Engenharia de plataforma - AWS Orientação prescritiva
IniciarAvançadoExcel

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Engenharia de plataforma

Crie um ambiente de nuvem de várias contas seguro e compatível com produtos de nuvem empacotados e reutilizáveis.

Para apoiar a inovação capacitando as equipes de desenvolvimento, a plataforma precisa se adaptar em um ritmo rápido para acompanhar as demandas da empresa. (Consulte a perspectiva de negócio do AWS CAF.) Ela deve fazer isso sendo flexível o suficiente para se adaptar às demandas de gerenciamento de produtos, rígida o suficiente para aderir às restrições de segurança e rápida o suficiente para atender às necessidades operacionais. Esse processo requer a criação de um ambiente de nuvem compatível com várias contas, com recursos de segurança aprimorados e produtos de nuvem empacotados e reutilizáveis. 

Um ambiente de nuvem eficaz permite que suas equipes provisionem facilmente novas contas, garantindo que essas contas estejam em conformidade com as políticas organizacionais. Um conjunto selecionado de produtos de nuvem permite que você codifique as práticas recomendadas, ajuda na governança e ajuda a aumentar a velocidade e a consistência de suas implantações na nuvem. Implemente seus esquemas de práticas recomendadas e barreiras de proteção preventivas e de detecção. Integre seu ambiente de nuvem com seu cenário existente para viabilizar os casos de uso de nuvem híbrida desejados.

Automatize o fluxo de trabalho de provisionamento de contas e use várias contas para apoiar suas metas de segurança e governança. Configure a conectividade entre seus ambientes on-premises e na nuvem, bem como entre diferentes contas na nuvem. Implemente a federação entre seu provedor de identidades (IdP) existente e seu ambiente de nuvem para que os usuários possam se autenticar usando suas credenciais de login existentes. Centralize o registro em log, estabeleça auditorias de segurança entre contas, crie resolvedores de DNS de entrada e saída e obtenha visibilidade de suas contas e barreiras de proteção no painel.

Avalie e certifique os serviços em nuvem para consumo em alinhamento com os padrões corporativos e o gerenciamento de configurações. Empacote e melhore continuamente os padrões corporativos como produtos implantáveis de autoatendimento e serviços consumíveis. Aproveite a infraestrutura como código (IaC) para definir configurações de forma declarativa. Crie equipes de capacitação para evangelizar a plataforma para desenvolvedores e usuários corporativos e permitir que eles criem integrações que acelerem a adoção em toda a organização.

A conclusão das tarefas analisadas nas seções a seguir exige que você crie recursos e equipes para desenvolver suas organizações em direção à engenharia de plataforma moderna. Para obter detalhes técnicos, consulte o whitepaper Establishing your Cloud Foundation on AWS.

Iniciar

Criar uma zona de pouso e implantar barreiras de proteção

Ao iniciar sua jornada rumo à engenharia de plataforma madura, você deve primeiro implantar sua zona de pouso com barreiras de proteção preventivas e de detecção, conforme definido no recurso de arquitetura da plataforma. As barreiras de proteção garantem que os padrões organizacionais não sejam violados à medida que os proprietários de aplicações consomem recursos de nuvem. Com esse mecanismo, você automatiza o fluxo de trabalho de provisionamento de contas para usar várias contas que satisfaçam suas metas de segurança e governança

Estabelecer autenticação

Implemente o gerenciamento de identidade e controle de acesso em todos os ambientes, sistemas, workloads e processos de acordo com os padrões ditados na perspectiva de segurança do AWS CAF. Para identidades da força de trabalho, restrinja o uso de usuários do AWS Identity and Access Management (IAM) e conte com um provedor de identidades que permita gerenciar identidades em um local centralizado. Isso facilita o gerenciamento do acesso em várias aplicações e sistemas, pois você está criando, gerenciando e revogando o acesso de um único local. Use os processos existentes para gerenciar a criação, atualização e remoção do acesso para incluir seus ambientes da AWS.

Planejar sua rede

De acordo com seus projetos de arquitetura de plataforma, crie uma conta de rede centralizada para controlar o tráfego de entrada e saída de e para seu ambiente. Recomendamos que você projete suas redes para uma conectividade rapidamente provisionada entre sua rede on-premises e seus ambientes da AWS, com e da internet e entre seus ambientes da AWS. A centralização do gerenciamento de rede permite que você implante controles de rede para isolar redes e a conectividade em todo o ambiente usando controles preventivos e reativos.

