Segurança

Verifica os grupos de segurança vinculados ao Application Load Balancer e seus destinos do Amazon EC2. Grupos de segurança do Application Load Balancer somente devem permitir portas de entrada que estejam configuradas em um receptor. Os grupos de segurança de um destino não devem aceitar conexões diretas da Internet na mesma porta na qual o destino recebe tráfego do balanceador de carga.

Se um grupo de segurança permitir o acesso a portas que não estão configuradas para o balanceador de carga ou permitir o acesso direto aos destinos, o risco de perda de dados ou ataques maliciosos aumenta.

Essa verificação exclui os seguintes grupos:

8604e947f2

Para reforçar a segurança, certifique-se de que seus grupos de segurança permitam apenas os fluxos de tráfego necessários:

Verifica se o período de retenção do Amazon CloudWatch Log Group está definido para 365 dias ou outro número especificado.

Por padrão, os logs são mantidos indefinidamente e nunca expiram. No entanto, você pode ajustar a política de retenção de cada grupo de logs para estar em conformidade com os regulamentos do setor ou com os requisitos legais de um período específico.

Você pode especificar o tempo mínimo de retenção e os nomes dos grupos de registros usando os parâmetros LogGroupNames e MinRetentionTime em suas regras do AWS Config.

c18d2gz186

AWS Config Managed Rule: cw-loggroup-retention-period-check

Amarelo: o período de retenção de um grupo de logs do Amazon CloudWatch é menor que o número mínimo desejado de dias.

Configure um período de retenção de mais de 365 dias para seus dados de log armazenados no Amazon CloudWatch Logs para atender aos requisitos de conformidade.

Para obter mais informações, consulte Alterar a retenção de dados de log no CloudWatch Logs.

Alterar a retenção de logs do CloudWatch

Verifica as versões do SQL Server das instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em execução nas últimas 24 horas. Essa verificação alerta se as versões estão próximas ou chegaram ao final do suporte. Cada versão do SQL Server oferece 10 anos de suporte, incluindo 5 anos de suporte convencional e 5 anos de suporte estendido. Após o término do suporte, a versão do SQL Server não receberá atualizações de segurança regulares. A execução de aplicações com versões do SQL Server sem suporte pode trazer riscos de segurança ou conformidade.

Qsdfp3A4L3

Para modernizar suas workloads do SQL Server, considere refatorar para bancos de dados nativos da Nuvem AWS, como o Amazon Aurora. Para obter mais informações, consulte Modernizar workloads do Windows com a AWS.

Para migrar para um banco de dados totalmente gerenciado, considere redefinir a plataforma para o Amazon Relational Database Service (Amazon RDS). Para obter mais informações, consulte Amazon RDS for SQL Server (Amazon RDS para SQL Server).

Para atualizar seu SQL Server no Amazon EC2, considere usar o runbook de automação para simplificar sua atualização. Para obter mais informações, consulte a a documentação do AWS Systems Manager.

Se você não conseguir atualizar seu SQL Server no Amazon EC2, considere o Programa de migração de fim do ciclo de suporte (EMP) para Windows Server. Para obter mais informações, acesse o EMP Website (Site do EMP).

Essa verificação alerta se as versões do Microsoft Windows Server estão próximas ou chegaram ao final do suporte. Cada versão do Windows Server oferece 10 anos de suporte, incluindo 5 anos de suporte convencional e 5 anos de suporte estendido. Após o fim do suporte, a versão do Windows Server não receberá atualizações de segurança regulares. A execução de aplicações com versões do Windows Server sem suporte pode trazer riscos de segurança ou conformidade.

Qsdfp3A4L4

Para modernizar seus workloads do Windows Server, considere as várias opções disponíveis em Modernizar workloads do Windows com a AWS.

Para atualizar seus workloads do Windows Server para que sejam executados em versões mais recentes desse servidor, você pode usar um runbook de automação. Para obter mais informações, consulte a documentação do AWS Systems Manager.

Execute as etapas a seguir:

Essa verificação alerta se as versões estão próximas ou chegaram ao final do suporte padrão. É importante agir, seja migrando para o próximo LTS ou atualizando para o Ubuntu Pro. Após o fim do suporte, suas máquinas com LTS 18.04 não receberão nenhuma atualização de segurança. Com uma assinatura do Ubuntu Pro, sua implantação do Ubuntu LTS 18.04 pode receber Manutenção de segurança expandida (ESM) até 2028. Vulnerabilidades de segurança que permanecem sem patches aplicados deixam seus sistemas vulneráveis a hackers e a uma grande violação.

c1dfprch15

Vermelho: uma instância do Amazon EC2 tem uma versão do Ubuntu que chegou ao fim do suporte padrão (Ubuntu 18.04 LTS, 18.04.1 LTS, 18.04.2 LTS, 18.04.3 LTS, 18.04.4 LTS, 18.04.5 LTS e 18.04.6 LTS).

