Perspectiva de segurança: conformidade e garantia - An Overview of the AWS Cloud Adoption Framework

Perspectiva de segurança: conformidade e garantia

A perspectiva de segurança ajuda você a alcançar a confidencialidade, a integridade e a disponibilidade de seus dados e workloads na nuvem. É composto por nove capacidades, mostradas na figura a seguir. As partes interessadas comuns incluem CISO, CCO, líderes de auditoria interna e arquitetos e engenheiros de segurança.

Um diagrama que descreve as capacidades da perspectiva de segurança do AWS CAF.

Capacidades da perspectiva de segurança do AWS CAF

  • Governança de segurança: desenvolva, mantenha e comunique com eficácia funções, responsabilidades, políticas, processos e procedimentos de segurança. Garantir linhas claras de responsabilidade é fundamental para a eficácia do seu programa de segurança. Entender seus ativos, riscos de segurança e requisitos de conformidade que se aplicam ao seu setor e/ou organização ajudará você a priorizar seus esforços de segurança. Fornecer orientação e aconselhamento contínuos ajudará a acelerar sua transformação, permitindo que suas equipes se movam mais rapidamente.

    Entenda sua responsabilidade pela segurança na nuvem. Faça um inventário, categorize e priorize as partes interessadas, ativos e trocas de informações relevantes. Identifique leis, regras, regulamentos e padrões/frameworks que se aplicam ao seu setor e/ou organização. Realize uma avaliação de risco anual em sua organização. As avaliações de risco podem ajudar a determinar a probabilidade e o impacto dos riscos e/ou vulnerabilidades identificados que afetam sua organização. Aloque recursos suficientes para funções e responsabilidades de segurança identificadas. Desenvolva políticas, processos, procedimentos e controles de segurança de acordo com seus requisitos de conformidade e tolerância a riscos organizacionais. Atualize tudo continuamente com base nos riscos e requisitos em evolução.

  • Garantia de segurança: monitore, avalie, gerencie e melhore continuamente a eficácia de seus programas de segurança e privacidade. Sua organização e os clientes que você atende precisam estar confiantes e confiar que os controles que você implementou permitirão que os requisitos normativos sejam atendidos e que você gerencie de forma eficaz e eficiente os riscos de segurança e privacidade de acordo com seus objetivos de negócios e tolerância a riscos.

    Documente os controles em um framework de controle abrangente e estabeleça controles de segurança e privacidade demonstráveis que atendam a esses objetivos. Analise os relatórios de auditoria, certificações de conformidade ou atestados que seu fornecedor de nuvem obteve para ajudar você a entender os controles em vigor, como esses controles foram validados e se os controles em seu ambiente de TI estendido estão operando de forma eficaz.

    Monitore e avalie continuamente seu ambiente para verificar a eficácia operacional de seus controles e demonstrar conformidade com as regulamentações e os padrões do setor. Analise as políticas, processos, procedimentos, controles e registros de segurança e entreviste a equipe principal, conforme necessário.

  • Gerenciamento de identidades e permissões: gerencie identidades e permissões em escala. Você pode criar identidades na AWS ou conectar sua fonte de identidade e conceder aos usuários as permissões necessárias para que eles possam fazer login, acessar, provisionar ou orquestrar recursos da AWS e aplicações integradas. O gerenciamento eficaz de identidade e acesso ajuda a validar o acesso das pessoas certas a recursos e máquinas sob as condições certas.

    O AWS Well Architected Framework descreve conceitos relevantes, princípios de design e práticas recomendadas de arquitetura para gerenciar identidades. Isso inclui: confiar em um provedor de identidade centralizado; fazer uso de grupos de usuários e atributos para acesso refinado em escala e credenciais temporárias; e usar mecanismos de login fortes, como autenticação multifator (MFA). Para controlar o acesso por identidades humanas e de máquina à AWS e suas workloads, defina permissões para ações de serviço específicas em recursos específicos, sob condições específicas; use o princípio do privilégio mínimo, defina limites de permissões e use políticas de controle de serviço para que as entidades certas possam acessar os recursos certos à medida que seu ambiente e sua base de usuários crescem; conceder permissões com base em atributos (ABAC), para que suas políticas possam escalar; e validar continuamente se suas políticas fornecem a proteção de que você precisa.

  • Detecção de ameaças: entenda e identifique possíveis configurações incorretas de segurança, ameaças ou comportamentos inesperados. Uma melhor compreensão das ameaças de segurança permitirá que você priorize os controles de proteção. A detecção eficaz de ameaças permitirá que você responda às ameaças mais rapidamente e aprenda com os eventos de segurança. Chegue a um consenso sobre metas de inteligência tática, operacional e estratégica e a metodologia geral. Extraia a origem dos dados relevantes, processe e analise dados e divulgue e operacionalize insights.

    Implante o monitoramento de forma onipresente no ambiente para coletar informações essenciais e em locais específicos para rastrear tipos específicos de transações. Correlacione dados de monitoramento de várias fontes de eventos, incluindo tráfego de rede, sistemas operacionais, aplicações, bancos de dados e dispositivos de endpoint para fornecer um procedimento de segurança robusta e aumentar a visibilidade. Considere aproveitar a tecnologia de engano (por exemplo, honeypots) para entender os padrões de comportamento não autorizados do usuário.

  • Gerenciamento de vulnerabilidades: identifique, classifique, corrija e reduza continuamente as vulnerabilidades de segurança. Vulnerabilidades também podem ser introduzidas com alterações nos sistemas existentes ou com a adição de novos sistemas. Verifique regularmente se há vulnerabilidades para ajudar a proteger contra novas ameaças. Empregue verificadores de vulnerabilidades e agentes de endpoint para associar sistemas a vulnerabilidades conhecidas. Priorize as ações de remediação com base no risco de vulnerabilidade. Aplique ações de remediação e informe as partes interessadas relevantes. Use a equipe vermelha e os testes de penetração para identificar vulnerabilidades na arquitetura do seu sistema. Busque autorização prévia do seu provedor de nuvem, conforme necessário.

  • Proteção de infraestrutura: garante que os sistemas e os serviços de sua workload sejam protegidos contra acesso não intencional e não autorizado e possíveis vulnerabilidades. Proteger sua infraestrutura contra acesso não intencional e não autorizado e possíveis vulnerabilidades ajudará você a elevar seu procedimento de segurança na nuvem. Use a defesa em profundidade para criar uma série de mecanismos defensivos destinados a proteger seus dados e sistemas.

    Crie camadas de rede e coloque workloads sem requisitos de acesso à Internet em sub-redes privadas. Use grupos de segurança, listas de controle de acesso à rede e firewalls de rede para controlar o tráfego. Aplique o Zero Trust aos seus sistemas e dados de acordo com o valor deles. Use os endpoints da nuvem privada virtual (VPC) para conexão privada com recursos de nuvem. Inspecione e filtre seu tráfego em cada camada. Por exemplo, por meio de uma aplicação Web e/ou um firewall de rede. Use imagens de sistema operacional reforçadas e proteja fisicamente qualquer infraestrutura de nuvem híbrida on-premises e na borda.

  • Proteção de dados: mantenha a visibilidade e o controle sobre os dados e como eles são acessados e usados em sua organização. Proteger seus dados contra acesso não intencional e não autorizado e possíveis vulnerabilidades é um dos principais objetivos do seu programa de segurança. Para ajudar você a determinar os controles adequados de proteção e retenção, classifique seus dados com base na criticidade e na confidencialidade (por exemplo, informações de identificação pessoal). Defina controles de proteção de dados e políticas de gerenciamento do ciclo de vida. Criptografe todos os dados em repouso e em trânsito e armazene dados sigilosos em contas separadas. Use machine learning para descobrir, classificar e proteger dados sigilosos.

  • Segurança de aplicações: detecte e resolva vulnerabilidades de segurança durante o processo de desenvolvimento de software. Você pode economizar tempo, esforço e custo ao encontrar e corrigir falhas de segurança durante a fase de codificação de uma aplicação e ter confiança em seu procedimento de segurança ao iniciar a produção. Verifique e corrija vulnerabilidades em seu código e dependências para ajudar a proteger contra novas ameaças. Minimize a necessidade de intervenção humana automatizando tarefas relacionadas à segurança em seus processos e ferramentas de desenvolvimento e operações. Use ferramentas de análise de código estático para identificar problemas comuns de segurança.

  • Resposta a incidentes: reduza possíveis danos respondendo efetivamente a incidentes de segurança. Respostas rápidas, eficazes e consistentes a incidentes de segurança ajudarão você a reduzir possíveis danos. Ensine as equipes de operações de segurança e resposta a incidentes sobre as tecnologias de nuvem e como sua organização pretende usá-las. Desenvolva runbooks e crie uma biblioteca de mecanismos de resposta a incidentes. Inclua as principais partes interessadas para entender melhor o impacto de suas escolhas na organização em geral.

    Simule eventos de segurança e pratique sua resposta a incidentes por meio de exercícios de mesa e dias de jogo. Itere o resultado da simulação para melhorar a escala da postura de sua resposta, reduzir o tempo de obtenção de valor e reduzir ainda mais o risco. Realize análises pós-incidentes para aprender com os incidentes de segurança, usando um mecanismo padronizado para identificar e resolver causas.