Mais conteúdo relacionado Semelhante a Accelerate and secure your applications running on AWS - SVC207 - São Paulo AWS Summit (20) Mais de Amazon Web Services (20) Accelerate and secure your applications running on AWS - SVC207 - São Paulo AWS Summit1. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Acelere e proteja aplicativos executados na AWS
Gustavo Rozatti
Enterprise Solutions Architect
S V C 2 0 7
2. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
O que esperar desta sessão
Segurança
em
camadas
Demos
Casos
de uso
Aceleração
Global
3. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
“Eu quero e quero agora.”
4. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Desafios no desenvolvimento de aplicações WEB
5. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Atores mal
intencionados estão
sempre buscando
pontos fracos
Clientes desejam uma
esperiência rápida, onde
quer que estejam
6. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Acelere e proteja aplicações na AWS
Contruir uma aplicação rápida, escalável, segura,
bem monitorada e protegida contra DDoS
Objetivo:
Usando o Amazon ClouFront para entrega de conteúdo de
forma rápida e segura
Criando um firewall com AWS WAF para combater qualquer
exploit
Usando o AWS Shield para uma proteção abrangente
contra DDoS
Automação
da segurança
de Software
7. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Proteção de Perímetro em Camadas – Aplicação básica AWS
Instância EC2
Bucket S3
Subnet
Pública
Subnet
Privada
ALB
8. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Usando o Amazon CloudFront para entrega
de conteúdo de forma rápida e segura
9. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
SEGURANÇA
performance
&
Amazon
CloudFront
10. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
A rede global segura do Amazon CloudFront
11. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
A rede global segura do Amazon CloudFront
Padrões de conformidade CloudFront CDN A
PCI DSS Sim Sim***
ISO 27001 Sim Não
ISO 27002 Sim Sim
ISO 9001 Sim Não
ISO 27017 Sim Não
ISO 27018 Sim Não
SOC 1/2/3 Sim Sim***
HIPAA Sim Sim
GDPR Sim Sim
Auditorias Regionais
• C5, Alemanha
• IRAP/IRAP Protected,
Austrália
• MTCS, Singapura
• K-ISMS, Coréia
Sim Não
12. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
CloudFront protege a sua origem
Edge
Locations
locais
Edge cache
regional Aplicação
de Origem
Usuários
13. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
0
25
50
75
100
CloudFront S3 US East S3 US West EC2 (N.
Virginia)
EC2 (Ohio) EC2 (N.
California)
EC2 (Oregon)
p50 FBL
Protegendo e acelerando toda a sua aplicação
CloudFront S3Conteúdo Estático
Imagens
Javascript
HTML
14. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Protegendo e acelerando toda a sua aplicação
CloudFront Amazon S3
Conteúdo de Video
Video sob demanda
Live streaming
AWS Media Services
15. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Protegendo e acelerando toda a sua aplicação
CloudFront
Conteúdo Dinâmico
Inputs de Usuários
APIs
ALB Amazon EC2
0
25
50
75
100
CloudFront S3 US East S3 US West EC2 (N.
Virginia)
EC2 (Ohio) EC2 (N.
California)
EC2 (Oregon)
p50 FBL
16. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Conteúdo Dinâmico – Suporte a WebSocket
"O suporte do CloudFront WebSocket
significa que podemos simplificar nossa
infraestrutura e melhorar ainda mais a
satisfação do cliente. As edge locations do
CloudFront agora contribuirão para
melhorar a performance do usuário em
aplicações WebSocket."
Eduard Iskandarov, Team Lead Infrastructure
Coins.ph
”O fato de o CloudFront suportar
WebSockets nos permite consolidar tanto a
entrega de conteúdo estática quanto a
dinâmica, melhorando o alcance global,
aumentando a segurança do app, e
simplificando nossa arquitetura de entrega,
tudo ao mesmo tempo."
Viesturs Proškins, Head of Video R&D
Evolution Gaming
17. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Mesma rede global para
HTTPS e HTTP
Aplicação estrita do TLS
Perfect forward secrecy
OCSP stapling
Diversas outras opções de
otimização e customização
com documentação online
Criptografando dados em trânsito e em repouso
0.0%
10.0%
20.0%
30.0%
40.0%
50.0%
60.0%
70.0%
80.0%
2013 2014 2015 2016 2017 2018
% tráfego SSL
18. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
SSL personalizado com SNI
• Traga o seu próprio certificado
SSL
• Depende da extensão SNI para
o protocolo TLS
Caso de uso
• www.example.com
• Alguns browsers/SOs antigos
não possuem suporte à
extensão SNI
SSL personalizado com IP dedicado
• Traga o seu próprio certificado SSL
• CloudFront aloca endereços IP
dedicados para seu comteúdo SSL
Caso de uso
• www.example.com
• Suportado por todos
navegadores/SOs
CloudFront SSL Padrão
• Certificado do
CloudFront
compartilhado entre
os clientes
Caso de uso
• dxx.cloudfront.net
Opções de TLS/SSL pelo CloudFront
Certificados SSL gratuitos para serviços integrados ao ACM, como
o CloudFront
19. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
URLs Assinadas
• Adiciona a assinatura a
query string da URL
• Sua URL muda
Cookies Assinados
• Adiciona a
assinatura a um
cookie
• Sua URL NÃO muda
Caso de uso
• Restringir acesso a
múltiplos arquivos
• Mudar a URL não é
desejável
Caso de uso
• Restringir acesso a
arquivos individuais
• Usuários usando um
cliente sem suporte a
cookies
Restringindo acesso externo ao seu conteúdo
Restrição Geográfica
• Whitelist ou
blacklist baseada
em país
Caso de uso
• Restrição
abrangente baseada
no mapeamento
geográfico do IP do
cliente
20. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
S3 Origin Access Identity
• Impede acesso direto ao seu
bucket S3
• Nenhuma URL do S3 é acessível
diretamente
Custom Origin Security Groups
• Permite acesso APENAS do range
de IPs do CloudFront
• Protege a origem de sobrecarga
Restringindo acesso externo à sua origem
CloudFront ALB EC2CloudFront S3
21. S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
22. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Acesse nosso blog para um guia passo a passo:
“How to Automatically Update Your
Security Groups for Amazon CloudFront
and AWS WAF by Using AWS Lambda”
Atualize automaticamente um security group de um
ALB ou EC2 para o CloudFront com o AWS Lambda
Política do IAM Função Lambda Subscrição SNS
23. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Proteção de Perímetro em Camadas – Adicionando entrega
segura de conteúdo
Instância EC2
Bucket S3
Subet
Pública
Subnet
Privada
CloudFront
ALB
24. S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
25. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Maiores ameaças à aplicações WEB hoje
Vulnerabilidades
na aplicação
Bots mal
intencionados
DDoS
0
200
400
600
800
1000
1200
1400
1600
1800
Maiores ataques DDoS (Gbps)
Mem
cached
Mirai
botnet
26. S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
27. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Escolhendo um WAF
4 princípios fundamentais
28. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Escolhendo um WAF:
AWS WAF
29. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Templates do
AWS
CloudFormation
Regras
gerenciadas para
o AWS WAF
Escolhendo um WAF:
AWS WAF
30. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Segurança básica
Regras gerenciadas do AWS WAF
• Regras escritas, atualizadas e gerenciadas por experts
de segurança
• Pague pelo uso: Sem compromisso de longo prazo
• Deploy fácil
• Opções de proteção
• OWASP Top 10 & outros web exploits
• Common Vulnerabilities and Exposures (CVE)
• Proteção contra bots
• Listas de reputação de IP
• Regras CMS (WordPress, Joomla, entre outros)
• Vulnerabilidades do Apache e do NGINX
31. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Templates do
AWS
CloudFormation
Regras
gerenciadas para
o AWS WAF
Escolhendo um WAF:
AWS WAF
32. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
O AWS WAF é um poderoso framework de linguagem de regras
33. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Templates do
AWS
CloudFormation
Regras
gerenciadas para
o AWS WAF
Escolhendo um WAF:
AWS WAF
Vários tipos de
condições para as
regras
Crie e combine
hierarquias
Ações: Allow /
Block / Count
34. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Templates do
AWS
CloudFormation
Regras
gerenciadas para
o AWS WAF
Vários tipos de
condições para as
regras
Crie e combine
hierarquias
Ações: Allow /
Block / Count
Escolhendo um WAF:
AWS WAF
35. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Analise a segurança
Visibilidade & análise de dados
Métricas do CloudWatch
• Metricas em todas as
regras
• Allowed | Blocked |
Counted | Passed
Amostras de requisições web
• Logs detalhados de uma
amostra de requisições
• Disponível automaticamente
para todas as regras
Logs completos
• Logs detalhados de todas
requisições this word just for
spacing
• Ativado opcionalmente para
seu web ACL
Caso de uso
Criar alarmes para
notificações
Caso de uso
Teste rapidamente regras do
AWS WAF
Fácil triagem no console
Caso de uso
Análise de segurança,
monitoramento, automação,
auditoria e conformidade
36. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Logs completos do AWS WAF
Principais Benefícios
Conformidade e auditoria
• Cada requisição registrada inclui
request headers IDs das regras
correspondentes
• Edite campos sensíveis
Implementação flexível
• Logs transmitidos em formato
JSON através do Amazon Kinesis
Data Firehose para o destino de
sua escolha
Integrações com terceiros
• Centralize e analise logs do AWS
WAF e de outros serviços
Amazon S3 Amazon
Redshift
Amazon
Elasticsearch
Search
Splunk
Amazon Kinesis
Data Firehose
37. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Casos comuns de análise de dados de segurança
Integrações com terceiros
38. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Confira nosso webinar para um guia passo a
passo:
Enhanced Security Analytics Using AWS
Full Logging
Análise de segurança aprimorada com a AWS
AWS WAF Amazon
Athena
Amazon S3 bucket
39. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Templates do
AWS
CloudFormation
Regras
gerenciadas para
o AWS WAF
Vários tipos de
condições para as
regras
Crie e combine
hierarquias
Ações: Allow /
Block / Count
Métricas do
CloudWatch
Amostras de
requisições web
Logs completos
Escolhendo um WAF:
AWS WAF
40. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Templates do
AWS
CloudFormation
Regras
gerenciadas para
o AWS WAF
Vários tipos de
condições para as
regras
Crie e combine
hierarquias
Ações: Allow /
Block / Count
Métricas do
CloudWatch
Amostras de
requisições web
Logs completos
Escolhendo um AWS WAF:
AWS WAF
41. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Automação de Segurança por Software
Automações do AWS WAF baseadas em AWS Lambda
Bad Bot / Scanner / Known attackers AWS WAF Integration with Amazon
GuardDuty
DevOps friendly: APIs completas e atualizações rápidas de regras
Blog / Webinar: “Automate Threat Mitigation Using AWS
WAF and Amazon GuardDuty”
AWS Answers: “AWS WAF Security Automations”
42. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Automação de software:
Políticas do AWS WAF baseadas em
configurações
Garanta
conformidade para
regras obrigatórias
dentro d a empresa
Simplifique o
gerenciamento de
regras entre contas e
aplicações com
políticas de segurança
Habilite respostas
rápidas para ataques
na internet
Customize o escopo
de políticas para os
tipos de recurso e
contas (incluir/excluir)
43. S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
44. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Automatizando a segurança de aplicações web
Criando proteção com honeypots em aplicativos
Um bot malicioso identificado em uma
aplicação pode ser facilmente isolado
para não atingir outras aplicações de
uma organização.
Para criar rapidamente um honeypot
automatizado em uma conta, leia nosso guia
passo a passo:
“AWS WAF Security Automations”
45. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Templates do
AWS
CloudFormation
Regras
gerenciadas para
o AWS WAF
Vários tipos de
condições para as
regras
Crie e combine
hierarquias
Ações: Allow /
Block / Count
Métricas do
CloudWatch
Amostras de
requisições web
Logs completos
Escolhendo um AWS WAF:
AWS WAF
Automações com
Lambda
AWS Firewall
Manager
46. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Escolhendo um AWS WAF:
AWS WAF
Templates do
AWS
CloudFormation
Regras
gerenciadas para
o AWS WAF
Vários tipos de
condições para as
regras
Crie e combine
hierarquias
Ações: Allow /
Block / Count
Métricas do
CloudWatch
Amostras de
requisições web
Logs completos
Automações com
Lambda
AWS Firewall
Manager
47. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Proteção de perímetro em camasdas – Adicionando
um Firewall
EC2 Instance
S3 Bucket
Public
Subnet
Private
Subnet
CloudFront
WAF
ALB
Firewall
Manager
48. S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
49. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Escolhendo um provedor de proteção contra DDoS
4 Princípios Fundamentais
Proteção contra vetores econômicos
50. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Proteção contra vetores econômicos
Escolhendo um provedor de proteção contra DDoS
AWS Shield Standard & Advanced
51. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Proteção contra vetores econômicos
Escolhendo um provedor de proteção contra DDoS
AWS Shield Standard & Advanced
Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard
52. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
O AWS Shield detecta e mitiga milhares de ataques
DDoS diariamente
Fonte: AWS Global Threat Dashboard (disponível para clientes AWS Shield Advanced)
53. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard
Proteção contra vetores econômicos
Escolhendo um provedor de proteção contra DDoS
AWS Shield Standard & Advanced
54. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard
Proteção contra vetores econômicos
Escolhendo um provedor de proteção contra DDoS
AWS Shield Standard & Advanced
Proteção
automática entre os
clientes
Proteção
aprimorada
baseada no seu
tráfego
Acesso 24/7 ao
time de resposta
a DDoS (DRT)
55. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Baseline e detecção de anomalias em toda a AWS
Mitigação com tecnologia de filtragem de pacote proprietária
baseada em score de suspeita
Defesa automática contra os ataques DDoS mais comuns nas
camadas de rede e transporte para qualquer recurso e
qualquer região da AWS
Defesa abrangente contra todos ataques conhecidos nas
camadas de rede e transporte quando se usa o Amazon
CloudFront em conjunto com o Amazon Route 53
AWS Shield Standard
Proteção nas camadas 3 e 4 para todos
Proteção
automática entre os
clientes
56. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Shield Advanced
Proteção Aprimorada
• Detecção aprimorada de ataques
nas camadas 3 e 4
• Detecção de ataques na camada 7
• Contenções pré configuradas baseadas no tipo de recurso
• Contenção avançada como aceleração SYN
• Contenção nas camadas 3 e 4 definidas pelo usuário (para
serviços regionais)
Detecção Mitigação
• Ajuda na triagem e contenção de incidentes
• Acionado automaticamente em caso de eventos que
afetem a disponibilidade das camadas 3 e 4
• Casos de suporte ao cliente através do AWS Support ou do
Shield Engagement Lambda
Acesso 24/7 ao
time de resposta
a DDoS (DRT)
Proteção
aprimorada
baseada no seu
tráfego
57. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Ataques significativos recentes
Março de 2018: Aplicação web alvo de um ataque de
reflexão via Memcached com 1.4 Tbps, contido usando o
Amazon CloudFront e o AWS Shield Advanced
Novembro de 2018: Ataque a uma aplicação web rodando
no Amazon CloudFront com 20 milhões de requisições por
segundo, automaticamente contido pelo Amazon
CloudFront e AWS Shield Advanced
58. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Escolhendo um provedor de proteção contra DDoS
AWS Shield Standard & Advanced
Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard
Proteção
automática entre os
clientes
Proteção
aprimorada com
baseline
Acesso 24/7 ao
time de resposta
a DDoS (DRT)
59. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Escolhendo um provedor de proteção contra DDoS
AWS Shield Standard & Advanced
Métricas do
CloudWatch
Diagnóstico de
ataque
Dashboard de
ameaças globais
Proteção contra vetores econômicos
Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard
Proteção
automática entre os
clientes
Proteção
aprimorada
baseada no seu
tráfego
Acesso 24/7 ao
time de resposta
a DDoS (DRT)
60. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Escolhendo um provedor de proteção contra DDoS
AWS Shield Standard & Advanced
Proteção contra vetores econômicos
Métricas do
CloudWatch
Diagnóstico de
ataque
Dashboard de
ameaças globais
Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard
Proteção
automática entre os
clientes
Proteção
aprimorada com
baseline
Acesso 24/7 ao
time de resposta
a DDoS (DRT)
61. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Escolhendo um provedor de proteção contra DDoS
AWS Shield Standard & Advanced
AWS WAF sem
custo adicional
Para recursos
protegidos
AWS Firewall
Manager sem
custo adicional
Proteção de
custos para
escala
Métricas do
CloudWatch
Diagnóstico de
ataque
Dashboard de
ameaças globais
Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard
Proteção
automática entre os
clientes
Proteção
aprimorada com
baseline
Acesso 24/7 ao
time de resposta
a DDoS (DRT)
62. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Shield Advanced
Proteção de custo para escala
A AWS absorve os custos de escalabilidade em
