As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Perguntas frequentes sobre segurança
O AMS fornece suporte 24/7/365 follow-the-sun por meio de centros operacionais globais. Engenheiros de operações dedicados do AMS monitoram ativamente painéis e filas de incidentes. Normalmente, o AMS gerencia suas contas por meio da automação. Em raras circunstâncias que exigem experiência específica em solução de problemas ou implantação, um engenheiro de operações do AMS pode acessar suas AWS contas.
A seguir estão perguntas comuns sobre as melhores práticas de segurança, controles, modelos de acesso e mecanismos de auditoria que o AMS Accelerate usa quando um engenheiro de operações ou automação do AMS acessa suas contas.
Quando os engenheiros de operações do AMS acessam meus ambientes?
Os engenheiros de operações do AMS não têm acesso permanente às suas contas ou instâncias. O acesso às contas dos clientes é concedido aos operadores do AMS somente para casos de uso comercial justificáveis, como alertas, incidentes, solicitações de alteração e assim por diante. O acesso é documentado em AWS CloudTrail registros.
Para justificativa de acesso, gatilhos e iniciadores de gatilhos, consulte. Acionadores de acesso à conta do cliente do AMS
Quais funções os engenheiros de operações do AMS assumem quando acessam minhas contas?
Nos raros casos (~ 5%) que exigem intervenção humana em seu ambiente, os engenheiros de operações do AMS fazem login em sua conta com uma função de acesso padrão somente para leitura. A função padrão não tem acesso a nenhum conteúdo normalmente armazenado em armazenamentos de dados, como Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift e Amazon. ElastiCache
Para obter uma lista das funções que os engenheiros de operações e sistemas do AMS exigem para fornecer serviços em sua conta, consulteFunções do IAM para acesso à conta do cliente do AMS.
Como um engenheiro de operações do AMS acessa minha conta?
Para acessar as contas dos clientes, os engenheiros de operações do AMS usam um serviço AWS interno de acesso ao AMS. Esse serviço interno está disponível somente por meio de um canal seguro e privado para que o acesso às suas contas seja seguro e auditado.
Os engenheiros de operações do AMS usam a autenticação interna do serviço de acesso AMS junto com uma autenticação de dois fatores. Além disso, o engenheiro de operações deve fornecer uma justificativa comercial (tíquete do incidente ou ID da solicitação de serviço) que descreva a necessidade de acessar sua AWS conta.
Com base na autorização do engenheiro de operação, o serviço de acesso do AMS fornece ao engenheiro a função apropriada (leituraonly/Operator/Admin) e a URL de login em seu AWS console. O acesso à sua conta é de curta duração e tem limite de tempo.
Para acessar as EC2 instâncias da Amazon, os engenheiros de operações do AMS usam o mesmo serviço de acesso interno do AMS que o agente. Depois que o acesso é concedido, os engenheiros de operações do AMS usam AWS Systems Manager Session Manager para acessar suas instâncias com credenciais de sessão de curta duração.
Para fornecer acesso RDP às instâncias do Windows, o engenheiro de operações usa o Amazon EC2 Systems Manager para criar um usuário local na instância e estabelecer o encaminhamento de portas para a instância. O engenheiro de operações usa credenciais de usuário local para acesso RDP à instância. As credenciais do usuário local são removidas no final da sessão.
O diagrama a seguir descreve o processo usado pelos engenheiros de operações do AMS para acessar sua conta:
Como faço para rastrear as alterações feitas pelo AMS em minhas AWS contas gerenciadas pelo AMS?
Acesso à conta
Para ajudá-lo a monitorar as alterações feitas pela automação ou pela equipe de operações do AMS Accelerate, o AMS fornece a interface SQL do registro de alterações no console do Amazon Athena e os registros do AMS Accelerate. Esses recursos fornecem as seguintes informações:
Quem acessou sua conta.
Quando a conta foi acessada.
Quais privilégios foram usados para acessar sua conta.
Quais alterações foram feitas pelo AMS Accelerate em sua conta.
Por que as alterações foram feitas em sua conta.
Configuração de recursos
Visualize CloudTrail registros para monitorar as configurações em seus AWS recursos nos últimos 90 dias. Se sua configuração for anterior a 90 dias, acesse os logs no Amazon S3.
Registros de instâncias
O Amazon CloudWatch Agent coleta registros do sistema operacional. Visualize os CloudWatch registros para ver os registros de login e outros registros de ações que seu sistema operacional suporta.
Para obter mais informações, consulte Rastreando alterações em suas contas do AMS Accelerate.
Quais são os controles de processo para o acesso do engenheiro de operações do AMS à minha conta?
Antes de ingressar na AMS, os engenheiros de operações passam por uma verificação de antecedentes criminais. Como os engenheiros da AMS gerenciam a infraestrutura do cliente, eles também têm uma verificação anual obrigatória de antecedentes. Se um engenheiro falhar na verificação de antecedentes, o acesso será revogado.
Todos os engenheiros de operações da AMS devem concluir o treinamento obrigatório de segurança, como segurança da infraestrutura, segurança de dados e resposta a incidentes, antes de receberem acesso aos recursos.
Como o acesso privilegiado é gerenciado?
Um subconjunto de usuários deve concluir um treinamento adicional e manter direitos de acesso privilegiado para acesso elevado. O acesso e o uso são inspecionados e auditados. O AMS limita o acesso privilegiado a circunstâncias excepcionais ou quando o acesso com privilégios mínimos não pode atender à sua solicitação. O acesso privilegiado também é limitado por tempo.
Os engenheiros de operações da AMS usam o MFA?
Sim. Todos os usuários devem usar o MFA e o Proof of Presence para fornecer serviços a você.
O que acontece com o acesso deles quando um funcionário da AMS deixa a organização ou muda de cargo?
O acesso às contas e aos recursos dos clientes é provisionado por meio da associação interna ao grupo. A associação é baseada em critérios rígidos, incluindo a função específica, o gerente de relatórios e a situação profissional no AMS. Se a família profissional de um engenheiro de operações mudar ou sua ID de usuário for desativada, o acesso será revogado.
Quais controles de acesso regem o acesso do engenheiro operacional do AMS às minhas contas?
Há várias camadas de controles técnicos para aplicar os princípios de “necessidade de saber” e “privilégio mínimo” para acessar seu ambiente. A seguir está uma lista dos controles de acesso:
Todos os engenheiros de operações devem fazer parte de um AWS grupo interno específico para acessar as contas e os recursos dos clientes. A associação ao grupo é estritamente baseada na necessidade de conhecimento e automatizada com critérios predefinidos.
O AMS pratica o acesso “não persistente” ao seu ambiente. Isso significa que o acesso às suas AWS contas pelas operações do AMS é "just-in-time" com credenciais de curta duração. O acesso às suas contas é fornecido somente depois que uma justificativa interna de caso de negócios (solicitação de serviço, incidente, solicitação de gerenciamento de mudanças etc.) é enviada e analisada.
O AMS segue o princípio do menor privilégio. Portanto, os engenheiros de operações autorizados presumem o acesso somente leitura por padrão. O acesso de gravação só é usado por engenheiros quando mudanças em seu ambiente são necessárias devido a um incidente ou a uma solicitação de alteração.
O AMS usa AWS Identity and Access Management funções padrão e facilmente identificáveis que usam o prefixo “ams” para monitorar e gerenciar suas contas. Todo o acesso está logado AWS CloudTrail para você auditar.
O AMS usa ferramentas de back-end automatizadas para detectar alterações não autorizadas em sua conta durante a fase de validação das informações do cliente nas execuções de alterações.
Como o AMS monitora o acesso do usuário root?
O acesso root sempre aciona o processo de resposta a incidentes. O AMS usa a GuardDuty detecção da Amazon para monitorar a atividade do usuário raiz. Se GuardDuty gerar um alerta, o AMS cria um evento para investigação adicional. O AMS notifica você se uma atividade inesperada da conta raiz for detectada, e a equipe de segurança do AMS inicia uma investigação.
Como o AMS responde aos incidentes de segurança?
O AMS investiga eventos de segurança gerados por serviços de detecção, como Amazon GuardDuty, Amazon Macie, e por problemas de segurança relatados por clientes. O AMS colabora com sua equipe de resposta de segurança para executar o processo de Resposta a Incidentes de Segurança (SIR). O processo AMS SIR é baseado na estrutura do Guia de Tratamento de Incidentes de Segurança de Computadores do NIST SP 800-61 Rev. 2 e fornece uma resposta de segurança 24 horas por dia,
A quais certificações e estruturas padrão do setor a AMS adere?
