2. Diferentes pontos de vista do cliente sobre segurança:
• CEO: Proteger o valor para o Acionista
• PR exec: Manter longe da mídia
• CI{S}O: Preservar a confidencialidade, integridade, e
disponibilidade do dado
4. Segurança é nossa prioridade Nº 1
Características de segurança abrangentes para suportar virtualmente
qualquer carga de trabalho
5. Segurança na nuvem AWS
“Baseada na nossa experiência, eu acredito que
nós podemos ser ainda mais seguros na nuvem
AWS do que em nossos próprios datacenters.”
-Tom Soderstrom, CTO, NASA JPL
6. Segurança na AWS oferece aos clientes mais:
Visibilidade Auditoria Controle
7. Visibilidade
– Na nuvem AWS, veja sua infraestrutura inteira com o clique do “mouse”
– Você consegue mapear sua rede atual?
8. Segurança na AWS entrega mais facilidade de auditoria
• Consistente, regular, exaustiva avaliação de terceiros
com resultados de fácil compreensão
9. Pesquisa IDC
Atitudes e Percepções sobre segurança e Serviços Cloud
Quase 60% das organizações concordaram que PSCs [provedores de
serviços em cloud] fornecem melhor segurança do que suas próprias
organizações de TI.
Fonte: IDC 2013 U.S. Cloud Security Survey,
doc #242836, Setembro de 2013
10. Serasa Experian & cloud computing
“O setor financeiro
brasileiro em breve
entenderá que
ambientes robustos de
nuvem pública, como o
da AWS, serão
fundamentais também
para aplicações de
missão crítica”
Rodrigo Zenun
• A Serasa Experian, parte do grupo Experian, é o
maior bureau de crédito do mundo fora dos
Estados Unidos, detendo o mais extenso banco de
dados da América Latina sobre consumidores,
empresas e grupos econômicos.
• Há 45 anos no mercado brasileiro, a Serasa
Experian participa da maioria das decisões de
crédito e negócios tomadas no País, respondendo,
on-line e em tempo real, a 6 milhões de consultas
por dia, demandadas por 500 mil clientes diretos e
indiretos.
• Technical Security Baselines específicos para
cloud computing publicados pelo Escritório Global
de Segurança.
11. Missão Crítica & Cloud Computing
• Elasticidade de até 200 vezes a
média de requisições no front-end.
• Utilização de diversos serviços:
EC2, S3, VPC, Cloudfront, VPN,
RDS, Cloudwatch, SES, SNS, IAM,
etc.
• Combinar flexibilidade, agilidade e
segurança da informação.
12. Estratégia de Segurança na AWS
...e se?
Cenários Técnicas
• Multi-factor authenticaion (MFA)
• IAM (Identity and Access Management)
• VPN + Virtual Private Cloud
• IPS / IDS
• Patch Management / Virtual Patching
• Security Group + ACL
• Criptografia de volumes
• Criptografia de banco de dados
• Política de senhas e par de chaves
• Matriz de responsabilidades
• etc.
14. AWS CloudTrail
Você está
fazendo
chamadas a
API...
Em um conjunto
de serviços
crescendo ao
redor do
mundo…
CloudTrail está
continuamente
registrando as
chamadas a
API…
E entregando
arquivos de
log para você
15. Casos de uso proporcionados pelo CloudTrail
• Análises de Segurança
Utilize arquivos de log como uma entrada para soluções de análise e administração de log,
para executar análises de segurança e para detectar padrões de comportamento do
usuário.
• Rastrear Mudanças nos recursos AWS
Rastrear a criação, modificação, e deleção de recursos AWS tais como instâncias Amazon
EC2, grupos de segurança Amazon VPC, e volumes Amazon EBS.
• Investigar problemas operacionais
Rapidamente identificar as mudanças mais recentes feitas sobre recursos no seu ambiente.
• Auxílio na aderência à regulamentações
Mais fácil de demonstrar aderência à políticas internas e regulamentações.
16. O que é AWS CloudTrail?
• CloudTrail registra chamadas de API na
sua conta e entrega um arquivo de log
no seu bucket S3.
• Normalmente entrega um evento dentro
de 15 minutos da chamada à API.
• Arquivos de Log são entregues a cada 5
minutos aproximadamente.
• Múltiplos parceiros oferecem soluções
integradas para análise dos arquivos de
log.Image Source: Jeff Barr
17. Controle
• Defesa em detalhe
– Segurança em múltiplos níveis
• Segurança física dos datacenters
• Segurança de rede
• Segurança do sistema
• Segurança dos dados
18. Controle
• Acesso da equipe da AWS
– Exame minucioso
– Equipe da AWS não tem acesso lógico às instâncias dos clientes
19. Controle
• Acesso da equipe da AWS
– Acesso da equipe AWS ao “control-plane” é limitado & monitorado
• Bastion hosts
• Modelo de privilégio mínimo
20. Controle
• Acesso da equipe da AWS
– Apenas quem precisa da informação, terá a informação
– Acesso ao datacenter por zonas
• Necessidade de negócio
21. Controle
• Controle de mudanças
– Operação contínua
• Destruição de Dados
– Mídias de armazenamento destruídas antes de permitir a saída
dos nossos datacenters
– Destruição de mídias consistente com a diretiva 5220.22 do
departamento de defesa dos Estados Unidos
22. Controle
• Responsabilidade Compartilhada
– AWS faz o trabalho “pesado”
– Você foca no seu negócio
• AWS
• Operação dos Datacenters
• Segurança Física
• Infraestrutura Física
• Infraestrutura de rede
• Infraestrutura de virtualização
• Administração do ciclo de vida
do hardware
• Cliente
• Escolha do SO da instância EC2
• Opções de configuração das Aplicações
• Flexibilidade na administração das
contas
• Grupos de Segurança
• ACLs (Listas de controle de Acesso)
• Administração de identidade
24. Amazon Virtual Private Cloud (VPC)
• Cria um ambiente logicamente isolado na infraestrutura altamente escalável da Amazon
• Especifique seu range de endereçamento privado de IP dentro de uma ou mais
subnets, públicas ou privadas
• Controle acesso “inbound” e “outbound’ (para e a partir) de subnets individuais
utilizando listas de controle de acesso de rede “stateless“ (NACL)
• Proteja suas instâncias com filtros “stateful” para tráfego “inbound” e “outbound”,
utilizando grupos de segurança
• Anexe um endereço IP Elástico em qualquer instância na sua VPC para que ela
consiga ser acessada diretamente da internet
• Conecte sua VPC e sua infraestrutura de TI “onsite” utilizando padrões de indústria
como uma conexão criptografada (VPN) e/ou AWS Direct Connect
• Utilize um assistente gráfico para facilmente criar sua VPC em 4 topologias diferentes
25. Controle
• Criptografia
– Clientes escolhem a solução que é melhor para eles
• Regulatória
• Contratual
• Melhores Práticas
– Opções
• Automatizado – AWS administra a criptografia para o cliente
• Habilitado – cliente administra a criptografia utilizando serviços
AWS
• Do lado do cliente – cliente administra a criptografia utilizando seus
mecanismos próprios
26. AWS IAM: Inovações Recentes
Controle com segurança de acesso a recursos e serviços AWS
• Delegação
– Papéis para EC2
– Acesso entre contas
• Poderosa integração de
permissões
– Permissões a nível de recurso:
EC2, RDS, DynamoDB,
CloudFormation
– Access control policy variables
– Simulador de política
– Suporte IAM Melhorado: SWF,
EMR, Storage Gateway,
CloudFormation, Redshift, Elastic
Beanstalk
• Federação
– Federação de identidade Web
– Exemplos de AD e Shibboleth
– Integração de parceiros
– Estudo de caso: Expedia
• Autenticação Forte
– MFA-protected API access
– Políticas de Senha
• Melhorias em documentação e
vídeos
27. Segurança AWS entrega mais controle & granularidade
Ajuste a implementação baseado na necessidade do seu negócio
AWS
CloudHSM
Defesa no detalhe
Rápida escalabilidade para segurança
Checagem automática com AWS Trusted Advisor
Controles de acesso de alta granularidade
Criptografia do lado do servidor
Autenticação Multi-Factor
Instâncias Dedicadas
Conexão direta, Storage Gateway
Armazenamento de chave baseada em HSM
AWS IAM
Amazon VPC
AWS Direct
Connect
AWS Storage
Gateway
28. Controle
• Federação SSO utilizando SAML
– Suporte a SAML 2.0
– Utilize provedores de identidade SAML existentes para acessar
recursos AWS
• Você não precisa adicionar software!
– SSO para a console de administração AWS
• Nova URL de sign-in
– https://signin.aws.amazon.com/SAML?Token=<yourdatahere>
– Federação de API utilizando o novo assumeRoleWithSAML API