SEC08-BP03 Automatizar a proteção de dados em repouso

Use a automação para validar e aplicar controles de dados em repouso.  Use a verificação automatizada para detectar configurações incorretas de soluções de armazenamento de dados e realize correções por meio de resposta programática automatizada sempre que possível.  Incorpore a automação nos processos de CI/CD para detectar configurações incorretas de armazenamento de dados antes que elas sejam implantadas na produção.

Resultado desejado: os sistemas automatizados examinam e monitoram os locais de armazenamento de dados em busca de configurações incorretas de controles, acesso não autorizado e uso inesperado.  A detecção de locais de armazenamento configurados incorretamente inicia correções automatizadas.  Processos automatizados criam backups de dados e armazenam cópias imutáveis fora do ambiente original.

Antipadrões comuns:

• Não considerar as opções para habilitar a criptografia com configurações padrão, quando compatível.

• Não considerar eventos de segurança, além dos eventos operacionais, ao formular uma estratégia automatizada de backup e recuperação.

• Não impor configurações de acesso público para serviços de armazenamento.

• Não monitorar e auditar os controles para proteger os dados em repouso.

Benefícios do estabelecimento desta prática recomendada: a automação ajuda a evitar o risco de configurar incorretamente os locais de armazenamento de dados. Isso ajuda a evitar que configurações incorretas entrem nos ambientes de produção. Essa prática recomendada também ajuda a detectar e corrigir configurações incorretas, caso elas ocorram. 

Nível de exposição a riscos se esta prática recomendada não for estabelecida: médio

Orientações para a implementação 

A automação é um tema em todas as práticas para proteger os dados em repouso. A prática SEC01-BP06 Automatizar a implantação de controles de segurança padrão descreve como você pode capturar a configuração de seus recursos usando modelos de infraestrutura como código (IaC), como o AWS CloudFormation.  Esses modelos estão comprometidos com um sistema de controle de versão e são usados para implantar recursos da AWS por meio de um pipeline de CI/CD.  Essas técnicas também se aplicam à automação da configuração de soluções de armazenamento de dados, como configurações de criptografia em buckets do Amazon S3.  

Você pode verificar as configurações definidas nos modelos de IaC para verificar se há erros de configuração nos pipelines de CI/CD usando regras no AWS CloudFormation Guard.  Você pode monitorar configurações que ainda não estão disponíveis no CloudFormation ou em outras ferramentas de IaC para detectar erros de configuração com o AWS Config.  Os alertas gerados pelo Config para configurações incorretas podem ser corrigidos automaticamente, conforme descrito em SEC04-BP04 Iniciar a correção de recursos irregulares.

Usar a automação como parte da estratégia de gerenciamento de permissões também é um componente essencial das proteções de dados automatizadas. As práticas SEC03-BP02 Conceder acesso com privilégio mínimo e SEC03-BP04 Reduzir as permissões continuamente descrevem a configuração de políticas de acesso de privilégio mínimo que são monitoradas continuamente pelo AWS Identity and Access Management Access Analyzer para gerar descobertas quando a permissão pode ser reduzida.  Além da automação para monitorar permissões, você pode configurar o Amazon GuardDuty para observar comportamentos anômalos de acesso a dados nos volumes do EBS (por meio de uma instância do EC2), buckets do S3 e bancos de dados do Amazon Relational Database Service compatíveis.

A automação também desempenha um papel para detectar o armazenamento de dados confidenciais em locais não autorizados. A prática SEC07-BP03 Automatizar a identificação e a classificação descreve como o Amazon Macie pode monitorar buckets do S3 em busca de dados confidenciais inesperados e gerar alertas que podem iniciar uma resposta automatizada.

Siga as práticas de REL09 Back up data para desenvolver uma estratégia automatizada de backup e recuperação de dados. O backup e a recuperação de dados são importantes para a recuperação tanto de eventos de segurança quanto de eventos operacionais.

Etapas da implementação

1. Capture a configuração de armazenamento de dados em modelos de IaC.  Use verificações automatizadas nos pipelines de CI/CD para detectar configurações incorretas.

   1. Você pode usá-las <ulink type="marketing" url="cloudformation">&CFN;</ulink> em modelos de IaC.

   2. Use o AWS Config para executar regras em um modo de avaliação proativa. Use essa configuração como uma etapa em seu pipeline de CI/CD para verificar a conformidade de um recurso antes de criá-lo.

2. Monitore os recursos em busca de configurações incorretas de armazenamento de dados.

   1. Define o AWS Config para monitorar recursos de armazenamento de dados em busca de alterações nas configurações de controle e gerar alertas para invocar ações de correção ao detectar uma configuração incorreta.

   2. Consulte SEC04-BP04 Iniciar a correção de recursos irregulares para obter mais orientações sobre correções automatizadas.

3. Monitore e reduza continuamente as permissões de acesso aos dados por meio da automação.

   1. O IAM Access Analyzer pode ser executado continuamente para gerar alertas diante da possibilidade de as permissões serem reduzidas.

4. Monitore e emita alertas sobre comportamentos anômalos de acesso aos dados.

   1. O GuardDuty supervisiona assinaturas de ameaças conhecidas e desvios dos comportamentos de acesso de referência aos recursos de armazenamento de dados, como volumes do EBS, buckets do S3 e bancos de dados do RDS.

5. Monitore e emita alertas sobre dados confidenciais armazenados em locais inesperados.

   1. Use o Amazon Macie para verificar continuamente os buckets do S3 em busca de dados confidenciais.

6. Automatize backups seguros e criptografados dos dados.

   1. O AWS Backup é um serviço gerenciado que cria backups criptografados e seguros de várias fontes de dados na AWS.  O Elastic Disaster Recovery permite que você copie workloads completas do servidor e mantenha a proteção contínua dos dados com um objetivo de ponto de recuperação (RPO) medido em segundos.  Você pode configurar os dois serviços para que funcionem juntos e automatizem a criação de backups de dados e os copiem para locais de failover.  Isso pode ajudar a manter os dados disponíveis quando eles forem afetados por eventos operacionais ou de segurança.

Recursos

Práticas recomendadas relacionadas:

• SEC01-BP06 Automatizar a implantação de controles de segurança padrão

• SEC03-BP02 Conceder acesso com privilégio mínimo

• SEC03-BP04 Reduzir as permissões continuamente

• SEC04-BP04 Iniciar a correção de recursos irregulares

• SEC07-BP03 Automatizar a identificação e a classificação

• REL09-BP02 Proteger e criptografar backups

• REL09-BP03 Realizar o backup de dados automaticamente

Documentos relacionados:

• AWS Prescriptive Guidance: Automatically encrypt existing and new Amazon EBS volumes

• Ransomware Risk Management on AWS Using the NIST Cyber Security Framework (CSF)

Exemplos relacionados:

• How to use AWS Config proactive rules and AWS CloudFormation Hooks to prevent creation of noncompliant cloud resources

• Automate and centrally manage data protection for Amazon S3 with AWS Backup

• AWS re:Invent 2023 - Implement proactive data protection using Amazon EBS snapshots

• AWS re:Invent 2022 - Build and automate for resilience with modern data protection

Ferramentas relacionadas:

• AWS CloudFormation Guard

• AWS CloudFormation Guard Rules Registry

• IAM Access Analyzer

• Amazon Macie

• AWS Backup

• Elastic Disaster Recovery