Esse conteúdo está desatualizado. Esta versão da Well-Architected Framework agora pode ser encontrada em: https://docs.aws.amazon.com/pt_br/wellarchitected/2022-03-31/framework/security.html

SEC 6: Como você protege seus recursos de computação?

Os recursos de computação exigem várias camadas de defesa para ajudar na proteção contra ameaças externas e internas. Os recursos de computação incluem instâncias do EC2, contêineres, funções do AWS Lambda, serviços de banco de dados, dispositivos de IoT e muito mais.

Recursos

Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall

Melhores práticas:

Plano de melhoria

Executar o gerenciamento de vulnerabilidades

  • Configurar o Amazon Inspector: O Amazon Inspector testa a acessibilidade de rede das instâncias do Amazon EC2 e o estado de segurança dos aplicativos executados nessas instâncias. O Amazon Inspector avalia aplicativos em busca de exposição, vulnerabilidades e desvios das melhores práticas.
    What is Amazon Inspector?
  • Verificar código fonte: Escaneie bibliotecas e dependências em busca de vulnerabilidades.
    Amazon CodeGuru
    OWASP: Source Code Analysis Tools
  • Reduzir superfície de ataque

  • Fortalecer sistema operacional: Configure os sistemas operacionais para atender às melhores práticas.
    Securing Amazon Linux
    Securing Microsoft Windows Server
  • Fortalecer recursos em contêiner: Configure recursos em contêiner para atender às melhores práticas de segurança.
  • Melhores práticas do AWS Lambda: Implementar as melhores práticas do AWS Lambda
    AWS Lambda best practices
  • Implementar serviços gerenciados

  • Explorar os serviços disponíveis: Explore, teste e implemente serviços que gerenciam recursos, como Amazon RDS, AWS Lambda e Amazon ECS.
    AWS Home
  • Automatizar proteção de computação

  • Automatizar gerenciamento de configuração: Aplique e valide configurações seguras automaticamente usando um serviço ou ferramenta de gerenciamento de configuração para reduzir erros humanos.
    AWS Systems Manager
    AWS CloudFormation
    Lab: Automated deployment of VPC
    Lab: Automated deployment of EC2 web application
  • Automatizar a aplicação de patches de instâncias do EC2: O Patch Manager do AWS Systems Manager automatiza o processo de aplicação de patches em instâncias gerenciadas com atualizações relacionadas à segurança e com outros tipos de atualizações. Você pode usar o Patch Manager para aplicar patches para sistemas operacionais e aplicativos.
    AWS Systems Manager Patch Manager
    Centralized multi-account and multi-region patching with AWS Systems Manager Automation
  • Implementar detecção e prevenção de invasões: Implemente uma ferramenta de detecção e prevenção de invasões para monitorar e interromper atividades maliciosas nas instâncias.
  • Considerar soluções de parceiros do APN: Os parceiros do APN oferecem centenas de produtos líderes do setor que são equivalentes, idênticos ou se integram aos controles existentes nos seus ambientes no local. Esses produtos complementam os serviços da Nuvem AWS já existentes para que os clientes possam implantar uma arquitetura de segurança abrangente e fornecer uma experiência mais uniforme nos seus ambientes na nuvem e no local.
    Infrastructure security
  • Permitir que as pessoas executem ações a uma distância

  • Substituir acesso ao console: Substitua o acesso ao console (SSH ou RDP) a instâncias com o Run Command do AWS Systems Manager para automatizar tarefas de gerenciamento.
    AWS Systems Manager Run Command
  • Validar a integridade do software

  • Investigar mecanismos: A assinatura de código é um mecanismo que pode ser usado para validar a integridade do software.
    NIST: Security Considerations for Code Signing