OU de segurança - conta do Security Tooling - AWSOrientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

OU de segurança - conta do Security Tooling

O diagrama a seguir ilustra os serviços de segurança da AWS configurados na conta do Security Tooling.


      Serviços de segurança para a conta do Security Tooling

A conta do Security Tooling é dedicada a operar serviços de segurança, monitorar contas da AWS e automatizar alertas e respostas de segurança. Os objetivos de segurança incluem o seguinte:

  • Forneça uma conta dedicada com acesso controlado para gerenciar o acesso às grades de proteção de segurança, monitoramento e resposta.

  • Mantenha a infraestrutura de segurança centralizada apropriada para monitorar os dados das operações de segurança e manter a rastreabilidade. Detecção, investigação e resposta são partes essenciais do ciclo de vida da segurança e podem ser usadas para apoiar um processo de qualidade, uma obrigação legal ou de conformidade e para esforços de identificação e resposta a ameaças.

  • Suporte adicional de um defense-in-depth estratégia da organização, mantendo outra camada de controle sobre a configuração e as operações de segurança apropriadas, como chaves de criptografia e configurações de grupo de segurança. Esta é uma conta em que os operadores de segurança trabalham. Funções de somente leitura/auditoria para visualizar informações em toda a organização da AWS são comuns, enquanto as funções de gravação/modificação são limitadas em número, rigidamente controladas, monitoradas e registradas.

Considerações sobre design
  • A AWS Control Tower nomeia a conta na UO de segurança comoConta de auditoriapor padrão. Você pode renomear a conta durante a configuração do AWS Control Tower.

  • Pode ser apropriado ter mais de uma conta do Security Tooling. Por exemplo, monitorar e responder a eventos de segurança geralmente são atribuídos a uma equipe dedicada. A segurança da rede pode garantir sua própria conta e funções em colaboração com a infraestrutura de nuvem ou a equipe de rede. Essas divisões mantêm o objetivo de separar enclaves de segurança centralizados e enfatizam ainda mais a separação de deveres, o menor privilégio e a simplicidade potencial das atribuições da equipe. Se você estiver usando a AWS Control Tower, ela restringirá a criação de contas adicionais da AWS sob a OU de segurança.

Administrador delegado de serviços de segurança

A conta do Security Tooling serve como a conta de administrador para serviços de segurança gerenciados em uma estrutura de administrador/membro em todas as contas da AWS. Conforme mencionado anteriormente, isso é tratado por meio da funcionalidade de administrador delegado do AWS Organizations. Serviços no AWS SRA queAtualmente oferece suporte ao administrador delegadoincluem o AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS IAM Access Analyzer, Amazon Macie, AWS Security Hub, AWS Detective, AWS Audit Manager, Amazon Inspector e AWS Systems Manager. Sua equipe de segurança gerencia os recursos de segurança desses serviços e monitora quaisquer eventos ou descobertas específicas de segurança.

O IAM Identity Center oferece suporte à administração delegada a uma conta de membro. O AWS SRA usa a conta do Shared Services como a conta de administrador delegada para o IAM Identity Center, conforme explicado posteriormente naIAM Identity Centerda conta do Shared Services.

AWS Security Hub

O AWS Security Hub fornece uma visão abrangente do estado de sua segurança na AWS e ajuda você a verificar o ambiente de acordo com os padrões e as melhores práticas do setor de segurança. O Security Hub coleta dados de segurança de todos os serviços integrados da AWS, produtos de terceiros suportados e outros produtos de segurança personalizados que você pode usar. Ele ajuda você a monitorar e analisar continuamente suas tendências de segurança e identificar os problemas de segurança de maior prioridade.

O Security Hub integra-se ao AWS Organizations para simplificar o gerenciamento da postura de segurança em todas as suas contas atuais e future em sua organização da AWS. A conta de administrador delegada do Security Hub (neste caso, o Security Tooling) tem o Security Hub habilitado automaticamente e pode escolher as contas da AWS para habilitar como contas de membro. A conta de administrador delegada do Security Hub também pode visualizar descobertas, visualizar insights e controlar detalhes de todas as contas de membros. Além disso, você pode designar uma Região de agregação dentro da conta de administrador delegada para centralizar suas descobertas em suas contas e suas Regiões vinculadas. Suas descobertas são sincronizadas contínua e bidirecionalmente entre a região agregadora e todas as outras regiões.

O Security Hub oferece suporte a integrações com vários serviços da AWS. Amazônia GuardDuty, AWS Config, Amazon Macie, AWS IAM Access Analyzer, AWS Firewall Manager, Amazon Inspector e AWS Systems Manager Patch Manager podem alimentar descobertas para o Security Hub. Além disso, você pode mudar do Security Hub para o Amazon Detective para investigar uma Amazon GuardDuty descoberta. O Security Hub recomenda alinhar as contas de administrador delegadas para esses serviços (onde eles existem) para uma integração mais suave. Por exemplo, se você não alinhar as contas de administrador entre o Detective e o Security Hub, a mudança das descobertas para o Detective não funcionará. 

