Pilar Segurança - AWS Orientação prescritiva
Implemente a segurança de dadosProteja suas redesImplemente autenticação e autorização

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pilar Segurança

A segurança na nuvem é a maior prioridade em AWS. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança. A segurança é uma responsabilidade compartilhada entre a AWS e você. O modelo de responsabilidade compartilhada descreve isto como segurança da nuvem e segurança na nuvem.

  • Segurança da nuvem — AWS é responsável por proteger a infraestrutura que funciona Serviços da AWS no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia da AWS segurança como parte dos programas de AWS conformidade. Para saber mais sobre os programas de conformidade que se aplicam ao Neptune, AWS consulte Serviços no escopo por programa de conformidade.

  • Segurança na nuvem — Sua responsabilidade é determinada pelo AWS service (Serviço da AWS) que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade dos dados, os requisitos da empresa e as leis e regulamentos aplicáveis. Para obter mais informações sobre privacidade de dados, consulte Privacidade de dados FAQs. Para obter informações sobre proteção de dados na Europa, consulte o Modelo de Responsabilidade AWS Compartilhada e a postagem no blog do GDPR.

O pilar de segurança do AWS Well-Architected Framework ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Neptune Analytics. Os tópicos a seguir explicam como configurar o Neptune Analytics para atender aos seus objetivos de segurança e conformidade. Você também aprende a usar outros Serviços da AWS que ajudam a monitorar e proteger seus recursos do Neptune Analytics. O pilar de segurança inclui as seguintes áreas principais de foco:

  • Segurança de dados

  • Segurança de rede

  • Autenticação e autorização

Implemente a segurança de dados

Vazamentos e violações de dados colocam seus clientes em risco e podem causar um impacto negativo substancial em sua empresa. As práticas recomendadas a seguir ajudam a proteger os dados de seus clientes contra exposição inadvertida e maliciosa:

  • Nomes de gráficos, tags, funções do IAM e outros metadados não devem conter informações confidenciais ou sigilosas, pois esses dados podem aparecer em registros de faturamento ou diagnóstico.

  • URIs ou links para servidores externos armazenados como dados no Neptune não devem conter informações de credenciais para validar solicitações.

  • Um gráfico do Neptune Analytics é criptografado em repouso. Você pode usar a chave padrão ou uma chave AWS Key Management Service (AWS KMS) de sua escolha para criptografar o gráfico. Você também pode criptografar snapshots e dados que são exportados para o Amazon S3 durante a importação em massa. Você pode remover a criptografia quando a importação for concluída.

  • Ao usar a linguagem OpenCypher, pratique técnicas adequadas de validação e parametrização de entrada para evitar a injeção de SQL e outras formas de ataques. Evite criar consultas que usem concatenação de strings com entrada fornecida pelo usuário. Use consultas parametrizadas ou instruções preparadas para passar com segurança os parâmetros de entrada para o banco de dados gráfico. Para obter mais informações, consulte Exemplos de consultas parametrizadas do OpenCypher na documentação do Neptune.

Proteja suas redes

Você pode habilitar um gráfico do Neptune Analytics para conectividade pública para que ele possa ser acessado de fora de uma nuvem privada virtual (VPC). Essa conectividade está desativada por padrão. O gráfico exige autenticação do IAM. O chamador deve obter uma identidade e ter permissões para usar o gráfico. Por exemplo, para executar uma consulta OpenCypher, o chamador precisaria ter permissões de leitura, gravação ou exclusão no gráfico específico.

Você também pode criar endpoints privados para o gráfico para acessar o gráfico de dentro de uma VPC. Ao criar o endpoint, você especifica a VPC, as sub-redes e os grupos de segurança para restringir o acesso e chamar o gráfico.

Para proteger seus dados em trânsito, o Neptune Analytics impõe conexões SSL por meio de HTTPS ao gráfico. Para obter mais informações, consulte Proteção de dados no Neptune Analytics na documentação do Neptune Analytics.

Implemente autenticação e autorização

As chamadas para um gráfico do Neptune Analytics exigem autenticação do IAM. O chamador deve obter uma identidade e ter permissões suficientes para realizar a ação no gráfico. Para obter descrições das ações da API e das permissões necessárias, consulte a documentação da API Neptune Analytics. Você pode aplicar verificações de condições para restringir o acesso por tag.

A autenticação do IAM usa o AWS protocolo Signature Version 4 (SigV4). Para simplificar o uso do seu aplicativo, recomendamos que você use um AWS SDK. Por exemplo, em Python, use o cliente Boto3 para o Neptune Graph, que abstrai o SigV4.

Quando você carrega dados no gráfico, o carregamento em lote usa as credenciais do IAM do chamador. O chamador deve ter permissões para baixar dados do Amazon S3 com a relação de confiança configurada para que o Neptune Analytics possa assumir a função de carregar os dados no gráfico a partir dos arquivos do Amazon S3.

A importação em massa pode ser realizada durante a criação do gráfico (pela equipe de infraestrutura) ou em um gráfico vazio existente (pela equipe de engenharia de dados que tem permissões para iniciar as tarefas de importação). Em ambos os casos, o Neptune Analytics assume a função do IAM que o chamador fornece como entrada. Essa função lhe dá permissão para ler e listar o conteúdo da pasta Amazon S3 onde os dados de entrada são armazenados.