Bokbasen driver løsningen basert på en CI-CD-strategi (Continuous Integration / Continuous Deployment), og samme utviklingsteam jobber med både funksjonalitet og sikkerhet. Applikasjonene leverer tjenester til allmennheten og må derfor oppfylle strenge sikkerhetskrav. Bokbasen trenger en løsning for å håndtere sikkerhet og samsvar for AWS-ressursene som brukes i applikasjonsarkitekturen, for dermed å sikre at alle tjenester er konfigurert på en måte som gir maksimal dataintegritet og ivaretar brukernes personvern.
Det er viktig å ikke hindre utvikling, men samtidig må man opprettholde sikkerheten i miljøet. Distribusjonen av løsningen må være rask og fleksibel og påvirke utviklingsprosessen i minst mulig grad.
Bokbasen trengte en tjeneste for kontinuerlig overvåking og administrasjon av samsvar for arkitekturen og konfigurasjonen til de underliggende AWS-tjenestene og -verktøyene. Løsningen måtte være policybasert og reviderbar samt ha mulighet til varsling om eventuelle endringer som medfører manglende samsvar, innenfor de ulike miljøene. I tillegg skulle løsningen anbefale og bidra til å håndheve beste praksis innen sikkerhet for tjenester som distribueres i Windows- eller Linux-instanser i Amazon EC2.
Ved å ta utgangspunkt i AWS’ løsninger for kontinuerlig samsvar kan Orange Business tilby Bokbasen en løsning for samsvarsovervåking.
Løsningen består av AWS Security Hub, AWS Inspector, AWS Config, AWS CloudTrail, Amazon CloudWatch og Amazon GuardDuty. Tjenestene vil identifisere vanlige sikkerhetsproblemer og potensielle trusler, samtidig som de gjør det mulig for Bokbasen å opprettholde tempoet i utviklingen. Sikkerhetshendelser registreres som saker i Orange Business ITSM-løsning. Dette gjør det mulig å håndtere sikkerhetshendelser ved hjelp av Orange Business rammer/opplegg av velutprøvde prosesser for hendelseshåndtering.
Ved å bruke AWS Security Hub kombinert med CIS AWS Foundations samsvarsstandard kan Orange Business sikre at alle Bokbasens AWS-kontoer har et minimum av sikkerhetshygiene, noe som er i samsvar med beste praksis fra Centre for Internet Security. Hvis det viser seg at et element i kontokonfigurasjonen ikke overholder disse standardene, registreres det automatisk en sikkerhetshendelse.
Amazon GuardDuty og AWS Inspector er integrert med AWS Security Hub, noe som gir samlet innsyn i sikkerheten. I tillegg vil AWS Security Hub flagge manglende samsvar med regler som er konfigurert i AWS Config.
AWS Inspector gir mulighet til å foreta sårbarhets- og samsvarsanalyse av instanser som kjører i Amazon EC2, ved hjelp av ett eller flere av fire forhåndsdefinerte sett med regler.
For en hvilken som helst regel i et regelsett i AWS Inspector er det for øyeblikket ikke mulig å ignorere visse kontroller. Dette kan forårsake unødvendige varsler, og dermed saker og unødvendig arbeid. Det var et krav at enkelte kontroller skulle deaktiveres. Derfor utviklet Orange Business en filterfunksjon basert på AWS Lambda. Filteret er konfigurert ved hjelp av JSON-objekter i Amazon S3. Det brukes både til å ignorere bestemte kontroller og til å supplere en hendelse med mer informasjon, for eksempel prioritet, ansvarlig person, hendelsestype samt ytterligere dokumentasjon og referanser.
Amazon GuardDuty er AWS’ administrerte tjeneste for trusselidentifisering. Gjennom kontinuerlig overvåking kan den oppdage skadelig aktivitet og uautorisert atferd, og dermed beskytte AWS-kontoer og workloads.
GuardDuty bruker maskinlæring til å analysere hendelser på tvers av flere AWS-kontoer og datakilder, for eksempel AWS CloudTrail, Amazon VPC Flow Logs og DNS-logger.
Amazon CloudWatch-alarmer konfigureres for spesifikke hendelser som oppdages i AWS CloudTrail.
Et eksempel på en konfigurert Amazon CloudWatch-alarm er at rotbrukeren er i bruk. Dette skal nemlig aldri skje uten at det registreres en sak i Orange Business ITSM-verktøy.
Orange Business ITSM-integrasjon støtter også mottak av alarmer som er definert i Amazon CloudWatch, via Amazon Simple Notification Service.
Da AWS Config ble aktivert i Bokbasens svært dynamiske kontoer med stadig stopping og starting av EC2-instanser, var kostnaden for AWS Config på enkelte ressurser høyere enn kostnaden for selve ressursene. I samråd med kunden valgte Orange Business å deaktivere AWS Config på Amazon EC2- og AWS Auto Scaling-ressurser.
Distribusjonen av AWS Security Hub og Inspector, kombinert med skreddersydde filtreringsfunksjoner og integrasjon med Orange Business ITSM-system, har gitt økt kontroll over viktige sikkerhetsmatriser, noe som gjør det mulig for Bokbasen å opprettholde tempoet i utviklingen.
AWS-tjenester gir problemfritt sikkerhetssamsvar for utviklingsteamene, og sørger dermed for at Bokbasen overholder nødvendige standarder.
Med AWS Security Hub og Amazon Inspector fanges sikkerhetshendelser umiddelbart opp av Orange Business ITSM-system, slik at problemene kan løses svært raskt. Uten disse verktøyene ville det vært vanskelig og tidkrevende å identifisere sikkerhetsavvik. Faktisk er det ikke sikkert de ville blitt oppdaget i det hele tatt, noe som ville medført risiko for datalekkasje og for at uautorisert tilgang til systemet ikke ville blitt oppdaget. Revisjon av samsvar med etablerte sikkerhetsstandarder har også blitt enklere, med et minimum av manuelt arbeid. Kontroll av samsvar med en bestemt standard kan gjennomføres på få minutter og gi visshet om at hver enkelt distribuert ressurs oppfyller sikkerhetskravene våre. I et miljø som er i stadig endring, ville enhver manuell revisjon vært ugyldig etter svært kort tid.
Bokbasen kan nå dra nytte av løsninger for kontinuerlig samsvar. Med sin driftsleverandør, Orange Business, og deres døgnåpne driftssenter har de nå kontroll over følgende:
- Konto-/miljøsamsvar: Dette defineres i AWS Config, revideres av AWS CloudTrail og overvåkes innenfor AWS Security Hub. Resultatet er at kunden får kontroll over samsvar på konto- og ressursnivå.
- Trusselidentifisering: Amazon GuardDuty overvåker sentrale aspekter ved AWS-kontoene og -nettverkene, og kan dermed oppdage skadelig eller uautorisert atferd.
- Samsvar i EC2-instanser: Med Amazon Inspector kan Orange Business vurdere sikkerhetsstatusen til enhver EC2-instans. Dette gir kunden innsikt i og mulighet til å overvåke utviklingsteamenes sikkerhetssamsvar og modenhet.