Fundamentos de segurança - AWSOrientação da prescrição

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Fundamentos de segurança

OAWSA arquitetura de referência de segurança se alinha a trêsAWSfundações de segurança: oAWSEstrutura de adoção da nuvem (AWSCAF),AWSWell-Architected, e oAWSModelo de responsabilidade compartilhada.

AWSServiços profissionais criadosAWSCAFpara ajudar as empresas a projetar e seguir um caminho acelerado para a adoção bem-sucedida da nuvem. A orientação e as melhores práticas fornecidas pela estrutura ajudam você a criar uma abordagem abrangente para a computação em nuvem em toda a sua empresa e em todo o ciclo de vida de TI. OAWSCAF organiza orientação em seis áreas de foco, chamadasperspectivas. Cada perspectiva abrange responsabilidades distintas de propriedade ou gerenciadas por partes interessadas funcionalmente relacionadas. Em geral, as perspectivas de negócios, pessoas e governança se concentram nos recursos de negócios; enquanto as perspectivas de plataforma, segurança e operações se concentram em recursos técnicos.

  • Operspectiva de segurança doAWSCAFajuda a estruturar a seleção e a implementação de controles em toda a sua empresa. Seguindo a correnteAWSAs recomendações no pilar de segurança podem ajudá-lo a atender aos requisitos regulatórios e comerciais.

AWSWell-Architectedajuda os arquitetos de nuvem a criar uma infraestrutura segura, de alto desempenho, resiliente e eficiente para seus aplicativos e cargas de trabalho. O Framework é baseado em cinco pilares — excelência operacional, segurança, confiabilidade, eficiência de desempenho e otimização de custos — e oferece uma abordagem consistente paraAWSclientes e parceiros para avaliar arquiteturas e implementar projetos que podem ser dimensionados ao longo do tempo. Acreditamos que ter cargas de trabalho bem arquitetadas aumenta muito a probabilidade de sucesso comercial.

  • OPilar de segurança Well-Architecteddescreve como aproveitar as tecnologias de nuvem para proteger dados, sistemas e ativos de forma a melhorar sua postura de segurança. Isso ajudará você a atender aos requisitos regulatórios e comerciais seguindo os requisitos atuaisAWSrecomendações.

Segurança e conformidade são umresponsabilidade compartilhada entreAWSe o cliente. Esse modelo compartilhado pode ajudar a aliviar sua carga operacional comoAWSA AWS opera, gerencia e controla os componentes desde o sistema operacional host e a camada de virtualização até a segurança física das instalações em que o serviço opera. Por exemplo, você assume a responsabilidade e gestão do sistema operacional convidado (inclusive atualizações e patches de segurança), do software do aplicativo, criptografia de dados do lado do servidor, tabelas de rotas de tráfego de rede e a configuração doAWSfirewall de grupo de segurança fornecido. Para serviços abstratos, como o Amazon Simple Storage Service (Amazon S3) e o Amazon DynamoDB,AWSopera a camada de infraestrutura, o sistema operacional e as plataformas, e você acessa os endpoints para armazenar e recuperar dados. Você é responsável por gerenciar seus dados (incluindo opções de criptografia), classificar seus ativos e usarAWS Identity and Access ManagementFerramentas (IAM) para aplicar as permissões apropriadas. Esse modelo compartilhado é frequentemente descrito dizendo queAWSé responsável pela segurançadoa nuvem (ou seja, para proteger a infraestrutura global que executa todos os serviços oferecidos noAWSCloud), e você é responsável pela segurançaema nuvem (conforme determinado peloAWSServiços em nuvem selecionados).

Dentro das orientações fornecidas por essas bases de segurança, dois conjuntos de conceitos são particularmente relevantes para o design e compreensão doAWSSRA: épicos de segurança (também chamados de áreas de segurança) e princípios de design de segurança.

Epicos de segurança

Tanto a perspectiva de segurança doAWSA CAF e o pilar de segurança da Well-Architected descrevem cinco áreas principais de segurança (chamadasépicosouáreas, respectivamente) no qual você pode criar sua segurança na nuvem:

  • Identity and Access Managementforma a espinha dorsal do seuAWSimplantação. Na nuvem, você deve estabelecer uma conta e receber privilégios antes de provisionar ou orquestrar recursos.

  • Detecção (registro e monitoramento)–AWSos serviços fornecem uma grande variedade de dados de registro para ajudá-lo a monitorar suas atividades e alterações em cada serviço.

  • Segurança da infraestrutura— Quando você trata a infraestrutura como código, a infraestrutura de segurança se torna uma carga de trabalho de primeira camada que também deve ser implantada como código.

  • Proteção de dados— Proteger dados importantes é uma parte crítica dos sistemas de informação operacional e de construção, eAWSfornece serviços e recursos que oferecem opções robustas para ajudar a proteger seus dados durante todo o ciclo de vida.

  • Detecção de ameaças e resposta a incidentes— automatizar aspectos de seu processo de gerenciamento de incidentes melhora a confiabilidade, aumenta a velocidade de sua resposta e geralmente cria um ambiente que é mais fácil de avaliar em revisões pós-ação (AARs)

Princípios de design de segurança

O pilar de segurança do Well-Architected Framework captura um conjunto de princípios de design que transformam as cinco áreas de segurança em orientações práticas que podem ajudá-lo a fortalecer sua segurança de carga de trabalho. Onde os épicos de segurança enquadram a estratégia geral de segurança, esses princípios Well-Architected descrevem o que você deve começar a fazer. Eles se refletem muito deliberadamente nissoAWSSRA e consiste no seguinte:

  • Implemente uma base de identidade sólida— Implemente o princípio do menor privilégio e imponha a separação de deveres com autorização apropriada para cada interação com suaAWSrecursos da AWS. Centralize o gerenciamento de identidades e tenha como objetivo eliminar a dependência de credenciais estáticas de longo prazo.

  • Habilitar rastreabilidade— monitore, gere alertas e audite ações e alterações em seu ambiente em tempo real. Integre a coleta de registros e métricas com sistemas para investigar e agir automaticamente.

  • Aplique segurança em todas as camadas— aplique uma abordagem de defesa em profundidade com vários controles de segurança. Aplique vários tipos de controles (por exemplo, controles preventivos e de detetive) a todas as camadas, incluindo borda da rede, nuvem privada virtual (VPC), balanceamento de carga, todas as instâncias e serviços de computação, sistema operacional, configuração de aplicativos e código.

  • Automatize as práticas recomendadas de segurança— Mecanismos de segurança automatizados e baseados em software melhoram sua capacidade de escalar com segurança de forma mais rápida e econômica. Crie arquiteturas seguras e implemente controles definidos e gerenciados como código em modelos controlados por versão.

  • Proteger os dados em trânsito e em repouso— classifique seus dados em níveis de sensibilidade e use mecanismos como criptografia, tokenização e controle de acesso, quando apropriado.

  • Mantenha as pessoas longe dos dados— Use mecanismos e ferramentas para reduzir ou eliminar a necessidade de acessar diretamente ou processar dados manualmente. Isso reduz o risco de manipulação incorreta ou modificação e erro humano ao lidar com dados confidenciais.

  • Preparar-se para eventos de segurança— Prepare-se para um incidente tendo uma política de gerenciamento e investigação de incidentes e processos alinhados aos requisitos de seus negócios. Execute simulações de resposta a incidentes e use ferramentas automatizadas para aumentar sua velocidade de detecção, investigação e recuperação.