Mais conteúdo relacionado Semelhante a AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf (20) Mais de Amazon Web Services LATAM (20) AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf1. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Security Framework - Novos desafios
aliados às melhores práticas da AWS
Bruno Silveira
Partner Solutions Architect - ISVs para Setor Público
brunorms@amazon.com
2. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Regulações impulsionam mais o tema segurança desde 2018
GDPR LGPD 4658 3909
10.07.2018
25.05.2018
14.04.2016
05.2021
26.4.2018
26.4.2018
16.08.2018
01.09.2019
https://d1.awsstatic.com/whitepapers/pt_BR/compliance/LGPD_Compliance_on_AWS.pdf
3. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Segurança na AWS é a maior prioridade
Modelo de Segurança
em diversas
camadas
Validado e
direcionado por
especialistas em
segurança
Beneficia todos
os clientes
Pessoas e Processos
Sistemas
Rede e Infraestrutura
Física
4. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Modelo de Responsabilidade Compartilhada
https://d1.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf
5. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Conformidade
• Mais de 203 certificações e acreditações de
segurança.
• Mais de 2.600 controles auditados anualmente.
• Relatórios de auditoria e conformidade de
disponíveis para os clientes no portal de serviços
da AWS - AWS Artifact.
6. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
+ =
• Instalações / Facilities
• Segurança Física
• Infraestrutura Computacional
• Infraestrutura de Storage
• Infraestrutura de Rede
• Camada de Virtualização (EC2)
• Hardening dos Serviços da
nuvem
• Capacidades de IAM
• Configuração de Rede
• Security Groups (FW)
• FW de Sistema Operacional
• Sistema Operacional
• Segurança de Aplicação
• Configuração correta de serviços
• Autenticação e Gerenciamento
de contas
• Políticas de Autorização
Sistemas mais seguros
e em conformidade
quando comparado
com o que uma
empresa pode fazer de
forma isolada.
Especialização em segurança é um recurso escasso. A AWS permite que sua equipe de segurança
se concentre em um subconjunto de necessidades gerais de segurança.
Modelo de Responsabilidade Compartilhada
7. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Etapa 1 Etapa 2 … …Evolução
1. Treinamento em Segurança na nuvem .
2. Integração com AD.
3. Landing Zone, Perfilamento.
4. Segregação de VPC / Redes.
5. Monitoramento de eventos de
segurança.
6. Criptografia.
7. Integração com SIEM.
8. ML para Segurança.
9. Monitoração de Conformidade.
10. Criptografia.
11. Security Groups.
12. Uso de Bastion Hosts.
Serviços
Tempo
IAM DS Config CloudTrail KMS Roles
1. Hardening.
2. Scan de Vulnerabilidades.
3. Proteção DDoS.
4. WAF.
5. NIPS.
6. S3 Sec. Policies.
7. Antimalware.
8. SOC / SIEM.
1. Integração CD / CI.
2. DevSecOps.
3. Mapeamento de
Dados críticos.
4. Automação de
Segurança.
5. Segurança como
Código.
GuardDuty WAF Inspector AWS Partners CloudWatch Alarms LAMBDA
Exemplo de uma jornada de segurança evolutiva
8. Well-Architected Framework da AWS
Segurança Confiabilidade
Eficiência em
performance
Otimização de
custos
Excelência
operacional
https://d1.awsstatic.com/whitepapers/architecture/AWS_Well-Architected_Framework.pdf
9. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Well-Architect Framework - Pilar de Segurança
https://d1.awsstatic.com/whitepapers/architecture/AWS-Security-Pillar.pdf
Use as melhores práticas como base
10. Soluções de Segurança NA Nuvem AWS
Gestão de Acessos
e
Identidade
Controles
de
Detecção
Segurança em
Infraestrutura
Resposta
a
Incidentes
Proteção
de
Dados
AWS Identity & Access
Management (IAM)
AWS Organizations
AWS Directory Service
AWS Single Sign-On
Amazon Cognito
AWS CloudTrail
AWS Security Hub
AWS Config
Amazon GuardDuty
Amazon Inspector
Amazon Detective
Systems Manager
AWS Shield
AWS Web Application
Firewall (WAF)
Amazon Virtual Private
Cloud (VPC)
Image / AMI / Hardening
AWS Key Management
Service (KMS)
AWS CloudHSM
Amazon Macie
AWS Certificate Manager
AWS Secret Manager
S3 Block Public
AWS Config Rules
AWS Lambda
https://aws.amazon.com/pt/products/security/
11. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Gestão de Acessos e Identidade
12. AWS IAM - Controle e segregue os acessos
• Você pode controlar quem pode fazer o
que em seu ambiente da AWS quando e
de onde.
• Controle granular de acesso na nuvem
AWS com autenticação de múltiplos
fatores (tokens).
• Integre com seu Active Directory
existente usando federação e logon único
(single Sign-On).
13. Controle de acesso em diversos níveis
Identity and Access Management
AWS Management Console/APIs
Infraestrutura
AWS
Aplicações
AWS
Suas aplicações
Desenvolvedores
Admins
Segurança Empregados
Clientes
Parceiros
14. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Conta de
Log
centralizado
Time de Nuvem
Conta de
Dev
Conta de
Prod
Cientista de
Dados
Conta de
Segurança
Implementações e
configurações entre
contas
Serviços
compartilhados
Conta de
Sandboxing
Conta de
HIPAA
Gerenciamento
centralizado de
políticas
Contas Novos Controles
AWS Organizations – Mais controles em escala
15. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Controles de Detecção
16. AWS CloudTrail - Audite as ações executadas
• Você pode identificar rapidamente as
alterações mais recentes feitas nos
recursos em seu ambiente, incluindo a
criação, modificação e exclusão de
recursos da AWS, como por exemplo:
• Início ou desligamento de servidores.
• Alterações de usuários e Grupos de
Segurança entre tantos outros eventos.
Ocorre uma
atividade
CloudTrail
Captura e
grava o
evento no log
Você pode ver
a atividade e
histórico
18. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
CloudWatch – Logs
20. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Proteção de Infraestrutura
21. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
• Defina seu próprio range de endereços como
uma extensão da sua rede privada.
• Conecte com a sua rede privada usando
túnel VPN ou Direct Connect
• Configure Security Groups (virtual firewalls)
para as suas instâncias EC2; atualize regras
de Firewall com chamada de APIs
• Configure Network Access Control Lists
para isolamento de subredes
VPC - Isolamento de Rede
22. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
1 Autenticação forte.
2 Acesso aos servidores de forma restritiva.
3 Auditoria dos comandos executados.
4 Arquivos de auditoria cifrados e protegidos.
5 O mesmo serviço pode ser usado para
ambiente on-premise.
1
2
3
4
4
Session
Manager
AWS System Manager – Acessos Administrativos
23. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS System Manager – Acessos Administrativos
24. Proteção de DDoS – Boas práticas e camadas de proteção
https://d1.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf
27. AWS WAF – Regras gerenciadas
https://aws.amazon.com/pt/blogs/aws/announcing-aws-managed-rules-for-aws-waf/
28. Arquitetura do WAF automations
https://aws.amazon.com/answers/security/aws-waf-security-automations/
29. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Proteção de Dados
30. Encripte os dados fim a fim
EBS
Criptografia de volumes
Criptografia de
Disco (EBS)
Arquivos
Soluções de parceiros /
MarketPlace
Criptografia de Objetos
S3 Server Side
Encryption (SSE)
S3 SSE com chaves do
cliente
Criptografia do lado do
cliente
Criptografia de Bases de Dados
RedshiftPostgreSQLMYSQLORACLEMSSQL
AWS
KMS
31. AWS Certificate Manager (ACM) – Em trânsito
• Gere certificados SSL confiáveis para proteção
de seus dados
• Gerencie a renovação e instalação
• Certificados sem custo para ambiente AWS
• Use a mesma CA para gestão interna
32. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Escala elasticamente para lidar
com a demanda máxima de
trabalho a partir de casa
Fornecer acesso a qualquer
recurso
de qualquer local
Regras de acesso para garantir que
os recursos estejam disponíveis
apenas para usuários autorizados
AWS Client VPN
Acesse qualquer recurso da empresa, na AWS e no local, de qualquer lugar
33. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Respostas à Incidentes
34. Inventário, rastreamento de configuração e notificação de alteração de configuração.
AWSConfig
EC2
VPC
EBS
CloudTrail
Gestão de
Mudanças
Análise de
Auditoria
Análise de
Segurança
Análise de
Problemas Inventário
IAM
AWS Config – Modelo de monitoração continua do ambiente
35. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Config – 100+ regras gerenciadas
36. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Config
37. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Automatize com serviços integrados
CloudWatch Events
Amazon
CloudWatch
CloudWatch
Event
Lambda
Lambda Function
AWS Lambda
GuardDuty
Amazon
GuardDuty
Automatize a remediação de ameaças
38. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Automatize Respostas com Step Functions
41. Grande ecossistema de parceiros tecnológicos
Segurança de
Infraestrutura
Log
e
monitoração
Gestão de
Identidade e
Acessos
Análise e Gestão de
Vulnerabilidades
Proteção de
Dados
Segurança de
Infraestrutura
42. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Treinamento em Segurança na nuvem
https://aws.amazon.com/pt/training/path-security/
1