Configurar a Conta da AWS segurança - Amazon Nimble Studio
Exclua as chaves de acesso da sua contaHabilitar a autenticação multifatorHabilitar CloudTrail em todos Regiões da AWSConfigure a Amazon GuardDuty e as notificações

Aviso de fim do suporte: em 22 de outubro de 2024, o suporte para o Amazon Nimble Studio AWS será interrompido. Depois de 22 de outubro de 2024, você não poderá mais acessar o console do Nimble Studio ou os recursos do Nimble Studio.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar a Conta da AWS segurança

Este guia mostra como configurá-lo Conta da AWS para receber notificações quando seus recursos forem comprometidos e permitir que Conta da AWS usuários específicos os acessem. Para proteger seus recursos Conta da AWS e monitorar seus recursos, conclua as etapas a seguir.

Exclua as chaves de acesso da sua conta

Você pode permitir o acesso programático aos seus AWS recursos a partir do AWS Command Line Interface (AWS CLI) ou com AWS APIs. No entanto, AWS recomenda que você não crie nem use as chaves de acesso associadas à sua conta raiz para acesso programático.

Se você ainda tiver chaves de acesso, recomendamos excluí-las e criar um usuário. Em seguida, conceda a esse usuário somente as permissões necessárias para o APIs que você planeja ligar. Você pode usar esse usuário para emitir chaves de acesso.

Para obter mais informações, consulte Gerenciando chaves de acesso da sua Conta da AWS no guia Referência geral da AWS .

Habilitar a autenticação multifator

A autenticação multifator (MFA) é um recurso de segurança que fornece uma camada de autenticação além do seu nome de usuário e senha.

O MFA funciona assim: depois de fazer login com seu nome de usuário e senha, também é necessário fornecer uma informação adicional que somente você tenha acesso físico. Essas informações podem vir de um dispositivo de hardware de MFA dedicado ou de um aplicativo em um telefone.

Você deve selecionar o tipo de dispositivo de MFA que deseja usar na lista de dispositivos de MFA compatíveis. Para um dispositivo de hardware, mantenha o dispositivo de MFA em um local seguro.

Se você usa um dispositivo de MFA virtual (como um aplicativo de telefone), pense no que pode acontecer se seu telefone for perdido ou danificado. Uma abordagem é manter o dispositivo de MFA virtual que você usa em um local seguro. Outra opção é ativar mais de um dispositivo ao mesmo tempo ou usar uma opção de MFA virtual para recuperar a chave do dispositivo.

Para saber mais sobre MFA, consulte Habilitar um dispositivo de autenticação multifator virtual (MFA).

Habilitar CloudTrail em todos Regiões da AWS

Você pode acompanhar todas as atividades em seus AWS recursos usando AWS CloudTrailo. Recomendamos que você ative CloudTrail agora. Isso pode ajudar Suporte seu arquiteto de AWS soluções a solucionar um problema de segurança ou configuração posteriormente.

Para ativar o CloudTrail login em todos Regiões da AWS, consulte AWS CloudTrail Atualizar — Ativar em todas as regiões e usar várias trilhas.

Para saber mais CloudTrail, consulte Ativar CloudTrail: registrar a atividade da API no seu Conta da AWS. Para saber como CloudTrail monitora o Nimble Studio, consulteRegistrando chamadas do Nimble Studio usando AWS CloudTrail.

Configure a Amazon GuardDuty e as notificações

A Amazon GuardDuty é um serviço contínuo de monitoramento de segurança que analisa e processa o seguinte:

  • Fontes de dados

  • Logs de fluxo do Amazon VPC

  • AWS CloudTrail registros de eventos de gerenciamento

  • CloudTrail Registros de eventos de dados do S3

  • Logs de DNS

A Amazon GuardDuty identifica atividades inesperadas, potencialmente não autorizadas e maliciosas em seu AWS ambiente. A atividade maliciosa pode incluir problemas como escalonamento de privilégios, uso de credenciais expostas ou comunicação com endereços IP ou domínios maliciosos. Para identificar essas atividades, GuardDuty usa feeds de inteligência de ameaças, como listas de endereços IP e domínios maliciosos e aprendizado de máquina. Por exemplo, GuardDuty pode detectar EC2 instâncias comprometidas da Amazon servindo malware ou minerando bitcoins.

GuardDuty também monitora o comportamento do Conta da AWS acesso em busca de sinais de comprometimento. Isso inclui implantações de infraestrutura não autorizadas, como instâncias implantadas em uma Região da AWS que nunca foi usada. Também inclui chamadas de API incomuns, como uma alteração na política de senha para reduzir a força da senha.

GuardDuty informa você sobre o status do seu AWS ambiente produzindo descobertas de segurança. Você pode ver essas descobertas no GuardDuty console ou por meio de CloudWatch eventos da Amazon.

Configurar um tópico e um endpoint do Amazon SNS

Siga as instruções no tutorial Configurar um tópico e endpoint do Amazon SNS.

Configure um EventBridge evento para GuardDuty descobertas

Crie uma regra EventBridge para enviar eventos para todas as descobertas GuardDuty geradas.

Para criar um EventBridge evento para GuardDuty descobertas

  1. Faça login no EventBridge console da Amazon: https://console.aws.amazon.com/events/

  2. No painel de navegação, escolha Regras. Em seguida, escolha Create rule (Criar regra).

  3. Insira um Nome e uma Descrição para a nova regra. Escolha Próximo.

  4. Deixe AWS os eventos ou eventos de EventBridge parceiros selecionados para a fonte do evento.

  5. Em Padrão de evento, escolha Serviços da AWS para a Origem do evento. Em seguida, GuardDutypara os AWS serviços e GuardDuty Finding for the Event type. Este é o tópico que você criou em Configurar um tópico e um endpoint do Amazon SNS.

  6. Escolha Próximo.

  7. Para Destino 1, selecione Serviço AWS . Escolha o Tópico SNS na lista suspensa Selecionar um destino. Em seguida, escolha seu GuardDutytópico _to_email.

  8. Na seção Configurações adicionais: Use o menu suspenso Configurar entrada de destino para escolher Transformador de entrada. Selecione Configurar transformador de entrada.

  9. Insira o código a seguir no campo Caminho de entrada na seção Transformador de entrada de destino.

    {
    "severity": "$.detail.severity",
    "Account_ID": "$.detail.accountId",
    "Finding_ID": "$.detail.id",
    "Finding_Type": "$.detail.type",
    "region": "$.region",
    "Finding_description": "$.detail.description"
}

  10. Para formatar o e-mail, insira o código a seguir no campo Modelo.

    "AWS <Account_ID> has a severity <severity> GuardDuty finding type <Finding_Type> in the <region> region."
"Finding Description:"
"<Finding_description>. "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id=<Finding_ID>"

  11. Escolha Criar. Escolha Próximo.

  12. (Opcional) Adicione tags se você estiver usando tags para monitorar seus AWS recursos.

  13. Escolha Próximo.

  14. Revise sua regra. Em seguida, escolha Create rule (Criar regra).

Agora que você configurou sua Conta da AWS segurança, pode conceder acesso a usuários específicos e receber notificações quando seus recursos forem comprometidos.