SEC08-BP03 Automatizar a proteção de dados em repouso - Pilar de segurança

SEC08-BP03 Automatizar a proteção de dados em repouso

Use a automação para validar e aplicar controles de dados em repouso.  Use a verificação automatizada para detectar configurações incorretas de soluções de armazenamento de dados e realize correções por meio de resposta programática automatizada sempre que possível.  Incorpore a automação nos processos de CI/CD para detectar configurações incorretas de armazenamento de dados antes que elas sejam implantadas na produção.

Resultado desejado: sistemas automatizados examinam e monitoram os locais de armazenamento de dados em busca de configurações incorretas de controles, acesso não autorizado e uso inesperado.  A detecção de locais de armazenamento configurados incorretamente inicia correções automatizadas.  Processos automatizados criam backups de dados e armazenam cópias imutáveis fora do ambiente original.

Práticas comuns que devem ser evitadas:

  • Não considerar as opções para habilitar as configurações de criptografia por padrão, onde compatíveis.

  • Não considerar eventos de segurança, além dos eventos operacionais, ao formular uma estratégia automatizada de backup e recuperação.

  • Não impor configurações de acesso público para serviços de armazenamento.

  • Não monitorar e auditar os controles para proteger os dados em repouso.

Benefícios de implementar esta prática recomendada: a automação ajuda a evitar o risco de configuração incorreta dos locais de armazenamento de dados. Isso ajuda a evitar que configurações incorretas entrem nos ambientes de produção. Essa prática recomendada também ajuda a detectar e corrigir configurações incorretas, caso elas ocorram. 

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação 

A automação é um tema em todas as práticas para proteger os dados em repouso. SEC01-BP06 Automatizar a implantação de controles de segurança padrão descreve como é possível capturar a configuração de seus recursos usando modelos de infraestrutura como código (IaC), como o AWS CloudFormation.  Esses modelos estão comprometidos com um sistema de controle de versão e são usados para implantar recursos da AWS por meio de um pipeline de CI/CD.  Essas técnicas também se aplicam à automação da configuração de soluções de armazenamento de dados, como configurações de criptografia em buckets do Amazon S3.  

Você pode verificar as configurações definidas nos modelos de IaC para verificar se há erros de configuração nos pipelines de CI/CD usando regras no AWS CloudFormation Guard.  Você pode monitorar configurações que ainda não estão disponíveis no CloudFormation ou em outras ferramentas de IaC em busca de configurações incorretas com AWS Config.  Os alertas que o Config gera para configurações incorretas podem ser corrigidos automaticamente, conforme descrito em SEC04-BP04 Iniciar a correção de recursos fora de conformidade.

Usar a automação como parte da estratégia de gerenciamento de permissões também é um componente essencial das proteções de dados automatizadas. SEC03-BP02 Conceder acesso de privilégio mínimo e SEC03-BP04 Reduzir permissões continuamente descrevem a configuração de políticas de acesso de privilégio mínimo que são continuamente monitoradas pelo AWS Identity and Access Management Access Analyzer para gerar descobertas quando a permissão pode ser reduzida.  Além da automação para monitoramento de permissões, é possível configurar o Amazon GuardDuty para observar comportamentos anômalos de acesso aos dados em seus volumes do EBS (por meio de uma instância do EC2), buckets do S3 e bancos de dados do Amazon Relational Database Service compatíveis.

A automação também desempenha um papel para detectar o armazenamento de dados confidenciais em locais não autorizados. SEC07-BP03 Automatizar a identificação e a classificação descreve como o Amazon Macie pode monitorar seus buckets do S3 em busca de dados confidenciais inesperados e gerar alertas que podem iniciar uma resposta automática.

Siga as práticas de REL09 Backup de dados para desenvolver uma estratégia automatizada de backup e recuperação de dados. O backup e a recuperação de dados são importantes para a recuperação tanto de eventos de segurança quanto de eventos operacionais.

Etapas de implementação

  1. Capture a configuração de armazenamento de dados em modelos de IaC.  Use verificações automatizadas nos pipelines de CI/CD para detectar configurações incorretas.

    1. É possível usar para AWS CloudFormation seus modelos de IaC e o AWS CloudFormation Guard para verificar se há erros de configuração nos modelos.

    2. Use o AWS Config para executar regras em um modo de avaliação proativa. Use essa configuração como uma etapa em seu pipeline de CI/CD para verificar a conformidade de um recurso antes de criá-lo.

  2. Monitore os recursos em busca de configurações incorretas de armazenamento de dados.

    1. Configure o AWS Config para monitorar os recursos de armazenamento de dados em busca de alterações nas configurações de controle e gerar alertas para invocar ações de remediação ao detectar uma configuração incorreta.

    2. Consulte SEC04-BP04 Iniciar a correção para recursos fora de conformidade para obter mais orientações sobre correções automatizadas.

  3. Monitore e reduza continuamente as permissões de acesso aos dados por meio da automação.

    1. O IAM Access Analyzer pode ser executado continuamente para gerar alertas quando as permissões podem ser potencialmente reduzidas.

  4. Monitore e emita alertas sobre comportamentos anômalos de acesso aos dados.

    1. O GuardDuty observa tanto as assinaturas de ameaças conhecidas quanto os desvios dos comportamentos de acesso básicos para recursos de armazenamento de dados, como volumes do EBS, buckets do S3 e bancos de dados do RDS.

  5. Monitore e emita alertas sobre dados confidenciais armazenados em locais inesperados.

    1. Use o Amazon Macie para examinar continuamente seus buckets do S3 em busca de dados confidenciais.

  6. Automatize backups seguros e criptografados dos dados.

    1. O AWS Backupé um serviço gerenciado que cria backups criptografados e seguros de várias fontes de dados na AWS.  O Elastic Disaster Recovery permite copiar workloads completas do servidor e manter a proteção contínua dos dados com um objetivo de ponto de recuperação (RPO) medido em segundos.  Você pode configurar os dois serviços para que funcionem juntos e automatizem a criação de backups de dados e os copiem para locais de failover.  Isso pode ajudar a manter os dados disponíveis quando eles forem afetados por eventos operacionais ou de segurança.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Exemplos relacionados:

Ferramentas relacionadas: