Fundamentos de segurança

Influencie o future da Arquitetura de Referência deAWS Segurança (AWSSRA) respondendo a uma breve pesquisa.

A arquitetura de referência de segurança da AWS se alinha a três fundamentos de segurança da AWS: o AWS Cloud Adoption Framework (AWS CAF), o AWS Well-Architected e o AWS Shared Responsibility Model.

AWS Professional Services da AWS criaram o AWS CAF para ajudar as empresas a projetar e seguir um caminho acelerado para a adoção bem-sucedida da nuvem. A orientação e as melhores práticas fornecidas pela estrutura ajudam você a criar uma abordagem abrangente da computação em nuvem em sua empresa e em todo o ciclo de vida de TI. O AWS CAF organiza a orientação em seis áreas de foco, chamadas de perspectivas. Cada perspectiva abrange responsabilidades distintas de propriedade ou gerenciadas por partes interessadas funcionalmente relacionadas. Em geral, as perspectivas de negócios, pessoas e governança se concentram nas capacidades de negócios; enquanto as perspectivas de plataforma, segurança e operações se concentram nos recursos técnicos.

• A perspectiva de segurança do AWS CAF ajuda você a estruturar a seleção e a implementação de controles em sua empresa. Seguir as recomendações atuais da AWS no pilar de segurança pode ajudá-lo a atender aos seus requisitos regulatórios e comerciais. 

O AWS Well-Architected ajuda os arquitetos de nuvem a criar uma infraestrutura segura, de alto desempenho, resiliente e eficiente para seus aplicativos e cargas de trabalho. A estrutura é baseada em seis pilares — excelência operacional, segurança, confiabilidade, eficiência de desempenho, otimização de custos e sustentabilidade — e fornece uma abordagem consistente para clientes e parceiros da AWS avaliarem arquiteturas e implementarem projetos que podem ser escalados ao longo do tempo. Acreditamos que ter cargas de trabalho bem arquitetadas aumenta muito a probabilidade de sucesso nos negócios.

• O pilar de segurança Well-Architected descreve como aproveitar as tecnologias de nuvem para ajudar a proteger dados, sistemas e ativos de uma forma que possa melhorar sua postura de segurança. Isso ajudará você a atender aos seus requisitos comerciais e regulatórios seguindo as recomendações atuais da AWS. Há outras áreas de foco do Well-Architected Framework que fornecem mais contexto para domínios específicos, como governança, sem servidor, IA/ML e jogos. Elas são conhecidas como lentes AWS Well-Architected. 

A segurança e a conformidade são uma responsabilidade compartilhada entre a AWS e o cliente. Esse modelo compartilhado pode ajudar a aliviar sua carga operacional, pois a AWS opera, gerencia e controla os componentes do sistema operacional hospedeiro e da camada de virtualização até a segurança física das instalações nas quais o serviço opera. Por exemplo, você assume a responsabilidade e o gerenciamento do sistema operacional convidado (incluindo atualizações e patches de segurança), do software do aplicativo, da criptografia de dados do lado do servidor, das tabelas de rotas de tráfego da rede e da configuração do firewall do grupo de segurança fornecido pela AWS. Para Serviços abstratos, como o Amazon Simple Storage Service (Amazon S3) e o Amazon DynamoDB, a AWS opera a camada de infraestrutura, o sistema operacional e plataformas, e é possível acessar os endpoints para armazenar e recuperar dados. Você é responsável por gerenciar seus dados (incluindo opções de criptografia), classificar seus ativos e usar as ferramentas do AWS Identity and Access Management (IAM) para aplicar as permissões apropriadas. Esse modelo compartilhado geralmente é descrito dizendo que a AWS é responsável pela segurança da nuvem (ou seja, por proteger a infraestrutura que executa todos os serviços oferecidos na nuvem da AWS) e você é responsável pela segurança na nuvem (conforme determinado pelos serviços de nuvem da AWS que você seleciona). 

Dentro da orientação fornecida por esses documentos fundamentais, dois conjuntos de conceitos são particularmente relevantes para o design e a compreensão do AWS SRA: recursos de segurança e princípios de design de segurança.

Recursos de segurança

A perspectiva de segurança do AWS CAF descreve nove recursos que ajudam você a alcançar a confidencialidade, integridade e disponibilidade de seus dados e cargas de trabalho na nuvem.

• Governança de segurança para desenvolver e comunicar funções, responsabilidades, políticas, processos e procedimentos de segurança em todo o ambiente da AWS da sua organização.

• Garantia de segurança para monitorar, avaliar, gerenciar e melhorar a eficácia de seus programas de segurança e privacidade.

• Gerenciamento de identidade e acesso para gerenciar identidades e permissões em grande escala.

• Detecção de ameaças para entender e identificar possíveis configurações incorretas de segurança, ameaças ou comportamentos inesperados.

• Gerenciamento de vulnerabilidades para identificar, classificar, remediar e mitigar continuamente as vulnerabilidades de segurança.

• Proteção de infraestrutura para ajudar a validar se os sistemas e serviços em suas cargas de trabalho estão protegidos.

• Proteção de dados para manter a visibilidade e o controle sobre os dados e como eles são acessados e usados em sua organização.

• Segurança de aplicativos para ajudar a detectar e solucionar vulnerabilidades de segurança durante o processo de desenvolvimento de software.

• Resposta a incidentes para reduzir possíveis danos, respondendo de forma eficaz aos incidentes de segurança.

Princípios de design de segurança

O pilar de segurança do Well-Architected Framework captura um conjunto de sete princípios de design que transformam áreas específicas de segurança em orientações práticas que podem ajudá-lo a fortalecer a segurança de sua carga de trabalho. Onde os recursos de segurança estruturam a estratégia geral de segurança, esses princípios Well-Architected descrevem o que você pode começar a fazer. Eles são refletidos de forma muito deliberada neste SRA da AWS e consistem no seguinte:

• Implemente uma base de identidade sólida — implemente o princípio do menor privilégio e imponha a separação de funções com a autorização apropriada para cada interação com seus recursos da AWS. Centralize o gerenciamento de identidades e tente eliminar a dependência de credenciais estáticas de longo prazo.

• Habilite a rastreabilidade — monitore, gere alertas e audite ações e mudanças em seu ambiente em tempo real. Integre a coleta de registros e métricas aos sistemas para investigar e agir automaticamente.

• Aplique segurança em todas as camadas — aplique umadefense-in-depth abordagem com vários controles de segurança. Aplique vários tipos de controles (por exemplo, controles preventivos e de detecção) em todas as camadas, incluindo borda da rede, nuvem privada virtual (VPC), balanceamento de carga, serviços de instância e computação, sistema operacional, configuração de aplicativos e código.

• Automatize as melhores práticas de segurança — Mecanismos de segurança automatizados baseados em software melhoram sua capacidade de escalar com segurança de forma mais rápida e econômica. Crie arquiteturas seguras e implemente controles que são definidos e gerenciados como código em modelos controlados por versão.

• Proteja os dados em trânsito e em repouso — Classifique seus dados em níveis de sensibilidade e use mecanismos como criptografia, tokenização e controle de acesso, quando apropriado.

• Mantenha as pessoas longe dos dados — use mecanismos e ferramentas para reduzir ou eliminar a necessidade de acessar diretamente ou processar dados manualmente. Isso reduz o risco de manipulação ou modificação incorreta e de erro humano ao lidar com dados confidenciais.

• Prepare-se para eventos de segurança — Prepare-se para um incidente com políticas e processos de gerenciamento e investigação de incidentes alinhados aos requisitos da sua organização. Execute simulações de resposta a incidentes e use ferramentas com automação para aumentar sua velocidade de detecção, investigação e recuperação.