizzazioni. È possibile mantenere il proprio firewall su qualsiasi istanza.
La piattaforma Checkpoint CloudGuard è una soluzione di sicurezza nativa del cloud per gli ambienti Amazon AWS. CloudGuard Cloud Network Security offre una sicurezza di rete avanzata threat prevention e automatizzata con una gestione unificata su ambienti cloud e on-premise. CloudGuard si estende anche come piattaforma di orchestrazione della sicurezza che offre visibilità e gestione della postura di sicurezza(CSPM), automazione della conformità e rilevamento delle intrusioni nel cloud pubblico.
CloudGuard dispone di un'integrazione API nativa con Amazon Security Hub per fornire una maggiore visibilità sulle vulnerabilità della postura di Cloud Security e Conformità di un'organizzazione da una console di sicurezza consolidata.
CloudGuard cloud Network Security previene attivamente cyber attack e le vulnerabilità di rete e alimenta questi avvisi di minaccia nella console AWS Security Hub. Questo threat prevention continuo è guidato dalle funzionalità native della piattaforma di firewall, IPS, controllo delle applicazioni, IPSec VPN, antivirus e anti-bottaggio.
Cloud Security La gestione della postura fornita da CloudGuard la aiuta a visualizzare la sua postura di sicurezza del cloud a livello di infrastruttura (VPC, gruppi di sicurezza, istanze EC2 e RDS, bucket Amazon S3, Elastic Load Balancer, ecc). Con CloudGuard, può rilevare in modo interattivo la deriva della configurazione, valutare l'impatto di nuove vulnerabilità e individuare rapidamente le errate configurazioni delle regole del firewall.