AWSGlossário de orientação prescritiva - AWSOrientação prescritiva
Termos de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSGlossário de orientação prescritiva

A seguir estão os termos comumente usados em estratégias, guias e padrões fornecidos pela Orientação AWS Prescritiva. Para sugerir entradas, use o link Fornecer feedback no final do glossário.

Termos de segurança

anonimização

O processo de excluir permanentemente informações pessoais em um conjunto de dados. A anonimização pode ajudar a proteger a privacidade pessoal. Dados anônimos não são mais considerados dados pessoais.

antipadrão

Uma solução frequentemente usada para um problema recorrente em que a solução é contraproducente, ineficaz ou menos eficaz do que uma alternativa.

controle de acesso baseado em atributos (ABAC)

A prática de criar permissões refinadas com base nos atributos do usuário, como departamento, cargo e nome da equipe. Para obter mais informações, consulte ABAC AWS na documentação AWS Identity and Access Management (IAM).

criptografia assimétrica

Um algoritmo de criptografia que usa um par de chaves, uma chave pública para criptografia e uma chave privada para decodificação. Você pode compartilhar a chave pública porque ela não é usada para decodificação, mas o acesso à chave privada deve ser altamente restrito.

gráfico de comportamento

Uma visão unificada e interativa do comportamento e das interações dos recursos ao longo do tempo. Você pode usar um gráfico de comportamento com o Amazon Detective para examinar tentativas de login malsucedidas, chamadas de API suspeitas e ações similares. Para obter mais informações, consulte Dados em um gráfico de comportamento na documentação do Detective.

criptografia no lado do cliente

Criptografia de dados localmente, antes que o alvo os AWS service (Serviço da AWS) receba.

pacote de conformidade

Uma coleção de AWS Config regras e ações de remediação que você pode montar para personalizar suas verificações de conformidade e segurança. Você pode implantar um pacote de conformidade como uma entidade única em uma Conta da AWS região ou em uma organização usando um modelo YAML. Para obter mais informações, consulte Pacotes de conformidade na documentação. AWS Config

dados em repouso

Dados que estão estacionários em sua rede, como dados que estão armazenados.

classificação de dados

Um processo para identificar e categorizar os dados em sua rede com base em sua criticidade e sensibilidade. É um componente essencial de qualquer estratégia de gerenciamento de riscos de cibersegurança, pois ajuda a determinar os controles adequados de proteção e retenção para os dados. A classificação de dados é um componente do pilar de segurança no AWS Well-Architected Framework. Para obter mais informações, consulte Classificação de dados.

dados em trânsito

Dados que estão se movendo ativamente pela sua rede, como entre os recursos da rede.

minimização de dados

O princípio de coletar e processar apenas os dados estritamente necessários. Praticar a minimização de dados no Nuvem AWS pode reduzir os riscos de privacidade, os custos e a pegada de carbono de sua análise.

proveniência dos dados

O processo de rastrear a origem e o histórico dos dados ao longo de seu ciclo de vida, por exemplo, como os dados foram gerados, transmitidos e armazenados.

sujeito dos dados

Um indivíduo cujos dados estão sendo coletados e processados.

defense-in-depth

Uma abordagem de segurança da informação na qual uma série de mecanismos e controles de segurança são cuidadosamente distribuídos por toda a rede de computadores para proteger a confidencialidade, integridade e disponibilidade da rede e dos dados nela contidos. Ao adotar essa estratégiaAWS, você adiciona vários controles em diferentes camadas da AWS Organizations estrutura para ajudar a proteger os recursos. Por exemplo, uma defense-in-depth abordagem pode combinar autenticação multifatorial, segmentação de rede e criptografia.

administrador delegado

EmAWS Organizations, um serviço compatível pode registrar uma conta de AWS membro para administrar as contas da organização e gerenciar as permissões desse serviço. Essa conta é chamada de administrador delegado desse serviço. Para obter mais informações e uma lista de serviços compatíveis, consulte Serviços que funcionam com AWS Organizations na AWS Organizations documentação.

controle de detetive

Um controle de segurança projetado para detectar, registrar e alertar após a ocorrência de um evento. Esses controles são uma segunda linha de defesa, alertando você sobre eventos de segurança que contornaram os controles preventivos em vigor. Para obter mais informações, consulte Controles de Detective em Implementação de controles de segurança em. AWS

chave de criptografia

Uma sequência criptográfica de bits aleatórios que é gerada por um algoritmo de criptografia. As chaves podem variar em tamanho, e cada chave foi projetada para ser imprevisível e exclusiva.

serviço de endpoint

Um serviço que você pode hospedar em uma nuvem privada virtual (VPC) para compartilhar com outros usuários. Você pode criar um serviço de endpoint com AWS PrivateLink e conceder permissões para outras pessoas Contas da AWS ou para diretores do IAM. Essas contas ou diretores podem se conectar ao seu serviço de endpoint de forma privada criando endpoints VPC de interface. Para obter mais informações, consulte Criar um serviço de endpoint na documentação do Amazon VPC.

