CloudFront objetos raiz padrão Digitalize o código do aplicativo Crie camadas de rede Use somente portas autorizadas Acesso público aos documentos do Systems Manager Acesso público às funções do Lambda Atualizar grupo de segurança padrão Verifique as vulnerabilidades e a exposição da rede Configurar AWS WAF Proteções avançadas contra ataques DDo S Controlar o tráfego de rede

Recomendações de controle de segurança para proteger a infraestrutura

A proteção da infraestrutura é uma parte fundamental de qualquer programa de segurança. Ele inclui metodologias de controle que ajudam você a proteger suas redes e recursos computacionais. Exemplos de proteção de infraestrutura incluem limites de confiança, uma defense-in-depth abordagem, fortalecimento da segurança, gerenciamento de patches e autenticação e autorização do sistema operacional. Para obter mais informações, consulte Proteção de infraestrutura no AWS Well-Architected Framework. Os controles de segurança nesta seção podem ajudá-lo a implementar as melhores práticas para proteção da infraestrutura.

Controles nesta seção:

Especifique objetos raiz padrão para CloudFront distribuições
Digitalize o código do aplicativo para identificar problemas comuns de segurança
Crie camadas de rede usando redes dedicadas VPCs e sub-redes
Restrinja o tráfego de entrada somente às portas autorizadas
Bloquear o acesso público aos documentos do Systems Manager
Bloqueie o acesso público às funções do Lambda
Restrinja o tráfego de entrada e saída no grupo de segurança padrão
Verifique se há vulnerabilidades de software e exposição não intencional na rede
Configurar AWS WAF
Configure proteções avançadas contra ataques DDo S
Use uma defense-in-depth abordagem para controlar o tráfego de rede

Especifique objetos raiz padrão para CloudFront distribuições

A Amazon CloudFront acelera a distribuição do seu conteúdo da web entregando-o por meio de uma rede mundial de data centers, o que reduz a latência e melhora o desempenho. Se você não definir um objeto raiz padrão, as solicitações da raiz da distribuição passarão para o servidor de origem. Se você estiver usando uma origem do Amazon Simple Storage Service (Amazon S3), a solicitação pode retornar uma lista do conteúdo em seu bucket do S3 ou uma lista do conteúdo privado de sua origem. Especificar um objeto raiz padrão ajuda a evitar a exposição do conteúdo da sua distribuição.

Para obter mais informações, consulte os seguintes recursos:

Especificando um objeto raiz padrão na documentação CloudFront

Digitalize o código do aplicativo para identificar problemas comuns de segurança

O AWS Well-Architected Framework recomenda que você escaneie bibliotecas e dependências em busca de problemas e defeitos. Há muitas ferramentas de análise de código-fonte que você pode usar para escanear o código-fonte. Por exemplo, a Amazon CodeGuru pode verificar problemas de segurança comuns no Java or Python aplicativos e forneça recomendações para remediação.

Para obter mais informações, consulte os seguintes recursos:

CodeGuru documentação
Ferramentas de análise de código-fonte no OWASP Foundation site
Execute o gerenciamento de vulnerabilidades no AWS Well-Architected Framework

Crie camadas de rede usando redes dedicadas VPCs e sub-redes

O AWS Well-Architected Framework recomenda que você agrupe componentes que compartilham requisitos de sensibilidade em camadas. Isso minimiza o escopo potencial do impacto do acesso não autorizado. Por exemplo, um cluster de banco de dados que não exige acesso à Internet deve ser colocado em uma sub-rede privada de sua VPC para garantir que não haja nenhuma rota de ou para a Internet.

AWS oferece muitos serviços que podem ajudá-lo a testar e identificar a acessibilidade pública. Por exemplo, o Reachability Analyzer é uma ferramenta de análise de configuração que ajuda você a testar a conectividade entre os recursos de origem e destino em seu. VPCs Além disso, o Network Access Analyzer pode ajudá-lo a identificar o acesso não intencional à rede aos recursos.

Para obter mais informações, consulte os seguintes recursos:

Crie camadas de rede no AWS Well-Architected Framework
Documentação do Reachability Analyzer
Documentação do Network Access Analyzer
Crie uma sub-rede na documentação da Amazon Virtual Private Cloud (Amazon VPC)

Restrinja o tráfego de entrada somente às portas autorizadas

O acesso irrestrito, como o tráfego do endereço IP de 0.0.0.0/0 origem, aumenta o risco de atividades maliciosas, como invasões, ataques ( denial-of-serviceDoS) e perda de dados. Os grupos de segurança fornecem filtragem com estado do tráfego de entrada e saída da rede para os recursos. AWS Nenhum grupo de segurança deve permitir acesso irrestrito a portas conhecidas, como SSH e Windows protocolo de desktop remoto (RDP). Para tráfego de entrada, em seus grupos de segurança, permita somente conexões TCP ou UDP em portas autorizadas. Para se conectar às instâncias do Amazon Elastic Compute Cloud (Amazon EC2), use o Session Manager ou o Run Command em vez do acesso direto por SSH ou RDP.

Para obter mais informações, consulte os seguintes recursos:

Trabalhe com grupos de segurança na EC2 documentação da Amazon
Controle o tráfego para seus AWS recursos usando grupos de segurança na documentação da Amazon VPC

Bloquear o acesso público aos documentos do Systems Manager

A menos que seu caso de uso exija que o compartilhamento público seja ativado, as AWS Systems Manager melhores práticas recomendam que você bloqueie o compartilhamento público de documentos do Systems Manager. O compartilhamento público pode fornecer acesso não intencional aos documentos. Um documento público do Systems Manager pode expor informações valiosas e confidenciais sobre sua conta, recursos e processos internos.

Para obter mais informações, consulte os seguintes recursos:

Melhores práticas para documentos compartilhados do Systems Manager na documentação do Systems Manager
Modificar permissões para um documento compartilhado do Systems Manager na documentação do Systems Manager

Bloqueie o acesso público às funções do Lambda

O AWS Lambda é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. As funções Lambda não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional ao código da função.

Recomendamos que você configure políticas baseadas em recursos para funções do Lambda para negar acesso de fora da sua conta. Você pode fazer isso removendo as permissões ou adicionando a AWS:SourceAccount condição à declaração que permite o acesso. Você pode atualizar políticas baseadas em recursos para funções do Lambda por meio da API Lambda ou (). AWS Command Line Interface AWS CLI

Também recomendamos que você habilite a função [Lambda.1]. As políticas da função Lambda devem proibir o controle de acesso público em. AWS Security Hub Esse controle valida que as políticas baseadas em recursos para funções do Lambda proíbem o acesso público.

Para obter mais informações, consulte os seguintes recursos:

AWS Lambda controles na documentação do Security Hub
Usando políticas baseadas em recursos para o Lambda na documentação do Lambda
Recursos e condições para ações do Lambda na documentação do Lambda

Restrinja o tráfego de entrada e saída no grupo de segurança padrão

Se você não associar um grupo de segurança personalizado ao provisionar um AWS recurso, o recurso será associado ao grupo de segurança padrão da VPC. As regras padrão para esse grupo de segurança permitem todo o tráfego de entrada de todos os recursos atribuídos a esse grupo de segurança e permitem todo o tráfego de saída IPv4 e IPv6 de saída. Isso pode permitir tráfego não intencional para o recurso.

AWS recomenda que você não use o grupo de segurança padrão. Em vez disso, crie grupos de segurança personalizados para recursos específicos ou grupos de recursos.

Como o grupo de segurança padrão não pode ser excluído, recomendamos que você altere as regras do grupo de segurança padrão para restringir o tráfego de entrada e saída. Ao configurar as regras do grupo de segurança, siga o princípio do menor privilégio.

Também recomendamos que você ative o [EC2.2] Os grupos de segurança padrão da VPC não devem permitir o controle de tráfego de entrada ou saída no Security Hub. Esse controle valida que o grupo de segurança padrão de uma VPC nega tráfego de entrada e saída.

Para obter mais informações, consulte os seguintes recursos:

Controle o tráfego para seus AWS recursos usando grupos de segurança na documentação da Amazon VPC
Grupos de segurança padrão para você VPCs na documentação da Amazon VPC
EC2Controles da Amazon na documentação do Security Hub

Verifique se há vulnerabilidades de software e exposição não intencional na rede

Recomendamos que você habilite o Amazon Inspector em todas as suas contas. O Amazon Inspector é um serviço de gerenciamento de vulnerabilidades que verifica continuamente suas EC2 instâncias da Amazon, imagens de contêineres do Amazon Elastic Container Registry (Amazon ECR) e funções Lambda em busca de vulnerabilidades de software e exposição não intencional na rede. Ele também oferece suporte à inspeção profunda das EC2 instâncias da Amazon. Quando o Amazon Inspector identifica uma vulnerabilidade ou um caminho de rede aberto, ele produz uma descoberta que você pode investigar. Se o Amazon Inspector e o Security Hub estiverem configurados em sua conta, o Amazon Inspector enviará automaticamente as descobertas de segurança ao Security Hub para gerenciamento centralizado.

