O valor do AWS SRA - AWS Orientação prescritiva
Como usar o AWS SRAPrincipais diretrizes de implementação do AWS SRA

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O valor do AWS SRA

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWSSRA) respondendo a uma breve pesquisa.

A AWS tem um grande (e crescente) conjunto de serviços de segurança e relacionados à segurança. Os clientes expressaram gratidão pelas informações detalhadas disponíveis por meio de nossa documentação de serviço, postagens em blogs, tutoriais, conferências e conferências. Eles também nos dizem que querem entender melhor o panorama geral e ter uma visão estratégica dos serviços de segurança da AWS. Quando trabalhamos com clientes para obter uma apreciação mais profunda do que eles precisam, surgem três prioridades:

  • Os clientes querem mais informações e padrões recomendados sobre como eles podem implantar, configurar e operar os serviços de segurança da AWS de forma holística. Em quais contas e para quais objetivos de segurança os serviços devem ser implantados e gerenciados?  Existe uma conta de segurança na qual todos ou a maioria dos serviços devem operar?  Como a escolha do local (unidade organizacional ou conta da AWS) influencia os objetivos de segurança? Quais compensações (considerações de design) os clientes devem conhecer?

  • Os clientes estão interessados em ver diferentes perspectivas para organizar logicamente os vários serviços de segurança da AWS. Além da função principal de cada serviço (por exemplo, serviços de identidade ou serviços de registro), esses pontos de vista alternativos ajudam os clientes a planejar, projetar e implementar sua arquitetura de segurança. Um exemplo compartilhado posteriormente neste guia agrupa os serviços com base nas camadas de proteção alinhadas à estrutura recomendada do seu ambiente da AWS.

  • Os clientes estão procurando orientação e exemplos para integrar os serviços de segurança da maneira mais eficaz. Por exemplo, qual a melhor forma de alinhar e conectar o AWS Config a outros serviços para realizar o trabalho pesado em pipelines automatizados de auditoria e monitoramento?  Os clientes estão solicitando orientação sobre como cada serviço de segurança da AWS depende ou oferece suporte a outros serviços de segurança.

Abordamos cada um deles no AWS SRA. A primeira prioridade na lista (para onde as coisas vão) é o foco do diagrama da arquitetura principal e das discussões que o acompanham neste documento. Fornecemos uma arquitetura recomendada do AWS Organizations e uma account-by-account descrição de quais serviços vão para onde.  Para começar com a segunda prioridade da lista (como pensar no conjunto completo de serviços de segurança), leia a seção Aplicar serviços de segurança em toda a sua organização da AWS. Esta seção descreve uma forma de agrupar serviços de segurança de acordo com a estrutura dos elementos em sua organização da AWS. Além disso, essas mesmas ideias são refletidas na discussão da conta Application, que destaca como os serviços de segurança podem ser operados para se concentrar em determinadas camadas da conta: instâncias do Amazon Elastic Compute Cloud (Amazon EC2), redes Amazon Virtual Private Cloud (Amazon VPC) e a conta mais ampla. Por fim, a terceira prioridade (integração de serviços) se reflete em toda a orientação, especialmente na discussão de serviços individuais nas seções detalhadas da conta desta documentação e do código no repositório de códigos do AWS SRA.

Como usar o AWS SRA

Há diferentes maneiras de usar o AWS SRA, dependendo de onde você está em sua jornada de adoção da nuvem. Aqui está uma lista de maneiras de obter o máximo de informações sobre os ativos do AWS SRA (diagrama de arquitetura, orientação escrita e exemplos de código).

  • Defina o estado de destino para sua própria arquitetura de segurança.

Se você está apenas começando sua jornada na nuvem da AWS — configurando seu primeiro conjunto de contas — ou planejando aprimorar um ambiente estabelecido da AWS, o AWS SRA é o lugar para começar a criar sua arquitetura de segurança. Comece com uma base abrangente de estrutura de contas e serviços de segurança e, em seguida, ajuste com base em sua pilha de tecnologia, habilidades, objetivos de segurança e requisitos de conformidade específicos. Se você sabe que criará e lançará mais cargas de trabalho, você pode pegar sua versão personalizada do AWS SRA e usá-la como base para a arquitetura de referência de segurança da sua organização. Para descobrir como você pode atingir o estado alvo descrito pelo AWS SRA, consulte a seção Construindo sua arquitetura de segurança — Uma abordagem em fases.

  • Revise (e revise) os projetos e os recursos que você já implementou.

Se você já tem um projeto e uma implementação de segurança, vale a pena dedicar algum tempo para comparar o que você tem com o AWS SRA. O AWS SRA foi projetado para ser abrangente e fornecer uma linha de base de diagnóstico para analisar sua própria segurança. Quando seus projetos de segurança se alinham ao AWS SRA, você pode se sentir mais confiante de que está seguindo as melhores práticas ao usar os serviços da AWS. Se seus projetos de segurança divergirem ou até mesmo discordarem das diretrizes do AWS SRA, isso não é necessariamente um sinal de que você está fazendo algo errado. Em vez disso, essa observação oferece a oportunidade de revisar seu processo de decisão. Há motivos comerciais e tecnológicos legítimos pelos quais você pode se desviar das melhores práticas do AWS SRA. Talvez seus requisitos específicos de conformidade, regulamentação ou segurança organizacional exijam configurações de serviço específicas. Ou, em vez de usar os serviços da AWS, você pode ter uma preferência de recurso por um produto da Rede de Parceiros da AWS ou por um aplicativo personalizado que você criou e gerencia. Às vezes, durante essa análise, você pode descobrir que suas decisões anteriores foram tomadas com base em tecnologias mais antigas, recursos da AWS ou restrições comerciais que não se aplicam mais. Essa é uma boa oportunidade para revisar, priorizar todas as atualizações e adicioná-las ao local apropriado de sua lista de pendências de engenharia. O que quer que você descubra ao avaliar sua arquitetura de segurança à luz do AWS SRA, você achará importante documentar essa análise. Ter esse registro histórico das decisões e suas justificativas pode ajudar a informar e priorizar decisões futuras.

  • Inicialize a implementação de sua própria arquitetura de segurança.

Os módulos de infraestrutura como código (IaC) do AWS SRA fornecem uma maneira rápida e confiável de começar a criar e implementar sua arquitetura de segurança. Esses módulos são descritos mais detalhadamente na seção de repositório de código e no GitHub repositório público. Eles não apenas permitem que os engenheiros desenvolvam exemplos de alta qualidade dos padrões na orientação do AWS SRA, mas também incorporam controles de segurança recomendados, como políticas de senha do AWS Identity and Access Management (IAM), acesso público à conta de bloqueio do Amazon Simple Storage Service (Amazon S3), acesso público à conta de bloqueio, criptografia padrão do Amazon EC2 do Amazon Elastic Block Store (Amazon EBS) e integração com o AWS Control Tower para que os controles sejam aplicados ou removidos à medida que novas contas da AWS forem integradas ou descomissionadas.

  • Saiba mais sobre os serviços e recursos de segurança da AWS.

As orientações e discussões no AWS SRA incluem recursos importantes, bem como considerações de implantação e gerenciamento para serviços individuais de segurança e relacionados à segurança da AWS. Um recurso do AWS SRA é que ele fornece uma introdução de alto nível à amplitude dos serviços de segurança da AWS e à forma como eles funcionam juntos em um ambiente de várias contas. Isso complementa o aprofundamento nos recursos e na configuração de cada serviço encontrado em outras fontes. Um exemplo disso é a discussão sobre como o AWS Security Hub ingere descobertas de segurança de uma variedade de serviços da AWS, produtos de parceiros da AWS e até mesmo de seus próprios aplicativos.

  • Promova uma discussão sobre governança organizacional e responsabilidades pela segurança.

Um elemento importante para projetar e implementar qualquer arquitetura ou estratégia de segurança é entender quem em sua organização tem quais responsabilidades relacionadas à segurança. Por exemplo, a questão de onde agregar e monitorar as descobertas de segurança está ligada à questão de qual equipe será responsável por essa atividade. Todas as descobertas em toda a organização são monitoradas por uma equipe central que precisa acessar uma conta dedicada do Security Tooling? Ou as equipes individuais de aplicativos (ou unidades de negócios) são responsáveis por determinadas atividades de monitoramento e, portanto, precisam acessar determinadas ferramentas de alerta e monitoramento? Como outro exemplo, se sua organização tiver um grupo que gerencia todas as chaves de criptografia centralmente, isso influenciará quem tem permissão para criar chaves do AWS Key Management Service (AWS KMS) e em quais contas essas chaves serão gerenciadas. Compreender as características da sua organização — as várias equipes e responsabilidades — ajudará você a adaptar o AWS SRA para melhor atender às suas necessidades. Por outro lado, às vezes, a discussão sobre a arquitetura de segurança se torna o ímpeto para discutir as responsabilidades organizacionais existentes e considerar possíveis mudanças. A AWS recomenda um processo de tomada de decisão descentralizado em que as equipes de carga de trabalho são responsáveis por definir os controles de segurança com base em suas funções e requisitos de carga de trabalho. O objetivo da equipe centralizada de segurança e governança é criar um sistema que permita que os proprietários da carga de trabalho tomem decisões informadas e que todas as partes tenham visibilidade da configuração, das descobertas e dos eventos. O AWS SRA pode ser um veículo para identificar e informar essas discussões.

Principais diretrizes de implementação do AWS SRA

Aqui estão oito principais conclusões do AWS SRA que você deve ter em mente ao projetar e implementar sua segurança.   

  • O AWS Organizations e uma estratégia adequada de várias contas são elementos necessários da sua arquitetura de segurança. A separação adequada de cargas de trabalho, equipes e funções fornece a base para a separação de tarefas e defense-in-depth estratégias. O guia abordará isso mais detalhadamente em uma seção posterior.

  • D efense-in-depth é uma consideração de design importante para selecionar controles de segurança para sua organização. Ele ajuda você a injetar os controles de segurança apropriados em diferentes camadas da estrutura do AWS Organizations, o que ajuda a minimizar o impacto de um problema: se houver um problema com uma camada, existem controles em vigor que isolam outros recursos de TI valiosos. O AWS SRA demonstra como diferentes serviços da AWS funcionam em diferentes camadas da pilha de tecnologia da AWS e como o uso combinado desses serviços ajuda você a alcançar seus objetivos. defense-in-depth Esse defense-in-depth conceito na AWS é discutido mais detalhadamente em uma seção posterior, com exemplos de design mostrados em Conta do aplicativo.

  • Use a grande variedade de componentes de segurança em vários serviços e recursos da AWS para criar uma infraestrutura de nuvem robusta e resiliente. Ao adaptar o AWS SRA às suas necessidades específicas, considere não apenas a função principal dos serviços e recursos da AWS (por exemplo, autenticação, criptografia, monitoramento, política de permissão), mas também como eles se encaixam na estrutura da sua arquitetura. Uma seção posterior do guia descreve como alguns serviços operam em toda a sua organização da AWS. Outros serviços funcionam melhor em uma única conta, e alguns são projetados para conceder ou negar permissão a diretores individuais. A consideração dessas duas perspectivas ajuda você a criar uma abordagem de segurança mais flexível e em camadas.

  • Sempre que possível (conforme detalhado nas seções posteriores), use os serviços da AWS que podem ser implantados em todas as contas (distribuídas em vez de centralizadas) e crie um conjunto consistente de proteções compartilhadas que possam ajudar a proteger suas cargas de trabalho contra o uso indevido e ajudar a reduzir o impacto de eventos de segurança. O AWS SRA usa o AWS Security Hub (monitoramento centralizado de descobertas e verificações de conformidade), Amazon GuardDuty (detecção de ameaças e detecção de anomalias), AWS Config (monitoramento de recursos e detecção de alterações), IAM Access Analyzer (monitoramento de acesso a recursos, AWS CloudTrail (atividade de API do serviço de registro em seu ambiente) e Amazon Macie (classificação de dados) como um conjunto básico de serviços da AWS a serem implantados em todas as contas da AWS.

  • Use o recurso de administração delegada do AWS Organizations, onde ele é suportado, conforme explicado posteriormente na seção de administração delegada do guia. Isso permite que você registre uma conta de membro da AWS como administrador dos serviços suportados. A administração delegada oferece flexibilidade para que diferentes equipes da sua empresa usem contas separadas, conforme apropriado para suas responsabilidades, para gerenciar os serviços da AWS em todo o ambiente. Além disso, o uso de um administrador delegado ajuda a limitar o acesso e gerenciar a sobrecarga de permissões da conta de gerenciamento do AWS Organizations.

  • Implemente monitoramento, gerenciamento e governança centralizados em todas as suas organizações da AWS. Ao usar os serviços da AWS que oferecem suporte à agregação de várias contas (e às vezes de várias regiões), junto com recursos de administração delegada, você capacita suas equipes centrais de engenharia de segurança, rede e nuvem a terem ampla visibilidade e controle sobre a configuração de segurança e a coleta de dados apropriadas. Além disso, os dados podem ser devolvidos às equipes de carga de trabalho para capacitá-las a tomar decisões de segurança eficazes no início do ciclo de vida de desenvolvimento de software (SDLC).

  • Use o AWS Control Tower para configurar e governar seu ambiente de várias contas da AWS com a implementação de controles de segurança pré-criados para iniciar a criação de sua arquitetura de referência de segurança. O AWS Control Tower fornece um plano para fornecer gerenciamento de identidade, acesso federado a contas, registro centralizado e fluxos de trabalho definidos para provisionar contas adicionais. Em seguida, você pode usar a solução Customizations for AWS Control Tower (cFCT) para definir as contas gerenciadas pela AWS Control Tower com controles adicionais de segurança, configurações de serviços e governança, conforme demonstrado pelo repositório de códigos do AWS SRA. O recurso de fábrica de contas provisiona automaticamente novas contas com modelos configuráveis com base na configuração de conta aprovada para padronizar contas dentro de suas organizações da AWS. Você também pode estender a governança a uma conta individual existente da AWS inscrevendo-a em uma unidade organizacional (OU) que já é governada pela AWS Control Tower.

  • Os exemplos de código da AWS SRA demonstram como você pode automatizar a implementação de padrões dentro do guia da AWS SRA usando a infraestrutura como código (IaC). Ao codificar os padrões, você pode tratar o IaC como outros aplicativos em sua organização e automatizar os testes antes de implantar o código. O IaC também ajuda a garantir a consistência e a repetibilidade implantando grades de proteção em vários ambientes (por exemplo, SDLC ou específicos da região). Os exemplos de código de SRA podem ser implantados em um ambiente de várias contas do AWS Organizations com ou sem o AWS Control Tower. As soluções nesse repositório que exigem o AWS Control Tower foram implantadas e testadas em um ambiente da AWS Control Tower usando a AWS CloudFormation e as personalizações da AWS Control Tower (cFct). Soluções que não exigem o AWS Control Tower foram testadas em um ambiente do AWS Organizations usando a AWS CloudFormation. Se você não usa o AWS Control Tower, você pode usar a solução de implantação baseada em organizações da AWS.