As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança no AWS Control Tower
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve a segurança da nuvem e a segurança na nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. A eficácia da nossa segurança é regularmente testada e verificada por auditores de terceiros como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam ao AWS Control Tower, consulte [Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelos AWS serviços que você usa. Você também é responsável por outros fatores, inclusive a confidencialidade dos dados, os requisitos da organização, as leis e as regulamentações vigentes.
Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar o AWS Control Tower. Os tópicos a seguir mostram como configurar o AWS Control Tower para atender aos seus objetivos de segurança e conformidade. Você também aprende a usar outros AWS serviços que ajudam a monitorar e proteger seus recursos do AWS Control Tower.
# Proteção de dados no AWS Control Tower
O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados no AWS Control Tower. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o AWS Control Tower ou outro Serviços da AWS usando o console AWS CLI, a API ou AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
**nota**
O registro de atividades do usuário com AWS CloudTrail é processado automaticamente no AWS Control Tower quando você configura sua landing zone.
Consulte mais informações sobre proteção de dados na publicação do blog [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr) no *Blog de segurança da AWS *. O AWS Control Tower oferece as seguintes opções que você pode usar para ajudar a proteger o conteúdo que existe na zona de pouso:
**Topics**
+ [Criptografia em repouso](#data-protection-encryption-rest)
+ [Criptografia em trânsito](#data-protection-encryption-in-transit)
+ [Restringir o acesso ao conteúdo](#data-protection-restrict-access)
## Criptografia em repouso
O AWS Control Tower usa buckets do S3 e bancos de dados do Amazon DynamoDB que são criptografados em repouso usando chaves gerenciadas pelo Amazon S3 (SSE-S3) para oferecer suporte à zona de pouso. Essa criptografia é configurada por padrão quando você configura a zona de pouso. Opcionalmente, você pode configurar a zona de pouso para criptografar recursos com chaves de criptografia do KMS. Também é possível estabelecer a criptografia em repouso para os serviços que você usa na zona de pouso compatíveis com ela. Consulte mais informações no capítulo sobre segurança da documentação online do serviço.
## Criptografia em trânsito
O AWS Control Tower usa o Transport Layer Security (TLS) e a criptografia do lado do cliente para a criptografia em trânsito em suporte à zona de pouso. Além disso, o acesso ao AWS Control Tower requer o uso do console, que só pode ser acessado por meio de um endpoint HTTPS. Essa criptografia é configurada por padrão quando você configura a zona de pouso.
## Restringir o acesso ao conteúdo
Como uma melhor prática, você deve restringir o acesso ao subconjunto de usuários apropriado. Com o AWS Control Tower, você pode fazer isso garantindo que os administradores da nuvem central os e usuários finais tenham as permissões do IAM corretas ou, no caso de usuários do Centro de Identidade do IAM, que eles estejam nos grupos corretos.
+ Para obter mais informações sobre as políticas e perfis para entidades do IAM, consulte o *[Guia do usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*.
+ Consulte mais informações sobre os grupos do Centro de Identidade do IAM que são criados quando você configura a zona de pouso em [Grupos do Centro de Identidade do IAM para o AWS Control Tower](sso-groups.md).
# Validação de conformidade do AWS Control Tower
O AWS Control Tower é um serviço bem arquitetado que pode ajudar a sua organização a atender às necessidades de conformidade com proteções e práticas recomendadas. Além disso, auditores independentes avaliam a segurança e a conformidade de uma série de serviços que você pode usar na zona de pouso como parte de vários programas de conformidade da AWS . Isso inclui SOC, PCI, FedRAMP, HIPAA e outros.
Para obter uma lista de AWS serviços no escopo de programas de conformidade específicos, consulte [AWS Serviços no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/). Para obter informações gerais, consulte [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/).
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios no AWS Artifact no Guia](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) do *AWS Artifact usuário*.
Sua responsabilidade de conformidade ao usar o AWS Control Tower é determinada pela confidencialidade dos seus dados, pelos objetivos de conformidade da sua empresa e pelas leis e regulamentações aplicáveis. AWS fornece os seguintes recursos para ajudar na conformidade:
+ [Guias de início rápido sobre segurança e conformidade](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) — Esses guias de implantação discutem considerações arquitetônicas e fornecem etapas para a implantação de ambientes básicos focados em segurança e conformidade em. AWS
+ [Arquitetura para segurança e conformidade com a HIPAA na Amazon Web Services](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) — Este whitepaper descreve como as empresas podem usar AWS para criar aplicativos compatíveis com a HIPAA.
+ [AWS Recursos de conformidade](https://aws.amazon.com/compliance/resources/) — Essa coleção de pastas de trabalho e guias pode ser aplicada ao seu setor e local.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Esse AWS serviço avalia se suas configurações de recursos estão em conformidade com as práticas internas, as diretrizes e os regulamentos do setor.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Esse AWS serviço fornece uma visão abrangente do seu estado de segurança interno, AWS que ajuda você a verificar sua conformidade com os padrões e as melhores práticas do setor de segurança.
# Resiliência no AWS Control Tower
A infraestrutura AWS global é construída em torno de AWS regiões e zonas de disponibilidade.
AWS As regiões fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, que são conectadas por meio de redes de baixa latência, alto rendimento e altamente redundantes. As zonas de disponibilidade permitem projetar e operar aplicativos e bancos de dados que executam o failover automaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte[Como AWS as regiões funcionam com o AWS Control Tower](region-how.md).
Sua *região de origem* é definida como a AWS região na qual seu landing zone foi configurado.
Para obter mais informações sobre AWS regiões e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Segurança de infraestrutura no AWS Control Tower
O AWS Control Tower é protegido pelos procedimentos AWS globais de segurança de rede descritos no whitepaper [Amazon Web Services: Visão geral dos processos de segurança](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Você usa chamadas de API AWS publicadas para acessar AWS serviços e recursos em sua landing zone por meio da rede. Exigimos o Transport Layer Security (TLS) 1.2 e recomendamos o Transport Layer Security (TLS) 1.3 ou posterior. Os clientes também devem ter compatibilidade com conjuntos de criptografia com perfect forward secrecy (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos como Java 7 e versões posteriores oferece compatibilidade com esses modos.
Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
É possível configurar grupos de segurança para fornecer segurança adicional de infraestrutura de rede para suas workloads da zona de pouso do AWS Control Tower. Para obter mais informações, consulte [Passo a passo: configure grupos de segurança no AWS Control Tower com AWS Firewall Manager](firewall-setup-walkthrough.md).