Práticas recomendadas de detecção de segurança para o Amazon Keyspaces - Amazon Keyspaces (para Apache Cassandra)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas de detecção de segurança para o Amazon Keyspaces

As práticas recomendadas de segurança a seguir são consideradas de detecção porque podem ajudá-lo a detectar possíveis falhas e incidentes de segurança.

Use AWS CloudTrail para monitorar o uso da chave AWS Key Management Service (AWS KMS) AWS KMS

Se você estiver usando uma chave do AWS KMS gerenciada pelo cliente para criptografia em repouso, o uso dessa chave será registrado no AWS CloudTrail. O CloudTrail fornece visibilidade da atividade do usuário ao registrar ações realizadas em sua conta. O CloudTrail registra informações importantes sobre cada ação, incluindo quem fez a solicitação, os serviços usados, as ações realizadas, os parâmetros das ações e os elementos de resposta retornados pelo serviço da AWS. Essas informações ajudam você a rastrear as alterações feitas em seus recursos da AWS e solucionar problemas operacionais. O CloudTrail facilita garantir a conformidade com as políticas internas e os padrões regulatórios.

Use o CloudTrail para auditar o uso de chaves. O CloudTrail cria arquivos de log que contêm um histórico de chamadas da AWS API e eventos relacionados da sua conta. Esses arquivos de log incluem todas as solicitações da API do AWS KMS feitas usando o console, SDKs da AWS e ferramentas da linha de comando, além daquelas feitas por meio de serviços AWS integrados. Você pode usar esses arquivos de log para obter informações sobre quando a chave do AWS KMS foi usada, a operação solicitada, a identidade do solicitante, o endereço IP de origem da solicitação e assim por diante. Para obter mais informações, consulte Como registrar chamadas de API do AWS Key Management Service com o AWS CloudTrail no Guia do usuário do AWS CloudTrail.

Use o CloudTrail para monitorar operações da linguagem de definição de dados (DDL) do Amazon Keyspaces

O CloudTrail fornece visibilidade da atividade do usuário ao registrar ações realizadas em sua conta. O CloudTrail registra informações importantes sobre cada ação, incluindo quem fez a solicitação, os serviços usados, as ações realizadas, os parâmetros das ações e os elementos de resposta retornados pelo serviço da AWS. Essas informações o ajudam a rastrear as alterações feitas em seus recursos da AWS e solucionar problemas operacionais. O CloudTrail facilita garantir a conformidade com as políticas internas e os padrões regulatórios.

Todas as operações de DDL do Amazon Keyspaces são registradas automaticamente no CloudTrail. As operações DDL permitem criar e gerenciar tabelas e espaços de chaves do Amazon Keyspaces.

Quando uma atividade ocorre no Amazon Keyspaces, ela é registrada em um evento do CloudTrail com outros eventos de serviços da AWS no histórico de eventos. Para obter mais informações, consulte Registrar operações do Amazon Keyspaces usando o AWS CloudTrail. Você pode visualizar, pesquisar e baixar eventos recentes em sua Conta da AWS. Para obter mais informações, consulte o tópico sobre como Visualizar eventos com o histórico de eventos do CloudTrail, no Guia do usuário do AWS CloudTrail.

Para obter um registro dos eventos em andamento na sua Conta da AWS, incluindo eventos do Amazon Keyspaces, crie uma trilha. Uma trilha permite que o CloudTrail entregue arquivos de log a um bucket do Amazon Simple Storage Service (Amazon S3). Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as Regiões da AWS. A trilha registra eventos de todas as regiões na partição da AWS e fornece os arquivos de log ao bucket do S3 que você especificar. Além disso, é possível configurar outros serviços da AWS para analisar mais ainda mais e agir com base nos dados de eventos coletados nos logs do CloudTrail.

Marque seus recursos do Amazon Keyspaces para identificação e automação

Você pode atribuir metadados aos seus recursos da AWS na forma de tags. Cada tag é um rótulo simples que consiste em uma chave definida pelo cliente e um valor opcional que pode facilitar o gerenciamento, a pesquisa e a filtragem de recursos.

A atribuição de tags (tagging) permite a implementação de controles agrupados. Embora não haja tipos de tags inerentes, elas permitem categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Veja os seguintes exemplos:

  • Acesso – usado para controlar o acesso aos recursos do Amazon Keyspaces com base em tags. Para obter mais informações, consulte Autorização baseada em tags do Amazon Keyspaces.

  • Segurança – usada para determinar requisitos como configurações de proteção de dados.

  • Confidencialidade – um identificador para o nível de confidencialidade de dados específico suportado por um recurso.

  • Ambiente: usado para distinguir entre as infraestruturas de desenvolvimento, teste e produção.

Para obter mais informações, consulte AWS estratégias de marcação e Adicionar tags e rótulos a recursos.