BrandStory er et annonseprodukt, produsert etter gjeldende retningslinjer.

Retningslinjer for BrandStory

BrandStory er en markedsføringskanal for annonsører. Tanken bak annonseformatet er at firmaer med komplekse budskap skal få anledning til å gå i dybden på sine temaer, og ha mulighet til å få direkte feedback fra en relevant målgruppe.

Annonsørene er velkomne til å dele innsikt fra forskning og utvikling, refleksjoner rundt sin rolle i samfunnet og tanker om ledelse.

Produktreklame er ikke tillatt i dette formatet. Annonsører kan heller ikke bruke BrandStory som en kanal for tilsvar på journalistikk som utøves på redaksjonelle flater.

BRANDSTORY: Slik får du kontinuerlig sikkerhetssamsvar med AWS
(EtiAmmos)
Innhold fra annonsør

Slik får du kontinuerlig sikkerhetssamsvar med AWS


For å støtte driften av kollektivtrafikken i Stor-Oslo-regionen har Ruter rundt 20 utviklingsteam. Det er utfordrende å håndtere de ulike sikkerhets- og samsvarskravene for så mange team og produkter. Ved å ta utgangspunkt i Amazon Web Services (AWS) løsninger for kontinuerlig samsvar kan Basefarm tilby Ruter en løsning for samsvarsovervåking.

Utviklingen av digitale tjenester hos Ruter involverer mange aktører. En sentral del av Ruters digitale plattform er Core Mobility Platform, en tjeneste som i sin helhet administreres av Basefarm. Core Mobility Platform består av en tjeneste for flåtelogistikk og en rapporteringstjeneste basert på Amazon EC2-instanser der Basefarm drifter nøkkelkomponentene Kafka, Cassandra, MQ (Message Queue) og flere databasetjenester på Amazon RDS.

 
IT-sikkerhet - hva var utfordringen?

For å støtte driften av kollektivtrafikken i Stor-Oslo-regionen har Ruter rundt 20 utviklingsteam. Det er utfordrende å håndtere de ulike sikkerhets- og samsvarskravene for så mange team og produkter. Ruters utviklingsteam må kunne konsentrere seg om å utvikle nyttig funksjonalitet fremfor å bekymre seg for samsvar. Utviklerne i Ruter bør kunne fokusere på tjenestene selskapet tilbyr publikum, og overlate sikkerhet og samsvar til sin driftsleverandør, Basefarm.

Ruter trengte en tjeneste for kontinuerlig overvåking og administrasjon av samsvar for arkitekturen og konfigurasjonen til de underliggende AWS-tjenestene og -verktøyene. Løsningen måtte være policybasert og reviderbar samt ha mulighet til varsling om eventuelle endringer som medfører manglende samsvar, innenfor de ulike miljøene. I tillegg skulle løsningen anbefale og bidra til å håndheve beste praksis innen sikkerhet for tjenester som distribueres i Windows- eller Linux-instanser i Amazon EC2.

Løsningen ble AWS

Ved å ta utgangspunkt i AWS’ løsninger for kontinuerlig samsvar kan Basefarm tilby Ruter en løsning for samsvarsovervåking.

Løsningen består av AWS Security HubAWS InspectorAWS ConfigAWS CloudTrailAmazon CloudWatch og Amazon GuardDuty. Tjenestene vil identifisere vanlige sikkerhetsproblemer og potensielle trusler, samtidig som de gjør det mulig for Ruter å opprettholde tempoet i utviklingen. Sikkerhetshendelser registreres som saker i Basefarms ITSM-løsning. Dette gjør det mulig å håndtere sikkerhetshendelser ved hjelp av Basefarms rammer/opplegg av velutprøvde prosesser for hendelseshåndtering.

Ved å bruke AWS Security Hub kombinert med CIS AWS Foundations samsvarsstandard kan Basefarm sikre at alle Ruters AWS-kontoer har et minimum av sikkerhetshygiene, noe som er i samsvar med beste praksis fra Centre for Internet Security. Hvis det viser seg at et element i kontokonfigurasjonen ikke overholder disse standardene, registreres det automatisk en sikkerhetshendelse.

Amazon GuardDuty og AWS Inspector er integrert med AWS Security Hub, noe som gir samlet innsyn i sikkerheten. I tillegg vil AWS Security Hub flagge manglende samsvar med regler som er konfigurert i AWS Config.

AWS Inspector gir mulighet til å foreta sårbarhets- og samsvarsanalyse av instanser som kjører i Amazon EC2, ved hjelp av ett eller flere av fire forhåndsdefinerte sett med regler.

For en hvilken som helst regel i et regelsett i AWS Inspector er det for øyeblikket ikke mulig å ignorere visse kontroller. Dette kan forårsake unødvendige varsler, og dermed saker og unødvendig arbeid. Det var et krav at enkelte kontroller skulle deaktiveres. Derfor utviklet Basefarm en filterfunksjon basert på AWS Lambda. Filteret er konfigurert ved hjelp av JSON-objekter i Amazon S3. Det brukes både til å ignorere bestemte kontroller og til å supplere en hendelse med mer informasjon, for eksempel prioritet, ansvarlig person, hendelsestype samt ytterligere dokumentasjon og referanser.

Amazon GuardDuty er AWS’ administrerte tjeneste for trusselidentifisering. Gjennom kontinuerlig overvåking kan den oppdage skadelig aktivitet og uautorisert atferd, og dermed beskytte AWS-kontoer og workloads.

GuardDuty bruker maskinlæring til å analysere hendelser på tvers av flere AWS-kontoer og datakilder, for eksempel AWS CloudTrail, Amazon VPC Flow Logs og DNS-logger.

Amazon CloudWatch-alarmer konfigureres for spesifikke hendelser som oppdages i AWS CloudTrail.

Et eksempel på en konfigurert Amazon CloudWatch-alarm er at rotbrukeren er i bruk. Dette skal nemlig aldri skje uten at det registreres en sak i Basefarms ITSM-verktøy.

Basefarms ITSM-integrasjon støtter også mottak av alarmer som er definert i Amazon CloudWatch, via Amazon Simple Notification Service.

Fordeler med AWS

Distribusjonen av AWS Security Hub og Inspector, kombinert med skreddersydde filtreringsfunksjoner og integrasjon med Basefarms ITSM-system, har gitt økt kontroll over viktige sikkerhetsmatriser, noe som gjør det mulig for Ruter å opprettholde tempoet i utviklingen.

AWS-tjenester gir problemfritt sikkerhetssamsvar for utviklingsteamene, og sørger dermed for at Ruter overholder nødvendige standarder.

Med AWS Security Hub og Amazon Inspector fanges sikkerhetshendelser umiddelbart opp av Basefarms ITSM-system, slik at problemene kan løses svært raskt. Uten disse verktøyene ville det vært vanskelig og tidkrevende å identifisere sikkerhetsavvik. Faktisk er det ikke sikkert de ville blitt oppdaget i det hele tatt, noe som ville medført risiko for datalekkasje og for at uautorisert tilgang til systemet ikke ville blitt oppdaget. Revisjon av samsvar med etablerte sikkerhetsstandarder har også blitt enklere, med et minimum av manuelt arbeid. Kontroll av samsvar med en bestemt standard kan gjennomføres på få minutter og gi visshet om at hver enkelt distribuert ressurs oppfyller sikkerhetskravene våre. I et miljø som er i stadig endring, ville enhver manuell revisjon vært ugyldig etter svært kort tid.

Ruter kan nå dra nytte av løsninger for kontinuerlig samsvar. Med sin driftsleverandør, Basefarm, og deres døgnåpne driftssenter har de nå kontroll over følgende:

  • Konto-/miljøsamsvar: Dette defineres i AWS Config, revideres av AWS CloudTrail og overvåkes innenfor AWS Security Hub. Resultatet er at kunden får kontroll over samsvar på konto- og ressursnivå.
  • Trusselidentifisering: Amazon GuardDuty overvåker sentrale aspekter ved AWS-kontoene og -nettverkene, og kan dermed oppdage skadelig eller uautorisert atferd.
  • Samsvar i EC2-instanser: Med Amazon Inspector kan Basefarm vurdere sikkerhetsstatusen til enhver EC2-instans. Dette gir kunden innsikt i og mulighet til å overvåke utviklingsteamenes sikkerhetssamsvar og modenhet.