O AWS Well-Architected Framework contempla um conjunto de práticas recomendadas para projetar e executar cargas de trabalho na nuvem. É baseado em 5 pilares de segurança AWS: excelência operacional, segurança, confiabilidade, eficiência de performance e otimização de custos.
Nesse post vamos falar do pilar de segurança que descreve como aproveitar as vantagens das tecnologias de nuvem para proteger dados, sistemas e ativos.
Este pilar é composto por 5 áreas:
- Gestão de acesso e identidade
- Detecção
- Proteção de infraestrutura
- Proteção de dados
- Resposta aos incidentes
Abaixo iremos explicar cada área e trazer recomendações para ajudar a proteger os sistemas, serviços e manter a confidencialidade, integridade e disponibilidade dos dados.
Gestão de acesso e identidade
A gestão de acesso e identidade é parte essencial para manter a segurança da informação, pois garante que apenas usuários autorizados e autenticados possam acessar os recursos da nuvem.
Conforme mais cargas de trabalho são executadas na AWS, é necessário definir e gerenciar políticas para restringir o acesso, de acordo com o princípio do privilégio mínimo – estratégia de segurança que concede apenas as permissões necessárias para uma atividade específica.
Algumas das melhores práticas para gerenciar o acesso e identidade da nuvem são:
- Evitar o uso da conta pagadora;
- Criar usuários individuais do IAM;
- Configurar uma política de senha forte para todos os usuários;
- Habilitar MFA (Multi-Factor Authentication) para todos os usuários como mecanismo forte de signin;
- Criar política de rotacionamento das credenciais;
- Agrupar contas com o AWS Organizations;
Detecção
Os controles de detecção são uma parte essencial das estruturas de governança, pois permitem configurar e identificar configurações incorretas de segurança, ameaças ou comportamentos inesperados.
Existem diferentes tipos de controles de detecção, como o caso dos registros de log que armazenam informações detalhadas de todas as atividades realizadas no recurso. Os alertas e notificações também são importantes para investigar e compreender o escopo de qualquer atividade incorreta realizada.
Alguns dos controles de detecção da AWS são:
- Monitorar logs com o CloudTrail;
- Monitorar métricas com os alarmes do CloudWatch;
- Monitorar registros de configurações com o AWS Config;
- Monitorar o tráfego de rede através do VPC Flow Logs;
- Gerenciar todos os alertas de segurança através do Security Hub;
Proteção de infraestrutura
A proteção da infraestrutura é parte fundamental para manter a segurança da informação, pois garante a proteção de sistemas e serviços contra o acesso não intencional e outras vulnerabilidades.
Para proteger a infraestrutura é necessário definir limites de confiança, permissões e algumas configurações para restringir qualquer acesso indevido aos recursos da nuvem AWS.
A proteção de infraestrutura aborda a proteção de redes e de computação.
Algumas das abordagens para a proteção da infraestrutura são:
- Limitar o tráfego de entrada para as instâncias EC2 utilizando regras de entradas restritas em grupos de segurança;
- Desativar grupos de segurança sem uso;
- Utilizar Nat Gateway para instâncias EC2 que não precisam de acesso direto à Internet;
- Não utilizar o grupo de segurança default da VPC;
- Aplicar patches de segurança nas AMIs;
Proteção de dados
A proteção de dados engloba práticas fundamentais para a arquitetura de qualquer sistema. Esses práticas são importantes para evitar perdas financeiras e cumprir obrigações regulamentares, como a LGPD.
A partir da classificação dos dados é possível identificar dados mais críticos e sensíveis a fim de implementar os devidos controles de proteção e retenção dos dados em trânsito e em repouso.
- Algumas das práticas de proteção de dados são:
- Classificar os dados através do controle correto de tags;
- Utilizar versionamento dos buckets S3;
- Utilizar certificados protegidos com o ACM (AWS Certificate Manager);
- Utilizar o protocolo HTTPS nas distribuições do CloudFront e ALB;
- Criptografar os dados com chaves KMS (AWS Key Management Service);
- Utilizar o rotacionamento de chaves KMS;
Resposta aos incidentes
Mesmo com controles preventivos e de detecção, ainda é necessário implementar processos para responder e mitigar o impacto dos incidentes de segurança.
Algumas das práticas para responder a eventuais incidentes são:
- Identificar as obrigações legais e recursos para responder aos incidentes;
- Utilizar tags para identificar recursos;
- Preservar logs, snapshots e evidências para uma segurança centralizada;
- Automatizar correções de incidentes repetidos;
- Implementar simulações para encontrar lacunas e melhorar processos a fim de garantir RPO e RTO aderentes à estratégia do negócio;
Conte com o CleanCloud Score
Manter a nuvem segura e em conformidade com todas as regulações e leis de proteção de dados não é uma tarefa fácil. Em um ambiente com centenas ou milhares de recursos são muitas vulnerabilidades que podem existir nos fluxos de coleta, tratamento e utilização de dados.
Por isso, um software como o CleanCloud Score, com mais de 300 verificações de conformidade para a nuvem AWS, é fundamental para seguir continuamente as melhores práticas de segurança.