SEC05-BP03 Implementar proteção baseada em inspeção

Configure pontos de inspeção de tráfego entre as camadas de rede para garantir que os dados em trânsito correspondam aos padrões e categorias esperados.  Analise padrões, metadados e fluxos de tráfego para ajudar a identificar, detectar e responder a eventos com maior eficiência.

Resultado desejado: o tráfego que atravessa as camadas da rede é inspecionado e autorizado.  As decisões de permissão e negação baseiam-se em regras explícitas, inteligência contra ameaças e desvios dos comportamentos de referência.  As proteções tornam-se mais rígidas à medida que o tráfego aproxima-se dos dados confidenciais.

Antipadrões comuns:

• Confiar somente em regras de firewall baseadas em portas e protocolos. Não aproveitar os sistemas inteligentes.

• Criar regras de firewall com base em padrões específicos de ameaças atuais que estão sujeitos a alterações.

• Inspecionar somente o tráfego que transita de sub-redes privadas para públicas ou de sub-redes públicas para a internet.

• Não ter uma visão de referência do tráfego da rede para comparar com anomalias de comportamento.

Benefícios do estabelecimento desta prática recomendada: os sistemas de inspeção permitem que você crie regras inteligentes, como permitir ou negar tráfego somente quando existem determinadas condições nos dados de tráfego. Beneficie-se de conjuntos de regras gerenciados pela AWS e por parceiros, com base na inteligência contra ameaças mais recente, à medida que o cenário de ameaças muda ao longo do tempo.  Isso reduz as despesas indiretas de manter regras e pesquisar indicadores de comprometimento, reduzindo o potencial de falsos positivos.

Nível de exposição a riscos se esta prática recomendada não for estabelecida: médio

Orientações para a implementação

Tenha controle refinado sobre o tráfego de rede com estado e sem estado usando o AWS Network Firewall ou outros firewalls e os sistemas de prevenção de invasões (IPS) no AWS Marketplace que você pode implantar por trás de um Gateway Load Balancer (GWLB). O AWS Network Firewall comporta especificações de IPS de código aberto compatíveis com o Suricata para ajudar a proteger as workloads.

Tanto o AWS Network Firewall quanto as soluções de fornecedor que usam um GWLB comportam diferentes modelos de implantação de inspeção em linha.  Por exemplo, você pode realizar a inspeção por VPC, centralizar em uma VPC de inspeção ou implantar em um modelo híbrido em que o tráfego leste-oeste flui por meio de uma VPC de inspeção e a entrada da internet é inspecionada por VPC.  Outra consideração é se a solução comporta o desempacotamento do Transport Layer Security (TLS), permitindo a inspeção detalhada de pacotes para fluxos de tráfego iniciados em qualquer direção. Para obter mais informações e detalhes sobre essas configurações, consulte o Guia de práticas recomendadas da AWS Network Firewall.

Se você estiver usando soluções que realizam inspeções fora de banda, como análise de pcap de dados de pacotes de interfaces de rede operando no modo promíscuo, você pode configurar o espelhamento de tráfego da VPC. O tráfego espelhado é computado na largura de banda disponível de suas interfaces e está sujeito às mesmas cobranças de transferência de dados que o tráfego não espelhado. Você pode ver se as versões virtuais desses dispositivos estão disponíveis no AWS Marketplace, o qual pode comportar a implantação em linha por trás de um GWLB.

Com relação a componentes executados por meio de protocolos baseados em HTTP, proteja sua aplicação contra ameaças comuns com um firewall de aplicações web (WAF). O AWS WAF é um firewall de aplicações web que permite monitorar e bloquear solicitações HTTP(S) que correspondam às suas regras configuráveis antes de enviá-las ao Amazon API Gateway, ao Amazon CloudFront, ao AWS AppSync ou a um Application Load Balancer. Considere a inspeção detalhada de pacotes ao avaliar a implantação do firewall de aplicações web, pois alguns exigem que você encerre o TLS antes da inspeção de tráfego. Para começar a utilizar o AWS WAF, você pode usar o AWS Managed Rules em conjunto com as suas próprias regras ou usar integrações de parceiros existentes.

Você pode gerenciar centralmente o AWS WAF, AWS Shield Advanced, o AWS Network Firewall e grupos de segurança da Amazon VPC em sua organização da AWS com o AWS Firewall Manager. 

Etapas da implementação

1. Determine se você pode definir um escopo amplo das regras de inspeção, como por meio de uma VPC de inspeção, ou se precisa de uma abordagem mais detalhada por VPC.

2. Para soluções de inspeção em linha:

   1. Se estiver usando o AWS Network Firewall, crie regras, políticas de firewall e o próprio firewall. Depois de configurados, você pode rotear o tráfego para o endpoint do firewall para permitir a inspeção. 

   2. Se estiver usando um dispositivo de terceiros com um Gateway Load Balancer (GWLB), implante e configure seu dispositivo em uma ou mais zonas de disponibilidade. Em seguida, crie o GWLB, o serviço de endpoint e o endpoint e configure o roteamento para o tráfego.

3. Para soluções de inspeção fora de banda:

   1. Ative o espelhamento de tráfego da VPC em interfaces nas quais o tráfego de entrada e saída deve ser espelhado. Você pode usar regras do Amazon EventBridge para invocar uma função do AWS Lambda que ative o espelhamento de tráfego em interfaces quando são criados recursos. Aponte as sessões de espelhamento de tráfego para o Network Load Balancer na frente do dispositivo que processa o tráfego.

4. Para soluções de tráfego de entrada na web:

   1. Para configurar o AWS WAF, primeiro configure uma lista de controle de acesso à web (ACL da web). ACL da web é um conjunto de regras com uma ação padrão processada em série (PERMITIR ou NEGAR) que define como o WAF lida com o tráfego. Você pode criar seus próprios grupos e regras ou usar grupos de regras gerenciadas da AWS em sua ACL da web.

   2. Assim que configurada, a ACL da web pode ser associada a um recurso da AWS (como um Application Load Balancer, uma API REST do API Gateway ou uma distribuição do CloudFront) para começar a proteger o tráfego da web.

Recursos

Documentos relacionados:

• What is Traffic Mirroring?

• Implementing inline traffic inspection using third-party security appliances

• AWS Network Firewall example architectures with routing

• Centralized inspection architecture with AWS Gateway Load Balancer and AWS Transit Gateway

Exemplos relacionados:

• Best practices for deploying Gateway Load Balancer

• TLS inspection configuration for encrypted egress traffic and AWS Network Firewall

Ferramentas relacionadas:

• AWS Marketplace IDS/IPS