AWS Security, Identity, and Compliance category icon Segurança, identidade e conformidade - Visão geral da Amazon Web Services

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Security, Identity, and Compliance category icon Segurança, identidade e conformidade

AWS foi projetada para ser a infraestrutura de nuvem global mais segura na qual criar, migrar e gerenciar aplicativos e cargas de trabalho.

Cada serviço é descrito após o diagrama. Para ajudá-lo a decidir qual serviço atende melhor às suas necessidades, consulte Escolha AWS serviços de segurança, identidade e governança. Para obter informações gerais, consulte Segurança, identidade e conformidade em AWS.

Diagrama mostrando AWS serviços de segurança, identidade e governança

Retornar paraAWS serviços.

Amazon Cognito

O Amazon Cognito permite que você adicione cadastro, login e controle de acesso de usuários aos seus aplicativos web e móveis de forma rápida e fácil. Com o Amazon Cognito, você pode escalar para milhões de usuários e oferecer suporte ao login com provedores de identidade social, como Apple, Facebook, Twitter ou Amazon, com soluções de identidade SAML 2.0 ou usando seu próprio sistema de identidade.

Além disso, o Amazon Cognito permite que você salve dados localmente nos dispositivos dos usuários, permitindo que seus aplicativos funcionem mesmo quando os dispositivos estão off-line. Em seguida, você pode sincronizar os dados entre os dispositivos dos usuários para que a experiência do aplicativo permaneça consistente, independentemente do dispositivo usado.

Com o Amazon Cognito, você pode se concentrar na criação de experiências de aplicação excelentes, em vez de se preocupar com a criação, a segurança e o ajuste de escala de uma solução para administrar o gerenciamento, a autenticação e a sincronização de usuários em vários dispositivos.

Amazon Detective

O Amazon Detective facilita a análise, a investigação e a identificação rápida da causa raiz de possíveis problemas de segurança ou atividades suspeitas. O Amazon Detective coleta automaticamente dados de log do seu AWS usa recursos e usa aprendizado de máquina, análise estatística e teoria dos grafos para criar um conjunto vinculado de dados que permite que você conduza facilmente investigações de segurança mais rápidas e eficientes. O Amazon Detective simplifica ainda mais o gerenciamento de contas para operações e investigações de segurança em todas as contas existentes e futuras em uma organização usando AWS Organizations para até 1.200 AWS contas.

AWS serviços de segurança, como Amazon GuardDuty, Amazon Macie e AWS Security Hub, assim como os produtos de segurança de parceiros, podem ser usados para identificar possíveis problemas ou descobertas de segurança. Esses serviços são realmente úteis para alertá-lo quando e onde houver possível acesso não autorizado ou comportamento suspeito em seu AWS implantação. No entanto, às vezes, há descobertas de segurança que você gostaria de realizar investigações mais profundas sobre os eventos que levaram às descobertas para remediar a causa raiz. Determinar a causa raiz das descobertas de segurança pode ser um processo complexo para analistas de segurança que geralmente envolve coletar e combinar registros de várias fontes de dados, usando ferramentas de extração, transformação e carregamento (ETL) e scripts personalizados para organizar os dados.

O Amazon Detective simplifica esse processo, permitindo que suas equipes de segurança investiguem com facilidade e cheguem rapidamente à causa raiz de uma descoberta. Detective pode analisar trilhões de eventos de várias fontes de dados, como Amazon Virtual Private Cloud () VPC Flow Logs, AWS CloudTrail e Amazon GuardDuty. Detective usa esses eventos para criar automaticamente uma visão unificada e interativa de seus recursos, usuários e as interações entre eles ao longo do tempo. Com essa visão unificada, você pode visualizar todos os detalhes e o contexto em um só lugar para identificar os motivos subjacentes das descobertas, detalhar as atividades históricas relevantes e determinar rapidamente a causa raiz.

Você pode começar a usar o Amazon Detective com apenas alguns cliques no AWS Management Console. Não há software para implantar ou fontes de dados para habilitar e manter. Você pode testar o Detective sem custo adicional com um teste gratuito de 30 dias que está disponível para novas contas.