criptografia de envelope

O processo de criptografar uma chave de criptografia com outra chave de criptografia. Para obter mais informações, consulte Criptografia de envelope na documentação AWS Key Management Service (AWS KMS).

controle de acesso refinado (FGAC)

O uso de várias condições para permitir ou negar uma solicitação de acesso.

restrições geográficas (bloqueio geográfico)

Na Amazon CloudFront, uma opção para impedir que usuários em países específicos acessem distribuições de conteúdo. Você pode usar uma lista de permissões ou uma lista de bloqueio para especificar países aprovados e banidos. Para obter mais informações, consulte Restringir a distribuição geográfica do seu conteúdo na CloudFront documentação.

corrimão

Uma regra de alto nível que ajuda a governar recursos, políticas e conformidade em todas as unidades organizacionais (OUs). As barreiras preventivas aplicam políticas para garantir o alinhamento com os padrões de conformidade. Eles são implementados usando políticas de controle de serviço e limites de permissões do IAM. Detective proteções detectando violações de políticas e problemas de conformidade e gerando alertas para remediação. Eles são implementados usandoAWS Config,AWS Security Hub, Amazon GuardDutyAWS Trusted Advisor, Amazon Inspector e verificações personalizadasAWS Lambda.

política baseada em identidade

Uma política anexada a um ou mais diretores do IAM que define suas permissões no Nuvem AWS ambiente.

VPC de entrada (entrada)

Em uma arquitetura de AWS várias contas, uma VPC que aceita, inspeciona e roteia conexões de rede de fora de um aplicativo. A Arquitetura de Referência de AWS Segurança recomenda configurar sua conta de rede com VPCs de entrada, saída e inspeção para proteger a interface bidirecional entre seu aplicativo e a Internet em geral.

inspeção VPC

Em uma arquitetura de AWS várias contas, uma VPC centralizada que gerencia as inspeções do tráfego de rede entre VPCs (na mesma ou em diferentesRegiões da AWS), a Internet e as redes locais. A Arquitetura de Referência de AWS Segurança recomenda configurar sua conta de rede com VPCs de entrada, saída e inspeção para proteger a interface bidirecional entre seu aplicativo e a Internet em geral.

menor privilégio

A melhor prática de segurança de conceder as permissões mínimas necessárias para realizar uma tarefa. Para obter mais informações, consulte Aplicar permissões de privilégios mínimos na documentação do IAM.

conta-membro

Todos, Contas da AWS exceto a conta de gerenciamento, que fazem parte de uma organização emAWS Organizations. Uma conta da só pode ser membro de uma organização de cada vez.

trilha organizacional

Uma trilha criada por ela AWS CloudTrail registra todos os eventos de todos Contas da AWS em uma organização emAWS Organizations. Essa trilha é criada em cada uma Conta da AWS que faz parte da organização e rastreia a atividade em cada conta. Para obter mais informações, consulte Criação de uma trilha para uma organização na CloudTrail documentação.

VPC de saída (saída)

Em uma arquitetura de AWS várias contas, uma VPC que gerencia conexões de rede que são iniciadas de dentro de um aplicativo. A Arquitetura de Referência de AWS Segurança recomenda configurar sua conta de rede com VPCs de entrada, saída e inspeção para proteger a interface bidirecional entre seu aplicativo e a Internet em geral.

controle de acesso de origem (OAC)

Em CloudFront, uma opção aprimorada para restringir o acesso para proteger seu conteúdo do Amazon Simple Storage Service (Amazon S3). O OAC oferece suporte a todos os buckets S3Regiões da AWS, criptografia do lado do servidor com AWS KMS (SSE-KMS) e solicitações dinâmicas ao bucket S3. PUT DELETE

identidade de acesso de origem (OAI)

Em CloudFront, uma opção para restringir o acesso para proteger seu conteúdo do Amazon S3. Quando você usa o OAI, CloudFront cria um principal com o qual o Amazon S3 pode se autenticar. Os diretores autenticados podem acessar o conteúdo em um bucket do S3 somente por meio de uma distribuição específica. CloudFront Veja também OAC, que fornece controle de acesso mais granular e aprimorado.

limite de permissões

Uma política de gerenciamento do IAM anexada aos diretores do IAM para definir as permissões máximas que o usuário ou a função podem ter. Para obter mais informações, consulte Limites de permissões na documentação do IAM.

informações de identificação pessoal (PII)

Informações que, quando visualizadas diretamente ou combinadas com outros dados relacionados, podem ser usadas para inferir razoavelmente a identidade de um indivíduo. Exemplos de PII incluem nomes, endereços e informações de contato.

política

Um objeto que pode definir permissões (consultepolítica baseada em identidade), especificar condições de acesso (consultepolítica baseada em recursos) ou definir o máximo de permissões para todas as contas em uma organização em AWS Organizations (consulte a política de controle de serviços).

controle preventivo

Um controle de segurança projetado para evitar que um evento ocorra. Esses controles são a primeira linha de defesa para ajudar a impedir o acesso não autorizado ou alterações indesejadas em sua rede. Para obter mais informações, consulte Controles preventivos em Implementação de controles de segurança em. AWS

principal

Entidade na AWS que pode executar ações e acessar recursos. Essa entidade geralmente é um usuário raiz para umConta da AWS, uma função do IAM ou um usuário. Para obter mais informações, consulte os termos e conceitos de Principal in Roles na documentação do IAM.