Como outros AWS serviços, o AWS Managed Services é certificado para OSPAR, HIPAA, HITRUST, GDPR, SOC*, ISO*, FedRAMP (médio/alto), IRAP e PCI. Para obter mais informações sobre as certificações, regulamentações e estruturas de conformidade do cliente que AWS se alinham, consulte Conformidade da AWS.
Guardrails de segurança
O AWS Managed Services usa vários controles para proteger seus ativos de informação e ajudar você a manter sua AWS infraestrutura segura. O AMS Accelerate mantém uma biblioteca de AWS Config regras e ações de remediação para ajudar você a garantir que suas contas estejam em conformidade com os padrões do setor de segurança e integridade operacional. AWS Config as regras rastreiam continuamente as alterações de configuração em seus recursos registrados. Se uma alteração violar as condições de uma regra, o AMS reporta suas descobertas para você. Você pode corrigir violações automaticamente ou mediante solicitação, de acordo com a gravidade da violação.
O AMS usa AWS Config regras para ajudar a atender aos requisitos dos seguintes padrões:
Centro de Segurança na Internet (CIS)
Estrutura de segurança em nuvem (CSF) do Instituto Nacional de Padrões e Tecnologia (NIST)
Health Insurance Portability and Accountability Act (HIPAA)
Padrão de segurança de dados (DSS) do setor de cartões de pagamento (PCI)
Para obter mais informações, consulte Gerenciamento de segurança no AMS Accelerate.
Como posso ter acesso aos relatórios mais recentes sobre certificação de segurança, estruturas e conformidade em AWS?
Você pode encontrar relatórios atuais de segurança e conformidade para AWS serviços usando os seguintes métodos:
Você pode usar AWS Artifact
para baixar o relatório mais recente sobre segurança, disponibilidade e confidencialidade de um AWS serviço. Para obter uma lista da maioria dos AWS serviços, incluindo o AWS Managed Services, que estão em conformidade com as estruturas globais de conformidade, consulte. https://aws.amazon.com/compliance/services-in-scope/
Por exemplo, selecione PCI e pesquise por AWS Managed Services. Você pode pesquisar por “AMS” para encontrar artefatos de segurança específicos do AMS em uma AWS conta gerenciada do AMS. O AWS Managed Services está no escopo do SOC 3
. O relatório AWS SOC 2 (System and Organizations Controls) é publicado no AWS Artifact repositório. Este relatório avalia os AWS controles que atendem aos critérios de segurança, disponibilidade e confidencialidade da seção 100 do TSP, Critérios de Serviços de Confiança do Instituto Americano de Contadores Públicos Certificados (AICPA).
O AMS compartilha diagramas de arquitetura de referência de diferentes aspectos dos recursos do AMS?
Para ver a arquitetura de referência do AMS, baixe o PDF do AWS Managed Services for Proactive Monitoring.
Como o AMS rastreia quem acessa minhas contas e qual é a necessidade de acesso da empresa?
Para apoiar a continuidade do serviço e a segurança de suas contas, o AMS acessa sua conta ou instâncias somente em resposta a atividades proativas de saúde ou manutenção, eventos de saúde ou segurança, atividades planejadas ou solicitações de clientes. O acesso às suas contas é autorizado por meio de processos do AMS, conforme descrito no modelo de acesso do AMS Accelerate. Esses fluxos de autorização contêm barreiras para evitar acesso inadvertido ou inapropriado. Como parte do fluxo de acesso, a AMS fornece ao sistema de autorização uma necessidade comercial. Essa necessidade comercial pode ser um item de trabalho associado à sua conta, como um caso que você abriu com o AMS. Ou a necessidade comercial pode ser um fluxo de trabalho autorizado, como a solução Patching. Todo acesso exige uma justificativa que seja validada, verificada e autorizada em tempo real pelos sistemas internos da AMS com base nas regras de negócios para alinhar as solicitações de acesso a uma necessidade comercial.
Os engenheiros de operações do AMS não têm um caminho para acessar suas contas sem necessidades comerciais válidas. Todo o acesso à conta e a necessidade comercial associada são emitidos para AWS CloudTrail entradas dentro de suas AWS contas. Isso proporciona total transparência e a oportunidade de você realizar sua própria auditoria e inspeção. Além de sua inspeção, a AMS tem inspeções automatizadas e realiza inspeções manuais, conforme necessário, das solicitações de acesso e realiza auditorias de ferramentas e acesso humano para revisar o acesso anômalo.
Os engenheiros do AMS têm acesso aos meus dados armazenados em serviços de armazenamento de AWS dados, como Amazon S3, Amazon RDS, DynamoDB e Amazon Redshift?
Os engenheiros do AMS não têm acesso ao conteúdo do cliente armazenado em AWS serviços que são comumente usados para armazenamento de dados. O acesso aos dados AWS APIs usados para ler, gravar, modificar ou excluir dados nesses serviços é restrito por uma política explícita de negação do IAM associada às funções do IAM usadas para acesso de engenheiros do AMS. Além disso, as proteções e automações internas do AMS impedem que os engenheiros de operações do AMS removam ou modifiquem as condições de negação.
Os engenheiros do AMS têm acesso aos dados do cliente armazenados no Amazon EBS, no Amazon EFS e na Amazon FSx?
Os engenheiros do AMS podem fazer login nas EC2 instâncias da Amazon como administradores. O acesso do administrador é necessário para remediação em determinados cenários que incluem, mas não estão limitados a, problemas do sistema operacional (SO) e falhas de patch. Os engenheiros do AMS normalmente acessam o volume do sistema para corrigir problemas detectados. No entanto, o acesso dos engenheiros do AMS não é limitado ou restrito ao volume do sistema.
Como o acesso é restrito ou controlado para funções de automação que têm altos privilégios em meus ambientes?
A ams-access-admin função é usada exclusivamente pela automação do AMS. Essas automações implantam, gerenciam e mantêm os recursos necessários usados pelo AMS para implantação em seus ambientes para coleta de dados de telemetria, saúde e segurança para realizar funções operacionais. Os engenheiros do AMS não podem assumir funções de automação e são restringidos pelo mapeamento de funções em sistemas internos. Em tempo de execução, o AMS aplica dinamicamente uma política de sessão de privilégios mínimos com escopo reduzido a cada automação. Essa política de sessão limita a capacidade e as permissões da automação.
Como o AMS implementa o princípio do menor privilégio, conforme defendido no AWS Well-Architected Framework, para funções de automação?
Em tempo de execução, o AMS aplica uma política de sessão com escopo reduzido e com privilégios mínimos a cada automação. Essa política de sessão com escopo reduzido limita a capacidade e as permissões da automação. As políticas de sessão que têm permissões para criar recursos do IAM também precisam anexar um limite de permissão. Esse limite de permissão reduz o risco de escalonamento de privilégios. Cada equipe incorpora uma política de sessão que é usada somente por essa equipe.
Quais sistemas de registro e monitoramento são usados para detectar tentativas de acesso não autorizado ou atividades suspeitas envolvendo funções de automação?
AWS mantém repositórios centralizados que fornecem a principal funcionalidade de arquivamento de registros para uso interno pelas AWS equipes de serviço. Esses registros são armazenados no Amazon S3 para alta escalabilidade, durabilidade e disponibilidade. AWS As equipes de serviço podem então coletar, arquivar e visualizar registros de serviço em um serviço de registro central.
Os hosts de produção em AWS são implantados usando imagens principais de linha de base. As imagens de linha de base são equipadas com um conjunto padrão de configurações e funções que incluem registro e monitoramento para fins de segurança. Esses registros são armazenados e acessíveis pelas equipes AWS de segurança para análise da causa raiz no caso de uma suspeita de incidente de segurança.
Os registros de um determinado host estão disponíveis para a equipe proprietária desse host. As equipes podem pesquisar seus registros para análise operacional e de segurança.
Como os incidentes ou violações de segurança relacionados à infraestrutura de automação são tratados e quais protocolos ajudam na resposta e mitigação rápidas?
AWS planos de contingência e manuais de resposta a incidentes definiram e testaram ferramentas e processos para detectar, mitigar, investigar e avaliar incidentes de segurança. Esses planos e manuais incluem diretrizes para responder a possíveis violações de dados de acordo com os requisitos contratuais e regulamentares.
Avaliações regulares de segurança, verificações de vulnerabilidade e testes de penetração são conduzidos na infraestrutura de automação?
AWS A segurança realiza varreduras regulares de vulnerabilidades nos sistemas operacionais, aplicativos web e bancos de dados do host no AWS ambiente usando uma variedade de ferramentas. AWS As equipes de segurança também assinam feeds de notícias sobre falhas aplicáveis do fornecedor e monitoram proativamente os sites dos fornecedores e outros veículos relevantes em busca de novos patches.
Como o acesso à infraestrutura de automação é restrito somente ao pessoal autorizado?
O acesso aos AWS sistemas é alocado com base no menor privilégio e aprovado por uma pessoa autorizada. Os deveres e áreas de responsabilidade (por exemplo, solicitação e aprovação de acesso, solicitação e aprovação de gerenciamento de mudanças, desenvolvimento de mudanças, testes e implantação, etc.) são segregados entre diferentes indivíduos para reduzir a modificação não autorizada ou não intencional ou o uso indevido dos sistemas. AWS Contas em grupo ou compartilhadas não são permitidas dentro dos limites do sistema.
Quais medidas são implementadas para manter os padrões de segurança e evitar acesso não autorizado ou violações de dados no pipeline de automação?
O acesso aos recursos, incluindo serviços, hosts, dispositivos de rede e grupos Windows e UNIX, é aprovado no sistema AWS proprietário de gerenciamento de permissões pelo proprietário ou gerente apropriado. O registro da ferramenta de gerenciamento de permissões captura solicitações de alterações de acesso. As alterações na função Job revogam automaticamente o acesso do funcionário aos recursos. O acesso contínuo desse funcionário deve ser solicitado e aprovado.
AWS requer autenticação de dois fatores em um canal criptográfico aprovado para autenticação na AWS rede interna a partir de locais remotos. Os dispositivos de firewall restringem o acesso ao ambiente de computação, impõem os limites dos clusters de computação e restringem o acesso às redes de produção.
Os processos são implementados para proteger as informações e ferramentas de auditoria contra acesso, modificação e exclusão não autorizados. Os registros de auditoria contêm um conjunto de elementos de dados para apoiar os requisitos de análise necessários. Além disso, os registros de auditoria estão disponíveis para usuários autorizados para inspeção ou análise sob demanda e em resposta a eventos relacionados à segurança ou que afetem os negócios.
Os direitos de acesso do usuário aos AWS sistemas (por exemplo, rede, aplicativos, ferramentas etc.) são revogados dentro de 24 horas após a rescisão ou desativação. As contas de usuário inativas são desativadas e and/or removidas pelo menos a cada 90 dias.
A detecção ou o monitoramento de anomalias estão ativados para o acesso ou o registro de auditoria para detectar o aumento de privilégios ou o uso indevido do acesso para alertar proativamente a equipe do AMS?
Os hosts de produção em AWS são equipados com registro para fins de segurança. Esse serviço registra ações humanas nos hosts, incluindo logons, tentativas de login malsucedidas e desconexões. Esses registros são armazenados e acessíveis pelas equipes AWS de segurança para análise da causa raiz no caso de uma suspeita de incidente de segurança. Os registros de um determinado host também estão disponíveis para a equipe proprietária desse host. Uma ferramenta de análise de registros de front-end está disponível para as equipes de serviço pesquisarem seus registros para análise operacional e de segurança. Os processos são implementados para ajudar a proteger registros e ferramentas de auditoria contra acesso, modificação e exclusão não autorizados. A equipe AWS de segurança realiza análises de registros para identificar eventos com base nos parâmetros definidos de gerenciamento de riscos.
Quais tipos de dados de clientes são extraídos das contas gerenciadas pelo AMS e como eles são utilizados e armazenados?
O AMS não acessa nem usa seu conteúdo para nenhuma finalidade. O AMS define o conteúdo do cliente como software (incluindo imagens de máquinas), dados, texto, áudio, vídeo ou imagens para os quais um cliente ou qualquer usuário final transfere AWS para processamento, armazenamento ou hospedagem Serviços da AWS em conexão com a conta de um cliente e quaisquer resultados computacionais que um cliente ou seu usuário final obtenham do exposto acima por meio do uso de. Serviços da AWS
