SEC01-BP01 Separar as workloads usando contas

Estabeleça barreiras de proteção e isolamento entre workloads e ambientes (como de produção, desenvolvimento e teste) por meio de uma estratégia de várias contas. A separação em nível de conta é altamente recomendável, pois ela oferece um limite de isolamento robusto para segurança, faturamento e acesso.

Resultado desejado: uma estrutura de conta que isola operações na nuvem, workloads não relacionadas e ambientes em contas separadas, aumentando a segurança em toda a infraestrutura de nuvem.

Antipadrões comuns:

• Colocação de várias workloads não relacionadas com diferentes níveis de confidencialidade na mesma conta.

• Estrutura de unidade organizacional (UO) definida de forma inadequada.

Benefícios do estabelecimento desta prática recomendada:

• Redução do escopo de impacto se uma workload for acessada acidentalmente.

• Governança central de acesso a serviços, recursos e regiões da AWS.

• Manutenção da segurança da infraestrutura de nuvem com políticas e administração centralizada de serviços de segurança.

• Criação de contas automatizada e processo de manutenção.

• Auditoria centralizada da infraestrutura de conformidade e requisitos regulatórios.

Nível de exposição a riscos quando esta prática recomendada não é estabelecida: alto

Orientação de implementação

As Contas da AWS oferecem um limite de isolamento de segurança entre workloads ou recursos que operam em diferentes níveis de confidencialidade. Para utilizar esse limite de isolamento, a AWS oferece ferramentas para gerenciar em grande escala suas workloads de nuvem por meio de uma estratégia de várias contas. Para ter orientações sobre os conceitos, os padrões e a implementação de uma estratégia de várias contas na AWS, consulte Organizar seu ambiente da AWS com o uso de várias contas.

Quando você tem várias Contas da AWS no gerenciamento central, elas devem ser organizadas em uma hierarquia definida por camadas de unidades organizacionais (UOs). Desse modo, os controles de segurança podem ser organizados e aplicados às UOs e às contas membros, estabelecendo controles preventivos consistentes nas contas membros da organização. Os controles de segurança são herdados, permitindo que você filtre as permissões disponíveis para as contas membros localizadas em níveis inferiores de uma hierarquia de UOs. Um bom design aproveita essa herança para reduzir o número e a complexidade das políticas de segurança necessárias para obter os controles de segurança desejados para cada conta membro.

O AWS Organizations e o AWS Control Tower são dois serviços que você pode utilizar para implementar e gerenciar essa estrutura de várias contas em seu ambiente da AWS. O AWS Organizations possibilita organizar as contas em uma hierarquia definida por uma ou mais camadas de UOs, em que cada UO contém uma série de contas membros. As políticas de controle de serviços (SCPs) permitem que o administrador da organização estabeleça controles preventivos detalhados nas contas membros, e o AWS Config pode ser utilizado para estabelecer controles proativos e de detecção nessas contas. Muitos serviços da AWS integram-se ao AWS Organizations para oferecer controles administrativos delegados e realizar tarefas específicas do serviço em todas as contas membros da organização.

Estruturado sobre o AWS Organizations, o AWS Control Tower oferece práticas recomendadas de um clique para um ambiente da AWS de várias contas com uma zona de pouso. A zona de pouso é o ponto de entrada para o ambiente de várias contas estabelecido pelo Control Tower. O Control Tower oferece vários benefícios em comparação com o AWS Organizations. Três benefícios que oferecem governança aprimorada de contas são:

• Barreiras de proteção de segurança obrigatórias e integradas que são aplicadas automaticamente às contas admitidas na organização.

• Barreiras de proteção opcionais que podem ser ativadas ou desativadas em determinado conjunto de UOs.

• O AWS Control Tower Account Factory oferece implantação automatizada de contas que contêm linhas de base aprovadas e opções de configuração em sua organização.

Etapas da implementação

1. Projetar uma estrutura de unidade organizacional: uma estrutura de unidade organizacional projetada adequadamente reduz o trabalho de gerenciamento necessário para criar e manter políticas de controle de serviços e outros controles de segurança. Sua estrutura de unidade organizacional deve estar alinhada com as necessidades, a confidencialidade dos dados e a estrutura de workload de sua empresa.

2. Criar uma zona de pouso para seu ambiente de várias contas: uma zona de pouso oferece uma base consistente de infraestrutura e segurança na qual sua organização pode desenvolver, executar e implantar workloads com rapidez. É possível usar uma zona de pouso personalizada ou o AWS Control Tower para orquestrar seu ambiente.

3. Estabelecer barreiras de proteção: implemente barreiras de proteção consistentes para seu ambiente por meio da zona de pouso. O AWS Control Tower oferece uma lista de controles obrigatórios e opcionais que podem ser implantados. Os controles obrigatórios são implantados automaticamente na implementação do Control Tower. Leia a lista de controles opcionais e altamente recomendados e implemente controles adequados às suas necessidades.

4. Restringir o acesso a regiões adicionadas recentemente: para novas Regiões da AWS, recursos do IAM, como usuários e perfis, serão propagados somente para as regiões especificadas. Essa ação pode ser realizada por meio do console ao usar o Control Tower ou ajustando as políticas de permissões do IAM no AWS Organizations.

5. Considerar o AWS CloudFormation StackSets: o StackSets ajuda você a implantar recursos, como grupos, políticas e perfis do IAM em diferentes regiões e Contas da AWS por meio de um modelo aprovado.

Recursos

Práticas recomendadas relacionadas:

• SEC02-BP04 Contar com um provedor de identidades centralizado

Documentos relacionados:

• AWS Control Tower

• Diretrizes de auditoria de segurança da AWS

• Práticas recomendadas do IAM

• Usar o CloudFormation StackSets para fornecer recursos entre várias regiões e Contas da AWS

• Perguntas frequentes sobre o Organizations

• Terminologia e conceitos do AWS Organizations

• Práticas recomendadas para políticas de controle de serviços do AWS Organizations em um ambiente de várias contas

• Guia de referência de gerenciamento de contas da AWS

• Organização do ambiente usando várias contas da AWS

Vídeos relacionados:

• Habilitar a adoção da AWS em grande escala com automação e governança

• Práticas recomendadas de segurança de acordo com o Well-Architected

• Criar e administrar várias contas com o uso do AWS Control Tower

• Habilitar o Control Tower para organizações existentes

Workshops relacionados:

• Dia de imersão no Control Tower