Amarelo: uma instância do Amazon EC2 tem uma versão do Ubuntu que chegará ao fim do suporte padrão em menos de 6 meses (Ubuntu 20.04 LTS, 20.04.1 LTS, 20.04.2 LTS, 20.04.3 LTS, 20.04.4 LTS, 20.04.5 LTS e 20.04.6 LTS).

Verde: todas as instâncias do Amazon EC2 são compatíveis.

Para fazer upgrade das instâncias do Ubuntu 18.04 LTS para uma versão LTS compatível, siga as etapas mencionadas neste artigo. Para fazer upgrade das instâncias do Ubuntu 18.04 LTS para o Ubuntu Pro, acesse o console do AWS License Manager e siga as etapas mencionadas no Guia do usuário do AWS License Manager. Você também pode consultar o Blog do Ubuntu, que apresenta uma demonstração passo a passo do upgrade de instâncias do Ubuntu para o Ubuntu Pro.

Para obter informações sobre preços, entre em contato com o Suporte.

Verifica se o sistema de arquivos do Amazon EFS está montado usando criptografia de dados em trânsito. A AWS recomenda que os clientes usem criptografia de dados em trânsito em todos os fluxos de dados para proteger os dados contra exposição acidental ou acesso não autorizado. O Amazon EFS recomenda que os clientes usem a configuração de montagem '-o tls' usando o auxiliar de montagem do Amazon EFS para criptografar dados em trânsito usando o TLS v1.2.

c1dfpnchv1

Amarelo: um ou mais clientes NFS para o seu sistema de arquivos do Amazon EFS não estão usando as configurações de montagem recomendadas que fornecem criptografia de dados em trânsito.

Verde: todos os clientes NFS para o seu sistema de arquivos do Amazon EFS estão usando as configurações de montagem recomendadas que fornecem criptografia de dados em trânsito.

Para aproveitar o recurso de criptografia de dados em trânsito no Amazon EFS, recomendamos remontar o sistema de arquivos usando o auxiliar de montagem do Amazon EFS e as configurações de montagem recomendadas.

Verifica as configurações de permissão dos snapshots do seu volume do Amazon Elastic Block Store (Amazon EBS) e alerta você se algum snapshot estiver acessível publicamente.

Ao tornar um snapshot público, você fornece todas as Contas da AWS e os usuários acessam todos os dados no snapshot. Para compartilhar um snapshot somente com usuários ou contas específicos, marque o snapshot como privado. Em seguida, especifique o usuário ou as contas com as quais você deseja compartilhar os dados do snapshot. Observe que, se você tiver o Bloqueio de acesso público habilitado no modo “bloquear todo o compartilhamento”, seus snapshots públicos não ficarão acessíveis ao público em geral e não aparecerão nos resultados dessa verificação.

ePs02jT06w

Vermelho: o snapshot do volume do EBS está acessível ao público em geral.

A menos que você tenha certeza de que deseja compartilhar todos os dados no snapshot com todos os usuários e Contas da AWS, modifique as permissões: marque o snapshot como privado e especifique as contas às quais deseja conceder permissões. Para obter mais informações, consulte Sharing an Amazon EBS Snapshot (Compartilhar um snapshot do Amazon EBS). Use Bloquear acesso público para snapshots do EBS para controlar as configurações que permitem o acesso público aos seus dados. Essa verificação não pode ser excluída da visualização no console do Trusted Advisor.

Para modificar as permissões para seus snapshots diretamente, use um runbook no console do AWS Systems Manager. Para obter mais informações, consulte AWSSupport-ModifyEBSSnapshotPermission.

Amazon EBS Snapshots (Snapshots do Amazon EBS

O Amazon RDS é compatível com a criptografia em repouso para todos os mecanismos de banco de dados usando as chaves gerenciadas no AWS Key Management Service. Em uma instância de banco de dados ativa com criptografia do Amazon RDS, os dados armazenados em repouso no armazenamento são criptografados, de forma semelhante aos backups automatizados, réplicas de leitura e snapshots.

Se a criptografia não estiver ativada durante a criação de um cluster de banco de dados do Aurora, será necessário restaurar um snapshot descriptografado em um cluster de banco de dados criptografado.

c1qf5bt005

Vermelho: os recursos do Amazon RDS Aurora não têm criptografia habilitada.

Ative a criptografia de dados em repouso para o cluster de banco de dados.

Você pode ativar a criptografia ao criar uma instância de banco de dados ou usar uma solução alternativa para ativar a criptografia em uma instância de banco de dados ativa. Não é possível modificar um cluster de banco de dados descriptografado para um cluster de banco de dados criptografado. No entanto, é possível restaurar um snapshot descriptografado para um cluster de bancos de dados criptografado. Ao restaurar a partir do snapshot descriptografado, você deve especificar uma chave do AWS KMS.

Para obter mais informações, consulte Encrypting Amazon Aurora resources.

Os recursos de banco de dados não estão executando a versão secundária mais recente do mecanismo de banco de dados. A versão secundária mais recente contém as correções de segurança mais recentes e outras melhorias.

c1qf5bt003

Amarelo: os recursos do Amazon RDS não estão executando a versão secundária mais recente do mecanismo de banco de dados.

Faça upgrade para a versão mais recente do mecanismo.

Recomendamos manter o banco de dados com a versão secundária mais recente do mecanismo de banco de dados, pois ela inclui as correções de segurança e funcionalidade mais recentes. Os upgrades de versões secundárias do mecanismo de banco de dados contêm apenas as alterações compatíveis com versões secundárias anteriores da mesma versão principal do mecanismo de banco de dados.

Para obter mais informações, consulte Atualizar a versão de mecanismo de uma instância de banco de dados.

Verifica as configurações de permissão para os snapshots de banco de dados do Amazon Relational Database Service (Amazon RDS) e o alerta se algum snapshot estiver marcado como público.

Ao tornar um snapshot público, você fornece todas as Contas da AWS e os usuários acessam todos os dados no snapshot. Se quiser compartilhar um snapshot somente com usuários ou contas específicos, marque o snapshot como privado. Em seguida, especifique o usuário ou as contas com as quais você deseja compartilhar os dados do snapshot.

rSs93HQwa1

Vermelho: o snapshot Amazon RDS está marcado como público.

A menos que você tenha certeza de que deseja compartilhar todos os dados no snapshot com todos os usuários e Contas da AWS, modifique as permissões: marque o snapshot como privado e especifique as contas às quais deseja conceder permissões. Para obter mais informações, consulte Sharing a DB Snapshot or DB Cluster Snapshot (Compartilhar um snapshot de banco de dados ou do cluster de banco de dados). Essa verificação não pode ser excluída da visualização no console do Trusted Advisor.

Para modificar as permissões para seus snapshots diretamente, você pode usar um runbook no console do AWS Systems Manager. Para obter mais informações, consulte AWSSupport-ModifyRDSSnapshotPermission.

Backing Up and Restoring Amazon RDS DB Instances (Backup e restauração de uma instância de banco de dados do Amazon RDS

Verifica as configurações do grupo de segurança do Amazon Relational Database Service (Amazon RDS) e avisa quando uma regra de grupo de segurança concede acesso excessivamente permissivo ao banco de dados. A configuração recomendada para uma regra de grupo de segurança é permitir o acesso somente de grupos de segurança específicos do Amazon Elastic Compute Cloud (Amazon EC2) ou de um endereço IP específico.

nNauJisYIT

O EC2-Classic foi removido em 15 de agosto de 2022. É recomendável mover suas instâncias do Amazon RDS para uma VPC e usar grupos de segurança do Amazon EC2. Para obter mais informações sobre como mover sua instância de banco de dados para uma VPC, consulte Mover uma instância de banco de dados que está fora de uma VPC para dentro de uma VPC.

Se não conseguir migrar suas instâncias do Amazon RDS para uma VPC, revise suas regras de grupo de segurança e restrinja o acesso a endereços IP ou intervalos de IP autorizados. Para editar um grupo de segurança, use a API AuthorizeDBSecurityGroupIngress ou o Console de gerenciamento da AWS. Para obter mais informações, consulte Trabalhar com grupos de segurança de banco de dados.

O Amazon RDS é compatível com a criptografia em repouso para todos os mecanismos de banco de dados usando as chaves gerenciadas no AWS Key Management Service. Em uma instância de banco de dados ativa com criptografia do Amazon RDS, os dados armazenados em repouso no armazenamento são criptografados, de forma semelhante aos backups automatizados, réplicas de leitura e snapshots.

Se a criptografia não estiver ativada durante a criação de uma instância de banco de dados, será necessário restaurar uma cópia criptografada do snapshot descriptografado antes de ativar a criptografia.

c1qf5bt006

Vermelho: os recursos do Amazon RDS não têm criptografia habilitada.

Ative a criptografia de dados em repouso para a instância de banco de dados.

Você pode criptografar uma instância de banco de dados somente quando a cria. Para criptografar uma instância de banco de dados ativa existente:

Para obter mais informações, consulte os seguintes recursos:

Verifica as zonas hospedadas do Amazon Route 53 com registros CNAME apontando diretamente para os nomes de host do bucket do Amazon S3 e alerta se o seu CNAME não corresponde ao nome do bucket do S3.

c1ng44jvbm

Vermelho: a zona hospedada do Amazon Route 53 tem registros CNAME que apontam para nomes de host de bucket do S3 incompatíveis.

Verde: nenhum registro CNAME incompatível encontrado na sua zona hospedada do Amazon Route 53.

Ao apontar registros CNAME para nomes de host de bucket do S3, você deve garantir que exista um bucket correspondente para qualquer registro CNAME ou alias configurado. Ao fazer isso, é possível evitar o risco de seus registros CNAME serem falsificados. Você também impede que qualquer usuário da AWS não autorizado hospede conteúdo Web com problema ou mal-intencionado em seu domínio.

Para evitar apontar registros CNAME diretamente para nomes de host de buckets do S3, considere usar o controle de acesso de origem (OAC) para acessar seus ativos da Web de buckets do S3 por meio do Amazon CloudFront.

Para obter mais informações sobre como associar o CNAME a um nome de host de bucket do Amazon S3, consulte Personalizar URLs do Amazon S3 com registros CNAME.

Para cada registro MX, verifica se há um registro TXT associado contendo um valor de SPF válido. O valor do registro TXT deve começar com “v=spf1". Os tipos de registro do SPF estão obsoletos pela Internet Engineering Task Force (IETF). Com o Route 53, é uma prática recomendada usar um registro TXT em vez de um registro SPF. O Trusted Advisorrelata essa verificação como verde quando um registro MX tem pelo menos um registro TXT associado com um valor SPF válido.

c9D319e7sG

Para cada conjunto de registros de recursos MX, crie um conjunto de registros de recursos TXT contendo um valor de SPF válido. Para obter mais informações, consulte Sender Policy Framework: SPF Record Syntax (Estrutura da política do remetente: Sintaxe de registros da SPF) e Creating Resource Record Sets By Using the Amazon Route 53 Console (Criar conjuntos de registros de recursos usando o console do Amazon Route 53).

Verifica buckets no Amazon Simple Storage Service (Amazon S3) que têm permissões de acesso aberto ou que permitem acesso a qualquer usuário da AWS autenticado.

Esta verificação examina permissões de bucket explícitas, bem como políticas de bucket que podem substituir essas permissões. Não é recomendável conceder permissões de acesso à lista a todos os usuários de um bucket do Amazon S3. Essas permissões podem levar a usuários não intencionais que listem objetos no bucket em alta frequência, o que pode resultar em cobranças maiores do que o esperado. As permissões que concedem acesso de carregamento e exclusão a todos podem levar a vulnerabilidades de segurança em seu bucket.

Pfx0RwqBli

Se um bucket permitir acesso aberto, determine se o acesso aberto é realmente necessário. Por exemplo, para hospedar um site estático, você pode usar o Amazon CloudFront para servir o conteúdo hospedado no Amazon S3. Consulte Restringir o acesso a uma origem Amazon S3, no Guia do desenvolvedor do Amazon CloudFront. Quando possível, atualize as permissões do bucket para restringir o acesso ao proprietário ou a usuários específicos. Use o bloqueio de acesso público do Amazon S3 para controlar as configurações que permitem acesso público a seus dados. Consulte Setting Bucket and Object Access Permissions (Configurar permissões de acesso ao bucket e a objetos).

Managing Access Permissions to Your Amazon S3 Resources (Gerenciar permissões de acesso aos recursos do Amazon S

Configurar o bloqueio de acesso público para seus buckets do Amazon S3

Verifica se suas conexões de emparelhamento da VPC têm a resolução DNS habilitada para as VPCs aceitantes e solicitantes.

A resolução DNS para uma conexão de emparelhamento da VPC permite a resolução de nomes de hosts DNS público para endereços de IPv4 privados quando consultados em sua VPC. Isso permite o uso de nomes DNS para comunicação entre recursos em VPCs emparelhadas. A resolução de DNS em suas conexões de emparelhamento da VPC torna o desenvolvimento e o gerenciamento de aplicações mais simples e menos propensos a erros, além de garantir que os recursos sempre se comuniquem de forma privada pela conexão de emparelhamento da VPC.

Você pode especificar os IDs de VPC usando os parâmetros vpcIds em suas regras do AWS Config.

Para obter mais informações, consulte Habilitar a resolução de DNS para a conexão de emparelhamento da VPC.

c18d2gz124

AWS Config Managed Rule: vpc-peering-dns-resolution-check

Amarelo: a resolução de DNS não está habilitada para as VPCs aceitantes e solicitantes em uma conexão de emparelhamento da VPC.

Habilite a resolução de DNS para suas conexões de emparelhamento da VPC.

Verifica se os grupos de destino do Application Load Balancer (ALB) estão usando o protocolo HTTPS para criptografar a comunicação em trânsito para tipos de instância ou IP de destino de backend. As solicitações HTTPS entre o ALB e os destinos de backend ajudam a manter a confidencialidade dos dados em trânsito.

c2vlfg0p1w

Configure os tipos de destino de instância ou IP de backend para oferecer suporte ao acesso HTTPS e altere o grupo de destino para usar o protocolo HTTPS para criptografar a comunicação entre o ALB e os tipos de instância ou IP de destino de backend.

Aplicar a criptografia em trânsito

Tipos de destino do Application Load Balancer

Configuração de roteamento do Application Load Balancer

Proteção de dados no Elastic Load Balancing

Verifica se as travas de segurança do AWS Backup têm uma política baseada em recursos anexada que impede a exclusão do ponto de recuperação.

A política baseada em recursos evita a exclusão inesperada de pontos de recuperação, o que permite aplicar o controle de acesso com o mínimo de privilégios aos dados de backup.