Você pode usar o Security Hub com oNetwork Access Analyzerrecurso do Amazon VPC para ajudar a monitorar continuamente a conformidade da sua configuração de rede da AWS. Isso o ajudará a bloquear o acesso indesejado à rede e a impedir que seus recursos críticos sejam acessados externamente. Para obter mais detalhes sobre arquitetura e implementação, consulte a postagem do blog da AWSVerificação contínua da conformidade da rede usando o Amazon VPC Network Access Analyzer e o AWS Security Hub

Além do monitoramento, o Security Hub oferece suporte à integração com a Amazon EventBridge para automatizar a correção de descobertas específicas. Você pode definir ações personalizadas realizadas quando uma descoberta é recebida. Por exemplo, é possível configurar ações personalizadas para enviar as descobertas a um sistema de criação de tíquetes ou a um sistema automatizado de correção. Mais discussões e exemplos estão disponíveis nessas duas postagens do blog da AWS: Resposta e remediação automatizadas com o AWS Security HubeComo implantar a solução da AWS para resposta e remediação automatizadas do Security Hub

O Security Hub usa regras do AWS Config vinculadas a serviços para realizar a maioria de suas verificações de segurança para controles. Para oferecer suporte a esses controles,O AWS Config deve estar habilitado em todas as contas— incluindo a conta do administrador (ou administrador delegado) e as contas dos membros — em cada região da AWS em que o Security Hub está habilitado. 

Considerações sobre design
  • Além das regras específicas e gerenciadas do AWS Config que o Security Hub usa, você pode usar a automação para importar outras regras do AWS Config para o Security Hub para que suas regras do AWS Config apareçam junto com suas outras descobertas de segurança. Isso permite que você use mais facilmente as regras do AWS Config para ajudar a garantir a conformidade contínua em todas as suas contas da AWS. Para obter mais informações, consulte a postagem do blogComo importar avaliações de regras do AWS Config como descobertas no Security Hub

  • Se um padrão de conformidade, como PCI-DSS, já estiver presente no Security Hub, o serviço do Security Hub totalmente gerenciado será a maneira mais fácil de operacionalizá-lo. No entanto, se você quiser montar seu próprio padrão de conformidade ou segurança, que pode incluir verificações de segurança, operacionais ou de otimização de custos, os pacotes de conformidade do AWS Config oferecem uma maneira simplificada de fazer essa personalização. (Para obter mais informações sobre o AWS Config e os pacotes de conformidade, consulte o.AWS Configseção.)

DA AWS GuardDuty

Amazônia GuardDuty O é um serviço de detecção de ameaças que monitora continuamente atividades mal-intencionadas e comportamentos não autorizados para proteger as contas da AWS e cargas de trabalho. Você deve sempre capturar e armazenar logs apropriados para fins de monitoramento e auditoria, mas a Amazon GuardDutyextrai fluxos independentes de dados diretamente da AWS CloudTrail, logs de fluxo da Amazon VPC e logs de DNS da AWS. Você não precisa gerenciar as políticas de bucket do Amazon S3 nem modificar a maneira como você coleta e armazena seus logs. GuardDuty as permissões são gerenciadas como funções vinculadas ao serviço que você pode revogar a qualquer momento desativando GuardDuty. Isso facilita a ativação do serviço sem configuração complexa e elimina o risco de que uma modificação de permissão do IAM ou uma alteração na política de bucket do S3 afete a operação do serviço.

GuardDuty está habilitado em todas as contas por meio do AWS Organizations, e todas as descobertas podem ser visualizadas e acionáveis pelas equipes de segurança apropriadas no GuardDuty conta de administrador delegada (neste caso, a conta do Security Tooling). 

Quando o AWS Security Hub está habilitado, GuardDuty descobertas fluem automaticamente para o Security Hub. Quando o Amazon Detective está habilitado, GuardDuty as descobertas são incluídas no processo de ingestão de registros do Detective. GuardDuty e Detective suportam fluxos de trabalho de usuários entre serviços, onde GuardDutyO fornece links do console que o redirecionam de uma descoberta selecionada para uma página de Detective que contém um conjunto selecionado de visualizações para investigar essa descoberta. Por exemplo, você também pode integrar GuardDuty com a Amazon EventBridge automatizar as práticas recomendadas do GuardDuty, por exemplo,automatizando respostas a novos GuardDuty descobertas.

AWS Config

O AWS Config é um serviço que permite avaliar, auditar e avaliar as configurações de recursos da AWS suportados em suas contas da AWS. O AWS Config monitora e registra continuamente as configurações de recursos da AWS e avalia automaticamente as configurações registradas em relação às configurações desejadas. Você também pode integrar o AWS Config a outros serviços para fazer o trabalho pesado em pipelines automatizados de auditoria e monitoramento. Por exemplo, o AWS Config pode monitorar alterações em segredos individuais no AWS Secrets Manager. 

O AWS Config deve ser habilitado para cada conta membro na organização da AWS e para cada região da AWS que contenha recursos que você deseja proteger. Você pode gerenciar centralmente as regras do AWS Config (por exemplo, criar, atualizar e excluir) em todas as contas na organização da AWS. Na conta do administrador delegado do AWS Config., é possível implantar um conjunto comum de regras do AWS Config em todas as contas e especificar contas em que regras do AWS Config não devem ser criadas. A conta do administrador delegado do AWS Config também pode agregar dados de configuração e compatibilidade de recursos de todas as contas-membro para fornecer uma visualização única. Usar as APIs da conta do administrador delegado para impor governança, garantindo que as regras do AWS Config subjacentes não possam ser modificadas por contas-membro da organização da AWS.

UMApacote de conformidadeO é uma coleção de regras do AWS Config e ações de correção que podem ser implantadas como uma única entidade em uma conta e em uma região, ou em uma organização no AWS Organizations. Os pacotes de conformidade são criados usando um modelo YAML criado por você que contenha a lista de regras gerenciadas ou personalizadas do AWS Config e as ações de correção. Para começar a avaliar seu ambiente da AWS, use um dosmodelos de pacote de conformidade de amostra

O AWS Config integra-se ao AWS Security Hub para enviar os resultados das avaliações de regras gerenciadas e personalizadas do AWS Config como descobertas no Security Hub. 

As regras do AWS Config podem ser usadas em conjunto com o AWS Systems Manager para corrigir com eficácia recursos não compatíveis. Você usa o AWS Systems Manager Explorer para reunir o status de conformidade das regras do AWS Config em suas contas da AWS em todas as regiões da AWS e, em seguida, usarDocumentos de automação do Systems Manager (runbooks)para resolver suas regras não compatíveis do AWS Config. Para obter detalhes sobre a implementação, consulte a publicação doCorrija regras não compatíveis do AWS Config com runbooks do AWS Systems Manager Automation

Se você usar a AWS Control Tower para gerenciar sua organização da AWS, ela será implantadaum conjunto de regras do AWS Config como barreiras de detetive(categorizado como obrigatório, altamente recomendável ou eletivo). Essas proteções ajudam você a controlar seus recursos e monitorar a conformidade entre as contas na sua organização da AWS. Essas regras do AWS Config usarão automaticamente umaws-control-towertag que tem um valor demanaged-by-control-tower.

Consideração sobre design
  • O AWS Config transmite notificações de alteração de configuração e conformidade para a Amazon EventBridge. Isso significa que você pode usar os recursos de filtragem nativos do EventBridge para filtrar eventos do AWS Config para que você possa rotear tipos específicos de notificações para destinos específicos. Por exemplo, você pode enviar notificações de conformidade para regras ou tipos de recursos específicos para endereços de e-mail específicos ou rotear notificações de alteração de configuração para uma ferramenta externa de gerenciamento de serviços de TI (ITSM) ou banco de dados de gerenciamento de configuração (CMDB). Para obter mais informações, consulte a postagem do blogPráticas recomendadas do AWS Config.

Amazon Macie

O Amazon Macie é um serviço de segurança e privacidade de dados totalmente gerenciado que usa machine learning e comparação de padrões para detectar e ajudar a proteger seus dados confidenciais na AWS. Você precisa entender o tipo e a classificação dos dados que sua carga de trabalho está processando para garantir que os controles apropriados sejam aplicados. O Macie automatiza a descoberta de dados confidenciais em escala. Com o Macie, você pode executar várias tarefas de descoberta de conteúdo confidencial e classificação de dados em objetos no Amazon S3. O Macie está habilitado em todas as contas através do AWS Organizations. Os principais que têm as permissões apropriadas na conta de administrador delegada (neste caso, a conta do Security Tooling) podem ativar ou suspender o Macie em qualquer conta, criar trabalhos de descoberta de dados confidenciais para buckets pertencentes a contas de membros e visualizar todas as descobertas de políticas para todas as contas de membros. As descobertas de dados confidenciais só podem ser visualizadas pela conta que criou o trabalho de descobertas confidenciais. Para obter mais informações, consulteGerenciar várias contas no Amazon Maciena documentação do Macie.

As descobertas do Macie fluem para o AWS Security Hub para análise e análise. Macie também se integra à Amazon EventBridge para facilitar respostas automatizadas a descobertas, como alertas, feeds para sistemas de gerenciamento de eventos e informações de segurança (SIEM) e correção automatizada.

Considerações sobre design
  • Se os objetos do S3 estiverem criptografados com uma chave do AWS Key Management Service (AWS KMS) gerenciada por você, você poderá adicionar a função vinculada ao serviço do Macie como um usuário de chave a essa chave do KMS para permitir que o Macie verifique os dados.

  • O Macie é otimizado para verificar objetos no Amazon S3. Como resultado, qualquer tipo de objeto compatível com MACIE que possa ser colocado no Amazon S3 (permanente ou temporariamente) pode ser verificado quanto a dados confidenciais. Isso significa que dados de outras fontes — por exemplo,exportações de snapshots periódicos dos bancos de dados Amazon Relational Database Service (Amazon RDS) ou Amazon Aurora,tabelas do Amazon DynamoDB exportadas, ou arquivos de texto extraídos de aplicativos nativos ou de terceiros — podem ser movidos para o Amazon S3 e avaliados pelo Macie.

AWS IAM Access Analyzer

O AWS IAM Access Analyzer ajuda você a identificar os recursos em sua organização e suas contas da AWS, como buckets do Amazon S3 ou funções do IAM, que são compartilhados com uma entidade externa. Esse controle de detecção ajuda você a identificar o acesso não intencional aos seus dados e recursos, o que é um risco de segurança.

O Access Analyzer é implantado na conta do Security Tooling por meio da funcionalidade de administrador delegado no AWS Organizations. O administrador delegado tem permissões para criar e gerenciar analisadores com a organização da AWS como zona de confiança. As descobertas do Access Analyzer fluem automaticamente para o Security Hub. O Access Analyzer também envia um evento para EventBridge para cada descoberta gerada, quando uma descoberta é excluída e quando uma descoberta é excluída. EventBridge pode direcionar ainda mais esses eventos para fluxos de notificação ou remediação. 

Consideração sobre design
  • Para obter descobertas no escopo da conta (onde a conta serve como limite confiável), crie um analisador com escopo de conta em cada conta de membro. Isso pode ser feito como parte do pipeline da conta. As descobertas no escopo da conta fluem para o Security Hub no nível da conta do membro. A partir daí, eles fluem para a conta de administrador delegada do Security Hub (Ferramentas de Segurança).

AWS Firewall Manager

O AWS Firewall Manager ajuda a proteger sua rede simplificando suas tarefas de administração e manutenção para AWS WAF, AWS Shield Advanced, grupos de segurança da Amazon VPC, AWS Network Firewall e firewall DNS do Resolver Route 53 em várias contas e recursos. Com o Firewall Manager, você configura as regras de firewall do AWS WAF, as proteções do Shield Advanced, os grupos de segurança da Amazon VPC, os firewalls do AWS Network Firewall e as associações de grupo de regras do DNS Firewall apenas uma vez. O serviço aplica automaticamente as regras e as proteções em todas as contas e recursos, mesmo na adição de novos recursos.

O Firewall Manager é especialmente útil quando você deseja proteger toda a organização da AWS em vez de um número pequeno de contas e recursos específicos, ou se você adiciona com frequência novos recursos que deseja proteger. O Firewall Manager usa políticas de segurança para permitir que você defina um conjunto de configurações, incluindo regras, proteções e ações relevantes que devem ser implantadas e as contas e recursos (indicados por tags) a serem incluídos ou excluídos. Você pode criar configurações granulares e flexíveis enquanto ainda é capaz de dimensionar o controle para um grande número de contas e VPCs. Essas políticas aplicam de forma automática e consistente as regras que você configura, mesmo quando novas contas e recursos são criados. O Firewall Manager é habilitado em todas as contas por meio do AWS Organizations, e a configuração e o gerenciamento são executados pelas equipes de segurança apropriadas na conta de administrador delegada do Firewall Manager (neste caso, a conta do Security Tooling). 

Você deve habilitar o AWS Config para cada região da AWS que contenha recursos que você deseja proteger. Se você não quiser habilitar o AWS Config para todos os recursos, você deve habilitá-lo para recursos associados aoo tipo de políticas do Firewall Manager que você usa. Quando você usa o AWS Security Hub e o Firewall Manager, o Firewall Manager envia automaticamente suas descobertas para o Security Hub. O Firewall Manager cria descobertas para recursos que estão fora de conformidade e para ataques que ele detecta e envia as descobertas ao Security Hub. Ao configurar uma política do Firewall Manager para o AWS WAF, você pode ativar centralmente o registro em listas de controle de acesso à web (ACLs da web) para todas as contas dentro do escopo e centralizar os logs em uma única conta. 

Consideração sobre design
  • Os gerentes de contas de contas de membros individuais na organização da AWS podem configurar controles adicionais (como regras do AWS WAF e grupos de segurança da Amazon VPC) nos serviços gerenciados do Firewall Manager de acordo com suas necessidades específicas.

Amazônia EventBridge

Amazônia EventBridge O é um serviço de barramento de eventos sem servidor que facilita a conexão de aplicações a dados de diversas origens. É frequentemente usado em automação de segurança. É possível configurar regras de roteamento que determinam o destino dos dados para criar arquiteturas de aplicativos que reagem em tempo real a todas as fontes de dados. É possível criar um barramento de eventos personalizado para receber eventos de seus aplicativos personalizados, além de usar o barramento de eventos padrão em cada conta. Você pode criar um barramento de eventos na conta do Security Tooling que pode receber eventos específicos de segurança de outras contas na organização da AWS. Por exemplo, vinculando as regras do AWS Config, GuardDutye Security Hub com EventBridge, você cria um pipeline flexível e automatizado para rotear dados de segurança, gerar alertas e gerenciar ações para resolver problemas. 

Considerações sobre design
  • EventBridge é capaz de rotear eventos para vários alvos diferentes. Um padrão valioso para automatizar ações de segurança é conectar eventos específicos a respondentes individuais do AWS Lambda, que tomam as ações apropriadas. Por exemplo, em determinadas circunstâncias, talvez você queira usar EventBridge para rotear uma descoberta pública de bucket do S3 para um respondente do Lambda que corrige a política de bucket e remove as permissões públicas. Esses respondentes podem ser integrados em seus manuais de investigação e runbooks para coordenar as atividades de resposta.

  • Uma prática recomendada para uma equipe de operações de segurança bem-sucedida é integrar o fluxo de eventos e descobertas de segurança em um sistema de notificação e fluxo de trabalho, como um sistema de emissão de tíquetes, um sistema de erro/problema ou outro sistema de gerenciamento de eventos e informações de segurança (SIEM). Isso elimina o fluxo de trabalho de e-mails e relatórios estáticos e ajuda você a encaminhar, escalar e gerenciar eventos ou descobertas. As habilidades de roteamento flexíveis em EventBridge são um poderoso facilitador dessa integração.

Amazon Detective

O Amazon Detective fornece suporte à sua estratégia de controle de segurança responsiva, facilitando a análise, a investigação e a identificação rápida da causa raiz de descobertas de segurança ou atividades suspeitas para seus analistas de segurança. O Detective extrai automaticamente eventos baseados em tempo, como tentativas de login, chamadas de API e tráfego de rede da AWS CloudTrailOs logs de fluxo do Amazon VPC. Detective consome esses eventos usando fluxos independentes de CloudTrail Os logs de fluxo do Amazon VPC. O Detective usa aprendizado de máquina e visualização para criar uma visão unificada e interativa do comportamento de seus recursos e das interações entre eles ao longo do tempo - isso é chamado degráfico de comportamento. Você pode explorar o gráfico de comportamento para examinar ações diferentes, como tentativas de logon com falha ou chamadas de API suspeitas.

Detective também ingere descobertas detectadas pela Amazon GuardDuty. Quando uma conta habilita o Detective, ela se torna a conta do administrador para o gráfico de comportamento. Antes de tentar habilitar o Detective, certifique-se de que sua conta do foi inscrita no GuardDuty por pelo menos 48 horas. Se você não atender a esse requisito, não poderá ativar o Detective.

Detective integra-se ao AWS Organizations. A conta de Gerenciamento da organização delega uma conta de membro como a conta de administrador do Detective. No AWS SRA, essa é a conta do Security Tooling. A conta de administrador de Detective tem a capacidade de habilitar automaticamente todas as contas de membro atuais na organização como contas de membro de detetive e também adicionar novas contas de membro à medida que são adicionadas à organização da AWS. As contas de administrador de Detective também têm a capacidade de convidar contas membros que atualmente não residem na organização da AWS, mas estão dentro da mesma região, para contribuir com seus dados para o gráfico de comportamento da conta principal. Quando uma conta de membro aceita o convite e é ativada, o Detective começa a ingerir e extrair os dados da conta do membro nesse gráfico de comportamento.

Consideração sobre design
  • Você pode navegar até Detective encontrando perfis na GuardDuty Os consoles do e do AWS Security Hub. Esses links podem ajudar a agilizar o processo de investigação. Sua conta deve ser a conta administrativa do Detective e do serviço do qual você está migrando (GuardDuty ou Security Hub). Se as contas primárias forem as mesmas para os serviços, os links de integração funcionarão perfeitamente.

AWS Audit Manager

O AWS Audit Manager ajuda você a auditar continuamente o uso da AWS para simplificar a forma como você gerencia auditorias e conformidade com regulamentos e padrões do setor. Ele permite que você passe da coleta, revisão e gerenciamento manual de evidências para uma solução que automatiza a coleta de evidências, fornece uma maneira simples de rastrear a fonte de evidências de auditoria, permite a colaboração no trabalho em equipe e ajuda a gerenciar a segurança e a integridade das evidências. Quando é hora de uma auditoria, o Audit Manager ajuda você a gerenciar as revisões de seus controles pelas partes interessadas.

Com o Audit Manager, você pode auditarframeworks pré-compiladoscomo o benchmark Center for Internet Security (CIS), o CIS AWS Foundations Benchmark, System and Organization Controls 2 (SOC 2) e o Payment Card Industry Data Security Standard (PCI DSS) .Ele também oferece a capacidade de criar suas próprias estruturas com controles padrão ou personalizados com base em seus requisitos específicos para auditorias internas.

O Audit Manager coleta quatro tipos de evidências. Três tipos de evidências são automatizadas: evidências de verificação de conformidade do AWS Config e do AWS Security Hub, evidências de eventos de gerenciamento da AWS CloudTraile evidências de configuração da AWS service-to-service Chamadas da API. Para obter evidências que não podem ser automatizadas, o Audit Manager permite que você carregue evidências manuais.

nota

O Audit Manager auxilia na coleta de evidências relevantes para verificar a conformidade com normas e regulamentos específicos de conformidade. No entanto, essa tabela não avalia sua conformidade. Portanto, as evidências coletadas por meio do Audit Manager podem não incluir detalhes de seus processos operacionais que são necessários para auditorias. O Audit Manager não substitui consultores jurídicos ou especialistas em conformidade. Recomendamos que você contrate os serviços de um avaliador terceirizado certificado para a (s) estrutura (s) de conformidade com a (s) qual (is) foi avaliado (s).

As avaliações do Audit Manager podem ser executadas em várias contas em suas organizações da AWS. O Audit Manager coleta e consolida evidências em uma conta de administrador delegada no AWS Organizations. Essa funcionalidade de auditoria é usada principalmente pelas equipes de conformidade e auditoria interna e requer apenas acesso de leitura às suas contas da AWS.

Considerações sobre design
  • O Audit Manager complementa outros serviços de segurança da AWS, como o Security Hub e o AWS Config, para ajudar a implementar uma estrutura de gerenciamento de riscos. O Audit Manager fornece funcionalidade independente de garantia de riscos, enquanto o Security Hub ajuda você a supervisionar seus riscos e os pacotes de conformidade do AWS Config auxiliam no gerenciamento de seus riscos. Profissionais de auditoria que estão familiarizados com oModelo de três linhasdesenvolvido pelaInstituto de Auditores Internos (IIA)A deve observar que essa combinação de serviços da AWS ajuda você a cobrir as três linhas de defesa. Para obter mais informações, consulte as duas partessérie de blogno blog de operações e migrações de nuvem da AWS.

  • Para que o Audit Manager colete evidências do Security Hub, a conta de administrador delegada para ambos os serviços precisa ser a mesma conta da AWS. Por esse motivo, no AWS SRA, a conta do Security Tooling é o administrador delegado do Audit Manager.

AWS Artifact

O AWS Artifact é hospedado na conta do Security Tooling para delegar a funcionalidade de gerenciamento de artefatos de conformidade da conta do AWS Org Management. Essa delegação é importante porque recomendamos que você evite usar a conta do AWS Org Management para implantações, a menos que seja absolutamente necessário. Em vez disso, delegue implantações às contas dos membros. Como o gerenciamento de artefatos de auditoria pode ser feito a partir de uma conta de membro e a função está alinhada com as equipes de segurança e conformidade, a conta do Security Tooling é designada como a conta de administrador delegada para o AWS Artifact. Você pode usar os relatórios do AWS Artifact para fazer download de documentos de segurança e conformidade da AWS, como certificações ISO da AWS, Payment Card Industry (PCI) e relatórios de controles do sistema e da organização (SOC). Você pode restringir esse recurso apenas às funções do AWS Identity and Access Management (IAM) pertencentes às suas equipes de auditoria e conformidade, para que elas possam baixar, analisar e fornecer esses relatórios a auditores externos conforme necessário. Além disso, você pode restringir funções específicas do IAM para ter acesso apenas a relatórios específicos do AWS Artifact por meio de políticas do IAM. Para obter exemplos de políticas do IAM, consulte o.Documentação do AWS Artifact.

Consideração sobre design
  • Se você optar por ter uma conta da AWS dedicada para equipes de auditoria e conformidade, poderá hospedar o AWS Artifact em uma conta de auditoria de segurança, que é separada da conta do Security Tooling. Os relatórios do AWS Artifact fornecem evidências que demonstram que uma organização está seguindo um processo documentado ou atendendo a um requisito específico. Os artefatos de auditoria são coletados e arquivados durante todo o ciclo de vida de desenvolvimento do sistema e podem ser usados como evidência em auditorias e avaliações internas ou externas.

AWS KMS

O AWS Key Management Service (AWS KMS) ajuda você a criar e gerenciar chaves criptográficas e controlar seu uso em uma ampla variedade de serviços da AWS e em seus aplicativos. O AWS KMS é um serviço seguro e resiliente que usa módulos de segurança de hardware para proteger chaves criptográficas. Ele segue os processos de ciclo de vida padrão do setor para materiais essenciais, como armazenamento, rotação e controle de acesso de chaves. O AWS KMS pode ajudar a proteger seus dados com criptografia e chaves de assinatura e pode ser usado para criptografia do lado do servidor e criptografia do lado do cliente por meio doAWS Encryption SDK. Para proteção e flexibilidade, o AWS KMS oferece suporte a três tipos de chaves: chaves gerenciadas pelo cliente, chaves gerenciadas pela AWS e chaves próprias da AWS. Chaves gerenciadas pelo cliente são chaves do AWS KMS em sua conta da AWS que você cria, detém e gerencia. Chaves gerenciadas pela AWS são chaves do AWS KMS em sua conta que são criadas, gerenciadas e usadas em sua conta e em seu nome por um serviço da AWS integrado ao AWS KMS. Chaves de propriedade da AWS são uma coleção de chaves do AWS KMS de propriedade de um serviço da AWS e que esse produto gerencia para uso em várias contas da AWS. Para obter mais informações sobre o uso de chaves do KMS, consulte o.Documentação do AWS KMSeDetalhes criptográficos do AWS KMS.

Uma opção de implantação é centralizar a responsabilidade do gerenciamento de chaves do KMS em uma única conta enquanto delega a capacidade de usar chaves na conta do aplicativo por recursos do aplicativo usando uma combinação de políticas de chave e IAM. Essa abordagem é segura e simples de gerenciar, mas você pode encontrar obstáculos devido aos limites de limitação do AWS KMS, aos limites de serviço de conta e à equipe de segurança sendo inundada com tarefas operacionais de gerenciamento de chaves. Outra opção de implantação é ter um modelo descentralizado no qual você permite que o AWS KMS resida em várias contas e permita que os responsáveis pela infraestrutura e pelas cargas de trabalho em uma conta específica gerenciem suas próprias chaves. Esse modelo oferece às equipes de carga de trabalho mais controle, flexibilidade e agilidade sobre o uso de chaves de criptografia. Ele também ajuda a evitar limites de API, limita o escopo do impacto a apenas uma conta da AWS e simplifica relatórios, auditorias e outras tarefas relacionadas à conformidade. Em um modelo descentralizado, é importante implantar e aplicar grades de proteção para que as chaves descentralizadas sejam gerenciadas da mesma maneira e o uso das chaves KMS seja auditado de acordo com as melhores práticas e políticas estabelecidas. Para obter mais informações, consulte o whitepaperPráticas recomendadas do AWS Key Management Service. O AWS SRA recomenda um modelo de gerenciamento de chaves distribuído no qual as chaves do KMS residem localmente na conta em que são usadas. Recomendamos que você evite usar uma única chave em uma conta para todas as funções criptográficas. Chaves podem ser criadas com base em requisitos de função e proteção de dados e para aplicar o princípio do privilégio mínimo. Em alguns casos, as permissões de criptografia seriam mantidas separadas das permissões de descriptografia, e os administradores gerenciariam as funções do ciclo de vida, mas não seriam capazes de criptografar ou descriptografar dados com as chaves que gerenciam. 

Na conta do Security Tooling, o AWS KMS é usado para gerenciar a criptografia de serviços de segurança centralizados, como o AWS. CloudTrail trilha da organização gerenciada pela organização da AWS.

ACM Private CA

A Autoridade de certificação privada do AWS Certificate Manager (ACM Private CA) é um serviço gerenciado de CA privada que ajuda você a gerenciar com segurança o ciclo de vida de seus certificados TLS de entidade final privada para instâncias do EC2, contêineres, dispositivos de IoT e recursos locais. Ele permite comunicações TLS criptografadas para aplicativos em execução. Com o ACM Private CA., é possível criar sua própria hierarquia de CA (uma CA raiz, por meio de CAs subordinadas, para certificados de entidades finais) e emitir certificados com ela para autenticar usuários, computadores, aplicativos, serviços, servidores e outros dispositivos e para assinar código de computador. Os certificados emitidos por uma CA privada são confiáveis apenas na sua organização da AWS, não na Internet.

Uma equipe de infraestrutura de chave pública (PKI) ou de segurança pode ser responsável por gerenciar toda a infraestrutura de PKI. Isso inclui o gerenciamento e a criação da CA privada. No entanto, deve haver uma provisão que permita que as equipes de carga de trabalho atendam seus requisitos de certificado por conta própria. O AWS SRA descreve uma hierarquia de CA centralizada na qual a CA raiz está hospedada na conta do Security Tooling. Isso permite que as equipes de segurança apliquem um controle de segurança rigoroso, porque a CA raiz é a base de toda a PKI. No entanto, a criação de certificados privados da CA privada é delegada às equipes de desenvolvimento de aplicativos por meio do compartilhamento da CA em uma conta de aplicativo usando o AWS Resource Access Manager (AWS RAM). O AWS RAM gerencia as permissões necessárias para o compartilhamento entre contas. Isso elimina a necessidade de uma CA privada em todas as contas e fornece uma maneira mais econômica de implantação. Para obter mais informações sobre o fluxo de trabalho e a implementação, consulte a postagem do blogComo usar a RAM da AWS para compartilhar sua CA privada do ACM entre contas.

nota

O ACM também ajuda a provisionar, gerenciar e implantar certificados TLS públicos para uso com os serviços da AWS. Para oferecer suporte a essa funcionalidade, o ACM precisa residir na conta da AWS que usaria o certificado público. Isso será discutido posteriormente neste guia, naConta de aplicativoseção.

Considerações sobre design
  • Com o ACM Private CA., é possível criar uma hierarquia de autoridades de certificação com até cinco níveis. Você também pode criar várias hierarquias, cada uma com sua própria raiz. A hierarquia de CA do ACM deve aderir ao design de PKI da sua organização. No entanto, lembre-se de que o aumento da hierarquia da autoridade de certificação aumenta o número de certificados no caminho de certificação, o que, por sua vez, aumenta o tempo de validação de um certificado da entidade final. Uma hierarquia de CA bem definida oferece benefícios que incluem controle de segurança granular apropriado para cada autoridade de certificação, delegação de CA subordinada a um aplicativo diferente, o que leva à divisão de tarefas administrativas, uso de CA com confiança revogável limitada, a capacidade de definir diferentes períodos de validade e capacidade de impor limites de caminho. Idealmente, suas CAs raiz e subordinadas estão em contas separadas da AWS. Para obter mais informações sobre o planejamento de uma hierarquia de CA usando o ACM Private CA., consulte oDocumentação do ACM Private CA.Publicação no e noComo proteger uma hierarquia de ACM Private CA em escala empresarial para o setor automotivo e de manufatura.

  • A CA privada do ACM pode se integrar à hierarquia de CA existente, o que permite que você use a automação e o recurso de integração nativa da AWS do ACM em conjunto com a raiz de confiança existente que você usa atualmente. É possível criar uma CA subordinada na CA privada do ACM com base em uma CA principal no local. Para obter mais informações sobre a implementação, consulteInstalando um certificado CA subordinado assinado por uma CA principal externana documentação da AC privada do ACM.

Amazon Inspector

O Amazon Inspector é um serviço automatizado de gerenciamento de vulnerabilidades que verifica continuamente workloads do Amazon EC2 e do contêiner em busca de vulnerabilidades de software e exposição não intencional da rede. 

