A AWS oferece maior segurança do que datacenters tradicionais devido à sua infraestrutura global distribuída, modelos de segurança compartilhada e controles de segurança como gerenciamento de identidade e acesso, detecção de ameaças, criptografia de dados e resposta a incidentes. O documento também fornece as melhores práticas de segurança da AWS como atribuir privilégios mínimos, habilitar auditoria e autenticação multifator.
5. Região e número de zonas de
disponibilidade
• AWS GovCloud (2)
• Oeste dos EUA
Oregon (3), Norte da Califórnia
(3)
• Leste dos EUA
Norte da Virgínia (5), Ohio (3)
• Canadá
Central (2)
• América do Sul
São Paulo (3)
• Europa
Irlanda (3), Frankfurt (2),
Londres (2)
• Ásia-Pacífico
Cingapura (2), Sydney (3),
Tóquio (3), Seul (2), Mumbai (2)
• China
Pequim (2)
10. Pilares
• Gerenciamento de Identidade e Acesso
• Controles detectivos
• Segurança da infraestrutura
• Proteção dos dados
• Resposta a incidentes
11. Gerenciamento de Identidade e Acesso
• Serviço IAM
• Politicas granulares
• Roles
• Credenciais temporárias
• Serviço de Diretório
• Serviço de Federação
• Multiplas contas AWS
12. ”Com a Amazon Web Services
chegamos ao resultado zero
em relação ao investimento de
bens de capital, além do fato
dos procedimentos da AWS
nos darem muito mais
segurança do que tínhamos
antes.”
Felipe BrandãoGerente de TI e Plataformas
Interativas
14. ” We worked closely with the
Amazon team to develop a
security model, which we
believe enables us to operate
more securely in the public
cloud than we can even in our
data centers.”
Rob Alexander CIO, Capital One
16. ” Based on our experience, I
believe that we can be even
more secure in the AWS cloud
than in our own data centers.”
Tom Soderstrom, CTO, NASA JPL
17. Proteção dos dados
• CloudHSM
• KMS
• Certificate Manager
• Criptografia nos serviços:
• EBS
• S3
• RDS
• RedShift
18. ” AWS enables NASDAQ OMX
to deliver a solution that is
tailored to our clients’ unique
requirements in a secure,
confidential, compliant
manner.”
Jeff Kimsey
Associate Vice President of Product
Management
NASDAQ
19. Resposta a incidentes
• Processos
• Automação
• Monitoramento contínuo
• Forense
• Analise de causa raiz
• Pessoas
• Treinamento
• Simulação de incidentes
• Suporte
21. Top 11 melhores práticas IAM
0. Users – Crie usuários individuais.
1. Permissions – Forneça sempre os mínimos privilégios.
2. Groups – Gerencie as permissões através de grupos.
3. Conditions – Restrinja acessos privilegiados com condições.
4. Auditing – Habilite o AWS CloudTrail para todas as regiões.
22. Top 11 melhores práticas IAM
5. Password – Configure uma política de senha forte.
6. Rotate – Rotacione as credenciais de segurança regularmente.
7. MFA – Habilite o MFA.
8. Sharing – Use Roles IAM para acessos compartilhados entre contas.
9. Roles – Use Roles IAM para instâncias EC2.
10. Root – Reduza ou remova o acesso root.
23. AWS Well Architected
Construa e implante
com mais rapidez
Diminua ou mitigue
os riscos
Tome decisões
informadas
Conheça as
melhores práticas
da AWS
26. Mais recursos:
• Well Architected:
https://aws.amazon.com/pt/architecture/well-architected/
• Whitepapers e recursos de segurança:
https://aws.amazon.com/pt/security/security-resources/
• Boletins de segurança:
https://aws.amazon.com/pt/security/security-bulletins/
• Pentest:
https://aws.amazon.com/pt/security/penetration-testing/
Vamos falar sobre os conceitos básicos de AWS e entender como a AWS pode ajudar voce a ter um ambiente mais seguro…
A AWS hoje possui 16 regiões e 44 Zonas de Disponibilidade alem de já ter anunciado planos para mais 3 regiões e 18 zonas de disponibilidade.
Cada zona de disponibilidade é semelhante a um Datacenter e um conjunto de zonas de disponibilidade forma uma região.Para que possamos prover serviços resilientes nós conectamos cada zona de disponibilidade entre si de forma que a latencia e a velocidade permita que se forneça serviços em alta-disponibilidade ou balanceamento de carga.Os dados armazenados em uma região permanecem nesta região a não ser que o cliente queira transferi-los para outra região. Por exemplo o nosso serviço de armazenamento de bloco S3 permite que se habilite a opção de ”Cross-Region Replication” onde os dados armazenados são enviados para outra região escolhida pelo cliente.Com isto os clientes podem escolher se querem desenvolver suas aplicações em uma determinada região para atender aos requisitos de conformidade com normas locais ou implementar suas soluções em qualquer uma das regiões disponíveis e aumentar a sua disponibilidade e resiliencia.
E onde está presente a nossa infraestrutura de regiões, zonas de disponibilidade e pontos de presença?
Primeiro é preciso entender que a AWS fornece um modelo de segurança compartilhada on a segurança ”DA” nuvem é responsabiidade da AWS enquanto a segurança ”NA” nuvem é responsabilidade do cliente.
Sendo assim temos a responsabilidade de manter seguro os recursos de computação, armazenamento, banco de dados e redes. Para isso nós temos uma infra-estrutura global formada por regiões, zonas de disponibilidade e pontos de presença.
Sobre esta plataforma de infraestrutura nós temos dezenas de serviços que se utilizam de uma infraestrutura uniforme para atender aos mais diferentes tipos de negócios.
Quando olhamos para a plataforma podemos ver que a AWS provê serviços de