As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Construindo sua arquitetura de segurança - Uma abordagem em fases

A arquitetura de segurança de várias contas recomendada pelo AWS SRA é uma arquitetura básica para ajudá-lo a injetar segurança logo no início do seu processo de design. A jornada de nuvem de cada organização é única. Para desenvolver com sucesso sua arquitetura de segurança na nuvem, você precisa visualizar o estado desejado, entender sua prontidão atual para a nuvem e adotar uma abordagem ágil para preencher quaisquer lacunas. O AWS SRA fornece um estado alvo de referência para sua arquitetura de segurança. A transformação incremental permite que você demonstre valor rapidamente e, ao mesmo tempo, minimize a necessidade de fazer previsões de longo alcance.

O AWS Cloud Adoption Framework (AWS CAF) recomenda quatro fases iterativas e incrementais de transformação da nuvem: Envision, Align, Launch e Scale. Ao entrar na fase de lançamento e se concentrar na entrega de iniciativas-piloto na produção, você deve se concentrar na criação de uma arquitetura de segurança sólida como base para a fase de escala, para que você tenha a capacidade técnica de migrar e operar suas cargas de trabalho mais críticas aos negócios com confiança. Essa abordagem em fases é aplicável se você for uma startup, uma pequena ou média empresa que deseja expandir seus negócios ou uma empresa que está adquirindo novas unidades de negócios ou passando por fusões e aquisições. O AWS SRA ajuda você a alcançar essa arquitetura básica de segurança para que você possa aplicar controles de segurança uniformemente em toda a sua organização em expansão no AWS Organizations. A arquitetura básica consiste em várias contas e serviços da AWS. O planejamento e a implementação devem ser um processo de várias fases para que você possa iterar em marcos menores para alcançar a meta maior de configurar sua arquitetura de segurança básica. Esta seção descreve as fases típicas de sua jornada para a nuvem com base em uma abordagem estruturada. Essas fases se alinham aos princípios de design de segurança do AWS Well-Architected Framework.

Fase 1: Construa sua OU e estrutura de contas

Um pré-requisito para uma base de segurança sólida é uma organização e uma estrutura de contas da AWS bem projetadas. Conforme explicado anteriormente na seção de componentes básicos da SRA deste guia, ter várias contas da AWS ajuda a isolar diferentes funções comerciais e de segurança por design. Isso pode parecer um trabalho desnecessário no começo, mas é um investimento para ajudar você a escalar com rapidez e segurança. Essa seção também explica como você pode usar o AWS Organizations para gerenciar várias contas da AWS e como usar acesso confiável e recursos de administrador delegado para gerenciar centralmente os serviços da AWS nessas várias contas.

Você pode usar o AWS Control Tower conforme descrito anteriormente neste guia para orquestrar sua landing zone. Se você estiver usando atualmente uma única conta da AWS, consulte o guia de transição para várias contas da AWS para migrar para várias contas o mais rápido possível. Por exemplo, se sua empresa startup está atualmente idealizando e prototipando seu produto em uma única conta da AWS, você deve pensar em adotar uma estratégia de várias contas antes de lançar seu produto no mercado. Da mesma forma, organizações pequenas, médias e corporativas devem começar a criar sua estratégia de várias contas assim que planejarem suas cargas de trabalho de produção iniciais. Comece com sua fundação OUs e suas contas da AWS e, em seguida, adicione suas contas e relacionadas à carga de trabalho OUs .

Para recomendações de contas e estruturas de UO da AWS, além das fornecidas no AWS SRA, consulte a postagem do blog Estratégia de várias contas para pequenas e médias empresas. Ao finalizar sua OU e a estrutura da conta, considere os controles de segurança de alto nível em toda a organização que você gostaria de aplicar usando políticas de controle de serviço (). SCPs

Fase 2: Implementar uma base sólida de identidade

Depois de criar várias contas da AWS, você deve dar às suas equipes acesso aos recursos da AWS dentro dessas contas. Há duas categorias gerais de gerenciamento de identidade: gerenciamento de identidade e acesso da força de trabalho e gerenciamento de identidade e acesso do cliente (CIAM). O Workforce IAM é para organizações em que funcionários e cargas de trabalho automatizadas precisam fazer login na AWS para realizar seus trabalhos. O CIAM é usado quando uma organização precisa de uma forma de autenticar usuários para fornecer acesso aos aplicativos da organização. Primeiro, você precisa de uma estratégia de IAM para a força de trabalho, para que suas equipes possam criar e migrar aplicativos. Você deve sempre usar funções do IAM em vez de usuários do IAM para fornecer acesso a usuários humanos ou de máquinas. Siga a orientação do AWS SRA sobre como usar o AWS IAM Identity Center nas contas de gerenciamento de organizações e serviços compartilhados para gerenciar centralmente o acesso de login único (SSO) às suas contas da AWS. A orientação também fornece considerações de design para usar a federação do IAM quando você não pode usar o IAM Identity Center.

