Security monitoring in AWS public cloud
Routavaara, Ilkka (2020)
Routavaara, Ilkka
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020060116030
https://urn.fi/URN:NBN:fi:amk-2020060116030
Tiivistelmä
Amazon Web Servicestä on tullut kaikkien tuntema nimi pilvipalveluihin liittyen. Pilvipohjaiset palvelut ovat nähneet räjähdysmäisen kasvun 2000-luvulla. Vaikka pilvipalvelut tarjoavat omat kiistattomat edut, niihin liittyvät myös omat erityiset tietoturvaongelmat. AWS onkin kehittänyt useita tietoturvamonitorointipalveluita pystyäkseen vastaamaan näihin haasteisiin.
Suomalainen kyberturvallisuusyhtiö Nixu Oyj tarjosi testiympäristön AWS-pilveen. Tutkimusalueeksi määritettiin tietoturvamonitorointi AWS:n julkisessa pilvessä, poissulkien yksityisen pilven ja sen komponentit. Valitut tietoturvamonitorointi-työkalut sisälsivät GuardDutyn, Inspectorin, Security Hubin ja Trusted Advisorin.
GuardDuty on pilvipohjainen SIEM, joka kerää lokidataa eri lähteistä ja nostaa löydöksiä perustuen tiettyihin kriteeristöihin. Se valvoo eri osa-alueita AWS:n pilvessä, esimerkiksi tili- ja käyttäjäkäyttäytymistä, EC2-instanssien käyttäytymistä sekä flow-statistiikkaa. Inspectorilla arvioidaan EC2-instanssien tietoturvaa, ja Security Hub kerää tietoturvalöydöksiä eri tietoturvapalveluista yhteen keskitettyyn paikkaan. Trusted Advisor tarjoaa käyttäjille ohjausta viidessä eri kategoriassa, joista yksi on tietoturva.
Tavoitteena oli tutkia ennalta valittujen tietoturvapalveluiden monitorointikyvykkyyttä ja tuottaa dokumentaatiota niistä sekä niiden käyttämisestä. Testiympäristössä suoritettiin eri testejä ja niiden tuottamia tuloksia analysoitiin.
Valittu kokoonpano monitorointityökaluja tarjosi hyvän peruskattavuuden moniin eri tietoturvaosa-alueisiin. Se ei tarjoa 100 %:n kattavuutta kaikkiin osa-alueisiin kaikissa ympäristöissä, eikä sen ollut tarkoituskaan. Valittu kokoonpano osoittautui helposti toteutettavaksi ja helppokäyttöiseksi ratkaisuksi, josta hyötyminen ei vaatinut erityisosaamista.
Suomalainen kyberturvallisuusyhtiö Nixu Oyj tarjosi testiympäristön AWS-pilveen. Tutkimusalueeksi määritettiin tietoturvamonitorointi AWS:n julkisessa pilvessä, poissulkien yksityisen pilven ja sen komponentit. Valitut tietoturvamonitorointi-työkalut sisälsivät GuardDutyn, Inspectorin, Security Hubin ja Trusted Advisorin.
GuardDuty on pilvipohjainen SIEM, joka kerää lokidataa eri lähteistä ja nostaa löydöksiä perustuen tiettyihin kriteeristöihin. Se valvoo eri osa-alueita AWS:n pilvessä, esimerkiksi tili- ja käyttäjäkäyttäytymistä, EC2-instanssien käyttäytymistä sekä flow-statistiikkaa. Inspectorilla arvioidaan EC2-instanssien tietoturvaa, ja Security Hub kerää tietoturvalöydöksiä eri tietoturvapalveluista yhteen keskitettyyn paikkaan. Trusted Advisor tarjoaa käyttäjille ohjausta viidessä eri kategoriassa, joista yksi on tietoturva.
Tavoitteena oli tutkia ennalta valittujen tietoturvapalveluiden monitorointikyvykkyyttä ja tuottaa dokumentaatiota niistä sekä niiden käyttämisestä. Testiympäristössä suoritettiin eri testejä ja niiden tuottamia tuloksia analysoitiin.
Valittu kokoonpano monitorointityökaluja tarjosi hyvän peruskattavuuden moniin eri tietoturvaosa-alueisiin. Se ei tarjoa 100 %:n kattavuutta kaikkiin osa-alueisiin kaikissa ympäristöissä, eikä sen ollut tarkoituskaan. Valittu kokoonpano osoittautui helposti toteutettavaksi ja helppokäyttöiseksi ratkaisuksi, josta hyötyminen ei vaatinut erityisosaamista.