SlideShare uma empresa Scribd logo
1 de 55
Baixar para ler offline
AWS Innovate 2020 - Como melhorar sua resiliência em segurança com automatização na AWS - Daniel Garcia
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Como melhorar sua resiliência em
segurança com automatização naAWS
Daniel Garcia
Principal Security Solutions Architect
Amazon Web Services
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Agenda
Democratização da segurança
Dez áreas em que sua equipe de segurança deve investir tempo
Resposta a incidentes usando o AWS Security Hub
Remediação automática com o AWS Config
Automatização da resposta a incidentes detectados pelo GuardDuty
Proteção de aplicações web
Seu consultor disponível 24x7: Trusted Advisor
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Democratização
da segurança
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
VAREJOBANCOSGOVERNO MÍDIA SAÚDE
A escalada nuveméovalor
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
A escalada nuveméovalor
Sāo Paulo
GovCloud (US-West)
Montréal
N. Virginia
GovCloud (US-
East)
Ireland
London
Paris
Stockholm
Bahrain
Cape Town
Mumbai
Ningxia
Beijing
Singapore
Hong Kong
Seoul
Tokyo
Sydney
Frankfurt
Oregon
N. California
Milan
Ohio
Regiões Anunciadas
Jakarta
Spain
Regiões Ativas
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Dez áreas emque suaequipe de segurançadeve investir
tempo
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Dez áreas emque suaequipe de segurançadeve investir
tempo
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Dez áreas emque suaequipe de segurançadeve investir
tempo
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Dez áreas emque suaequipe de segurançadeve investir
tempo
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Dez áreas emque suaequipe de segurançadeve investir
tempo
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Dez áreas emque suaequipe de segurançadeve investir
tempo
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Dez áreas emque suaequipe de segurançadeve investir
tempo
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Dez áreas emque suaequipe de segurançadeve investir
tempo
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Dez áreas emque suaequipe de segurançadeve investir
tempo
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Dez áreas emque suaequipe de segurançadeve investir
tempo
10
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
As cinco primeiras coisasaautomatizar
Tickets Políticas de IAM Logs Detecção
de ameaças
Alertas
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
VisãoGeral doAWSSecurityHub
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Funcionamento do IAMAccessAnalyzer
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Fluxo de respostaaumincidenteusando o
AWSSecurity Hub
Security Hub CloudWatch Events
Amazon GuardDuty
Amazon Inspector
Amazon Macie
Provedores terceiros
IAM Access Analyzer
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Criarumanalisadorno IAMAccessAnalyzer
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Criarumdocumento de automação noSSM
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Criaruma açãopersonalizada noAWSSecurityHub
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Criaruma regra doAmazonCloudWatch Events
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Partindo de umbucketS3desbloqueado paraacesso
público
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Semuma políticaderecurso (bucketpolicy)
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Criamos umapolíticade acessopúblico para leitura
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Descoberta gerada peloIAMAccessAnalyzer
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Seleciona-searegra edispara aaçãopersonalizada
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Bucket fechado – políticade bucket substituida
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWSConfig
Mudança em recursos
AWS Config
Normalizado
AWS Config rules
Alertas
Corrigir a config
ou reverter a
alteração
(através do SSM)
Caso de Uso: manter todos os buckets
S3 estejam configurados para cifrar os
objetos por padrão
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Criarpolíticaparaadministrar criptografia deS3
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Perfil comprivilégiopara executaraalteração
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Habilitararegraparaocontroledeserversideencryption
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
RegradoAWSConfig
O controle se faz de modo
contínuo, em alterações na
configuração do Amazon S3
Executamos a ação de
remediação pré-definida
AWS-EnableS3BucketEncryption
Que corrija
automaticamente
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
RegradoAWSConfig
Enviamos o nome do bucket
que encontro no conforme
como parâmetro para a ação
de correção
Também definimos qual o
perfil que assumir para ter a
capacidade de alterar a
configuração de criptografia
dos buckets
Algoritmo de criptografia a
usar
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Resultado
AWS Config
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AmazonGuardDuty – detecção de ameaças
• Detecção de
anomalias com
AI/ML
• Fontes de
inteligência
Amazon
GuardDuty
VPC flow logs
Logs de DNS
Eventos do
CloudTrail
DescobertasFontes de dados
Nube AWS
Amazon CloudWatch
Events
• Reconhecimento
• Comprometimento de
instancia
• Comprometimento de conta
• Mineração de cripto-moedas
RespostaDetecção
AWS Lambda
• Ação de resposta
• Ex 1: Isolar uma instancia,
trocando o Security Group
• Ex 2: Eliminar a instancia
comprometida para que o
Auto Scaling Group regenere
a instancia
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Lambda configurado para receber alertasdoAmazon
CloudwatchEvents
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Código queremove osSG atuaisesubstituipelo de
reposta a incidentes
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SecurityGroup quepermite acessorestritoàequipe de
resposta a incidentes
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AmazonCloudWatchEventsRules
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Descobertas doAmazonGuardDuty
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Ameaçacontida
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Planos de respostamaiscomplexos
Step Functions workflow
Grupo de Auto Scaling
Instancia
GuardDuty
Snapshot
Desktop virtual
de análise forense
(hardenizado)
Instancia
Security group B
Envio de notificação (e-mail/SIEM)
Snapshot
Incluir Etiqueta
→ IAM proíbe o acesso à VM para todos com exceção
da equipe de resposta a incidentes, pela etiqueta
Virtual desktop de forense acessa
a instancia com etiqueta
Modificar o Security Group
Remoção da instancia do
AutoScaling Group (que será
regenerada automaticamente)CloudWatch
Events
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Proteção de suasaplicações com oAWSWAF
HTTP floods Scanners e
sondas
SQL InjectionBots e scrapers
Listas de
reputação IP
Cross-site
scripting
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWSWAF com regras gerenciadas
https://aws.amazon.com/blogs/aws/announcing-aws-managed-rules-for-aws-waf/
Regras
oferecidas por
parceiros+
JÁ
DISPONÍVEL
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ProteçãoDDoScomAWSShield
Disponível a todos os clientes da AWS
sem custo adicional
• Proteção contra os ataques mais
comuns (SYN/UDP Floods, Ataques
Reflexivos, etc.; Camada 3/4)
• Detecção e mitigação automática
Padrão Avançada
Serviço pago que fornece proteção
adicional contra ataques sofisticados
✚ Proteção contra ataques avançados
(Camada 7)
✚ Equipe de Resposta DDoS 24x7
✚ Proteção de custos
✚ Melhor Monitoração / Visualização
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
TrustedAdvisor –ConsultorVirtual
• Security Groups abertos
• CloudTrail desabilitado
• Permissões de bucket S3
• Uso de MFA
• Política de senhas
• DB com riscos de acesso
• Registros DNS
Valida a configuração de segurança em seu ambiente AWS, por exemplo:
Obrigado!
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Daniel Garcia
dgarcat@amazon.com

