Security OU — Conta de ferramentas de segurança - AWS Orientação prescritiva
Administrador delegado para serviços de segurançaAWS CloudTrailAWS Security HubAmazon GuardDutyAWS ConfigAmazon Security LakeAmazon MacieAWS IAM Access AnalyzerAWS Firewall ManagerAmazon EventBridgeAmazon DetectiveAWS Audit ManagerAWS ArtifactAWS KMSCA privada da AWSAmazon InspectorImplantação de serviços de segurança comuns em todas as contas da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Security OU — Conta de ferramentas de segurança

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWS SRA) respondendo a uma breve pesquisa.

O diagrama a seguir ilustra os serviços de segurança da AWS que estão configurados na conta do Security Tooling.

Serviços de segurança para a conta do Security Tooling

A conta do Security Tooling é dedicada a operar serviços de segurança, monitorar contas da AWS e automatizar alertas e respostas de segurança. Os objetivos de segurança incluem o seguinte:

  • Forneça uma conta dedicada com acesso controlado para gerenciar o acesso às barreiras de segurança, ao monitoramento e à resposta.

  • Mantenha a infraestrutura de segurança centralizada apropriada para monitorar os dados das operações de segurança e manter a rastreabilidade. Detecção, investigação e resposta são partes essenciais do ciclo de vida da segurança e podem ser usadas para apoiar um processo de qualidade, uma obrigação legal ou de conformidade e para esforços de identificação e resposta a ameaças.

  • Apoie ainda mais a estratégia defense-in-depth da organização mantendo outra camada de controle sobre a configuração e as operações de segurança apropriadas, como chaves de criptografia e configurações de grupos de segurança. Essa é uma conta na qual os operadores de segurança trabalham. As funções somente de leitura/auditoria para visualizar informações de toda a organização da AWS são típicas, enquanto as funções de gravação/modificação são limitadas em número, rigorosamente controladas, monitoradas e registradas.

Considerações sobre design

  • Por padrão, o AWS Control Tower nomeia a conta na OU de segurança como Conta de auditoria. Você pode renomear a conta durante a configuração do AWS Control Tower.

  • Talvez seja apropriado ter mais de uma conta do Security Tooling. Por exemplo, o monitoramento e a resposta a eventos de segurança geralmente são atribuídos a uma equipe dedicada. A segurança da rede pode garantir sua própria conta e funções em colaboração com a infraestrutura de nuvem ou a equipe de rede. Essas divisões mantêm o objetivo de separar os enclaves de segurança centralizados e enfatizam ainda mais a separação de tarefas, privilégios mínimos e a simplicidade potencial das atribuições da equipe. Se você estiver usando o AWS Control Tower, isso restringe a criação de contas adicionais da AWS na OU de segurança.

Administrador delegado para serviços de segurança

A conta do Security Tooling serve como conta de administrador para serviços de segurança que são gerenciados em uma estrutura de administrador/membro em todas as contas da AWS. Conforme mencionado anteriormente, isso é tratado por meio da funcionalidade de administrador delegado do AWS Organizations. Os serviços no AWS SRA que atualmente oferecem suporte a administradores delegados incluem AWS Config, AWS Firewall Manager, Amazon, AWS IAM Access Analyzer GuardDuty, Amazon Macie, AWS Security Hub, Amazon Detective, AWS Audit Manager, Amazon Inspector, CloudTrail AWS Systems Manager. Sua equipe de segurança gerencia os recursos de segurança desses serviços e monitora quaisquer eventos ou descobertas específicos de segurança.

O IAM Identity Center oferece suporte à administração delegada a uma conta de membro. O AWS SRA usa a conta do Shared Services como a conta de administrador delegado para o IAM Identity Center, conforme explicado posteriormente na seção IAM Identity Center da conta do Shared Services.

AWS CloudTrail

CloudTrailA AWS é um serviço que oferece suporte à governança, conformidade e auditoria da atividade em sua conta da AWS. Com CloudTrail, você pode registrar, monitorar continuamente e reter as atividades da conta relacionadas às ações em toda a sua infraestrutura da AWS. CloudTrail é integrado ao AWS Organizations, e essa integração pode ser usada para criar uma única trilha que registra todos os eventos de todas as contas na organização da AWS. Elas são chamadas de trilhas da organização. Você pode criar e gerenciar uma trilha da organização somente de dentro da conta de gerenciamento da organização ou de uma conta de administrador delegado. Quando você cria uma trilha organizacional, uma trilha com o nome que você especifica é criada em cada conta da AWS que pertence à sua organização da AWS. A trilha registra a atividade de todas as contas, incluindo a conta de gerenciamento, na organização da AWS e armazena os registros em um único bucket do S3. Devido à sensibilidade desse bucket do S3, você deve protegê-lo seguindo as melhores práticas descritas na seção Amazon S3 como armazenamento de log central, mais adiante neste guia. Todas as contas na organização da AWS podem ver a trilha da organização em sua lista de trilhas. No entanto, as contas membros da AWS têm acesso somente para visualização a essa trilha. Por padrão, quando você cria uma trilha da organização no CloudTrail console, a trilha é uma trilha multirregional. Para obter mais práticas recomendadas de segurança, consulte a CloudTrail documentação da AWS.

No AWS SRA, a conta do Security Tooling é a conta de administrador delegado para gerenciamento. CloudTrail O bucket do S3 correspondente para armazenar os registros de trilhas da organização é criado na conta do Log Archive. Isso serve para separar o gerenciamento e o uso dos privilégios de CloudTrail log. Para obter informações sobre como criar ou atualizar um bucket do S3 para armazenar arquivos de log para uma trilha organizacional, consulte a CloudTrail documentação da AWS.

nota

Você pode criar e gerenciar trilhas organizacionais a partir das contas de gerenciamento e de administrador delegado. No entanto, como prática recomendada, você deve limitar o acesso à conta de gerenciamento e usar a funcionalidade de administrador delegado onde ela estiver disponível.

Considerações sobre design

  • Se uma conta membro exigir acesso aos arquivos de CloudTrail log de sua própria conta, você poderá compartilhar seletivamente os arquivos de CloudTrail log da organização a partir do bucket central do S3. No entanto, se as contas membros precisarem de grupos de CloudWatch registros locais para CloudTrail os registros de suas contas ou quiserem configurar o gerenciamento de registros e os eventos de dados (somente leitura, somente gravação, eventos de gerenciamento, eventos de dados) de forma diferente da trilha da organização, elas poderão criar uma trilha local com os controles apropriados. As trilhas específicas da conta local têm um custo adicional.

AWS Security Hub

O AWS Security Hub fornece uma visão abrangente da sua postura de segurança na AWS e ajuda você a verificar seu ambiente de acordo com os padrões e as melhores práticas do setor de segurança. O Security Hub coleta dados de segurança de todos os serviços integrados da AWS, produtos de terceiros compatíveis e outros produtos de segurança personalizados que você possa usar. O Security Hub facilita a análise das tendências de segurança e a identificação dos problemas de segurança de maior prioridade. Além das fontes ingeridas, o Security Hub gera suas próprias descobertas, que são representadas por controles de segurança mapeados para um ou mais padrões de segurança. Esses padrões incluem AWS Foundational Security Best Practices (FSBP), Center for Internet Security (CIS) AWS Foundations Benchmark v1.20 e v1.4.0, National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5, Payment Card Industry Data Security Standard (PCI DSS) e padrões gerenciados por serviços. Para obter uma lista dos padrões de segurança atuais e detalhes sobre controles de segurança específicos, consulte a referência de padrões do Security Hub na documentação do Security Hub.

O Security Hub se integra ao AWS Organizations para simplificar o gerenciamento da postura de segurança em todas as suas contas atuais e futuras em sua organização da AWS. Você pode usar o recurso de configuração central do Security Hub a partir da conta de administrador delegado (nesse caso, o Security Tooling) para especificar como o serviço, os padrões de segurança e os controles de segurança do Security Hub são configurados nas contas da sua organização e unidades organizacionais (OUs) em todas as regiões. Você pode definir essas configurações em algumas etapas a partir de uma região primária, chamada de região de origem. Se você não usa a configuração central, deve configurar o Security Hub separadamente em cada conta e região. O administrador delegado pode designar contas e OUs como autogerenciadas, em que o membro pode definir as configurações separadamente em cada região, ou como gerenciadas centralmente, onde o administrador delegado pode configurar a conta do membro ou a OU em todas as regiões. É possível designar todas as contas e OUs em sua organização como gerenciadas centralmente, todas autogerenciadas, ou uma combinação de ambas. Isso simplifica a aplicação de uma configuração consistente e, ao mesmo tempo, fornece a flexibilidade de modificá-la para cada UO e conta.

A conta de administrador delegado do Security Hub também pode visualizar descobertas, ver insights e detalhes de controle de todas as contas dos membros. Além disso, você pode designar uma região de agregação na conta do administrador delegado para centralizar suas descobertas em suas contas e regiões vinculadas. Suas descobertas são sincronizadas de forma contínua e bidirecional entre a região agregadora e todas as outras regiões.

O Security Hub oferece suporte a integrações com vários serviços da AWS. Amazon GuardDuty, AWS Config, Amazon Macie, AWS IAM Access Analyzer, AWS Firewall Manager, Amazon Inspector e AWS Systems Manager Patch Manager podem alimentar descobertas para o Security Hub. O Security Hub processa as descobertas usando um formato padrão chamado AWS Security Finding Format (ASFF). O Security Hub correlaciona as descobertas em produtos integrados para priorizar as mais importantes. Você pode enriquecer os metadados das descobertas do Security Hub para ajudar a contextualizar, priorizar e agir melhor com base nas descobertas de segurança. Esse enriquecimento adiciona tags de recursos, uma nova tag de aplicativo da AWS e informações do nome da conta a cada descoberta que é ingerida no Security Hub. Isso ajuda você a ajustar as descobertas das regras de automação, pesquisar ou filtrar descobertas e insights e avaliar o status da postura de segurança por aplicativo. Além disso, você pode usar regras de automação para atualizar automaticamente as descobertas. Conforme o Security Hub ingere as descobertas, ele pode aplicar uma variedade de ações de regras, como suprimir descobertas, alterar sua gravidade e adicionar notas às descobertas. Essas ações de regra entram em vigor quando as descobertas correspondem aos critérios especificados, como os IDs de recursos ou contas aos quais a descoberta está associada ou seu título. Você pode usar regras de automação para atualizar campos de busca selecionados no ASFF. As regras se aplicam tanto às descobertas novas quanto às atualizadas.

Durante a investigação de um evento de segurança, você pode navegar do Security Hub até o Amazon Detective para investigar uma descoberta da Amazon GuardDuty . O Security Hub recomenda alinhar as contas de administrador delegado para serviços como Detective (onde elas existam) para uma integração mais suave. Por exemplo, se você não alinhar as contas de administrador entre o Detective e o Security Hub, a navegação das descobertas para o Detective não funcionará. Para obter uma lista abrangente, consulte Visão geral das integrações de serviços da AWS com o Security Hub na documentação do Security Hub.

Você pode usar o Security Hub com o recurso Network Access Analyzer da Amazon VPC para ajudar a monitorar continuamente a conformidade da sua configuração de rede da AWS. Isso ajudará você a bloquear o acesso indesejado à rede e a impedir que seus recursos essenciais tenham acesso externo. Para obter mais detalhes sobre arquitetura e implementação, consulte a postagem no blog da AWS Verificação contínua da conformidade da rede usando o Amazon VPC Network Access Analyzer e o AWS Security Hub.

Além de seus recursos de monitoramento, o Security Hub oferece suporte à integração com EventBridge a Amazon para automatizar a correção de descobertas específicas. Você pode definir ações personalizadas a serem tomadas quando uma descoberta for recebida. Por exemplo, é possível configurar ações personalizadas para enviar as descobertas a um sistema de criação de tíquetes ou a um sistema automatizado de correção. Para discussões e exemplos adicionais, consulte as postagens do blog da AWS Resposta e remediação automatizadas com o AWS Security Hub e Como implantar a solução da AWS para resposta e remediação automatizadas do Security Hub.

O Security Hub usa regras do AWS Config vinculadas a serviços para realizar a maioria das verificações de segurança dos controles. Para suportar esses controles, o AWS Config deve estar habilitado em todas as contas, incluindo a conta do administrador (ou administrador delegado) e as contas dos membros, em cada região da AWS em que o Security Hub está habilitado.

Considerações sobre design

  • Se um padrão de conformidade, como o PCI-DSS, já estiver presente no Security Hub, o serviço totalmente gerenciado do Security Hub é a maneira mais fácil de operacionalizá-lo. No entanto, se você quiser montar seu próprio padrão de conformidade ou segurança, que pode incluir verificações de segurança, operacionais ou de otimização de custos, os pacotes de conformidade do AWS Config oferecem um processo de personalização simplificado. (Para obter mais informações sobre o AWS Config e pacotes de conformidade, consulte a seção AWS Config.)

  • Os casos de uso comuns do Security Hub incluem o seguinte:

    • Como um painel que fornece visibilidade aos proprietários de aplicativos sobre a postura de segurança e conformidade de seus recursos da AWS

    • Como uma visão central das descobertas de segurança usadas por operações de segurança, agentes de resposta a incidentes e caçadores de ameaças para fazer a triagem e tomar medidas sobre as descobertas de segurança e conformidade da AWS em todas as contas e regiões da AWS

    • Para agregar e encaminhar descobertas de segurança e conformidade de todas as contas e regiões da AWS para um gerenciamento centralizado de informações e eventos de segurança (SIEM) ou outro sistema de orquestração de segurança

    Para obter orientações adicionais sobre esses casos de uso, incluindo como configurá-los, consulte a postagem do blog Três padrões de uso recorrentes do Security Hub e como implantá-los.

Exemplo de implementação

A biblioteca de códigos do AWS SRA fornece um exemplo de implementação do Security Hub. Isso inclui a ativação automática do serviço, a administração delegada a uma conta membro (Security Tooling) e a configuração para habilitar o Security Hub para todas as contas atuais e futuras na organização da AWS.

Amazon GuardDuty

GuardDutyA Amazon é um serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos não autorizados para proteger suas contas e cargas de trabalho da AWS. Você deve sempre capturar e armazenar os registros apropriados para fins de monitoramento e auditoria, mas a Amazon GuardDuty extrai fluxos independentes de dados diretamente da AWS, dos registros de fluxo do CloudTrail Amazon VPC e dos registros do AWS DNS. Você não precisa gerenciar as políticas de bucket do Amazon S3 nem modificar a forma como coleta e armazena seus registros. GuardDutyas permissões são gerenciadas como funções vinculadas a serviços que você pode revogar a qualquer momento desativando. GuardDuty Isso facilita a ativação do serviço sem configurações complexas e elimina o risco de que uma modificação da permissão do IAM ou uma alteração na política do bucket do S3 afete a operação do serviço.

Além de fornecer fontes de dados fundamentais, GuardDuty fornece recursos opcionais para identificar descobertas de segurança. Isso inclui proteção EKS, proteção RDS, proteção S3, proteção contra malware e proteção Lambda. Para novos detectores, esses recursos opcionais são ativados por padrão, exceto a Proteção EKS, que deve ser ativada manualmente.

  • Com o GuardDuty S3 Protection, GuardDuty monitora os eventos de dados do Amazon S3, CloudTrail além dos eventos de gerenciamento CloudTrail padrão. O monitoramento de eventos de dados permite GuardDuty monitorar as operações de API em nível de objeto quanto a possíveis riscos de segurança dos dados em seus buckets do S3.

  • GuardDuty A Proteção contra Malware detecta a presença de malware em instâncias do Amazon EC2 ou cargas de trabalho de contêineres iniciando escaneamentos sem agente em volumes anexados do Amazon Elastic Block Store (Amazon EBS).

  • GuardDuty O RDS Protection foi projetado para traçar o perfil e monitorar a atividade de acesso aos bancos de dados Amazon Aurora sem afetar o desempenho do banco de dados.

  • GuardDuty O EKS Protection inclui o monitoramento do registro de auditoria e o monitoramento do tempo de execução do EKS. Com o EKS Audit Log Monitoring, GuardDuty monitora os registros de auditoria do Kubernetes dos clusters do Amazon EKS e os analisa em busca de atividades potencialmente maliciosas e suspeitas. O EKS Runtime Monitoring usa o agente de GuardDuty segurança (que é um complemento do Amazon EKS) para fornecer visibilidade em tempo de execução de cargas de trabalho individuais do Amazon EKS. O agente GuardDuty de segurança ajuda a identificar contêineres específicos em seus clusters do Amazon EKS que estão potencialmente comprometidos. Ele também pode detectar tentativas de escalar privilégios de um contêiner individual para o host subjacente do Amazon EC2 ou para o ambiente mais amplo da AWS.

