Entenda como funcionam os benchmarks do CIS e como eles afetam sua nuvem AWS
O que é CIS?
O Centro de Segurança na Internet (ou CIS, na sigla em inglês) é uma organização sem fins lucrativos responsável por desenvolver melhores práticas de defesa cibernética por parte dos usuários da rede, promovendo assim maior confiabilidade no ambiente web como um todo.
O CIS possui algumas divisões de trabalho, cada uma delas atuando em determinado segmento da segurança na rede. Pensando especificamente em compliance na nuvem, o mais importante para nós é o CIS Benchmarks, conjunto de padrões globais de segurança na Internet.
Esses padrões são elaborados e constantemente melhorados por membros das comunidades do CIS, que incluem desde voluntários interessados em tecnologia da informação até os mais respeitados profissionais de segurança cibernética do mundo.
Por que isso é importante para minha nuvem?
Desde o início de seu desenvolvimento, os benchmarks do CIS refletem as práticas mais aceitas por órgãos regulatórios e profissionais especializados em segurança da informação. Exatamente por isso, eles funcionam como modelos de conformidade: embora não tenham valor regulatório em si mesmos, estabelecem uma legitimação de segurança.
Em termos práticos, muitas grandes empresas exigem que seus fornecedores sigam o CIS para fazer negócios 🙂
Existem hoje mais de 100 modelos de conformidade produzidos pelo CIS, incluindo alguns focados em ambientes de computação em nuvem como a AWS, a Google Cloud Platform (GCP) e a Azure.
Em relação à AWS, o CIS prescreve diversas recomendações, divididas em 4 escopos de produtos ou serviços do provedor. Confira:
1. IAM – Gerenciamento de Identidade e Acesso
Se você já usa AWS, sabe que o IAM (Identity and Access Management) é o ponto de partida de qualquer cuidado com a segurança de sua nuvem. Isso porque é nele que se configuram todos os permissionamentos de usuários, as políticas de acesso e senha e o controle de chaves de acesso.
Nesse sentido, é importante conhecer e utilizar os mecanismos oferecidos pelo próprio IAM para a proteção de recursos. As principais recomendações são: elaborar uma política de senha robusta, determinar o rotacionamento de credenciais no mínimo a cada 90 dias, utilizar a autenticação multifator e evitar ao máximo o uso da conta root.
2. Logs
O registro de ações em sua nuvem é fundamental para tarefas de auditoria ou investigação de incidentes de segurança. Por isso, procure habilitar essa função no maior número possível de recursos e serviços utilizados em sua infraestrutura AWS.
Você pode ativar os logs no S3 (buckets ou objeto), nos tráfegos de VPC, nas distribuições do CloudFront, entre outros serviços. Para monitorar todas as chamadas de API realizadas em sua conta e aprimorar a identificação de falhas de segurança, habilite também o serviço AWS CloudTrail.
3. Monitoramento
Falando em controle de acessos e de configurações realizadas em sua conta, você pode unir filtros e métricas do CloudWatch e configurar alarmes que alertem quando algo inesperado ocorrer em sua nuvem. Combine os serviços CloudWatch e CloudTrail para obter máximo monitoramento de seus recursos e detectar ações não autorizadas ou maliciosas de maneira mais rápida e eficiente.
O serviço de notificações da AWS (SNS) também é um excelente aliado para este controle, na medida em que possibilita o envio de mensagens para endpoints predefinidos pelo cliente para notificação de eventos relevantes em sua nuvem.
4. Redes
Além de habilitar o registro de logs no tráfego de rede, você pode (e deve!) configurar outros aspectos das VPCs para garantir sua segurança. As recomendações do CIS incluem proibir grupos de segurança de conceder acesso irrestrito a serviços remotos de console (source 0.0.0.0/0, por exemplo), e garantir que o grupo de segurança default restrinja todo o tráfego por padrão.
Por onde começar?
Como as exigências do CIS são mais amplas que LGPD e Bacen 4.658, é recomendado que o cliente comece pelo framework mais sensível para sua realidade e em seguida evolua para torná-lo em conformidade com o CIS, que o também o deixará em conformidade com uma gama muito grande de regulamentações.
Para todos esses modelos de conformidade, você conta com o CleanCloud Score, seu check de compliance na nuvem. Com ele, sua infraestrutura é verificada em mais de 90 itens de vulnerabilidade, classificados de acordo com o nível de criticidade e framework de origem.
Além da verificação, o produto oferece descrição detalhada de cada um dos itens, com instruções para resolução da vulnerabilidade diretamente no provedor AWS. Confira!
Faça como as melhores empresas do mercado e mantenha sua nuvem em conformidade com o CIS Benchmarks e os principais frameworks para a nuvem AWS.
