Incidentes de domínio de serviço
Os incidentes de domínio de serviço geralmente são tratados exclusivamente por meio de APIs da AWS.
Identidades
A AWS fornece APIs para nossos serviços de nuvem que são usadas por milhões de clientes para criar aplicações e impulsionar resultados de negócios. Essas APIs podem ser invocadas por meio de vários métodos, como por Kits de Desenvolvimento de Software (SDKs), a AWS CLI e o AWS Management Console. Para interagir com a AWS por meio desses métodos, o serviço do IAM ajuda você a controlar com segurança o acesso aos recursos da AWS. Você usa o IAM para controlar quem é autenticado (fez login) e autorizado (tem permissões) a usar os recursos no nível da conta. Para obter uma lista dos serviços da AWS que você pode usar com o IAM, consulte Serviços da AWS que funcionam com o IAM.
Ao criar uma conta da AWS, você começa com uma identidade de autenticação única (SSO) que tem acesso completo a todos os serviços e recursos da AWS na conta. Essa identidade é chamada de usuário raiz da conta da AWS e é acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta. É altamente recomendável que você não use o usuário raiz para suas tarefas diárias e, particularmente, não para tarefas administrativas. Em vez disso, recomendamos seguir a prática recomendada de usar o usuário raiz apenas para criar o primeiro usuário do IAM, armazenar de forma segura as credenciais do usuário raiz e executar apenas algumas tarefas de gerenciamento de contas e serviços. Para obter mais informações, consulte Criar usuários individuais do IAM.
Embora essas APIs forneçam valor a milhões de clientes, algumas delas poderão ser utilizadas indevidamente se as pessoas erradas obtiverem acesso à sua conta do IAM ou às credenciais raiz. Por exemplo, você pode usar as APIs para habilitar o registro em log em sua conta, como AWS CloudTrail. No entanto, se invasores obtiverem suas credenciais, eles também poderão usar a API para desabilitar esses logs. Você pode evitar esse tipo de uso abusivo configurando as permissões apropriadas do IAM que seguem um modelo de privilégio mínimo e protegendo adequadamente suas credenciais do IAM. Para obter mais informações, consulte as Práticas recomendadas do IAM no Guia do usuário do AWS Identity and Access Management. Se esse tipo de evento ocorrer, há vários controles de detecção para identificar que o registro em log do AWS CloudTrail foi desativado, incluindo o AWS CloudTrail, AWS Config, o AWS Trusted Advisor, o Amazon GuardDuty e o AWS CloudWatch Events.
Recursos
Outros recursos que podem ser utilizados ou configurados incorretamente variam de organização para organização, com base em como cada cliente opera na nuvem. Por exemplo, algumas organizações planejam tornar determinados dados ou aplicações acessíveis publicamente, enquanto outras mantêm suas aplicações e dados internos e confidenciais. Nem todos os eventos de segurança são mal-intencionados por natureza; alguns podem resultar de configurações não intencionais ou inadequadas. Considere quais APIs ou recursos têm um alto impacto em sua organização e se você os usa com mais frequência ou pouca frequência.
É possível identificar muitas configurações de segurança incorretas usando ferramentas e serviços. Por exemplo, o AWS Trusted Advisor fornece várias verificações para as práticas recomendadas. Os parceiros da APN também oferecem centenas de produtos líderes do setor que são equivalentes, idênticos ou se integram aos controles existentes nos seus ambientes on-premises. Vários desses produtos e soluções foram pré-qualificados pelo Programa de competência para parceiros da AWS
