SEC03-BP08 Compartilhar recursos com segurança em sua organização - Framework Well-Architected da AWS

SEC03-BP08 Compartilhar recursos com segurança em sua organização

À medida que o número de workloads aumenta, talvez você precise compartilhar o acesso aos recursos nessas workloads ou fornecer os recursos várias vezes nas contas. É possível usar constructos para compartimentalizar seu ambiente, por exemplo, para ter ambientes de desenvolvimento, teste e produção. No entanto, ter constructos de separação não impede que você compartilhe com segurança. Ao compartilhar componentes que se sobrepõem, você pode reduzir a sobrecarga operacional e possibilitar uma experiência consistente sem precisar adivinhar o que ignorou ao criar o mesmo recurso várias vezes.

Resultado desejado: minimize o acesso não intencional usando métodos seguros para compartilhar recursos em sua organização e ajudar na sua iniciativa de prevenção de perda de dados. Reduza sua sobrecarga operacional em comparação com o gerenciamento de componentes individuais, reduza os erros gerados pela criação manual do mesmo componente várias vezes e aumente a escalabilidade das suas workloads. É possível se beneficiar da redução de tempo para a resolução em cenários de falhas em vários pontos e aumentar sua confiança na determinação de quando um componente não é mais necessário. Para obter recomendações sobre a análise de recursos compartilhados externamente, consulte SEC03-BP07 Analisar o acesso público e entre contas.

Práticas comuns que devem ser evitadas:

  • Ausência de um processo para monitorar de forma contínua e alertar automaticamente sobre o compartilhamento externo inesperado.

  • Ausência de referência sobre o que deve ou não ser compartilhado.

  • Adotar como padrão uma política amplamente aberta em vez de compartilhar explicitamente quando necessário.

  • Criar manualmente recursos básicos que se sobrepõem quando necessário.

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação

Projete seus controles e padrões de acesso para reger o consumo de recursos compartilhados com segurança e somente com entidades confiáveis. Monitore recursos compartilhados e revise o acesso a eles de forma contínua e seja alertado sobre o compartilhamento inadequado ou inesperado. Revise Analisar o acesso público e entre contas para saber como estabelecer uma governança para limitar o acesso externo somente aos recursos que o exijam e estabelecer um processo para monitorar continuamente e enviar alertas de forma automática.

O compartilhamento entre contas no AWS Organizations é aceito por vários serviços da AWS, como AWS Security Hub, Amazon GuardDuty e AWS Backup. Esses serviços possibilitam compartilhar os dados em uma conta central, acessá-los ou gerenciar recursos e dados dessa conta. Por exemplo, o AWS Security Hub pode transferir as descobertas de contas individuais para uma conta central onde é possível visualizar todas elas. O AWS Backup pode fazer um backup de um recurso e compartilhá-lo entre contas. É possível usar o AWS Resource Access Manager (AWS RAM) para compartilhar outros recursos comuns, como sub-redes de VPC e anexos do gateway de trânsito, AWS Network Firewall ou Amazon SageMaker Pipelines.

Para restringir sua conta para compartilhar apenas recursos dentro de sua organização, use políticas de controle de serviços (SCPs) para impedir o acesso a entidades externas. Ao compartilhar recursos, combine controles baseados em identidade e controles de rede para criar um perímetro de dados para sua organização e ajudar a se proteger contra acesso não intencional. Um perímetro de dados é um conjunto de barreiras de proteção preventivas que ajudam a garantir que apenas suas identidades confiáveis acessem recursos confiáveis das redes esperadas. Esses controles impõem limites apropriados sobre quais recursos podem ser compartilhados e impedir o compartilhamento ou a exposição de recursos que não devem ser permitidos. Por exemplo, como parte do seu perímetro de dados, você pode usar as políticas de endpoint da VPC e a condição AWS:PrincipalOrgId para garantir que as identidades que acessam seus buckets do Amazon S3 pertençam à sua organização. É importante observar que as SCPs não se aplicam a perfis vinculados a serviços ou entidades principais de serviços da AWS.

