Monitorar a segurança dos dados com serviços de segurança gerenciados da AWS - Amazon Simple Storage Service

Monitorar a segurança dos dados com serviços de segurança gerenciados da AWS

Vários serviços gerenciados de segurança da AWS podem ajudar a identificar, avaliar e monitorar os riscos de segurança e conformidade dos dados do Amazon S3. Esses serviços também podem ajudar você a proteger seus dados contra esses riscos. Esses serviços incluem recursos automatizados de detecção, monitoramento e proteção que são projetados para escalar desde recursos do Amazon S3 para uma única Conta da AWS até recursos para organizações que abrangem milhares de Contas da AWS.

Os serviços de detecção e resposta da AWS podem ajudar a identificar possíveis configurações incorretas de segurança, ameaças ou comportamentos inesperados, para que você possa responder rapidamente a atividades possivelmente não autorizadas ou mal-intencionadas em seu ambiente. Os serviços de proteção de dados da AWS podem ajudar a monitorar e proteger seus dados, contas e workloads contra o acesso não autorizado. Eles também podem ajudar a descobrir dados sigilosos, como informações de identificação pessoal (PII), em seu conjunto de dados do Amazon S3.

Para ajudar a identificar e avaliar riscos de segurança e conformidade de dados, os serviços de segurança gerenciados da AWS geram descobertas para notificar você sobre possíveis eventos ou problemas de segurança com os dados do Amazon S3. As descobertas fornecem detalhes relevantes que você pode usar para investigar, avaliar e tomar medidas com relação a esses riscos de acordo com seus fluxos de trabalho e políticas de resposta a incidentes. É possível acessar os dados das descobertas diretamente usando cada serviço. Também é possível enviar os dados para outras aplicações, serviços e sistemas, como o sistema de gerenciamento de incidentes e eventos de segurança (SIEM).

Para monitorar a segurança dos dados do Amazon S3, considere usar estes serviços de segurança gerenciados da AWS.

Amazon GuardDuty

O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente suas Contas da AWS e workloads em busca de atividades mal-intencionadas e fornece descobertas de segurança detalhadas para visibilidade e correção.

Com o recurso de proteção do S3 no GuardDuty, é possível configurar o GuardDuty para analisar eventos de gerenciamento e de dados do AWS CloudTrail para os recursos do Amazon S3. Depois, o GuardDuty monitora esses eventos em busca de atividades mal-intencionadas e suspeitas. Para fundamentar a análise e identificar possíveis riscos de segurança, o GuardDuty usa feeds de inteligência de ameaças e machine learning.

O GuardDuty pode monitorar diferentes tipos de atividade para os recursos do Amazon S3. Por exemplo, os eventos de gerenciamento do CloudTrail para o Amazon S3 incluem operações em nível de bucket, como ListBuckets, DeleteBucket e PutBucketReplication. Os eventos de dados do CloudTrail para o Amazon S3 incluem operações em nível de objeto, como GetObject, ListObjects e PutObject. Se o GuardDuty detectar atividades anômalas ou possivelmente mal-intencionadas, ele gerará uma descoberta para notificar você.

Para obter mais informações, consulte Proteção do Amazon S3 no Amazon GuardDuty no Guia do usuário do Amazon GuardDuty.

Amazon Detective

O Amazon Detective simplifica o processo investigativo e ajuda você a conduzir investigações de segurança mais rápidas e eficazes. O Detective fornece agregações de dados, resumos e contexto predefinidos que podem ajudar a analisar e avaliar a natureza e a extensão dos possíveis problemas de segurança.

O Detective extrai automaticamente eventos baseados em tempo, como chamadas de API do AWS CloudTrail e logs de fluxo da Amazon VPC para os recursos da AWS. Ele também ingere descobertas geradas pelo Amazon GuardDuty. Depois, o Detective usa machine learning, análise estatística e teoria de grafos para gerar visualizações que ajudam você a conduzir investigações de segurança eficazes com maior rapidez.

Essas visualizações fornecem uma visão unificada e interativa dos comportamentos dos recursos e das interações entre eles ao longo do tempo. É possível explorar esse grafo de comportamento para examinar ações possivelmente mal-intencionadas, como tentativas malsucedidas de login ou chamadas de API suspeitas. Também é possível ver como essas ações afetam recursos, como buckets e objetos do S3.

