Fundamentos de segurança

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWSSRA) respondendo a uma breve pesquisa.

A arquitetura de referência de segurança da AWS se alinha a três bases de segurança da AWS: o AWS Cloud Adoption Framework (AWS CAF), o AWS Well-Architected e o AWS Shared Responsibility Model.

O AWS Professional Services criou o AWS CAF para ajudar as empresas a projetar e seguir um caminho acelerado para a adoção bem-sucedida da nuvem. A orientação e as melhores práticas fornecidas pela estrutura ajudam você a criar uma abordagem abrangente para a computação em nuvem em toda a empresa e em todo o ciclo de vida de TI. O AWS CAF organiza a orientação em seis áreas de enfoque, chamadas de perspectivas. Cada perspectiva abrange responsabilidades distintas pertencentes ou gerenciadas por partes interessadas funcionalmente relacionadas. Em geral, as perspectivas de negócios, pessoas e governança se concentram nas capacidades de negócios; enquanto as perspectivas de plataforma, segurança e operações se concentram nas capacidades técnicas.

• A perspectiva de segurança do AWS CAF ajuda você a estruturar a seleção e a implementação de controles em toda a sua empresa. Seguir as recomendações atuais da AWS no pilar de segurança pode ajudar você a cumprir seus requisitos comerciais e regulatórios. 

O AWS Well-Architected ajuda arquitetos de nuvem a criar uma infraestrutura segura, de alto desempenho, resiliente e eficiente para seus aplicativos e cargas de trabalho. A estrutura é baseada em seis pilares — excelência operacional, segurança, confiabilidade, eficiência de desempenho, otimização de custos e sustentabilidade — e fornece uma abordagem consistente para clientes e parceiros da AWS avaliarem arquiteturas e implementarem projetos que possam ser escalados ao longo do tempo. Acreditamos que ter cargas de trabalho bem arquitetadas aumenta muito a probabilidade de sucesso nos negócios.

• O pilar de segurança Well-Architected descreve como aproveitar as tecnologias de nuvem para ajudar a proteger dados, sistemas e ativos de uma forma que possa melhorar sua postura de segurança. Isso ajudará você a cumprir seus requisitos comerciais e regulatórios seguindo as recomendações atuais da AWS. Há outras áreas de foco do Well-Architected Framework que fornecem mais contexto para domínios específicos, como governança, sem servidor, IA/ML e jogos. Elas são conhecidas como lentes AWS Well-Architected. 

A segurança e a conformidade são uma responsabilidade compartilhada entre a AWS e o cliente. Esse modelo compartilhado pode ajudar a aliviar sua carga operacional à medida que a AWS opera, gerencia e controla os componentes do sistema operacional hospedeiro e da camada de virtualização até a segurança física das instalações nas quais o serviço opera. Por exemplo, você assume a responsabilidade e o gerenciamento do sistema operacional convidado (incluindo atualizações e patches de segurança), do software do aplicativo, da criptografia de dados do lado do servidor, das tabelas de rotas de tráfego de rede e da configuração do firewall do grupo de segurança fornecido pela AWS. Para serviços abstratos, como o Amazon Simple Storage Service (Amazon S3) e o Amazon DynamoDB, a AWS opera a camada de infraestrutura, o sistema operacional e as plataformas, e você acessa os endpoints para armazenar e recuperar dados. Você é responsável por gerenciar seus dados (incluindo opções de criptografia), classificar seus ativos e usar as ferramentas do AWS Identity and Access Management (IAM) para aplicar as permissões apropriadas. Esse modelo compartilhado geralmente é descrito dizendo que a AWS é responsável pela segurança da nuvem (ou seja, por proteger a infraestrutura que executa todos os serviços oferecidos na nuvem da AWS), e você é responsável pela segurança na nuvem (conforme determinado pelos serviços de nuvem da AWS que você selecionar). 

Dentro da orientação fornecida por esses documentos fundamentais, dois conjuntos de conceitos são particularmente relevantes para o design e a compreensão do AWS SRA: recursos de segurança e princípios de design de segurança.

Capacidades de segurança

A perspectiva de segurança do AWS CAF descreve nove recursos que ajudam você a alcançar a confidencialidade, integridade e disponibilidade de seus dados e cargas de trabalho na nuvem.

• Governança de segurança para desenvolver e comunicar funções, responsabilidades, políticas, processos e procedimentos de segurança em todo o ambiente AWS da sua organização.

• Garantia de segurança para monitorar, avaliar, gerenciar e melhorar a eficácia de seus programas de segurança e privacidade.

• Gerenciamento de identidade e acesso para gerenciar identidades e permissões em grande escala.

• Detecção de ameaças para entender e identificar possíveis configurações incorretas de segurança, ameaças ou comportamentos inesperados.

• Gerenciamento de vulnerabilidades para identificar, classificar, corrigir e mitigar continuamente as vulnerabilidades de segurança.

• Proteção de infraestrutura para ajudar a validar se os sistemas e serviços em suas cargas de trabalho estão protegidos.

• Proteção de dados para manter a visibilidade e o controle sobre os dados e como eles são acessados e usados em sua organização.

• Segurança de aplicativos para ajudar a detectar e solucionar vulnerabilidades de segurança durante o processo de desenvolvimento de software.

• Resposta a incidentes para reduzir possíveis danos respondendo de forma eficaz aos incidentes de segurança.

Princípios de design de segurança

O pilar de segurança do Well-Architected Framework captura um conjunto de sete princípios de design que transformam áreas de segurança específicas em orientações práticas que podem ajudá-lo a fortalecer a segurança de sua carga de trabalho. Onde os recursos de segurança estruturam a estratégia geral de segurança, esses princípios do Well-Architected descrevem o que você pode começar a fazer. Eles são refletidos de forma muito deliberada neste AWS SRA e consistem no seguinte:

• Implemente uma base sólida de identidade — Implemente o princípio do privilégio mínimo e imponha a separação de tarefas com a autorização apropriada para cada interação com seus recursos da AWS. Centralize o gerenciamento de identidades e tente eliminar a dependência de credenciais estáticas de longo prazo.

• Ative a rastreabilidade — monitore, gere alertas e audite ações e alterações em seu ambiente em tempo real. Integre a coleta de registros e métricas aos sistemas para investigar e agir automaticamente.

• Aplique segurança em todas as camadas — aplique uma defense-in-depth abordagem com vários controles de segurança. Aplique vários tipos de controles (por exemplo, controles preventivos e de detecção) em todas as camadas, incluindo borda da rede, nuvem privada virtual (VPC), balanceamento de carga, serviços de instância e computação, sistema operacional, configuração de aplicativos e código.

• Automatize as melhores práticas de segurança — Mecanismos de segurança automatizados e baseados em software melhoram sua capacidade de escalar com segurança de forma mais rápida e econômica. Crie arquiteturas seguras e implemente controles definidos e gerenciados como código em modelos com controle de versão.

• Proteja os dados em trânsito e em repouso — classifique seus dados em níveis de sensibilidade e use mecanismos como criptografia, tokenização e controle de acesso, quando apropriado.

• Mantenha as pessoas afastadas dos dados — use mecanismos e ferramentas para reduzir ou eliminar a necessidade de acessar diretamente ou processar dados manualmente. Isso reduz o risco de manuseio incorreto ou modificação e erro humano ao lidar com dados confidenciais.

• Prepare-se para eventos de segurança — Prepare-se para um incidente com políticas e processos de gestão e investigação de incidentes alinhados aos requisitos da sua organização. Execute simulações de resposta a incidentes e use ferramentas com automação para aumentar sua velocidade de detecção, investigação e recuperação.