Mais conteúdo relacionado

Mais procurados

AWS storage solutions The right tool for the right job, plus new features - S...
AWS storage solutions The right tool for the right job, plus new features - S...AWS storage solutions The right tool for the right job, plus new features - S...
AWS storage solutions The right tool for the right job, plus new features - S...Amazon Web Services
 
Building Internet-of-Things (IoT) applications for a connected home - SVC205 ...
Building Internet-of-Things (IoT) applications for a connected home - SVC205 ...Building Internet-of-Things (IoT) applications for a connected home - SVC205 ...
Building Internet-of-Things (IoT) applications for a connected home - SVC205 ...Amazon Web Services
 
Build sophisticated forecasting and recommendation models - AIM203 - São Paul...
Build sophisticated forecasting and recommendation models - AIM203 - São Paul...Build sophisticated forecasting and recommendation models - AIM203 - São Paul...
Build sophisticated forecasting and recommendation models - AIM203 - São Paul...Amazon Web Services
 
Performing real-time ETL into data lakes - ADB202 - São Paulo AWS Summit
Performing real-time ETL into data lakes - ADB202 - São Paulo AWS SummitPerforming real-time ETL into data lakes - ADB202 - São Paulo AWS Summit
Performing real-time ETL into data lakes - ADB202 - São Paulo AWS SummitAmazon Web Services
 
Industry 4.0- Managing the protocol zoo - SVC204 - São Paulo AWS Summit
Industry 4.0- Managing the protocol zoo - SVC204 - São Paulo AWS SummitIndustry 4.0- Managing the protocol zoo - SVC204 - São Paulo AWS Summit
Industry 4.0- Managing the protocol zoo - SVC204 - São Paulo AWS SummitAmazon Web Services
 
A culture of rapid innovation with DevOps, microservices, and serverless - MA...
A culture of rapid innovation with DevOps, microservices, and serverless - MA...A culture of rapid innovation with DevOps, microservices, and serverless - MA...
A culture of rapid innovation with DevOps, microservices, and serverless - MA...Amazon Web Services
 
Práticas para aumentar seu nível de segurança na Nuvem AWS
Práticas para aumentar seu nível de segurança na Nuvem AWSPráticas para aumentar seu nível de segurança na Nuvem AWS
Práticas para aumentar seu nível de segurança na Nuvem AWSAmazon Web Services LATAM
 
Webinar-A-Thon: Amazon Personalize (Português)
Webinar-A-Thon: Amazon Personalize (Português)Webinar-A-Thon: Amazon Personalize (Português)
Webinar-A-Thon: Amazon Personalize (Português)Amazon Web Services LATAM
 

Mais procurados (9)

AWS storage solutions The right tool for the right job, plus new features - S...
AWS storage solutions The right tool for the right job, plus new features - S...AWS storage solutions The right tool for the right job, plus new features - S...
AWS storage solutions The right tool for the right job, plus new features - S...
 
Building Internet-of-Things (IoT) applications for a connected home - SVC205 ...
Building Internet-of-Things (IoT) applications for a connected home - SVC205 ...Building Internet-of-Things (IoT) applications for a connected home - SVC205 ...
Building Internet-of-Things (IoT) applications for a connected home - SVC205 ...
 
Build sophisticated forecasting and recommendation models - AIM203 - São Paul...
Build sophisticated forecasting and recommendation models - AIM203 - São Paul...Build sophisticated forecasting and recommendation models - AIM203 - São Paul...
Build sophisticated forecasting and recommendation models - AIM203 - São Paul...
 
Ransomware: Estratégias de Mitigação
Ransomware: Estratégias de MitigaçãoRansomware: Estratégias de Mitigação
Ransomware: Estratégias de Mitigação
 
Performing real-time ETL into data lakes - ADB202 - São Paulo AWS Summit
Performing real-time ETL into data lakes - ADB202 - São Paulo AWS SummitPerforming real-time ETL into data lakes - ADB202 - São Paulo AWS Summit
Performing real-time ETL into data lakes - ADB202 - São Paulo AWS Summit
 
Industry 4.0- Managing the protocol zoo - SVC204 - São Paulo AWS Summit
Industry 4.0- Managing the protocol zoo - SVC204 - São Paulo AWS SummitIndustry 4.0- Managing the protocol zoo - SVC204 - São Paulo AWS Summit
Industry 4.0- Managing the protocol zoo - SVC204 - São Paulo AWS Summit
 
A culture of rapid innovation with DevOps, microservices, and serverless - MA...
A culture of rapid innovation with DevOps, microservices, and serverless - MA...A culture of rapid innovation with DevOps, microservices, and serverless - MA...
A culture of rapid innovation with DevOps, microservices, and serverless - MA...
 