Ao usar o Amazon S3, desative as ACLs do seu bucket do Amazon S3 e use as políticas do IAM para definir o controle de acesso. Para restringir o acesso a uma origem do Amazon S3 do Amazon CloudFront, migre da identidade do acesso de origem (OAI) para um controle de acesso de origem (OAC) compatível com recursos adicionais, incluindo criptografia do lado do servidor com o AWS Key Management Service.

Em alguns casos, convém permitir o compartilhamento de recursos fora de sua organização ou conceder a terceiros acesso aos seus recursos. Para obter recomendações sobre o gerenciamento de permissões para compartilhar recursos externamente, consulte Gerenciamento de permissões.

Etapas de implementação

  1. Use o AWS Organizations: O AWS Organizations é um serviço de gerenciamento de contas que permite consolidar várias Contas da AWS em uma organização criada e gerencia centralmente por você. É possível agrupar suas contas em unidades organizacionais (UOs) e anexar políticas diferentes a cada UO a fim de ajudar a atender às suas necessidades orçamentárias, de segurança e conformidade. Também é possível controlar como serviços de inteligência artificial (IA) e machine learning (ML) da AWS podem coletar e armazenar dados e usar o gerenciamento de várias contas dos serviços da AWS integrados ao Organizations.

  2. Integre o AWS Organizations com serviços da AWS: quando você usa um serviço da AWS para executar tarefas em seu nome nas contas-membro da organização, o AWS Organizations cria um perfil vinculado ao serviço (SLR) do IAM para esse serviço em cada conta-membro. Você deve gerenciar o acesso confiável usando o AWS Management Console, as APIs da AWS ou a AWS CLI. Para obter recomendações sobre como ativar o acesso confiável, consulte Usar o AWS Organizations com outros serviços da AWS e Serviços da AWS que você pode usar com o Organizations.

  3. Estabeleça um perímetro de dados: um perímetro de dados fornece um limite claro de confiança e propriedade. Na AWS, costuma ser representado como sua organização na AWS gerenciada pelo AWS Organizations, com quaisquer redes ou sistemas on-premises que acessam os recursos da AWS. O objetivo do perímetro de dados é garantir que o acesso seja permitido se a identidade e o recurso forem confiáveis e a rede for esperada. No entanto, estabelecer um perímetro de dados não é uma abordagem única. Avalie e adote os objetivos de controle descritos no whitepaper sobre como criar um perímetro na AWS com base em modelos e requisitos de risco de segurança específicos. Você deve considerar cuidadosamente sua postura de risco exclusiva e implementar os controles de perímetro que se alinhem às suas necessidades de segurança.

  4. Use o compartilhamento de recursos nos serviços da AWS e restrinja adequadamente: muitos serviços da AWS permitem compartilhar recursos com outra conta ou apontar para um recurso em outra conta, como imagens de máquina da Amazon (AMIs) e AWS Resource Access Manager (AWS RAM). Restrinja a API ModifyImageAttribute para especificar as contas confiáveis com as quais a AMI será compartilhada. Especifique a condição ram:RequestedAllowsExternalPrincipals ao usar o AWS RAM para restringir o compartilhamento somente à sua organização, ajudando assim a impedir o acesso de identidades não confiáveis. Para orientações e recomendações, consulte Compartilhamento de recursos e destinos externos.

  5. Use AWS RAM para compartilhar com segurança em uma conta ou com outras Contas da AWS: O AWS RAM ajuda você a compartilhar com segurança os recursos criados com perfis e usuários em sua conta e em outras Contas da AWS. Em um ambiente de várias contas, o AWS RAM permite criar um recurso uma vez e compartilhá-lo com outras contas. Essa abordagem ajuda a reduzir sua sobrecarga operacional enquanto oferece consistência, visibilidade e capacidade de auditoria por meio de integrações com o Amazon CloudWatch e o AWS CloudTrail, o que você não recebe ao utilizar o acesso entre contas.

    Se você tiver recursos que compartilhou anteriormente usando uma política baseada em recursos, poderá usar a API PromoteResourceShareCreatedFromPolicy ou equivalente para promover o compartilhamento de recursos em um compartilhamento de recursos do AWS RAM completo.

    Em alguns casos, convém realizar etapas adicionais para compartilhar recursos. Por exemplo, para compartilhar um snapshot criptografado, é necessário compartilhar uma chave do AWS KMS.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados:

Ferramentas relacionadas: