Melhores Práticas de Segurança na AWS

1. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Melhores Práticas de Segurança na AWS - Quick Wins! Bruno Silveira Arquiteto de Soluções Dezembro 2019

3. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. OUSer Ágil Estar Seguro Antes… © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. OUSer Ágil Estar Seguro Antes…

5. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Segurança na AWS é prioridade Modelo de Segurança em diversas camadas Validado e direcionado por especialistas em segurança Beneficia todos os clientes Pessoas e Processos Sistemas Rede e Infraestrutura Física

7. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. + = • Instalações / Facilities • Segurança Física • Infraestrutura Computacional • Infraestrutura de Storage • Infraestrutura de Rede • Camada de Virtualização (EC2) • Hardening dos Serviços da nuvem • Capacidades de IAM • Configuração de Rede • Security Groups (FW) • FW de Sistema Operacional • Sistema Operacional • Segurança de Aplicação • Configuração correta de serviços • Autenticação e Gerenciamento de contas • Políticas de Autorização Sistemas mais seguros e em conformidade quando comparado com o que uma empresa pode fazer de forma isolada. Especialização em segurança é um recurso escasso. A AWS permite que sua equipe de segurança se concentre em um subconjunto de necessidades gerais de segurança. Modelo de Responsabilidade Compartilhada

8. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Soluções de Segurança NA Nuvem AWS Gestão de Acessos e Identidade Controles de Detecção Segurança em Infraestrutura Resposta a Incidentes Proteção de Dados AWS Identity & Access Management (IAM) AWS Organizations Control Tower AWS Cognito AWS Directory Service AWS Single Sign-On AWS Secret Manager AWS CloudTrail Security Hub AWS Config Amazon CloudWatch Amazon GuardDuty VPC Flow Logs Trusted Advisor Systems Manager AWS Shield AWS Web Application Firewall (WAF) Amazon Inspector Amazon Virtual Private Cloud (VPC) Image / AMI / Hardening Bastion Host AWS Key Management Service (KMS) AWS CloudHSM Amazon Macie Certificate Manager Server Side Encryption S3 Block Public AWS Config Rules AWS Lambda https://aws.amazon.com/pt/products/security/?nc2=h_m1

10. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS IAM - Controle e segregue os acessos • Você pode controlar quem pode fazer o que em seu ambiente da AWS quando e de onde. • Controle granular de acesso na nuvem AWS com autenticação de múltiplos fatores (tokens). • Integre com seu Active Directory existente usando federação e logon único (single Sign-On).

11. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Controle de acesso em diversos níveis Identity and Access Management AWS Management Console/APIs Infraestrutura AWS Aplicações AWS Suas aplicações Desenvolvedores Admins Segurança Empregados Clientes Parceiros

14. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IAM – Restrinja privilégios com condiçõesMFASourceIP Permite que um usuário gerencie chaves de acesso para todos os usuários do IAM somente se o usuário estiver usando o SSL. SSLTags Permite que um encerre instâncias EC2 somente se ele estiver autenticado com MFA Permite que um usuário encerre as instâncias EC2 apenas se o usuário estiver acessando a console a partir de 192.168.176.0/24 Permite que um usuário encerre as instâncias EC2 somente se a instância estiver marcada com “Ambiente = Dev”.

16. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. #2IAM Roles – Controlando acesso de aplicações Recursos AWS Seu código Sistema Operacional Instância EC2 Credenciais AWS entregues automaticamente e rotacionadas periodicamente Auto descoberta de credenciais AWS e uso Acesso controlado pela política de IAM (roles) Também trabalha com AWS Lambda & Amazon ECS

17. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Conta de Log centralizado Time de Nuvem Conta de Dev Conta de Prod Cientista de Dados Conta de Segurança Implementações e configurações entre contas Serviços compartilhados Conta de Sandboxing Conta de HIPAA Gerenciamento centralizado de políticas Contas Novos Controles Agregação de dados de serviços de múltiplas contas AWS Organizations – Mais controles em escala

18. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. #2SCP – Service Control Policies A1 A2 A4 M Conta Master/ root Organizational unit (OU) Contas AWS Service Control Policies (SCPs) Recursos AWS A3 Dev Test Prod

20. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IAM / AD – Perfis integrados com Grupos do AD virtual private cloud Private subnet Active Directory User 1 – Administrator Access User 2 – Security Audit User 2 – RDS Full Access AWS Management Console Identity Manager mzncorpawsbr.awsapps.com/console • Roles • Policies • Groups • Users Security Team

21. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Melhores práticas Gestão de Identidade e Acesso 1. MFA (2 fator de autenticação) para contas de acesso. 2. Limite o acesso somente a partir de endereços IPs autorizados quando possível. 3. Não use a conta root (primeira conta) e crie credenciais individualizadas no ambiente. 4. Crie contas com menor privilégio possível e revise periodicamente os acessos e perfis. 5. Sempre que possível integre com a base de autenticação / autoritativa já existente. 6. Crie roles / perfis na Nuvem com base em mapeamento prévio e Grupos de AD, SSO. 7. Utilize o modelo de Organizations para ter múltiplas contas gerenciadas de forma centralizada, podendo inclusive controlar custos e permissões de acesso por recursos. 8. Defina uma política de senhas fortes e de troca periódica no ambiente. 9. Tenha contas dedicadas para Segurança e Log / Auditoria.

23. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS CloudTrail - Audite as ações executadas • Você pode identificar rapidamente as alterações mais recentes feitas nos recursos em seu ambiente, incluindo a criação, modificação e exclusão de recursos da AWS, como por exemplo: • Início ou desligamento de servidores. • Alterações de usuários e Grupos de Segurança entre tantos outros eventos. Ocorre uma atividade CloudTrail Captura e grava o evento no log Você pode ver a atividade e histórico

24. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Inventário, rastreamento de configuração e notificação de alteração de configuração. AWSConfig EC2 VPC EBS CloudTrail Gestão de Mudanças Análise de Auditoria Análise de Segurança Análise de Problemas Inventário IAM AWS Config – Modelo de monitoração continua do ambiente

28. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. VPC Flow Logs – Visualizando fluxos de dados https://aws.amazon.com/blogs/security/how-to-visualize-and-refine-your-networks-security-by-adding-security-group-ids-to-your-vpc-flow-logs/

29. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. O Amazon GuardDuty é um serviço gerenciado de detecção de ameaças que monitora continuamente o comportamento mal-intencionado ou não autorizado para ajudá-lo a proteger suas contas e cargas de trabalho da AWS usando ML. GuardDuty – Aprendizagem de máquina em prol da segurança

30. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. GuardDuty- Como funciona Habilite o GuardDuty • Habilite com poucos cliques. • Monitore a segurança de sem a necessidade de instalar equipamentos ou softwares adicionais. Análise automática e contínua • Avaliação automática, contínua e escalável dos comportamentos de contas e de rede para proteção de seu ambiente AWS. Detecte ameaças de forma inteligente • Uso de ML para detecção de anomalias. • Feeds inteligência e regras de ameaças integradas. Avalie e automatize ações • Avalie alertas na console. • Integre com ferramentas de incidentes e Workflows. • Automatize resposta a incidentes com LAMBDA.

31. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. GuardDuty - Tipos de Ameaças Detectadas Força Bruta RDP RAT Instalado Exfiltração de credenciais por DNS Chamada de APIs maliciosas Credenciais Comprometidas Reconhecimento Portas não usuais Exfiltração DNS IPs maliciosos Conexão com sites em Blacklist Volume de tráfego não usual Proxy Anônimo Início não usual de instâncias Chamada de ISP não usual Mineração Bitcoin https://docs.aws.amazon.com/pt_br/guardduty/latest/ug/guardduty_finding-types.html#actual-types

33. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Trusted Advisor – Consultor virtual Valida configurações de Segurança no seu ambiente como: • Portas abertas. • Portas irrestritas. • CloudTrail habilitado. • Permissões de S3 Bucket • Uso de MFA • Política de senha • DB com risco de acesso. • Registros DNS • Configurações de LB

34. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. #6 https://aws.amazon.com/quickstart/architecture/compliance-cis-benchmark/ https://github.com/toniblyx/prowler https://github.com/awslabs/aws-security-benchmark https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf CIS Quick Start – Validação de práticas do CIS

35. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 1. Mantenha o CloudTrail sempre habilitado. 2. Colete os eventos de segurança de aplicações e sistemas operacionais de forma centralizada, usando por exemplo CloudWatch Log Agent. 3. Centralize em um SIEM e monitore os alertas / casos de uso. 4. Avalie continuamente as mudanças de configuração e compliance de segurança com o AWS Config. 5. Monitore atividades suspeitas de ataques e ou comprometimento em seu ambiente de nuvem com o GuardDuty. 6. Execute continuamente varreduras de vulnerabilidades com AWS Inspector e execute testes de invasão. Melhores Práticas Controles Detectivos

36. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 7. Habilite o VPC Flow Logs e monitore (integração com SIEM deve ser considerada). 8. Execute o AWS Trusted Advisor periodicamente. 9. Integre eventos de monitoração da nuvem com seu SOC e valide os procedimentos de resposta. 10. Reduza o número de erros de configuração de segurança introduzidos no ambiente de produção integrando e implantando validações de segurança automatizadas em seu pipeline de desenvolvimento em modelo de integração contínua (CD / CI). 11. Sistemas de prevenção de Intrusão podem ser considerados (avalie o uso de soluções de parceiros / integradas com a nuvem). Melhores Práticas Controles Detectivos

37. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Soluções de Segurança NA Nuvem AWS Gestão de Acessos e Identidade Controles de Detecção Segurança em Infraestrutura Resposta a Incidentes Proteção de Dados AWS Identity & Access Management (IAM) AWS Organizations Control Tower AWS Cognito AWS Directory Service AWS Single Sign-On AWS Secret Manager AWS CloudTrail Security Hub AWS Config Amazon CloudWatch Amazon GuardDuty VPC Flow Logs Trusted Advisor Systems Manager AWS Shield AWS Web Application Firewall (WAF) AWS System Manager Amazon Virtual Private Cloud (VPC) Image / AMI / Hardening Amazon Inspector AWS Key Management Service (KMS) AWS CloudHSM Amazon Macie Certificate Manager Server Side Encryption S3 Block Public AWS Config Rules AWS Lambda https://aws.amazon.com/pt/products/security/?nc2=h_m1

38. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. • Defina seu próprio range de endereços como uma extensão da sua rede privada. • Conecte com a sua rede privada usando túnel VPN ou Direct Connect • Configure Security Groups (virtual firewalls) para as suas instâncias EC2; for all EC2 instâncias; atualize regras de Firewall com chamada de APIs • Configure Network Access Control Lists para isolamento de subredes VPC - Isolamento de Rede

41. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS WAF - CloudFormation template https://docs.aws.amazon.com/solutions/latest/aws-waf-security-automations/template.html https://docs.aws.amazon.com/solutions/latest/aws-waf-security-automations/deployment.html

42. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS WAF Automations HTTP floods Scanners and probes SQL injection Bots and scrapers IP reputation lists Cross-site scripting AWS WAF Security Automations https://aws.amazon.com/answers/security/aws-waf-security-automations/

48. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS System Manager – Patch Baseline Crie imagens seguras Lance instâncias 1. Instale o agente e configure o serviço 2. Ready to go!

49. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 1 Autenticação forte. 2 Acesso aos servidores de forma restritiva. 3 Auditoria dos comandos executados. 4 Arquivos de auditoria cifrados e protegidos 5 O mesmo serviço pode ser usado para ambiente on-premise. 1 2 3 4 4 Session Manager AWS System Manager – Acessos Administrativos

52. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 1. Crie e mantenha imagens seguras permitindo o uso somente de imagens homologadas. 2. Atualize as imagens periodicamente (Patches e Guias de segurança). 3. Limite as regras de firewall inboud e outbound. 4. Crie os Security Groups por categorias de servidores. 5. Adote um modelo multicamada para proteção contra ataques de DDoS. 6. Crie VPCs isolados de acordo com a prática e modelo atual de segregação do seu ambiente. 7. Adote soluções de Antimalware de parceiros AWS integradas com seu ambiente na VPC. 8. Considere a adoção do WAF, com regras AWS e regras gerenciadas, ou ainda um AWF de parceiro integrado com a nuvem. 9. Considere o uso do Session Manager / System Manager. Melhores Práticas Segurança de Infraestrutura

54. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Console e AWS KMS - Você no controle § Você está no controle da privacidade de seus dados § Escolha a região da AWS em São Paulo e a AWS não a replicará em outro lugar, a menos que você escolha fazê-lo. § Controle o ciclo de vida e o descarte de conteúdo § Controle o formato, a precisão e a criptografia da maneira que você escolher. § Gestione suas próprias chaves de criptografia.

55. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Encripte os dados fim a fim EBS Criptografia de volumes Criptografia de Disco (EBS) Arquivos Soluções de parceiros / MarketPlace Criptografia de Objetos S3 Server Side Encryption (SSE) S3 SSE com chaves do cliente Criptografia do lado do cliente Criptografia de Bases de Dados RedshiftPostgreSQLMYSQLORACLEMSSQL AWS KMS

56. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. - Gestão de chaves simplificada. - Integrado com diversos serviços AWS. - Alinhado com padrões de criptografia mundiais, FIPS 140-2 Level 2. - Use o SDK para integrar facilmente com suas aplicações AWS KMS Criptografe em escala de forma simples e integrada

57. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Certificate Manager (ACM) – Em trânsito • Gere certificados SSL confiáveis para proteção de seus dados • Gerencie a renovação e instalação • Certificados sem custo para ambiente AWS • Use a mesma CA para gestão interna

58. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 1. Use Criptografia como em seus sonhos J, seja com KMS ou CloudHSM. 2. Faça inventário de grande volume de dados usando Amazon Macie. 3. Gerencie os certificados digitais de forma centralizada usando o Certificate Manager. 4. Garanta criptografia no trânsito sempre em chamadas API (HTTPS). 5. Implemente mecanismos de monitoração e controles de permissões em S3 em múltiplas camadas. Melhores Práticas Proteção de Dados

60. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Automatize com serviços integrados CloudWatch Events Amazon CloudWatch CloudWatch Event Lambda Lambda Function AWS Lambda GuardDuty Amazon GuardDuty Automatize a remediação de ameaças

65. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 1. Defina os casos de uso de automação e eventos a serem tratados. 2. Automatize as ações usando LAMBDA e recursos de integração. 3. Adicione ferramentas de terceiros e Open-Source para automatizar a coleta de evidências forense em tempo real. 4. Teste periodicamente os cenários de resposta. 5. Execute exercícios de CyberWar Simulation. Melhores Práticas Resposta a incidentes

66. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. CIS AWS Foundations https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf Use as melhores práticas como base

67. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. WA Security Pillar https://d1.awsstatic.com/whitepapers/architecture/AWS-Security-Pillar.pdf Use as melhores práticas como base

68. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. CAF Security Perspective https://d1.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf Use as melhores práticas como base

70. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Grande ecossistema de parceiros tecnológicos Segurança de Infraestrutura Log e monitoração Gestão de Identidade e Acessos Análise e Gestão de Vulnerabilidades Proteção de Dados Segurança de Infraestrutura

71. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. OUESer ágil estar seguro Agora… Gestão de Acessos e Identidade Controles de Detecção Segurança em Infraestrutura Resposta a Incidentes Proteção de Dados

74. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Obrigado brunorms@amazon.com https://aws.amazon.com/security/ https://aws.amazon.com/compliance/

Melhores Práticas de Segurança na AWS

Esté a ler uma amostra.

Confira estes a seguir

Melhores Práticas de Segurança na AWS

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Semelhante a Melhores Práticas de Segurança na AWS (20)

Mais de Amazon Web Services LATAM (20)