Melhores Práticas de Segurança na AWS

© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Melhores Práticas de Segurança na AWS -
Quick Wins!
Bruno Silveira
Arquiteto de Soluções
Dezembro 2019

© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Desafios de Segurança
Visibilidade Automação

OUSer Ágil Estar Seguro
Antes…
OUSer Ágil Estar Seguro
Antes…

OUESer Ágil Estar Seguro
Agora …

Segurança na AWS é prioridade
Modelo de Segurança
em diversas
camadas
Validado e
direcionado por
especialistas em
segurança
Beneficia todos
os clientes
Pessoas e Processos
Sistemas
Rede e Infraestrutura
Física

Modelo de Responsabilidade Compartilhada

+ =
• Instalações / Facilities
• Segurança Física
• Infraestrutura Computacional
• Infraestrutura de Storage
• Infraestrutura de Rede
• Camada de Virtualização (EC2)
• Hardening dos Serviços da
nuvem
• Capacidades de IAM
• Configuração de Rede
• Security Groups (FW)
• FW de Sistema Operacional
• Sistema Operacional
• Segurança de Aplicação
• Configuração correta de serviços
• Autenticação e Gerenciamento
de contas
• Políticas de Autorização
Sistemas mais seguros
e em conformidade
quando comparado
com o que uma
empresa pode fazer de
forma isolada.
Especialização em segurança é um recurso escasso. A AWS permite que sua equipe de segurança se
concentre em um subconjunto de necessidades gerais de segurança.
Modelo de Responsabilidade Compartilhada

Soluções de Segurança NA Nuvem AWS
Gestão de Acessos
e
Identidade
Controles
de
Detecção
Segurança em
Infraestrutura
Resposta
a
Incidentes
Proteção
de
Dados
AWS Identity & Access
Management (IAM)
AWS Organizations
Control Tower
AWS Cognito
AWS Directory Service
AWS Single Sign-On
AWS Secret Manager
AWS CloudTrail
Security Hub
AWS Config
Amazon
CloudWatch
Amazon GuardDuty
VPC Flow Logs
Trusted Advisor
Systems Manager
AWS Shield
AWS Web Application
Firewall (WAF)
Amazon Inspector
Amazon Virtual Private
Cloud (VPC)
Image / AMI / Hardening
Bastion Host
AWS Key Management
Service (KMS)
AWS CloudHSM
Amazon Macie
Certificate Manager
Server Side Encryption
S3 Block Public
AWS Config Rules
AWS Lambda
https://aws.amazon.com/pt/products/security/?nc2=h_m1

AWS IAM - Controle e segregue os acessos
• Você pode controlar quem pode fazer o
que em seu ambiente da AWS quando e
de onde.
• Controle granular de acesso na nuvem
AWS com autenticação de múltiplos
fatores (tokens).
• Integre com seu Active Directory
existente usando federação e logon único
(single Sign-On).

Controle de acesso em diversos níveis
Identity and Access Management
AWS Management Console/APIs
Infraestrutura
AWS
Aplicações
AWS
Suas aplicações
Desenvolvedores
Admins
Segurança Empregados
Clientes
Parceiros

AWS IAM – Controle de acesso granular

IAM – Customize as políticas de acessos

IAM – Restrinja privilégios com condiçõesMFASourceIP
Permite que um usuário gerencie chaves de acesso para todos os
usuários do IAM somente se o usuário estiver usando o SSL.
SSLTags
Permite que um encerre instâncias EC2 somente se ele
estiver autenticado com MFA
Permite que um usuário encerre as instâncias EC2 apenas se o
usuário estiver acessando a console a partir de 192.168.176.0/24
Permite que um usuário encerre as instâncias EC2 somente se a
instância estiver marcada com “Ambiente = Dev”.

AWS IAM - Policy Simulator

#2IAM Roles – Controlando acesso de aplicações
Recursos
AWS
Seu código
Sistema
Operacional
Instância
EC2
Credenciais AWS entregues
automaticamente e
rotacionadas
periodicamente
Auto descoberta de
credenciais AWS e uso
Acesso controlado pela
política de IAM (roles)
Também trabalha com AWS Lambda & Amazon ECS

Conta de
Log
centralizado
Time de Nuvem
Conta de
Dev
Conta de
Prod
Cientista de
Dados
Conta de
Segurança
Implementações e
configurações entre
contas
Serviços
compartilhados
Conta de
Sandboxing
Conta de
HIPAA
Gerenciamento
centralizado de
políticas
Contas Novos Controles
Agregação de
dados de serviços
de múltiplas
contas
AWS Organizations – Mais controles em escala

#2SCP – Service Control Policies
A1 A2 A4
M
Conta Master/ root
Organizational unit (OU)
Contas AWS
Service
Control
Policies
(SCPs)
Recursos AWS
A3
Dev Test Prod

SCP + IAM

IAM / AD – Perfis integrados com Grupos do AD
virtual private cloud
Private subnet
Active
Directory
User 1 – Administrator Access
User 2 – Security Audit
User 2 – RDS Full Access
AWS
Management
Console
Identity
Manager
mzncorpawsbr.awsapps.com/console
• Roles
• Policies
• Groups
• Users
Security Team

Melhores
práticas
Gestão de
Identidade
e Acesso
1. MFA (2 fator de autenticação) para contas de acesso.
2. Limite o acesso somente a partir de endereços IPs autorizados quando possível.
3. Não use a conta root (primeira conta) e crie credenciais individualizadas no ambiente.
4. Crie contas com menor privilégio possível e revise periodicamente os acessos e perfis.
5. Sempre que possível integre com a base de autenticação / autoritativa já existente.
6. Crie roles / perfis na Nuvem com base em mapeamento prévio e Grupos de AD, SSO.
7. Utilize o modelo de Organizations para ter múltiplas contas gerenciadas de forma
centralizada, podendo inclusive controlar custos e permissões de acesso por recursos.
8. Defina uma política de senhas fortes e de troca periódica no ambiente.
9. Tenha contas dedicadas para Segurança e Log / Auditoria.

AWS CloudTrail - Audite as ações executadas
• Você pode identificar rapidamente as
alterações mais recentes feitas nos
recursos em seu ambiente, incluindo a
criação, modificação e exclusão de
recursos da AWS, como por exemplo:
• Início ou desligamento de servidores.
• Alterações de usuários e Grupos de
Segurança entre tantos outros eventos.
Ocorre uma
atividade
CloudTrail
Captura e
grava o
evento no log
Você pode
ver a
atividade e
histórico

Inventário, rastreamento de configuração e notificação de alteração de configuração.
AWSConfig
EC2
VPC
EBS
CloudTrail
Gestão de
Mudanças
Análise de
Auditoria
Análise de
Segurança
Análise de
Problemas
Inventário
IAM
AWS Config – Modelo de monitoração continua do ambiente

AWS Config – 100+ regras gerenciadas

AWS Config

AWS Config
https://aws.amazon.com/quickstart/architecture/accelerator-cis-benchmark/

VPC Flow Logs – Visualizando fluxos de dados
https://aws.amazon.com/blogs/security/how-to-visualize-and-refine-your-networks-security-by-adding-security-group-ids-to-your-vpc-flow-logs/

O Amazon GuardDuty é um serviço gerenciado de
detecção de ameaças que monitora continuamente
o comportamento mal-intencionado ou não
autorizado para ajudá-lo a proteger suas contas e
cargas de trabalho da AWS usando ML.
GuardDuty – Aprendizagem de máquina em prol da segurança

GuardDuty- Como funciona
Habilite o
GuardDuty
• Habilite com poucos
cliques.
• Monitore a segurança de
sem a necessidade de
instalar equipamentos
ou softwares adicionais.
Análise automática e
contínua
• Avaliação automática,
contínua e escalável dos
comportamentos de contas
e de rede para proteção de
seu ambiente AWS.
Detecte ameaças de forma
inteligente
• Uso de ML para detecção
de anomalias.
• Feeds inteligência e regras
de ameaças integradas.
Avalie e automatize ações
• Avalie alertas na console.
• Integre com ferramentas de
incidentes e Workflows.
• Automatize resposta a
incidentes com LAMBDA.

GuardDuty - Tipos de Ameaças Detectadas
Força
Bruta RDP
RAT
Instalado
Exfiltração
de
credenciais
por DNS
Chamada
de APIs
maliciosas
Credenciais
Comprometidas
Reconhecimento
Portas não usuais
Exfiltração DNS
IPs maliciosos
Conexão com sites
em Blacklist
Volume de tráfego
não usual
Proxy
Anônimo
Início não usual de
instâncias
Chamada de ISP
não usual
Mineração
Bitcoin
https://docs.aws.amazon.com/pt_br/guardduty/latest/ug/guardduty_finding-types.html#actual-types

Console
GuardDuty - Alertas Centralizados

AWS Trusted Advisor – Consultor virtual
Valida configurações de Segurança no seu ambiente como:
• Portas abertas.
• Portas irrestritas.
• CloudTrail habilitado.
• Permissões de S3 Bucket
• Uso de MFA
• Política de senha
• DB com risco de acesso.
• Registros DNS
• Configurações de LB

#6
https://aws.amazon.com/quickstart/architecture/compliance-cis-benchmark/
https://github.com/toniblyx/prowler
https://github.com/awslabs/aws-security-benchmark
https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf
CIS Quick Start – Validação de práticas do CIS

1. Mantenha o CloudTrail sempre habilitado.
2. Colete os eventos de segurança de aplicações e sistemas operacionais de forma
centralizada, usando por exemplo CloudWatch Log Agent.
3. Centralize em um SIEM e monitore os alertas / casos de uso.
4. Avalie continuamente as mudanças de configuração e compliance de segurança com
o AWS Config.
5. Monitore atividades suspeitas de ataques e ou comprometimento em seu ambiente
de nuvem com o GuardDuty.
6. Execute continuamente varreduras de vulnerabilidades com AWS Inspector e
execute testes de invasão.
Melhores
Práticas
Controles
Detectivos

7. Habilite o VPC Flow Logs e monitore (integração com SIEM deve ser considerada).
8. Execute o AWS Trusted Advisor periodicamente.
9. Integre eventos de monitoração da nuvem com seu SOC e valide os procedimentos
de resposta.
10. Reduza o número de erros de configuração de segurança introduzidos no ambiente
de produção integrando e implantando validações de segurança automatizadas em
seu pipeline de desenvolvimento em modelo de integração contínua (CD / CI).
11. Sistemas de prevenção de Intrusão podem ser considerados (avalie o uso de soluções
de parceiros / integradas com a nuvem).
Melhores
Práticas
Controles
Detectivos

Soluções de Segurança NA Nuvem AWS
Gestão de Acessos
e
Identidade
Controles
de
Detecção
Segurança em
Infraestrutura
Resposta
a
Incidentes
Proteção
de
Dados
AWS Identity & Access
Management (IAM)
AWS Organizations
Control Tower
AWS Cognito
AWS Directory Service
AWS Single Sign-On
AWS Secret Manager
AWS CloudTrail
Security Hub
AWS Config
Amazon
CloudWatch
Amazon GuardDuty
VPC Flow Logs
Trusted Advisor
Systems Manager
AWS Shield
AWS Web Application
Firewall (WAF)
AWS System Manager
Amazon Virtual Private
Cloud (VPC)
Image / AMI / Hardening
Amazon Inspector
AWS Key Management
Service (KMS)
AWS CloudHSM
Amazon Macie
Certificate Manager
Server Side Encryption
S3 Block Public
AWS Config Rules
AWS Lambda
https://aws.amazon.com/pt/products/security/?nc2=h_m1

• Defina seu próprio range de endereços como
uma extensão da sua rede privada.
• Conecte com a sua rede privada usando
túnel VPN ou Direct Connect
• Configure Security Groups (virtual firewalls)
para as suas instâncias EC2; for all EC2
instâncias; atualize regras de Firewall com
chamada de APIs
• Configure Network Access Control Lists para
isolamento de subredes
VPC - Isolamento de Rede

Security Groups = stateful firewall
Instâncias EC2 nesse grupo são acessíveis
pela internet via porta 80 (HTTP).

AWS WAF - Proteção de camada 7
Amazon CloudFront Application Load Balancer
WAF
API Gateway

AWS WAF - CloudFormation template
https://docs.aws.amazon.com/solutions/latest/aws-waf-security-automations/template.html
https://docs.aws.amazon.com/solutions/latest/aws-waf-security-automations/deployment.html

AWS WAF Automations
HTTP floods Scanners and
probes
SQL injection
Bots and
scrapers
IP reputation
lists
Cross-site
scripting
AWS WAF Security Automations
https://aws.amazon.com/answers/security/aws-waf-security-automations/

AWS WAF Automations – Arquitetura da solução

AWS WAF – Regras gerenciadas

Proteção de DDoS – Boas práticas e camadas de proteção
https://d1.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf

AWS System Manager – Patches e controles

AWS System Manager – Patch Baseline
Crie imagens
seguras
Lance instâncias
1. Instale o agente e configure o serviço
2. Ready to go!

1 Autenticação forte.
2 Acesso aos servidores de forma restritiva.
3 Auditoria dos comandos executados.
4 Arquivos de auditoria cifrados e protegidos
5 O mesmo serviço pode ser usado para
ambiente on-premise.
1
2
3
4
4
Session
Manager
AWS System Manager – Acessos Administrativos

AWS System Manager – Acessos Administrativos

1. Crie e mantenha imagens seguras permitindo o uso somente de imagens
homologadas.
2. Atualize as imagens periodicamente (Patches e Guias de segurança).
3. Limite as regras de firewall inboud e outbound.
4. Crie os Security Groups por categorias de servidores.
5. Adote um modelo multicamada para proteção contra ataques de DDoS.
6. Crie VPCs isolados de acordo com a prática e modelo atual de segregação do seu
ambiente.
7. Adote soluções de Antimalware de parceiros AWS integradas com seu ambiente na
VPC.
8. Considere a adoção do WAF, com regras AWS e regras gerenciadas, ou ainda um AWF
de parceiro integrado com a nuvem.
9. Considere o uso do Session Manager / System Manager.
Melhores
Práticas
Segurança
de
Infraestrutura

AWS Console e AWS KMS - Você no controle
§ Você está no controle da privacidade de seus dados
§ Escolha a região da AWS em São Paulo e a AWS não a
replicará em outro lugar, a menos que você escolha fazê-lo.
§ Controle o ciclo de vida e o descarte de conteúdo
§ Controle o formato, a precisão e a criptografia da maneira
que você escolher.
§ Gestione suas próprias chaves de criptografia.

Encripte os dados fim a fim
EBS
Criptografia de volumes
Criptografia de
Disco (EBS)
Arquivos
Soluções de parceiros /
MarketPlace
Criptografia de Objetos
S3 Server Side
Encryption (SSE)
S3 SSE com chaves do
cliente
Criptografia do lado do
cliente
Criptografia de Bases de Dados
RedshiftPostgreSQLMYSQLORACLEMSSQL
AWS
KMS

- Gestão de chaves simplificada.
- Integrado com diversos serviços AWS.
- Alinhado com padrões de criptografia
mundiais, FIPS 140-2 Level 2.
- Use o SDK para integrar facilmente com
suas aplicações
AWS KMS
Criptografe em escala de forma simples e integrada

AWS Certificate Manager (ACM) – Em trânsito
• Gere certificados SSL confiáveis para proteção
de seus dados
• Gerencie a renovação e instalação
• Certificados sem custo para ambiente AWS
• Use a mesma CA para gestão interna

1. Use Criptografia como em seus sonhos J, seja com KMS ou CloudHSM.
2. Faça inventário de grande volume de dados usando Amazon Macie.
3. Gerencie os certificados digitais de forma centralizada usando o Certificate Manager.
4. Garanta criptografia no trânsito sempre em chamadas API (HTTPS).
5. Implemente mecanismos de monitoração e controles de permissões em S3 em
múltiplas camadas.
Melhores
Práticas
Proteção
de
Dados

Automatize com serviços integrados
CloudWatch Events
Amazon
CloudWatch
CloudWatch
Event
Lambda
Lambda Function
AWS Lambda
GuardDuty
Amazon
GuardDuty
Automatize a remediação de ameaças

Automatize a remediação de Ameaças

Automatize Respostas com Step Functions

Gere alertas de ameaças
Cloud SOC
GuardDuty
Amazon
GuardDuty

Mantenha o contato atualizado

1. Defina os casos de uso de automação e eventos a serem tratados.
2. Automatize as ações usando LAMBDA e recursos de integração.
3. Adicione ferramentas de terceiros e Open-Source para automatizar a coleta de
evidências forense em tempo real.
4. Teste periodicamente os cenários de resposta.
5. Execute exercícios de CyberWar Simulation.
Melhores
Práticas
Resposta
a incidentes

CIS AWS Foundations
https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf
Use as melhores práticas como base

WA Security Pillar
https://d1.awsstatic.com/whitepapers/architecture/AWS-Security-Pillar.pdf

CAF Security Perspective
https://d1.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf

Recursos de Segurança
https://aws.amazon.com/pt/security/security-resources/

Grande ecossistema de parceiros tecnológicos
Segurança de
Infraestrutura
Log
e
monitoração
Gestão de
Identidade e
Acessos
Análise e Gestão de
Vulnerabilidades
Proteção de
Dados
Segurança de
Infraestrutura

OUESer ágil estar seguro
Agora…
Gestão de Acessos
e
Identidade
Controles
de
Detecção
Segurança em
Infraestrutura
Resposta
a
Incidentes
Proteção
de
Dados

Treinamento / Certificação de Segurança
https://aws.amazon.com/pt/training/course-descriptions/security-fundamentals/

Treinamento / Certificação de Segurança

© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Obrigado
brunorms@amazon.com
https://aws.amazon.com/security/
https://aws.amazon.com/compliance/

Questionário Avaliando a palestra!

Melhores Práticas de Segurança na AWS

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Melhores Práticas de Segurança na AWS

Semelhante a Melhores Práticas de Segurança na AWS (20)

Mais de Amazon Web Services LATAM

Mais de Amazon Web Services LATAM (20)

Melhores Práticas de Segurança na AWS