O Amazon Inspector avalia continuamente seu ambiente durante todo o ciclo de vida de seus recursos, verificando automaticamente os recursos sempre que você faz alterações neles. Os eventos que iniciam a nova verificação de um recurso incluem a instalação de um novo pacote em uma instância do EC2, a instalação de um patch e a publicação de um novo relatório de vulnerabilidades e exposições comuns (CVE) que afeta o recurso. Quando uma vulnerabilidade aberta é detectada, o Amazon Inspector calcula uma pontuação de risco do Amazon Inspector correlacionando up-to-date Informações CVE com fatores temporais e ambientais, como acessibilidade da rede e informações de explorabilidade, para fornecer uma descoberta contextual. 

As descobertas de acessibilidade de rede do Amazon Inspector avaliam a acessibilidade de suas instâncias do EC2 de ou para bordas de VPC, como gateways de Internet, conexões de emparelhamento de VPC ou redes privadas virtuais (VPNs) por meio de um gateway virtual. Essas regras ajudam a automatizar o monitoramento de suas redes da AWS e identificar onde o acesso à rede às instâncias do EC2 pode ser configurado incorretamente por meio de grupos de segurança mal gerenciados, listas de controle de acesso (ACLs), gateways de Internet e assim por diante. Para obter mais informações, consulte o .Documentação do Amazon Inspector.

Os agentes do AWS Systems Manager (agentes SSM) são necessários para verificação de vulnerabilidades de instâncias do EC2. Não são necessários agentes para acessibilidade de rede de instâncias do EC2 ou verificação de vulnerabilidades de imagens de contêiner no Amazon Elastic Container Registry (Amazon ECR). 

O Amazon Inspector é integrado ao AWS Organizations e oferece suporte à administração delegada. No AWS SRA., a conta do Security Tooling se torna conta do administrador delegado do Amazon Inspector.

Considerações sobre design
  • O Amazon Inspector integra-se automaticamente ao AWS Security Hub quando ambos os serviços estão habilitados. Você pode usar essa integração para enviar todas as descobertas do Amazon Inspector ao Security Hub, que então incluirá tais descobertas na análise feita sobre sua postura de segurança.

  • O Amazon Inspector exporta automaticamente descobertas para a Amazon EventBridgee, opcionalmente, para um bucket do Amazon Simple Storage Service (Amazon S3). Para exportar descobertas ativas para um bucket do S3, você precisa de uma chave do KMS que o Amazon Inspector possa usar para criptografar descobertas e de um bucket do S3 com permissões que permitam ao Amazon Inspector fazer upload de objetos. EventBridge A integração permite monitorar e processar descobertas quase em tempo real como parte de seus fluxos de trabalho de segurança e conformidade existentes. EventBridge os eventos são publicados na conta de administrador delegado do Amazon Inspector, além da conta de membro da qual eles se originaram.

Implantação de serviços de segurança comuns em todas as contas da AWS

OAplique serviços de segurança em toda a sua organização da AWSanteriormente nesta referência destacou os serviços de segurança que protegem uma conta da AWS e observou que muitos desses serviços também podem ser configurados e gerenciados dentro do AWS Organizations. Alguns desses serviços devem ser implantados em todas as contas, e você os verá no AWS SRA. Isso permite um conjunto consistente de grades de proteção e fornece monitoramento, gerenciamento e governança centralizados em toda a sua organização da AWS. 

Security Hub, GuardDuty, AWS Config, Access Analyzer e AWS CloudTrail trilhas da organização aparecem em todas as contas. Os três primeiros oferecem suporte ao recurso de administrador delegado discutido anteriormente naConta de gerenciamento, acesso confiável e administradores delegadosseção. CloudTrail atualmente usa um mecanismo de agregação diferente.

O AWS SRAGitHubrepositório de códigofornece uma implementação de exemplo da ativação do Security Hub, GuardDuty, AWS Config, Firewall Manager e CloudTrail trilhas da organização em todas as suas contas, incluindo a conta do AWS Org Management.

Considerações sobre design
  • Configurações específicas de conta podem exigir serviços de segurança adicionais. Por exemplo, as contas que gerenciam buckets do S3 (as contas do Application e do Log Archive) também devem incluir o Amazon Macie e considerar a ativação. CloudTrail Registro de eventos de dados do S3 nesses serviços de segurança comuns. (O Macie oferece suporte à administração delegada com configuração e monitoramento centralizados.) Outro exemplo é o Amazon Inspector, que é aplicável somente para contas que hospedam instâncias do EC2 ou imagens do Amazon ECR.

  • Além dos serviços descritos anteriormente nesta seção, o AWS SRA inclui dois serviços focados em segurança, o AWS Detective e o AWS Audit Manager, que oferecem suporte à integração do AWS Organizations e à funcionalidade de administrador delegado. No entanto, eles não estão incluídos como parte dos serviços recomendados para a linha de base da conta, porque vimos que esses serviços são mais bem usados nos seguintes cenários:

    • Você tem uma equipe dedicada ou um grupo de recursos que executam essas funções. O Detective é melhor utilizado pelas equipes de analistas de segurança e o Audit Manager é útil para suas equipes internas de auditoria ou conformidade.

    • Você quer se concentrar em um conjunto principal de ferramentas, como GuardDuty e o Security Hub no início do seu projeto e, em seguida, desenvolva-os usando serviços que fornecem recursos adicionais.