GuardDuty está habilitado em todas as contas por meio do AWS Organizations, e todas as descobertas podem ser visualizadas e acionadas pelas equipes de segurança apropriadas na conta do administrador GuardDuty delegado (nesse caso, a conta do Security Tooling). 

Quando o AWS Security Hub é ativado, GuardDuty as descobertas fluem automaticamente para o Security Hub. Quando o Amazon Detective está ativado, GuardDuty as descobertas são incluídas no processo de ingestão de registros do Detective. GuardDuty e o Detective oferecem suporte a fluxos de trabalho de usuários de vários serviços, onde GuardDuty fornece links do console que redirecionam você de uma descoberta selecionada para uma página de Detetive que contém um conjunto selecionado de visualizações para investigar essa descoberta. Por exemplo, você também pode se integrar GuardDuty à Amazon EventBridge para automatizar as melhores práticas GuardDuty, como automatizar respostas a novas descobertas. GuardDuty

Exemplo de implementação

A biblioteca de códigos AWS SRA fornece um exemplo de implementação da Amazon GuardDuty. Inclui configuração criptografada do bucket S3, administração delegada e GuardDuty habilitação para todas as contas existentes e futuras na organização da AWS.

AWS Config

O AWS Config é um serviço que permite que você avalie, audite e avalie as configurações dos recursos compatíveis da AWS em suas contas da AWS. O AWS Config monitora e registra continuamente as configurações de recursos da AWS e avalia automaticamente as configurações gravadas em relação às configurações desejadas. Você também pode integrar o AWS Config a outros serviços para fazer o trabalho pesado em pipelines automatizados de auditoria e monitoramento. Por exemplo, o AWS Config pode monitorar alterações em segredos individuais no AWS Secrets Manager. 

Você pode avaliar as configurações dos seus recursos da AWS usando as regras do AWS Config. O AWS Config fornece uma biblioteca de regras personalizáveis e predefinidas chamadas regras gerenciadas, ou você pode criar suas próprias regras personalizadas. Você pode executar as regras do AWS Config no modo proativo (antes da implantação dos recursos) ou no modo detetive (após a implantação dos recursos). Os recursos podem ser avaliados quando há alterações na configuração, em um cronograma periódico ou em ambos.

Um pacote de conformidade é uma coleção de regras e ações de remediação do AWS Config que podem ser implantadas como uma única entidade em uma conta e região, ou em uma organização no AWS Organizations. Os pacotes de conformidade são criados por meio da criação de um modelo YAML que contém a lista de regras e ações de remediação gerenciadas ou personalizadas do AWS Config. Para começar a avaliar seu ambiente da AWS, use um dos exemplos de modelos de pacote de conformidade. 

O AWS Config se integra ao AWS Security Hub para enviar os resultados das avaliações de regras gerenciadas e personalizadas do AWS Config como descobertas para o Security Hub. 

As regras do AWS Config podem ser usadas em conjunto com o AWS Systems Manager para remediar com eficácia os recursos não compatíveis. Você usa o AWS Systems Manager Explorer para coletar o status de conformidade das regras do AWS Config em suas contas da AWS em todas as regiões da AWS e, em seguida, usa os documentos (runbooks) do Systems Manager Automation para resolver suas regras não compatíveis do AWS Config. Para obter detalhes sobre a implementação, consulte a postagem do blog Corrija regras não compatíveis do AWS Config com os runbooks do AWS Systems Manager Automation.

O agregador AWS Config coleta dados de configuração e conformidade em várias contas, regiões e organizações no AWS Organizations. O painel do agregador exibe os dados de configuração dos recursos agregados. Os painéis de inventário e conformidade oferecem informações essenciais e atuais sobre suas configurações de recursos da AWS e o status de conformidade em todas as contas da AWS, em todas as regiões da AWS ou dentro de uma organização da AWS. Eles permitem que você visualize e avalie seu inventário de recursos da AWS sem precisar escrever consultas avançadas do AWS Config. Você pode obter informações essenciais, como um resumo da conformidade por recursos, as 10 principais contas que têm recursos não compatíveis, uma comparação de instâncias EC2 em execução e paradas por tipo e volumes do EBS por tipo e tamanho de volume.

Se você usar o AWS Control Tower para gerenciar sua organização da AWS, ele implantará um conjunto de regras do AWS Config como proteções de detetive (categorizadas como obrigatórias, altamente recomendadas ou eletivas). Essas grades de proteção ajudam você a governar seus recursos e monitorar a conformidade em todas as contas em sua organização da AWS. Essas regras do AWS Config usarão automaticamente uma aws-control-tower tag com um valor de. managed-by-control-tower

O AWS Config deve estar habilitado para cada conta membro na organização e região da AWS que contenha os recursos que você deseja proteger. Você pode gerenciar centralmente (por exemplo, criar, atualizar e excluir) as regras do AWS Config em todas as contas da sua organização da AWS. Na conta de administrador delegado do AWS Config, você pode implantar um conjunto comum de regras do AWS Config em todas as contas e especificar contas nas quais as regras do AWS Config não devem ser criadas. A conta de administrador delegado do AWS Config também pode agregar dados de configuração e conformidade de recursos de todas as contas membros para fornecer uma visualização única. Use as APIs da conta de administrador delegado para impor a governança, garantindo que as regras subjacentes do AWS Config não possam ser modificadas pelas contas membros em sua organização da AWS.

Considerações sobre design

  • O AWS Config transmite notificações de alteração de configuração e conformidade para a Amazon. EventBridge Isso significa que você pode usar os recursos de filtragem nativos EventBridge para filtrar eventos do AWS Config para que você possa rotear tipos específicos de notificações para destinos específicos. Por exemplo, você pode enviar notificações de conformidade de regras específicas ou tipos de recursos para endereços de e-mail específicos ou rotear notificações de alteração de configuração para uma ferramenta externa de gerenciamento de serviços de TI (ITSM) ou banco de dados de gerenciamento de configuração (CMDB). Para obter mais informações, consulte a publicação no blog sobre as melhores práticas do AWS Config

  • Além de usar a avaliação proativa de regras do AWS Config, você pode usar o AWS CloudFormation Guard, que é uma ferramenta de policy-as-code avaliação que verifica proativamente a conformidade da configuração de recursos. A interface de linha de comando (CLI) do AWS CloudFormation Guard fornece uma linguagem declarativa específica de domínio (DSL) que você pode usar para expressar políticas como código. Além disso, você pode usar os comandos da AWS CLI para validar dados estruturados em formato JSON ou YAML, como conjuntos de CloudFormation alterações, arquivos de configuração do Terraform baseados em JSON ou configurações do Kubernetes. Você pode executar as avaliações localmente usando a CLI do AWS CloudFormation Guard como parte do seu processo de criação ou executá-la em seu pipeline de implantação. Se você tiver aplicativos do AWS Cloud Development Kit (AWS CDK), poderá usar o cdk-nag para verificar proativamente as melhores práticas.

Exemplo de implementação

A biblioteca de códigos do AWS SRA fornece um exemplo de implementação que implanta pacotes de conformidade do AWS Config em todas as contas e regiões da AWS dentro de uma organização da AWS. O módulo AWS Config Aggregator ajuda você a configurar um agregador do AWS Config delegando a administração a uma conta membro (Security Tooling) na conta de gerenciamento da organização e, em seguida, configurando o AWS Config Aggregator na conta de administrador delegado para todas as contas existentes e futuras na organização da AWS. Você pode usar o módulo AWS Config Control Tower Management Account para habilitar o AWS Config dentro da conta de gerenciamento de organizações — ele não é habilitado pela AWS Control Tower.

Amazon Security Lake

O Amazon Security Lake é um serviço de data lake de segurança totalmente gerenciado. Você pode usar o Security Lake para centralizar automaticamente dados de segurança de ambientes da AWS, provedores de software como serviço (SaaS), locais e fontes terceirizadas. O Security Lake ajuda você a criar uma fonte de dados normalizada que simplifica o uso de ferramentas de análise em relação aos dados de segurança, para que você possa obter uma compreensão mais completa de sua postura de segurança em toda a organização. O data lake é respaldado pelos buckets do Amazon Simple Storage Service (Amazon S3). Você é o proprietário dos seus dados. O Security Lake coleta automaticamente os registros dos serviços da AWS, incluindo registros de CloudTrail auditoria da AWS, Amazon VPC, Amazon Route 53, Amazon S3, AWS Lambda e Amazon EKS.

