Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS
SEC06-BP05 Automatizar a proteção da computação - Framework Well-Architected da AWS
Orientação para implementaçãoRecursos

SEC06-BP05 Automatizar a proteção da computação

PDFRSS

Automatize as operações de proteção da computação para reduzir a necessidade de intervenção humana. Use a verificação automatizada para detectar possíveis problemas em seus recursos de computação e corrigir com respostas programáticas automatizadas ou operações de gerenciamento de frota.  Incorpore a automação em seus processos de CI/CD para implantar workloads confiáveis com dependências atualizadas.

Resultado desejado: sistemas automatizados realizam todas as verificações e correções dos recursos computacionais. Você usa a verificação automatizada para determinar se as imagens e dependências do software são provenientes de fontes confiáveis e não foram adulteradas. As workloads são verificadas automaticamente em busca de dependências atualizadas e assinadas para estabelecer a confiabilidade em ambientes computacionais da AWS.  As correções automatizadas são iniciadas quando recursos fora de conformidade são detectados. 

Práticas comuns que devem ser evitadas:

  • Seguir a prática de infraestrutura imutável, mas sem ter uma solução para correção emergencial ou substituição de sistemas de produção.

  • Usar a automação para corrigir recursos configurados incorretamente, mas sem ter um mecanismo de substituição manual instalado.  Podem surgir situações em que você precise ajustar os requisitos e suspender as automações até fazer essas alterações.

Benefícios de implementar esta prática recomendada: a automação pode reduzir o risco de acesso e uso não autorizados de seus recursos computacionais.  Isso ajuda a evitar que configurações incorretas entrem nos ambientes de produção e a detectar e corrigir configurações incorretas caso elas ocorram.  A automação também ajuda a detectar acesso e uso não autorizados de recursos de computação para reduzir o tempo de resposta.  Isso, por sua vez, pode reduzir o escopo geral do impacto do problema.

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação

É possível aplicar as automações descritas nas práticas do pilar de segurança para proteger seus recursos de computação. SEC06-BP01 Realizar o gerenciamento de vulnerabilidades descreve como você pode usar o Amazon Inspector em seus pipelines de CI/CD e para verificar continuamente seus ambientes de runtime em busca de vulnerabilidades e exposições comuns (CVEs) conhecidas.  Você pode usar o AWS Systems Manager para aplicar patches ou reimplantar com base em novas imagens por meio de runbooks automatizados para manter sua frota computacional atualizada com o software e as bibliotecas mais recentes.  Use essas técnicas para reduzir a necessidade de processos manuais e acesso interativo aos seus recursos de computação.  Consulte SEC06-BP03 Reduzir o gerenciamento manual e o acesso interativo para saber mais.

A automação também desempenha um papel na implantação de workloads confiáveis, descritas em SEC06-BP02 Provisionar computação com base em imagens reforçadas e SEC06-BP04 Validar a integridade do software.  É possível usar serviços como EC2 Image Builder, AWS Signer, AWS CodeArtifact e Amazon Elastic Container Registry (ECR) para baixar, verificar, construir e armazenar imagens reforçadas e aprovadas e dependências de código.   Com o Inspector, cada um desses serviços pode desempenhar um papel no processo de CI/CD, de forma que a workload chegue à produção somente quando for confirmado que suas dependências estão atualizadas e provêm de fontes confiáveis.  Sua workload também é assinada para que ambientes computacionais da AWS, como AWS Lambda e Amazon Elastic Kubernetes Service (EKS), possam verificar se ela não foi adulterada antes de permitir sua execução.

Além desses controles preventivos, você também pode usar a automação nos controles de detecção para seus recursos de computação.  Como exemplo, o AWS Security Huboferece o padrão NIST 800-53 Rev. 5, que inclui verificações como [EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2).  O IMDSv2 usa as técnicas de autenticação de sessão, bloqueando solicitações que contêm um cabeçalho HTTP X-Forwarded-For e um TTL de rede de 1 para interromper o tráfego proveniente de fontes externas e recuperar informações sobre a instância do EC2. Essa verificação no Security Hub pode detectar quando as instâncias do EC2 usam o IMDSv1 e iniciar a autocorreção. Saiba mais sobre detecção e remediações automatizadas em SEC04-BP04 Iniciar a correção para recursos fora de conformidade.

Etapas de implementação

  1. Automatize a criação de AMIs seguras, em conformidade e reforçadas com o EC2 Image Builder.  Você pode produzir imagens que incorporem controles dos padrões de referência do Center for Internet Security (CIS) ou do Security Technical Implementation Guide (STIG) com base em imagens básicas da AWS e de parceiros da APN.

  2. Automatize o gerenciamento de configuração. Aplique e valide configurações seguras automaticamente em seus recursos de computação usando um serviço ou uma ferramenta de gerenciamento de configuração. 

    1. Gerenciamento automatizado de configurações usando o AWS Config

    2. Gerenciamento automatizado da postura de segurança e conformidade usando o AWS Security Hub

  3. Automatize a aplicação de patches ou a substituição de instâncias do Amazon Elastic Compute Cloud (Amazon EC2). AWS O Gerenciador de Patches do Systems Manager automatiza o processo de aplicação de patches em instâncias gerenciadas com atualizações relacionadas à segurança e com outros tipos de atualizações. Você pode usar o Patch Manager para aplicar patches de sistemas operacionais e aplicações.

    1. Gerenciador de patches do AWS Systems Manager

  4. Automatize a verificação de recursos de computação em busca de vulnerabilidades e exposições comuns (CVEs) e incorpore soluções de verificação de segurança em seu pipeline de criação.

    1. Amazon Inspector

    2. Verificação de imagens do ECR

  5. Considere o Amazon GuardDuty para detecção automática de malware e ameaças para proteger os recursos computacionais. O GuardDuty também pode identificar possíveis problemas quando uma função do AWS Lambda é invocada em seu ambiente da AWS. 

    1. Amazon GuardDuty

  6. Considere as soluções dos parceiros da AWS. AWS Os parceiros oferecem produtos líderes do setor que são equivalentes, idênticos ou se integram aos controles existentes nos seus ambientes on-premises. Esses produtos complementam os serviços existentes da AWS para que você possa implantar uma arquitetura de segurança abrangente e obter uma experiência mais uniforme em seus ambientes na nuvem e on-premises.

    1. Segurança da infraestrutura

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados:

Próximo tópico:

Proteção de dados

Precisa de ajuda?

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.