As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controles preventivos
*Controles preventivos* são controles de segurança projetados para evitar que um evento ocorra. Essas barreiras de proteção são a primeira linha de defesa para ajudar a evitar acesso não autorizado ou alterações indesejadas em sua rede. Um exemplo de controle preventivo é uma função AWS Identity and Access Management (IAM) que tem acesso somente para leitura porque ajuda a evitar ações de gravação não intencionais de usuários não autorizados.
**Topics**
+ [Objetivos](#preventative-objectives)
+ [Processo](#preventative-process)
+ [Casos de uso](#preventative-use-cases)
+ [Tecnologia](#preventative-technology)
+ [Resultados de negócios](#preventative-business-outcomes)
## Objetivos
O objetivo principal dos controles preventivos é minimizar ou evitar a probabilidade de ocorrência de um evento de ameaça. O controle deve ajudar a impedir acesso não autorizado ao sistema e evitar que alterações não intencionais afetem o sistema. A seguir estão os objetivos dos controles preventivos:
+ **Segregação de tarefas** – Os controles preventivos podem estabelecer limites lógicos que restringem privilégios, autorizando que as permissões executem somente tarefas específicas em contas ou ambientes designados. Os exemplos incluem:
+ Segmentar workloads em contas diferentes para serviços específicos
+ Separar e contas em ambientes isolados de produção, desenvolvimento e teste
+ Delegar acesso e responsabilidades a várias entidades para realizar funções específicas, como usar perfis do IAM ou perfis assumidos para permitir que somente funções de trabalho específicas realizem determinadas ações
+ **Controle de acesso** – Controles preventivos podem conceder ou negar de forma consistente acesso a recursos e dados no ambiente. Os exemplos incluem:
+ Impedir que os usuários excedam as permissões pretendidas, conhecidas como *escalonamento de privilégios*
+ Restringir acesso a aplicações e dados somente a usuários e serviços autorizados
+ Manter pequeno o grupo de administradores
+ Evitar usar as credenciais do usuário raiz
+ **Imposição** – Os controles preventivos podem ajudar sua empresa a aderir às suas políticas, diretrizes e padrões. Os exemplos incluem:
+ Configurações de bloqueio que servem como linha de base de segurança mínima
+ Implementar medidas de segurança adicionais, como autenticação multifatorial
+ Evitar tarefas e ações não padrão que são executadas por perfis não aprovados
## Processo
*Mapeamento de controle preventivo* é o processo de mapear controles em requisitos e usar políticas para implementar esses controles restringindo, desativando ou bloqueando. Ao mapear controles, considere o efeito proativo que eles têm no ambiente, nos recursos e nos usuários. A seguir estão as práticas recomendadas para mapear controles:
+ Controles rígidos que proíbem uma atividade devem ser mapeados para ambientes de produção em que a ação exija processos de revisão, aprovação e mudança.
+ Ambientes de desenvolvimento ou contidos podem ter menos controles preventivos para fornecer a agilidade de criar e testar.
+ A classificação de dados, o nível de risco de um ativo e a política de gerenciamento de riscos ditam os controles preventivos.
+ Mapeie as estruturas existentes como evidência de conformidade com padrões e regulamentações.
+ Implemente controles preventivos por localização geográfica, ambiente, contas, redes, usuários, perfis ou recursos.
## Casos de uso
### Tratamento de tags
Um perfil que pode acessar todos os dados em uma conta é criada. Se houver dados confidenciais e criptografados, privilégios excessivamente permissivos poderão representar um risco, dependendo dos usuários ou grupos que possam assumir o perfil. Ao usar uma política de chaves em AWS Key Management Service (AWS KMS), você pode controlar quem tem acesso à chave e decifrar os dados.
### Escalonamento de privilégios
Se permissões administrativas e de gravação forem atribuídas de forma muito ampla, um usuário poderá contornar os limites das permissões pretendidas e conceder a si mesmo privilégios adicionais. O usuário que cria e gerencia um perfil pode atribuir um *limite de permissões*, que define os privilégios máximos permitidos para o perfil.
### Bloqueio da workload
Se sua empresa não tiver uma necessidade previsível de usar serviços específicos, habilite uma *política de controle* de serviços que limite quais serviços podem operar nas contas dos membros de uma organização ou restrinja os serviços com base no. Região da AWS Esse controle preventivo pode reduzir o escopo do impacto se um agente de ameaça conseguir comprometer e acessar uma conta em sua organização. Para obter mais informações, consulte [Políticas de controle de serviço](#scps) neste guia.
### Impacto em outras aplicações
Os controles preventivos podem impor o uso de serviços e recursos, como IAM, criptografia e registro, a fim de atender aos requisitos de segurança de suas aplicações. Você também pode usar esses controles para ajudar a se proteger contra vulnerabilidades, limitando as ações que um agente de ameaças pode explorar devido a erros não intencionais ou configuração incorreta.
## Tecnologia
### Políticas de controle de serviço
Em AWS Organizations, [as políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCPs) definem o máximo de permissões disponíveis para contas de membros em uma organização. Essas políticas ajudam as contas a se manterem dentro das diretrizes de controle de acesso da organização. Observe o seguinte ao projetar SCPs para sua organização:
+ SCPs são controles preventivos porque definem e impõem as permissões máximas permitidas para funções e usuários do IAM nas contas dos membros da organização.
+ SCPs afetam somente as funções e os usuários do IAM nas contas dos membros da organização. Isso não afeta os usuários e os perfis na conta de gerenciamento da organização.
Você pode tornar um SCP mais granular definindo as permissões máximas para cada Região da AWS.
### Limites de permissões do IAM
Em AWS Identity and Access Management (IAM), um [limite de permissões](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) é usado para definir o máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM (usuários ou funções). O limite de permissões de uma entidade permite que ela execute somente as ações permitidas por ambas as políticas baseadas em identidade e seus limites de permissões. Observe o seguinte ao usar limites de permissões:
+ Você pode usar uma política AWS gerenciada ou uma política gerenciada pelo cliente para definir o limite de uma entidade do IAM.
+ Um limite de permissões não concede permissões por si só. A política de limite de permissões restringe as permissões concedidas à entidade do IAM.
## Resultados de negócios
### Economia de tempo
+ Ao adicionar automação depois de configurar os controles preventivos, você poderá reduzir a necessidade de intervenção manual e a frequência de erros.
+ Usar limites de permissão como controle preventivo ajuda as equipes de segurança e IAM a se concentrarem em tarefas críticas, como governança e suporte.
### Conformidade regulatória
+ Talvez as empresas precisem cumprir as regulamentações internas ou do setor. Podem ser restrições regionais, restrições de usuários e funções ou restrições de serviço. SCPs pode ajudá-lo a manter a conformidade e evitar penalidades por violação.
### Redução de risco
+ Com o crescimento, o número de solicitações para criar e gerenciar novos perfis e políticas aumenta. Torna-se mais difícil entender o contexto do que é necessário para criar manualmente as permissões para cada aplicação. O estabelecimento de controles preventivos funciona como uma linha de base e ajuda a impedir que os usuários realizem ações não intencionais, mesmo que tenham acesso acidental.
+ A aplicação de controles preventivos às políticas de acesso fornece uma camada adicional para ajudar a proteger dados e ativos.