SEC 6: Como você protege seus recursos de computação?

Os recursos de computação exigem várias camadas de defesa para ajudar na proteção contra ameaças externas e internas. Os recursos de computação incluem instâncias do EC2, contêineres, funções do AWS Lambda, serviços de banco de dados, dispositivos de IoT e muito mais.

Recursos

Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall

Melhores práticas:

• Executar o gerenciamento de vulnerabilidades: Verifique e corrija com frequência vulnerabilidades no código, nas dependências e na infraestrutura para proteger-se contra novas ameaças.

• Reduzir superfície de ataque: Reduza a superfície de ataque fortalecendo sistemas operacionais, minimizando componentes, bibliotecas e serviços consumíveis externamente em uso.

• Implementar serviços gerenciados: Implemente serviços que gerenciam recursos, como Amazon RDS, AWS Lambda e Amazon ECS, para reduzir as tarefas de manutenção de segurança como parte do modelo de responsabilidade compartilhada.

• Automatizar proteção de computação: Automatize seus mecanismos de computação de proteção, incluindo gerenciamento de vulnerabilidades, redução da superfície de ataque e gerenciamento de recursos.

• Permitir que as pessoas executem ações a uma distância: A remoção da capacidade de acesso interativo reduz o risco de erro humano e o potencial de configuração ou gerenciamento manual. Por exemplo, use um fluxo de trabalho de gerenciamento de alterações para implantar instâncias do EC2 usando infraestrutura como código e, em seguida, gerencie instâncias do EC2 usando ferramentas em vez de permitir acesso direto ou um bastion host.

• Validar a integridade do software: Implemente mecanismos (por exemplo, assinatura de código) para validar se o software, o código e as bibliotecas usados na carga de trabalho são de fontes confiáveis e não foram adulterados.

Plano de melhoria

Executar o gerenciamento de vulnerabilidades

Configurar o Amazon Inspector: O Amazon Inspector testa a acessibilidade de rede das instâncias do Amazon EC2 e o estado de segurança dos aplicativos executados nessas instâncias. O Amazon Inspector avalia aplicativos em busca de exposição, vulnerabilidades e desvios das melhores práticas.
What is Amazon Inspector?

Verificar código fonte: Escaneie bibliotecas e dependências em busca de vulnerabilidades.
Amazon CodeGuru
OWASP: Source Code Analysis Tools

Reduzir superfície de ataque

Fortalecer sistema operacional: Configure os sistemas operacionais para atender às melhores práticas.
Securing Amazon Linux
Securing Microsoft Windows Server

Fortalecer recursos em contêiner: Configure recursos em contêiner para atender às melhores práticas de segurança.

Melhores práticas do AWS Lambda: Implementar as melhores práticas do AWS Lambda
AWS Lambda best practices

Implementar serviços gerenciados

Explorar os serviços disponíveis: Explore, teste e implemente serviços que gerenciam recursos, como Amazon RDS, AWS Lambda e Amazon ECS.
AWS Home

Automatizar proteção de computação

Automatizar gerenciamento de configuração: Aplique e valide configurações seguras automaticamente usando um serviço ou ferramenta de gerenciamento de configuração para reduzir erros humanos.
AWS Systems Manager
AWS CloudFormation
Lab: Automated deployment of VPC
Lab: Automated deployment of EC2 web application

Automatizar a aplicação de patches de instâncias do EC2: O Patch Manager do AWS Systems Manager automatiza o processo de aplicação de patches em instâncias gerenciadas com atualizações relacionadas à segurança e com outros tipos de atualizações. Você pode usar o Patch Manager para aplicar patches para sistemas operacionais e aplicativos.
AWS Systems Manager Patch Manager
Centralized multi-account and multi-region patching with AWS Systems Manager Automation

Implementar detecção e prevenção de invasões: Implemente uma ferramenta de detecção e prevenção de invasões para monitorar e interromper atividades maliciosas nas instâncias.

Considerar soluções de parceiros do APN: Os parceiros do APN oferecem centenas de produtos líderes do setor que são equivalentes, idênticos ou se integram aos controles existentes nos seus ambientes no local. Esses produtos complementam os serviços da Nuvem AWS já existentes para que os clientes possam implantar uma arquitetura de segurança abrangente e fornecer uma experiência mais uniforme nos seus ambientes na nuvem e no local.
Infrastructure security

Permitir que as pessoas executem ações a uma distância

Substituir acesso ao console: Substitua o acesso ao console (SSH ou RDP) a instâncias com o Run Command do AWS Systems Manager para automatizar tarefas de gerenciamento.
AWS Systems Manager Run Command

Validar a integridade do software

Investigar mecanismos: A assinatura de código é um mecanismo que pode ser usado para validar a integridade do software.
NIST: Security Considerations for Code Signing