Segurança

O pilar (pilar) inclui (descrição)

O pilar Segurança apresenta uma visão geral dos princípios de design, melhores práticas e perguntas. Você pode encontrar orientações prescritivas sobre implementação no whitepaper sobre o pilar Segurança.

Princípios de design

Existem (contagem) princípios do projeto para (pilar inferior) na nuvem:

Definição

Existem (contagem) melhores práticas para (pilar inferior) na nuvem:

Antes de projetar qualquer carga de trabalho, estabeleça práticas que influenciem a segurança. Controle quem pode fazer o quê. Além disso, é útil conseguir identificar incidentes de segurança, proteger seus sistemas e serviços e manter a confidencialidade e a integridade dos dados por meio de proteção de dados. Você deve ter um processo bem definido e treinado para responder a incidentes de segurança. Essas ferramentas e técnicas são importantes porque apoiam objetivos como evitar perdas financeiras ou cumprir obrigações regulatórias.

O Modelo de Responsabilidade Compartilhada da AWS permite que as organizações que adotam a nuvem alcancem suas metas de segurança e conformidade. Como a AWS protege fisicamente a infraestrutura que suporta nossos serviços em nuvem, como cliente da AWS, você pode se concentrar no uso de serviços para atingir seus objetivos. A Nuvem AWS também oferece maior acesso aos dados de segurança e uma abordagem automatizada para responder a eventos de segurança.

Melhores práticas

Segurança

Para operar sua carga de trabalho com segurança, você deve aplicar as melhores práticas gerais a todas as áreas de segurança. Use os requisitos e os processos que você definiu em excelência operacional em nível de carga de trabalho e também organizacional e aplique-os a todas as áreas.

Manter-se atualizado com as recomendações da AWS e do setor e a inteligência de ameaças ajuda você a desenvolver seu modelo de ameaças e objetivos de controle. A automação de processos, testes e validação de segurança permite que você escale suas operações de segurança.

As perguntas a seguir se concentram nessas considerações para (pilar inferior).

SEC 1: Como você opera com segurança sua carga de trabalho?

Na AWS, a segregação de cargas de trabalho diferentes por conta, com base na respectiva função e nos requisitos de conformidade ou confidencialidade de dados, é uma abordagem recomendada.

Identity and Access Management

O Identity and Access Management é parte essencial de um programa de segurança da informação, que garante que apenas usuários autorizados e autenticados possam acessar seus recursos e somente da forma que você pretender. Por exemplo, você deve definir entidades principais (ou seja, contas, usuários, funções e serviços que podem executar ações em sua conta), criar políticas alinhadas com essas entidades principais e implementar um gerenciamento forte de credenciais. Esses elementos de gerenciamento de privilégios formam o núcleo da autenticação e autorização.

Na AWS, o gerenciamento de privilégios é compatível principalmente com o serviço AWS Identity and Access Management (IAM), que permite controlar o acesso do usuário e programático a produtos e recursos da AWS. Você deve aplicar políticas granulares, que atribuem permissões a um usuário, grupo, função ou recurso. Você também pode exigir práticas de senha forte, como nível de complexidade, evitando reutilização e impondo multi-factor authentication (MFA). Você pode usar federação com seu serviço de diretório atual. Para cargas de trabalho que exigem que os sistemas tenham acesso à AWS, o IAM possibilita acesso seguro por meio de funções, perfis de instância, federação de identidades e credenciais temporárias.

As perguntas a seguir se concentram nessas considerações para (pilar inferior).

SEC 2: Como você gerencia identidades para pessoas e máquinas?
SEC 3: Como você gerencia permissões para pessoas e máquinas?

As credenciais não devem ser compartilhadas entre usuários ou sistemas. O acesso do usuário deve ser concedido usando uma abordagem de privilégio mínimo, com melhores práticas que incluem requisitos de senha e imposição de MFA. O acesso programático, incluindo chamadas à API a produtos da AWS, deve ser realizado usando credenciais de privilégio limitado e temporárias como aquelas emitidas pelo AWS Security Token Service.

A AWS fornece recursos que podem ajudá-lo no Identity and Access Management. Para conhecer as melhores práticas, verifique nossos experimentos práticos sobre gerenciamento de credenciais e autenticação, controle de acesso humano e controle de acesso programático.

Detecção

Você pode usar controles de detecção para identificar uma potencial ameaça ou incidente de segurança. Eles são uma parte essencial das estruturas de governança e podem ser usados para apoiar um processo de qualidade, uma obrigação legal ou de conformidade e para os esforços de identificação e resposta a ameaças. Existem diferentes tipos de controles de detecção. Por exemplo, a realização de um inventário de ativos e seus atributos detalhados promove tomadas de decisão mais eficazes (e controles de ciclo de vida) para ajudar a estabelecer linhas de base operacionais. Você também pode usar a auditoria interna, um exame dos controles relacionados aos sistemas de informação, para garantir que as práticas atendam às políticas e aos requisitos e que você tenha definido as notificações de alerta automatizadas corretas com base nas condições definidas. Esses controles são fatores reativos importantes que podem ajudar sua organização a identificar e entender o escopo da atividade anômala.

Na AWS, você pode implementar controles de detecção processando logs, eventos e monitoramento que possibilitam auditoria, análise automatizada e alarmes. Os logs do CloudTrail, as chamadas à API da AWS e o CloudWatch fornecem o monitoramento de métricas com alarmes, enquanto o AWS Config fornece o histórico de configuração. O Amazon GuardDuty é um serviço de detecção de ameaças gerenciado que monitora continuamente comportamentos mal-intencionados ou não autorizados para ajudar a proteger contas e cargas de trabalho da AWS. Logs em nível de serviço também estão disponíveis, por exemplo, você pode usar o Amazon Simple Storage Service (Amazon S3) para registrar solicitações de acesso em log.

As perguntas a seguir se concentram nessas considerações para (pilar inferior).

SEC 4: Como você detecta e investiga eventos de segurança?

O gerenciamento de log é importante para uma carga de trabalho do Well-Architected por motivos que vão de segurança ou análise forense a requisitos regulatórios ou legais. É fundamental que você analise os logs e responda a eles para que possa identificar possíveis incidentes de segurança. A AWS fornece uma funcionalidade que torna o gerenciamento de log mais fácil de implementar possibilitando que você defina um ciclo de vida de retenção de dados ou defina em que local os dados serão preservados, arquivados ou, por fim, excluídos. Isso torna o processamento de dados previsível e confiável mais simples e econômico.

Proteção de infraestrutura

A proteção de infraestrutura abrange metodologias de controle, como defesa em profundidade, necessárias para atender às melhores práticas e obrigações organizacionais ou regulatórias. O uso dessas metodologias é fundamental para operações contínuas bem-sucedidas na nuvem ou no local.

Na AWS, é possível implementar inspeção de pacote stateful e stateless, seja usando tecnologias nativas da AWS ou produtos e serviços de parceiros disponíveis por meio do AWS Marketplace. Você deve usar o Amazon Virtual Private Cloud (Amazon VPC) para criar um ambiente privado, protegido e escalável em que seja possível definir sua topologia, incluindo gateways, tabelas de roteamento e sub-redes públicas e privadas.

As perguntas a seguir se concentram nessas considerações para (pilar inferior).

SEC 5: Como você protege seus recursos de rede?
SEC 6: Como você protege seus recursos de computação?

É aconselhável usar várias camadas de defesa em qualquer tipo de ambiente. No caso de proteção de infraestrutura, muitos dos conceitos e métodos são válidos em modelos no local e em nuvem. Impor proteção de limites, monitorar pontos de entrada e saída e registro em log, monitoramento e geração de alertas abrangentes são medidas essenciais para um plano eficaz de segurança da informação.

Os clientes da AWS são capazes de personalizar, ou reforçar, a configuração de uma Amazon Elastic Compute Cloud (Amazon EC2), de um contêiner do Amazon EC2 Container Service (Amazon ECS) ou de uma instância do AWS Elastic Beanstalk, além de manter essa configuração em uma imagem de máquina da Amazon (AMI) imutável. Ao serem acionados pelo Auto Scaling ou iniciados manualmente, todos os novos servidores virtuais (instâncias) iniciados com esse AMI recebem a configuração reforçada.

