Exemplo de equipe de nuvem: alteração das configurações de VPC

A equipe de nuvem é responsável por fazer a triagem e corrigir as descobertas de segurança que têm tendências comuns, como alterações nas configurações AWS padrão que podem não se adequar ao seu caso de uso. Essas descobertas tendem a afetar muitos Contas da AWS recursos, como configurações de VPC, ou incluem uma restrição que deve ser colocada em todo o ambiente. Na maioria das vezes, a equipe de nuvem faz alterações manuais e únicas, como adicionar ou atualizar uma política.

Depois que sua organização tiver usado um AWS ambiente por algum tempo, você poderá encontrar um conjunto de antipadrões em desenvolvimento. Um antipadrão é uma solução frequentemente usada para um problema recorrente em que a solução é contraproducente, ineficaz ou menos eficaz do que uma alternativa. Como alternativa a esses antipadrões, sua organização pode usar restrições ambientais que sejam mais eficazes, como políticas de controle de AWS Organizations serviços (SCPs) ou conjuntos de permissões do IAM Identity Center. SCPs e conjuntos de permissões podem fornecer restrições adicionais para tipos de recursos, como impedir que os usuários configurem um bucket público do Amazon Simple Storage Service (Amazon S3). Embora possa ser tentador restringir todas as configurações de segurança possíveis, há limites de tamanho de política para SCPs e conjuntos de permissões. Recomendamos uma abordagem equilibrada para os controles preventivos e de detetive.

A seguir estão alguns controles do padrão AWS Security Hub Foundational Security Best Practices (FSBP) pelos quais a equipe de nuvem pode ser responsável:

Neste exemplo, a equipe de nuvem está abordando uma descoberta sobre o controle EC2.2 do FSBP. A documentação desse controle recomenda não usar o grupo de segurança padrão porque ele permite amplo acesso por meio das regras padrão de entrada e saída. Como o grupo de segurança padrão não pode ser excluído, a recomendação é alterar as configurações da regra para restringir o tráfego de entrada e saída. Para resolver esse problema de forma eficiente, a equipe de nuvem deve usar mecanismos estabelecidos para modificar as regras do grupo de segurança para todas as VPCs, pois cada VPC tem esse grupo de segurança padrão. Na maioria dos casos, as equipes de nuvem gerenciam as configurações de VPC usando AWS Control Towerpersonalizações ou uma ferramenta de infraestrutura como código (IaC), como ou. HashiCorp Terraform AWS CloudFormation

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Exemplo de equipe de segurança

Exemplo de equipe de aplicativos