Segurança, identidade e conformidade

Amazon Cognito

O Amazon Cognito permite que você adicione cadastro, login e controle de acesso de usuários aos seus aplicativos web e móveis de forma rápida e fácil. Com o Amazon Cognito, você pode escalar para milhões de usuários e oferecer suporte ao login com provedores de identidade social, como Apple, Facebook, Twitter ou Amazon, com soluções de identidade SAML 2.0 ou usando seu próprio sistema de identidade.

Além disso, o Amazon Cognito permite que você salve dados localmente nos dispositivos dos usuários, permitindo que seus aplicativos funcionem mesmo quando os dispositivos estão off-line. Em seguida, você pode sincronizar os dados entre os dispositivos dos usuários para que a experiência do aplicativo permaneça consistente, independentemente do dispositivo usado.

Com o Amazon Cognito, você pode se concentrar na criação de experiências de aplicação excelentes, em vez de se preocupar com a criação, a segurança e o ajuste de escala de uma solução para administrar o gerenciamento, a autenticação e a sincronização de usuários em vários dispositivos.

Amazon Detective

O Amazon Detective facilita a análise, a investigação e a identificação rápida da causa raiz de possíveis problemas de segurança ou atividades suspeitas. O Amazon Detective coleta automaticamente dados de log de seus AWS recursos e usa aprendizado de máquina, análise estatística e teoria dos grafos para criar um conjunto vinculado de dados que permite que você conduza investigações de segurança com mais rapidez e eficiência. O Amazon Detective simplifica ainda mais o gerenciamento de contas para operações e investigações de segurança em todas as contas existentes e futuras em uma organização que usa até AWS Organizations 1.200 contas. AWS

AWS serviços de segurança como Amazon GuardDuty, Amazon Macie e AWS Security Hub, bem como produtos de segurança de parceiros, podem ser usados para identificar possíveis problemas ou descobertas de segurança. Esses serviços são realmente úteis para alertá-lo quando e onde há possível acesso não autorizado ou comportamento suspeito em sua AWS implantação. No entanto, às vezes, há descobertas de segurança que você gostaria de realizar investigações mais profundas sobre os eventos que levaram às descobertas para remediar a causa raiz. Determinar a causa raiz das descobertas de segurança pode ser um processo complexo para analistas de segurança que geralmente envolve coletar e combinar registros de várias fontes de dados, usando ferramentas de extração, transformação e carregamento (ETL) e scripts personalizados para organizar os dados.

O Amazon Detective simplifica esse processo, permitindo que suas equipes de segurança investiguem com facilidade e cheguem rapidamente à causa raiz de uma descoberta. Detective pode analisar trilhões de eventos de várias fontes de dados, como Amazon Virtual Private Cloud (VPC), Flow Logs e Amazon. AWS CloudTrail GuardDuty Detective usa esses eventos para criar automaticamente uma visão unificada e interativa de seus recursos, usuários e as interações entre eles ao longo do tempo. Com essa visão unificada, você pode visualizar todos os detalhes e o contexto em um só lugar para identificar os motivos subjacentes das descobertas, detalhar as atividades históricas relevantes e determinar rapidamente a causa raiz.

Você pode começar a usar o Amazon Detective com apenas alguns cliques no. AWS Management Console Não há software para implantar ou fontes de dados para habilitar e manter. Você pode testar o Detective sem custo adicional com um teste gratuito de 30 dias que está disponível para novas contas.

Amazon GuardDuty

GuardDutyA Amazon é um serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos anômalos para proteger suas cargas de trabalho Contas da AWS, clusters Kubernetes e dados armazenados no Amazon Simple Storage Service (Amazon S3). O GuardDuty serviço monitora atividades como chamadas de API incomuns, implantações não autorizadas e credenciais extraídas que indicam um possível reconhecimento ou comprometimento da conta.

Habilitada com alguns cliques AWS Management Console e facilmente administrada em toda a organização com o apoio da, a AWS Organizations Amazon GuardDuty pode começar imediatamente a analisar bilhões de eventos em suas AWS contas em busca de sinais de uso não autorizado. GuardDuty identifica suspeitos de ataque por meio de feeds integrados de inteligência de ameaças e detecção de anomalias de aprendizado de máquina para detectar anomalias na atividade da conta e da carga de trabalho. Quando um possível uso não autorizado é detectado, o serviço fornece uma descoberta detalhada para o GuardDuty console, Amazon CloudWatch Events e. AWS Security Hub Isso torna as descobertas acionáveis e fáceis de integrar aos sistemas existentes de gerenciamento de eventos e fluxo de trabalho. Investigações adicionais para determinar a causa raiz de uma descoberta são facilmente realizadas usando o Amazon Detective diretamente do GuardDuty console.

A Amazon GuardDuty é econômica e fácil de operar. Ele não exige que você implante e mantenha software ou infraestrutura de segurança, o que significa que ele pode ser ativado rapidamente sem o risco de afetar negativamente as cargas de trabalho de aplicativos e contêineres existentes. Não há custos iniciais GuardDuty, nenhum software para implantar e nenhum feed de inteligência de ameaças para ativar. Além disso, GuardDuty otimiza os custos aplicando filtros inteligentes e analisando apenas um subconjunto de registros relevantes para a detecção de ameaças, e as novas GuardDuty contas da Amazon são gratuitas por 30 dias.

Amazon Inspector

O Amazon Inspector é um novo serviço automatizado de gerenciamento de vulnerabilidades que verifica continuamente as AWS cargas de trabalho em busca de vulnerabilidades de software e exposição não intencional na rede. Com alguns cliques no AWS Management Console e AWS Organizations, o Amazon Inspector pode ser usado em todas as contas da sua organização. Uma vez iniciado, o Amazon Inspector descobre automaticamente a execução de instâncias e imagens de contêineres do Amazon Elastic Compute Cloud (Amazon EC2) residentes no Amazon Elastic Container Registry (Amazon ECR), em qualquer escala, e imediatamente começa a avaliá-las em busca de vulnerabilidades conhecidas.

O Amazon Inspector tem muitas melhorias em relação ao Amazon Inspector Classic. Por exemplo, o novo Amazon Inspector calcula uma pontuação de risco altamente contextualizada para cada descoberta, correlacionando informações comuns de vulnerabilidades e exposições (CVE) com fatores como acesso à rede e capacidade de exploração. Essa pontuação é usada para priorizar as vulnerabilidades mais críticas para melhorar a eficiência da resposta à remediação. Além disso, o Amazon Inspector agora usa o Agente amplamente implantado ( AWS Systems Manager Agente SSM) para eliminar a necessidade de você implantar e manter um agente autônomo para executar avaliações de instâncias do Amazon EC2. Para cargas de trabalho de contêineres, o Amazon Inspector agora está integrado ao Amazon Elastic Container Registry (Amazon ECR) para oferecer suporte a avaliações de vulnerabilidade inteligentes, econômicas e contínuas de imagens de contêineres. Todas as descobertas são agregadas no console do Amazon Inspector, encaminhadas e enviadas pela EventBridge Amazon AWS Security Hub para automatizar fluxos de trabalho, como emissão de tíquetes.

Todas as contas novas no Amazon Inspector estão qualificadas para um teste gratuito de 15 dias para avaliar o serviço e estimar seu custo. Durante o teste, todas as instâncias elegíveis do Amazon EC2 e imagens de contêineres enviadas para o Amazon ECR são digitalizadas continuamente sem nenhum custo.

Amazon Macie

O Amazon Macie é um serviço totalmente gerenciado de segurança e privacidade de dados que usa avaliações de inventário, aprendizado de máquina e correspondência de padrões para descobrir dados confidenciais e acessibilidade em seu ambiente Amazon S3. O Macie oferece suporte a trabalhos de descoberta de dados confidenciais escaláveis sob demanda e automatizados que rastreiam automaticamente as alterações no bucket e avaliam somente objetos novos ou modificados ao longo do tempo. Usando o Macie, você pode detectar uma lista grande e crescente de tipos de dados confidenciais em muitos países e regiões, incluindo vários tipos de dados financeiros, informações pessoais de saúde (PHI) e informações de identificação pessoal (PII), bem como tipos personalizados. Macie também avalia continuamente seu ambiente Amazon S3 para fornecer um resumo dos recursos do S3 e uma avaliação de segurança em todas as suas contas. Você pode pesquisar, filtrar e classificar buckets do S3 por variáveis de metadados, como nomes de buckets, tags e controles de segurança, como status de criptografia ou acessibilidade pública. Para quaisquer buckets não criptografados, buckets acessíveis publicamente ou buckets compartilhados Contas da AWS fora daqueles que você definiu AWS Organizations, você pode ser alertado para agir.

Na configuração de várias contas, uma única conta de administrador do Macie pode gerenciar todas as contas dos membros, incluindo a criação e administração de trabalhos confidenciais de descoberta de dados em todas as contas com. AWS Organizations As descobertas de segurança e descoberta de dados confidenciais são agregadas na conta de administrador do Macie e enviadas para a Amazon CloudWatch Events e. AWS Security Hub Agora, usando uma conta, você pode se integrar aos sistemas de gerenciamento de eventos, fluxo de trabalho e emissão de ingressos ou usar as descobertas do Macie AWS Step Functions para automatizar as ações de remediação. Você pode começar a usar o Macie rapidamente usando o teste de 30 dias disponível para novas contas para inventário de bucket do S3 e avaliação em nível de bucket, sem nenhum custo. A descoberta de dados confidenciais não está incluída no teste de 30 dias para avaliação do bucket.

Amazon Security Lake

O Amazon Security Lake centraliza dados de segurança de AWS ambientes, provedores de SaaS, locais e fontes na nuvem, em um data lake criado especificamente que é armazenado em seu. Conta da AWS O Security Lake automatiza a coleta e o gerenciamento de dados de segurança em todas as contas Regiões da AWS , para que você possa usar suas ferramentas de análise preferidas e, ao mesmo tempo, manter o controle e a propriedade sobre seus dados de segurança. Com o Security Lake, você também pode melhorar a proteção das suas workloads, aplicativos e dados.

O Security Lake automatiza a coleta de dados de registros e eventos relacionados à segurança de serviços integrados AWS e serviços de terceiros. Também ajuda você a gerenciar o ciclo de vida dos dados com configurações de retenção personalizáveis. O data lake é apoiado por buckets do Amazon S3, e você mantém a propriedade sobre seus dados. O Security Lake converte dados ingeridos ao formato Apache Parquet e a um esquema padrão de código aberto chamado Open Cybersecurity Schema Framework (OCSF). Com o suporte do OCSF, o Security Lake normaliza e combina dados de segurança de AWS uma ampla variedade de fontes de dados de segurança corporativa.

Outros AWS serviços e serviços de terceiros podem assinar os dados armazenados no Security Lake para resposta a incidentes e análise de dados de segurança.

Amazon Verified Permissions

O Amazon Verified Permissions é um serviço de autorização e gerenciamento de permissões escalável e refinado para aplicativos personalizados que você criou. O Verified Permissions permite que seus desenvolvedores criem aplicações seguras com mais rapidez ao externalizar a autorização e centralizar o gerenciamento e a administração de políticas.

O Verified Permissions usa o Cedar, uma linguagem de políticas e SDK de código aberto, para definir permissões refinadas para usuários do aplicativo. Seu modelo de autorização é definido usando tipos principais, tipos de recursos e ações válidas para controlar quem pode realizar quais ações em quais recursos em um determinado contexto de aplicativo. As mudanças nas políticas são auditadas para que você possa ver quem fez as alterações e quando.

AWS Artifact

AWS Artifacté o seu recurso central para obter informações relacionadas à conformidade que são importantes para você. Ele fornece acesso sob demanda a relatórios AWS de segurança e conformidade e a contratos on-line selecionados. Os relatórios disponíveis em AWS Artifact incluem nossos relatórios de Controle Organizacional de Serviços (SOC), relatórios do Setor de Cartões de Pagamento (PCI) e certificações de órgãos de credenciamento em todas as regiões e setores de conformidade que validam a implementação e a eficácia operacional dos controles de segurança. AWS Os acordos disponíveis em AWS Artifact incluem o Adendo de Associado Comercial (BAA) e o Acordo de Confidencialidade (NDA).

AWS Audit Manager

AWS Audit Managerajuda você a auditar continuamente seu AWS uso para simplificar a forma como você avalia o risco e a conformidade com as regulamentações e os padrões do setor. O Audit Manager automatiza a coleta de evidências para reduzir o esforço manual “completo” que geralmente acontece nas auditorias e permitir que você escale sua capacidade de auditoria na nuvem à medida que sua empresa cresce. Com o Audit Manager, é fácil avaliar se suas políticas, procedimentos e atividades — também conhecidos como controles — estão operando de forma eficaz. Quando chega a hora de uma auditoria, AWS Audit Manager ajuda você a gerenciar as revisões de seus controles pelas partes interessadas e permite criar relatórios prontos para auditoria com muito menos esforço manual.

As estruturas AWS Audit Manager pré-criadas ajudam a traduzir evidências de serviços em nuvem em relatórios fáceis de serem auditados, mapeando seus AWS recursos de acordo com os requisitos dos padrões ou regulamentações do setor, como o CIS AWS Foundations Benchmark, o Regulamento Geral de Proteção de Dados (GDPR) e o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS). Você também pode personalizar totalmente uma estrutura e seus controles de acordo com suas necessidades comerciais exclusivas. Com base na estrutura selecionada, o Audit Manager lança uma avaliação que coleta e organiza continuamente evidências relevantes de suas AWS contas e recursos, como instantâneos de configuração de recursos, atividade do usuário e resultados de verificação de conformidade.

Você pode começar rapidamente no AWS Management Console. Basta selecionar uma estrutura pré-construída para iniciar uma avaliação e começar a coletar e organizar evidências automaticamente.

AWS Certificate Manager

AWS Certificate Manageré um serviço que permite provisionar, gerenciar e implantar facilmente certificados Secure Sockets Layer/Transport Layer Security (SSL/TLS) para uso com serviços e seus recursos internos conectados. AWS Os certificados SSL/TLS são usados para proteger as comunicações de rede e estabelecer a identidade de sites na Internet, bem como recursos em redes privadas. AWS Certificate Manager elimina o demorado processo manual de compra, upload e renovação de certificados SSL/TLS.

Com isso AWS Certificate Manager, você pode solicitar rapidamente um certificado, implantá-lo em AWS recursos integrados ao ACM, como Elastic Load Balancing, distribuições da CloudFront Amazon e APIs no API Gateway, e deixar que os certificados sejam AWS Certificate Manager renovados. Ele também permite que você crie certificados privados para seus recursos internos e gerencie o ciclo de vida do certificado de forma centralizada. Os certificados públicos e privados provisionados AWS Certificate Manager para uso com serviços integrados ao ACM são gratuitos. Você paga somente pelos AWS recursos criados para executar seu aplicativo.

Com AWS Private Certificate Authority, você paga mensalmente pela operação da autoridade de certificação (CA) privada e pelos certificados privados emitidos. Você tem um serviço de CA privada altamente disponível sem o investimento inicial e os custos de manutenção contínuos de operar sua própria CA privada.

AWS CloudHSM

AWS CloudHSMÉ um módulo de segurança de hardware (HSM) baseado em nuvem que permite gerar e usar facilmente suas próprias chaves de criptografia no. Nuvem AWS Com AWS CloudHSM, você pode gerenciar suas próprias chaves de criptografia usando HSMs dedicados validados pelo FIPS 140-2 Nível 3. AWS CloudHSM oferece a flexibilidade de integração com seus aplicativos usando APIs padrão do setor, como as bibliotecas PKCS #11, Java Cryptography Extensions (JCE) e Microsoft CryptoNG (CNG).

