Recomendações de controle de segurança para proteger dados

O AWS Well-Architected Framework agrupa as melhores práticas para proteção de dados em três categorias: classificação de dados, proteção de dados em repouso e proteção de dados em trânsito. Os controles de segurança nesta seção podem ajudá-lo a implementar as melhores práticas de proteção de dados. Essas melhores práticas básicas devem estar em vigor antes de você arquitetar qualquer carga de trabalho na nuvem. Eles evitam o manuseio incorreto de dados e ajudam você a cumprir as obrigações organizacionais, regulatórias e de conformidade. Use os controles de segurança nesta seção para implementar as melhores práticas de proteção de dados.

Identifique e classifique os dados no nível da carga de trabalho

Classificação de dados é um processo para identificar e categorizar os dados em sua rede com base em criticalidade e confidencialidade. É um componente crítico de qualquer estratégia de gerenciamento de riscos de segurança cibernética, pois ajuda a determinar os controles adequados de proteção e retenção para os dados. A classificação de dados geralmente reduz a frequência da duplicação de dados. Isso pode reduzir os custos de armazenamento e backup e acelerar as pesquisas.

Recomendamos que você entenda o tipo e a classificação dos dados que sua carga de trabalho está processando, os processos comerciais associados, onde os dados são armazenados e quem é o proprietário dos dados. A classificação de dados ajuda os proprietários da carga de trabalho a identificar locais que armazenam dados confidenciais e determinar como esses dados devem ser acessados e compartilhados. As tags são pares de valores-chave que atuam como metadados para organizar os recursos. AWS As tags podem ajudar a gerenciar, identificar, organizar, pesquisar e filtrar recursos.

Para obter mais informações, consulte os seguintes recursos:

• Classificação de dados em AWS whitepapers

• Identifique os dados em sua carga de trabalho no AWS Well-Architected Framework

Estabeleça controles para cada nível de classificação de dados

Defina controles de proteção de dados para cada nível de classificação. Por exemplo, use controles recomendados para proteger dados classificados como públicos e proteger dados confidenciais com controles adicionais. Use mecanismos e ferramentas que reduzam ou eliminem a necessidade de acessar diretamente ou processar dados manualmente. A automação da identificação e classificação de dados reduz o risco de erros de classificação, manuseio incorreto, modificação ou erro humano.

Por exemplo, considere usar o Amazon Macie para escanear buckets do Amazon Simple Storage Service (Amazon S3) em busca de dados confidenciais, como informações de identificação pessoal (PII). Além disso, você pode automatizar a detecção de acesso não intencional a dados usando VPC Flow Logs na Amazon Virtual Private Cloud (Amazon VPC).

Para obter mais informações, consulte os seguintes recursos:

• Defina os controles de proteção de dados no AWS Well-Architected Framework

• Automatize a identificação e a classificação no AWS Well-Architected Framework

• AWS Arquitetura de referência de privacidade (AWS PRA) na AWS orientação prescritiva

• Descobrindo dados confidenciais com o Amazon Macie na documentação do Macie

• Registrando tráfego IP usando VPC Flow Logs na documentação da Amazon VPC

• Técnicas comuns para detectar dados de PHI e PII usando Serviços da AWS no blog AWS for Industries

Criptografe dados em repouso

Dados em repouso são dados estacionários em sua rede, como dados que estão armazenados. A implementação de criptografia e controles de acesso apropriados para dados em repouso ajuda a reduzir o risco de acesso não autorizado. A criptografia é um processo de computação que transforma dados de texto simples, legíveis por humanos, em texto cifrado. Você precisa de uma chave de criptografia para descriptografar o conteúdo novamente em texto simples para que ele possa ser usado. No Nuvem AWS, você pode usar AWS Key Management Service (AWS KMS) para criar e controlar chaves criptográficas que ajudam a proteger seus dados.

Conforme discutido emEstabeleça controles para cada nível de classificação de dados, recomendamos a criação de uma política que especifique que tipo de dados requer criptografia. Inclua critérios para determinar quais dados devem ser criptografados e quais dados devem ser protegidos com outra técnica, como tokenização ou hashing.

Para obter mais informações, consulte os seguintes recursos:

• Configurando a criptografia padrão na documentação do Amazon S3

• Criptografia por padrão para novos volumes do EBS e cópias de snapshot na documentação da Amazon EC2

• Criptografando recursos do Amazon Aurora na documentação do Amazon Aurora

• Introdução aos detalhes criptográficos AWS KMS da documentação AWS KMS

• Criação de uma estratégia de criptografia corporativa para dados em repouso na Orientação AWS Prescritiva

• Aplique a criptografia em repouso no AWS Well-Architected Framework

• Para obter mais informações sobre criptografia em particular Serviços da AWS, consulte a AWS documentação desse serviço

Criptografe dados em trânsito

Dados em trânsito que estão se movendo ativamente pela sua rede, como entre os recursos da rede. Criptografe todos os dados em trânsito usando protocolos TLS seguros e pacotes de criptografia. O tráfego de rede entre os recursos e a Internet deve ser criptografado para ajudar a impedir o acesso não autorizado aos dados. Quando possível, use o TLS para criptografar o tráfego de rede em seu ambiente interno AWS .

Para obter mais informações, consulte os seguintes recursos:

• Exigir HTTPS para comunicação entre espectadores e CloudFront na CloudFront documentação da Amazon

• Documentação da AWS PrivateLink

• Aplique a criptografia em trânsito no AWS Well-Architected Framework

• Para obter mais informações sobre criptografia em particular Serviços da AWS, consulte a AWS documentação desse serviço

Bloqueie o acesso público aos snapshots do Amazon EBS

O Amazon Elastic Block Store (Amazon EBS) fornece volumes de armazenamento em nível de bloco para uso com instâncias do Amazon Elastic Compute Cloud (Amazon). EC2 Você pode fazer backup dos dados dos seus volumes do Amazon EBS no Amazon S3 tirando point-in-time snapshots. Você pode compartilhar instantâneos publicamente com todos os outros Contas da AWS ou compartilhá-los de forma privada com a pessoa Contas da AWS que você especificar.

Recomendamos que você não compartilhe publicamente os snapshots do Amazon EBS. Isso pode inadvertidamente expor dados confidenciais. Ao compartilhar um instantâneo, você está dando a outras pessoas acesso aos dados no instantâneo. Compartilhe instantâneos somente com pessoas em quem você confia todos esses dados.

Para obter mais informações, consulte os seguintes recursos:

• Compartilhe um instantâneo na documentação da Amazon EC2

• Os snapshots do Amazon EBS não devem ser restauráveis publicamente na documentação AWS Security Hub

• ebs-snapshot-public-restorable-verifique a documentação AWS Config

Bloqueie o acesso público aos snapshots do Amazon RDS

O Amazon Relational Database Service (Amazon RDS) ajuda você a configurar, operar e escalar um banco de dados relacional no. Nuvem AWS O Amazon RDS cria e salva backups automatizados de sua instância de banco de dados (DB) ou cluster de banco de dados Multi-AZ durante a janela de backup de sua instância de banco de dados. O Amazon RDS cria um snapshot do volume de armazenamento de sua instância de banco de dados, fazendo o backup de toda a instância de banco de dados, não apenas dos bancos de dados individuais. Você pode compartilhar um snapshot manual com o objetivo de copiar o snapshot ou restaurar uma instância de banco de dados a partir dele.

Se você compartilhar um instantâneo como público, certifique-se de que nenhum dos dados no instantâneo seja privado ou confidencial. Quando um instantâneo é compartilhado publicamente, ele dá todas as Contas da AWS permissões para acessar os dados. Isso pode resultar na exposição não intencional dos dados em sua instância do Amazon RDS.

