Tekniken i AWS Clearstart för offentlig sektor
I vår bloggserie kring AWS för offentlig sektor går vi igenom hur ni erbjuder verksamheten AWS som tjänst. En viktig del i detta är den tekniska plattformen som vi övergripande kommer att gå igenom här.
Det som gör AWS Clearstart till en intressant lösning är att ramverket möjliggör för offentliga organisationer att nyttja publika molntjänster och samtidigt följa uppställda regelverk och krav. AWS Clearstart innehåller en mängd olika skyddsåtgärder som möjliggör en säker efterlevnad för offentlig sektor. Här kommer jag att belysa tre viktiga områden: Det första är att hur vi kan försäkra oss att all vår data enbart hanteras i Sverige. Det andra området är hur vi säkerställer att vårt data är säkert, och det tredje området jag kommer fokusera på är hur vi kan interagera med plattformen för att kontinuerligt upptäcka och agera på potentiella hot samtidigt.
Jag kommer fokusera på följande områden:
- Styrande policyn
- Kryptering
- Interaktion med infrastrukturen
Styrande policyn
Vi bygger upp basplattformen med hjälp av kod (Infrastruktur som kod, IaC) där vi enbart öppnar upp AWS region i Sverige, vilket innebär att alla tjänster och resurser är hårt begränsade till Sverige. Genom att vi använder styrande policyn, som är preventiva, förhindrar vi utförandet av vissa aktiviteter, t ex att byta region. Vi kan här styra hur vi använder plattformen samtidigt som vi skyddar grundarkitekturen i produktionsmiljön. Om det sker en ändring i grundkonfigurationen som strider mot de legalt uppställda kraven, kommer ändringen att åtgärdas per automatik då grundarkitekturen, med korta intervaller i bakgrunden, regelbundet genomsökas efter avvikelser. Vid en avvikelse återställs ändringen så att den följer samtliga efterlevnadskrav.
För ett ge er ett tydligt exempel: Vid uppsättningen av grundarkitekturen så styr våra säkerhetspolicyn att samtliga tjänster och arbetslaster är begränsade till att enbart kunna användas i AWS Sverige region. Skulle någon ur IT-teamet, av någon anledning, råka göra ett misstag kliver en självhelande process in och återställer grundkonfigurationen till det läget som är styrt enligt vår centrala policy.
Kryptering
När vi väl har basplattformen på plats så kan vi med avancerade krypteringsverktyg skydda vårt data. Vi har följande alternativ:
- Kryptera data på klientsidan – AWS krypterings SDK
- Kryptera data under transport – IPsec, TLS
- Kryptera data i vila – Objekt, diskar, filsystem och databaser
Vi kan alltså välja om vi vill kryptera vår data redan i applikationen, under transporten och/eller när det vilar i hos AWS. Vi äger hanteringen av de krypterade nycklar vi skapar samt kontrollen av dess användning. Vi kan enkelt granska vem som använder olika nycklar, för vilka resurser och när. Vi kan även skapa nya nycklar vid behov samt via policyn separera vilka som kan administrera nycklarna från de som enbart kan behöver använda dem.
Värt att nämna är att ingen, inklusive AWS-anställda, kommer åt våra nycklar som vi använder i AWS. Ett annat alternativ till att använda nycklar genererade i AWS, är att vi kan skapa egna nycklar i en hårdvarusäkerhetsmodul (HSM) som vi installerar i våra egna datahallar. Vi exporterar sedan dessa nycklar till AWS när vi ska använda dem. Vi kan även använda en dedikerad HSM i AWS - AWS CloudHSM. Med AWS CloudHSM får vi en egen dedikerad HSM i AWS datahallar i Sverige som vi äger och hanterar, vi låter enbart AWS hantera hårdvaran åt oss.
Interagera med infrastrukturen
När vi väl har grundarkitekturen och krypteringen på plats är det dags att börja kika på hur vi kan interagera med vår plattform. Med hjälp av verktyg som monitorering, analys samt hotidentifiering kan vi kontinuerligt övervaka vår plattform över flera datakällor för att hitta både skadliga och avvikande aktiviteter. Vi letar efter onormal nätverksaktivitet, avvikande dataläsningsmönster och kontobeteende som genom maskininlärning ständigt lär sig och utvecklas utifrån beteendemönster i vår miljö utan vi behöver skriva, träna, ställa in masskininlärningsmodellerna. Vi har också möjlighet att automatiskt upptäcka känslig data som t ex personligt identifierbar information (PII) eller andra känsliga datatyper som har definierats av dataskyddsbestämmelser som GDPR och PCI-DSS. Övervakningen sker genom automatiserade säkerhetskontroller baserat på industristandarder som PCI DSS och CIS som organisationer följer.
Vid upptäckt av skadlig aktivitet kan vi med hjälp av våra verktyg snabbt agera och åtgärda problemet. Det gör vi genom att trigga funktioner som exempelvis skickar en rapport om upptäckten av skadlig aktivitet till säkerhetsteamet via email och interna chatt-funktion samt skapar ett ärende in till det interna ärendehanteringssystemet. Allt detta sker samtidigt som problemet åtgärdas eller isoleras tills dess att säkerhetsteamet beslutar rätt åtgärd.
För att avrunda så kan man se AWS Clearstart som ett färdigbyggt datacenter som kommer monterat med alla de nödvändiga funktionerna påslagna och med säkerhetspolicyn och regelverk som möter uppställda krav från offentliga sektorn. Vill du veta mer så registrera dig till vårt webinar!.
Delta i vårt webinar den 9 september kl 08.30-09.15 där vi går igenom detta mer i detalj. Registrera dig här!
Vi på Knowit är experter inom både informationssäkerhet, molnplattformar och systemutveckling
Moderna tjänster är en komplex operation där många olika frågor och kompetenser krävs för att lyckas. Vi på Knowit har erfaren expertis inom juridik, IT- och informationssäkerhet, tekniska molnlösningar, devops och modern infrastruktur. Och inte minst systemutveckling. Vi är nära partner med AWS och är en av deras strategiska partners kring AWS Clearstart.
Vill du veta mer?
Signa gärna upp till vårt webinar den 9 september kl 08.30-09.15.
Eller kontakta Christer Olsson, vd på Knowit Cloud, christer.olsson@knowit.se