SEC 6: Como você protege seus recursos de computação?
Os recursos de computação exigem várias camadas de defesa para ajudar na proteção contra ameaças externas e internas. Os recursos de computação incluem instâncias do EC2, contêineres, funções do AWS Lambda, serviços de banco de dados, dispositivos de IoT e muito mais.
Recursos
Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall
Melhores práticas:
-
Executar o gerenciamento de vulnerabilidades: Verifique e corrija com frequência vulnerabilidades no código, nas dependências e na infraestrutura para proteger-se contra novas ameaças.
-
Reduzir superfície de ataque: Reduza a superfície de ataque fortalecendo sistemas operacionais, minimizando componentes, bibliotecas e serviços consumíveis externamente em uso.
-
Implementar serviços gerenciados: Implemente serviços que gerenciam recursos, como Amazon RDS, AWS Lambda e Amazon ECS, para reduzir as tarefas de manutenção de segurança como parte do modelo de responsabilidade compartilhada.
-
Automatizar proteção de computação: Automatize seus mecanismos de computação de proteção, incluindo gerenciamento de vulnerabilidades, redução da superfície de ataque e gerenciamento de recursos.
-
Permitir que as pessoas executem ações a uma distância: A remoção da capacidade de acesso interativo reduz o risco de erro humano e o potencial de configuração ou gerenciamento manual. Por exemplo, use um fluxo de trabalho de gerenciamento de alterações para implantar instâncias do EC2 usando infraestrutura como código e, em seguida, gerencie instâncias do EC2 usando ferramentas em vez de permitir acesso direto ou um bastion host.
-
Validar a integridade do software: Implemente mecanismos (por exemplo, assinatura de código) para validar se o software, o código e as bibliotecas usados na carga de trabalho são de fontes confiáveis e não foram adulterados.
Plano de melhoria
Executar o gerenciamento de vulnerabilidades
What is Amazon Inspector?
Amazon CodeGuru
OWASP: Source Code Analysis Tools
Reduzir superfície de ataque
Securing Amazon Linux
Securing Microsoft Windows Server
AWS Lambda best practices
Implementar serviços gerenciados
AWS Home
Automatizar proteção de computação
AWS Systems Manager
AWS CloudFormation
Lab: Automated deployment of VPC
Lab: Automated deployment of EC2 web application
AWS Systems Manager Patch Manager
Centralized multi-account and multi-region patching with AWS Systems Manager Automation
Infrastructure security
Permitir que as pessoas executem ações a uma distância
AWS Systems Manager Run Command
Validar a integridade do software
NIST: Security Considerations for Code Signing