Práticas para aumentar seu nível de segurança na Nuvem AWS
Práticas para aumentar seu nível de segurança na Nuvem AWSPráticas para aumentar seu nível de segurança na Nuvem AWS
Práticas para aumentar seu nível de segurança na Nuvem AWS
 
Webinar-A-Thon: Amazon Personalize (Português)
Webinar-A-Thon: Amazon Personalize (Português)Webinar-A-Thon: Amazon Personalize (Português)
Webinar-A-Thon: Amazon Personalize (Português)
 

Semelhante a AWS Innovate 2020 - Como melhorar sua resiliência em segurança com automatização na AWS - Daniel Garcia

AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdfAWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdfAmazon Web Services LATAM
 
Creating your secure cloud journey - SVC303 - São Paulo AWS Summit.pdf
Creating your secure cloud journey - SVC303 - São Paulo AWS Summit.pdfCreating your secure cloud journey - SVC303 - São Paulo AWS Summit.pdf
Creating your secure cloud journey - SVC303 - São Paulo AWS Summit.pdfAmazon Web Services
 
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...Amazon Web Services LATAM
 
IA/ML para análise de fraude e gerenciamento de riscos
IA/ML para análise de fraude e gerenciamento de riscosIA/ML para análise de fraude e gerenciamento de riscos
IA/ML para análise de fraude e gerenciamento de riscosAmazon Web Services LATAM
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.Amazon Web Services LATAM
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.Amazon Web Services LATAM
 
Cloud data management with Veeam and AWS - DEM03-S - São Paulo AWS Summit
Cloud data management with Veeam and AWS - DEM03-S - São Paulo AWS SummitCloud data management with Veeam and AWS - DEM03-S - São Paulo AWS Summit
Cloud data management with Veeam and AWS - DEM03-S - São Paulo AWS SummitAmazon Web Services
 
Webinar - An Introduction to Building and Optimizing a Hybrid Cloud on AWS.pptx
Webinar - An Introduction to Building and Optimizing a Hybrid Cloud on AWS.pptxWebinar - An Introduction to Building and Optimizing a Hybrid Cloud on AWS.pptx
Webinar - An Introduction to Building and Optimizing a Hybrid Cloud on AWS.pptxAmazon Web Services LATAM
 
Impulsione Inteligência ao IoT Edge com AWS Greengrass - IOT201 - Sao Paulo ...
Impulsione Inteligência ao IoT Edge com AWS Greengrass -  IOT201 - Sao Paulo ...Impulsione Inteligência ao IoT Edge com AWS Greengrass -  IOT201 - Sao Paulo ...
Impulsione Inteligência ao IoT Edge com AWS Greengrass - IOT201 - Sao Paulo ...Amazon Web Services
 
VMware Cloud on AWS Hybrid cloud made easy - CMP203 - São Paulo AWS Summit.pdf
VMware Cloud on AWS Hybrid cloud made easy - CMP203 - São Paulo AWS Summit.pdfVMware Cloud on AWS Hybrid cloud made easy - CMP203 - São Paulo AWS Summit.pdf
VMware Cloud on AWS Hybrid cloud made easy - CMP203 - São Paulo AWS Summit.pdfAmazon Web Services
 
A culture of rapid innovation with DevOps, microservices, and serverless - MA...
A culture of rapid innovation with DevOps, microservices, and serverless - MA...A culture of rapid innovation with DevOps, microservices, and serverless - MA...
A culture of rapid innovation with DevOps, microservices, and serverless - MA...Amazon Web Services
 
Twelve-Factor serverless applications - MAD302 - São Paulo AWS Summit
Twelve-Factor serverless applications - MAD302 - São Paulo AWS SummitTwelve-Factor serverless applications - MAD302 - São Paulo AWS Summit
Twelve-Factor serverless applications - MAD302 - São Paulo AWS SummitAmazon Web Services
 
AWS Initiate Digital week 2020 - Nuvem Hibrida.pptx
AWS Initiate Digital week 2020 - Nuvem Hibrida.pptxAWS Initiate Digital week 2020 - Nuvem Hibrida.pptx
AWS Initiate Digital week 2020 - Nuvem Hibrida.pptxAmazon Web Services LATAM
 
Startup Day - Tools for Building your Startup 2
Startup Day - Tools for Building your Startup 2Startup Day - Tools for Building your Startup 2
Startup Day - Tools for Building your Startup 2Amazon Web Services LATAM
 

Semelhante a AWS Innovate 2020 - Como melhorar sua resiliência em segurança com automatização na AWS - Daniel Garcia (20)

AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdfAWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
 
Creating your secure cloud journey - SVC303 - São Paulo AWS Summit.pdf
Creating your secure cloud journey - SVC303 - São Paulo AWS Summit.pdfCreating your secure cloud journey - SVC303 - São Paulo AWS Summit.pdf
Creating your secure cloud journey - SVC303 - São Paulo AWS Summit.pdf
 
AIML Reforçando a segurança virtual
AIML Reforçando a segurança virtualAIML Reforçando a segurança virtual
AIML Reforçando a segurança virtual
 
Segurança na AWS
Segurança na AWSSegurança na AWS
Segurança na AWS
 
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...
 
