As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Engenharia de plataforma

Crie um ambiente de nuvem multicontas seguro e compatível com produtos de nuvem empacotados e reutilizáveis.

Para apoiar a inovação capacitando as equipes de desenvolvimento, a plataforma precisa se adaptar em um ritmo rápido para acompanhar as demandas da empresa. (Veja a perspectiva comercial AWS da CAF.) Ele deve fazer isso sendo flexível o suficiente para se adaptar às demandas de gerenciamento de produtos, rígido o suficiente para aderir às restrições de segurança e rápido o suficiente para atender às necessidades operacionais. Esse processo requer a criação de um ambiente de nuvem compatível com várias contas, com recursos de segurança aprimorados e produtos de nuvem embalados e reutilizáveis. 

Um ambiente de nuvem eficaz permite que suas equipes provisionem facilmente novas contas, garantindo que essas contas estejam em conformidade com as políticas organizacionais. Um conjunto selecionado de produtos de nuvem permite que você codifique as melhores práticas, ajuda na governança e ajuda a aumentar a velocidade e a consistência de suas implantações na nuvem. Implemente seus planos de melhores práticas e proteções preventivas e de detetive. Integre seu ambiente de nuvem com seu cenário existente para viabilizar os casos de uso de nuvem híbrida desejados.

Automatize o fluxo de trabalho de provisionamento de contas e use várias contas para apoiar suas metas de segurança e governança. Configure a conectividade entre seus ambientes locais e na nuvem, bem como entre diferentes contas na nuvem. Implemente a federação entre seu provedor de identidade (IdP) existente e seu ambiente de nuvem para que os usuários possam se autenticar usando suas credenciais de login existentes. Centralize o registro, estabeleça auditorias de segurança entre contas, crie resolvedores de DNS de entrada e saída e obtenha visibilidade de suas contas e proteções no painel.

Avalie e certifique os serviços em nuvem para consumo em alinhamento com os padrões corporativos e o gerenciamento de configurações. Package e melhore continuamente os padrões corporativos como produtos implantáveis de autoatendimento e serviços consumíveis. Aproveite a infraestrutura como código (IaC) para definir configurações de forma declarativa. Crie equipes de capacitação para evangelizar a plataforma para desenvolvedores e usuários corporativos e permitir que eles criem integrações que acelerem a adoção em toda a organização.

A conclusão das tarefas discutidas nas seções a seguir exige que você crie recursos e equipes para desenvolver suas organizações em direção à engenharia de plataforma moderna. Para obter detalhes técnicos, consulte o AWS whitepaper Estabelecendo sua base na nuvem.

Início

Construa uma landing zone e implante grades de proteção

Ao iniciar sua jornada rumo à engenharia de plataforma madura, você deve primeiro implantar sua landing zone com proteções preventivas e detectivas, conforme definido no recurso de arquitetura da plataforma. As grades de proteção garantem que os padrões organizacionais não sejam violados à medida que os proprietários de aplicativos consomem recursos de nuvem. Com esse mecanismo, você automatiza o fluxo de trabalho de provisionamento de contas para usar várias contas que suportem suas metas de segurança e governança. 

Estabelecer autenticação

Implemente gerenciamento de identidade e controle de acesso em todos os ambientes, sistemas, cargas de trabalho e processos de acordo com os padrões ditados na perspectiva de segurança da AWS CAF. Para identidades da força de trabalho, restrinja o uso de usuários AWS Identity and Access Management (IAM) e, em vez disso, confie em um provedor de identidade que permite gerenciar identidades em um local centralizado. Isso facilita o gerenciamento do acesso em vários aplicativos e serviços, porque você está criando, gerenciando e revogando o acesso em um único local. Use os processos existentes para gerenciar a criação, atualização e remoção do acesso para incluir seus AWS ambientes.

Implante sua rede

De acordo com seus projetos de arquitetura de plataforma, crie uma conta de rede centralizada para controlar o tráfego de entrada e saída de e para seu ambiente. Recomendamos que você projete suas redes para uma conectividade rapidamente provisionada entre sua rede local e seus AWS ambientes, de e para a Internet e entre seus ambientes. AWS A centralização do gerenciamento de rede permite que você implante controles de rede para isolar redes e conectividade em todo o ambiente usando controles preventivos e reativos.

Colete, agregue e proteja dados de eventos e registros

Use a observabilidade CloudWatch entre contas da Amazon. Ele fornece uma interface unificada para pesquisar, visualizar e analisar métricas, registros e rastreamentos em suas contas vinculadas e elimina os limites da conta.

Se sua organização tiver requisitos de conformidade específicos para controle e segurança centralizados de registros, considere configurar uma conta de arquivamento de registros dedicada. Isso oferece um repositório centralizado e criptografado especificamente para dados de log. Aumente a segurança desse arquivamento alternando regularmente as chaves de criptografia.

Implemente políticas robustas para proteger dados de registro confidenciais, usando técnicas de mascaramento conforme necessário. Use a agregação de registros para registros de conformidade, segurança e auditoria e garanta o uso de proteções rígidas e construções de identidade para evitar alterações não autorizadas nas configurações de registro.

Estabeleça controles

De acordo com as definições da perspectiva da AWS CAF Security, implante recursos básicos de segurança que atendam aos requisitos de seus negócios. Implemente controles preventivos e de deteção adicionais e provisione-os de forma programática e consistente em todas as suas contas, quando necessário. Integre os controles de detetive às ferramentas operacionais, conforme definido pelo recurso de arquitetura da plataforma, para que os recursos não compatíveis possam ser revisados por mecanismos operacionais.

Implemente o gerenciamento financeiro na nuvem

De acordo com a perspectiva de governança da AWS CAF, implemente etiquetas de alocação de AWS custos e Cost Categories que alinhem a estratégia de etiquetagem da sua organização com a responsabilidade financeira pelo consumo da nuvem. AWS As categorias de custos permitem cobrar ou mostrar cobranças de nuvem aos centros de custo internos usando ferramentas como dados AWS Cost Explorerde faturamento publicados em AWS Cost and Usage Report.  

Avançar

Automação de infraestrutura de construção

Antes de continuar, avalie e certifique os serviços em nuvem para consumo de acordo com a arquitetura da sua plataforma. Em seguida, empacote e melhore continuamente os padrões corporativos como produtos implantáveis e serviços consumíveis e use a infraestrutura como código (IaC) para definir configurações de forma declarativa. A automação da infraestrutura imita os ciclos de desenvolvimento de software ao permitir o acesso a serviços específicos em cada conta com controle de acesso baseado em função (RBAC) ou controle de acesso baseado em atributos (ABAC). Implemente um método para provisionar rapidamente novas contas e alinhá-las aos seus recursos de gerenciamento de serviços e incidentes usando APIs ou desenvolvendo recursos de autoatendimento. Automatize a integração da rede e a alocação de IP à medida que as contas são criadas para garantir a conformidade e a segurança da rede. Integre novas contas à sua solução de gerenciamento de serviços de TI (ITSM) usando conectores nativos configurados para operar com eles. AWS Atualize seus playbooks e runbooks conforme apropriado.

Forneça serviços centralizados de observabilidade

Para obter uma observabilidade eficaz na nuvem, sua plataforma deve oferecer suporte à pesquisa e análise em tempo real de dados de log locais e centralizados. À medida que suas operações aumentam, a capacidade de sua plataforma de indexar, visualizar e interpretar registros, métricas e rastreamentos é fundamental para transformar dados brutos em insights acionáveis.

Ao correlacionar registros, métricas e rastreamentos, você pode extrair conclusões práticas e desenvolver respostas direcionadas e informadas. Estabeleça regras que permitam respostas proativas a eventos ou padrões de segurança identificados em seus registros, métricas ou rastreamentos. À medida que suas AWS soluções se expandem, garanta que sua estratégia de monitoramento seja dimensionada em conjunto para manter e aprimorar seus recursos de observabilidade.

Implemente o gerenciamento de sistemas e a governança da AMI

Organizações que usam instâncias do Amazon Elastic Compute Cloud (Amazon EC2) exigem extensivamente ferramentas operacionais para gerenciar instâncias em grande escala. Gerenciamento de ativos de software, detecção e resposta de terminais, gerenciamento de inventário, gerenciamento de vulnerabilidades e gerenciamento de acesso são recursos fundamentais para muitas organizações.  Esses recursos geralmente são fornecidos por meio de agentes de software instalados nas instâncias. Desenvolva a capacidade de empacotar agentes e outras configurações personalizadas no Amazon Machine Images (AMIs) e AMIs disponibilizá-las aos consumidores da plataforma em nuvem. Use controles preventivos e de detetive que governem o uso deles. AMIs AMIs deve conter ferramentas que permitam o gerenciamento de EC2 instâncias de longa execução em grande escala, especialmente para cargas de trabalho EC2 mutáveis da Amazon que não consomem AMIs novas regularmente. Você pode usar AWS Systems Managerem grande escala para automatizar atualizações de agentes, coletar inventário do sistema, acessar EC2 instâncias remotamente e corrigir vulnerabilidades do sistema operacional.

Gerenciar o uso de credenciais

De acordo com a perspectiva de segurança da AWS CAF, implemente funções e credenciais temporárias. Use ferramentas para gerenciar o acesso remoto a instâncias ou sistemas locais usando um agente pré-instalado sem armazenar segredos. Reduza a dependência de credenciais de longo prazo e verifique se há credenciais codificadas em seus modelos de IaC. Se você não puder usar credenciais temporárias, use ferramentas programáticas, como tokens de aplicativos e senhas de banco de dados, para automatizar a rotação e o gerenciamento de credenciais. Codifique usuários, grupos e funções usando princípios de privilégio mínimo com o IaC e evite a criação manual de contas de identidade usando grades de proteção.

Estabeleça ferramentas de segurança

As ferramentas de monitoramento de segurança devem oferecer suporte ao monitoramento granular da segurança em toda a infraestrutura, aplicativos e cargas de trabalho e fornecer visualizações agregadas para análise de padrões. Como acontece com todas as outras ferramentas de gerenciamento de segurança, você deve estender suas ferramentas de detecção e resposta estendidas (XDR) para fornecer funções para avaliar, detectar, responder e remediar a segurança de seus aplicativos, recursos e ambientes de acordo com os requisitos definidos AWS na perspectiva de segurança da AWS CAF.

Excel

Crie e distribua construções de identidade com automação

Codifique e crie versões de construções de identidade, como funções, políticas e modelos, com ferramentas de IaC. Use ferramentas de validação de políticas para verificar avisos de segurança, erros, avisos gerais, alterações sugeridas em suas políticas do IAM e outras descobertas. Quando apropriado, implante e remova construções de identidade que forneçam acesso temporário ao ambiente de forma automatizada e proíbam a implantação por indivíduos que estejam usando o console.

Adicione detecção e alertas para padrões anômalos em todos os ambientes

Avalie proativamente os ambientes em busca de vulnerabilidades conhecidas e acrescente a detecção de padrões incomuns de eventos e atividades. Analise as descobertas e faça recomendações às equipes de arquitetura da plataforma para mudanças que impulsionem mais eficiência e inovação. 

Analise e modele ameaças

Implemente monitoramento e medição contínuos em relação aos benchmarks do setor e de segurança, de acordo com os requisitos da perspectiva da AWS CAF Security. Ao implementar sua abordagem de instrumentação, determine quais tipos de dados e informações de eventos melhor informarão suas funções de gerenciamento de segurança. Esse monitoramento abrange vários vetores de ataque, incluindo o uso do serviço. Suas bases de segurança devem incluir uma capacidade abrangente de registro e análise seguros em seus ambientes de várias contas, incluindo a capacidade de correlacionar eventos de várias fontes. Evite alterações nessa configuração com controles e grades de proteção específicos. 

Colete, revise e refine as permissões continuamente

Registre as alterações nas funções e permissões de identidade e implemente alertas quando as grades de proteção do detetive detectarem desvios do estado de configuração esperado. Use ferramentas agregadas e de identificação de padrões para revisar sua coleção centralizada de eventos e refinar as permissões conforme necessário.

Selecione, meça e melhore continuamente as métricas da sua plataforma

Para permitir operações bem-sucedidas da plataforma, estabeleça e revise rotineiramente métricas abrangentes. Garanta que eles estejam alinhados às metas organizacionais e às necessidades das partes interessadas. Acompanhe as métricas de desempenho e melhoria da plataforma e combine parâmetros operacionais, como patch, backup e conformidade, usando indicadores de capacitação da equipe e adoção de ferramentas.

Use a observabilidade CloudWatch entre contas para um gerenciamento eficiente de métricas. Esse serviço simplifica a agregação e a visualização de dados para permitir decisões informadas e aprimoramentos direcionados. Use essas métricas como indicadores de sucesso e impulsionadores da mudança para promover um ambiente de melhoria contínua.