Amazon GuardDuty

GuardDutyA Amazon é um serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos anômalos para proteger seus Contas da AWS, cargas de trabalho, clusters Kubernetes e dados armazenados no Amazon Simple Storage Service (Amazon S3). O GuardDuty serviço monitora atividades como API chamadas incomuns, implantações não autorizadas e credenciais extraídas que indicam um possível reconhecimento ou comprometimento da conta.

Ativado com alguns cliques no AWS Management Console e facilmente administrado em toda a organização com o apoio de AWS Organizations, a Amazon GuardDuty pode começar imediatamente a analisar bilhões de eventos em todo o seu AWS contabiliza sinais de uso não autorizado. GuardDuty identifica suspeitos de ataque por meio de feeds integrados de inteligência de ameaças e detecção de anomalias de aprendizado de máquina para detectar anomalias na atividade da conta e da carga de trabalho. Quando um possível uso não autorizado é detectado, o serviço fornece uma descoberta detalhada para o GuardDuty console, Amazon CloudWatch Events e AWS Security Hub. Isso torna as descobertas acionáveis e fáceis de integrar aos sistemas existentes de gerenciamento de eventos e fluxo de trabalho. Investigações adicionais para determinar a causa raiz de uma descoberta são facilmente realizadas usando o Amazon Detective diretamente do GuardDuty console.

A Amazon GuardDuty é econômica e fácil de operar. Ele não exige que você implante e mantenha software ou infraestrutura de segurança, o que significa que ele pode ser ativado rapidamente sem o risco de afetar negativamente as cargas de trabalho de aplicativos e contêineres existentes. Não há custos iniciais GuardDuty, nenhum software para implantar e nenhum feed de inteligência de ameaças para ativar. Além disso, GuardDuty otimiza os custos aplicando filtros inteligentes e analisando apenas um subconjunto de registros relevantes para a detecção de ameaças, e as novas GuardDuty contas da Amazon são gratuitas por 30 dias.

Amazon Inspector

O Amazon Inspector é um novo serviço automatizado de gerenciamento de vulnerabilidades que verifica continuamente AWS cargas de trabalho para vulnerabilidades de software e exposição não intencional na rede. Com alguns cliques no AWS Management Console e AWS Organizations, o Amazon Inspector pode ser usado em todas as contas da sua organização. Uma vez iniciado, o Amazon Inspector descobre automaticamente instâncias em execução do Amazon Elastic Compute Cloud (AmazonEC2) e imagens de contêineres residentes no Amazon Elastic Container Registry (AmazonECR), em qualquer escala, e imediatamente começa a avaliá-las em busca de vulnerabilidades conhecidas.

O Amazon Inspector tem muitas melhorias em relação ao Amazon Inspector Classic. Por exemplo, o novo Amazon Inspector calcula uma pontuação de risco altamente contextualizada para cada descoberta, correlacionando informações comuns de vulnerabilidades e exposições (CVE) com fatores como acesso à rede e explorabilidade. Essa pontuação é usada para priorizar as vulnerabilidades mais críticas para melhorar a eficiência da resposta à remediação. Além disso, o Amazon Inspector agora usa o amplamente implantado AWS Systems Manager Agente (SSMAgente) para eliminar a necessidade de você implantar e manter um agente independente para executar avaliações de EC2 instâncias da Amazon. Para cargas de trabalho de contêineres, o Amazon Inspector agora está integrado ao Amazon Elastic Container Registry (ECRAmazon) para oferecer suporte a avaliações de vulnerabilidade inteligentes, econômicas e contínuas de imagens de contêineres. Todas as descobertas são agregadas no console do Amazon Inspector, encaminhadas para AWS Security Hub, e implantou EventBridge a Amazon para automatizar fluxos de trabalho, como emissão de bilhetes.

Todas as contas novas no Amazon Inspector são elegíveis para um teste gratuito de 15 dias para avaliar o serviço e estimar seu custo. Durante o teste, todas as EC2 instâncias e imagens de contêineres elegíveis da Amazon enviadas para a Amazon ECR são digitalizadas continuamente sem nenhum custo.

Amazon Macie

O Amazon Macie é um serviço totalmente gerenciado de segurança e privacidade de dados que usa avaliações de inventário, aprendizado de máquina e correspondência de padrões para descobrir dados confidenciais e acessibilidade em seu ambiente Amazon S3. O Macie oferece suporte a trabalhos de descoberta de dados confidenciais escaláveis sob demanda e automatizados que rastreiam automaticamente as alterações no bucket e avaliam somente objetos novos ou modificados ao longo do tempo. Usando o Macie, você pode detectar uma lista grande e crescente de tipos de dados confidenciais em muitos países e regiões, incluindo vários tipos de dados financeiros, informações pessoais de saúde (PHI) e informações de identificação pessoal (PII), bem como tipos personalizados. Macie também avalia continuamente seu ambiente Amazon S3 para fornecer um resumo dos recursos do S3 e uma avaliação de segurança em todas as suas contas. Você pode pesquisar, filtrar e classificar buckets do S3 por variáveis de metadados, como nomes de buckets, tags e controles de segurança, como status de criptografia ou acessibilidade pública. Para quaisquer buckets não criptografados, buckets acessíveis publicamente ou buckets compartilhados com Contas da AWS fora daqueles que você definiu em AWS Organizations, você pode ser alertado para agir.

Na configuração de várias contas, uma única conta de administrador do Macie pode gerenciar todas as contas dos membros, incluindo a criação e administração de trabalhos confidenciais de descoberta de dados em todas as contas com AWS Organizations. As descobertas de segurança e descoberta de dados confidenciais são agregadas na conta de administrador do Macie e enviadas para a Amazon CloudWatch Events e AWS Security Hub. Agora, usando uma conta, você pode se integrar aos sistemas de gerenciamento de eventos, fluxo de trabalho e emissão de ingressos ou usar as descobertas do Macie com AWS Step Functions para automatizar as ações de remediação. Você pode começar a usar o Macie rapidamente usando o teste de 30 dias disponível para novas contas para inventário de bucket do S3 e avaliação em nível de bucket, sem nenhum custo. A descoberta de dados confidenciais não está incluída no teste de 30 dias para avaliação do bucket.

Amazon Security Lake

O Amazon Security Lake centraliza os dados de segurança de AWS ambientes, provedores de SaaS, locais e fontes na nuvem, em um data lake criado especificamente que é armazenado em seu Conta da AWS. O Security Lake automatiza a coleta e o gerenciamento de dados de segurança em todas as contas e Regiões da AWS para que você possa usar suas ferramentas de análise preferidas e, ao mesmo tempo, manter o controle e a propriedade sobre seus dados de segurança. Com o Security Lake, você também pode melhorar a proteção das suas workloads, aplicações e dados.

O Security Lake automatiza a coleta de dados de registros e eventos relacionados à segurança a partir de dados integrados AWS serviços e serviços de terceiros. Também ajuda você a gerenciar o ciclo de vida dos dados com configurações de retenção personalizáveis. O data lake é apoiado por buckets do Amazon S3, e você mantém a propriedade sobre seus dados. O Security Lake converte os dados ingeridos no formato Apache Parquet e em um esquema padrão de código aberto chamado Open Cybersecurity Schema Framework (). OCSF Com OCSF suporte, o Security Lake normaliza e combina dados de segurança de AWS e uma ampla variedade de fontes de dados de segurança corporativa.

Outros AWS serviços e serviços de terceiros podem assinar os dados armazenados no Security Lake para resposta a incidentes e análise de dados de segurança.

Amazon Verified Permissions

O Amazon Verified Permissions é um serviço de autorização e gerenciamento de permissões escalável e refinado para aplicativos personalizados que você criou. O Verified Permissions permite que seus desenvolvedores criem aplicações seguras com mais rapidez ao externalizar a autorização e centralizar o gerenciamento e a administração de políticas.

O Verified Permissions usa o Cedar, uma linguagem de políticas de código abertoSDK, para definir permissões refinadas para usuários do aplicativo. Seu modelo de autorização é definido usando tipos principais, tipos de recursos e ações válidas para controlar quem pode realizar quais ações em quais recursos em um determinado contexto de aplicativo. As mudanças nas políticas são auditadas para que você possa ver quem fez as alterações e quando.

AWS Artifact

AWS Artifacté o seu recurso central para obter informações relacionadas à conformidade que são importantes para você. Ele fornece acesso sob demanda a AWS relatórios de segurança e conformidade e contratos on-line selecionados. Relatórios disponíveis em AWS Artifact incluem nossos relatórios de Controle Organizacional de Serviços (SOC), relatórios do Setor de Cartões de Pagamento (PCI) e certificações de órgãos de credenciamento em todas as regiões e setores de conformidade que validam a implementação e a eficácia operacional de AWS controles de segurança. Acordos disponíveis em AWS Artifact incluem o Adendo de Associado Comercial (BAA) e o Contrato de Confidencialidade (). NDA

AWS Audit Manager

AWS Audit Managerajuda você a auditar continuamente seu AWS uso para simplificar a forma como você avalia o risco e a conformidade com os regulamentos e padrões do setor. O Audit Manager automatiza a coleta de evidências para reduzir o esforço manual “completo” que geralmente acontece nas auditorias e permitir que você escale sua capacidade de auditoria na nuvem à medida que sua empresa cresce. Com o Audit Manager, é fácil avaliar se suas políticas, procedimentos e atividades — também conhecidos como controles — estão operando de forma eficaz. Quando chegar a hora de uma auditoria, AWS Audit Manager ajuda você a gerenciar as análises de seus controles pelas partes interessadas e permite criar relatórios prontos para auditoria com muito menos esforço manual.

A ferramenta AWS Audit Manager estruturas pré-criadas ajudam a traduzir evidências de serviços em nuvem em relatórios fáceis de serem auditados mapeando seus AWS recursos para os requisitos das normas ou regulamentações do setor, como o CIS AWS Foundations Benchmark, o Regulamento Geral de Proteção de Dados (GDPR) e o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCIDSS). Você também pode personalizar totalmente uma estrutura e seus controles de acordo com suas necessidades comerciais exclusivas. Com base na estrutura que você seleciona, o Audit Manager lança uma avaliação que coleta e organiza continuamente evidências relevantes de seu AWS contas e recursos, como instantâneos de configuração de recursos, atividade do usuário e resultados de verificação de conformidade.

Você pode começar rapidamente no AWS Management Console. Basta selecionar uma estrutura pré-construída para iniciar uma avaliação e começar a coletar e organizar evidências automaticamente.

AWS Certificate Manager

AWS Certificate Manageré um serviço que permite provisionar, gerenciar e implantar facilmente certificados Secure Sockets Layer/Transport Layer Security (SSL/TLS) para uso com AWS serviços e seus recursos internos conectados. SSL/TLSos certificados são usados para proteger as comunicações de rede e estabelecer a identidade de sites na Internet, bem como recursos em redes privadas. AWS Certificate Manager elimina o demorado processo manual de compra, upload e renovação SSL de /certificados. TLS

Com AWS Certificate Manager, você pode solicitar rapidamente um certificado e implantá-lo em ACM -integrated AWS recursos, como Elastic Load Balancing, CloudFront distribuições Amazon e APIs on API Gateway, and let AWS Certificate Manager lidar com renovações de certificados. Ele também permite que você crie certificados privados para seus recursos internos e gerencie o ciclo de vida do certificado de forma centralizada. Certificados públicos e privados provisionados por AWS Certificate Manager para uso com serviços ACM integrados são gratuitos. Você paga somente pelo AWS recursos que você cria para executar seu aplicativo.

Com AWS Private Certificate Authority, você paga mensalmente pela operação da autoridade de certificação (CA) privada e pelos certificados privados emitidos. Você tem um serviço de CA privada altamente disponível sem o investimento inicial e os custos de manutenção contínuos de operar sua própria CA privada.

AWS CloudHSM

A AWS CloudHSMé um módulo de segurança de hardware baseado em nuvem (HSM) que permite gerar e usar facilmente suas próprias chaves de criptografia no Nuvem AWS. Com AWS CloudHSM, você pode gerenciar suas próprias chaves de criptografia usando FIPS 140-2 dedicado de nível 3 validado. HSMs AWS CloudHSM oferece a flexibilidade de integração com seus aplicativos usando bibliotecas padrão do setorAPIs, como PKCS #11, Java Cryptography Extensions () JCE e Microsoft CryptoNG (). CNG

AWS CloudHSM é compatível com os padrões e permite que você exporte todas as suas chaves para a maioria das outras disponíveis comercialmenteHSMs, de acordo com suas configurações. É um serviço totalmente gerenciado que automatiza tarefas administrativas demoradas para você, como provisionamento de hardware, aplicação de patches de software, alta disponibilidade e backups. AWS CloudHSM também permite que você escale rapidamente adicionando e removendo HSM capacidade sob demanda, sem custos iniciais.

AWS Directory Service

AWS Directory Servicepara Microsoft Active Directory, também conhecido como AWS Managed Microsoft AD, permite que suas cargas de trabalho e AWS recursos com reconhecimento de diretório usem o Active Directory gerenciado no Nuvem AWS. AWS Managed Microsoft AD é construído no Microsoft Active Directory real e não exige que você sincronize ou replique dados do seu Active Directory existente para a nuvem. Você pode usar as ferramentas de administração padrão do Active Directory e aproveitar os recursos integrados do Active Directory, como Política de Grupo e login único ()SSO. Com AWS Managed Microsoft AD, você pode facilmente unir instâncias da Amazon EC2 e do Amazon RDS for SQL Server a um domínio e usar aplicativos de TI AWS corporativos, como a Amazon, WorkSpaces com usuários e grupos do Active Directory.

AWS Firewall Manager

AWS Firewall Manageré um serviço de gerenciamento de segurança que permite configurar e gerenciar centralmente as regras de firewall em suas contas e aplicativos no AWS Organizations. À medida que novos aplicativos são criados, o Firewall Manager facilita a conformidade de novos aplicativos e recursos ao impor um conjunto comum de regras de segurança. Agora você tem um único serviço para criar regras de firewall, criar políticas de segurança e aplicá-las de forma consistente e hierárquica em toda a sua infraestrutura, a partir de uma conta de administrador central.

AWS Identity and Access Management

AWS Identity and Access Management(IAM) permite que você controle com segurança o acesso a AWS serviços e recursos para sua AWS usuários, grupos e funções. UsandoIAM, você pode criar e gerenciar controles de acesso refinados com permissões, especificar quem pode acessar quais serviços e recursos e sob quais condições. IAMpermite que você faça o seguinte:

  • Você gerencia AWS permissões para seus usuários de força de trabalho e cargas de trabalho em AWS IAM Identity Center(Centro IAM de Identidade). IAMO Identity Center permite que você gerencie o acesso de usuários em vários AWS contas. Com apenas alguns cliques, você pode habilitar um serviço altamente disponível, gerenciar facilmente o acesso a várias contas e as permissões para todas as suas contas no AWS Organizationscentralmente. IAMO Identity Center inclui SAML integrações integradas a vários aplicativos de negócios, como Salesforce, Box e Microsoft Office 365. Além disso, você pode criar integrações da Security Assertion Markup Language (SAML) 2.0 e estender o acesso de login único a qualquer um dos seus aplicativos habilitados. SAML Seus usuários simplesmente entram em um portal de usuário com as credenciais que eles configuram ou usando suas credenciais corporativas existentes para acessar todas as contas e aplicativos atribuídos em um só lugar.

  • Gerenciar IAM permissões de conta única: você pode especificar o acesso a AWS recursos usando permissões. Suas IAM entidades (usuários, grupos e funções), por padrão, começam sem permissões. Essas identidades podem receber permissões anexando uma IAM política que especifica o tipo de acesso, as ações que podem ser executadas e os recursos nos quais as ações podem ser executadas. Você também pode especificar condições que devem ser definidas para que o acesso seja permitido ou negado.

  • Gerenciar IAM funções de conta única: as IAM funções permitem delegar acesso a usuários ou serviços que normalmente não têm acesso aos da sua organização AWS recursos. IAMusuários ou AWS os serviços podem assumir a função de obter uma credencial de segurança temporária que será usada para fazer AWS APIchamadas. Você não precisa compartilhar credenciais de longo prazo nem definir permissões para cada identidade.

AWS Key Management Service

AWS Key Management Service (AWS KMS) facilita a criação e o gerenciamento de chaves criptográficas e o controle de seu uso em uma ampla variedade de AWS serviços e em seus aplicativos. AWS KMS usa módulos de segurança de hardware (HSM) para proteger e validar seu AWS KMS chaves do Programa de FIPSValidação do Módulo Criptográfico 140-2. AWS KMS está integrado com AWS CloudTrail para fornecer registros de todo o uso das chaves para ajudar a atender às suas necessidades regulatórias e de conformidade.

AWS Network Firewall

AWS Network Firewallé um serviço gerenciado que facilita a implantação de proteções de rede essenciais para todas as suas Amazon Virtual Private Clouds (VPCs). O serviço pode ser configurado com apenas alguns cliques e escalável automaticamente com o tráfego da rede, para que você não precise se preocupar com a implantação e o gerenciamento de qualquer infraestrutura. O mecanismo de regras flexíveis do AWS Network Firewall permite definir regras de firewall que oferecem controle refinado sobre o tráfego da rede, como bloquear solicitações de saída do Server Message Block (SMB) para evitar a propagação de atividades maliciosas. Você também pode importar regras que você já escreveu em formatos comuns de regras de código aberto, bem como permitir integrações com feeds de inteligência gerenciados fornecidos por AWS Parceiros. AWS Network Firewall trabalha em conjunto com AWS Firewall Manager para que você possa criar políticas com base em AWS Network Firewall regras e, em seguida, aplique centralmente essas políticas em suas VPCs contas.

AWS Network Firewall inclui recursos que fornecem proteções contra ameaças comuns à rede. A ferramenta AWS Network Firewall o firewall com estado pode incorporar o contexto dos fluxos de tráfego, como rastreamento de conexões e identificação de protocolos, para aplicar políticas, como impedir que você VPCs acesse domínios usando um protocolo não autorizado. A ferramenta AWS Network Firewall o sistema de prevenção de intrusões (IPS) fornece inspeção ativa do fluxo de tráfego para que você possa identificar e bloquear explorações de vulnerabilidade usando a detecção baseada em assinatura. AWS Network Firewall também oferece filtragem da web que pode interromper o tráfego para nomes de domínio conhecidos como URLs incorretos e monitorar nomes de domínio totalmente qualificados.

É fácil começar a usar AWS Network Firewall visitando o Amazon VPC Console para criar ou importar suas regras de firewall, agrupá-las em políticas e aplicá-las às VPCs que você deseja proteger. AWS Network Firewall o preço é baseado no número de firewalls implantados e na quantidade de tráfego inspecionado. Não há compromissos iniciais e você paga apenas pelo que usa.

AWS Resource Access Manager

AWS Resource Access Manager (AWS RAM) ajuda você a compartilhar com segurança seus recursos entre AWS contas, dentro de sua organização ou unidades organizacionais (OUs) em AWS Organizations e com IAM funções e IAM usuários para tipos de recursos compatíveis. Você pode usar: AWS RAM para compartilhar gateways de trânsito, sub-redes, AWS License Manager configurações de licença, regras do Amazon Route 53 Resolver e mais tipos de recursos.

Muitas organizações usam várias contas para criar isolamento administrativo ou de cobrança e para limitar o impacto dos erros. Com AWS RAM, você não precisa criar recursos duplicados em vários AWS contas. Isso reduz a sobrecarga operacional do gerenciamento de recursos em todas as contas que você possui. Em vez disso, em seu ambiente de várias contas, você pode criar um recurso uma vez e usar AWS RAM para compartilhar esse recurso entre contas criando um compartilhamento de recursos. Ao criar um compartilhamento de recursos, você seleciona os recursos a serem compartilhados, escolhe um AWS RAM gerencie a permissão por tipo de recurso e especifique quem você deseja que tenha acesso aos recursos. AWS RAM está disponível para você sem custo adicional.

AWS Secrets Manager

AWS Secrets Manager ajuda a proteger os segredos necessários para acessar aplicativos, serviços e recursos de TI. O serviço permite que você alterne, gerencie e recupere facilmente credenciais, API chaves e outros segredos do banco de dados durante todo o ciclo de vida. Usuários e aplicativos recuperam segredos com um toSecrets gerenciador de chamadasAPIs, eliminando a necessidade de codificar informações confidenciais em texto simples. O Secrets Manager oferece rotação secreta com integração integrada para AmazonRDS, Amazon Redshift e Amazon DocumentDB. O serviço também é extensível a outros tipos de segredos, incluindo API chaves e OAuth tokens. Além disso, o Secrets Manager permite que você controle o acesso a segredos usando permissões refinadas e audite centralmente a rotação de segredos para recursos no Nuvem AWS, serviços de terceiros e no local.

AWS Security Hub

AWS Security Hubé um serviço de gerenciamento de postura de segurança na nuvem que realiza verificações automatizadas e contínuas das melhores práticas de segurança em relação ao seu AWS recursos. O Security Hub agrega seus alertas de segurança (ou seja, descobertas) de vários AWS serviços e produtos de parceiros em um formato padronizado para que você possa agir com mais facilidade. Para manter uma visão completa de sua postura de segurança em AWS, você precisa integrar várias ferramentas e serviços, incluindo detecções de ameaças da Amazon GuardDuty, vulnerabilidades do Amazon Inspector, classificações de dados confidenciais do Amazon Macie, problemas de configuração de recursos do AWS Config e AWS Partner Network produtos. O Security Hub simplifica a forma como você entende e melhora sua postura de segurança com verificações automatizadas de melhores práticas de segurança, desenvolvidas por AWS Config regras e integrações automatizadas com dezenas de AWS serviços e produtos de parceiros.

O Security Hub permite que você entenda sua postura geral de segurança por meio de uma pontuação de segurança consolidada em todos os seus AWS contas, avalia automaticamente a segurança de suas AWS recursos de contas por meio do AWS Padrão de Boas Práticas de Segurança Fundamental (FSBP) e outras estruturas de conformidade. Ele também agrega todas as suas descobertas de segurança de dezenas de AWS serviços e APN produtos de segurança em um único local e formato por meio do AWS Formato de descoberta de segurança (ASFF) e reduz seu tempo médio de remediação (MTTR) com suporte automatizado de resposta e remediação. O Security Hub tem out-of-the-box integrações com emissão de tíquetes, bate-papo, gerenciamento de eventos e informações de segurança (SIEM), automação e resposta de orquestração de segurança (SOAR), investigação de ameaças, governança, risco e conformidade (GRC) e ferramentas de gerenciamento de incidentes para fornecer aos usuários um fluxo de trabalho completo de operações de segurança.

Começar a usar o Security Hub requer apenas alguns cliques do AWS Management Console para começar a agregar descobertas e realizar verificações de segurança usando nosso teste gratuito de 30 dias. Você pode integrar o Security Hub com AWS Organizations para habilitar automaticamente o serviço em todas as contas da sua organização.

AWS Shield

AWS Shieldé um serviço gerenciado de proteção de negação de serviço distribuído (DDoS) que protege os aplicativos da web executados em AWS. AWS Shield fornece detecção sempre ativa e mitigações automáticas em linha que minimizam o tempo de inatividade e a latência do aplicativo, portanto, não há necessidade de se envolver AWS Support para se beneficiar da DDoS proteção. Existem dois níveis de AWS Shield: Padrão e Avançado.

Todos AWS os clientes se beneficiam das proteções automáticas do AWS Shield Padrão, sem custo adicional. AWS Shield Standard se defende contra os DDoS ataques mais comuns e frequentes da camada de rede e transporte que têm como alvo seu site ou aplicativos. Quando você usa AWS Shield Standard com a Amazon CloudFront e o Amazon Route 53, você recebe proteção abrangente de disponibilidade contra todos os ataques de infraestrutura conhecidos (camadas 3 e 4).

Para obter níveis mais altos de proteção contra ataques direcionados aos seus aplicativos executados nos recursos do Amazon Elastic Compute Cloud EC2 (Amazon), Elastic Load Balancing ELB () CloudFront, Amazon e Amazon Route 53, você pode assinar AWS Shield Advanced. Além das proteções da camada de rede e transporte que vêm com o Standard, AWS Shield O Advanced fornece detecção e mitigação adicionais contra DDoS ataques grandes e sofisticados, visibilidade quase em tempo real dos ataques e integração com AWS WAF, um firewall de aplicativos web. AWS Shield Advanced também oferece acesso 24 horas por dia, 7 dias por semana à Equipe de AWS DDoS Resposta (DRT) e proteção contra picos DDoS relacionados nas cobranças do Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing (ELB) CloudFront, Amazon e Amazon Route 53.

AWS Shield O Advanced está disponível globalmente em todos os pontos de presença da Amazon CloudFront e do Amazon Route 53. Você pode proteger seus aplicativos web hospedados em qualquer lugar do mundo implantando a Amazon CloudFront na frente do seu aplicativo. Seus servidores de origem podem ser Amazon S3, Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing ELB () ou um servidor personalizado fora do AWS. Você também pode ativar AWS Shield Avançado diretamente em um Elastic IP ou Elastic Load Balancing (ELB) da seguinte forma Regiões da AWS: Norte da Virgínia, Ohio, Oregon, Norte da Califórnia, Montreal, São Paulo, Irlanda, Frankfurt, Londres, Paris, Estocolmo, Cingapura, Tóquio, Sydney, Seul, Mumbai, Milão e Cidade do Cabo.

AWS IAM Identity Center

AWS IAM Identity Center(SSO) é um SSO serviço em nuvem que facilita o gerenciamento centralizado do SSO acesso a vários AWS contas e aplicativos de negócios. Com apenas alguns cliques, você pode habilitar um SSO serviço altamente disponível sem o investimento inicial e os custos de manutenção contínuos de operar sua própria infraestrutura. SSO Com o IAM Identity Center, você pode gerenciar facilmente o SSO acesso e as permissões de usuário a todas as suas contas no AWS Organizationscentralmente. IAMO Identity Center também inclui SAML integrações integradas a vários aplicativos de negócios, como Salesforce, Box e Microsoft Office 365. Além disso, usando o assistente de configuração do aplicativo IAM Identity Center, você pode criar integrações da Security Assertion Markup Language (SAML) 2.0 e estender o SSO acesso a qualquer um dos seus SAML aplicativos habilitados. Seus usuários simplesmente acessam um portal de usuário com as credenciais que eles configuram no IAM Identity Center ou usando suas credenciais corporativas existentes para acessar todas as contas e aplicativos atribuídos em um só lugar.

AWS WAF

AWS WAFé um firewall de aplicativos da Web que ajuda a proteger seus aplicativos da Web ou APIs contra explorações e bots comuns da Web que podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos. AWS WAF oferece controle sobre como o tráfego chega aos seus aplicativos, permitindo que você crie regras de segurança que controlam o tráfego de bots e bloqueiam padrões de ataque comuns, como SQL injeção ou scripts entre sites. Você também pode personalizar regras que filtram padrões de tráfego específicos. Você pode começar rapidamente usando as Regras Gerenciadas para AWS WAF, um conjunto pré-configurado de regras gerenciado pelo AWS ou AWS Marketplace vendedores para resolver problemas como os 10 OWASP principais riscos de segurança e bots automatizados que consomem recursos em excesso, distorcem as métricas ou podem causar tempo de inatividade. Essas regras são atualizadas regularmente à medida que surgem novos problemas. AWS WAF inclui um recurso completo API que você pode usar para automatizar a criação, a implantação e a manutenção de regras de segurança.

AWS WAF Captcha

AWSWAFO Captcha ajuda a bloquear o tráfego indesejado de bots, exigindo que os usuários concluam os desafios com êxito antes que sua solicitação da web possa ser alcançada AWS WAF recursos protegidos. Você pode configurar AWS WAF regras para exigir que os desafios do WAF Captcha sejam resolvidos para recursos específicos que são frequentemente alvos de bots, como login, pesquisa e envio de formulários. Você também pode exigir desafios de WAF Captcha para solicitações suspeitas com base na taxa, nos atributos ou nos rótulos gerados a partir de AWS Managed Rules, por exemplo, AWS WAF Controle de bots ou a lista de reputação de IP da Amazon. WAFOs desafios do Captcha são simples para humanos, mas permanecem eficazes contra bots. WAFO Captcha inclui uma versão em áudio e foi projetado para atender aos requisitos de acessibilidade das Diretrizes de Acessibilidade ao Conteúdo da Web (WCAG).

Retornar paraAWS serviços.