AWS CloudHSM é compatível com os padrões e permite que você exporte todas as suas chaves para a maioria dos outros HSMs disponíveis comercialmente, de acordo com suas configurações. É um serviço totalmente gerenciado que automatiza tarefas administrativas demoradas para você, como provisionamento de hardware, aplicação de patches de software, alta disponibilidade e backups. AWS CloudHSM também permite que você escale rapidamente adicionando e removendo a capacidade do HSM sob demanda, sem custos iniciais.

AWS Directory Service

AWS Directory Servicepara Microsoft Active Directory, também conhecido como AWS Managed Microsoft AD, permite que suas cargas de trabalho com reconhecimento de diretório e recursos da AWS usem o Active Directory gerenciado no. Nuvem AWS AWS Managed Microsoft AD é construído no Microsoft Active Directory real e não exige que você sincronize ou replique dados do seu Active Directory existente para a nuvem. Você pode usar as ferramentas de administração padrão do Active Directory e aproveitar os recursos integrados do Active Directory, como Política de Grupo e login único (SSO). Com AWS Managed Microsoft AD, você pode facilmente unir instâncias do Amazon EC2 e do Amazon RDS for SQL Server a um domínio e usar aplicativos de TI corporativos da AWS, como o WorkSpacesAmazon, com usuários e grupos do Active Directory.

AWS Firewall Manager

AWS Firewall Manageré um serviço de gerenciamento de segurança que permite configurar e gerenciar centralmente as regras de firewall em suas contas e aplicativos em AWS Organizations. À medida que novos aplicativos são criados, o Firewall Manager facilita a conformidade de novos aplicativos e recursos ao impor um conjunto comum de regras de segurança. Agora você tem um único serviço para criar regras de firewall, criar políticas de segurança e aplicá-las de forma consistente e hierárquica em toda a sua infraestrutura, a partir de uma conta de administrador central.

AWS Identity and Access Management

AWS Identity and Access Management(IAM) permite que você controle com segurança o acesso a AWS serviços e recursos para seus AWS usuários, grupos e funções. Usando o IAM, você pode criar e gerenciar controles de acesso refinados com permissões, especificar quem pode acessar quais serviços e recursos e sob quais condições. O IAM permite que você faça o seguinte:

• Você gerencia AWS as permissões para os usuários e cargas de trabalho da sua força de trabalho no AWS IAM Identity Center(IAM Identity Center). O IAM Identity Center permite que você gerencie o acesso de usuários em várias AWS contas. Com apenas alguns cliques, você pode ativar um serviço altamente disponível, gerenciar facilmente o acesso a várias contas e as permissões de todas as suas contas de forma AWS Organizationscentralizada. O IAM Identity Center inclui integrações SAML integradas a vários aplicativos de negócios, como Salesforce, Box e Microsoft Office 365. Além disso, você pode criar integrações do Security Assertion Markup Language (SAML) 2.0 e estender o acesso de login único a qualquer um dos seus aplicativos habilitados para SAML. Seus usuários simplesmente entram em um portal de usuário com as credenciais que eles configuram ou usando suas credenciais corporativas existentes para acessar todas as contas e aplicativos atribuídos em um só lugar.

• Gerencie permissões do IAM de conta única: você pode especificar o acesso aos AWS recursos usando permissões. Suas entidades do IAM (usuários, grupos e funções), por padrão, começam sem permissões. Essas identidades podem receber permissões anexando uma política do IAM que especifica o tipo de acesso, as ações que podem ser executadas e os recursos nos quais as ações podem ser executadas. Você também pode especificar condições que devem ser definidas para que o acesso seja permitido ou negado.

• Gerencie funções do IAM de conta única: as funções do IAM permitem delegar acesso a usuários ou serviços que normalmente não têm acesso aos recursos da AWS sua organização. Os usuários ou AWS serviços do IAM podem assumir uma função para obter uma credencial de segurança temporária que pode ser usada para fazer chamadas de AWS API. Você não precisa compartilhar credenciais de longo prazo nem definir permissões para cada identidade.

AWS Key Management Service

AWS Key Management Service(AWS KMS) facilita a criação e o gerenciamento de chaves criptográficas e o controle de seu uso em uma ampla variedade de AWS serviços e em seus aplicativos. AWS KMS usa módulos de segurança de hardware (HSM) para proteger e validar suas AWS KMS chaves no Programa de Validação do Módulo Criptográfico FIPS 140-2. AWS KMS é integrado AWS CloudTrail para fornecer registros de todo o uso das chaves para ajudar a atender às suas necessidades regulatórias e de conformidade.