A AWS SRA recomenda que você use a conta do Log Archive como a conta de administrador delegado do Security Lake. Para obter mais informações sobre como configurar a conta de administrador delegado, consulte Amazon Security Lake na seção Security OU — Log Archive account. As equipes de segurança que desejam acessar os dados do Security Lake ou precisam gravar registros não nativos nos buckets do Security Lake usando funções personalizadas de extração, transformação e carregamento (ETL) devem operar na conta do Security Tooling.

O Security Lake pode coletar registros de diferentes provedores de nuvem, registros de soluções de terceiros ou outros registros personalizados. Recomendamos que você use a conta do Security Tooling para executar as funções ETL para converter os registros para o formato Open Cybersecurity Schema Framework (OCSF) e gerar um arquivo no formato Apache Parquet. O Security Lake cria a função entre contas com as permissões adequadas para a conta do Security Tooling e a fonte personalizada apoiada pelas funções do AWS Lambda ou pelos rastreadores do AWS Glue, para gravar dados nos buckets S3 do Security Lake.

O administrador do Security Lake deve configurar as equipes de segurança que usam a conta do Security Tooling e exigir acesso aos registros que o Security Lake coleta como assinantes. O Security Lake oferece suporte a dois tipos de acesso de assinantes:

  • Acesso aos dados — Os assinantes podem acessar diretamente os objetos do Amazon S3 para o Security Lake. O Security Lake gerencia a infraestrutura e as permissões. Quando você configura a conta do Security Tooling como assinante de acesso a dados do Security Lake, a conta é notificada sobre novos objetos nos buckets do Security Lake por meio do Amazon Simple Queue Service (Amazon SQS), e o Security Lake cria as permissões para acessar esses novos objetos.

  • Acesso à consulta — Os assinantes podem consultar dados de origem das tabelas do AWS Lake Formation em seu bucket do S3 usando serviços como o Amazon Athena. O acesso entre contas é configurado automaticamente para acesso a consultas usando o AWS Lake Formation. Quando você configura a conta do Security Tooling como assinante de acesso a consultas do Security Lake, a conta recebe acesso somente de leitura aos registros na conta do Security Lake. Quando você usa esse tipo de assinante, as tabelas Athena e AWS Glue são compartilhadas da conta Security Lake Log Archive com a conta Security Tooling por meio do AWS Resource Access Manager (AWS RAM). Para habilitar esse recurso, você precisa atualizar as configurações de compartilhamento de dados entre contas para a versão 3.

Para obter mais informações sobre a criação de assinantes, consulte Gerenciamento de assinantes na documentação do Security Lake.

Para obter as melhores práticas para ingerir fontes personalizadas, consulte Coleta de dados de fontes personalizadas na documentação do Security Lake.

Você pode usar a Amazon QuickSight, a Amazon OpenSearch e SageMaker a Amazon para configurar análises com base nos dados de segurança que você armazena no Security Lake.

Considerações sobre design

Se uma equipe de aplicativos precisar consultar os dados do Security Lake para atender a um requisito comercial, o administrador do Security Lake deverá configurar essa conta do aplicativo como assinante.

Amazon Macie

O Amazon Macie é um serviço totalmente gerenciado de segurança e privacidade de dados que usa aprendizado de máquina e correspondência de padrões para descobrir e ajudar a proteger seus dados confidenciais na AWS. Você precisa identificar o tipo e a classificação dos dados que sua carga de trabalho está processando para garantir que os controles apropriados sejam aplicados. Você pode usar o Macie para automatizar a descoberta e a emissão de relatórios de dados confidenciais de duas maneiras: realizando a descoberta automatizada de dados confidenciais e criando e executando trabalhos de descoberta de dados confidenciais. Com a descoberta automatizada de dados confidenciais, o Macie avalia seu inventário de buckets do S3 diariamente e usa técnicas de amostragem para identificar e selecionar objetos representativos do S3 de seus buckets. Em seguida, o Macie recupera e analisa os objetos selecionados, inspecionando-os em busca de dados confidenciais. Trabalhos confidenciais de descoberta de dados fornecem uma análise mais profunda e direcionada. Com essa opção, você define a amplitude e a profundidade da análise, incluindo os compartimentos do S3 a serem analisados, a profundidade da amostragem e os critérios personalizados que derivam das propriedades dos objetos do S3. Se o Macie detectar um possível problema com a segurança ou a privacidade de um bucket, ele criará uma descoberta de política para você. A descoberta automatizada de dados é ativada por padrão para todos os novos clientes da Macie, e os clientes existentes da Macie podem habilitá-la com um clique.

O Macie está habilitado em todas as contas por meio do AWS Organizations. Os diretores que têm as permissões apropriadas na conta do administrador delegado (nesse caso, a conta do Security Tooling) podem ativar ou suspender o Macie em qualquer conta, criar trabalhos confidenciais de descoberta de dados para buckets pertencentes às contas dos membros e visualizar todas as descobertas de políticas de todas as contas dos membros. As descobertas de dados confidenciais só podem ser visualizadas pela conta que criou o trabalho de descobertas confidenciais. Para obter mais informações, consulte Gerenciamento de várias contas no Amazon Macie na documentação do Macie.

As descobertas do Macie fluem para o AWS Security Hub para análise e análise. O Macie também se integra EventBridge à Amazon para facilitar respostas automatizadas a descobertas, como alertas, feeds para sistemas de gerenciamento de eventos e informações de segurança (SIEM) e remediação automatizada.

Considerações sobre design
Exemplo de implementação

A biblioteca de códigos AWS SRA fornece um exemplo de implementação do Amazon Macie. Isso inclui delegar a administração a uma conta membro e configurar o Macie dentro da conta de administrador delegado para todas as contas existentes e futuras na organização da AWS. O Macie também está configurado para enviar as descobertas para um bucket central do S3 que é criptografado com uma chave gerenciada pelo cliente no AWS KMS.

AWS IAM Access Analyzer

À medida que você acelera sua jornada de adoção da Nuvem AWS e continua inovando, é fundamental manter um controle rígido sobre o acesso refinado (permissões), conter a proliferação de acesso e garantir que as permissões sejam usadas de forma eficaz. O acesso excessivo e não utilizado apresenta desafios de segurança e torna mais difícil para as empresas aplicarem o princípio do menor privilégio. Esse princípio é um importante pilar da arquitetura de segurança que envolve o dimensionamento contínuo das permissões do IAM para equilibrar os requisitos de segurança com os requisitos operacionais e de desenvolvimento de aplicativos. Esse esforço envolve várias partes interessadas, incluindo equipes de segurança central e Cloud Center of Excellence (CCoE), bem como equipes de desenvolvimento descentralizadas.

O AWS IAM Access Analyzer fornece ferramentas para definir com eficiência permissões refinadas, verificar as permissões pretendidas e refinar as permissões removendo o acesso não utilizado para ajudar você a atender aos padrões de segurança da sua empresa. Ele oferece visibilidade das descobertas de acesso externas e não utilizadas por meio de painéis e do AWS Security Hub. Além disso, ele oferece suporte à Amazon EventBridge para fluxos de trabalho personalizados de notificação e remediação baseados em eventos.

O recurso de descobertas externas do IAM Access Analyzer ajuda você a identificar os recursos em sua organização e contas da AWS, como buckets do Amazon S3 ou funções do IAM, que são compartilhados com uma entidade externa. A organização ou conta da AWS que você escolher é conhecida como zona de confiança. O analisador usa raciocínio automatizado para analisar todos os recursos suportados dentro da zona de confiança e gera descobertas para diretores que podem acessar os recursos de fora da zona de confiança. Essas descobertas ajudam a identificar recursos que são compartilhados com uma entidade externa e ajudam a visualizar como sua política afeta o acesso público e entre contas ao seu recurso antes de implantar as permissões do recurso.

As descobertas do IAM Access Analyzer também ajudam você a identificar o acesso não utilizado concedido em suas organizações e contas da AWS, incluindo:

  • Funções do IAM não usadas — funções que não têm atividade de acesso dentro da janela de uso especificada.

  • Usuários, credenciais e chaves de acesso não utilizados do IAM — Credenciais que pertencem aos usuários do IAM e são usadas para acessar serviços e recursos da AWS.

  • Políticas e permissões do IAM não usadas — permissões em nível de serviço e de ação que não foram usadas por uma função em uma janela de uso especificada. O IAM Access Analyzer usa políticas baseadas em identidade que são anexadas às funções para determinar os serviços e ações que essas funções podem acessar. O analisador fornece uma análise das permissões não utilizadas para todas as permissões de nível de serviço.

Você pode usar as descobertas geradas pelo IAM Access Analyzer para obter visibilidade e corrigir qualquer acesso não intencional ou não utilizado com base nas políticas e padrões de segurança da sua organização. Após a correção, essas descobertas são marcadas como resolvidas na próxima vez em que o analisador for executado. Se a descoberta for intencional, você pode marcá-la como arquivada no IAM Access Analyzer e priorizar outras descobertas que apresentem um maior risco de segurança. Além disso, você pode configurar regras de arquivamento para arquivar automaticamente descobertas específicas. Por exemplo, é possível criar uma regra de arquivamento para arquivar automaticamente qualquer descoberta de um bucket do Amazon S3 específico ao qual você concede acesso regularmente.

Como criador, você pode usar o IAM Access Analyzer para realizar verificações automatizadas de políticas do IAM no início do processo de desenvolvimento e implantação (CI/CD) para aderir aos padrões de segurança corporativos. Você pode integrar as verificações e análises de políticas personalizadas do IAM Access Analyzer com CloudFormation a AWS para automatizar as análises de políticas como parte dos pipelines de CI/CD da sua equipe de desenvolvimento. Isso inclui:

  • Validação de políticas do IAM — O IAM Access Analyzer valida suas políticas em relação à gramática de políticas do IAM e às melhores práticas da AWS. Você pode ver as descobertas das verificações de validação de políticas, incluindo avisos de segurança, erros, avisos gerais e sugestões para sua política. Atualmente, mais de 100 verificações de validação de políticas estão disponíveis e podem ser automatizadas usando a AWS Command Line Interface (AWS CLI) e as APIs.

  • Verificações de políticas personalizadas do IAM — As verificações de políticas personalizadas do IAM Access Analyzer validam suas políticas de acordo com os padrões de segurança especificados. As verificações de políticas personalizadas usam raciocínio automatizado para fornecer um nível mais alto de garantia sobre o cumprimento dos padrões de segurança corporativos. Os tipos de verificações de políticas personalizadas incluem:

    • Compare com uma política de referência: ao editar uma política, você pode compará-la com uma política de referência, como uma versão existente da política, para verificar se a atualização concede novo acesso. A CheckNoNewAccessAPI compara duas políticas (uma política atualizada e uma política de referência) para determinar se a política atualizada introduz um novo acesso à política de referência e retorna uma resposta positiva ou negativa.

    • Compare uma lista de ações do IAM: você pode usar a CheckAccessNotGrantedAPI para garantir que uma política não conceda acesso a uma lista de ações críticas definidas em seu padrão de segurança. Essa API usa uma política e uma lista de até 100 ações do IAM para verificar se a política permite pelo menos uma das ações e retorna uma resposta positiva ou reprovada.

As equipes de segurança e outros autores de políticas do IAM podem usar o IAM Access Analyzer para criar políticas que estejam em conformidade com a gramática e os padrões de segurança das políticas do IAM. A criação manual de políticas do tamanho certo pode ser propensa a erros e demorada. O recurso de geração de políticas do IAM Access Analyzer auxilia na criação de políticas do IAM com base na atividade de acesso do principal. O IAM Access Analyzer analisa CloudTrail os registros da AWS em busca de serviços compatíveis e gera um modelo de política que contém as permissões que foram usadas pelo diretor no intervalo de datas especificado. Em seguida, você pode usar esse modelo para criar uma política com permissões refinadas que conceda somente as permissões necessárias.

  • Você deve ter uma CloudTrail trilha ativada para que sua conta gere uma política com base na atividade de acesso.

  • O IAM Access Analyzer não identifica atividades em nível de ação para eventos de dados, como eventos de dados do Amazon S3, nas políticas geradas.

  • A iam:PassRole ação não é monitorada CloudTrail e não está incluída nas políticas geradas.

O Access Analyzer é implantado na conta do Security Tooling por meio da funcionalidade de administrador delegado no AWS Organizations. O administrador delegado tem permissões para criar e gerenciar analisadores com a organização da AWS como zona de confiança.

Considerações sobre design

  • Para obter descobertas do escopo da conta (onde a conta serve como limite confiável), você cria um analisador do escopo da conta em cada conta membro. Isso pode ser feito como parte do pipeline da conta. As descobertas do escopo da conta fluem para o Security Hub no nível da conta do membro. De lá, eles fluem para a conta de administrador delegado do Security Hub (Security Tooling).

Exemplos de implementação

AWS Firewall Manager

O AWS Firewall Manager ajuda a proteger sua rede simplificando as tarefas de administração e manutenção dos grupos de segurança AWS WAF, AWS Shield Advanced, Amazon VPC, AWS Network Firewall e Route 53 Resolver DNS Firewall em várias contas e recursos. Com o Firewall Manager, você configura as regras de firewall do AWS WAF, as proteções Shield Advanced, os grupos de segurança do Amazon VPC, os firewalls do AWS Network Firewall e as associações de grupos de regras do DNS Firewall somente uma vez. O serviço aplica automaticamente as regras e as proteções em todas as contas e recursos, mesmo na adição de novos recursos.

O Firewall Manager é particularmente útil quando você deseja proteger toda a sua organização da AWS em vez de um pequeno número de contas e recursos específicos, ou se você adiciona frequentemente novos recursos que deseja proteger. O Firewall Manager usa políticas de segurança para permitir que você defina um conjunto de configurações, incluindo regras, proteções e ações relevantes que devem ser implantadas e as contas e os recursos (indicados por tags) a serem incluídos ou excluídos. Você pode criar configurações granulares e flexíveis sem deixar de escalar o controle para um grande número de contas e VPCs. Essas políticas aplicam de forma automática e consistente as regras que você configura, mesmo quando novas contas e recursos são criados. O Firewall Manager está habilitado em todas as contas por meio do AWS Organizations, e a configuração e o gerenciamento são realizados pelas equipes de segurança apropriadas na conta de administrador delegado do Firewall Manager (nesse caso, a conta do Security Tooling). 

Você deve habilitar o AWS Config para cada região da AWS que contém os recursos que você deseja proteger. Se você não quiser habilitar o AWS Config para todos os recursos, deverá habilitá-lo para recursos associados ao tipo de política do Firewall Manager que você usa. Quando você usa o AWS Security Hub e o Firewall Manager, o Firewall Manager envia automaticamente suas descobertas para o Security Hub. O Firewall Manager cria descobertas para recursos que estão fora de conformidade e para ataques que ele detecta, e envia as descobertas para o Security Hub. Ao configurar uma política do Firewall Manager para o AWS WAF, você pode ativar centralmente o registro em listas de controle de acesso à web (ACLs da web) para todas as contas dentro do escopo e centralizar os registros em uma única conta. 

Considerações sobre design

  • Os gerentes de contas de membros individuais na organização da AWS podem configurar controles adicionais (como regras do AWS WAF e grupos de segurança do Amazon VPC) nos serviços gerenciados do Firewall Manager de acordo com suas necessidades específicas.

Exemplo de implementação

A biblioteca de códigos do AWS SRA fornece um exemplo de implementação do AWS Firewall Manager. Ele demonstra a administração delegada (ferramentas de segurança), implanta um grupo de segurança máximo permitido, configura uma política de grupo de segurança e configura várias políticas de WAF.

Amazon EventBridge

EventBridgeA Amazon é um serviço de barramento de eventos sem servidor que facilita a conexão de seus aplicativos com dados de várias fontes. É frequentemente usado na automação de segurança. Você pode configurar regras de roteamento para determinar para onde enviar seus dados para criar arquiteturas de aplicativos que reajam em tempo real a todas as suas fontes de dados. Você pode criar um barramento de eventos personalizado para receber eventos de seus aplicativos personalizados, além de usar o barramento de eventos padrão em cada conta. Você pode criar um barramento de eventos na conta do Security Tooling que pode receber eventos específicos de segurança de outras contas na organização da AWS. Por exemplo, ao vincular as regras GuardDuty do AWS Config e o Security Hub EventBridge ao, você cria um pipeline flexível e automatizado para rotear dados de segurança, gerar alertas e gerenciar ações para resolver problemas. 

Considerações sobre design

  • EventBridge é capaz de rotear eventos para vários alvos diferentes. Um padrão valioso para automatizar ações de segurança é conectar eventos específicos a respondentes individuais do AWS Lambda, que tomam as medidas apropriadas. Por exemplo, em determinadas circunstâncias, talvez você queira usar para EventBridge rotear uma descoberta pública de bucket do S3 para um respondente Lambda que corrige a política do bucket e remove as permissões públicas. Esses respondentes podem ser integrados aos seus manuais e manuais investigativos para coordenar as atividades de resposta.

  • Uma prática recomendada para uma equipe de operações de segurança bem-sucedida é integrar o fluxo de eventos e descobertas de segurança em um sistema de notificação e fluxo de trabalho, como um sistema de emissão de tíquetes, um sistema de bug/problema ou outro sistema de gerenciamento de informações e eventos de segurança (SIEM). Isso elimina o fluxo de trabalho de e-mails e relatórios estáticos e ajuda você a rotear, escalar e gerenciar eventos ou descobertas. As habilidades de roteamento flexível do EventBridge são um poderoso facilitador dessa integração.

Amazon Detective

O Amazon Detective apoia sua estratégia responsiva de controle de segurança, facilitando a análise, a investigação e a identificação rápida da causa raiz das descobertas de segurança ou atividades suspeitas para seus analistas de segurança. O Detective extrai automaticamente eventos baseados em tempo, como tentativas de login, chamadas de API e tráfego de rede, dos registros da AWS e dos registros de fluxo da CloudTrail Amazon VPC. Você pode usar o Detective para acessar até um ano de dados históricos de eventos. Detective consome esses eventos usando fluxos independentes de registros e registros de fluxo CloudTrail da Amazon VPC. Detective usa aprendizado de máquina e visualização para criar uma visão unificada e interativa do comportamento de seus recursos e das interações entre eles ao longo do tempo. Isso é chamado de gráfico de comportamento. Você pode explorar o gráfico de comportamento para examinar ações diferentes, como tentativas de login malsucedidas ou chamadas de API suspeitas.

O Detective se integra ao Amazon Security Lake para permitir que analistas de segurança consultem e recuperem registros armazenados no Security Lake. Você pode usar essa integração para obter informações adicionais dos registros da AWS e dos CloudTrail registros de fluxo da Amazon VPC que são armazenados no Security Lake enquanto conduz investigações de segurança no Detective.

Detective também ingere descobertas detectadas pela Amazon GuardDuty, incluindo ameaças detectadas pelo GuardDuty Runtime Monitoring. Quando uma conta ativa o Detective, ela se torna a conta de administrador do gráfico de comportamento. Antes de tentar ativar o Detective, certifique-se de que sua conta esteja cadastrada há GuardDuty pelo menos 48 horas. Se você não atender a esse requisito, não poderá habilitar o Detective.

Detective agrupa automaticamente várias descobertas relacionadas a um único evento de comprometimento de segurança em grupos de busca. Os agentes de ameaças geralmente realizam uma sequência de ações que levam a várias descobertas de segurança distribuídas ao longo do tempo e dos recursos. Portanto, encontrar grupos deve ser o ponto de partida para investigações que envolvam várias entidades e descobertas. Detective também fornece resumos de busca de grupos usando IA generativa que analisa automaticamente a localização de grupos e fornece informações em linguagem natural para ajudá-lo a acelerar as investigações de segurança.

Detective se integra com o AWS Organizations. A conta de Gerenciamento da Organização delega uma conta de membro como a conta de administrador do Detective. No AWS SRA, essa é a conta do Security Tooling. A conta de administrador Detective tem a capacidade de habilitar automaticamente todas as contas atuais da organização como contas de membros de detetive e também adicionar novas contas de membros à medida que elas são adicionadas à organização da AWS. As contas de administrador Detective também podem convidar contas de membros que atualmente não residem na organização da AWS, mas estão na mesma região, para contribuir com seus dados para o gráfico de comportamento da conta principal. Quando uma conta de membro aceita o convite e é ativada, o Detective começa a ingerir e extrair os dados da conta do membro nesse gráfico de comportamento.

Considerações sobre design

  • Você pode navegar até Detective encontrando perfis nos consoles GuardDuty e no AWS Security Hub. Esses links podem ajudar a agilizar o processo de investigação. Sua conta deve ser a conta administrativa do Detective e do serviço do qual você está migrando (ou do Security GuardDuty Hub). Se as contas principais forem as mesmas para os serviços, os links de integração funcionarão perfeitamente.

AWS Audit Manager

O AWS Audit Manager ajuda você a auditar continuamente seu uso da AWS para simplificar a forma como você gerencia auditorias e a conformidade com regulamentações e padrões do setor. Ele permite que você passe da coleta, revisão e gerenciamento manual de evidências para uma solução que automatiza a coleta de evidências, fornece uma maneira simples de rastrear a origem das evidências de auditoria, permite a colaboração do trabalho em equipe e ajuda a gerenciar a segurança e a integridade das evidências. Quando é hora de uma auditoria, o Audit Manager ajuda você a gerenciar as análises de seus controles pelas partes interessadas.

Com o Audit Manager, você pode auditar com base em estruturas pré-criadas, como o benchmark Center for Internet Security (CIS), o CIS AWS Foundations Benchmark, System and Organization Controls 2 (SOC 2) e o Payment Card Industry Data Security Standard (PCI DSS). Ele também permite criar suas próprias estruturas com controles padrão ou personalizados com base em seus requisitos específicos para auditorias internas.

O Audit Manager coleta quatro tipos de evidências. Três tipos de evidências são automatizados: evidências de verificação de conformidade do AWS Config e do AWS Security Hub, evidências de eventos de gerenciamento da AWS CloudTrail e evidências de configuração das chamadas de service-to-service API da AWS. Para evidências que não podem ser automatizadas, o Audit Manager permite que você faça upload de evidências manuais.

nota

O Audit Manager auxilia na coleta de evidências relevantes para verificar a conformidade com padrões e regulamentos de conformidade específicos. No entanto, ele não avalia sua conformidade. Portanto, as evidências coletadas por meio do Audit Manager podem não incluir detalhes de seus processos operacionais que são necessários para auditorias. O Audit Manager não substitui o advogado ou os especialistas em conformidade. Recomendamos que você contrate os serviços de um avaliador terceirizado certificado pelas estruturas de conformidade com as quais você é avaliado.

As avaliações do Audit Manager podem ser executadas em várias contas em suas organizações da AWS. O Audit Manager coleta e consolida evidências em uma conta de administrador delegado no AWS Organizations. Essa funcionalidade de auditoria é usada principalmente pelas equipes de conformidade e auditoria interna e requer apenas acesso de leitura às suas contas da AWS.

Considerações sobre design

  • O Audit Manager complementa outros serviços de segurança da AWS, como o Security Hub e o AWS Config, para ajudar a implementar uma estrutura de gerenciamento de riscos. O Audit Manager fornece funcionalidade independente de garantia de risco, enquanto o Security Hub ajuda você a supervisionar seu risco e os pacotes de conformidade do AWS Config ajudam a gerenciar seus riscos. Profissionais de auditoria que estão familiarizados com o modelo de três linhas desenvolvido pelo Institute of Internal Auditors (IIA) devem observar que essa combinação de serviços da AWS ajuda você a cobrir as três linhas de defesa. Para obter mais informações, consulte a série de blogs em duas partes no blog de operações e migrações da nuvem da AWS.

  • Para que o Audit Manager colete evidências do Security Hub, a conta de administrador delegado para ambos os serviços precisa ser a mesma conta da AWS. Por esse motivo, no AWS SRA, a conta do Security Tooling é o administrador delegado do Audit Manager.

AWS Artifact

O AWS Artifact é hospedado na conta do Security Tooling para separar a funcionalidade de gerenciamento de artefatos de conformidade da conta de gerenciamento de organizações da AWS. Essa separação de tarefas é importante porque recomendamos que você evite usar a conta de gerenciamento de organizações da AWS para implantações, a menos que seja absolutamente necessário. Em vez disso, transmita as implantações para as contas dos membros. Como o gerenciamento de artefatos de auditoria pode ser feito a partir de uma conta membro e a função está estreitamente alinhada com a equipe de segurança e conformidade, a conta do Security Tooling é designada como a conta de administrador do AWS Artifact. Você pode usar os relatórios do AWS Artifact para baixar documentos de segurança e conformidade da AWS, como certificações ISO da AWS, Payment Card Industry (PCI) e relatórios de System and Organization Controls (SOC).

O AWS Artifact não oferece suporte ao recurso de administração delegada. Em vez disso, você pode restringir esse recurso apenas às funções do IAM na conta do Security Tooling que pertencem às suas equipes de auditoria e conformidade, para que elas possam baixar, revisar e fornecer esses relatórios aos auditores externos conforme necessário. Além disso, você pode restringir funções específicas do IAM para ter acesso somente a relatórios específicos do AWS Artifact por meio de políticas do IAM. Para exemplos de políticas do IAM, consulte a documentação do AWS Artifact.

Considerações sobre design

  • Se você optar por ter uma conta da AWS dedicada para equipes de auditoria e conformidade, poderá hospedar o AWS Artifact em uma conta de auditoria de segurança, que é separada da conta do Security Tooling. Os relatórios do AWS Artifact fornecem evidências que demonstram que uma organização está seguindo um processo documentado ou cumprindo um requisito específico. Os artefatos de auditoria são coletados e arquivados em todo o ciclo de vida do desenvolvimento do sistema e podem ser usados como evidência em auditorias e avaliações internas ou externas.

AWS KMS

O AWS Key Management Service (AWS KMS) ajuda você a criar e gerenciar chaves criptográficas e controlar seu uso em uma ampla variedade de serviços da da AWS e em suas aplicações. O AWS KMS é um serviço seguro e resiliente que usa módulos de segurança de hardware para proteger chaves criptográficas. Ele segue os processos de ciclo de vida padrão do setor para materiais essenciais, como armazenamento, rotação e controle de acesso às chaves. O AWS KMS pode ajudar a proteger seus dados com chaves de criptografia e assinatura e pode ser usado tanto para criptografia do lado do servidor quanto para criptografia do lado do cliente por meio do SDK de criptografia da AWS. Para proteção e flexibilidade, o AWS KMS oferece suporte a três tipos de chaves: chaves gerenciadas pelo cliente, chaves gerenciadas pela AWS e chaves de propriedade da AWS. As chaves gerenciadas pelo cliente são chaves do AWS KMS em sua conta da AWS que você cria, possui e gerencia. As chaves gerenciadas da AWS são chaves do AWS KMS em sua conta que são criadas, gerenciadas e usadas em seu nome por um serviço da AWS integrado ao AWS KMS. As chaves de propriedade da AWS são uma coleção de chaves do AWS KMS que um serviço da AWS possui e gerencia para uso em várias contas da AWS. Para obter mais informações sobre o uso de chaves do KMS, consulte a documentação do AWS KMS e os detalhes criptográficos do AWS KMS.

Uma opção de implantação é centralizar a responsabilidade do gerenciamento de chaves do KMS em uma única conta e, ao mesmo tempo, delegar a capacidade de usar chaves na conta do aplicativo pelos recursos do aplicativo usando uma combinação de políticas de chave e IAM. Essa abordagem é segura e fácil de gerenciar, mas você pode encontrar obstáculos devido aos limites de limitação do AWS KMS, aos limites do serviço da conta e à inundação da equipe de segurança com tarefas operacionais de gerenciamento de chaves. Outra opção de implantação é ter um modelo descentralizado no qual você permita que o AWS KMS resida em várias contas e permita que os responsáveis pela infraestrutura e pelas cargas de trabalho em uma conta específica gerenciem suas próprias chaves. Esse modelo oferece às suas equipes de carga de trabalho mais controle, flexibilidade e agilidade sobre o uso de chaves de criptografia. Também ajuda a evitar limites de API, limita o escopo do impacto a apenas uma conta da AWS e simplifica relatórios, auditorias e outras tarefas relacionadas à conformidade. Em um modelo descentralizado, é importante implantar e aplicar grades de proteção para que as chaves descentralizadas sejam gerenciadas da mesma forma e o uso das chaves KMS seja auditado de acordo com as melhores práticas e políticas estabelecidas. Para obter mais informações, consulte o whitepaper AWS Key Management Service Best Practices. A AWS SRA recomenda um modelo distribuído de gerenciamento de chaves no qual as chaves do KMS residam localmente na conta em que são usadas. Recomendamos que você evite usar uma única chave em uma conta para todas as funções criptográficas. As chaves podem ser criadas com base nos requisitos de função e proteção de dados e para aplicar o princípio do menor privilégio. Em alguns casos, as permissões de criptografia seriam mantidas separadas das permissões de descriptografia, e os administradores gerenciariam as funções do ciclo de vida, mas não conseguiriam criptografar ou descriptografar dados com as chaves que gerenciam. 

Na conta do Security Tooling, o AWS KMS é usado para gerenciar a criptografia de serviços de segurança centralizados, como a trilha organizacional da CloudTrail AWS, gerenciada pela organização da AWS.

CA privada da AWS

AWS Private Certificate Authority(CA privada da AWS) é um serviço gerenciado de CA privada que ajuda você a gerenciar com segurança o ciclo de vida de seus certificados TLS de entidade final privada para instâncias EC2, contêineres, dispositivos de IoT e recursos locais. Ele permite comunicações TLS criptografadas para aplicativos em execução. Com CA privada da AWS, você pode criar sua própria hierarquia de CA (uma CA raiz, por meio de CAs subordinadas, até certificados de entidade final) e emitir certificados com ela para autenticar usuários internos, computadores, aplicativos, serviços, servidores e outros dispositivos e assinar códigos de computador. Os certificados emitidos por uma CA privada são confiáveis somente na sua organização da AWS, não na Internet.

Uma infraestrutura de chave pública (PKI) ou equipe de segurança pode ser responsável pelo gerenciamento de toda a infraestrutura de PKI. Isso inclui o gerenciamento e a criação da CA privada. No entanto, deve haver uma provisão que permita que as equipes de carga de trabalho atendam por conta própria aos requisitos de certificado. O AWS SRA descreve uma hierarquia centralizada de CA na qual a CA raiz é hospedada na conta do Security Tooling. Isso permite que as equipes de segurança apliquem um controle de segurança rigoroso, porque a CA raiz é a base de toda a PKI. No entanto, a criação de certificados privados da CA privada é delegada às equipes de desenvolvimento de aplicativos compartilhando a CA com uma conta de aplicativo usando o AWS Resource Access Manager (AWS RAM). A AWS RAM gerencia as permissões necessárias para o compartilhamento entre contas. Isso elimina a necessidade de uma CA privada em todas as contas e fornece uma forma mais econômica de implantação. Para obter mais informações sobre o fluxo de trabalho e a implementação, consulte a postagem do blog Como usar o AWS RAM para compartilhar sua CA privada da AWS conta cruzada.

nota

O ACM também ajuda você a provisionar, gerenciar e implantar certificados TLS públicos para uso com os serviços da AWS. Para oferecer suporte a essa funcionalidade, o ACM precisa residir na conta da AWS que usaria o certificado público. Isso será discutido posteriormente neste guia, na seção Conta do aplicativo.

Considerações sobre design

  • Com CA privada da AWS, você pode criar uma hierarquia de autoridades de certificação com até cinco níveis. Você também pode criar várias hierarquias, cada uma com sua própria raiz. A CA privada da AWS hierarquia deve seguir o design de PKI da sua organização. No entanto, lembre-se de que o aumento da hierarquia da CA aumenta o número de certificados no caminho de certificação, o que, por sua vez, aumenta o tempo de validação de um certificado de entidade final. Uma hierarquia de CA bem definida fornece benefícios que incluem controle de segurança granular apropriado para cada CA, delegação de CA subordinada a um aplicativo diferente, o que leva à divisão de tarefas administrativas, uso de CA com confiança revogável limitada, a capacidade de definir diferentes períodos de validade e a capacidade de impor limites de caminho. O ideal é que suas CAs raiz e subordinadas estejam em contas separadas da AWS. Para obter mais informações sobre como planejar uma hierarquia de CA usando CA privada da AWS, consulte a CA privada da AWS documentação e a postagem do blog Como proteger uma CA privada da AWS hierarquia de escala corporativa para o setor automotivo e de manufatura.

  • CA privada da AWS pode se integrar à sua hierarquia de CA existente, o que permite que você use a automação e a capacidade nativa de integração da AWS do ACM em conjunto com a raiz de confiança existente que você usa atualmente. Você pode criar uma CA subordinada CA privada da AWS apoiada por uma CA principal no local. Para obter mais informações sobre a implementação, consulte Instalando um certificado de CA subordinado assinado por uma CA externa principal na CA privada da AWS documentação.

Amazon Inspector

O Amazon Inspector é um serviço automatizado de gerenciamento de vulnerabilidades que descobre e verifica automaticamente instâncias do Amazon EC2, imagens de contêineres no Amazon Container Registry (Amazon ECR) e funções do AWS Lambda em busca de vulnerabilidades conhecidas de software e exposição não intencional na rede.

O Amazon Inspector avalia continuamente seu ambiente durante todo o ciclo de vida de seus recursos, examinando automaticamente os recursos sempre que você fizer alterações neles. Os eventos que iniciam a nova análise de um recurso incluem a instalação de um novo pacote em uma instância do EC2, a instalação de um patch e a publicação de um novo relatório de vulnerabilidades e exposições comuns (CVE) que afeta o recurso. O Amazon Inspector oferece suporte às avaliações de benchmark do Center of Internet Security (CIS) para sistemas operacionais em instâncias EC2.

O Amazon Inspector se integra com ferramentas de desenvolvedor, como Jenkins, e TeamCity para avaliações de imagens de contêineres. Você pode avaliar suas imagens de contêiner em busca de vulnerabilidades de software em suas ferramentas de integração contínua e entrega contínua (CI/CD) e levar a segurança a um ponto anterior do ciclo de vida de desenvolvimento de software. Os resultados da avaliação estão disponíveis no painel da ferramenta CI/CD, para que você possa realizar ações automatizadas em resposta a problemas críticos de segurança, como compilações bloqueadas ou envios de imagens para registros de contêineres. Se você tiver uma conta ativa da AWS, você pode instalar o plug-in Amazon Inspector a partir do seu mercado de ferramentas de CI/CD e adicionar uma verificação do Amazon Inspector em seu pipeline de compilação sem precisar ativar o serviço Amazon Inspector. Esse recurso funciona com ferramentas de CI/CD hospedadas em qualquer lugar — na AWS, no local ou em nuvens híbridas — para que você possa usar consistentemente uma única solução em todos os seus pipelines de desenvolvimento. Quando o Amazon Inspector é ativado, ele descobre automaticamente todas as suas instâncias do EC2, imagens de contêineres nas ferramentas Amazon ECR e CI/CD e funções do AWS Lambda em grande escala e as monitora continuamente em busca de vulnerabilidades conhecidas.

As descobertas de acessibilidade de rede do Amazon Inspector avaliam a acessibilidade de suas instâncias EC2 de ou para bordas de VPC, como gateways de internet, conexões de emparelhamento de VPC ou redes privadas virtuais (VPNs) por meio de um gateway virtual. Essas regras ajudam a automatizar o monitoramento de suas redes da AWS e a identificar onde o acesso à rede às suas instâncias do EC2 pode estar mal configurado por meio de grupos de segurança, listas de controle de acesso (ACLs), gateways de internet e assim por diante. Para obter mais informações, consulte a documentação do Amazon Inspector.

Quando o Amazon Inspector identifica vulnerabilidades ou caminhos de rede abertos, ele produz uma descoberta que você pode investigar. A descoberta inclui detalhes abrangentes sobre a vulnerabilidade, incluindo uma pontuação de risco, o recurso afetado e recomendações de remediação. A pontuação de risco é adaptada especificamente ao seu ambiente e é calculada correlacionando as informações do up-to-date CVE com fatores temporais e ambientais, como informações de acessibilidade e explorabilidade da rede, para fornecer uma descoberta contextual.

Para verificar vulnerabilidades, as instâncias do EC2 devem ser gerenciadas no AWS Systems Manager usando o AWS Systems Manager Agent (SSM Agent). Nenhum agente é necessário para a acessibilidade de rede de instâncias do EC2 ou para a verificação de vulnerabilidades de imagens de contêineres nas funções Amazon ECR ou Lambda.

O Amazon Inspector é integrado ao AWS Organizations e oferece suporte à administração delegada. No AWS SRA, a conta do Security Tooling é transformada em conta de administrador delegado para o Amazon Inspector. A conta de administrador delegado do Amazon Inspector pode gerenciar descobertas, dados e determinadas configurações para membros da organização da AWS. Isso inclui visualizar os detalhes das descobertas agregadas de todas as contas dos membros, ativar ou desativar as verificações das contas dos membros e revisar os recursos escaneados dentro da organização da AWS.

Considerações sobre design

  • O Amazon Inspector se integra automaticamente com o AWS Security Hub quando ambos os serviços estão habilitados. Você pode usar essa integração para enviar todas as descobertas do Amazon Inspector para o Security Hub, que então incluirá essas descobertas na análise da sua postura de segurança.

  • O Amazon Inspector exporta automaticamente eventos para descobertas, alterações na cobertura de recursos e escaneamentos iniciais de recursos individuais para a Amazon e EventBridge, opcionalmente, para um bucket do Amazon Simple Storage Service (Amazon S3). Para exportar descobertas ativas para um bucket do S3, você precisa de uma chave do AWS KMS que o Amazon Inspector possa usar para criptografar descobertas e de um bucket do S3 com permissões que permitam ao Amazon Inspector carregar objetos. EventBridge a integração permite monitorar e processar descobertas quase em tempo real como parte de seus fluxos de trabalho existentes de segurança e conformidade. EventBridge os eventos são publicados na conta de administrador delegado do Amazon Inspector, além da conta membro da qual eles se originaram.

Exemplo de implementação

A biblioteca de códigos AWS SRA fornece um exemplo de implementação do Amazon Inspector. Ele demonstra a administração delegada (ferramentas de segurança) e configura o Amazon Inspector para todas as contas existentes e futuras na organização da AWS.

Implantação de serviços de segurança comuns em todas as contas da AWS

A seção Aplicar serviços de segurança em sua organização da AWS, anteriormente nesta referência, destacou os serviços de segurança que protegem uma conta da AWS e observou que muitos desses serviços também podem ser configurados e gerenciados dentro do AWS Organizations. Alguns desses serviços devem ser implantados em todas as contas, e você os verá no AWS SRA. Isso permite um conjunto consistente de barreiras e fornece monitoramento, gerenciamento e governança centralizados em toda a sua organização da AWS. 

As trilhas CloudTrail organizacionais do Security Hub GuardDuty, do AWS Config, do Access Analyzer e da AWS aparecem em todas as contas. Os três primeiros oferecem suporte ao recurso de administrador delegado discutido anteriormente na seção Conta de gerenciamento, acesso confiável e administradores delegados. CloudTrail atualmente usa um mecanismo de agregação diferente.

O repositório de GitHub códigos do AWS SRA fornece um exemplo de implementação para habilitar o Security Hub GuardDuty, o AWS Config, o Firewall Manager CloudTrail e as trilhas organizacionais em todas as suas contas, incluindo a conta do AWS Org Management.

Considerações sobre design

  • Configurações específicas da conta podem exigir serviços de segurança adicionais. Por exemplo, contas que gerenciam buckets do S3 (as contas Application e Log Archive) também devem incluir o Amazon Macie e considerar a ativação CloudTrail do registro de eventos de dados do S3 nesses serviços de segurança comuns. (O Macie oferece suporte à administração delegada com configuração e monitoramento centralizados.) Outro exemplo é o Amazon Inspector, que é aplicável somente para contas que hospedam instâncias EC2 ou imagens do Amazon ECR.

  • Além dos serviços descritos anteriormente nesta seção, o AWS SRA inclui dois serviços focados em segurança, o Amazon Detective e o AWS Audit Manager, que oferecem suporte à integração do AWS Organizations e à funcionalidade de administrador delegado. No entanto, eles não estão incluídos como parte dos serviços recomendados para a definição de base da conta, porque vimos que esses serviços são melhor usados nos seguintes cenários:

    • Você tem uma equipe dedicada ou um grupo de recursos que executam essas funções. O Detective é melhor utilizado pelas equipes de analistas de segurança e o Audit Manager é útil para suas equipes internas de auditoria ou conformidade.

    • Você quer se concentrar em um conjunto básico de ferramentas, como GuardDuty o Security Hub, no início do projeto e, em seguida, desenvolvê-las usando serviços que fornecem recursos adicionais.