Melhores Práticas de Segurança na AWS
Melhores Práticas de Segurança na AWS Melhores Práticas de Segurança na AWS
Melhores Práticas de Segurança na AWS
 
AWS Segurança e Conformidade
AWS Segurança e ConformidadeAWS Segurança e Conformidade
AWS Segurança e Conformidade
 
IA/ML para análise de fraude e gerenciamento de riscos
IA/ML para análise de fraude e gerenciamento de riscosIA/ML para análise de fraude e gerenciamento de riscos
IA/ML para análise de fraude e gerenciamento de riscos
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
 
Escalando com segurança na AWS
Escalando com segurança na AWSEscalando com segurança na AWS
Escalando com segurança na AWS
 
Cloud data management with Veeam and AWS - DEM03-S - São Paulo AWS Summit
Cloud data management with Veeam and AWS - DEM03-S - São Paulo AWS SummitCloud data management with Veeam and AWS - DEM03-S - São Paulo AWS Summit
Cloud data management with Veeam and AWS - DEM03-S - São Paulo AWS Summit
 
Segurança na AWS
Segurança na AWS Segurança na AWS
Segurança na AWS
 
Webinar - An Introduction to Building and Optimizing a Hybrid Cloud on AWS.pptx
Webinar - An Introduction to Building and Optimizing a Hybrid Cloud on AWS.pptxWebinar - An Introduction to Building and Optimizing a Hybrid Cloud on AWS.pptx
Webinar - An Introduction to Building and Optimizing a Hybrid Cloud on AWS.pptx
 
Impulsione Inteligência ao IoT Edge com AWS Greengrass - IOT201 - Sao Paulo ...
Impulsione Inteligência ao IoT Edge com AWS Greengrass -  IOT201 - Sao Paulo ...Impulsione Inteligência ao IoT Edge com AWS Greengrass -  IOT201 - Sao Paulo ...
Impulsione Inteligência ao IoT Edge com AWS Greengrass - IOT201 - Sao Paulo ...
 
VMware Cloud on AWS Hybrid cloud made easy - CMP203 - São Paulo AWS Summit.pdf
VMware Cloud on AWS Hybrid cloud made easy - CMP203 - São Paulo AWS Summit.pdfVMware Cloud on AWS Hybrid cloud made easy - CMP203 - São Paulo AWS Summit.pdf
VMware Cloud on AWS Hybrid cloud made easy - CMP203 - São Paulo AWS Summit.pdf
 
A culture of rapid innovation with DevOps, microservices, and serverless - MA...
A culture of rapid innovation with DevOps, microservices, and serverless - MA...A culture of rapid innovation with DevOps, microservices, and serverless - MA...
A culture of rapid innovation with DevOps, microservices, and serverless - MA...
 
Twelve-Factor serverless applications - MAD302 - São Paulo AWS Summit
Twelve-Factor serverless applications - MAD302 - São Paulo AWS SummitTwelve-Factor serverless applications - MAD302 - São Paulo AWS Summit
Twelve-Factor serverless applications - MAD302 - São Paulo AWS Summit
 
AWS Initiate Digital week 2020 - Nuvem Hibrida.pptx
AWS Initiate Digital week 2020 - Nuvem Hibrida.pptxAWS Initiate Digital week 2020 - Nuvem Hibrida.pptx
AWS Initiate Digital week 2020 - Nuvem Hibrida.pptx
 
Startup Day - Tools for Building your Startup 2
Startup Day - Tools for Building your Startup 2Startup Day - Tools for Building your Startup 2
Startup Day - Tools for Building your Startup 2
 

Mais de Amazon Web Services LATAM

AWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAmazon Web Services LATAM
 
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAmazon Web Services LATAM
 
AWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAmazon Web Services LATAM
 
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAmazon Web Services LATAM
 
Automatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWSAutomatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWSAmazon Web Services LATAM
 
Automatize seu processo de entrega de software com CI/CD na AWS
Automatize seu processo de entrega de software com CI/CD na AWSAutomatize seu processo de entrega de software com CI/CD na AWS
Automatize seu processo de entrega de software com CI/CD na AWSAmazon Web Services LATAM
 
Ransomware: como recuperar os seus dados na nuvem AWS
Ransomware: como recuperar os seus dados na nuvem AWSRansomware: como recuperar os seus dados na nuvem AWS
Ransomware: como recuperar os seus dados na nuvem AWSAmazon Web Services LATAM
 
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSRansomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSAmazon Web Services LATAM
 
Aprenda a migrar y transferir datos al usar la nube de AWS
Aprenda a migrar y transferir datos al usar la nube de AWSAprenda a migrar y transferir datos al usar la nube de AWS
Aprenda a migrar y transferir datos al usar la nube de AWSAmazon Web Services LATAM
 
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWSAprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWSAmazon Web Services LATAM
 
Cómo mover a un almacenamiento de archivos administrados
Cómo mover a un almacenamiento de archivos administradosCómo mover a un almacenamiento de archivos administrados
Cómo mover a un almacenamiento de archivos administradosAmazon Web Services LATAM
 
Os benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWSOs benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWSAmazon Web Services LATAM
 
Los beneficios de migrar sus cargas de trabajo de big data a AWS
Los beneficios de migrar sus cargas de trabajo de big data a AWSLos beneficios de migrar sus cargas de trabajo de big data a AWS
Los beneficios de migrar sus cargas de trabajo de big data a AWSAmazon Web Services LATAM
 

Mais de Amazon Web Services LATAM (20)

AWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvem
 
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
 
AWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvem
 
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
 
Automatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWSAutomatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWS
 
Automatize seu processo de entrega de software com CI/CD na AWS
Automatize seu processo de entrega de software com CI/CD na AWSAutomatize seu processo de entrega de software com CI/CD na AWS
Automatize seu processo de entrega de software com CI/CD na AWS
 
Cómo empezar con Amazon EKS
Cómo empezar con Amazon EKSCómo empezar con Amazon EKS
Cómo empezar con Amazon EKS
 
Como começar com Amazon EKS
Como começar com Amazon EKSComo começar com Amazon EKS
Como começar com Amazon EKS
 
Ransomware: como recuperar os seus dados na nuvem AWS
Ransomware: como recuperar os seus dados na nuvem AWSRansomware: como recuperar os seus dados na nuvem AWS
Ransomware: como recuperar os seus dados na nuvem AWS
 
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSRansomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWS
 
Ransomware: Estratégias de Mitigación
Ransomware: Estratégias de MitigaciónRansomware: Estratégias de Mitigación
Ransomware: Estratégias de Mitigación
 