AWS Network Firewall

O AWS Network Firewall é um serviço gerenciado que facilita a implantação de proteções de rede essenciais para todas as suas nuvens privadas virtuais (VPCs) da Amazon. O serviço pode ser configurado com apenas alguns cliques e escalável automaticamente com o tráfego da rede, para que você não precise se preocupar com a implantação e o gerenciamento de qualquer infraestrutura. O mecanismo de regras flexíveis do AWS Network Firewall permite definir regras de firewall que oferecem controle refinado sobre o tráfego da rede, como bloquear solicitações de saída do Server Message Block (SMB) para evitar a propagação de atividades maliciosas. Você também pode importar regras que você já escreveu em formatos comuns de regras de código aberto, bem como permitir integrações com feeds de inteligência gerenciados fornecidos por parceiros. AWS AWS Network Firewall trabalha em conjunto AWS Firewall Manager para que você possa criar políticas com base em AWS Network Firewall regras e, em seguida, aplicá-las centralmente em suas VPCs e contas.

AWS Network Firewall inclui recursos que fornecem proteções contra ameaças comuns à rede. O AWS Network Firewall firewall com estado pode incorporar o contexto dos fluxos de tráfego, como rastreamento de conexões e identificação de protocolos, para aplicar políticas, como impedir que suas VPCs acessem domínios usando um protocolo não autorizado. O sistema de prevenção de AWS Network Firewall intrusões (IPS) fornece inspeção ativa do fluxo de tráfego para que você possa identificar e bloquear explorações de vulnerabilidade usando a detecção baseada em assinatura. AWS Network Firewall também oferece filtragem da web que pode interromper o tráfego para URLs inválidos conhecidos e monitorar nomes de domínio totalmente qualificados.

É fácil começar AWS Network Firewall acessando o console da Amazon VPC para criar ou importar suas regras de firewall, agrupá-las em políticas e aplicá-las às VPCs que você deseja proteger. AWS Network Firewall o preço é baseado no número de firewalls implantados e na quantidade de tráfego inspecionado. Não há compromissos iniciais e você paga apenas pelo que usa.

AWS Resource Access Manager

AWS Resource Access Manager(AWS RAM) ajuda você a compartilhar com segurança seus recursos entre contas da AWS, dentro de sua organização ou unidades organizacionais (OUs) na AWS Organizations e com funções do IAM e usuários do IAM para tipos de recursos compatíveis. Você pode usar AWS RAM para compartilhar gateways de trânsito, sub-redes, configurações de AWS License Manager licença, regras do Amazon Route 53 Resolver e mais tipos de recursos.

Muitas organizações usam várias contas para criar isolamento administrativo ou de cobrança e para limitar o impacto dos erros. Com isso AWS RAM, você não precisa criar recursos duplicados em várias AWS contas. Isso reduz a sobrecarga operacional do gerenciamento de recursos em todas as contas que você possui. Em vez disso, em seu ambiente de várias contas, você pode criar um recurso uma vez e usá-lo AWS RAM para compartilhar esse recurso entre contas criando um compartilhamento de recursos. Ao criar um compartilhamento de recursos, você seleciona os recursos a serem compartilhados, escolhe uma permissão AWS RAM gerenciada por tipo de recurso e especifica quem deseja que tenha acesso aos recursos. AWS RAM está disponível para você sem custo adicional.

AWS Secrets Manager

AWS Secrets Manager ajuda a proteger os segredos necessários para acessar aplicativos, serviços e recursos de TI. O serviço permite que você alterne, gerencie e recupere facilmente credenciais de banco de dados, chaves de API e outros segredos em todo o ciclo de vida. Usuários e aplicativos recuperam segredos com uma chamada às APIs do Secrets Manager, eliminando a necessidade de codificar informações confidenciais em texto simples. O Secrets Manager oferece alternância secreta com integração embutida para o Amazon RDS, o Amazon Redshift e o Amazon DocumentDB. O serviço também é extensível a outros tipos de segredos, incluindo chaves de API e tokens OAuth. Além disso, o Secrets Manager permite que você controle o acesso a segredos usando permissões refinadas e audite centralmente a rotação de segredos para recursos nos serviços de terceiros e no Nuvem AWS local.

AWS Security Hub

AWS Security Hubé um serviço de gerenciamento de postura de segurança na nuvem que realiza verificações automatizadas e contínuas das melhores práticas de segurança em relação AWS aos seus recursos. O Security Hub agrega seus alertas de segurança (ou seja, descobertas) de vários AWS serviços e produtos de parceiros em um formato padronizado para que você possa agir com mais facilidade. Para manter uma visão completa de sua postura de segurança AWS, você precisa integrar várias ferramentas e serviços, incluindo detecções de ameaças da Amazon GuardDuty, vulnerabilidades do Amazon Inspector, classificações de dados confidenciais do Amazon Macie, problemas de configuração de recursos e produtos. AWS Config AWS Partner Network O Security Hub simplifica a forma como você entende e melhora sua postura de segurança com verificações automatizadas de melhores práticas de segurança baseadas em AWS Config regras e integrações automatizadas com dezenas de AWS serviços e produtos de parceiros.

O Security Hub permite que você entenda sua postura geral de segurança por meio de uma pontuação de segurança consolidada em todas as suas AWS contas, avalie automaticamente a segurança dos recursos de suas AWS contas por meio do padrão AWS Foundational Security Best Practices (FSBP) e outras estruturas de conformidade. Ele também agrega todas as suas descobertas de segurança de dezenas de serviços de AWS segurança e produtos da APN em um único local e formato por meio do AWS Security Finding Format (ASFF) e reduz seu tempo médio de remediação (MTTR) com suporte automatizado de resposta e remediação. O Security Hub tem out-of-the-box integrações com emissão de tíquetes, bate-papo, gerenciamento de eventos e informações de segurança (SIEM), automação e resposta de orquestração de segurança (SOAR), investigação de ameaças, governança, risco e conformidade (GRC) e ferramentas de gerenciamento de incidentes para fornecer aos usuários um fluxo de trabalho completo de operações de segurança.

Começar a usar o Security Hub requer apenas alguns cliques AWS Management Console para começar a agregar descobertas e realizar verificações de segurança usando nosso teste gratuito de 30 dias. Você pode integrar o Security Hub AWS Organizations para habilitar automaticamente o serviço em todas as contas da sua organização.

AWS Shield

AWS Shieldé um serviço gerenciado de proteção contra negação de serviço distribuído (DDoS) que protege os aplicativos da web em execução. AWS AWS Shield fornece detecção sempre ativa e mitigações automáticas em linha que minimizam o tempo de inatividade e a latência do aplicativo, portanto, não há necessidade de se engajar para se beneficiar da proteção contra DDoS. AWS Support Há dois níveis de AWS Shield: Padrão e Avançado.

Todos os AWS clientes se beneficiam das proteções automáticas do AWS Shield Standard, sem custo adicional. AWS Shield Standard defende-se contra os ataques DDoS mais comuns e frequentes na camada de rede e transporte que têm como alvo seu site ou aplicativos. Ao usar AWS Shield Standard com a Amazon CloudFront e o Amazon Route 53, você recebe proteção abrangente de disponibilidade contra todos os ataques de infraestrutura conhecidos (camadas 3 e 4).

