Governança
A governança de segurança, como um subconjunto da abordagem geral, visa apoiar objetivos de negócios, definindo políticas e objetivos de controle para ajudar a gerenciar riscos. Gerencie os riscos seguindo uma abordagem em camadas para os objetivos de controle de segurança em que cada camada baseia-se na anterior. Compreender o Modelo de Responsabilidade Compartilhada da AWS é a camada mais importante. Esse conhecimento oferece clareza sobre a sua responsabilidade como cliente e o que é herdado da AWS. Um recurso benéfico é o AWS Artifact
Atenda à maioria dos objetivos de controle na próxima camada. É nela que reside a capacidade de toda a plataforma. Por exemplo, essa camada inclui o processo de provisionamento automático de contas da AWS, a integração com um provedor de identidades, como o AWS IAM Identity Center, e os controles de detecção comuns. Alguns dos resultados do processo de governança da plataforma também estão aqui. Quando você quiser começar a usar um novo serviço da AWS, atualize as políticas de controle de serviços (SCPs) no serviço AWS Organizations para fornecer as barreiras de proteção para o uso inicial do serviço. Você pode usar outros SCPs para implementar objetivos comuns de controle de segurança, geralmente chamados de invariantes de segurança. Esses são objetivos de controle ou configuração que você aplica a várias contas, unidades organizacionais ou a toda a organização da AWS. Os exemplos comuns são a limitação das Regiões em que a infraestrutura é executada ou o impedimento da desativação de controles de detecção. Essa camada intermediária também contém políticas codificadas, como regras de configuração ou verificações em pipelines.
A camada superior é onde as equipes de produto atendem aos objetivos de controle. Isso ocorre porque a implementação é feita nas aplicações controladas pelas equipes de produto. Isso pode ser implementar a validação de entrada em uma aplicação ou garantir que a identidade passe entre os microsserviços corretamente. Mesmo que a equipe de produto seja proprietária da configuração, ela ainda pode herdar alguns recursos da camada intermediária.
Independentemente de onde o controle seja implementado, o objetivo continua sendo o gerenciamento de riscos. Uma variedade de estruturas de gerenciamento de riscos se aplica a setores, regiões ou tecnologias específicos. O objetivo principal é destacar o risco com base na probabilidade e na consequência. Esse é o risco inerente. É possível então definir um objetivo de controle que reduza a probabilidade, a consequência ou ambos. Dessa forma, com um controle implementado, você poderá ver qual será o risco resultante. Esse é o risco residual. Os objetivos de controle podem ser aplicados a uma ou várias workloads. O diagrama a seguir mostra uma matriz de risco típica. A probabilidade é baseada na frequência de ocorrências anteriores e a consequência é baseada no custo financeiro, de reputação e de tempo do evento.
Figura 2: Matriz de probabilidade de nível de risco
