O documento resume os principais conceitos de segurança da nuvem AWS, incluindo o modelo de responsabilidade compartilhada entre a AWS e o cliente, a autenticação multifator e o gerenciamento de acessos, além de discutir certificações de segurança e conformidade da AWS.

1. Segurança na Nuvem
Michel Pereira
Solutions Architect
michelp@amazon.com

2. Modelo de segurança na nuvem AWS

3. Modelo de segurança na nuvem AWS
• Certificações
• Modelo de segurança compartilhado
• Segurança física
• Gerenciamento dos acessos administrativos
• Segurança da VM
• Segurança na rede

4. AWS Security and Compliance Center
• Respostas para as principais perguntas sobre
segurança e privacidade
• Boletins de segurança
• Melhores práticas em segurança
http://aws.amazon.com/security

5. Principais conceitos de segurança

6. Modelo de responsabilidade compartilhada
AWS
• Prédios
• Segurança física
• Infraestrutura
• Rede
• Virtualização
Cliente
Sistema operacional
Aplicações
Security Groups
Firewall no SO
Configuração da rede
Gerenciamento de contas

7. AWS Identity and Access Management (IAM)
• Usuários e Grupos
• Credenciais únicas
• Permissão de acesso
• Integrado com
serviços AWS
• Proxy e Federação
para autenticação

8. AWS Multi-Factor Authentication
• Proteção adicional
para a conta
• Loga com usuário,
senha e o token
• Integrado com o
Console
• Integração com o S3

9. Integração com o S3
• Usuário A tem permissão para publicar
arquivos no S3
• Usuário B tem permissão para remover os
arquivos usando a autenticação via token
• Usuário C tem permissão de listar o conteúdo
do bucket

10. Separação de falhas
• Uma região não interfere em outra
• Cada zona de disponibilidade tem 2 ou
mais datacenters independentes.
• Sempre use 2 ou mais zonas.

11. AWS – Infraestrutura Global
US-WEST (Oregon)
EU-WEST (Ireland)
ASIA PAC (Tokyo)
US-WEST (N. California)
SOUTH AMERICA (Sao Paulo)
US-EAST (Virginia)
AWS GovCloud (US)
ASIA PAC
(Sydney)
ASIA PAC
(Singapore)

12. Atualização da nossa infraestrutura
Segue a ordem:
• Rack
• Zona de disponibilidade
• Região
• Mundo

13. Descarte dos discos

14. Descarte dos discos
Todos os dispositivos de armazenamento
passam pelo processo

15. Descarte dos discos
Usa as técnicas:
• DoD 5220.22-M (“National Industrial Security
Program Operating Manual “)
• NIST 800-88 (“Guidelines for Media Sanitization”)

16. E finalmente...

17. ...o disco é desmagnetizado

18. EC2

19. EC2
Autenticação através de chaves assimétricas
individuais
Quando a instância ficar pronta:
• Entre nela
• Crie uma nova chave
• Remova a chave criada pela AWS

20. EC2 - Firewall
Security Groups é o nosso firewall
• Tudo fechado por padrão
• Nunca edite o Security Group „default‟
• Controle de acesso na instância usando IP de
origem e porta de destino
• Network ACL quando dentro da VPC

21. EC2 - Disco
A instância só tem acesso aos discos associados à
ela
• Na primeira escrita o volume é sanitizado, por isso
a primeira escrita é mais lenta
• As escritas sequentes são rápidas
• A instância só tem acesso aos discos da mesma
conta, não pode ver discos de outros

22. Segurança na rede

23. Segurança na rede - DDoS
• Monitoramento básico
• Não respondemos aos ataques pois não
sabemos se é tráfego legítimo ou um ataque
• O cliente pode nos acionar para ajudá-los a
responder a um ataque
• Garanta que a sua arquitetura seja resiliente
(Solutions Architect)

24. Segurança na rede
• IP Spoofing é bloqueado na interface de rede
• Sniffer não funciona na rede, só monitora tráfego
da sua instância
• Port Scanning
• Violação dos termos de uso
• Detectado automaticamente, bloqueado e vamos falar
com você
• Se precisar fazer, tem um formulário que você pode
preencher e ter as suas instâncias liberadas
temporariamente

25. VPC

26. VPC
• Rede isolada logicamente na AWS
• Usa o endereçamento IP que você definir:
• 10.0.0.0/8
• 172.16.0.0/16
• 192.168.0.0/24
• Network ACL
• Security Groups
• VPN com IPSec para conectar ao seu ambiente

28. Certificações

29. Certificações
• Sarbanes-Oxley (SOX) compliance
• ISO 27001 Certification
• PCI DSS Level I Certification
• HIPAA compliant architecture
• SAS 70 Type II Audit
• FISMA Low ATO
• Pursuing FISMA Moderate ATO
• Pursuing DIACAP MAC II I -Sensitive
• FedRAMP
• Service Health Dashboard

30. Certificações – SOX
• Controles foram criados
• e o relatório confirma
• que foram implementados
• para proteger os dados dos clientes
• em todos os datacenters

31. Certificações – ISO 27001
• Padrão global para gerenciamento de sistemas
de segurança da informação
• Para ter a certificação tem que provar que a
empresa consegue gerenciar os riscos de
segurança que afetam a:
– confidencialidade,
– integridade e a
– disponibilidade
– dos dados dos nossos clientes

32. Certificações – PCI DSS Level 1
• PCI – Payment Card industry
• DSS – Data Security Standards
• Level 1 – mais que 300 mil transações por ano
• Podem usar nossa infraestrutura para:
– armazenar
– processar e
– transmitir dados de cartão de crédito.

33. Informações
• AWS Security Center
– http://aws.amazon.com/security/
• AWS Compliance
– http://aws.amazon.com/compliance/
• AWS Multi-Factor Authentication
– http://aws.amazon.com/mfa/
• Security Bulletins
– http://aws.amazon.com/security/security-bulletins/
• Penetration Testing
– http://aws.amazon.com/security/penetration-testing/

34. michelp@amazon.com
Michel Pereira
Solutions Architect