Aprenda a migrar y transferir datos al usar la nube de AWS
Aprenda a migrar y transferir datos al usar la nube de AWSAprenda a migrar y transferir datos al usar la nube de AWS
Aprenda a migrar y transferir datos al usar la nube de AWS
 
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWSAprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWS
 
Cómo mover a un almacenamiento de archivos administrados
Cómo mover a un almacenamiento de archivos administradosCómo mover a un almacenamiento de archivos administrados
Cómo mover a un almacenamiento de archivos administrados
 
Simplifique su BI con AWS
Simplifique su BI con AWSSimplifique su BI con AWS
Simplifique su BI con AWS
 
Simplifique o seu BI com a AWS
Simplifique o seu BI com a AWSSimplifique o seu BI com a AWS
Simplifique o seu BI com a AWS
 
Os benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWSOs benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWS
 
Los beneficios de migrar sus cargas de trabajo de big data a AWS
Los beneficios de migrar sus cargas de trabajo de big data a AWSLos beneficios de migrar sus cargas de trabajo de big data a AWS
Los beneficios de migrar sus cargas de trabajo de big data a AWS
 
Bases de datos NoSQL en AWS
Bases de datos NoSQL en AWSBases de datos NoSQL en AWS
Bases de datos NoSQL en AWS
 
Bancos de dados NoSQL na AWS
Bancos de dados NoSQL na AWSBancos de dados NoSQL na AWS
Bancos de dados NoSQL na AWS
 

AWS Innovate 2020 - Como melhorar sua resiliência em segurança com automatização na AWS - Daniel Garcia

  • 2. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Como melhorar sua resiliência em segurança com automatização naAWS Daniel Garcia Principal Security Solutions Architect Amazon Web Services
  • 3. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Agenda Democratização da segurança Dez áreas em que sua equipe de segurança deve investir tempo Resposta a incidentes usando o AWS Security Hub Remediação automática com o AWS Config Automatização da resposta a incidentes detectados pelo GuardDuty Proteção de aplicações web Seu consultor disponível 24x7: Trusted Advisor
  • 4. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Democratização da segurança
  • 5. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. VAREJOBANCOSGOVERNO MÍDIA SAÚDE A escalada nuveméovalor
  • 6. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. A escalada nuveméovalor Sāo Paulo GovCloud (US-West) Montréal N. Virginia GovCloud (US- East) Ireland London Paris Stockholm Bahrain Cape Town Mumbai Ningxia Beijing Singapore Hong Kong Seoul Tokyo Sydney Frankfurt Oregon N. California Milan Ohio Regiões Anunciadas Jakarta Spain Regiões Ativas
  • 7. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Dez áreas emque suaequipe de segurançadeve investir tempo
  • 8. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Dez áreas emque suaequipe de segurançadeve investir tempo
  • 9. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Dez áreas emque suaequipe de segurançadeve investir tempo
  • 10. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Dez áreas emque suaequipe de segurançadeve investir tempo
  • 11. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Dez áreas emque suaequipe de segurançadeve investir tempo
  • 12. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Dez áreas emque suaequipe de segurançadeve investir tempo
  • 13. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Dez áreas emque suaequipe de segurançadeve investir tempo
  • 14. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Dez áreas emque suaequipe de segurançadeve investir tempo
  • 15. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Dez áreas emque suaequipe de segurançadeve investir tempo
  • 16. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Dez áreas emque suaequipe de segurançadeve investir tempo 10
  • 17. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. As cinco primeiras coisasaautomatizar Tickets Políticas de IAM Logs Detecção de ameaças Alertas
  • 18. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
  • 19. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. VisãoGeral doAWSSecurityHub
  • 20. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Funcionamento do IAMAccessAnalyzer
  • 21. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Fluxo de respostaaumincidenteusando o AWSSecurity Hub Security Hub CloudWatch Events Amazon GuardDuty Amazon Inspector Amazon Macie Provedores terceiros IAM Access Analyzer
  • 22. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Criarumanalisadorno IAMAccessAnalyzer
  • 23. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Criarumdocumento de automação noSSM
  • 24. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Criaruma açãopersonalizada noAWSSecurityHub
  • 25. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Criaruma regra doAmazonCloudWatch Events
  • 26. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Partindo de umbucketS3desbloqueado paraacesso público
  • 27. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Semuma políticaderecurso (bucketpolicy)
  • 28. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Criamos umapolíticade acessopúblico para leitura
  • 29. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Descoberta gerada peloIAMAccessAnalyzer
  • 30. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Seleciona-searegra edispara aaçãopersonalizada
  • 31. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Bucket fechado – políticade bucket substituida
  • 32. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
  • 33. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWSConfig Mudança em recursos AWS Config Normalizado AWS Config rules Alertas Corrigir a config ou reverter a alteração (através do SSM) Caso de Uso: manter todos os buckets S3 estejam configurados para cifrar os objetos por padrão
  • 34. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Criarpolíticaparaadministrar criptografia deS3
  • 35. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Perfil comprivilégiopara executaraalteração
  • 36. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Habilitararegraparaocontroledeserversideencryption
  • 37. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. RegradoAWSConfig O controle se faz de modo contínuo, em alterações na configuração do Amazon S3 Executamos a ação de remediação pré-definida AWS-EnableS3BucketEncryption Que corrija automaticamente
  • 38. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. RegradoAWSConfig Enviamos o nome do bucket que encontro no conforme como parâmetro para a ação de correção Também definimos qual o perfil que assumir para ter a capacidade de alterar a configuração de criptografia dos buckets Algoritmo de criptografia a usar
  • 39. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Resultado AWS Config
  • 40. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
  • 41. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. AmazonGuardDuty – detecção de ameaças • Detecção de anomalias com AI/ML • Fontes de inteligência Amazon GuardDuty VPC flow logs Logs de DNS Eventos do CloudTrail DescobertasFontes de dados Nube AWS Amazon CloudWatch Events • Reconhecimento • Comprometimento de instancia • Comprometimento de conta • Mineração de cripto-moedas RespostaDetecção AWS Lambda • Ação de resposta • Ex 1: Isolar uma instancia, trocando o Security Group • Ex 2: Eliminar a instancia comprometida para que o Auto Scaling Group regenere a instancia
  • 42. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Lambda configurado para receber alertasdoAmazon CloudwatchEvents
  • 43. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Código queremove osSG atuaisesubstituipelo de reposta a incidentes
  • 44. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. SecurityGroup quepermite acessorestritoàequipe de resposta a incidentes
  • 45. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. AmazonCloudWatchEventsRules
  • 46. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Descobertas doAmazonGuardDuty
  • 47. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Ameaçacontida
  • 48. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Planos de respostamaiscomplexos Step Functions workflow Grupo de Auto Scaling Instancia GuardDuty Snapshot Desktop virtual de análise forense (hardenizado) Instancia Security group B Envio de notificação (e-mail/SIEM) Snapshot Incluir Etiqueta → IAM proíbe o acesso à VM para todos com exceção da equipe de resposta a incidentes, pela etiqueta Virtual desktop de forense acessa a instancia com etiqueta Modificar o Security Group Remoção da instancia do AutoScaling Group (que será regenerada automaticamente)CloudWatch Events
  • 49. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
  • 50. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Proteção de suasaplicações com oAWSWAF HTTP floods Scanners e sondas SQL InjectionBots e scrapers Listas de reputação IP Cross-site scripting
  • 51. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWSWAF com regras gerenciadas https://aws.amazon.com/blogs/aws/announcing-aws-managed-rules-for-aws-waf/ Regras oferecidas por parceiros+ JÁ DISPONÍVEL
  • 52. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. ProteçãoDDoScomAWSShield Disponível a todos os clientes da AWS sem custo adicional • Proteção contra os ataques mais comuns (SYN/UDP Floods, Ataques Reflexivos, etc.; Camada 3/4) • Detecção e mitigação automática Padrão Avançada Serviço pago que fornece proteção adicional contra ataques sofisticados ✚ Proteção contra ataques avançados (Camada 7) ✚ Equipe de Resposta DDoS 24x7 ✚ Proteção de custos ✚ Melhor Monitoração / Visualização
  • 53. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
  • 54. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. TrustedAdvisor –ConsultorVirtual • Security Groups abertos • CloudTrail desabilitado • Permissões de bucket S3 • Uso de MFA • Política de senhas • DB com riscos de acesso • Registros DNS Valida a configuração de segurança em seu ambiente AWS, por exemplo:
  • 55. Obrigado! © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Daniel Garcia dgarcat@amazon.com

Notas do Editor

  1. Olá, sejam bem vindos ao AWS Innovate. Meu nome é Daniel Garcia, eu sou Arquiteto de Soluções especializado em segurança na AWS e hoje vamos falar sobre como melhorar sua resiliência em segurança na AWS utilizado automatização e serviços nativos da plataforma
  2. Aqui está a nossa agenda, iremos começar conversando como a AWS traz democratização da segurança, depois vamos falar sobre as 10 áreas em que a sua equipe deve começar por investir seu tempo para ter o melhor retorno de segurança; em seguida vamos ver 4 casos de uso de automação e por fim veremos alguns serviços que podem ser utilizados para proteger suas aplicações web.
  3. Recursos mais limitados que temos são engenheiros com conhecimento e experiência em segurança – hoje existe uma grande demanda por esse tipo de profissional que não é atendida pela oferta O que eu quero dizer com democratização da segurança Dar acesso à funcionalidades e serviços de segurança, independentemente do quanto vc gasta ou dos recursos que vc tem Conta AWS é mesma para todos Quando nos aprendemos algo, você também aprende por inferência, este é o beneficio da escala em que operamos Democracia vem do grego, demo = povo, kratos – domínio, poder – ou seja poder do povo No caso da AWS, o povo, os clientes, tem acesso aos aprendizados, e todo o resultado do uso de todos os clientes. Você recebe os mesmos direitos, liberdades e vantagens que qualquer outro cidadão na AWS.
  4. 90% do que a AWS lança de funcionalidades e serviços vem diretamente do que nossos clientes estão pedindo, e estes clientes são de diferentes mercados e trazem diferentes perspectivas. Em uma infra-estrutura tradicional, cada cliente está focado no seu próprio negocio, no seu próprio ambiente Nós ouvimos clientes do mundo inteiro, em todas os tipos de negócios O que o Nubank, o Mercado Livre, a Amazon.com, o Netflix, ou a Expedia veem em bilhões de casos de uso todos os dias, vocês também se beneficiam do conhecimento e experiência gerado por esse volume E se beneficiam também através das funcionalidades que implementados na nossa plataforma baseado no feedback destes clientes, muitas vezes através de um único clique ou uma chamada de API sem a necessidade de instalar, migrar ou atualizar sua infra-estrutura
  5. Vocês já devem ter visto este slide antes, mas como a infra-estrutura da AWS continua crescendo gostamos de incluí-lo nas apresentações Em qualquer lugar do mundo que vc queira operar, a AWS pode te alcançar de uma região próxima Nossa infra-estrutura hoje compreende 69 zonas de disponibilidade em 22 regiões geográficas ao redor do mundo Também já foi anunciado que estamos trabalhando em mais 13 zonas de disponibilidade em 4 novas regiões na Africa do Sul, Espanha, Itália e Indonésia Nossa rede de cabos tem mais de 4,1 milhoes de kilometros Em nossa infra-estrutura temos 1 quadrilhão de métricas de infra-estrutura e aplicações observadas através do cloudwatch só em segurança, conformidade e governança, já são hoje implementados 230 serviços e funcionalidades
  6. Baseado em toda essa experiencia que comentamos, gostaria de compartilhar com vocês uma sugestão de 10 areas por onde os clientes deveriam começar por investir seus recursos que pode trazer o maior retorno para este investimento A AWS identifica ameaças ao redor da internet e comunica aos clientes quando notamos que algum recurso que o cliente possui possa estar vulnerável a um ataque que está se propagando. Fazemos isso o tempo todo. No entanto isso só funciona quando conseguimos efetivamente contato com o clientes. O endereço de e-mail que vc tem registrado na sua conta, está sendo monitorado, ele é monitorado por um humano ou um Sistema que gera uma notificação quando há uma informação importante alí?
  7. Especialmente para a credencial de root, que é a primeira credencial criada quando uma conta é aberta A autenticação de multiplo fator é muito simples de se configurar, não tem custo adicional E Previne de forma simples e rápida uma grande gama de ataques
  8. Segredos, Chaves de acesso, senhas, parametros confidenciais não devem ser armazenados no código Pergunte aos seus desenvolvedores onde eles armazenam os segredos, se a resposta for no repositório de Código ou git peça para que não façam isso Armazenar segredos em Código torna difícil de rotacionar, e de saber quem tem acesso à essas informações No ambiente da AWS os clientes podem utilizar o Secrets manager, SDKs e outras ferramentas que oferecemos
  9. Security Groups são firewalls stateful que limitam o acesso às suas aplicações. Como em qualquer ambiente o acesso deve ser concedido apenas aos blocos de endereços que realmente precisam ter acesso aos recursos Pode ser que uma aplicação tenha que estar publicada para toda a internet, no entanto esta decisão deve ser tomada de maneira consciente e intencional às vezes Desenvolvedores não tomam o cuidado necessário em identificar e restringir o acesso, no entanto é fundamental que as políticas de controle de acesso estejam sempre de acordo com a necessidade real de exposição dos recursos para previnir riscos desnecessários
  10. A palavra chave aqui é Intencional Crie políticas que definem como os dados serão processados e quais são as limitações de acesso para cada tipo de conteúdo Muitas vezes as políticas dizem que não se pode colocar determinados tipos de informação em certos lugares (dados de clientes não podem ser armazenados em serviços de compartilhamento de arquivos públicos, por exemplo). No entanto este tipo de política não ensina o que ele efetivamente deve ser feito, onde a informação deve ser armazenada. Então devemos falar: “faça isso ao invés daquilo” Dessa forma seus usuários saberão o que fazer sem ter que tomar as decisões por conta propria, e que algumas vezes pode ser uma decisão incorreta
  11. Você está com os logs habilitados? É importante entender que é impossível encontrar logs que foram descartados No ambiente de núvem não existe desculpa para não guardar os logs, os serviços de armazenamento são especialmente baratos e escaláveis Existem níveis de armazenamento como por exemplo o Glacier deep archive que custa menos de 1 dólar por Terabyte Nossa política interna é de armazernar os logs por 10 anos Portanto sugerimos que colete e armezene seus logs, gerenciando os níveis de armazenamento e ciclo de vida destes logs para economizar em gastos mas ainda ter acesso às informações quando precise delas
  12. A primeira pergunta a se fazer é se vocês estão usando os perfis Eles são uma forma de dar permissões sem ter que criar credenciais de acesso de longa duração Os perfis especificam quem tem acesso ao que Evite ao máximo usar políticas com “asterisco” Recomendamos que trabalhem constantemente tornar os acessos o mais restritos possível
  13. Sistemas de alarme são ótimos Se alguém é notificado melhor ainda Mas se alguém toma uma atitude aí é o melhor dos mundos Não adianta ter luzes coloridas piscando se ninguem toma uma atitude em relação à elas As ações podem ser manuais, automatizadas, ou através de integrações com parceiros. Mais pra frente famos falar em como automatizar uma parte destes processos de resposta a alertas do guardduty
  14. Segredos não rotacionados são vulnerabilidades esperando para serem exploradas O processo de rotação deve ser automatizado para que possa ser feito periodicamente sem um grande esforço das equipes Este tipo de prática também previne falhas nos serviços quando recursos expiram, por exemplo certificados digitais Quando um certificados digital expira muitas vezes alguns processos podem parar, e nós na AWS já fomos impactados por esse tipo de situação Por esse motivo criamos o AWS certificate manager para tornar o processo de renovação de certificados digitais automático
  15. Time de segurança pode ser de grande valor, ou uma grande barreira para o desenvolvimento É importante entender que os Desenvolvedores não tem intenção de criar Código ruim, eles querem criar software de boa qualidade Quando a equipe de segurança se engaja, existem diferentes tipos de abordagens Você pode se aproximar e dizer que vai tentar melhorar a segurança analizando com o desenvolvedor escreveu o código e buscar formas de ajudar a melhora-lo, e aí receberá um tipo de reação Agora se chegar dizendo “meu deus, que o Código horroroso”, a reação será completamente diferente Times de desenvolvimento constantemente veem a equipe de segurança como um adversário, pois ele pode impactar diretamente nos seus objetivos, que geralmente são a entrega de novas funcionalidades de forma rápida Eu tenho confiança de que se você for analizar o processo completo, desde a escrita do Código até o deployment em produção, certamente encontrará varios processos que podem ser melhorados de maneira significativa para tornar seu ambiente mais seguro
  16. Eu amo automatização, e acredito em uma colocação frequente do nosso CISO, Stephen Schmidt: Humanos não devem estar em contato com os dados, Temos que Remover a proximidade das pessoas com os dados, e a razão disso é simples: Humanos erram: * Erro de digitação que podem gerar uma queda do sistema, apesar de todo o treinamento feito clicar em um link recebido por e-mail que não deveriam, ou talvez por estar passando por um dia difícil Tickets – pode parecer uma sugestão obvia, no entanto a maioria do foco hoje em dia é em criar os tickets de forma automatica, o nosso foco é em resolver os tickets de forma automatizada No nosso negocio são gerados 100.000s tickets todos os anos - 96.4% dos tickets direcionados à equipe de segurança são resolvidos sem o engajamento de um humano Porque isso é importante? Qual o recurso mais escasso – humanos com conhecimento e experiencia Muitos de voces são profissionais de segurança – vocês preferem verificar se alguém do time de vendas fechou um bucket do Amazon S3 que tinha sido aberto publicamente ou fazer outra atividade que possa ser muito mais interessante e trazer benefícios concretos para a companhia? Criar permissões de acesso que restrinjam as ações corretamente é difícil, repetir isto consistentemente centenas de vezes é muito mais difícil O foco da automação deve ser em redução de escopo de acesso Sabemos que é fundamental coletar os logs, no entanto o quão rápido Podemos extrair informação útil deles? Quanto tempo leva entre uma pessoa dizer “oh oh” até a primeira pergunta ser feita aos logs? Muitas vezes é necessário buscar as informações em vários repositórios, correlacionar informações entre fontes distintas, como por exemplo informação de usuário, contas, endereços IP, domínios, recursos, etc. O enriquecimento dos logs deve ser feito com antecedencia aos problemas ocorrerem Você não quer deixar para fazer essas correlações durante o calor de uma incidente em andamento Detecção de ameaças: não é algo que seja possível de ser feito de forma manual ou “a olho” Se vc depende de um ser humano sentado em um SOC em algum lugar do mundo para detectar um incidente, você tem um problema Além de que os seres humanos com conhecimento em segurança são recursos escassos, que vc não quer dispender para fazer algo que um Código poderia fazer muito mais rápido e de maneira muito mais consistente Em segurança tempo é um recurso crítico É muito mais efetivo dedicar os “humanos” para tarefas mais desafiadoras ao invés de tomar ações repetitivas E isso tudo nos leva aos alertas, ou seja, avisar às pessoas certas de que algo está acontecendo Mas levar ao passo seguinte: será que as ferramentas que vc usa escalam os problemas se ninguem toma uma atitude? Internamente na AWS desenvolvemos Sistemas que são usados por toda a companhia que fazem escalação automática dos alertas Se o engenheiro de segurança de plantão não responde a um alerta, o Sistema automaticamente escala para o próximo nivel e assim por diante, até chegar ao nível do nosso CEO Andy Jassy A escalação continua subindo até que um ser humano responda Acredito que vc não quer ir para a sala do chefe e ter que dizer que o alarme disparou mas nada foi feito
  17. O AWS Security Hub é um Sistema que permite a verificação e visualização do seu nível de conformidade com o padrão CIS para AWS e de descobertas de segurança e conformidade de outros serviços como o GuardDuty, Inspector ou parceiros da AWS Ele também permite executar ações personalizadas sobre estas descobertas que é o que vamos ver em seguida
  18. O IAM Access Analyzer é um novo serviços lançado na re:Invent de 2019 que permite encontrar recursos na sua conta ou “zona de confiança”, que estejam compartilhados fora da zona de confiança ou publicamente e gera alertas para que você possa tomar medidas
  19. O AWS Config é um serviço que permite monitorar, auditar e avaliar as configurações dos recursos da AWS Ele monitora e grava continuamente os registros das configurações de recursos e permite automatizar a avaliação das configurações usando regras nativas e também regras personalizadas. O Config também permite que ações automaticas sejam tomadas para remediar uma não-conformidade
  20. Aqui mostramos apenas um exemplo, porém existe uma grande quantidade de outras regras gerenciadas disponíveis para remediação automatizada, como SSH ou RDP aberto para a Internet, CloudTrail desabilitado, etc.
  21. O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades mal-intencionadas ou comportamentos não autorizados no seu ambiente ou workloads na AWS
  22. en 5’ de tiempo de ejecución
  23. O Web Application Firewall é uma ferramenta fundamental para proteger aplicações web de ataques. Existe uma grande quantidade de ameaças que podem ser prevenidas usando o WAF da AWS como por exemplo ataques de cross-site scripting, SQL Injection, robos que fazem a varredura e roubo de informações do seu site.
  24. Para facilitar a proteção de suas aplicações web a AWS lançou no re:Invent de 2019 Um pacote de regras gerenciadas pela AWS Estas regras são atualizadas constantemente pelo nosso time de investigação de ameaças Além das regras da AWS existe uma grande quantidade de regras de parceiros além da capacidade de criar regras personalizadas.
  25. Outro tipo de ameaça comum a aplicações Web disponibilizadas na internet são os ataques de negação de serviço, ou denial of service. A AWS implementa dois níveis de proteção para ataques de DDoS um primeiro nível de proteção que chamamos de Shield Standard ou Shield Padrão que está disponível a todos os clientes sem custo adicional Ele faz a proteção contra os ataques mais comuns nas camadas 3 e 4 e a detecção e mitigação é feita de maneira automatizada Para clientes que tem necessidade de contratar um serviço de proteção para ataques mais sofisticados, podem usar o Shield Avançado que conta com: proteções na camada de aplicação web um time de resposta a incidentes de negação de serviço 24x7 proteção contra custos adicionais na mitigação de ataques e um dashboard com notificações e visualização de ataques globais
  26. E por fim vamos falar de uma ferramenta da AWS que fornece orientações em tempo real para ajudar a provisionar e manter os seus recursos de acordo com as melhores práticas da AWS
  27. O Trusted advisor valida a configuração em 4 pilares, um deles é a segurança do seu ambiente. Ele irá alertar para uma série de parâmetros de configuração que podem gerar vulnerabilidades, como: Security Groups abertos para toda internet Cloudtrail desabilitado Ausencia de segundo fator de autenticação configurado E alguns outros.
  28. Com isso eu gostaria de agradecer a atenção de vocês e desejar uma ótima conferencia.