Controles preventivos - AWS Orientação prescritiva
ObjetivosProcessarCasos de usoTecnologiaResultados de negócios

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles preventivos

Controles preventivos são controles de segurança projetados para evitar que um evento ocorra. Essas barreiras de proteção são a primeira linha de defesa para ajudar a evitar acesso não autorizado ou alterações indesejadas em sua rede. Um exemplo de controle preventivo é uma função AWS Identity and Access Management (IAM) que tem acesso somente para leitura porque ajuda a evitar ações de gravação não intencionais de usuários não autorizados.

Analise o seguinte sobre esse tipo de controle:

Objetivos

O objetivo principal dos controles preventivos é minimizar ou evitar a probabilidade de ocorrência de um evento de ameaça. O controle deve ajudar a impedir acesso não autorizado ao sistema e evitar que alterações não intencionais afetem o sistema. A seguir estão os objetivos dos controles preventivos:

  • Segregação de tarefas – Os controles preventivos podem estabelecer limites lógicos que restringem privilégios, autorizando que as permissões executem somente tarefas específicas em contas ou ambientes designados. Os exemplos incluem:

    • Segmentar workloads em contas diferentes para serviços específicos

    • Separar e contas em ambientes isolados de produção, desenvolvimento e teste

    • Delegar acesso e responsabilidades a várias entidades para realizar funções específicas, como usar perfis do IAM ou perfis assumidos para permitir que somente funções de trabalho específicas realizem determinadas ações

  • Controle de acesso – Controles preventivos podem conceder ou negar de forma consistente acesso a recursos e dados no ambiente. Os exemplos incluem:

    • Impedir que os usuários excedam as permissões pretendidas, conhecidas como escalonamento de privilégios

    • Restringir acesso a aplicações e dados somente a usuários e serviços autorizados

    • Manter pequeno o grupo de administradores

    • Evitar usar as credenciais do usuário raiz

  • Imposição – Os controles preventivos podem ajudar sua empresa a aderir às suas políticas, diretrizes e padrões. Os exemplos incluem:

    • Configurações de bloqueio que servem como linha de base de segurança mínima

    • Implementar medidas de segurança adicionais, como autenticação multifatorial

    • Evitar tarefas e ações não padrão que são executadas por perfis não aprovados

Processar

Mapeamento de controle preventivo é o processo de mapear controles em requisitos e usar políticas para implementar esses controles restringindo, desativando ou bloqueando. Ao mapear controles, considere o efeito proativo que eles têm no ambiente, nos recursos e nos usuários. A seguir estão as práticas recomendadas para mapear controles:

  • Controles rígidos que proíbem uma atividade devem ser mapeados para ambientes de produção em que a ação exija processos de revisão, aprovação e mudança.

  • Ambientes de desenvolvimento ou contidos podem ter menos controles preventivos para fornecer a agilidade de criar e testar.

  • A classificação de dados, o nível de risco de um ativo e a política de gerenciamento de riscos ditam os controles preventivos.

  • Mapeie as estruturas existentes como evidência de conformidade com padrões e regulamentações.

  • Implemente controles preventivos por localização geográfica, ambiente, contas, redes, usuários, perfis ou recursos.

Casos de uso

Tratamento de tags

Um perfil que pode acessar todos os dados em uma conta é criada. Se houver dados confidenciais e criptografados, privilégios excessivamente permissivos poderão representar um risco, dependendo dos usuários ou grupos que possam assumir o perfil. Ao usar uma política de chaves em AWS Key Management Service (AWS KMS), você pode controlar quem tem acesso à chave e decifrar os dados.

Escalonamento de privilégios

Se permissões administrativas e de gravação forem atribuídas de forma muito ampla, um usuário poderá contornar os limites das permissões pretendidas e conceder a si mesmo privilégios adicionais. O usuário que cria e gerencia um perfil pode atribuir um limite de permissões, que define os privilégios máximos permitidos para o perfil.

Bloqueio da workload

Se sua empresa não tiver uma necessidade previsível de usar serviços específicos, habilite uma política de controle de serviços que limite quais serviços podem operar nas contas dos membros de uma organização ou restrinja os serviços com base no. Região da AWS Esse controle preventivo pode reduzir o escopo do impacto se um agente de ameaça conseguir comprometer e acessar uma conta em sua organização. Para obter mais informações, consulte Políticas de controle de serviço neste guia.

Impacto em outras aplicações

Os controles preventivos podem impor o uso de serviços e recursos, como IAM, criptografia e registro, a fim de atender aos requisitos de segurança de suas aplicações. Você também pode usar esses controles para ajudar a se proteger contra vulnerabilidades, limitando as ações que um agente de ameaças pode explorar devido a erros não intencionais ou configuração incorreta.

Tecnologia

Políticas de controle de serviço

Em AWS Organizations, as políticas de controle de serviços (SCPs) definem o máximo de permissões disponíveis para contas de membros em uma organização. Essas políticas ajudam as contas a se manterem dentro das diretrizes de controle de acesso da organização. Observe o seguinte ao projetar SCPs para sua organização:

  • Os SCPs são controles preventivos porque definem e impõem as permissões máximas permitidas para funções e usuários do IAM nas contas dos membros da organização.

  • Os SCPs afetam somente as funções e os usuários do IAM nas contas dos membros da organização. Isso não afeta os usuários e os perfis na conta de gerenciamento da organização.

Você pode tornar um SCP mais granular definindo as permissões máximas para cada Região da AWS.

Limites de permissões do IAM

Em AWS Identity and Access Management (IAM), um limite de permissões é usado para definir o máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM (usuários ou funções). O limite de permissões de uma entidade permite que ela execute somente as ações permitidas por ambas as políticas baseadas em identidade e seus limites de permissões. Observe o seguinte ao usar limites de permissões:

  • Você pode usar uma política AWS gerenciada ou uma política gerenciada pelo cliente para definir o limite de uma entidade do IAM.

  • Um limite de permissões não concede permissões por si só. A política de limite de permissões restringe as permissões concedidas à entidade do IAM.

Resultados de negócios

Economia de tempo

  • Ao adicionar automação depois de configurar os controles preventivos, você poderá reduzir a necessidade de intervenção manual e a frequência de erros.

  • Usar limites de permissão como controle preventivo ajuda as equipes de segurança e IAM a se concentrarem em tarefas críticas, como governança e suporte.

Conformidade regulatória

  • Talvez as empresas precisem cumprir as regulamentações internas ou do setor. Essas podem ser restrições regionais, restrições de usuários e perfis ou restrições de serviço. Os SCPs podem ajudar você a manter a conformidade e evitar penalidades por violação.

Redução de risco

  • Com o crescimento, o número de solicitações para criar e gerenciar novos perfis e políticas aumenta. Torna-se mais difícil entender o contexto do que é necessário para criar manualmente as permissões para cada aplicação. O estabelecimento de controles preventivos funciona como uma linha de base e ajuda a impedir que os usuários realizem ações não intencionais, mesmo que tenham acesso acidental.

  • A aplicação de controles preventivos às políticas de acesso fornece uma camada adicional para ajudar a proteger dados e ativos.