Ao trabalhar com funções do IAM para fornecer aos usuários acesso aos recursos da AWS, você deve usar o AWS IAM Access Analyzer e o consultor de acesso do IAM, conforme descrito nas seções Ferramentas de Segurança e Gerenciamento Organizacional deste guia. Esses serviços ajudam você a obter o mínimo de privilégios, que é um importante controle preventivo que ajuda a criar uma boa postura de segurança.

Fase 3: Manter a rastreabilidade

Quando seus usuários tiverem acesso à AWS e começarem a criar, você desejará saber quem está fazendo o quê, quando e de onde. Você também desejará visibilidade de possíveis configurações incorretas de segurança, ameaças ou comportamentos inesperados. Uma melhor compreensão das ameaças à segurança permite que você priorize os controles de segurança apropriados. Para monitorar a atividade da AWS, siga as recomendações do AWS SRA para configurar uma trilha organizacional usando a AWS CloudTrail e centralizando seus registros na conta do Log Archive. Para monitorar eventos de segurança, use o AWS Security Hub, o Amazon GuardDuty, o AWS Config e o AWS Security Lake, conforme descrito na seção de contas do Security Tooling.

Fase 4: aplicar segurança em todas as camadas

Neste ponto, você deve ter:

Nesta fase, planeje aplicar a segurança em outras camadas da sua organização da AWS, conforme descrito na seção Aplicar serviços de segurança em toda a sua organização da AWS. Você pode criar controles de segurança para sua camada de rede usando serviços como AWS WAF, AWS Shield, AWS Firewall Manager, AWS Network Firewall, AWS Certificate Manager (ACM), Amazon CloudFront, Amazon Route 53 e Amazon VPC, conforme descrito na seção Conta de rede. À medida que você avança na pilha de tecnologia, aplique controles de segurança específicos para sua carga de trabalho ou pilha de aplicativos. Use VPC endpoints, Amazon Inspector, Amazon Systems Manager, AWS Secrets Manager e Amazon Cognito conforme descrito na seção Conta do aplicativo.

Fase 5: Proteja os dados em trânsito e em repouso

Os dados da sua empresa e dos clientes são ativos valiosos que você precisa proteger. A AWS fornece vários serviços e recursos de segurança para proteger dados em movimento e em repouso. Use a AWS CloudFront com o AWS Certificate Manager, conforme descrito na seção Conta de rede, para proteger dados em movimento coletados pela Internet. Para dados em movimento em redes internas, use um Application Load Balancer com a AWS Private Certificate Authority, conforme explicado na seção Conta do aplicativo. O AWS KMS e o AWS CloudHSM ajudam você a fornecer gerenciamento de chaves criptográficas para proteger dados em repouso.

Fase 6: Prepare-se para eventos de segurança

Ao operar seu ambiente de TI, você encontrará eventos de segurança, que são mudanças na operação diária de seu ambiente de TI que indicam uma possível violação da política de segurança ou uma falha no controle de segurança. A rastreabilidade adequada é fundamental para que você esteja ciente de um evento de segurança o mais rápido possível. É igualmente importante estar preparado para fazer a triagem e responder a esses eventos de segurança, para que você possa tomar as medidas adequadas antes que o evento de segurança se intensifique. A preparação ajuda você a fazer uma triagem rápida de um evento de segurança para entender seu impacto potencial.

O AWS SRA, por meio do design da conta do Security Tooling e da implantação de serviços de segurança comuns em todas as contas da AWS, oferece a capacidade de detectar eventos de segurança em toda a sua organização da AWS. O AWS Detective na conta do Security Tooling ajuda você a fazer a triagem de um evento de segurança e identificar a causa raiz. Durante uma investigação de segurança, você precisa ser capaz de revisar os registros relevantes para registrar e entender o escopo completo e o cronograma do incidente. Os registros também são necessários para a geração de alertas quando ações específicas de interesse acontecem.

O AWS SRA recomenda uma conta central de arquivamento de registros para armazenamento imutável de todos os registros operacionais e de segurança. Você pode consultar CloudWatch registros usando o Logs Insights para dados armazenados em grupos de CloudWatch registros e o Amazon Athena e o Amazon OpenSearch Service para dados armazenados no Amazon S3. Use o Amazon Security Lake para centralizar automaticamente os dados de segurança do ambiente da AWS, dos provedores de software como serviço (SaaS), locais e de outros provedores de nuvem. Configure assinantes na conta do Security Tooling ou em qualquer conta dedicada, conforme descrito pelo AWS SRA, para consultar esses registros para investigação.