SEC06-BP05 Automatizar a proteção da computação

Automatize as operações de proteção da computação para reduzir a necessidade de intervenção humana. Use a verificação automatizada para detectar possíveis problemas em seus recursos de computação e corrigir com respostas programáticas automatizadas ou operações de gerenciamento de frota.  Incorpore a automação em seus processos de CI/CD para implantar workloads confiáveis com dependências atualizadas.

Resultado desejado: os sistemas automatizados realizam toda a verificação e correção dos recursos de computação. Você usa a verificação automática para conferir se as imagens e dependências do software provêm de fontes confiáveis e se não foram adulteradas. As workloads são verificadas automaticamente quanto a dependências atualizadas e são assinadas para estabelecer confiabilidade em ambientes de computação da AWS.  As correções automatizadas são iniciadas quando recursos irregulares são detectados. 

Antipadrões comuns:

• Seguir a prática de infraestrutura imutável, mas sem ter uma solução para correção emergencial ou substituição de sistemas de produção.

• Usar a automação para corrigir recursos configurados incorretamente, mas sem ter um mecanismo de substituição manual instalado.  Podem surgir situações em que você precise ajustar os requisitos e suspender as automações até fazer essas alterações.

Benefícios do estabelecimento desta prática recomendada: a automação pode reduzir o risco de acesso e uso não autorizados de seus recursos de computação.  Isso ajuda a evitar que configurações incorretas entrem nos ambientes de produção e a detectar e corrigir configurações incorretas caso elas ocorram.  A automação também ajuda a detectar acesso e uso não autorizados de recursos de computação para reduzir o tempo de resposta.  Isso, por sua vez, pode reduzir o escopo geral do impacto do problema.

Nível de exposição a riscos se esta prática recomendada não for estabelecida: médio

Orientações para a implementação

Você pode aplicar as automações descritas nas práticas do pilar de segurança para proteger seus recursos de computação. A prática SEC06-BP01 Realizar o gerenciamento de vulnerabilidades descreve como você pode usar o Amazon Inspector em seus pipelines de CI/CD e para verificar continuamente seus ambientes de runtime em busca de vulnerabilidades e exposições comuns (CVEs) conhecidas.  Você pode usar o AWS Systems Manager para aplicar patches ou reimplantar imagens novas por meio de runbooks automatizados e manter sua frota de computação atualizada com os programas de software e as bibliotecas mais recentes.  Use essas técnicas para reduzir a necessidade de processos manuais e acesso interativo aos seus recursos de computação.  Consulte SEC06-BP03 Reduzir o gerenciamento manual e o acesso interativo para saber mais.

A automação também desempenha um papel na implantação de workloads confiáveis, descritas em SEC06-BP02 Provisionar computação por meio de imagens reforçadas e SEC06-BP04 Validar a integridade do software.  Você pode usar determinados serviços, como o EC2 Image Builder, o AWS Signer, o AWS CodeArtifact e o Amazon Elastic Container Registry (ECR), para baixar, verificar, construir e armazenar imagens e dependências de código reforçadas e aprovadas.   Com o Inspector, cada um deles pode desempenhar um papel no processo de CI/CD, de forma que a workload chegue à produção somente quando for confirmado que suas dependências estão atualizadas e provêm de fontes confiáveis.  A workload também é assinada para que os ambientes de computação da AWS, como AWS Lambda e Amazon Elastic Kubernetes Service (EKS), possam verificar se ela não foi adulterada antes de permitir sua execução.

Além desses controles preventivos, você também pode usar a automação nos controles de detecção para seus recursos de computação.  A título de exemplo, o AWS Security Hub oferece o padrão NIST 800-53 Rev. 5, que inclui verificações como [EC2.8] EC2 instances should use Instance Metadata Service Version 2 (IMDSv2).  O IMDSv2 usa as técnicas de autenticação de sessão, bloqueando solicitações que contêm um cabeçalho HTTP X-Forwarded-For e um TTL de rede de 1 para interromper o tráfego proveniente de fontes externas e recuperar informações sobre a instância do EC2. Essa verificação no Security Hub pode detectar quando as instâncias do EC2 usam o IMDSv1 e iniciar a correção automática. Saiba mais sobre detecção e correções automatizadas em SEC04-BP04 Iniciar a correção de recursos irregulares.

Etapas da implementação

1. Automatize a criação de AMIs seguras, reforçadas e em conformidade com o EC2 Image Builder.  Você pode produzir imagens que incorporem controles dos padrões de referência do Center for Internet Security (CIS) ou do Security Technical Implementation Guide (STIG) com base em imagens básicas da AWS e de parceiros da APN.

2. Automatize o gerenciamento de configuração. Aplique e valide configurações seguras automaticamente em seus recursos de computação usando um serviço ou uma ferramenta de gerenciamento de configuração. 

   1. Gerenciamento automatizado de configuração usando o AWS Config.

   2. Gerenciamento automatizado de procedimento de segurança e conformidade usando o AWS Security Hub.

3. Automatize a correção ou a substituição de instâncias do Amazon Elastic Compute Cloud (Amazon EC2). O Gerenciador de Patches do AWS Systems Manager automatiza o processo de aplicação de patches em instâncias gerenciadas com atualizações relacionadas à segurança e outros tipos de atualização. Você pode usar o Gerenciador de Patches para aplicar patches a sistemas operacionais e aplicações.

   1. Gerenciador de Patches do AWS Systems Manager

4. Automatize a verificação de recursos de computação em busca de vulnerabilidades e exposições comuns (CVEs) e incorpore soluções de verificação de segurança em seu pipeline de criação.

   1. Amazon Inspector

   2. Verificação de imagens do ECR

5. Considere a possibilidade de usar o Amazon GuardDuty em detecção automática de malware e ameaças para proteger os recursos de computação. O GuardDuty também pode identificar possíveis problemas quando uma função do AWS Lambda é invocada em seu ambiente da AWS. 

   1. Amazon GuardDuty

6. Considere as soluções dos parceiros da AWS. Os parceiros da AWS oferecem produtos líderes do setor que são equivalentes, idênticos ou se integram aos controles existentes nos seus ambientes on-premises. Esses produtos complementam os serviços existentes da AWS para que você possa implantar uma arquitetura de segurança abrangente e obter uma experiência mais uniforme na nuvem e no ambiente on-premises.

   1. Segurança da infraestrutura

Recursos

Práticas recomendadas relacionadas:

• SEC01-BP06 Automatizar a implantação de controles de segurança padrão

Documentos relacionados:

• Get the full benefits of IMDSv2 and disable IMDSv1 across your AWS infrastructure

Vídeos relacionados:

• Security best practices for the Amazon EC2 instance metadata service