Tema 5: estabelecer um perímetro de dados - AWS Orientação prescritiva
Práticas recomendadas relacionadas:Implementação deste temaMonitoramento deste tema

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tema 5: estabelecer um perímetro de dados

Estratégias Essential Eight abordadas

Restringir privilégios administrativos

Um perímetro de dados é um conjunto de barreiras de proteção de preventivas em seu ambiente da AWS que ajudam a garantir que somente suas identidades de confiança acessem recursos confiáveis das redes esperadas. Essas grades de proteção servem como limites sempre ativos que ajudam a proteger seus dados em um amplo conjunto de recursos. Contas da AWS Essas barreiras de proteção em toda a organização não substituem seus controles de acesso refinados existentes. Em vez disso, eles ajudam a melhorar sua estratégia de segurança, garantindo que todos os usuários, funções e recursos AWS Identity and Access Management (IAM) sigam um conjunto de padrões de segurança definidos.

Você pode estabelecer um perímetro de dados usando políticas que impeçam o acesso de fora dos limites de uma organização, normalmente criadas no AWS Organizations. As três principais condições de autorização de perímetro usadas para estabelecer um perímetro de dados são:

  • Identidades confiáveis — Diretores (funções ou usuários do IAM) dentro de você Contas da AWS ou Serviços da AWS agindo em seu nome.

  • Recursos confiáveis — Recursos que estão em você Contas da AWS ou são gerenciados Serviços da AWS agindo em seu nome.

  • Redes esperadas — Seus data centers locais e nuvens privadas virtuais (VPCs) ou as redes que Serviços da AWS atuam em seu nome.

Considere implementar perímetros de dados entre ambientes de diferentes classificações de dados, como OFFICIAL:SENSITIVE ou PROTECTED, ou diferentes níveis de risco, como desenvolvimento, teste ou produção. Para obter mais informações, consulte Criando um perímetro de dados em AWS (AWS whitepaper) e Estabelecendo um perímetro de dados em AWS: Visão geral (AWS postagem do blog).

Melhores práticas relacionadas no AWS Well-Architected Framework

Implementação deste tema

Implementar controles de identidade

  • Permitir que somente identidades de confiança acessem seus recursos: use políticas baseadas em recursos com as chaves de condição aws:PrincipalOrgID e aws:PrincipalIsAWSService. Isso permite que somente diretores de sua AWS organização e de AWS acessem seus recursos.

  • Permitir identidades de confiança somente de sua rede: use políticas de endpoint da VPC com as chaves de condição aws:PrincipalOrgID e aws:PrincipalIsAWSService. Isso permite que somente diretores de sua AWS organização e de AWS acessem serviços por meio de VPC endpoints.

Implementar controles de recursos

  • Permita que suas identidades acessem somente recursos confiáveis — Use políticas de controle de serviço (SCPs) com a chave aws:ResourceOrgID de condição. Isso permite que suas identidades acessem somente recursos em sua AWS organização.

  • Permitir o acesso a recursos confiáveis somente da sua rede: use políticas de endpoint da VPC com a chave de condição aws:ResourceOrgID. Isso permite que suas identidades acessem serviços somente por meio de endpoints da VPC que fazem parte da sua organização da AWS .

Implementar controles de rede

  • Permita que as identidades acessem recursos somente das redes esperadas — Use SCPs com as chaves de condição aws:SourceIpaws:SourceVpc,aws:SourceVpce, e. aws:ViaAWSService Isso permite que suas identidades acessem recursos somente a partir de endereços IP esperados VPCs, endpoints de VPC e por meio de. Serviços da AWS

  • Permitir o acesso aos seus recursos somente das redes esperadas: use políticas baseadas em recursos com as chaves de condição aws:SourceIp, aws:SourceVpc, aws:SourceVpce, aws:ViaAWSService e aws:PrincipalIsAWSService. Isso permite o acesso aos seus recursos somente a partir dos endpoints de VPC esperados VPCs, esperados ou esperados Serviços da AWS, por meio de ou quando a identidade de chamada é uma. IPs AWS service (Serviço da AWS)

Monitoramento deste tema

Monitorar políticas

  • Implemente mecanismos de revisão SCPs, políticas de IAM e políticas de VPC endpoint

Implemente as seguintes AWS Config regras

  • SERVICE_VPC_ENDPOINT_ENABLED