Para obter mais informações, consulte os seguintes recursos:

• Compartilhamento de um DB snapshot na documentação do Amazon RDS

• rds-snapshots-public-prohibitedna AWS Config documentação

• O instantâneo do RDS deve ser privado na documentação do Security Hub

Bloqueie o acesso público ao Amazon RDS, Amazon Redshift e recursos AWS DMS

Você pode configurar instâncias de banco de dados do Amazon RDS, clusters do Amazon Redshift AWS Database Migration Service e AWS DMS() instâncias de replicação para serem acessíveis publicamente. Se o valor do publiclyAccessible campo fortrue, esses recursos estarão acessíveis ao público. Permitir o acesso público pode resultar em tráfego, exposição ou vazamentos de dados desnecessários. Recomendamos que você não permita o acesso público a esses recursos.

Recomendamos que você habilite AWS Config regras ou controles do Security Hub para detectar se as instâncias de banco de dados do Amazon RDS, as instâncias de AWS DMS replicação ou os clusters do Amazon Redshift permitem acesso público.

nota

As configurações de acesso público para instâncias AWS DMS de replicação não podem ser modificadas após o provisionamento da instância. Para alterar a configuração de acesso público, exclua a instância atual e, em seguida, recrie-a. Ao recriá-lo, não selecione a opção Acessível publicamente.

Para obter mais informações, consulte os seguintes recursos:

• AWS DMS instâncias de replicação não devem ser públicas na documentação do Security Hub

• As instâncias de banco de dados do RDS devem proibir o acesso público na documentação do Security Hub

• Os clusters do Amazon Redshift devem proibir o acesso público na documentação do Security Hub

• rds-instance-public-access-verifique a documentação AWS Config

• dms-replication-not-publicna AWS Config documentação

• redshift-cluster-public-access-verifique a documentação AWS Config

• Modificando uma instância de banco de dados do Amazon RDS na documentação do Amazon RDS

• Modificação de um cluster na documentação do Amazon Redshift

Bloqueie o acesso público aos buckets do Amazon S3

É uma prática recomendada de segurança do Amazon S3 para garantir que seus buckets não sejam acessíveis ao público. A menos que você exija explicitamente que qualquer pessoa na Internet possa ler ou gravar em seu bucket, certifique-se de que seu bucket não seja público. Isso ajuda a proteger a integridade e a segurança dos dados. Você pode usar AWS Config regras e controles do Security Hub para confirmar se seus buckets do Amazon S3 estão em conformidade com essa melhor prática.

Para obter mais informações, consulte os seguintes recursos:

• Melhores práticas de segurança do Amazon S3 na documentação do Amazon S3

• A configuração do S3 Block Public Access deve ser habilitada na documentação do Security Hub

• Os buckets do S3 devem proibir o acesso público de leitura na documentação do Security Hub

• Os buckets do S3 devem proibir o acesso público de gravação na documentação do Security Hub

• bucket-public-read-prohibited regra s3- na documentação AWS Config

• s3- bucket-public-write-prohibited na documentação AWS Config

Exigir MFA para excluir dados em buckets críticos do Amazon S3

Ao trabalhar com o Versionamento do S3 em buckets do Amazon S3, você pode, opcionalmente, adicionar outra camada de segurança configurando um bucket para habilitar a exclusão de MFA (autenticação multifator). Quando você faz isso, o proprietário do bucket precisa incluir dois formulários de autenticação em qualquer solicitação para excluir uma versão ou modificar o estado de versionamento do bucket. Recomendamos que você habilite esse recurso para buckets que contêm dados essenciais para sua organização. Isso pode evitar exclusões acidentais de buckets e dados.

Para obter mais informações, consulte os seguintes recursos:

• Configurando a exclusão de MFA na documentação do Amazon S3

Configurar domínios OpenSearch do Amazon Service em uma VPC

O Amazon OpenSearch Service é um serviço gerenciado que ajuda você a implantar, operar e escalar OpenSearch clusters no Nuvem AWS. O Amazon OpenSearch Service oferece suporte OpenSearch e legado Elasticsearch software de código aberto (OSS). Os domínios do Amazon OpenSearch Service implantados em uma VPC podem se comunicar com recursos da VPC pela AWS rede privada, sem a necessidade de atravessar a Internet pública. Essa configuração melhora sua postura de segurança ao restringir o acesso aos dados em trânsito. Recomendamos que você não anexe domínios do Amazon OpenSearch Service a sub-redes públicas e que a VPC seja configurada de acordo com as melhores práticas.

Para obter mais informações, consulte os seguintes recursos:

• Lançamento de seus domínios do Amazon OpenSearch Service em uma VPC na documentação do Amazon OpenSearch Service

• opensearch-in-vpc-onlyna AWS Config documentação

• OpenSearch os domínios devem estar em uma VPC na documentação do Security Hub

Configurar alertas para AWS KMS key exclusão

AWS Key Management Service (AWS KMS) as chaves não podem ser recuperadas depois de serem excluídas. Se uma chave KMS for excluída, os dados que ainda estiverem criptografados sob essa chave ficarão permanentemente irrecuperáveis. Se precisar manter o acesso aos dados, antes de excluir a chave, você deverá descriptografar os dados ou recriptografá-los com uma nova chave KMS. Só exclua uma chave do KMS quando você tiver certeza de que não vai mais precisar dela.

Recomendamos que você configure um CloudWatch alarme da Amazon que o notifique se alguém iniciar a exclusão de uma chave KMS. Como é destrutivo e potencialmente perigoso excluir uma chave KMS, é AWS KMS necessário definir um período de espera e programar a exclusão em 7 a 30 dias. Isso oferece a oportunidade de revisar a exclusão programada e cancelá-la, se necessário.

Para obter mais informações, consulte os seguintes recursos:

• Agendamento e cancelamento da exclusão da chave na documentação AWS KMS

• Criação de um alarme que detecta o uso de uma chave KMS com exclusão pendente na documentação AWS KMS

• AWS KMS keys não deve ser excluído acidentalmente na documentação do Security Hub

Bloquear o acesso público ao AWS KMS keys

As principais políticas são a principal forma de controlar o acesso AWS KMS keys a. Cada chave do KMS tem exatamente uma política de chaves. Permitir acesso anônimo às chaves do KMS pode levar a um vazamento de dados confidenciais. Recomendamos que você identifique todas as chaves KMS acessíveis ao público e atualize suas políticas de acesso para evitar solicitações não assinadas feitas a esses recursos.

Para obter mais informações, consulte os seguintes recursos:

• As melhores práticas de segurança AWS Key Management Service estão na AWS KMS documentação

• Alterando uma política importante na AWS KMS documentação

• Determinando o AWS KMS keys acesso à AWS KMS documentação

Configurar ouvintes do balanceador de carga para usar protocolos seguros

O Elastic Load Balancing distribui automaticamente o tráfego de entrada do aplicativo em vários destinos. Você configura seu load balancer para aceitar o tráfego de entrada especificando um ou mais listeners. Um receptor é um processo que verifica solicitações de conexão usando o protocolo e a porta configurados por você. Cada tipo de balanceador de carga oferece suporte a diferentes protocolos e portas:

• Os Application Load Balancers tomam decisões de roteamento na camada do aplicativo e usam protocolos HTTP ou HTTPS.

• Os balanceadores de carga de rede tomam decisões de roteamento na camada de transporte e usam os protocolos TCP, TLS, UDP ou TCP_UDP.

• Os balanceadores de carga clássicos tomam decisões de roteamento na camada de transporte (usando protocolos TCP ou SSL) ou na camada de aplicação (usando protocolos HTTP ou HTTPS).

Recomendamos que você sempre use protocolos HTTPS ou TLS. Esses protocolos garantem que o balanceador de carga seja responsável por criptografar e descriptografar o tráfego entre o cliente e o destino.

Para obter mais informações, consulte os seguintes recursos:

• Ouvintes de seus Application Load Balancers na documentação do Elastic Load Balancing

• Ouvintes do seu Classic Load Balancer na documentação do Elastic Load Balancing

• Ouvintes de seus Network Load Balancers na documentação do Elastic Load Balancing

• Garanta que os balanceadores de AWS carga usem protocolos de escuta seguros na AWS Orientação Prescritiva

• elb-tls-https-listeners-somente na documentação AWS Config

• Os ouvintes do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS na documentação do Security Hub

• O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS na documentação do Security Hub