recursos protegidos devido a um ataque DDoS
• Amazon CloudFront
• Elastic Load Balancing (ELB/ALB/NLB)
• Amazon Route 53
• Amazon EC2
63. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Escolhendo um provedor de proteção contra DDoS
AWS Shield Standard & Advanced
Proteção
automática entre
os clientes
Proteção
aprimorada
baseada no seu
tráfego
Acesso 24/7 ao
time de resposta
a DDoS (DRT)
Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard
AWS WAF sem
custo adicional
Para recursos
protegidos
AWS Firewall
Manager sem
custo adicional
Proteção de
custo para escala
Métricas do
CloudWatch
Diagnósticos de
ataque
Dashboard de
ameaças globais
64. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Proteção de Perímetro em camadas – Adicionando
proteção contra DDoS
EC2 Instance
S3 Bucket
Public
Subnet
Private
Subnet
AWS Shield
AWS Shield
Advanced
ALB
CloudFront
AWS WAF
Firewall
Manager
65. S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
66. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Casos de uso específicos
Diferentes necessidades de proteção
Eu tenho uma
arquitetura / API
serverless
Eu tenho tráfego
TCP (não-HTTP/S)
Eu rodo jogos
baseados em UDP
• Crie um frontend de API
unificado para vários
microsserviços
• Autentique e autorize
requisições
• Acelere, meça e monetize
o uso da API por terceiros
Amazon API GatewayAWS WAF
• Features completas do
AWS WAF
• Regras personalizadas
e gerenciadas
• Visibilidade através de
logs e do CloudWatch
• Automação com o AWS
Lambda
AWS Shield
Standard
67. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Casos de uso específicos
Diferentes necessidades de proteção
Eu tenho uma
arquitetura / API
serverless
Eu tenho tráfego
TCP (não-HTTP/S)
Eu rodo jogos
baseados em UDP
AWS Shield Advanced
Load balancer
transparente e
altamente escalável,
arquitetado para
performance e
disponibilidade
Network Load Balancer
Load balancing global
entre regiões com
roteamento anycast e
controles granulares
AWS Global Accelerator
• Limites de detecção
granulares (baseado na
arquitetura)
• Templates de contenção
pré configurados /
customizados
• Network ACLs colocadas
na borda
68. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
Casos de uso específicos
Diferentes necessidades de proteção
Eu tenho uma
arquitetura / API
serverless
Eu tenho tráfego
TCP (não-HTTP/S)
Eu rodo jogos
baseados em UDP
AWS Shield Advanced EC2 instances
Load balancing global
entre regiões com
roteamento anycast e
controles granulares
AWS Global Accelerator
• Limites de detecção
granulares (baseado na
arquitetura)
• Templates de contenção
pré configurados /
customizados
• Network ACLs colocadas
na borda
69. S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
70. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Proteção de perímetro em camadas - Aplicação AWS Básica
EC2 instance
S3 bucket
Public
subnet
Private
subnet
ALB
71. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Terminado com uma aplicação acelerada e segura na
AWS
EC2 instance
S3 bucket
Public
subnet
Private
subnet
AWS
WAF
AWS Shield
AWS Shield
Advanced
ALB
72. S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Gustavo Rozatti
rozattig@amazon.com
73. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
“Os serviços da AWS permitiram a Rede uma
entrega ágil com menor custo e com padrões
efetivos de segurança.”
A Rede é uma empresa adquirente,
sendo uma das responsáveis pela
captura, transmissão e liquidação
financeira de transações com cartões
de crédito e débito de múltiplas
bandeiras.
Oferece diversos produtos, máquina
de cartão de crédito e débito, carteira
digital e serviços a estabelecimentos
comerciais credenciados
“Com a AWS inovamos
de forma segura e
escalável melhorando a
performance das nossas
aplicações”
- Francisco Medina,
Gerente de TI
74. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
O Desafio
Liberar o acesso nas ferramentas
somente para parceiros através da
Internet utilizando serviços da AWS.
Aprimorar segurança
Restringir acesso aos endereços IP
dos parceiros
Agilidade
75. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
O Desafio
Empresas Parceiras – 19
Ferramentas – 7
Requests por mês – 500.000
19 7 500K
76. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Solução
Route 53 WAF
White List
Cloud Front Elastic Load Balance
EC2
5 Requests inválidas
(400, 403, 404, 405)
BlackList
AWS WAF CloudFront Elastic Load Balancing
Deny List
Allow List
77. S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
“Por favor, responda a pesquisa ao final
da sessão no app. Ao finalizar a
pesquisa, passe no Help Desk e retire
seu brinde!”