Para obter mais informações, consulte os seguintes recursos:

Digitalizando recursos com o Amazon Inspector na documentação do Amazon Inspector
Inspeção profunda do Amazon Inspector para a Amazon EC2 na documentação do Amazon Inspector
Digitalize EC2 AMIs usando o Amazon Inspector no Blog de Segurança AWS
Construindo um programa escalável de gerenciamento de vulnerabilidades AWS na Orientação AWS Prescritiva
Automatize a proteção de rede no AWS Well-Architected Framework
Automatize a proteção computacional no AWS Well-Architected Framework

Configurar AWS WAF

AWS WAFé um firewall de aplicativo web que ajuda você a monitorar e bloquear solicitações HTTP ou HTTPS que são encaminhadas para seus recursos protegidos de aplicativos web, como Amazon API Gateway APIs, CloudFront distribuições da Amazon ou Application Load Balancers. Com base nos critérios que você especifica, o serviço responde às solicitações com o conteúdo solicitado, com um código de status HTTP 403 (Proibido) ou com uma resposta personalizada. AWS WAF pode ajudar a proteger aplicativos da Web ou APIs contra explorações comuns da Web que podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos. Considere configurar AWS WAF Contas da AWS e usar uma combinação de regras AWS gerenciadas, regras personalizadas e integrações de parceiros para ajudar a proteger seus aplicativos contra ataques na camada de aplicativos (camada 7).

Para obter mais informações, consulte os seguintes recursos:

Introdução AWS WAF na AWS WAF documentação
AWS WAF parceiros de entrega no AWS site
Automações de segurança para AWS WAF a Biblioteca de AWS Soluções
Implemente inspeção e proteção no AWS Well-Architected Framework

Configure proteções avançadas contra ataques DDo S

AWS Shieldfornece proteções contra ataques distribuídos de negação de serviço (DDoS) para AWS recursos nas camadas de rede e transporte (camadas 3 e 4) e na camada de aplicação (camada 7). Este serviço está disponível em duas opções: AWS Shield Standard AWS Shield Advanced e. O Shield Standard protege automaticamente AWS os recursos suportados, sem custo adicional.

Recomendamos que você assine o Shield Advanced, que fornece proteção expandida contra ataques DDo S para recursos protegidos. As proteções que você recebe do Shield Advanced variam de acordo com suas opções de arquitetura e configuração. Considere a implementação das proteções do Shield Advanced para aplicativos em que você precisa de qualquer um dos seguintes:

Disponibilidade garantida para os usuários do aplicativo.
Acesso rápido a especialistas em mitigação de DDo S se o aplicativo for afetado por um ataque DDo S.
Conscientização da AWS de que o aplicativo pode ser afetado por um ataque DDo S e notificação de ataques da AWS e escalonamento para suas equipes de segurança ou operações.
Previsibilidade em seus custos de nuvem, inclusive quando um ataque DDo S afeta seu uso de. Serviços da AWS

Para obter mais informações, consulte os seguintes recursos:

AWS Shield Advanced visão geral na documentação do Shield
AWS Shield Advanced recursos protegidos na documentação do Shield
AWS Shield Advanced capacidades e opções na documentação do Shield
Respondendo aos eventos DDo S na documentação do Shield
Implemente inspeção e proteção no AWS Well-Architected Framework

Use uma defense-in-depth abordagem para controlar o tráfego de rede

AWS Network Firewall é um serviço gerenciado e estável de firewall de rede e detecção e prevenção de intrusões para nuvens privadas virtuais (VPCs) no. Nuvem AWS Ele ajuda você a implantar proteções de rede essenciais no perímetro da VPC. Isso inclui filtrar o tráfego que entra e vem de um gateway de Internet, gateway NAT ou por VPN ou. AWS Direct Connect O Firewall de Rede inclui recursos que ajudam a proteger contra ameaças comuns à rede. O firewall com estado no Firewall de Rede pode incorporar o contexto dos fluxos de tráfego, como conexões e protocolos, para aplicar políticas.

Para obter mais informações, consulte os seguintes recursos:

AWS Network Firewall documentação
Controle o tráfego em todas as camadas no AWS Well-Architected Framework

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Controles de registro e monitoramento

Controles de dados