Proteção de dados no AWS Systems Manager - AWS Systems Manager
Criptografia de dadosPrivacidade do tráfego entre redes

Proteção de dados no AWS Systems Manager

A proteção de dados protege os dados em trânsito (à medida que são transferidos no Systems Manager) e em repouso (enquanto estão armazenados em datacenters da AWS).

O AWS modelo de responsabilidade compartilhada se aplica à proteção de dados no AWS Systems Manager. Conforme descrito nesse modelo, AWS é responsável por proteger a infraestrutura global que executa todas as Nuvem AWS. Você é responsável por manter o controle sobre seu conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para obter mais informações sobre a privacidade de dados, consulte as Perguntas Frequentes sobre Privacidade de Dados.. Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog AWS Shared Responsibility Model and GDPR no Blog de segurança da AWS.

Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:

  • Use uma autenticação multifator (MFA) com cada conta.

  • Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.

  • Configure a API e atividade do usuário logando com AWS CloudTrail. Para obter mais informações sobre como usar as trilhas do CloudTrail para capturar atividades da AWS, consulte Working with CloudTrail trails no Guia do Usuário do AWS CloudTrail.

  • Use as soluções de criptografia AWS, juntamente com todos os controles de segurança padrão em Serviços da AWS.

  • Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.

  • Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar a AWS por meio de uma interface de linha de comando ou uma API, use um endpoint do FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte Federal Information Processing Standard (FIPS) 140-3.

É altamente recomendável que nunca sejam colocadas informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo Nome. Isso inclui trabalhar com a Systems Manager ou outros Serviços da AWS usando o console, a API, a AWS CLI ou os AWS SDKs. Quaisquer dados inseridos em tags ou campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, recomendemos fortemente que não sejam incluídas informações de credenciais no URL para validar a solicitação a esse servidor.

Criptografia de dados

Criptografia em repouso

Parameter Store parameters

Os tipos de parâmetros que você pode criar noParameter Store, um recurso doAWS Systems ManagerIncluirString,StringList, eSecureString.

Para criptografar valores de parâmetro SecureString, o Parameter Store usa uma AWS KMS key no AWS Key Management Service (AWS KMS). O AWS KMS usa uma chave gerenciada pelo cliente ou uma Chave gerenciada pela AWS para criptografar o valor do parâmetro em um banco de dados gerenciado pela AWS.

Importante

Não armazene dados confidenciais em um parâmetro String ou StringList. Para todos os dados confidenciais que devem permanecer criptografados, use somente o tipo de parâmetro SecureString.

Para ter mais informações, consulte O que é um parâmetro ? e Restringir o acesso a parâmetros do Parameter Store usando políticas do IAM.

Conteúdo em buckets do S3

Como parte de suas operações do Systems Manager, é possível optar por carregar ou armazenar dados em um ou mais buckets do Amazon Simple Storage Service (Amazon S3).

Para obter mais informações sobre a criptografia do bucket do S3, consulte Proteger dados usando criptografia e Proteção de dados no Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

Veja a seguir os tipos de dados dos quais é possível fazer upload ou ter armazenados em buckets do S3 como parte de suas atividades do Systems Manager:

  • A saída de comandos noRun Command, um recurso doAWS Systems Manager

  • Pacotes noDistributor, um recurso doAWS Systems Manager

  • Registros de operação de patch emPatch Manager, um recurso doAWS Systems Manager

  • Listas de substituição de patches do Patch Manager

  • Scripts ou manuais do Ansible a serem executados em um fluxo de trabalho do runbook no Automation, um recurso do AWS Systems Manager

  • Perfis do Chef InSpec para uso com as verificações de conformidade, um recurso do AWS Systems Manager

  • Logs do AWS CloudTrail

  • O histórico de sessão faz loginSession Manager, um recurso doAWS Systems Manager

  • Relatórios do Explorer um recurso do AWS Systems Manager

  • OpsData doOpsCenter, um recurso doAWS Systems Manager

  • Modelos do AWS CloudFormation para uso com fluxos de trabalho de automação

  • Dados de conformidade de uma verificação de sincronização de dados de recursos

  • Saída de solicitações para criar ou editar associação no State Manager, um recurso do AWS Systems Manager, em nós gerenciados

  • Documentos personalizados do Systems Manager (documentos SSM) que você pode executar usando o documento do SSM gerenciado pela AWS do AWS-RunDocument

Grupos de logs do CloudWatch Logs

Como parte de suas operações do Systems Manager, é possível optar por transmitir dados para um ou mais grupos de logs do Amazon CloudWatch Logs.

Para obter informações sobre a criptografia de grupos de logs do CloudWatch Logs, consulte Criptografar dados de log no CloudWatch Logs usando o AWS Key Management Service no Guia do usuário do Amazon CloudWatch Logs.

Veja a seguir tipos de dados que é possível ter transmitido para um grupo de logs do CloudWatch Logs como parte de suas atividades do Systems Manager:

  • A saída de comandos do Run Command

  • A saída de scripts executados usando a ação aws:executeScript em um runbook de automação

  • Logs de histórico de sessão do Session Manager

  • Logs do SSM Agent em nós gerenciados

Criptografia em trânsito

Recomendamos usar um protocolo de criptografia, como o Transport Layer Security (TLS), para criptografar dados sigilosos em trânsito entre os clientes e seus nós.

O Systems Manager fornece o suporte a seguir para criptografia de seus dados em trânsito.

Conexões com endpoints da API do Systems Manager

Os endpoints da API do Systems Manager oferecem suporte a conexões seguras somente em HTTPS. Ao gerenciar recursos do Systems Manager com o AWS Management Console, o AWS SDK ou a API do Systems Manager, toda a comunicação é criptografada com Transport Layer Security (TLS). Para obter uma lista completa de endpoints de API, consulte AWS service (Serviço da AWS) endpoints no Referência geral da Amazon Web Services.

Instâncias gerenciadas

A AWS fornece conectividade segura e privada entre as instâncias do Amazon Elastic Compute Cloud (Amazon EC2). Além disso, nós criptografamos automaticamente os dados em trânsito entre instâncias compatíveis na mesma rede privada virtual (VPC) ou em VPCs emparelhadas, usando algoritmos AEAD com criptografia de 256 bits. Essa funcionalidade de criptografia usa recursos de descarregamento do hardware subjacente, e não há impacto na performance da rede. As instâncias compatíveis são: C5n, G4, I3en, M5dn, M5n, P3dn, R5dn e R5n.

Sessões do Session Manager

Por padrão, o Session Manager usa o TLS 1.3 para criptografar dados de sessão transmitidos entre as máquinas locais de usuários na sua conta e suas instâncias do EC2. Você também pode escolher criptografar ainda mais os dados em trânsito usando uma AWS KMS key criada no AWS KMS. A criptografia do AWS KMS está disponível para os tipos de sessão Standard_Stream, InteractiveCommands e NonInteractiveCommands.

Acesso do Run Command

Por padrão, o acesso remoto aos nós que usam o Run Command é criptografado usando TLS 1.3, e as solicitações para criar uma conexão são assinadas usando SigV4.

Privacidade do tráfego entre redes

Você pode usar o Amazon Virtual Private Cloud (Amazon VPC) para criar limites entre os recursos dos nós gerenciados e controlar o tráfego entre eles, sua rede on-premises e a Internet. Para obter detalhes, consulte Melhorar a segurança das instâncias do EC2 usando endpoints da VPC para o Systems Manager.

Para obter mais informações sobre a segurança da Amazon Virtual Private Cloud, consulte Internetwork traffic privacy in Amazon VPC (Tráfego de trabalho na Internet na Amazon VPC) no Guia do usuário da Amazon VPC.