SEC08-BP03 Automatizar a proteção de dados em repouso
Use a automação para validar e aplicar controles de dados em repouso. Use a verificação automatizada para detectar configurações incorretas de soluções de armazenamento de dados e realize correções por meio de resposta programática automatizada sempre que possível. Incorpore a automação nos processos de CI/CD para detectar configurações incorretas de armazenamento de dados antes que elas sejam implantadas na produção.
Resultado desejado: sistemas automatizados examinam e monitoram os locais de armazenamento de dados em busca de configurações incorretas de controles, acesso não autorizado e uso inesperado. A detecção de locais de armazenamento configurados incorretamente inicia correções automatizadas. Processos automatizados criam backups de dados e armazenam cópias imutáveis fora do ambiente original.
Práticas comuns que devem ser evitadas:
-
Não considerar as opções para habilitar as configurações de criptografia por padrão, onde compatíveis.
-
Não considerar eventos de segurança, além dos eventos operacionais, ao formular uma estratégia automatizada de backup e recuperação.
-
Não impor configurações de acesso público para serviços de armazenamento.
-
Não monitorar e auditar os controles para proteger os dados em repouso.
Benefícios de implementar esta prática recomendada: a automação ajuda a evitar o risco de configuração incorreta dos locais de armazenamento de dados. Isso ajuda a evitar que configurações incorretas entrem nos ambientes de produção. Essa prática recomendada também ajuda a detectar e corrigir configurações incorretas, caso elas ocorram.
Nível de risco exposto se esta prática recomendada não for estabelecida: Médio
Orientação para implementação
A automação é um tema em todas as práticas para proteger os dados em repouso. SEC01-BP06 Automatizar a implantação de controles de segurança padrão descreve como é possível capturar a configuração de seus recursos usando modelos de infraestrutura como código (IaC), como o AWS CloudFormation
Você pode verificar as configurações definidas nos modelos de IaC para verificar se há erros de configuração nos pipelines de CI/CD usando regras no AWS CloudFormation Guard. Você pode monitorar configurações que ainda não estão disponíveis no CloudFormation ou em outras ferramentas de IaC em busca de configurações incorretas com AWS Config
Usar a automação como parte da estratégia de gerenciamento de permissões também é um componente essencial das proteções de dados automatizadas. SEC03-BP02 Conceder acesso de privilégio mínimo e SEC03-BP04 Reduzir permissões continuamente descrevem a configuração de políticas de acesso de privilégio mínimo que são continuamente monitoradas pelo AWS Identity and Access Management Access Analyzer
A automação também desempenha um papel para detectar o armazenamento de dados confidenciais em locais não autorizados. SEC07-BP03 Automatizar a identificação e a classificação descreve como o Amazon Macie
Siga as práticas de REL09 Backup de dados para desenvolver uma estratégia automatizada de backup e recuperação de dados. O backup e a recuperação de dados são importantes para a recuperação tanto de eventos de segurança quanto de eventos operacionais.
Etapas de implementação
-
Capture a configuração de armazenamento de dados em modelos de IaC. Use verificações automatizadas nos pipelines de CI/CD para detectar configurações incorretas.
-
É possível usar para AWS CloudFormation
seus modelos de IaC e o AWS CloudFormation Guard para verificar se há erros de configuração nos modelos. -
Use o AWS Config
para executar regras em um modo de avaliação proativa. Use essa configuração como uma etapa em seu pipeline de CI/CD para verificar a conformidade de um recurso antes de criá-lo.
-
-
Monitore os recursos em busca de configurações incorretas de armazenamento de dados.
-
Configure o AWS Config
para monitorar os recursos de armazenamento de dados em busca de alterações nas configurações de controle e gerar alertas para invocar ações de remediação ao detectar uma configuração incorreta. -
Consulte SEC04-BP04 Iniciar a correção para recursos fora de conformidade para obter mais orientações sobre correções automatizadas.
-
-
Monitore e reduza continuamente as permissões de acesso aos dados por meio da automação.
-
O IAM Access Analyzer
pode ser executado continuamente para gerar alertas quando as permissões podem ser potencialmente reduzidas.
-
-
Monitore e emita alertas sobre comportamentos anômalos de acesso aos dados.
-
O GuardDuty
observa tanto as assinaturas de ameaças conhecidas quanto os desvios dos comportamentos de acesso básicos para recursos de armazenamento de dados, como volumes do EBS, buckets do S3 e bancos de dados do RDS.
-
-
Monitore e emita alertas sobre dados confidenciais armazenados em locais inesperados.
-
Use o Amazon Macie
para examinar continuamente seus buckets do S3 em busca de dados confidenciais.
-
-
Automatize backups seguros e criptografados dos dados.
-
O AWS Backupé um serviço gerenciado que cria backups criptografados e seguros de várias fontes de dados na AWS. O Elastic Disaster Recovery
permite copiar workloads completas do servidor e manter a proteção contínua dos dados com um objetivo de ponto de recuperação (RPO) medido em segundos. Você pode configurar os dois serviços para que funcionem juntos e automatizem a criação de backups de dados e os copiem para locais de failover. Isso pode ajudar a manter os dados disponíveis quando eles forem afetados por eventos operacionais ou de segurança.
-
Recursos
Práticas recomendadas relacionadas:
Documentos relacionados:
Exemplos relacionados:
Ferramentas relacionadas: