As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Evitando o acesso não autorizado e a exfiltração de dados
De acordo com o Relatório de Custo de uma Violação de Dados de 2022 (relatório
As principais considerações para proteger seus dados incluem:
-
Autenticação do usuário para acesso ao ambiente de desenvolvimento seguro
-
Autorização do usuário para acesso aos dados dentro do ambiente de desenvolvimento seguro
-
Registrando todas as transferências para dentro e para fora do ambiente de desenvolvimento seguro
-
Arquitetando fluxos de dados seguros entre ambientes
-
Criptografia de dados em trânsito e em repouso
-
Limitar e registrar o tráfego de saída da rede
Configurar permissões do
AWS Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los. Por padrão, qualquer ação em AWS é negada implicitamente, a menos que seja explicitamente permitida. Você gerencia o acesso AWS criando políticas. Você pode usar políticas para definir, em um nível granular, quais usuários podem acessar quais recursos e quais ações eles podem realizar nesses recursos. Uma prática AWS recomendada é aplicar permissões de privilégio mínimo, o que significa que você concede aos usuários somente as permissões necessárias para realizar suas tarefas. Para obter mais informações, consulte o seguinte na documentação do IAM:
Autenticação de usuários
É uma prática AWS recomendada exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias. O serviço recomendado para centralizar o acesso da força de trabalho do usuário é. AWS IAM Identity Center Esse serviço ajuda você a criar ou conectar com segurança suas identidades de força de trabalho e gerenciar seu acesso centralmente em todos os aplicativos. Contas da AWS O IAM Identity Center pode se federar com provedores de identidade externos (IdPs) usando SAML 2.0, Open ID Connect (OIDC) ou OAuth 2.0 para fornecer integração e gerenciamento de usuários perfeitos. Para obter mais informações, consulte Federação de identidade em AWS
Você também pode autenticar e autorizar usuários usando AWS Directory Servicepara gerenciar usuários e grupos definidos em um diretório, como o Active Directory. No ambiente de desenvolvimento seguro, você pode usar as permissões de arquivo Linux para autorizar e restringir o acesso aos dados na nuvem privada virtual (VPC). Use endpoints VPC para fornecer acesso Serviços da AWS sem atravessar a Internet pública. Use políticas de endpoint para restringir quais AWS diretores podem usar o endpoint e use políticas baseadas em identidade para restringir o acesso a. Serviços da AWS
Transferir dados
AWS fornece várias maneiras de migrar dados locais para a nuvem. É comum armazenar inicialmente os dados no Amazon Simple Storage Service (Amazon S3). O Amazon S3 é um serviço de armazenamento de objetos baseado em nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados. Ele fornece largura de banda de até 25 Gbps ao transferir dados de ou para uma instância do Amazon Elastic Compute Cloud (Amazon). EC2 Ele também oferece replicação e hierarquização de dados entre regiões. Os dados armazenados no Amazon S3 podem servir como fonte de replicação. Você pode usá-lo para criar novos sistemas de arquivos ou transferir dados para EC2 instâncias. Você pode usar o Amazon S3 como back-end de um sistema de arquivos AWS gerenciado e compatível com a Portable Operating System Interface (POSIX) para ferramentas e fluxos de semicondutores.
Outro serviço AWS de armazenamento é a Amazon FSx, que fornece sistemas de arquivos compatíveis com protocolos de conectividade padrão do setor e oferece alta disponibilidade e replicação em todos os lugares. Regiões da AWS As opções comuns para o setor de semicondutores incluem Amazon FSx for NetApp ONTAP, Amazon FSx for Lustre e Amazon FSx for OpenZFS. Os sistemas de arquivos escaláveis e de alto desempenho da Amazon FSx são adequados para armazenar dados localmente em um ambiente de desenvolvimento seguro.
AWS recomenda que você defina AWS primeiro os requisitos de armazenamento para suas cargas de trabalho de semicondutores e depois identifique o mecanismo de transferência de dados apropriado. AWS recomenda o uso AWS DataSyncpara transferir dados do local para AWS o. DataSync é um serviço on-line de transferência e descoberta de dados que ajuda você a mover arquivos ou dados de objetos para, de e entre serviços AWS de armazenamento. Dependendo se você está usando sistemas de armazenamento autogerenciados ou um provedor de armazenamento NetApp, como, você pode configurar DataSync para acelerar a movimentação e a replicação de dados para seu ambiente de desenvolvimento seguro pela Internet ou por meio dela. AWS Direct Connect DataSync pode transferir dados e metadados do sistema de arquivos, como propriedade, registros de data e hora e permissões de acesso. Se você estiver transferindo arquivos entre o ONTAP e FSx o NetApp ONTAP, AWS recomenda o uso. NetApp SnapMirror A Amazon FSx oferece suporte à criptografia em repouso e em trânsito. Use AWS CloudTrailoutros recursos de registro específicos do serviço para registrar todas as chamadas de API e transferências de dados relacionadas. Centralize os registros em uma conta dedicada e aplique políticas de acesso granulares para obter um histórico imutável.
AWS fornece serviços adicionais para ajudar a controlar os fluxos de dados, incluindo firewalls de rede com reconhecimento de aplicativos AWS Network Firewall, como firewall Amazon Route 53 Resolver DNS e proxies da web. AWS WAF Controle os fluxos de dados dentro do ambiente aplicando a segmentação da rede com grupos de segurança, listas de controle de acesso à rede e endpoints de VPC na Amazon Virtual Private Cloud (Amazon VPC), no Firewall de Rede, nas tabelas de rotas do gateway de trânsito e nas políticas de controle de serviços () em. SCPs AWS Organizations Registre centralmente todo o tráfego de rede usando os registros de fluxo da VPC e os campos disponíveis das versões 2—5 dos registros de fluxo da VPC.
Criptografar dados
Criptografe todos os dados em repouso usando AWS Key Management Service (AWS KMS) chaves gerenciadas pelo cliente ou AWS CloudHSM. Crie e mantenha políticas granulares de recursos-chave. Para obter mais informações, consulte Criar uma estratégia de criptografia corporativa para dados em repouso.
Criptografe dados em trânsito aplicando um mínimo de TLS 1.2 com uma cifra padrão do setor de 256 bits Advanced Encryption Standard (AES-256).
Gerenciando o tráfego de rede de saída
Se o ambiente de desenvolvimento seguro exigir acesso à Internet, todo o tráfego de saída da Internet deverá ser registrado e restrito por meio de um ponto de fiscalização no nível da rede, como por meio do Firewall de Rede ou do Squid
Por fim, você pode usar o Network Access Analyzer, um recurso da Amazon VPC, para realizar a validação da segmentação da rede e identificar possíveis caminhos de rede que não atendem aos requisitos especificados.
Ao colocar os controles de segurança em camadas, você pode estabelecer e aplicar um perímetro de dados robusto. Para obter mais informações, consulte Construindo um perímetro de dados em. AWS