Proteção de dados

Antes de criar a arquitetura de qualquer sistema, devem ser adotadas práticas fundamentais que influenciam a segurança. Por exemplo, a classificação de dados fornece uma maneira de categorizar os dados organizacionais com base nos níveis de sensibilidade, e a criptografia protege os dados ao torná-los ininteligíveis ao acesso não autorizado. Essas ferramentas e técnicas são importantes porque apoiam objetivos como evitar perdas financeiras ou cumprir obrigações regulatórias.

Na AWS, as seguintes práticas facilitam a proteção de dados:

  • como cliente da AWS, você mantém controle total sobre seus dados.

  • A AWS torna mais fácil criptografar e gerenciar chaves, incluindo a rotação regular de chaves, que pode ser facilmente automatizada pela AWS ou mantida por você.

  • O registro em log detalhado com conteúdo importante, como acesso e alterações a arquivo, está disponível.

  • A AWS projetou sistemas de armazenamento para resiliência excepcional. Por exemplo, o Amazon S3 Standard, o S3 Standard–IA, o S3 One Zone-IA e o Amazon Glacier são todos projetados para oferecer 99,999999999% de durabilidade de objetos em determinado ano. Esse nível de durabilidade corresponde a uma perda anual média esperada de 0,000000001% dos objetos.

  • O versionamento, que pode fazer parte de um processo maior de gerenciamento de ciclo de vida de dados, pode proteger contra substituições, exclusões e danos similares inadvertidos.

  • A AWS nunca inicia a movimentação de dados entre regiões. O conteúdo colocado em uma região permanecerá nessa região, a menos que você explicitamente habilite um recurso ou utilize um serviço que forneça essa funcionalidade.

As perguntas a seguir se concentram nessas considerações para (pilar inferior).

SEC 7: Como classificar meus dados?
SEC 8: Como você protege seus dados em repouso?
SEC 9: Como você protege seus dados em trânsito?

A AWS oferece vários meios de criptografar dados em repouso e em trânsito. Integramos recursos em nossos serviços que tornam mais fácil criptografar seus dados. Por exemplo, implementamos criptografia no lado do servidor (SSE) para o Amazon S3 para tornar mais fácil para você armazenar seus dados em um formato criptografado. Você também pode providenciar que todo o processo de criptografia e descriptografia HTTPS (geralmente conhecido como terminação SSL) seja processado por Elastic Load Balancing (ELB).

Resposta a incidentes

Mesmo com controles preventivos e de detecção consolidados, sua organização ainda deve implementar processos para responder e mitigar o impacto potencial de incidentes de segurança. A arquitetura de sua carga de trabalho afeta fortemente a capacidade de suas equipes de operar efetivamente durante um incidente, de isolar ou conter sistemas e de restaurar operações para um bom estado conhecido. Ter as ferramentas e o acesso prontos antes de um incidente de segurança e praticar rotineiramente a resposta a incidentes durante os dias de jogo ajudará a garantir que sua arquitetura possa acomodar investigações e recuperação oportunas.

Na AWS, as seguintes práticas facilitam a resposta eficaz a incidentes:

  • o registro em log detalhado está disponível e contém conteúdo importante, como acesso a arquivos e alterações.

  • Os eventos podem ser processados automaticamente e acionar ferramentas que automatizam respostas usando as APIs da AWS.

  • Você pode pré-provisionar ferramentas e uma “sala limpa” usando o AWS CloudFormation. Isso permite que você realize análise forense em um ambiente seguro e isolado.

As perguntas a seguir se concentram nessas considerações para (pilar inferior).

SEC 10: Como você prevê, responde e se recupera de incidentes?

Garanta acesso rápido de sua equipe de segurança e automatize o isolamento de instâncias, bem como a captura de dados e estado para análise forense.

Recursos

Consulte os seguintes recursos para saber mais sobre nossas melhores práticas para (pilar).

Security Pillar
AWS Cloud Security
AWS Compliance
AWS Security Blog
AWS Security Overview
AWS Security Best Practices
AWS Risk and Compliance
AWS Security State of the Union
Shared Responsibility Overview