Você pode especificar os ARNs do AWS Identity and Access Management que não deseja que a regra verifique no parâmetro principalArnList de suas regras do AWS Config.

c18d2gz152

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

Amarelo: há travas de segurança do AWS Backup que não têm uma política baseada em recursos para evitar a exclusão de pontos de recuperação.

Crie políticas baseadas em recursos para travas de segurança do AWS Backup para evitar a exclusão inesperada de pontos de recuperação.

A política deve incluir uma declaração “Negar” com as permissões Backup:DeleteRecoveryPoint, Backup:UpdateRecoveryPointLifecycle e Backup:PutBackupVaultAccessPolicy.

Para obter mais informações, consulte Definir políticas de acesso em cofres de backup.

Verifica a sua utilização do AWS CloudTrail. O CloudTrail fornece maior visibilidade das atividades na sua Conta da AWS. Isso é feito gravando informações sobre chamadas de API da AWS que são feitas na conta. É possível usar esses logs para determinar, por exemplo, quais ações um determinado usuário executou durante um período especificado ou quais usuários executaram ações em um recurso específico durante um período especificado.

Como o CloudTrail fornece arquivos de log para um bucket do Amazon Simple Storage Service (Amazon S3), ele deve ter permissões para gravação no bucket. Se uma trilha se aplicar a todas as Regiões da AWS (o padrão ao criar uma nova trilha), ela aparecerá várias vezes no relatório do Trusted Advisor.

c25hn9x03v

Para criar uma trilha e iniciar o log via console, abra o console do AWS CloudTrail.

Para iniciar o log, consulte Stopping and Starting Logging for a Trail (Parar e iniciar o log para uma trilha).

Se você receber erros de entrega de log, verifique se o bucket existe e se a política necessária está vinculada ao bucket. Consulte Amazon S3 Bucket Policy (Política de buckets do Amazon S3).

Verificações para funções do Lambda cuja versão $LATEST está configurada para usar um runtime que está prestes a se tornar obsoleto ou que já está obsoleto. Runtimes suspensos não estão qualificados para atualizações de segurança ou suporte técnico

As versões publicadas da função do Lambda são imutáveis, o que significa que elas podem ser invocadas, mas não atualizadas. Somente a versão $LATEST de uma função do Lambda pode ser atualizada. Para obter mais informações, consulte Lambda function versions (Versões da função do Lambda).

L4dfs2Q4C5

Caso tenha funções que estão sendo executadas em um runtime que está prestes a ser descontinuado, prepare-se para realizar a migração para um tempo de execução compatível. Para obter mais informações, consulte Runtime support policy (Política de suporte ao tempo de execução).

Recomendamos excluir as versões anteriores da função que não estão mais sendo usadas.

Lambda runtimes (Tempos de execução do Lambda

Verifica problemas de alto risco (HRIs – high risk issues) de suas workloads no pilar Segurança. Essa verificação é baseada nas suas análises AWS-Well Architected. Os resultados da verificação dependem de você ter concluído ou não a avaliação da workload com o AWS Well-Architected.

Wxdfp4B1L3

O AWS Well-Architected detectou problemas de alto risco durante a avaliação da workload. Esses problemas apresentam oportunidades para reduzir riscos e economizar dinheiro. Faça login na ferramenta AWS Well-Architected para revisar suas respostas e adotar medidas para resolver seus problemas ativos.

Verifica certificados SSL para nomes de domínio alternativos do CloudFront no armazenamento de certificados do IAM. Essa verificação alerta se um certificado expirou, expirará em breve, usa criptografia desatualizada ou não está configurado corretamente para a distribuição.

Quando um certificado personalizado para um nome de domínio alternativo expira, os navegadores que exibem seu conteúdo do CloudFront podem exibir uma mensagem de aviso sobre a segurança do seu site. Certificados criptografados usando o algoritmo de hash SHA-1 estão sendo preteridos pela maioria dos navegadores da Web, como o Chrome e o Firefox.

Os certificados devem conter um nome de domínio que corresponda ao Nome de Domínio de Origem ou ao nome de domínio no cabeçalho de host de uma solicitação de visualizador. Se ele não corresponder, o CloudFront retornará um código de status HTTP 502 (gateway inválido) para o usuário. Para obter mais informações, consulte Usar nomes de domínio alternativos e HTTPS.

N425c450f2

Recomendamos usar o AWS Certificate Manager para provisionar, gerenciar e implantar os certificados de servidor. Com o ACM, você pode solicitar um novo certificado ou implantar um ACM existente ou um certificado externo nos recursos da AWS. Os certificados fornecidos pela ACM são gratuitos e podem ser renovados automaticamente. Para obter mais informações sobre o ACM, consulte o Guia do usuário do AWS Certificate Manager. Para verificar as Regiões da AWS para as quais o ACM oferece suporte, consulte Endpoints do AWS Certificate Manager e cotas na Referência geral da AWS.

Renove certificados expirados ou que estão prestes a expirar. Para obter mais informações sobre a renovação de um certificado, consulte Gerenciar certificados de servidor no IAM.

Substitua um certificado que foi criptografado com o algoritmo de hash SHA-1 por um certificado criptografado com o algoritmo de hash SHA-256.

Substitua o certificado por um certificado que contenha os valores aplicáveis nos campos Common name (Nome comum) ou Subject Alternative Domain Names (Nomes de domínio alternativos da entidade).

Using an HTTPS Connection to Access Your Objects (Usar uma conexão HTTPS para acessar seus objetos

Importar certificados

AWS Certificate Manager Guia do usuário do

Verifica o servidor de origem em busca de certificados SSL expirados, prestes a expirar, ausentes ou que usem criptografia desatualizada. Se um certificado tiver um desses problemas, o CloudFront responderá às solicitações de conteúdo com o código de status HTTP 502, Gateway inválido.

Certificados criptografados com o algoritmo de hash SHA-1 estão sendo recusados por navegadores da Web como Chrome e Firefox. Dependendo do número de certificados SSL que você associou às suas distribuições do CloudFront, essa verificação pode adicionar alguns centavos por mês à sua fatura com seu provedor de hospedagem na Web, por exemplo, AWS, se você estiver usando o Amazon EC2 ou o Elastic Load Balancing como origem para sua distribuição do CloudFront. Essa verificação não valida sua cadeia de certificados de origem ou autoridades de certificação. Você pode verificar isso na configuração do CloudFront.

N430c450f2

Renove o certificado na origem se ele tiver expirado ou estiver prestes a expirar.

Adicione um certificado se não houver um.

Substitua um certificado que foi criptografado com o algoritmo de hash SHA-1 por um certificado criptografado com o algoritmo de hash SHA-256.

Using Alternate Domain Names and HTTPS (Usar nomes de domínio alternativos e HTTPS

Verifica se há balanceadores de carga clássicos com receptores que não utilizam as configurações de segurança recomendadas para comunicação criptografada. A AWS recomenda usar um protocolo seguro (HTTPS ou SSL), políticas de segurança atualizadas e cifras e protocolos seguros. Quando você usa um protocolo seguro para uma conexão front-end (cliente para balanceador de carga), as solicitações são criptografadas entre seus clientes e o balanceador de carga. Isso cria um ambiente mais seguro. O Elastic Load Balancing fornece políticas de segurança predefinidas com cifras e protocolos que aderem às práticas recomendadas de segurança da AWS. Novas versões de políticas predefinidas são lançadas à medida que novas configurações se tornam disponíveis.

a2sEc6ILx

Se o tráfego para o balanceador de carga precisar ser seguro, use o protocolo HTTPS ou SSL para a conexão front-end.

Atualize seu balanceador de carga para a versão mais recente da política de segurança SSL predefinida.

Use somente as cifras e os protocolos recomendados.

Para obter mais informações, consulte Listener Configurations for Elastic Load Balancing. (Configurações do ouvinte para Elastic Load Balancing).

Verifica se há balanceadores de carga configurados com um grupo de segurança que permite o acesso a portas que não estão configuradas para o balanceador de carga.

Se um grupo de segurança permitir o acesso a portas que não estão configuradas para o balanceador de carga, aumentará o risco de perda de dados ou ataques mal-intencionados.

xSqX82fQu

Configure as regras do grupo de segurança para restringir o acesso somente às portas e aos protocolos definidos na configuração do ouvinte do balanceador de carga, além do protocolo ICMP para oferecer suporte à descoberta de MTU de caminho. Consulte Listeners for Your Classic Load Balancer (Ouvintes para seu Classic Load Balancer) e Security Groups for Load Balancers in a VPC (Grupos de segurança para balanceadores de carga em uma VPC).

Se um grupo de segurança estiver faltando, aplique um novo grupo de segurança ao balanceador de carga. Crie regras de grupo de segurança que restrinjam o acesso somente às portas e aos protocolos definidos na configuração do ouvinte do balanceador de carga. Consulte Security Groups for Load Balancers in a VPC (Grupos de segurança para balanceadores de carga em uma VPC).

Verifica os repositórios de código populares em busca de chaves de acesso expostas ao público e o uso irregular do Amazon Elastic Compute Cloud (Amazon EC2) que pode ser o resultado de uma chave de acesso comprometida.

Uma chave de acesso consiste em um ID da chave de acesso e uma chave de acesso secreta. As chaves de acesso expostas representam um risco de segurança para sua conta e para outros usuários, podem levar a cobranças excessivas de atividades ou abuso não autorizados e violar os Contrato do cliente da AWS.

Se a chave de acesso estiver exposta, tome medidas imediatas para proteger a sua conta. Para proteger sua conta contra cobranças excessivas, a AWS limita temporariamente a sua capacidade de criar alguns recursos da AWS. Isso não torna sua conta segura. Ela limita apenas parcialmente o uso não autorizado pelo qual é possível ser cobrado.

Se for exibido um prazo para uma chave de acesso, a AWS poderá suspender sua Conta da AWS se o uso não autorizado não for interrompido até essa data. Se você acredita que esse alerta é um erro, entre em contato com o AWS Support.

As informações exibidas no Trusted Advisor podem não refletir o estado mais recente da sua conta. Nenhuma chave de acesso exposta será marcada como resolvida até que todas as chaves de acesso expostas na conta tenham sido resolvidas. Esta sincronização de dados poderá demorar até uma semana.

12Fnkpl8Y5

Exclua a chave de acesso afetada o mais rápido possível. Se a chave estiver associada a um usuário do IAM, consulte Managing Access Keys for IAM Users(Gerenciar chaves de acesso para usuários do IAM).

Verifique se há uso não autorizado em sua conta. Faça login no Console de gerenciamento da AWS e verifique se há recursos suspeitos em cada console de serviço. Preste atenção especial à execução de instâncias do Amazon EC2, solicitações de instância spot, chaves de acesso e usuários do IAM. Você também pode verificar o uso geral no Billing and Cost Management console (Console do Billing and Cost Management).

Verifica se há chaves de acesso ativas do IAM que não foram alternadas nos últimos 90 dias.

Ao alternar as chaves de acesso regularmente, você reduz a chance de que uma chave comprometida possa ser usada sem seu conhecimento para acessar recursos. Para efeitos desta verificação, a data e hora da última alternância é quando a chave de acesso foi criada ou habilitada mais recentemente. O número da chave de acesso e a data vêm das informações do access_key_1_last_rotated e access_key_2_last_rotated no relatório de credenciais do IAM mais recente.

Como a frequência de regeneração de um relatório de credenciais é restrita, atualizar essa verificação pode não refletir alterações recentes. Para obter mais informações, consulte Obter relatórios de credenciais da sua conta da Conta da AWS.

Para criar e girar chaves de acesso, um usuário deve ter as permissões apropriadas. Para obter mais informações, consulte Allow Users to Manage Their Own Passwords, Access Keys, and SSH Keys (Permitir que os usuários gerenciem suas próprias senhas, chaves de acesso e chaves SSH).

DqdJqYeRm5

Gire as chaves de acesso regularmente. Consulte Rotating Access Keys (Girar chaves de acesso) e Managing Access Keys for IAM Users (Girar chaves de acesso para usuários do IAM).

Verifica se o acesso externo do IAM Access Analyzer no nível da conta está presente.

Os analisadores de acessos externos do IAM Access Analyzer ajudam a identificar recursos nas suas as contas que são compartilhados com uma entidade externa. Em seguida, o analisador cria um painel centralizado com as descobertas. Depois que o novo analisador for ativado no console do IAM, as equipes de segurança poderão priorizar quais contas devem ser analisadas com base em permissões excessivas. Um analisador de acesso externo cria descobertas de acesso público e entre contas para recursos e é fornecido sem custos adicionais.

07602fcad6

A criação de um analisador de acesso externo por conta ajuda as equipes de segurança a priorizar quais contas analisar com base em permissões excessivas. Para obter mais informações, consulte Primeiros passos com descobertas do AWS Identity and Access Management Access Analyzer.

Além disso, uma prática recomendada é utilizar o analisador de acesso não utilizado, um recurso pago que simplifica a inspeção do acesso não utilizado para orientar você até o privilégio mínimo. Para obter mais informações, consulte Identificar o acesso não utilizado concedido a usuários e perfis do IAM.

Verifica a política de senhas da sua conta e avisa quando uma política de senhas não está habilitada ou se os requisitos de conteúdo de senha não foram habilitados.

Os requisitos de conteúdo de senha aumentam a segurança geral da AWSimpondo a criação de senhas de usuário fortes. Quando você cria ou altera uma política de senhas, a alteração é aplicada imediatamente para novos usuários, mas não exige que os usuários existentes alterem as suas senhas.

Yw2K9puPzl

Se alguns requisitos de conteúdo não estiverem habilitados, considere habilitá-los. Se nenhuma política de senha estiver habilitada, crie e configure uma. Consulte Setting an Account Password Policy for IAM Users (Definir uma política de senhas de contas para usuários do IAM).

Usuários do IAM precisam de senhas para acessar o Console de gerenciamento da AWS. Como prática recomendada, o AWS recomenda enfaticamente que, em vez de criar usuários do IAM, você use a federação. A federação permite que os usuários usem suas credenciais corporativas existentes para fazer login no Console de gerenciamento da AWS. Use o Centro de Identidade do IAM para criar ou federar o usuário e, em seguida, assumir um perfil do IAM em uma conta.

Para saber mais sobre provedores de identidade e federação, consulte Provedores de identidade e federação no Guia do usuário do IAM. Para obter mais informações sobre o Centro de Identidade do IAM, consulte o Guia do usuário do Centro de Identidade do IAM.

