Aplique serviços de segurança em seuAWSorganização - AWSOrientação da prescrição

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Aplique serviços de segurança em seuAWSorganização

As categorias de segurança que discutimos anteriormente noFundamentos de segurançasão organizadas funcionalmente, para representar áreas de foco para sua estratégia de segurança na nuvem. Outra maneira de agrupar serviços é pelo escopo de controle pretendido. Essa perspectiva se concentra em onde configurar e gerenciarAWSserviços de segurança para implantar camadas apropriadas de defesa noAWS Organizationshierarquia. Por exemplo, alguns serviços e recursos são mais usados para implementar controles para o seuAWSorganização. Outros são melhor usados para proteger recursos individuais dentro de umAWSconta. Compreender o escopo de influência de cada serviço ajuda você a adotar um defense-in-depth Estratégia. Pensar nos serviços dessa maneira ajuda a garantir que suas camadas de segurança se complementem adequadamente. Com essa perspectiva, você pode responder a perguntas de cima para baixo (por exemplo, “Quais serviços aplicam controles de segurança em todo o meuAWSorganização?”) e de baixo para cima (por exemplo, “Quais serviços aplicam controles a esse recurso específico?”). Nesta seção, percorremos os elementos de umAWSambiente — organização, UO, conta, rede, principal, recurso — e identifique os serviços e recursos de segurança associados. Discussão adicional sobre os serviços individuais dentro de cadaAWSA conta segue na próxima seção.

Contas múltiplas ou em toda a organização

No nível superior, existemAWSserviços e recursos projetados para aplicar recursos de governança e controle ou guardrails em várias contas em umAWSorganização (incluindo toda a organização ou OUs específicas). Políticas de controle de serviço (SCPs) são um bom exemplo de um recurso do IAM que é projetado como umAWSGuardrail para toda a organização. Outro exemplo éAWS CloudTrail, que suporta umtrilha da organizaçãoque registrará todos os eventos para todosAWScontas em queAWSorganização. Essa trilha abrangente é distinta das trilhas individuais que podem ser criadas em cada conta. Um terceiro exemplo éAWS Firewall Manager, que você pode usar para configurar e aplicarAWS WAFregras,AWS WAFRegras clássicas,AWS Shield Advancedproteções, grupos de segurança da Amazon Virtual Private Cloud (Amazon VPC)AWSPolíticas de Network Firewall e políticas de firewall DNS do resolvedor do Amazon Route 53 em seuAWSorganização.

Alguns serviços de segurança (marcados com um asterisco * no diagrama a seguir) operam com um escopo duplo: em toda a organização e com foco na conta. Esses serviços monitoram ou controlam fundamentalmente a segurança em uma conta individual. No entanto, algumas configurações, e muitas vezes os resultados de várias contas, podem ser agregadas a uma conta de toda a organização para visibilidade e gerenciamento centralizados. Por exemplo, um SCP se aplica a uma OU inteira ouAWSorganização por padrão. Em contraste, a Amazon GuardDuty pode ser configurado e gerenciado tanto no nível da conta (onde as descobertas individuais são geradas) quanto noAWSnível da organização (por meio do recurso de administrador delegado) em que as descobertas podem ser gerenciadas de forma agregada.


            Organization-wide and account-focused security services

AWScontas

Dentro das OUs, existem serviços que protegem vários tipos de elementos dentro de umAWSconta. O diagrama a seguir ilustra esses serviços. Por exemplo,AWS Secrets Managermuitas vezes é gerenciado e protege recursos para uma única conta. Amazônia GuardDuty monitora recursos e atividades associadas a uma única conta. Como mencionado na seção anterior, alguns desses serviços também podem ser configurados e administrados dentroAWS Organizations, para que eles possam ser gerenciados em várias contas (que nem todas precisam estar na mesmaAWSorganização). Esses serviços (denotados com um asterisco *) também facilitam a agregação de resultados de várias contas e entregá-los a uma única conta. Isso dá às equipes de aplicativos individuais a flexibilidade e a visibilidade para gerenciar necessidades específicas de segurança, além de permitir governança e visibilidade para equipes de segurança centralizadas. Amazônia GuardDuty É um bom exemplo desse serviço. GuardDuty descobertas de várias contas de membro (como todas as contas em umAWSorganização) pode ser coletada, visualizada e gerenciada a partir de uma conta de administrador delegado.


            Security services that protect multiple types of elements within an AWS
              account

Infraestrutura de computação e rede virtual

Porque o acesso à rede é tão crítico na segurança, e a infraestrutura de computação é um componente fundamental de muitosAWScargas de trabalho, existem muitasAWSserviços de segurança e recursos dedicados a esses recursos. Por exemplo, o Amazon Inspector ajuda a verificar a acessibilidade de rede não intencional das instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e se há vulnerabilidades nessas instâncias do EC2. VPC endpoints permitem que você conecte de forma privada sua VPC à suporteAWSServiços e serviços de VPC endpoint baseados emAWS PrivateLinksem exigir serviços adicionais de acesso à rede, como gateways da internet. O diagrama a seguir ilustra os serviços de segurança que se concentram na infraestrutura de rede ou computação.


            Security services that focus on network or compute infrastructure

Diretores e recursos

Os princípios e recursos do IAM são os elementos fundamentais (juntamente com as políticas) do gerenciamento de identidade e acesso emAWS. Um principal do IAM é uma entidade emAWSque pode executar ações e acessar recursos. Um diretor pode ser umAWSUm usuário raiz de conta, um usuário do IAM ou uma função. Um recurso é um objeto que existe dentro de umAWSserviçoServiço do Exemplos incluem uma instância do EC2, um tópico do Amazon Simple Notification Service (Amazon SNS) e um bucket do S3. Você pode associar permissões a um principal para conceder ou restringir as ações do diretor e seu acesso aos recursos. Você também pode associar permissões a um recurso para conceder ou restringir quais entidades podem acessar ou agir sobre esse recurso. As políticas baseadas em identidade do IAM (ou baseadas em recursos) geralmente são usadas para esses respectivos controles de permissão. ORecursos do IAMaprofunda os tipos de políticas do IAM e como elas são usadas.

O diagrama a seguir ilustraAWSserviços de segurança e recursos para diretores de conta.


            AWS security services and features for account principals

O diagrama a seguir ilustra serviços e recursos para recursos da conta.


            AWS security services and features for account resources