SEC08-BP03 Automatizar a proteção de dados em repouso
Use a automação para validar e aplicar controles de dados em repouso. Use a verificação automatizada para detectar configurações incorretas de soluções de armazenamento de dados e realize correções por meio de resposta programática automatizada sempre que possível. Incorpore a automação nos processos de CI/CD para detectar configurações incorretas de armazenamento de dados antes que elas sejam implantadas na produção.
Resultado desejado: os sistemas automatizados examinam e monitoram os locais de armazenamento de dados em busca de configurações incorretas de controles, acesso não autorizado e uso inesperado. A detecção de locais de armazenamento configurados incorretamente inicia correções automatizadas. Processos automatizados criam backups de dados e armazenam cópias imutáveis fora do ambiente original.
Antipadrões comuns:
-
Não considerar as opções para habilitar a criptografia com configurações padrão, quando compatível.
-
Não considerar eventos de segurança, além dos eventos operacionais, ao formular uma estratégia automatizada de backup e recuperação.
-
Não impor configurações de acesso público para serviços de armazenamento.
-
Não monitorar e auditar os controles para proteger os dados em repouso.
Benefícios do estabelecimento desta prática recomendada: a automação ajuda a evitar o risco de configurar incorretamente os locais de armazenamento de dados. Isso ajuda a evitar que configurações incorretas entrem nos ambientes de produção. Essa prática recomendada também ajuda a detectar e corrigir configurações incorretas, caso elas ocorram.
Nível de exposição a riscos se esta prática recomendada não for estabelecida: médio
Orientações para a implementação
A automação é um tema em todas as práticas para proteger os dados em repouso. A prática SEC01-BP06 Automatizar a implantação de controles de segurança padrão descreve como você pode capturar a configuração de seus recursos usando modelos de infraestrutura como código (IaC), como o AWS CloudFormation
Você pode verificar as configurações definidas nos modelos de IaC para verificar se há erros de configuração nos pipelines de CI/CD usando regras no AWS CloudFormation Guard. Você pode monitorar configurações que ainda não estão disponíveis no CloudFormation ou em outras ferramentas de IaC para detectar erros de configuração com o AWS Config
Usar a automação como parte da estratégia de gerenciamento de permissões também é um componente essencial das proteções de dados automatizadas. As práticas SEC03-BP02 Conceder acesso com privilégio mínimo e SEC03-BP04 Reduzir as permissões continuamente descrevem a configuração de políticas de acesso de privilégio mínimo que são monitoradas continuamente pelo AWS Identity and Access Management Access Analyzer
A automação também desempenha um papel para detectar o armazenamento de dados confidenciais em locais não autorizados. A prática SEC07-BP03 Automatizar a identificação e a classificação descreve como o Amazon Macie
Siga as práticas de REL09 Back up data para desenvolver uma estratégia automatizada de backup e recuperação de dados. O backup e a recuperação de dados são importantes para a recuperação tanto de eventos de segurança quanto de eventos operacionais.
Etapas da implementação
-
Capture a configuração de armazenamento de dados em modelos de IaC. Use verificações automatizadas nos pipelines de CI/CD para detectar configurações incorretas.
-
Você pode usá-las <ulink type="marketing" url="cloudformation">&CFN;</ulink> em modelos de IaC.
-
Use o AWS Config
para executar regras em um modo de avaliação proativa. Use essa configuração como uma etapa em seu pipeline de CI/CD para verificar a conformidade de um recurso antes de criá-lo.
-
-
Monitore os recursos em busca de configurações incorretas de armazenamento de dados.
-
Define o AWS Config
para monitorar recursos de armazenamento de dados em busca de alterações nas configurações de controle e gerar alertas para invocar ações de correção ao detectar uma configuração incorreta. -
Consulte SEC04-BP04 Iniciar a correção de recursos irregulares para obter mais orientações sobre correções automatizadas.
-
-
Monitore e reduza continuamente as permissões de acesso aos dados por meio da automação.
-
O IAM Access Analyzer
pode ser executado continuamente para gerar alertas diante da possibilidade de as permissões serem reduzidas.
-
-
Monitore e emita alertas sobre comportamentos anômalos de acesso aos dados.
-
O GuardDuty
supervisiona assinaturas de ameaças conhecidas e desvios dos comportamentos de acesso de referência aos recursos de armazenamento de dados, como volumes do EBS, buckets do S3 e bancos de dados do RDS.
-
-
Monitore e emita alertas sobre dados confidenciais armazenados em locais inesperados.
-
Use o Amazon Macie
para verificar continuamente os buckets do S3 em busca de dados confidenciais.
-
-
Automatize backups seguros e criptografados dos dados.
-
O AWS Backup é um serviço gerenciado que cria backups criptografados e seguros de várias fontes de dados na AWS. O Elastic Disaster Recovery
permite que você copie workloads completas do servidor e mantenha a proteção contínua dos dados com um objetivo de ponto de recuperação (RPO) medido em segundos. Você pode configurar os dois serviços para que funcionem juntos e automatizem a criação de backups de dados e os copiem para locais de failover. Isso pode ajudar a manter os dados disponíveis quando eles forem afetados por eventos operacionais ou de segurança.
-
Recursos
Práticas recomendadas relacionadas:
Documentos relacionados:
Exemplos relacionados:
Ferramentas relacionadas: