ZS offre best practice di sicurezza sempre attive utilizzando i servizi di sicurezza AWS

ZS Associates (ZS) ha cercato di creare maggiore visibilità e di semplificare la gestione della propria postura di sicurezza per una base clienti globale diversificata con requisiti di sicurezza complessi ed esigenti. Molti dei suoi clienti devono soddisfare standard di conformità che variano in base al Paese e al settore. ZS aveva creato architetture di soluzioni cloud uniche per i singoli clienti utilizzando Amazon Web Services (AWS), quindi era alla ricerca di una soluzione di sicurezza replicabile che potesse scalare in modo semplice e funzionare bene insieme alle centinaia di servizi AWS che già utilizzava. Utilizzando AWS, ZS ha creato un panorama di sicurezza scalabile e completo che automatizza le lunghe procedure di sicurezza manuali e facilita l'implementazione dell'architettura cloud per i clienti.

Sin dalla sua fondazione nel 1983, ZS ha utilizzato il software per risolvere i problemi dei clienti. Nel corso degli anni, l'azienda ha creato offerte innovative utilizzando funzionalità di analisi, intelligenza artificiale e machine learning, e le ha fornite come software as a service (SaaS). ZS spesso crea soluzioni per i clienti utilizzando la propria piattaforma proprietaria, ZAIDYN, basata su AWS e potenziata da vari servizi AWS gestiti. L'azienda dispone del proprio Centro di eccellenza del Cloud (CCoE), un dipartimento dedicato alla creazione, manutenzione e assistenza alla progettazione di più di 250 account AWS che fanno parte delle soluzioni di ZS per i suoi clienti. Vari servizi AWS interagiscono per ogni cliente in quello che ZS chiama un “account AWS spoke” e che può monitorare attraverso la centralizzazione di log, metriche ed eventi rilevanti.

Questi log, metriche ed eventi generano terabyte di informazioni non elaborate, che ZS archivia per almeno un anno utilizzando Amazon Simple Storage Service (Amazon S3), il servizio di archiviazione di oggetti che offre scalabilità, disponibilità dei dati, sicurezza e prestazioni leader del settore. Il CCoE ha creato un modo per filtrare queste informazioni, inviando centinaia di gigabyte tramite componenti intermedi a una piattaforma di osservabilità centralizzata. Vedi Diagramma 1: Architettura di riferimento della piattaforma di osservabilità di AWS. “È necessario disporre di un processo di due diligence specifico per l'azienda che crei diversi livelli di dati in modo da esaminare i log che offrono il maggior numero di informazioni”, afferma Rujuswami Gandhi, director of cloud services presso ZS. 

La sicurezza è una parte importante di questo flusso di informazioni. ZS ha costruito un solido panorama di sicurezza incentrato sul framework di sicurezza informatica del National Institute of Standards and Technology (NIST): identificazione, protezione, rilevamento, risposta e ripristino. ZS ha aggiunto la governance, un'iniziativa interna per aiutare l'azienda a prepararsi per i controlli di sicurezza di terze parti. “Tra i diversi servizi AWS che utilizziamo con l'esclusiva architettura di tenancy che seguiamo per i nostri clienti, la sicurezza è un elemento molto importante perché i nostri clienti hanno elevate aspettative per quanto riguarda la sicurezza delle informazioni”, afferma Gandhi. “I nostri clienti possono avere la certezza che non solo utilizziamo i servizi AWS in modo maturo, ma ci allineiamo anche ai framework standard del settore”. Per dettagli sul panorama di sicurezza creato da ZS, consulta il Diagramma 2: “Panoramica di affidabilità di ZS nel cloud AWS - Obiettivo di sicurezza”.

Ad esempio, nell'ambito del suo pilastro di rilevamento e risposta, ZS utilizza otto servizi di AWS integrati da numerose soluzioni di terze parti. Utilizzando Centrale di sicurezza AWS, un servizio di gestione della postura di sicurezza nel cloud che esegue controlli delle best practice di sicurezza, aggrega gli avvisi e supporta la correzione automatica, ZS ottiene una visibilità centralizzata quasi in tempo reale. Inoltre, ZS ha semplificato la gestione della conformità di base con funzionalità di mappatura per molti dei framework di sicurezza richiesti dai clienti ZS, come SOC 2, ISO/IEC 27001 e HITRUST. L'utilizzo di Centrale di sicurezza AWS ha facilitato l'espansione globale di ZS perché gli standard di sicurezza sono diversi a livello globale, ad esempio il Regolamento generale sulla protezione dei dati dell'UE e il framework di governance cinese noto come Multi-Layer Protection Scheme. “Utilizzando Centrale di sicurezza AWS, ci basta scegliere tra i set di regole predefiniti e l'implementazione avviene in modo automatico per fornire informazioni sull'aderenza e sulle tendenze man mano che il lavoro di correzione procede”, afferma Gandhi. “La gestione di Centrale di sicurezza AWS richiede poco impegno”.

Un altro servizio utilizzato da ZS per rilevare e rispondere alle minacce è Amazon Inspector, un servizio automatizzato di gestione delle vulnerabilità che analizza continuamente i carichi di lavoro AWS alla ricerca di vulnerabilità software ed esposizioni involontarie alla rete. Per contrastare le minacce immediate, ZS utilizza Amazon GuardDuty, il servizio di rilevamento delle minacce che monitora costantemente gli account e i carichi di lavoro AWS in cerca di attività dannose e restituisce risultati dettagliati sulla sicurezza per la visibilità e il ripristino. “Grazie ad Amazon GuardDuty abbiamo ottenuto informazioni importanti che avrebbero potuto tradursi in incidenti di sicurezza se il nostro team di risposta agli incidenti non fosse stato informato tempestivamente”, afferma Gandhi. E per dimostrare la conformità, ZS utilizza AWS CloudTrail, che monitora e registra l'attività degli account nell'infrastruttura AWS. Questa maggiore visibilità semplifica le procedure di controllo.

Come parte del suo panorama che si allinea al pilastro della protezione del framework NIST, ZS utilizza AWS Identity and Access Management (AWS IAM), che fornisce un controllo granulare degli accessi in tutta AWS. “Sarebbe stato molto complesso affrontare tutto da soli senza ricorrere ad AWS”, afferma Beeling Chang, cloud architect presso ZS.

L'intero carico di lavoro del CCoE si basa sui concetti di AWS Landing Zone, una soluzione che aiuta i clienti a configurare più rapidamente un ambiente AWS sicuro e multiaccount basato sulle best practice AWS. AWS Landing Zone aiuta a risparmiare tempo automatizzando la configurazione per eseguire carichi di lavoro sicuri e scalabili. Secondo le stime di ZS, la possibilità di controllare la conformità in modo automatizzato e continuo, offerta dalle soluzioni AWS, consente di risparmiare circa 1.000 ore di lavoro ogni mese che sarebbero state impiegate per verificare manualmente l'aderenza alle best practice di sicurezza. Inoltre, ZS sta acquisendo nuovi clienti tre volte più velocemente utilizzando la sicurezza modulabile e altri servizi AWS.

Il team CCoE di ZS continua a concentrarsi sulla sicurezza in quanto mira al miglioramento dell'Framework AWS Well-Architected, che aiuta gli architetti del cloud a creare un'infrastruttura sicura, ad alte prestazioni, resiliente ed efficiente per una varietà di applicazioni e carichi di lavoro.

Inoltre, da quando ha spostato la sua attenzione sulle soluzioni AWS, ZS ha migliorato la sua agilità nell'attingere a funzionalità innovative di analisi e machine learning, attirando talenti di qualità e responsabilizzando i propri dipendenti. I dipendenti utilizzano queste tecnologie all'avanguardia per collaborare con i clienti e contribuire a risolvere problemi complessi. “L'utilizzo di AWS ci consente di avere una visibilità centralizzata”, afferma Gandhi. “È sempre funzionante e sempre attivo. Sta cambiando la nostra mentalità”.