Para obter níveis mais altos de proteção contra ataques direcionados aos seus aplicativos executados nos recursos do Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB) CloudFront, Amazon e Amazon Route 53, você pode se inscrever em. AWS Shield Advanced Além das proteções da camada de rede e transporte que vêm com o Standard, o AWS Shield Advanced fornece detecção e mitigação adicionais contra ataques de DDoS grandes e sofisticados, visibilidade quase em tempo real dos ataques e integração com um firewall de aplicativos da AWS WAF web. AWS Shield Advanced também oferece acesso 24 horas por dia, 7 dias por semana à equipe de resposta a DDoS (DRT) da AWS e proteção contra picos relacionados a DDoS em suas cobranças do Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB), Amazon e Amazon Route 53. CloudFront

AWS Shield O Advanced está disponível globalmente em todos os pontos de presença da Amazon CloudFront e do Amazon Route 53. Você pode proteger seus aplicativos web hospedados em qualquer lugar do mundo implantando a Amazon CloudFront na frente do seu aplicativo. Seus servidores de origem podem ser Amazon S3, Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB) ou um servidor personalizado externo. AWS Você também pode habilitar o AWS Shield Advanced diretamente em um Elastic IP ou Elastic Load Balancing (ELB) no seguinte Regiões da AWS: Norte da Virgínia, Ohio, Oregon, Norte da Califórnia, Montreal, São Paulo, Irlanda, Frankfurt, Londres, Paris, Estocolmo, Cingapura, Tóquio, Sydney, Seul, Mumbai, Milão e Cidade do Cabo.

AWS IAM Identity Center

AWS IAM Identity Center(SSO) é um serviço de SSO na nuvem que facilita o gerenciamento centralizado do acesso por SSO a várias AWS contas e aplicativos comerciais. Com apenas alguns cliques, você pode habilitar um serviço de SSO altamente disponível sem o investimento inicial e os custos de manutenção contínuos de operar sua própria infraestrutura de SSO. Com o IAM Identity Center, você pode gerenciar facilmente o acesso por SSO e as permissões de usuário a todas as suas contas de forma AWS Organizationscentralizada. O IAM Identity Center também inclui integrações SAML integradas a vários aplicativos de negócios, como Salesforce, Box e Microsoft Office 365. Além disso, usando o assistente de configuração do aplicativo IAM Identity Center, você pode criar integrações da Security Assertion Markup Language (SAML) 2.0 e estender o acesso por SSO a qualquer um dos seus aplicativos habilitados para SAML. Seus usuários simplesmente acessam um portal de usuário com as credenciais que configuram no IAM Identity Center ou usam suas credenciais corporativas existentes para acessar todas as contas e aplicativos atribuídos em um só lugar.

AWS WAF

AWS WAFé um firewall de aplicativos da Web que ajuda a proteger seus aplicativos da Web ou APIs contra explorações e bots comuns da Web que podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos. AWS WAF oferece controle sobre como o tráfego chega aos seus aplicativos, permitindo que você crie regras de segurança que controlam o tráfego de bots e bloqueiam padrões de ataque comuns, como injeção de SQL ou scripts entre sites. Você também pode personalizar regras que filtram padrões de tráfego específicos. Você pode começar rapidamente usando o Managed Rules for AWS WAF, um conjunto pré-configurado de regras gerenciadas por nossos AWS Marketplace vendedores para resolver problemas como os 10 principais riscos de segurança do OWASP e bots automatizados que consomem recursos em excesso, distorcem as métricas AWS ou podem causar tempo de inatividade. Essas regras são atualizadas regularmente à medida que surgem novos problemas. AWS WAF inclui uma API completa que você pode usar para automatizar a criação, a implantação e a manutenção de regras de segurança.

AWS WAF Captcha

O AWS WAF Captcha ajuda a bloquear o tráfego indesejado de bots, exigindo que os usuários concluam desafios com sucesso antes que sua solicitação da web possa alcançar recursos protegidos. AWS WAF Você pode configurar AWS WAF regras para exigir que os desafios do WAF Captcha sejam resolvidos para recursos específicos que são frequentemente alvos de bots, como login, pesquisa e envio de formulários. Você também pode exigir desafios do WAF Captcha para solicitações suspeitas com base na taxa, nos atributos ou nos rótulos gerados AWS Managed Rules, como o AWS WAF Bot Control ou a lista de reputação de IP da Amazon. Os desafios do WAF Captcha são simples para humanos, mas permanecem eficazes contra bots. O WAF Captcha inclui uma versão em áudio e foi projetado para atender aos requisitos de acessibilidade das Diretrizes de Acessibilidade de Conteúdo da Web (WCAG).