Esse conteúdo está desatualizado. Esta versão da Well-Architected Framework agora pode ser encontrada em: https://docs.aws.amazon.com/pt_br/wellarchitected/2022-03-31/framework/security.html
SEC 8: Como você protege seus dados em repouso?
Proteja seus dados em repouso implementando vários controles para reduzir o risco
de acesso não autorizado ou manuseio incorreto.
Recursos
How Encryption Works in AWS
Securing Your Block Storage on AWS
AWS Key Management Service
Protecting Amazon S3 Data Using Encryption
Amazon EBS Encryption
Encrypting Amazon RDS Resources
AWS KMS Cryptographic Details Whitepaper
AWS Encryption SDK
AWS Crypto Tools
AWS cryptographic services and tools
Melhores práticas:
-
Implementar gerenciamento de chaves seguro: As chaves de criptografia devem ser armazenadas em segurança, com um rigoroso controle
de acesso; por exemplo, usando um serviço de gerenciamento de chaves, como o AWS KMS.
Considere o uso de chaves diferentes e o controle de acesso às chaves, combinado com
as políticas de recursos e IAM da AWS, para alinhamento com os níveis de classificação
de dados e requisitos de segregação.
-
Aplicar criptografia em repouso: Aplique seus requisitos de criptografia definidos com base nos mais recentes padrões
e recomendações para proteger os dados em repouso.
-
Automatizar a proteção de dados em repouso: Use ferramentas automatizadas para validar e aplicar controles de dados em repouso
continuamente, por exemplo, verificar se há apenas recursos de armazenamento criptografados.
-
Aplicar controle de acesso: Aplique controle de acesso com privilégios mínimos e mecanismos, incluindo backups,
isolamento e versionamento, para ajudar a proteger seus dados ociosos. Impeça que
os operadores concedam acesso público aos seus dados.
-
Usar mecanismos para evitar que as pessoas acessem os dados: Impeça que os usuários acessem dados e sistemas confidenciais diretamente em circunstâncias
operacionais normais. Por exemplo, ofereça um painel em vez de acesso direto a um
armazenamento de dados para executar consultas. Quando os pipelines de CI/CD não forem
usados, determine quais controles e processos são necessários para fornecer adequadamente
um mecanismo de acesso break-glass normalmente desabilitado.
Plano de melhoria
Implementar gerenciamento de chaves seguro
Implementar o AWS Key Management Service (AWS KMS): O AWS Key Management Service (AWS KMS) facilita a criação e o gerenciamento de chaves
e o controle do uso da criptografia em uma grande variedade de serviços da AWS e em
seus aplicativos. O AWS KMS é um serviço seguro e resiliente que usa módulos de segurança
de hardware validados pelo FIPS 140-2 para proteger suas chaves.
Getting started: AWS Key Management Service (AWS KMS)
Considerar o AWS Encryption SDK: Use o AWS Encryption SDK com a integração do AWS KMS quando seu aplicativo precisar
criptografar dados do lado do cliente.
AWS Encryption SDK
Aplicar criptografia em repouso
Aplicar criptografia em repouso para o Amazon S3: Implemente a criptografia padrão do bucket do S3.
How do I enable default encryption for an S3 bucket?
Usar o AWS Secrets Manager: O AWS Secrets Manager é um serviço da AWS que facilita o gerenciamento de segredos.
Segredos podem ser credenciais de banco de dados, senhas, chaves de API de terceiros
e até texto arbitrário.
AWS Secrets Manager
Configurar a criptografia padrão para novos volumes do EBS: Especifique que você deseja que todos os volumes do EBS recém-criados sejam criados
em formato criptografado, com a opção de usar a chave padrão fornecida pela AWS ou
uma chave que você criar.
Default encryption for EBS volumes
Configurar Amazon Machine Images (AMIs) criptografadas: A cópia de uma AMI existente com a criptografia ativada criptografará automaticamente
os volumes raiz e os snapshots.
AMIs with encrypted Snapshots
Configurar criptografia do Amazon RDS: Configure a criptografia para seus clusters e snapshots em repouso de banco de dados
do Amazon RDS ativando a opção de criptografia.
Encrypting Amazon RDS resources
Configurar a criptografia em serviços adicionais da AWS: Para os serviços da AWS que você usa, determine os recursos de criptografia.
AWS Documentation
Automatizar a proteção de dados em repouso
Aplicar controle de acesso
Aplicar controle de acesso: Aplique o controle de acesso com privilégios mínimos, incluindo acesso a chaves de
criptografia.
Introduction to Managing Access Permissions to Your Amazon S3 Resources
Dados separados com base em diferentes níveis de classificação: Use diferentes contas da AWS para níveis de classificação de dados gerenciados pelo
AWS Organizations.
AWS Organizations
Analisar políticas do AWS KMS: Analise o nível de acesso concedido nas políticas do AWS KMS.
Overview of managing access to your AWS KMS resources
Analisar as permissões do bucket do S3 e do objeto: Analise com regularidade o nível de acesso concedido nas política de bucket do Amazon
S3. Uma das melhores práticas é não ter buckets que possam ser lidos ou gravados publicamente.
Considere o uso do AWS Config para detectar buckets que estão disponíveis publicamente
e do Amazon CloudFront para fornecer conteúdo do Amazon S3.
AWS Config Rules
Amazon S3 + Amazon CloudFront: A Match Made in the Cloud
Habilitar o versionamento e o bloqueio de objetos do Amazon S3
Using versioning
Locking Objects Using Amazon S3 Object Lock
Usar o Amazon S3 Inventory: O Amazon S3 Inventory é uma das ferramentas que você pode usar para auditar e gerar
relatórios sobre o status de replicação e criptografia de seus objetos.
Amazon S3 Inventory
Analisar as permissões de compartilhamento do Amazon EBS e da AMI: As permissões de compartilhamento podem permitir que imagens e volumes sejam compartilhados
com contas da AWS externas à sua carga de trabalho.
Sharing an Amazon EBS Snapshot
Shared AMIs
Usar mecanismos para evitar que as pessoas acessem os dados
Implementar mecanismos para evitar que as pessoas acessem os dados: Os mecanismos incluem o uso de painéis, como o Amazon QuickSight, para exibir dados
para os usuários, em vez de consultar diretamente.
Amazon QuickSight
Automatizar gerenciamento de configuração: Execute ações remotas, aplique e valide configurações seguras automaticamente usando
uma ferramenta ou um serviço de gerenciamento de configuração. Evite usar bastion
hosts ou acessar diretamente instâncias do EC2.
AWS Systems Manager
AWS CloudFormation
CI/CD Pipeline for AWS CloudFormation templates on AWS
