5 Pilares de Segurança AWS

O AWS Well-Architected Framework contempla um conjunto de práticas recomendadas para projetar e executar cargas de trabalho na nuvem. É baseado em 5 pilares: excelência operacional, segurança, confiabilidade, eficiência de performance e otimização de custos.

Nesse post vamos falar do pilar de segurança que descreve como aproveitar as vantagens das tecnologias de nuvem para proteger dados, sistemas e ativos.

Este pilar é composto por 5 áreas:

  1. Gestão de acesso e identidade
  2. Detecção
  3. Proteção de infraestrutura
  4. Proteção de dados
  5. Resposta aos incidentes

Abaixo iremos explicar cada área e trazer recomendações para ajudar a proteger os sistemas, serviços e manter a confidencialidade, integridade e disponibilidade dos dados.

 

Gestão de acesso e identidade

A gestão de acesso e identidade é parte essencial para manter a segurança da informação, pois garante que apenas usuários autorizados e autenticados possam acessar os recursos da nuvem.

Conforme mais cargas de trabalho são executadas na AWS, é necessário definir e gerenciar políticas para restringir o acesso, de acordo com o princípio do privilégio mínimo – estratégia de segurança que concede apenas as permissões necessárias para uma atividade específica.

Algumas das melhores práticas para gerenciar o acesso e identidade da nuvem são:

  • Evitar o uso da conta pagadora;
  • Criar usuários individuais do IAM;
  • Configurar uma política de senha forte para todos os usuários;
  • Habilitar MFA (Multi-Factor Authentication) para todos os usuários como mecanismo forte de signin;
  • Criar política de rotacionamento das credenciais;
  • Agrupar contas com o AWS Organizations;

 

Detecção

Os controles de detecção são uma parte essencial das estruturas de governança, pois permitem configurar e identificar configurações incorretas de segurança, ameaças ou comportamentos inesperados.

Existem diferentes tipos de controles de detecção, como o caso dos registros de log que armazenam informações detalhadas de todas as atividades realizadas no recurso. Os alertas e notificações também são importantes para investigar e compreender o escopo de qualquer atividade incorreta realizada.

Alguns dos controles de detecção da AWS são:

 

Proteção de infraestrutura

A proteção da infraestrutura é parte fundamental para manter a segurança da informação, pois garante a proteção de sistemas e serviços contra o acesso não intencional e outras  vulnerabilidades.

Para proteger a infraestrutura é necessário definir limites de confiança, permissões e algumas configurações para restringir qualquer acesso indevido aos recursos da nuvem AWS.

A proteção de infraestrutura aborda a proteção de redes e de computação.

Algumas das abordagens para a proteção da infraestrutura são:

  • Limitar o tráfego de entrada para as instâncias EC2 utilizando regras de entradas restritas em grupos de segurança;
  • Desativar grupos de segurança sem uso;
  • Utilizar Nat Gateway para instâncias EC2 que não precisam de acesso direto à Internet;
  • Não utilizar o grupo de segurança default da VPC;
  • Aplicar patches de segurança nas AMIs;

 

Proteção de dados

A proteção de dados engloba práticas fundamentais para a arquitetura de qualquer sistema.  Esses práticas são importantes para evitar perdas financeiras e cumprir obrigações regulamentares, como a LGPD.

A partir da classificação dos dados é possível identificar dados mais críticos e sensíveis a fim de implementar os devidos controles de proteção e retenção dos dados em trânsito e em repouso.

  • Algumas das práticas de proteção de dados são:
  • Classificar os dados através do controle correto de tags;
  • Utilizar versionamento dos buckets S3;
  • Utilizar certificados protegidos com o ACM (AWS Certificate Manager);
  • Utilizar o protocolo HTTPS nas distribuições do CloudFront e ALB;
  • Criptografar os dados com chaves KMS (AWS Key Management Service);
  • Utilizar o rotacionamento de chaves KMS;

 

Resposta aos incidentes

Mesmo com controles preventivos e de detecção, ainda é necessário implementar processos para responder e mitigar o impacto dos incidentes de segurança.

Algumas das práticas para responder a eventuais incidentes são:

  • Identificar as obrigações legais e recursos para responder aos incidentes;
  • Utilizar tags para identificar recursos;
  • Preservar logs, snapshots e evidências para uma segurança centralizada;
  • Automatizar correções de incidentes repetidos;
  • Implementar simulações para encontrar lacunas e melhorar processos a fim de garantir RPO e RTO aderentes à estratégia do negócio;

 

Conte com o CleanCloud Score

Manter a nuvem segura e em conformidade com todas as regulações e leis de proteção de dados não é uma tarefa fácil. Em um ambiente com centenas ou milhares de recursos são muitas vulnerabilidades que podem existir nos fluxos de coleta, tratamento e utilização de dados.

Por isso, um software como o CleanCloud Score, com mais de 150 verificações de conformidade para a nuvem AWS, é fundamental para seguir continuamente as melhores práticas de segurança.