Segurança da infraestrutura no Amazon EC2 - Amazon Elastic Compute Cloud
Isolamento de redeIsolamento em hosts físicosControlar o tráfego de rede

Segurança da infraestrutura no Amazon EC2

Como um serviço gerenciado, o Amazon Elastic Compute Cloud é protegido pela segurança da rede global da AWS. Para obter informações sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte Segurança na Nuvem AWS. Para projetar seu ambiente da AWS usando as práticas recomendadas de segurança de infraestrutura, consulte Proteção de infraestrutura em Security Pillar: AWS Well‐Architected Framework.

Você usa chamadas à API publicadas pela AWS para acessar o Amazon EC2 por meio da rede. Os clientes devem oferecer suporte para:

  • Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.

  • Conjuntos de criptografia com sigilo de encaminhamento perfeito (perfect forward secrecy, ou PFS) como DHE (Ephemeral Diffie-Hellman, ou Efêmero Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman, ou Curva elíptica efêmera Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Além disso, as solicitações devem ser assinadas utilizando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Para obter mais informações, consulte Proteção de infraestrutura no Pilar de Segurança: AWSWell-Architected Framework.

Isolamento de rede

Uma nuvem virtual privada (VPC) é uma rede virtual na área isolada logicamente na Nuvem AWS. Use VPCs separadas para isolar a infraestrutura por workload ou entidade organizacional.

Uma sub-rede é um intervalo de endereços IP em uma VPC. Quando executa uma instância, você a executa em uma sub-rede em sua VPC. Use sub-redes para isolar as camadas de sua aplicação (por exemplo, Web, aplicação e banco de dados) em uma única VPC. Use sub-redes privadas para as instâncias que não devem ser acessadas diretamente pela Internet.

Para chamar a API do Amazon EC2 da sua VPC usando endereços IP privados, use o AWS PrivateLink. Para ter mais informações, consulte Acessar o Amazon EC2 usando um endpoint da VPC de interface.

Isolamento em hosts físicos

Diferentes instâncias do EC2 no mesmo host físico são isoladas umas das outras como se estivessem em hosts físicos separados. O hipervisor isola a CPU e a memória, e as instâncias recebem discos virtualizados em vez de acesso aos dispositivos de disco bruto.

Quando você interrompe ou encerra uma instância, a memória alocada para ela é apagada (definida como zero) pelo hipervisor antes que ela seja alocada para uma nova instância, e cada bloco de armazenamento é redefinido. Isso garante que seus dados não sejam expostos acidentalmente para outra instância.

Os endereços MAC de rede são atribuídos dinamicamente às instâncias pela infraestrutura da rede da AWS. Os endereços IP são atribuídos dinamicamente a instâncias pela infraestrutura de rede da AWS ou atribuídos por um administrador do EC2 por meio de solicitações autenticadas da API. A rede da AWS permite que as instâncias enviem tráfego somente de endereços MAC e IP atribuídos a elas. Caso contrário, o tráfego será descartado.

Por padrão, uma instância não pode receber tráfego que não seja endereçado especificamente a ela. Se for necessário executar a conversão de endereço de rede (NAT), o roteamento ou os serviços de firewall em sua instância, será possível desabilitar a verificação de origem/destino da interface de rede.

Controlar o tráfego de rede

Considere as seguintes opções de controle de tráfego de rede para suas instâncias do EC2:

  • Restrinja o acesso a suas instâncias usando grupos de segurança. Configure os grupos de segurança da instância do Amazon EC2 a fim de permitir o tráfego de rede mínimo necessário para a instância do Amazon EC2 e permitir o acesso somente de locais definidos, esperados e aprovados. Por exemplo, se uma instância do Amazon EC2 for um servidor Web IIS, configure os grupos de segurança para permitir somente HTTP/HTTPS de entrada, tráfego de gerenciamento do Windows e conexões mínimas de saída.

  • Use os grupos de segurança como o mecanismo primário a fim de controlar o acesso à rede para instâncias do Amazon EC2. Quando necessário, use as ACLs de rede para fornecer controle de rede sem estado e de alta granularidade. Os grupos de segurança são mais versáteis que as ACLs de rede devido à capacidade de realizar a filtragem de pacotes com estado e criar regras que fazem referência a outros grupos de segurança. No entanto, as ACLs de rede podem ser eficientes como um controle secundário para negar um subconjunto ou tráfego específico ou fornecer grades de proteção de sub-rede de alto nível. Além disso, como as ACLs de rede se aplicam a toda uma sub-rede, elas podem ser usadas como defesa em profundidade caso uma instância seja iniciada de forma não intencional sem um grupo de segurança correto.

  • Gerencie centralmente as configurações do Firewall do Windows com os Objetos de Política de Grupo (GPO) para aprimorar ainda mais os controles de rede. Os clientes costumam usar o Firewall do Windows para obter maior visibilidade do tráfego de rede e para complementar os filtros de grupo de segurança, criando regras avançadas para impedir que aplicações específicas acessem a rede ou filtrem o tráfego de endereços IP de um subconjunto. Por exemplo, o Firewall do Windows pode limitar o acesso ao endereço IP do serviço de metadados do EC2 para usuários ou aplicações específicas. Como alternativa, um serviço voltado para o público pode usar grupos de segurança para restringir o tráfego a portas específicas e o Firewall do Windows a manter uma lista negra de endereços IP explicitamente bloqueados.

  • Ao gerenciar instâncias do Windows, limite o acesso a alguns servidores de gerenciamento centralizados bem definidos ou bastion hosts para reduzir a superfície de ataque do ambiente. Além disso, use protocolos de administração seguros, como encapsulamento de RDP sobre SSL/TLS. O Quick Start para Gateway de Desktop Remoto fornece as melhores práticas para implantar um gateway de desktop remoto remota, incluindo a configuração de RDP para usar SSL/TLS.

  • Use o Active Directory ou AWS Directory Service para controlar central e rigorosamente e monitorar o acesso de usuário interativo e grupo às instâncias do Windows, além de evitar permissões de usuário local. Evite também usar Administradores de domínio e, em vez disso, crie contas baseadas em função mais granulares e específicas para a aplicação. A Administração Suficiente (JEA) permite que as alterações nas instâncias do Windows sejam gerenciadas sem acesso interativo ou de administrador. Além disso, a JEA permite que as organizações bloqueiem o acesso administrativo ao subconjunto dos comandos do Windows PowerShell necessários para a administração da instância. Para obter informações adicionais, consulte a seção "Gerenciamento de acesso a nível de SO para o Amazon EC2" no whitepaper Práticas recomendadas de segurança da AWS.

  • Os administradores de sistema devem usar as contas do Windows com acesso limitado para realizar atividades diárias e somente elevar o acesso quando necessário para realizar alterações de configuração específicas. Além disso, somente acesse as instâncias do Windows diretamente quando absolutamente necessário. Em vez disso, use os sistemas de gerenciamento de configuração central, como o Run Command do EC2, o Systems Center Configuration Manager (SCCM), o Windows PowerShell DSC ou o Amazon EC2 Systems Manager (SSM), para enviar as alterações aos servidores Windows.

  • Configure as tabelas de rotas de sub-rede da Amazon VPC com as rotas de rede mínimas necessárias. Por exemplo, insira somente as instâncias do Amazon EC2 que exigem acesso direto à Internet nas sub-redes com rotas para um gateway da Internet e insira somente instâncias do Amazon EC2 que precisem de acesso direto a redes internas nas sub-redes com rotas para um gateway privado virtual.

  • Considere usar grupos de segurança adicionais ou ENIs para controlar e auditar o tráfego de gerenciamento de instâncias do Amazon EC2 separadamente do tráfego de aplicações regular. Esta abordagem permite que os clientes implementem políticas do IAM especiais para o controle de alterações, facilitando a auditoria de alterações às regras de grupo de segurança ou scripts automáticos de verificação de regras. Várias ENIs também fornecem opções adicionais para controlar o tráfego de rede, incluindo a capacidade de criar políticas de roteamento baseado em host ou usar diferentes regras de roteamento de sub-rede da VPC com base na sub-rede atribuída da ENI.

  • Use o AWS Virtual Private Network ou o AWS Direct Connect para estabelecer conexões privadas de suas redes remotas com suas VPCs. Para obter mais informações, consulte Opções de conectividade entre a rede e a Amazon VPC.

  • Use Logs de fluxo da VPC para monitorar o tráfego recebido nas instâncias.

  • Use a proteção contra malware do GuardDuty para identificar comportamentos suspeitos indicativos de softwares mal-intencionados em suas instâncias que podem comprometer a workload, redirecionar recursos para o uso mal-intencionado e obter acesso não autorizado aos dados.

  • Use o monitoramento do runtime do GuardDuty para identificar e responder a possíveis ameaças às instâncias. Para obter mais informações, consulte How Runtime Monitoring works with Amazon EC2 instances.

  • Use o AWS Security Hub, o Reachability Analyzer ou o Analisador de Acesso à Rede para verificar se há acessibilidade não intencional à rede em suas instâncias.

  • Use o Gerenciador de sessões do AWS Systems Manager para acessar suas instâncias remotamente em vez de abrir Portas RDP.

  • Use o Run Command do AWS Systems Manager para automatizar tarefas administrativas em vez de abrir Portas RDP.

  • Muitas das funções do SO Windows e das aplicações de negócios da Microsoft também oferecem funcionalidade aprimorada, como restrições de intervalo de endereços IP no IIS, políticas de filtragem TCP/IP no Microsoft SQL Server e políticas de filtro de conexão no Microsoft Exchange. A funcionalidade de restrição de rede na camada de aplicação pode fornecer camadas adicionais de defesa para servidores de aplicação de negócios críticos.

A Amazon VPC oferece suporte a controles adicionais de segurança de rede, como gateways, servidores proxy e opções de monitoramento de rede. Para obter mais informações, consulte Control network traffic no Guia do usuário da Amazon VPC.