Colete, agregue e proteja dados de eventos e logs

Use a observabilidade entre contas do Amazon CloudWatch. Ela fornece uma interface unificada para pesquisar, visualizar e analisar métricas, logs e rastreamentos em contas vinculadas, além de eliminar barreiras entre as contas.

Se sua organização tiver requisitos de conformidade específicos para controle e segurança centralizados de logs, considere configurar uma conta de arquivamento de logs dedicada. Isso oferece um repositório centralizado e criptografado especificamente para dados de logs. Aumente a segurança desse arquivamento alternando regularmente as chaves de criptografia.

Implemente políticas robustas para proteger dados de logs confidenciais, usando técnicas de mascaramento, conforme necessário. Use a agregação de logs para logs de conformidade, segurança e auditoria e garanta o uso de barreiras de proteção rígidas e criações de identidade para evitar alterações não autorizadas nas configurações de logs.

Estabelecer controles

De acordo com as definições da perspectiva de segurança do AWS CAF, implante recursos básicos de segurança que atendam aos requisitos de seus negócios. Implemente controles preventivos e de detecção adicionais, e provisione-os de forma programática e consistente em todas as suas contas, quando necessário. Integre os controles de detecção às ferramentas operacionais, conforme definido pelo recurso de arquitetura da plataforma, para que os recursos não compatíveis possam ser revisados por mecanismos operacionais.

Implementar o gerenciamento financeiro da nuvem

De acordo com a perspectiva de governança do AWS CAF, implemente tags de alocação de custos e as Categorias de Custos da AWS que alinhem a estratégia de marcação da sua organização com a responsabilidade financeira pelo consumo da nuvem. As Categorias de Custos da AWS permitem cobrar ou mostrar as cobranças de nuvem aos centros de custo internos usando ferramentas como o AWS Cost Explorer e dados de faturamento publicados no AWS Cost and Usage Report.  

Avançado

Criar automação da infraestrutura

Antes de continuar, avalie e certifique os serviços em nuvem para consumo de acordo com a arquitetura da sua plataforma. Em seguida, empacote e melhore continuamente os padrões corporativos como produtos implantáveis e serviços consumíveis, e use a infraestrutura como código (IaC) para definir configurações de forma declarativa. A automação da infraestrutura imita os ciclos de desenvolvimento de software ao permitir o acesso a serviços específicos em cada conta com controle de acesso por perfil (RBAC) ou controle de acesso por atributo (ABAC). Implemente um método para provisionar rapidamente novas contas e alinhá-las aos seus recursos de gerenciamento de incidentes e serviços usando APIs, ou desenvolva recursos de autoatendimento. Automatize a integração da rede e a alocação de IP à medida que as contas são criadas para garantir a conformidade e a segurança da rede. Integre novas contas à sua solução de gerenciamento de serviços de TI (ITSM) usando conectores nativos configurados para operar com a AWS. Atualize seus playbooks e runbooks, conforme apropriado.

Fornecer serviços centralizados de observabilidade

Para obter uma observabilidade eficaz na nuvem, sua plataforma deve oferecer suporte à pesquisa e análise em tempo real de dados de logs locais e centralizados. À medida que suas operações escalam, a capacidade de sua plataforma de indexar, visualizar e interpretar logs, métricas e rastreamentos é fundamental para transformar dados brutos em insights acionáveis.

Ao correlacionar logs, métricas e rastreamentos, você pode extrair conclusões práticas e desenvolver respostas direcionadas e informadas. Estabeleça regras que permitam respostas proativas a eventos ou padrões de segurança identificados em seus logs, métricas ou rastreamentos. À medida que suas soluções da AWS se expandem, garanta que sua estratégia de monitoramento seja dimensionada em conjunto para manter e aprimorar seus recursos de observabilidade.

Implementar o gerenciamento de sistemas e a governança da AMI

Organizações que usam instâncias do Amazon Elastic Compute Cloud (Amazon EC2) exigem extensivamente ferramentas operacionais para gerenciar instâncias em grande escala. Gerenciamento de ativos de software, detecção e resposta de endpoints, gerenciamento de inventário, gerenciamento de vulnerabilidades e gerenciamento de acesso são recursos fundamentais para muitas organizações.  Esses recursos geralmente são fornecidos por meio de agentes de software instalados nas instâncias. Desenvolva a capacidade de empacotar agentes e outras configurações personalizadas nas imagens de máquina da Amazon (AMIs) e disponibilizá-las para os consumidores da plataforma em nuvem. Use controles preventivos e de detecção que governem o uso dessas AMIs. As AMIs devem conter ferramentas que permitam o gerenciamento de instâncias do EC2 de longa execução em grande escala, especialmente para workloads mutáveis do Amazon EC2 que não consomem novas AMIs regularmente. Você pode usar o AWS Systems Manager em grande escala para automatizar atualizações de agentes, coletar inventário do sistema, acessar instâncias do EC2 remotamente e corrigir vulnerabilidades do sistema operacional.

Gerenciar o uso de credenciais

De acordo com a perspectiva de segurança do AWS CAF, implemente perfis e credenciais temporários. Use ferramentas para gerenciar o acesso remoto a instâncias ou sistemas on-premises usando um agente pré-instalado sem armazenar segredos. Reduza a dependência de credenciais de longo prazo e verifique se há credenciais codificadas em seus modelos de IaC. Se você não puder usar credenciais temporárias, use ferramentas programáticas, como tokens de aplicações e senhas de banco de dados, para automatizar a alternância e o gerenciamento de credenciais. Codifique usuários, grupos e perfis usando princípios de privilégio mínimo com o IaC e evite a criação manual de contas de identidade usando barreiras de proteção.

Estabelecer ferramentas de segurança

As ferramentas de monitoramento de segurança devem oferecer suporte ao monitoramento granular da segurança em toda a infraestrutura, aplicações e workloads e fornecer visualizações agregadas para análise de padrões. Como acontece com todas as outras ferramentas de gerenciamento de segurança, você deve estender suas ferramentas de detecção e resposta estendidas (XDR) para fornecer perfis para avaliar, detectar, responder e remediar a segurança de suas aplicações, recursos e ambientes na AWS de acordo com os requisitos definidos na perspectiva de segurança do AWS CAF.

Excel

Criar e distribuir criações de identidade com automação

Codifique e crie versões de criações de identidade, como perfis, políticas e modelos, com ferramentas de IaC. Use ferramentas de validação de política para verificar avisos de segurança, erros, avisos gerais, alterações sugeridas nas políticas do IAM e outras descobertas. Quando apropriado, implante e remova criações de identidade que forneçam acesso temporário ao ambiente de forma automatizada e proíbam a implantação por indivíduos que estejam usando o console.

Adicionar detecção e alertas para padrões anômalos nos ambientes

Avalie proativamente os ambientes em busca de vulnerabilidades conhecidas e inclua a detecção de padrões incomuns de eventos e atividades. Analise as descobertas e faça recomendações às equipes de arquitetura da plataforma para mudanças que impulsionem mais eficiência e inovação. 

Analisar e modelar ameaças

Implemente monitoramento e medição contínuos em relação às avaliações comparativas de segurança e do setor, de acordo com os requisitos sob a perspectiva de segurança do AWS CAF. Ao implementar sua abordagem de instrumentação, determine quais tipos de dados e informações de eventos melhor informarão suas funções de gerenciamento de segurança. Esse monitoramento abrange vários vetores de ataque, incluindo o uso do serviço. Suas bases de segurança devem incluir uma capacidade abrangente de registro em log e analytics seguros em seus ambientes de várias contas, incluindo a capacidade de correlacionar eventos de várias fontes. Evite alterações nessa configuração com controles e barreiras de proteção específicos. 

Coletar, revisar e refinar as permissões continuamente

Registre as alterações nos perfis e permissões de identidade e implemente alertas quando as barreiras de proteção de detecção identificarem desvios do estado de configuração esperado. Use ferramentas agregadas e de identificação de padrões para revisar sua coleção centralizada de eventos e refinar as permissões conforme necessário.

Selecione, avalie e melhore continuamente as métricas da sua plataforma

Para permitir operações bem-sucedidas da plataforma, estabeleça e revise rotineiramente métricas abrangentes. Garanta que elas estejam alinhadas às metas organizacionais e às necessidades das partes interessadas. Acompanhe as métricas de performance e melhoria da plataforma e combine parâmetros operacionais, como patch, backup e conformidade, usando indicadores de capacitação da equipe e adoção de ferramentas.

Use a observabilidade entre contas do CloudWatch para o gerenciamento eficiente de métricas. Esse serviço simplifica a agregação e a visualização de dados para permitir decisões informadas e aprimoramentos direcionados. Use essas métricas como indicadores de sucesso e impulsionadores de mudanças para promover um ambiente de melhoria contínua.