Gerenciamento de senhas

Verifica se o Conta da AWS está configurado para acesso por meio de um provedor de identidades (IdP) com suporte para SAML 2.0. Certifique-se de seguir as práticas recomendadas ao centralizar identidades e configurar usuários em um provedor de identidade externo ou no AWS IAM Identity Center.

c2vlfg0p86

Ative o Centro de Identidade do IAM para a Conta da AWS. Para obter mais informações, consulte Habilitar o Centro de Identidade do IAM. Depois de ativar o Centro de Identidade do IAM, você pode realizar tarefas comuns, como criar um conjunto de permissões e atribuir acesso aos grupos do Centro de Identidade. Para obter mais informações, consulte Tarefas comuns.

Uma prática recomendada é gerenciar usuários humanos no Centro de Identidade do IAM. Porém, você pode ativar o acesso de usuários federados com o IAM para usuários humanos em curto prazo para implantações de pequena escala. Para obter mais informações, consulte Federação SAML 2.0.

O que é o Centro de identidade do IAM?

O que é o IAM?

Verifica as credenciais do usuário raiz de uma conta e avisa se a autenticação multifator (MFA) não estiver habilitada.

Para maior segurança, recomendamos que você proteja sua conta usando a MFA, o que exige que um usuário insira um código de autenticação exclusivo do hardware de MFA ou dispositivo virtual ao interagir com o Console de gerenciamento da AWSe com os sites associados.

7DAFEmoDos

Se for uma conta de membro no AWS Organizations: faça login na sua conta gerencial, habilite o recurso de gerenciamento de acesso raiz no IAM e remova suas credenciais de usuário raiz dessa conta de membro. Consulte Centralizar o acesso raiz para contas de membro.

Se for uma conta autônoma ou uma conta gerencial no AWS Organizations: faça login sua conta raiz e ative um dispositivo MFA. Para obter mais informações, consulte Verificar o status da MFA e Autenticação multifatori no IAM

Verifica se a chave de acesso do usuário raiz está presente. É altamente recomendável não criar pares de chaves de acesso para o usuário-raiz. Como apenas algumas tarefas requerem o usuário-raiz, e você normalmente executa essas tarefas com pouca frequência, é uma prática recomendada fazer login no Console de gerenciamento da AWS para executar as tarefas do usuário-raiz. Antes de criar chaves de acesso, avalie as alternativas às chaves de acesso de longo prazo.

c2vlfg0f4h

Exclua a(s) chave(s) de acesso do usuário-raiz. Consulte Excluir chaves de acesso do usuário raiz. Essa tarefa deve ser executada pelo usuário-raiz. Não é possível executar essas etapas como usuário ou perfil do IAM.

Verifica grupos de segurança para regras que permitam acesso irrestrito (0.0.0.0/0) a portas específicas.

O acesso irrestrito aumenta as oportunidades de atividades mal-intencionadas (hacking, ataques de negação de serviço, perda de dados). As portas com maior risco são sinalizadas em vermelho, e aquelas com menos risco são sinalizadas em amarelo. As portas sinalizadas em verde são normalmente usadas por aplicações que exigem acesso irrestrito, como HTTP e SMTP.

Se você configurou intencionalmente seus grupos de segurança dessa maneira, recomendamos o uso de medidas de segurança adicionais para proteger a infraestrutura (como tabelas IP).

HCP4007jGY

Restrinja o acesso somente aos endereços IP necessários. Para restringir o acesso a um endereço IP específico, defina o sufixo como /32 (por exemplo, 192.0.2.10/32). Certifique-se de excluir regras excessivamente permissivas após criar regras mais restritivas.

Analise e exclua os grupos de segurança não utilizados. É possível usar o AWS Firewall Manager para configurar e gerenciar centralmente grupos de segurança em grande escala entre Contas da AWS. Para obter mais informações, consulte a documentação do AWS Firewall Manager.

Considere usar o Systems Manager Sessions Manager para acesso via SSH (porta 22) e RDP (porta 3389) a instâncias do EC2. Com o Sessions Manager, é possível acessar suas instâncias do EC2 sem habilitar as portas 22 e 3389 no grupo de segurança.

Verifica os grupos de segurança em busca de regras que permitem acesso irrestrito a um recurso.

O acesso irrestrito aumenta as oportunidades de atividades mal-intencionadas (hacking, ataques de negação de serviço, perda de dados).

1iG5NDGVre

Restrinja o acesso somente aos endereços IP necessários. Para restringir o acesso a um endereço IP específico, defina o sufixo como /32 (por exemplo, 192.0.2.10/32). Certifique-se de excluir regras excessivamente permissivas após criar regras mais restritivas.

Analise e exclua os grupos de segurança não utilizados. É possível usar o AWS Firewall Manager para configurar e gerenciar centralmente grupos de segurança em grande escala entre Contas da AWS. Para obter mais informações, consulte a documentação do AWS Firewall Manager.

Considere usar o Systems Manager Sessions Manager para acesso via SSH (porta 22) e RDP (porta 3389) a instâncias do EC2. Com o Sessions Manager, é possível acessar suas instâncias do EC2 sem habilitar as portas 22 e 3389 no grupo de segurança.