Segurança

Quando você cria sistemas na infraestrutura da AWS, as responsabilidades de segurança são compartilhadas entre você e a AWS. Esse modelo de responsabilidade compartilhada reduz sua carga operacional porque a AWS opera, gerencia e controla os componentes, incluindo o sistema operacional do host, a camada de virtualização e a segurança física das instalações nas quais os serviços operam. Para obter mais informações sobre a segurança da AWS, visite o Centro de Segurança da AWS.

Acesso ao recurso

Perfis do IAM

As funções do IAM permitem que os clientes atribuam políticas e permissões de acesso granulares a serviços e usuários na nuvem da AWS. São necessárias várias funções para executar o Workload Discovery na AWS e descobrir recursos nas contas da AWS.

Amazon Cognito

O Amazon Cognito é usado para autenticar o acesso com credenciais fortes e de curta duração, concedendo acesso aos componentes necessários para o Workload Discovery na AWS.

Acesso à rede

Amazon VPC

O Workload Discovery na AWS é implantado em uma Amazon VPC e configurado de acordo com as melhores práticas para oferecer segurança e alta disponibilidade. Para obter detalhes adicionais, consulte as melhores práticas de segurança para sua VPC. Os endpoints VPC permitem o trânsito sem Internet entre os serviços e são configurados quando disponíveis.

Os grupos de segurança são usados para controlar e isolar o tráfego de rede entre os componentes necessários para executar o Workload Discovery na AWS.

Recomendamos que você revise os grupos de segurança e restrinja ainda mais o acesso conforme necessário quando a implantação estiver em execução.

Amazon CloudFront

Essa solução implanta uma interface de usuário de console web hospedada em um bucket Amazon S3 que é distribuído pela Amazon. CloudFront Ao usar o recurso de identidade de acesso de origem, o conteúdo desse bucket do Amazon S3 pode ser acessado somente por meio de. CloudFront Para obter mais informações, consulte Restringir o acesso a uma origem do Amazon S3 no CloudFront Amazon Developer Guide.

CloudFront ativa mitigações de segurança adicionais para acrescentar cabeçalhos de segurança HTTP à resposta de cada visualizador. Para obter detalhes adicionais, consulte Adicionar ou remover cabeçalhos HTTP nas CloudFront respostas.

Essa solução usa o CloudFront certificado padrão que tem um protocolo de segurança mínimo suportado de TLS v1.0. Para impor o uso do TLS v1.2 ou do TLS v1.3, você deve usar um certificado SSL personalizado em vez do certificado padrão. CloudFront Para obter mais informações, consulte Como configuro minha CloudFront distribuição para usar um certificado SSL/TLS.

Configuração do aplicativo

AWS AppSync

O Workload Discovery no AWS APIs GraphQL tem a validação de solicitações fornecida pela AppSync AWS de acordo com a especificação GraphQL. Além disso, a autenticação e a autorização são implementadas usando o IAM e o Amazon Cognito, que usam o JWT fornecido pelo Amazon Cognito quando um usuário se autentica com sucesso na interface de usuário da web.

AWS Lambda

Por padrão, as funções do Lambda são configuradas com a versão estável mais recente do runtime da linguagem. Nenhum dado ou segredo confidencial é registrado. As interações de serviço são realizadas com o menor privilégio necessário. As funções que definem esses privilégios não são compartilhadas entre as funções.

OpenSearch Serviço Amazon

Os domínios do Amazon OpenSearch Service são configurados com uma política de acesso que restringe o acesso para interromper quaisquer solicitações não assinadas feitas ao OpenSearch cluster de serviços. Isso é restrito a uma única função Lambda.

O cluster OpenSearch de serviços é construído com a node-to-node criptografia ativada para adicionar uma camada extra de proteção de dados aos recursos de segurança do OpenSearch serviço existentes.