Ninguém pode questionar o comprometimento da AWS com a segurança da nuvem de seus clientes, como evidenciado pela infinidade de produtos e serviços oferecidos, como AWS Shield, WAF, encriptação de dados e monitoramento.
Geralmente, os vazamentos de dados ou outros incidentes de segurança acontecem por descuido dos próprios clientes, tendo como erros comuns:
- Não encriptar dados ou fazê-lo incorretamente.
Configurar seu sistema para garantir a segurança de dados em discos EBS, no S3 ou ainda em bancos de dados no RDS é essencial. É importante também testar e garantir que a configuração esteja correta, afinal, ter os dados mal encriptados pode ser ainda pior do que tê-los abertos, dada a falsa sensação de segurança.
- Permissionamentos acima do necessário
É comum vermos diversos usuários com permissões de administrador. Isso é feito, em geral, para diminuir o trabalho da pessoa responsável pelo gerenciamento do sistema. Essa prática, porém, traz altos riscos: além de permitir a muitos usuários executarem qualquer ação no sistema, facilita um ataque – afinal qualquer conta invadida terá um alto permissionamento.
- Ignorar logs
Ter meios de monitorar e gravar tudo o que acontece em sua conta é essencial. Essa parece uma tarefa pequena e simples, mas é muitas vezes deixada de lado.
Nesse post vamos explorar esse último item e como ter uma ferramenta como o CloudTrail facilita nossa vida ao gerenciar esses logs tão vitais para a segurança de nossa conta.
O que é AWS CloudTrail?
O CloudTrail é um recurso da AWS que monitora qualquer chamada de API feita em sua conta. Assim, é possível rastrear e identificar qualquer acesso e ação feita em seu ambiente.
Um uso muito comum é a identificação de falhas de segurança. Os logs gerados pelo CloudTrail podem ser verificados em tempo real por, por exemplo, uma função criada no Lambda. Quando alguma ação estranha for executada, um alerta pode ser enviado para o administrador da conta.
Outro uso comum do CloudTrail é para auditorias. Com ele é possível demonstrar quem teve acesso, por exemplo, a um determinado bucket do S3, ou que apenas determinados usuários editaram configurações sensíveis na conta.
Ao ativar o serviço do CloudTrail, a AWS fornece um dashboard como exemplificado abaixo:
Através do dashboard, é possível ver cada evento que tenha ocorrido na conta, assim como filtrar e buscar eventos específicos.
Para cada evento, a ferramenta exibe detalhes de quando aquela ação ocorreu, quem a executou e outras informações específicas para cada tipo de evento.
https://youtu.be/N4DdqAkeqD4?t=200
Quais os benefícios do AWS CloudTrail?
Como apontado anteriormente, assim que ativado, o AWS CloudTrail passa a monitorar todas as chamadas de API de sua conta, e armazena os eventos num bucket do S3.
Dessa forma, algumas das principais vantagens do CloudTrail são:
Monitoramento ativo ao detectar padrões de comportamento dos usuários nas soluções e registrar todas as atividades da conta, desde o momento de sua criação. Além disso, permite o download dos registros de ações nos últimos 90 dias, sem a necessidade de configuração manual.
Conformidade e governança, ao tornar mais fácil a compatibilidade das políticas internas e padrões regulamentares.
Auditoria de riscos, pois ajuda a descobrir alterações feitas em uma conta com potencial de colocar os dados ou a conta em risco de segurança, ao mesmo tempo em que acelera o cumprimento das solicitações de auditoria da AWS.
Vale ressaltar que o recurso impacta diretamente nas iniciativas voltadas ao Shared Responsibility Model, ajudando no controle dos principais itens de segurança e na incorporação das boas práticas, principalmente por parte do cliente.
Melhores práticas de segurança com AWS CloudTrail
Para garantir que está cumprindo sua parte no Shared Responsibility Model, é preciso utilizar o máximo potencial do CloudTrail e minimizar riscos na segurança.
Algumas boas práticas são:
- Garantir que o CloudTrail esteja habilitado em toda a AWS, globalmente;
- Ativar a validação de arquivo de log do CloudTrail;
- Ativar o log multirregião do CloudTrail;
- Integrar o CloudTrail com o CloudWatch;
- Ativar o log de acesso para os buckets S3 do CloudTrail;
- Exigir autenticação multifatorial (MFA) para excluir os buckets do CloudTrail;
- Restringir o acesso ao bucket S3 do CloudTrail;
- Criptografar arquivos de log do CloudTrail em repouso.
Como ativar o AWS CloudTrail?
Veja no vídeo a seguir como ativar seu primeiro Trail:
Uma vez criado a Trail, a cobrança é feita com base em eventos (atividades em sua conta) e ocorre de duas maneiras:
Eventos de gerenciamento: que oferecem informações sobre as operações realizadas (control plane), sendo a primeira cópia em cada região totalmente gratuita e as adicionais ficam com uma taxa de US$ 2 para cada 100.000 eventos.
Eventos de dados: que disponibilizam informações sobre operações de recurso realizadas nele mesmo (data plane), é cobrada uma taxa de US$ 0,10 a cada 100.000 eventos.
Mas lembre-se que são registrados apenas para as funções Lambda e os buckets do S3 que você especificar na criação do Trail mostrada no vídeo.
Para ter a certeza de seguir essas boas práticas e fazer a sua parte no Shared Responsibility Model, você pode contar com a CleanCloud. A ferramenta de gerenciamento da nuvem faz verificações diárias de CloudTrail ativado nas diversas regiões da AWS.
Entre em contato com um de nossos especialistas e saiba mais sobre como garantir a segurança de sua nuvem.
