SEC01-BP01 Separar as workloads usando contas - Pilar de segurança
Orientação para implementaçãoRecursos

SEC01-BP01 Separar as workloads usando contas

Estabeleça barreiras de proteção e isolamento entre workloads e ambientes (como de produção, desenvolvimento e teste) por meio de uma estratégia de várias contas. A separação em nível de conta é altamente recomendável, pois ela oferece um limite de isolamento robusto para segurança, faturamento e acesso.

Resultado desejado: uma estrutura de contas que isola operações em nuvem, workloads não relacionadas e ambientes em contas separadas, aumentando a segurança em toda a infraestrutura de nuvem.

Práticas comuns que devem ser evitadas:

  • Colocação de várias workloads não relacionadas com diferentes níveis de confidencialidade na mesma conta.

  • Estrutura de unidade organizacional (UO) definida de forma inadequada.

Benefícios de implementar esta prática recomendada:

  • Redução do escopo de impacto se uma workload for acessada acidentalmente.

  • Governança central de acesso a serviços, recursos e regiões da AWS.

  • Manutenção da segurança da infraestrutura de nuvem com políticas e administração centralizada de serviços de segurança.

  • Criação de contas automatizada e processo de manutenção.

  • Auditoria centralizada da infraestrutura de conformidade e requisitos regulatórios.

Nível de risco exposto se esta prática recomendada não for estabelecida: Alto

Orientação para implementação

As Contas da AWS oferecem um limite de isolamento de segurança entre workloads ou recursos que operam em diferentes níveis de confidencialidade. Para utilizar esse limite de isolamento, a AWS oferece ferramentas para gerenciar em grande escala suas workloads de nuvem por meio de uma estratégia de várias contas. Para obter orientação sobre os conceitos, padrões e implementação de uma estratégia de várias contas na AWS, consulte Organizar seu ambiente da AWS usando várias contas.

Quando você tem várias Contas da AWS no gerenciamento central, elas devem ser organizadas em uma hierarquia definida por camadas de unidades organizacionais (UOs). Desse modo, os controles de segurança podem ser organizados e aplicados às UOs e às contas-membro, estabelecendo controles preventivos consistentes nas contas-membro da organização. Os controles de segurança são herdados, permitindo que você filtre as permissões disponíveis para as contas-membro localizadas em níveis inferiores de uma hierarquia de UOs. Um bom design aproveita essa herança para reduzir o número e a complexidade das políticas de segurança necessárias para obter os controles de segurança desejados para cada conta-membro.

AWS Organizations e AWS Control Tower são dois serviços que podem ser usados para implementar e gerenciar essa estrutura de várias contas em seu ambiente da AWS. O AWS Organizations permite que você organize contas em uma hierarquia definida por uma ou mais camadas de UOs, onde cada UO contém várias contas-membro. As políticas de controle de serviços (SCPs) permitem que o administrador da organização estabeleça controles preventivos granulares nas contas-membro, e o AWS Config pode ser usado para estabelecer controles proativos e de detetive nas contas-membro. Muitos serviços da AWS se integram ao AWS Organizations para fornecer controles administrativos delegados e realizar tarefas específicas do serviço em todas as contas-membro da organização.

Em cima do AWS Organizations, o AWS Control Tower fornece uma configuração de práticas recomendadas com um clique para um ambiente da AWS de várias contas com uma zona de pouso. A zona de pouso é o ponto de entrada para o ambiente de várias contas estabelecido pelo Control Tower. O Control Tower oferece vários benefícios em relação ao AWS Organizations. Três benefícios que oferecem governança aprimorada de contas são:

  • Controles de segurança obrigatórios e integrados que são aplicados automaticamente às contas admitidas na organização.

  • Controles opcionais que podem ser ativados ou desativados em determinado conjunto de UOs.

  • O AWS Control Tower Account Factory fornece implantação automatizada de contas contendo linhas de base e opções de configuração pré-aprovadas em sua organização.

Etapas de implementação

  1. Projete uma estrutura de unidade organizacional: uma estrutura de unidade organizacional projetada adequadamente reduz a carga de gerenciamento necessária para criar e manter políticas de controle de serviços e outros controles de segurança. A estrutura da unidade organizacional deve estar alinhada às necessidades da empresa, à sensibilidade dos dados e à estrutura da workload.

  2. Crie uma zona de pouso para seu ambiente de várias contas: uma zona de pouso fornece uma base consistente de segurança e infraestrutura a partir da qual sua organização pode desenvolver, lançar e implantar workloads rapidamente. Você pode usar uma zona de pouso personalizada ou o AWS Control Tower para orquestrar seu ambiente.

  3. Estabeleça barreiras de proteção: implemente proteções de segurança consistentes para seu ambiente em sua zona de pouso. O AWS Control Tower fornece uma lista de controles obrigatórios e opcionais que podem ser implantados. Os controles obrigatórios são implantados automaticamente na implementação do Control Tower. Leia a lista de controles opcionais e altamente recomendados e implemente controles adequados às suas necessidades.

  4. Restrinja o acesso a regiões recém-adicionadas: para novas Regiões da AWS, recursos do IAM como usuários e perfis são propagados somente para as regiões que você especificar. Essa ação pode ser executada por meio do console ao usar o Control Tower ou ajustando as políticas de permissão do IAM no AWS Organizations.

  5. Considere o AWS CloudFormation StackSets: o StackSets ajuda a implantar recursos, incluindo políticas, perfis e grupos do IAM, em diferentes contas e regiões da Contas da AWS por meio de um modelo aprovado.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados:

Workshops relacionados: