🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Engineering

Como criar uma infraestrutura segura da AWS

Como criar uma infraestrutura segura da AWS
August 28, 2020
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

 

A cada dia, mais empresas migram de sua infraestrutura de TI tradicional, enquanto a pandemia apenas acelerou a adoção de tecnologias de nuvem entre as forças de trabalho remotas. Serviços em nuvem, como o Amazon Web Services (AWS), têm sido amplamente aceitos como um canal para computação em nuvem e entrega de software e aplicativos para um mercado global, de forma econômica e segura. No entanto, os consumidores de nuvem tendem a prescindir da responsabilidade de proteger sua infraestrutura em nuvem.

Os provedores de serviços de nuvem e os consumidores compartilham a responsabilidade de garantir uma experiência segura e protegida na nuvem. Embora os provedores de serviços sejam responsáveis pela infraestrutura subjacente que permite a nuvem, os usuários são responsáveis pelos dados que ficam na nuvem e por quem tem acesso a eles.

AWS cloud service

O Estrutura bem arquitetada da AWS é um guia/whitepaper publicado pela Amazon sobre os principais conceitos, princípios de design e melhores práticas arquitetônicas da AWS. A segurança é um dos cinco pilares nos quais essa estrutura se baseia, sustentando o fato de que proteger seus dados e melhorar a segurança é crucial para os usuários da AWS. Este blog pretende resumir o whitepaper sobre o pilar de segurança e discuta:

  • Princípios de design para a AWS
  • Poucos cenários de casos de uso e
  • Recomende maneiras de implementar uma infraestrutura da AWS projetada com segurança.

 

A AWS fornece uma variedade de serviços em nuvem, para computação, armazenamento, gerenciamento de banco de dados, etc. Uma boa arquitetura geralmente se concentra em métodos eficientes para alcançar o desempenho máximo, design escalável e técnicas de redução de custos. Mas outros aspectos do design da infraestrutura em nuvem recebem mais importância, muitas vezes, em comparação com a dimensão de segurança.

A segurança da infraestrutura em nuvem pode ser dividida em cinco fases:

  1. Verificação de identidade e gerenciamento de acesso com relação aos recursos da AWS.
  2. Detecção de ataques, identificação de possíveis ameaças e configurações incorretas.
  3. Controlar o acesso por meio da definição de limites de confiança, aplicando as melhores práticas operacionais.
  4. Classificando todos os dados, protegendo os dados em todos os estados: descanso e trânsito.
  5. Resposta a incidentes: mecanismos predefinidos para responder e mitigar qualquer incidente de segurança que surja.

 

O modelo de responsabilidade compartilhada

Como mencionei anteriormente, é responsabilidade coletiva do usuário e do provedor de serviços da AWS proteger a infraestrutura de nuvem. É importante ter isso em mente enquanto exploramos os diferentes detalhes de implementação e princípios de design.

A AWS fornece várias ferramentas de monitoramento, proteção e identificação de ameaças para reduzir a carga operacional de seus usuários, e é muito importante entender e escolher um serviço adequado para alcançar um ambiente bem protegido.

A AWS oferece vários serviços de diferentes naturezas e casos de uso, como EC2 e Lambda. Cada um desses serviços em nuvem tem níveis variados de abstração que permitem que os usuários se concentrem no problema a ser resolvido em vez de em sua operação. A parcela das responsabilidades de cada parte também varia com base no nível de abstração. Com níveis mais altos de abstração, a parcela de responsabilidade de fornecer segurança na nuvem passa ainda mais para os provedores de serviços (com algumas exceções).

AWS - Shared Responsibility Model
AWS — Modelo de responsabilidade compartilhada

 

Gerenciamento e separação de contas de usuário para organizar a carga de trabalho

Com base na natureza dos processos executados na AWS e na confidencialidade dos dados processados, as cargas de trabalho podem mudar. Eles devem ser separados por um limite lógico e organizados em várias contas de usuário para garantir que diferentes ambientes sejam isolados. Por exemplo, o ambiente de produção geralmente tem políticas mais rígidas, mais requisitos de conformidade e deve ser isolado para os ambientes de desenvolvimento e teste.

É importante observar que a conta de usuário raiz da AWS não deve ser usada para operações comuns. E usando o AWS Organizations, é possível simplificar as coisas e criar vários usuários na mesma organização, com políticas e funções de acesso diferentes. Além disso, é ideal ativar a autenticação multifator, especialmente na conta raiz.

 

Gerenciando identidade e permissões

Os recursos da AWS podem ser acessados por humanos (como desenvolvedores ou usuários de aplicativos) ou máquinas (como instâncias do EC2 ou funções do Lambda). Configurar e gerenciar um mecanismo de controle de acesso com base na identidade do solicitante é muito importante, pois essas pessoas que buscam acesso podem ser uma parte externa ou interna da organização.

Cada conta deve ter acesso a diferentes recursos e ações usando funções do IAM (Gerenciamento de Identidade e Acesso), com políticas definindo as regras de controle de acesso. Com base na identidade da conta do usuário e do IAM anexado, certas funcionalidades críticas podem ser desativadas. Por exemplo, negar certas alterações em todas as contas de usuário, com exceções para o administrador. Ou impedindo que todos os usuários excluam os logs de fluxo do Amazon VPC.

