Gerenciamento centralizado de segurança - Entendendo a conformidade com o GDPR na AWS

Gerenciamento centralizado de segurança

Muitas organizações enfrentam desafios relacionados à visibilidade e ao gerenciamento centralizado de seus ambientes. A menos que você analise seus projetos de segurança, esse desafio pode se agravar conforme sua área de alcance operacional cresce. Falta de conhecimento, combinado com gerenciamento descentralizado e desigual de processos de governança e segurança, pode tornar seu ambiente vulnerável.

A AWS fornece as ferramentas que ajudam você a abordar alguns dos requisitos mais desafiadores para gerenciamento e governança de TI, além de ferramentas para apoiar uma abordagem de proteção de dados inerente ao projeto.

O AWS Control Tower é um método para configurar e administrar um ambiente novo, seguro e com várias contas da AWS. Ele automatiza a configuração de uma zona de aterrissagem, que é um ambiente de várias contas com base em esquemas de práticas recomendadas e habilita a governança usando proteções que você pode escolher em uma lista predefinida. As proteções implementam regras de governança para segurança, conformidade e operações. O AWS Control Tower fornece gerenciamento de identidades usando o diretório padrão AWS IAM Identity Center (IAM Identity Center) e permite auditorias entre contas usando o IAM Identity Center e o IAM. Ele também centraliza os logs provenientes do CloudTrail e os logs do AWS Config, que são armazenados no Amazon S3.

O AWS Security Hub é outro serviço compatível com centralização e que pode aprimorar a visibilidade de uma organização. O Security Hub centraliza e prioriza os achados de segurança e conformidade de contas e serviços da AWS, como o Amazon GuardDuty e o Amazon Inspector, e pode ser integrado a softwares de segurança de parceiros terceiros visando ajudar você a analisar tendências de segurança e identificar os problemas de segurança prioritários.

O Amazon GuardDuty é um serviço inteligente de detecção de ameaças que pode ajudar os clientes a monitorar e proteger com mais precisão e facilidade suas contas, workloads e dados da AWS armazenados no Amazon S3. O GuardDuty analisa bilhões de eventos em suas contas da AWS de várias fontes, incluindo eventos de gerenciamento do AWS CloudTrail, eventos de dados do Amazon S3 do CloudTrail, logs de fluxo da Amazon Virtual Private Cloud e logs de DNS. Por exemplo, ele detecta chamadas de API incomuns, comunicações de saída suspeitas com endereços IP mal-intencionados conhecidos ou possível roubo de dados usando consultas de DNS como mecanismo de transporte. O GuardDuty é capaz de fornecer descobertas mais precisas aproveitando a inteligência contra ameaças baseada em machine learning e parceiros de segurança terceiros.

O Amazon Inspector é um serviço automatizado de avaliação de segurança que ajuda a aprimorar a segurança e a conformidade das aplicações implantadas em instâncias do Amazon EC2. O Amazon Inspector avalia automaticamente aplicações em busca de exposição, vulnerabilidades e desvios das práticas recomendadas. Depois de fazer uma avaliação, o Amazon Inspector gera uma lista detalhada dos problemas de segurança encontrados priorizados por nível de gravidade.

O Amazon CloudWatch Events permite que você configure sua conta da AWS para enviar eventos a outras contas da AWS ou passar a ser uma receptora de eventos de outras contas ou organizações. Esse mecanismo pode ser bastante útil para a implementação de cenários de resposta a incidentes entre contas ao adotar ações corretivas em tempo hábil (por exemplo, chamando uma função do Lambda ou executando um comando na instância do Amazon EC2) conforme necessário e sempre que ocorrer um evento de incidente de segurança.

AWS security services flow diagram showing data path from sources to target options.

Figura 5: adotar medidas com o AWS Security Hub e o Amazon CloudWatch Events

O AWS Organizations ajuda você a gerenciar e administrar de forma centralizada ambientes complexos. Ele permite que você controle o acesso, a conformidade e a segurança em um ambiente de várias contas. O AWS Organizations é compatível com Políticas de controle de serviço (SCPs), que definem as ações de serviço da AWS disponíveis para uso com contas específicas ou unidades organizacionais (OUs) em uma organização.

O AWS Systems Manager oferece visibilidade e controle da sua infraestrutura na AWS. Você pode visualizar dados operacionais de vários serviços da AWS em um console unificado e automatizar tarefas operacionais entre eles. É possível ter informações sobre atividades recentes da API, alterações na configuração de recursos, alertas operacionais, inventário de software e status de conformidade de patches. Usando a integração com outros serviços da AWS, você também pode tomar medidas em relação aos recursos, dependendo de suas necessidades operacionais, para ajudar a tornar seu ambiente em um status de conformidade.

Por exemplo, ao integrar o Amazon Inspector com o AWS Systems Manager, as avaliações de segurança são simplificadas e automatizadas, pois você pode instalar o agente do Amazon Inspector automaticamente usando o Amazon Elastic Compute Cloud Systems Manager quando uma instância do Amazon EC2 é iniciada. Você também pode executar correções automáticas para descobertas do Amazon Inspector usando as funções do Amazon EC2 System Manager e do Lambda.