As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Aplique serviços de segurança em toda a sua AWS organização
| Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWS SRA) respondendo a uma breve pesquisa |
Conforme descrito na seção anterior, os clientes estão procurando uma forma adicional de pensar e organizar estrategicamente o conjunto completo de serviços de AWS segurança. Atualmente, a abordagem organizacional mais comum é agrupar os serviços de segurança por função principal, de acordo com o que cada serviço faz. A perspectiva de segurança da AWS CAF lista nove recursos funcionais, incluindo gerenciamento de identidade e acesso, proteção de infraestrutura, proteção de dados e detecção de ameaças. Combinar AWS serviços com esses recursos funcionais é uma forma prática de tomar decisões de implementação em cada área. Por exemplo, ao analisar o gerenciamento de identidade e acesso, IAM o IAM Identity Center são serviços a serem considerados. Ao arquitetar sua abordagem de detecção de ameaças, a Amazon GuardDuty pode ser sua primeira consideração.
Como complemento a essa visão funcional, você também pode visualizar sua segurança com uma visão transversal e estrutural. Ou seja, além de perguntar: “Quais AWS serviços devo usar para controlar e proteger minhas identidades, acesso lógico ou mecanismos de detecção de ameaças?” , você também pode perguntar: “Quais AWS serviços devo aplicar em toda a minha AWS organização? Quais são as camadas de defesa que eu deveria implementar para proteger as EC2 instâncias da Amazon no centro do meu aplicativo?” Nesta visualização, você mapeia AWS serviços e feições para camadas em seu AWS ambiente. Alguns serviços e recursos são ideais para implementar controles em toda a AWS organização. Por exemplo, bloquear o acesso público aos buckets do Amazon S3 é um controle específico nessa camada. De preferência, isso deve ser feito na organização raiz, em vez de fazer parte da configuração da conta individual. É melhor usar outros serviços e recursos para ajudar a proteger recursos individuais em uma AWS conta. A implementação de uma autoridade de certificação (CA) subordinada em uma conta que exige TLS certificados privados é um exemplo dessa categoria. Outro agrupamento igualmente importante consiste em serviços que afetam a camada de rede virtual da sua AWS infraestrutura. O diagrama a seguir mostra seis camadas em um AWS ambiente típico: AWS organização, unidade organizacional (OU), conta, infraestrutura de rede, diretores e recursos.
Compreender os serviços nesse contexto estrutural, incluindo os controles e proteções em cada camada, ajuda você a planejar e implementar uma defense-in-depth estratégia em todo o seu AWS ambiente. Com essa perspectiva, você pode responder a perguntas de cima para baixo (por exemplo, “Quais serviços estou usando para implementar controles de segurança em toda a minha AWS organização?”) e de baixo para cima (por exemplo, “Quais serviços gerenciam controles nessa EC2 instância?”). Nesta seção, examinamos os elementos de um AWS ambiente e identificamos os serviços e recursos de segurança associados. Obviamente, alguns AWS serviços têm amplos conjuntos de recursos e oferecem suporte a vários objetivos de segurança. Esses serviços podem oferecer suporte a vários elementos do seu AWS ambiente.
Para maior clareza, fornecemos breves descrições de como alguns dos serviços atendem aos objetivos estabelecidos. A próxima seção fornece uma discussão mais aprofundada sobre os serviços individuais em cada AWS conta.
Contas múltiplas ou em toda a organização
No nível superior, há AWS serviços e recursos projetados para aplicar recursos de governança e controle ou barreiras em várias contas em uma AWS organização (incluindo toda a organização ou específicasOUs). As políticas de controle de serviços (SCPs) são um bom exemplo de um IAM recurso que fornece uma proteção preventiva em toda a AWS organização. Outro exemplo é AWS CloudTrail, que fornece monitoramento por meio de uma trilha organizacional que registra todos os eventos de todas as AWS contas dessa AWS organização. Essa trilha abrangente é diferente das trilhas individuais que podem ser criadas em cada conta. Um terceiro exemplo é o AWS Firewall Manager, que você pode usar para configurar, aplicar e gerenciar vários recursos em todas as contas da sua AWS organização: AWS WAF regras, regras AWS WAF clássicas, proteções AWS Shield Advanced, grupos de segurança da Amazon Virtual Private Cloud (AmazonVPC), políticas de firewall de AWS rede e políticas de firewall do Amazon Route 53 ResolverDNS.
Os serviços marcados com um asterisco * no diagrama a seguir operam com um escopo duplo: em toda a organização e focado na conta. Esses serviços basicamente monitoram ou ajudam a controlar a segurança em uma conta individual. No entanto, eles também oferecem suporte à capacidade de agregar os resultados de várias contas em uma conta de toda a organização para visibilidade e gerenciamento centralizados. Para maior clareza, considere SCPs a possibilidade de aplicar em toda uma OU, AWS conta ou AWS organização. Por outro lado, você pode configurar e gerenciar a Amazon GuardDuty tanto no nível da conta (onde as descobertas individuais são geradas) quanto no nível da AWS organização (usando o recurso de administrador delegado), onde as descobertas podem ser visualizadas e gerenciadas de forma agregada.
AWScontas
DentroOUs, existem serviços que ajudam a proteger vários tipos de elementos em uma AWS conta. Por exemplo, o AWS Secrets Manager geralmente é gerenciado a partir de uma conta específica e protege recursos (como credenciais de banco de dados ou informações de autenticação), aplicativos e AWS serviços nessa conta. AWSIAMO Access Analyzer pode ser configurado para gerar descobertas quando recursos especificados são acessíveis por diretores fora da AWS conta. Conforme mencionado na seção anterior, muitos desses serviços também podem ser configurados e administrados dentro do AWS Organizations, para que possam ser gerenciados em várias contas. Esses serviços estão marcados com um asterisco (*) no diagrama. Eles também facilitam a agregação de resultados de várias contas e a entrega desses resultados em uma única conta. Isso dá às equipes de aplicativos individuais a flexibilidade e a visibilidade para gerenciar as necessidades de segurança específicas de sua carga de trabalho, além de permitir governança e visibilidade às equipes de segurança centralizadas. A Amazon GuardDuty é um exemplo desse serviço. GuardDutymonitora recursos e atividades associados a uma única conta, e GuardDuty as descobertas de várias contas de membros (como todas as contas em uma AWS organização) podem ser coletadas, visualizadas e gerenciadas a partir de uma conta de administrador delegado.
Rede virtual, computação e entrega de conteúdo
Como o acesso à rede é muito importante em termos de segurança e a infraestrutura computacional é um componente fundamental de muitas AWS cargas de trabalho, há muitos serviços e recursos de AWS segurança dedicados a esses recursos. Por exemplo, o Amazon Inspector é um serviço de gerenciamento de vulnerabilidades que verifica continuamente suas AWS cargas de trabalho em busca de vulnerabilidades. Essas verificações incluem verificações de acessibilidade de rede que indicam que há caminhos de rede permitidos para EC2 instâncias da Amazon em seu ambiente. A Amazon Virtual Private Cloud
Diretores e recursos
AWSprincípios e AWS recursos (junto com IAM políticas) são os elementos fundamentais no gerenciamento de identidade e acesso emAWS. Um principal autenticado AWS pode realizar ações e acessar AWS recursos. Um principal pode ser autenticado como usuário raiz da AWS conta, IAM usuário ou assumindo uma função.
nota
Não crie API chaves persistentes associadas ao usuário AWS root. O acesso ao usuário raiz deve ser limitado somente às tarefas que exigem um usuário raiz e somente por meio de um rigoroso processo de exceção e aprovação. Para obter as melhores práticas para proteger o usuário root da sua conta, consulte a AWSdocumentação.
Um AWS recurso é um objeto que existe em um AWS serviço com o qual você pode trabalhar. Os exemplos incluem uma EC2 instância, uma AWS CloudFormation pilha, um tópico do Amazon Simple Notification Service (AmazonSNS) e um bucket do S3. IAMpolíticas são objetos que definem permissões quando estão associadas a uma IAM identidade (usuário, grupo ou função) ou AWS recurso. Políticas baseadas em identidade são documentos de política que você anexa a um diretor (funções, usuários e grupos de usuários) para controlar quais ações um diretor pode realizar, em quais recursos e sob quais condições. Políticas baseadas em recursos são documentos de política que você anexa a um recurso, como um bucket do S3. Essas políticas concedem ao principal especificado permissão para realizar ações específicas nesse recurso e definem as condições dessa permissão. As políticas baseadas em recursos são políticas em linha. A seção de IAMrecursos se aprofunda nos tipos de IAM políticas e na forma como elas são usadas.
Para simplificar as coisas nessa discussão, listamos serviços e recursos de AWS segurança para IAM entidades que têm o objetivo principal de operar ou se candidatar aos diretores de contas. Mantemos essa simplicidade e, ao mesmo tempo, reconhecemos a flexibilidade e a amplitude dos efeitos das políticas de IAM permissão. Uma única declaração em uma política pode ter efeitos em vários tipos de AWS entidades. Por exemplo, embora uma política IAM baseada em identidade esteja associada a uma IAM entidade e defina permissões (permitir, negar) para essa entidade, a política também define implicitamente as permissões para as ações, os recursos e as condições especificadas. Dessa forma, uma política baseada em identidade pode ser um elemento crítico na definição de permissões para um recurso.
O diagrama a seguir ilustra os serviços e recursos de AWS segurança para AWS diretores. As políticas baseadas em identidade são anexadas a objetos de IAM recursos que são usados para identificação e agrupamento, como usuários, grupos e funções. Essas políticas permitem que você especifique o que cada identidade pode fazer (suas respectivas permissões). Uma política de IAM sessão é uma política de permissões embutida que os usuários passam na sessão quando assumem a função. Você mesmo pode passar a política ou configurar seu agente de identidade para inserir a política quando suas identidades forem federadas. AWS Isso permite que seus administradores reduzam o número de funções que precisam criar, porque vários usuários podem assumir a mesma função, mas têm permissões de sessão exclusivas. O serviço IAM Identity Center é integrado AWS às Organizações e às AWS API operações e ajuda você a gerenciar o SSO acesso e as permissões de usuário em suas AWS contas no AWS Organizations.
O diagrama a seguir ilustra os serviços e recursos dos recursos da conta. Políticas baseadas em recurso são anexadas a um recurso. Por exemplo, você pode anexar políticas baseadas em recursos a buckets do S3, VPC filas do Amazon Simple Queue Service (SQSAmazon), endpoints e chaves de criptografia. AWS KMS Você pode usar políticas baseadas em recursos para especificar quem tem acesso ao recurso e quais ações eles podem realizar nele. As políticas de bucket, as políticas AWS KMS principais e as políticas de VPC endpoint do S3 são tipos de políticas baseadas em recursos. AWSIAMO Access Analyzer ajuda você a identificar os recursos em sua organização e contas, como buckets ou IAM funções do S3, que são compartilhados com uma entidade externa. Isso permite identificar o acesso não intencional aos seus recursos e dados, o que é um risco de segurança. AWSO Config permite que você avalie, audite e avalie as configurações dos AWS recursos compatíveis em suas contas. AWS AWSO Config monitora e registra continuamente as configurações AWS dos recursos e avalia automaticamente as configurações gravadas em relação às configurações desejadas.