Para cada identidade adicionada à organização da AWS, eles devem ter acesso somente a um conjunto de funções que são necessárias para cumprir as tarefas exigidas. Isso limitará o acesso não intencional às funcionalidades. E comportamentos inesperados decorrentes de qualquer identidade terão apenas um pequeno impacto.

 

Aproveitando os serviços da AWS para monitorar e detectar problemas de segurança

A coleta e a análise regulares dos registros gerados a partir de cada componente da carga de trabalho são muito importantes para detectar qualquer comportamento inesperado, configuração incorreta ou uma ameaça em potencial. No entanto, a coleta e análise de registros não são suficientes. O volume de registros recebidos pode ser enorme, e um fluxo de alertas e relatórios deve ser configurado junto com um sistema de emissão de tíquetes integrado. A AWS fornece serviços como esses para garantir processos automatizados e fáceis:

  • CloudTrail: Fornece o histórico de eventos da atividade da conta da AWS, que inclui todos os serviços da AWS, console de gerenciamento, SDKs, CLIs etc.
  • Configuração: Permite a avaliação, auditoria e avaliação automatizadas da configuração de cada recurso da AWS.
  • Dever de guarda: Serviço de monitoramento contínuo de segurança que sinaliza o surgimento de atividades maliciosas nos ambientes da AWS analisando dados de log e pesquisando padrões que possam indicar qualquer tipo de aumento de privilégios, credenciais expostas, conexões estabelecidas com IPs ou domínios maliciosos.
  • Hub de segurança: Apresenta uma visão abrangente do status de segurança da infraestrutura da AWS, permitindo a agregação, priorização e desduplicação de alertas de segurança de vários serviços da AWS e até mesmo de produtos de terceiros.

 

Protegendo a infraestrutura: redes e computação

Programas de software obsoletos e dependências desatualizadas não são incomuns e é essencial corrigir todos os sistemas na infraestrutura. Isso pode ser feito manualmente pelos administradores do sistema, mas é melhor usar o AWS Systems Manager Patch Manager, que basicamente automatiza o processo de aplicação de patches no sistema operacional, nos aplicativos e nas dependências de código.

É crucial configurar os grupos de segurança da AWS da maneira correta, principalmente durante a fase em que a infraestrutura está crescendo rapidamente. Muitas vezes, as coisas correm mal quando grupos de segurança desorganizados e desorganizados são adicionados à infraestrutura. A criação de grupos de segurança e a atribuição deles devem ser tratadas com cautela, pois mesmo um pequeno descuido pode resultar na exposição de ativos e armazenamentos de dados críticos na Internet. Os grupos de segurança devem definir claramente as regras de tráfego de entrada e saída, que podem ser definidas nas configurações de tráfego de saída.

Se alguns ativos precisarem ser expostos na Internet, certifique-se de que sua rede esteja protegida contra ataques DDoS. Os serviços da AWS, como Cloudfront, WAF e Shield, ajudam a habilitar a proteção contra DDoS em várias camadas.

 

Protegendo os dados

A classificação de todos os dados armazenados em vários locais dentro da infraestrutura é essencial. A menos que esteja claro quais dados são mais críticos e quais podem ser expostos diretamente na Internet, configurar mecanismos de proteção pode ser um pouco trabalhoso. Os dados armazenados em todos os diferentes armazenamentos de dados devem ser classificados em termos de sensibilidade e criticidade. Se os dados forem sensíveis o suficiente para impedir o acesso direto dos usuários, políticas e mecanismos de “ação à distância” devem ser implementados.

A AWS fornece vários serviços de armazenamento de dados, sendo os mais comuns os discos S3 e EBS. Os dados do aplicativo geralmente podem ser encontrados em armazenamentos de dados auto-hospedados em volumes do EBS. Além disso, todos os dados confidenciais que entram nos buckets do S3 devem ser criptografados adequadamente antes disso. Na verdade, seria melhor habilitar a criptografia por padrão neles.

Proteger os dados em trânsito também é igualmente importante e, para isso, são necessárias conexões seguras, que podem ser obtidas usando criptografias TLS. Garantir que os dados sejam transferidos por canais seguros deve ser suficiente. O AWS Certificate Manager é uma boa ferramenta para gerenciar certificados SSL/TLS.

 

Preparando e respondendo a incidentes de segurança da maneira correta

Depois que toda a automação estiver configurada e os controles de segurança implementados, a criação de planos e manuais de resposta a incidentes se torna mais fácil. Um bom plano deve abranger as etapas de resposta, comunicação e recuperação após qualquer incidente de segurança. É aqui que os registros, os instantâneos e os backups, descobertas do GuardDuty, desempenham um papel fundamental. Eles tornam a tarefa relativamente mais eficiente. No geral, o objetivo deve ser se preparar para um incidente antes que ele aconteça e iterar e treinar toda a equipe para seguir minuciosamente o plano de resposta a incidentes.

Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Engineering
March 12, 2021
min
Helm: Abrindo o caminho para implantações sensíveis ao meio ambiente
Leia mais
Este é um texto dentro de um bloco div.
Engineering
October 6, 2020
min
Como o xVigil do CloudSEK detecta aplicativos falsos e desonestos
Leia mais
Este é um texto dentro de um bloco div.
Engineering
June 24, 2020
min
Uma olhada na caixa preta: depurando redes neurais profundas para melhores previsões
Leia mais