Tema 5: Estabelecer um perímetro de dados - AWS Orientação prescritiva
Práticas recomendadas relacionadas:Implementando este temaMonitorando este tema

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tema 5: Estabelecer um perímetro de dados

Oito estratégias essenciais abordadas

Restringir privilégios administrativos

Um perímetro de dados é um conjunto de barreiras preventivas em seu AWS ambiente que ajudam a garantir que somente identidades confiáveis acessem recursos confiáveis das redes esperadas. Essas grades de proteção servem como limites sempre ativos que ajudam a proteger seus dados em um amplo conjunto de recursos. Contas da AWS Essas grades de proteção em toda a organização não substituem seus controles de acesso refinados existentes. Em vez disso, eles ajudam a melhorar sua estratégia de segurança, garantindo que todos os usuários, funções e recursos AWS Identity and Access Management (IAM) sigam um conjunto de padrões de segurança definidos.

Você pode estabelecer um perímetro de dados usando políticas que impedem o acesso de fora dos limites de uma organização, normalmente criadas em. AWS Organizations As três principais condições de autorização de perímetro usadas para estabelecer um perímetro de dados são:

  • Identidades confiáveis — Diretores (funções ou usuários do IAM) dentro de você Contas da AWS ou Serviços da AWS agindo em seu nome.

  • Recursos confiáveis — Recursos que estão em você Contas da AWS ou são gerenciados Serviços da AWS agindo em seu nome.

  • Redes esperadas — Seus data centers locais e nuvens privadas virtuais (VPCs) ou as redes que Serviços da AWS atuam em seu nome.

Considere implementar perímetros de dados entre ambientes de diferentes classificações de dados, como OFFICIAL:SENSITIVE ouPROTECTED, ou diferentes níveis de risco, como desenvolvimento, teste ou produção. Para obter mais informações, consulte Criando um perímetro de dados em AWS (AWS whitepaper) e Estabelecendo um perímetro de dados em AWS: Visão geral (AWS postagem do blog).

Melhores práticas relacionadas no AWS Well-Architected Framework

Implementando este tema

Implemente controles de identidade

  • Permita que somente identidades confiáveis acessem seus recursos — Use políticas baseadas em recursos com as chaves de condição e. aws:PrincipalOrgID aws:PrincipalIsAWSService Isso permite que somente diretores de sua AWS organização e de AWS acessem seus recursos.

  • Permita identidades confiáveis somente de sua rede — Use políticas de endpoint de VPC com as chaves de condição e. aws:PrincipalOrgID aws:PrincipalIsAWSService Isso permite que somente diretores de sua AWS organização e de AWS acessem serviços por meio de VPC endpoints.

Implemente controles de recursos

  • Permita que suas identidades acessem somente recursos confiáveis — Use políticas de controle de serviço (SCPs) com a chave aws:ResourceOrgID de condição. Isso permite que suas identidades acessem somente recursos em sua AWS organização.

  • Permita o acesso a recursos confiáveis somente da sua rede — Use políticas de VPC endpoint com a chave de condição. aws:ResourceOrgID Isso permite que suas identidades acessem serviços somente por meio de VPC endpoints que fazem parte da sua organização. AWS

Implemente controles de rede

  • Permita que as identidades acessem recursos somente das redes esperadas — Use SCPs com as chaves de condição aws:SourceIpaws:SourceVpc,aws:SourceVpce, e. aws:ViaAWSService Isso permite que suas identidades acessem recursos somente a partir de endereços IP esperados VPCs, endpoints de VPC e por meio de. Serviços da AWS

  • Permita o acesso aos seus recursos somente a partir das redes esperadas — Use políticas baseadas em recursos com as chaves de condição aws:SourceIpaws:SourceVpc,, aws:SourceVpceaws:ViaAWSService, e. aws:PrincipalIsAWSService Isso permite o acesso aos seus recursos somente a partir dos endpoints de VPC esperados VPCs, esperados ou esperados Serviços da AWS, por meio de ou quando a identidade de chamada é uma. IPs AWS service (Serviço da AWS)

Monitorando este tema

Monitorar políticas

  • Implemente mecanismos de revisão SCPs, políticas de IAM e políticas de VPC endpoint

Implemente as seguintes AWS Config regras

  • SERVICE_VPC_ENDPOINT_ENABLED