SEC 1: Como você opera com segurança sua carga de trabalho?

Para operar sua carga de trabalho com segurança, você deve aplicar as melhores práticas gerais a todas as áreas de segurança. Use os requisitos e os processos que você definiu em excelência operacional em nível de carga de trabalho e também organizacional e aplique-os a todas as áreas. Manter-se atualizado com as recomendações da AWS e do setor e a inteligência de ameaças ajuda você a desenvolver seu modelo de ameaças e objetivos de controle. A automação de processos, testes e validação de segurança permite que você escale suas operações de segurança.

Recursos

Security Best Practices the Well-Architected Way
Managing Multi-Account AWS Environments Using AWS Organizations
Enable AWS adoption at scale with automation and governance
AWS Security Hub: Manage Security Alerts and Automate Compliance
Using AWS Control Tower to Govern Multi-Account AWS Environments
IAM Best Practices
Getting started with AWS Organizations
AWS Control Tower
Security Bulletins
AWS Security Audit Guidelines
How to use service control policies to set permission guardrails across accounts in your AWS Organization

Melhores práticas:

• Separar as cargas de trabalho usando contas: Organize as cargas de trabalho em contas separadas e contas de grupo com base na função ou em um conjunto comum de controles, em vez de espelhar a estrutura de comunicação da empresa. Tenha em mente a segurança e a infraestrutura ao começar para que sua organização possa definir proteções comuns à medida que as cargas de trabalho aumentam.

• Proteger a conta da AWS: Proteja o acesso às suas contas, por exemplo, habilitando a MFA, restrinja a utilização do usuário raiz e configure os contatos da conta.

• Identificar e validar objetivos de controle: Com base em seus requisitos de conformidade e riscos identificados no modelo de ameaça, derive e valide os objetivos de controle e os controles que você precisa aplicar à carga de trabalho. A validação contínua de objetivos de controle e controles ajuda a medir a eficácia da mitigação de riscos.

• Manter-se atualizado sobre as ameaças à segurança: Reconheça vetores de ataque mantendo-se a par das ameaças de segurança mais recentes para definir e implementar os controles adequados.

• Manter-se atualizado com as recomendações de segurança: Mantenha-se atualizado com as recomendações de segurança da AWS e do setor para desenvolver a postura de segurança da sua carga de trabalho.

• Automatizar testes e validação de controles de segurança em pipelines: Estabeleça linhas de base e modelos seguros para mecanismos de segurança que são testados e validados como parte de sua compilação, pipelines e processos. Use ferramentas e automação para testar e validar todos os controles de segurança continuamente. Por exemplo, verifique itens, como imagens de máquina e infraestrutura, como modelos de código, para detectar vulnerabilidades de segurança, irregularidades e desvios da linha de base estabelecida em cada estágio.

• Identificar e priorizar riscos usando um modelo de ameaça: Use um modelo de ameaça para identificar e manter um registro atualizado de potenciais ameaças. Priorize as ameaças e adapte os controles de segurança para prevenir, detectar e responder. Revise e mantenha essas informações no contexto do cenário de segurança em evolução.

• Avaliar e implementar regularmente novos serviços e recursos de segurança: Os parceiros da AWS e do APN lançam constantemente novos recursos e serviços que permitem que você desenvolva a postura de segurança da sua carga de trabalho.

Plano de melhoria

Separar as cargas de trabalho usando contas

Usar o AWS Organizations: Use o AWS Organizations para aplicar centralmente o gerenciamento baseado em políticas para várias contas da AWS.
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

Considerar o AWS Control Tower: O AWS Control Tower oferece uma maneira fácil de configurar e controlar um novo ambiente seguro e multicontas da AWS com base nas melhores práticas.
AWS Control Tower

Proteger a conta da AWS

Usar o AWS Organizations: Use o AWS Organizations para aplicar centralmente o gerenciamento baseado em políticas para várias contas da AWS.
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

Limitar o uso do usuário raiz da AWS: Somente use o usuário raiz para executar tarefas que o exijam especificamente.
AWS Tasks That Require AWS Account Root User Credentials

Habilitar MFA para o usuário raiz: Habilite a MFA no usuário raiz da conta da AWS se o AWS Organizations não estiver gerenciando usuários raiz.
Lab: AWS account and root user
Root user

Alterar periodicamente a senha do usuário raiz: Alterar a senha do usuário raiz reduz o risco de que uma senha salva possa ser usada. Especialmente importante se você não estiver usando o AWS Organizations e alguém tiver acesso físico.
Changing the AWS account root user password

Habilitar notificação quando o usuário raiz da conta da AWS for usado: Ser notificado reduz automaticamente riscos.
How to receive notifications when your AWS account's root access keys are used

Restringir o acesso às regiões recém-adicionadas.: Para novas regiões da AWS, os recursos do IAM, como usuários e funções, serão propagados somente para as regiões habilitadas.
Setting permissions to enable accounts for upcoming AWS Regions

Considerar o CloudFormation StackSets: O CloudFormation StackSets pode ser usado para implantar recursos, incluindo políticas, funções e grupos do IAM, em diferentes contas e regiões da AWS por meio de um modelo aprovado.
Use CloudFormation StackSets

Identificar e validar objetivos de controle

Identificar requisitos de conformidade: Descubra os requisitos organizacionais, legais e de conformidade que a sua carga de trabalho precisa cumprir.

Identificar recursos de conformidade da AWS: Identifique os recursos que a AWS tem disponíveis para ajudá-lo com a conformidade.
https://aws.amazon.com/compliance/
https://aws.amazon.com/artifact/

Manter-se atualizado sobre as ameaças à segurança

Inscrever-se em fontes de inteligência de ameaças: Analise regularmente as informações de inteligência de ameaças de várias fontes relevantes sobre as tecnologias usadas na sua carga de trabalho.
Common Vulnerabilities and Exposures List

Considerar o produto AWS Shield Advanced: Ele oferece visibilidade quase em tempo real das fontes de inteligência, se sua carga de trabalho for acessível pela Internet.
AWS Shield

Manter-se atualizado com as recomendações de segurança

Seguir as atualizações da AWS: Inscreva-se ou verifique regularmente novas recomendações e dicas.
AWS Well-Architected Labs
AWS security blog
AWS service documentation

Inscrever-se para receber novidades do setor: Consulte regularmente os feeds de notícias de várias fontes relevantes às tecnologias usadas na sua carga de trabalho.
Example: Common Vulnerabilities and Exposures List

Automatizar testes e validação de controles de segurança em pipelines

Automatizar gerenciamento de configuração: Aplique e valide configurações seguras automaticamente usando um serviço ou ferramenta de gerenciamento de configuração para reduzir erros humanos.
AWS Systems Manager
AWS CloudFormation
Set Up a CI/CD Pipeline on AWS

Identificar e priorizar riscos usando um modelo de ameaça

Criar um modelo de ameaça: Crie um modelo de ameaça para identificar e solucionar potenciais ameaças à segurança.
NIST: Guide to Data-Centric System Threat Modeling

Avaliar e implementar regularmente novos serviços e recursos de segurança

Planejar análises regulares: Crie um calendário de atividades de análise que inclua se informar sobre os requisitos de conformidade, avaliar novos recursos e serviços de segurança da AWS e manter-se atualizado sobre as novidades do setor.

Descobrir serviços e recursos da AWS: Descubra os recursos de segurança disponíveis para os serviços que você está usando e analise os novos recursos à medida que são lançados.
AWS security blog
AWS security bulletins
AWS service documentation

Definir processos de integração de serviço da AWS: Defina processos para a integração de novos produtos da AWS. Inclua como você avalia os novos serviços da AWS em termos de funcionalidade e os requisitos de conformidade para sua carga de trabalho.

Testar novos serviços e recursos: Teste novos serviços e recursos à medida que são lançados em um ambiente que não seja de produção que replica bem o ambiente de produção.

Implementar outros mecanismos de defesa: Implemente mecanismos automatizados para defender sua carga de trabalho e explore as opções disponíveis.
Remediating non-compliant AWS resources by AWS Config Rules