Para obter mais informações, consulte o Guia de administração do Amazon Detective.

IAM Access Analyzer

O AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) pode ajudar a identificar os recursos compartilhados com uma entidade externa. Também é possível usar o IAM Access Analyzer para validar as políticas do IAM em relação à gramática de políticas e às práticas recomendadas, além de gerar políticas do IAM com base na atividade de acesso nos logs do AWS CloudTrail.

O IAM Access Analyzer usa raciocínio baseado em lógica para analisar políticas de recursos em seu ambiente da AWS, como políticas de bucket. Com o IAM Access Analyzer para S3, você recebe alertas quando um bucket do S3 é configurado para permitir o acesso a qualquer pessoa na internet ou a outras Contas da AWS, incluindo contas fora da organização. Por exemplo, o IAM Access Analyzer para S3 pode relatar que um bucket tem acesso de leitura ou gravação fornecido por meio de uma lista de controle de acesso (ACL) de bucket, uma política de bucket, uma política de ponto de acesso multirregional ou uma política de ponto de acesso. Para cada bucket público ou compartilhado, você recebe descobertas que indicam a origem e o nível de acesso público ou compartilhado. Com essas descobertas, você pode tomar medidas corretivas imediatas e precisas para restaurar o acesso ao bucket da forma desejada.

Para obter mais informações, consulte Revisar o acesso de bucket usando o IAM Access Analyzer para S3.

Amazon Macie

O Amazon Macie é um serviço de segurança de dados que descobre dados sigilosos usando machine learning e correspondência de padrões, fornece visibilidade dos riscos de segurança de dados e permite proteção automatizada contra esses riscos.

Com o Macie, é possível automatizar a descoberta e a emissão de relatórios de dados sigilosos nos buckets do S3 para compreender melhor os dados armazenados pela organização no Amazon S3. Para detectar dados sigilosos, é possível usar critérios e técnicas incorporados que o Macie fornece, critérios personalizados que você define ou uma combinação dos dois. Se o Macie detectar dados sigilosos em um objeto do S3, ele gerará uma descoberta para notificar você. Essa descoberta fornece informações sobre o bucket e o objeto afetados, os tipos e o número de ocorrências dos dados sigilosos encontrados pelo Macie e detalhes adicionais para facilitar sua investigação.

O Macie também fornece estatísticas e outros dados que oferecem uma visão sobre o procedimento de segurança dos dados do Amazon S3 e avalia e monitora automaticamente os buckets do S3 quanto à segurança e ao controle de acesso. Se o Macie detectar um possível problema com a segurança ou a privacidade dos dados, como um bucket que se torna acessível ao público, ele gerará uma descoberta para você revisar e corrigir conforme necessário.

Para obter mais informações, consulte o Guia do usuário da Amazon Macie.

AWS Security Hub

O AWS Security Hub é um serviço de gerenciamento de procedimento de segurança que realiza verificações de práticas recomendadas de segurança, agrega alertas e descobertas de várias fontes em um único formato e permite a correção automatizada.

O Security Hub coleta e fornece dados de descobertas de segurança de Serviços da AWS e soluções de segurança do AWS Partner Network integradas, como Amazon Detective, Amazon GuardDuty, IAM Access Analyzer e Amazon Macie. Ele também gera suas próprias descobertas executando verificações de segurança automatizadas e contínuas com base nas práticas recomendadas da AWS e em padrões compatíveis do setor.

Depois, o Security Hub correlaciona e consolida as descobertas nos provedores para ajudar a priorizar as mais significativas. Ele também aceita ações personalizadas, que você pode usar para invocar respostas ou ações de correção para classes específicas de descobertas.

Com o Security Hub, é possível avaliar o status de segurança e conformidade dos recursos do Amazon S3 e fazer isso como parte de uma análise mais ampla do procedimento de segurança da organização em Regiões da AWS individuais e em várias regiões. Isso inclui analisar as tendências de segurança e identificar os problemas de segurança de maior prioridade. Também é possível agregar descobertas de várias Regiões da AWS e monitorar e processar dados de descobertas agregadas de uma única região.

Para obter mais informações, acesse Controles do Amazon Simple Storage Service no Guia do usuário do AWS Security Hub.