A segurança, independente do tipo de armazenamento de dados, é um dos pontos mais relevantes quando se trabalha com serviços na nuvem
E quando se tem um ambiente na nuvem é essencial conhecer, e aplicar, as melhores práticas de segurança na AWS, para que tenha um ambiente até mais seguro do que um data center tradicional.
Segurança na nuvem AWS
Na AWS, o usuário conta com a utilização de data centers e arquitetura de rede que atendem às normas de empresas com os maiores níveis e exigências de segurança no mundo, além das mais rigorosas normas regulatórias.
Alguns pontos que valem destaque são:
- a capacidade de escalar e utilizar os dados sem comprometer a sua segurança;
- criptografia em trânsito com TLS em todos os dispositivos;
- políticas de acesso de usuário (AWS Identity and Access Management (IAM), AWS Multi-Factor Authentication, AWS Directory Service)
E a CleanCloud?
A CleanCloud se preocupa com a segurança dos dados dos seus usuários e facilita o monitoramento e tomada de ações que mantenham um ambiente seguro. De acordo com as regras gerais da AWS, definimos uma série de recomendações de segurança diárias e automáticas, onde é possível verificar se algo está errado, qual a gravidade do problema e como corrigi-lo.
Entendemos que cada ambiente é único e portanto seu gerenciamento também deve ser. Por isso cada recomendação pode ser personalizada, com a alteração dos parâmetros e a criação de regras adicionais, para que atenda às especificidades de cada usuário.
Atualmente, a CleanCloud conta com mais de 50 insights, abaixo listamos alguns dos de segurança:
- S3 buckets possibly storing log files without lifecycle
Identifica buckets S3 possivelmente armazenando logs, que não possuem LifeCycle ativado para descartar logs antigos;
- Security groups with unrestricted ports
É detectado quais grupos de segurança estão liberando o acesso de certas portas do sistema de forma irrestrita, o que pode acarretar oportunidade para atividades maliciosas (como um ataque DoS);
- Identity and Access Management (IAM) without groups
Foi identificado que o ambiente cloud do usuário não possui grupos IAM, que é conveniente para o gerenciamento de permissões para o acesso aos recursos da nuvem AWS;
- Identity and Access Management (IAM) without users
Identificado que o ambiente cloud do usuário não possui usuários cadastrados para o IAM. A correta utilização dos acessos à conta da AWS se deve através da criação de usuários com diferentes tipos de privilégios de acordo com a sua necessidade;
- Multi-Factor Authentication (MFA) not being used by root account
O usuário não está utilizando o Multi-Factor Authentication, que adiciona um segundo fator para o login ao pedir um token adicional após login e senha serem inseridos;
- AutoScaling groups using EC2 instance as health check type
Alerta AutoScaling configurados para determinar se uma instância EC2 está saudável ou não;
- CloudFront distributions not using HTTP/2 protocol
A distribuição utilizando o console do CloudFront não está configurada para a utilização do protocolo HTTP/2. Esta configuração reduz a latência e melhora a performance das aplicações web;
- Expiring or expired AWS server certificates
Pede-se atenção a certificados expirados ou próximo de expirar, o que pode levar a indisponibilidade de alguns serviços;
- IAM users which are not accessing the console nor API
Alerta em relação a usuários que não estão acessando a conta e poderiam ser removidos;
- S3 buckets with versioning deactivated or suspended
O recurso de versionamento está desativado ou suspenso. Isso pode acarretar perda dos dados, uma vez que quando ativado permite a restauração em caso de falha ou erro do usuário;
- S3 buckets with logging disabled
Quando ativado, permite o monitoramento através de logs de acesso aos recursos;
- EBS volumes without snapshots or old snapshots taken
A criação de Snapshots de volumes EBS de forma periódica é recomendada a fim de proteger dados por um longo prazo e permitir a criação de novos volumes a partir de um ponto inicial, podendo reverter ambientes caso ocorra alguma falha de hardware ou software;
- CloudTrail logging deactivated
Quando o trail da conta AWS não está configurado para certa região ou não está ativo para registrar logs da atividade no sistema.
Para maiores informações sobre a segurança na nuvem AWS e como a CleanCloud pode melhorar as práticas adotadas em sua nuvem, entre em contato com o nosso time!