Privacidade por design

Uma abordagem em engenharia de sistemas que leva em consideração a privacidade em todo o processo de engenharia.

pseudonimização

O processo de substituir identificadores pessoais em um conjunto de dados por valores de espaço reservado. A pseudonimização pode ajudar a proteger a privacidade pessoal. Os dados pseudonimizados ainda são considerados dados pessoais.

ransomware

Um software malicioso projetado para bloquear o acesso a um sistema ou dados de computador até que um pagamento seja feito.

política baseada em recursos

Uma política anexada a um recurso, como um bucket do Amazon S3, um endpoint ou uma chave de criptografia. Esse tipo de política especifica quais diretores têm acesso permitido, ações suportadas e quaisquer outras condições que devem ser atendidas.

controle responsivo

Um controle de segurança projetado para promover a remediação de eventos adversos ou desvios de sua linha de base de segurança. Para obter mais informações, consulte Controles responsivos em Implementação de controles de segurança em AWS.

SAML 2.0

Um padrão aberto que muitos provedores de identidade (IdPs) usam. Esse recurso permite o login único federado (SSO), para que os usuários possam fazer login AWS Management Console ou chamar as operações da AWS API sem que você precise criar um usuário no IAM para todos em sua organização. Para obter mais informações sobre a federação baseada em SAML 2.0, consulte Sobre a federação baseada em SAML 2.0 na documentação do IAM.

controle de segurança

Uma barreira técnica ou administrativa que impede, detecta ou reduz a capacidade de um agente de ameaça explorar uma vulnerabilidade de segurança. Existem três tipos principais de controles de segurança: preventivos, detectivos e responsivos.

fortalecimento da segurança

O processo de reduzir a superfície de ataque para torná-la mais resistente aos ataques. Isso pode incluir ações como remover recursos que não são mais necessários, implementar a melhor prática de segurança de conceder privilégios mínimos ou desativar recursos desnecessários nos arquivos de configuração.

sistema de gerenciamento de eventos e informações de segurança (SIEM)

Ferramentas e serviços que combinam sistemas de gerenciamento de informações de segurança (SIM) e gerenciamento de eventos de segurança (SEM). Um sistema SIEM coleta, monitora e analisa dados de servidores, redes, dispositivos e outras fontes para detectar ameaças e violações de segurança e gerar alertas.

criptografia do lado do servidor

Criptografia dos dados em seu destino, por AWS service (Serviço da AWS) quem os recebe.

política de controle de serviços (SCP)

Uma política que fornece controle centralizado sobre as permissões de todas as contas em uma organização emAWS Organizations. Os SCPs definem barreiras ou estabelecem limites para as ações que um administrador pode delegar a usuários ou funções. Você pode usar SCPs como listas de permissão ou de negação para especificar quais serviços ou ações são permitidos ou proibidos. Para obter mais informações, consulte Políticas de controle de serviço na AWS Organizations documentação.

modelo de responsabilidade compartilhada

Um modelo que descreve a responsabilidade com a qual você compartilha AWS pela segurança e conformidade na nuvem. AWSé responsável pela segurança da nuvem, enquanto você é responsável pela segurança na nuvem. Para obter mais informações, consulte o Modelo de responsabilidade compartilhada.

criptografia simétrica

Um algoritmo de criptografia que usa a mesma chave para criptografar e descriptografar os dados.

acesso confiável

Conceder permissões a um serviço que você especifica para realizar tarefas em sua organização AWS Organizations e em suas contas em seu nome. O serviço confiável cria uma função vinculada ao serviço em cada conta, quando essa função é necessária, para realizar tarefas de gerenciamento para você. Para obter mais informações, consulte Usando AWS Organizations com outros AWS serviços na AWS Organizations documentação.

vulnerabilidade

Uma falha de software ou hardware que compromete a segurança do sistema.

carga de trabalho

Uma coleção de recursos e códigos que agregam valor comercial, como um aplicativo voltado para o cliente ou um processo de back-end.

exploração de dia zero

Um ataque, normalmente malware, que tira proveito de umvulnerabilidade de dia zero.

vulnerabilidade de dia zero

Uma falha ou vulnerabilidade absoluta em um sistema de produção. Os agentes de ameaças podem usar esse tipo de vulnerabilidade para atacar o sistema. Os desenvolvedores frequentemente ficam cientes da vulnerabilidade como resultado do ataque.