As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
UO de segurança | Conta do Security Tooling
Pesquisa
Gostaríamos muito de ouvir você. Forneça feedback sobre o AWS PRA respondendo a uma breve pesquisa
A conta do Security Tooling é dedicada a operar serviços básicos de segurança e privacidade Contas da AWS, monitorar e automatizar alertas e respostas de segurança e privacidade. Para obter mais informações sobre essa conta, consulte a Arquitetura AWS de Referência de Segurança (AWS SRA). O diagrama a seguir ilustra os serviços AWS de segurança e privacidade configurados na conta do Security Tooling.
Esta seção fornece informações mais detalhadas sobre o seguinte nessa conta:
AWS CloudTrail
AWS CloudTrailajuda você a auditar a atividade geral da API em seu Conta da AWS. Habilitar CloudTrail tudo Contas da AWS o Regiões da AWS que armazena, processa ou transmite dados pessoais pode ajudá-lo a rastrear o uso e a divulgação desses dados. O AWS Security Reference Architecture recomenda habilitar uma trilha de organização, que é uma trilha única que registra em log todos os eventos de todas as contas na organização. No entanto, habilitar essa trilha da organização agrega os dados de logs de várias regiões em um único bucket do Amazon Simple Storage Service (Amazon S3) na conta do Archive Log. Para contas que lidam com dados pessoais, isso pode trazer algumas considerações adicionais de design. Os registros de log podem conter algumas referências a dados pessoais. Para atender aos requisitos de transferência e residência de dados, talvez seja necessário reconsiderar a agregação de dados de logs entre regiões em uma única região onde o bucket do S3 está localizado. Sua organização pode considerar quais workloads regionais devem ser incluídas ou excluídas da trilha organizacional. Para workloads que você decide excluir da trilha da organização, considere configurar uma trilha específica da região que mascare dados pessoais. Para obter mais informações sobre como mascarar dados pessoais, consulte a seção Amazon Data Firehose deste guia. Em última análise, sua organização pode ter uma combinação de trilhas organizacionais e trilhas regionais que se agregam à conta centralizada do Log Archive.
Para obter mais informações sobre como configurar uma trilha de região única, consulte as instruções para usar a AWS Command Line Interface (AWS CLI) ou o console. Ao criar a trilha da organização, você pode usar uma configuração de AWS Control Toweraceitação ou criar a trilha diretamente no CloudTrail console.
Para obter mais informações sobre a abordagem geral e como gerenciar a centralização de logs e os requisitos de transferência de dados, consulte a seção Armazenamento de log centralizado neste guia. Seja qual for a configuração escolhida, talvez você queira separar o gerenciamento de trilhas na conta do Security Tooling do armazenamento de registros na conta do Log Archive, de acordo com a AWS SRA. Esse design ajuda você a criar políticas de acesso com privilégio mínimo para aqueles que precisam gerenciar logs e para aqueles que precisam usar os dados de logs.
AWS Config
O AWS Config oferece uma exibição detalhada dos recursos em sua Conta da AWS e como eles são configurados. Ele ajuda você a identificar como os recursos estão relacionados entre si e como suas configurações foram alteradas ao longo do tempo. Para obter mais informações sobre como esse serviço é usado em um contexto de segurança, consulte o AWS Security Reference Architecture.
Em AWS Config, você pode implantar pacotes de conformidade, que são conjuntos de AWS Config regras e ações de remediação. Os pacotes de conformidade fornecem uma estrutura de uso geral projetada para permitir verificações de governança de privacidade, segurança, operação e otimização de custos usando regras gerenciadas ou personalizadas. AWS Config Você pode usar essa ferramenta como parte de um conjunto maior de ferramentas de automação para controlar se suas configurações de AWS recursos estão em conformidade com seus próprios requisitos de estrutura de controle.
O pacote de conformidade de Boas Práticas Operacionais para o NIST Privacy Framework v1.0 está alinhado a uma série de controles relacionados à privacidade do NIST Privacy Framework. Cada AWS Config regra se aplica a um tipo de AWS recurso específico e está relacionada a um ou mais controles do NIST Privacy Framework. Você pode usar esse pacote de conformidade para monitorar a conformidade contínua relacionada à privacidade em todos os recursos de suas contas. Confira abaixo algumas das regras incluídas neste pacote de conformidade:
-
no-unrestricted-route-to-igw: esta regra ajuda a evitar a exfiltração de dados no plano de dados monitorando continuamente as tabelas de rotas da VPC em busca de rotas de saída padrão0.0.0.0/0ou::/0para um gateway da internet. Isso ajuda você a restringir para onde o tráfego vinculado à internet pode ser enviado, especialmente se houver intervalos de CIDR conhecidos por serem maliciosos. -
encrypted-volumes: esta regra verifica se os volumes do Amazon Elastic Block Store (Amazon EBS) que estão anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) estão criptografados. Se sua organização tiver requisitos de controle específicos relacionados ao uso de chaves AWS Key Management Service (AWS KMS) para proteção de dados pessoais, você poderá especificar uma chave específica IDs como parte da regra para verificar se os volumes estão criptografados com uma AWS KMS chave específica. -
restricted-common-ports: esta regra verifica se os grupos de segurança do Amazon EC2 permitem tráfego TCP irrestrito para portas especificadas. Os grupos de segurança podem ajudá-lo a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede para os recursos. AWS Bloquear o tráfego de entrada de0.0.0.0/0para portas comuns, como TCP 3389 e TCP 21, em seus recursos ajuda a restringir o acesso remoto.
AWS Config pode ser usado para verificações de conformidade proativas e reativas de seus AWS
recursos. Além de considerar as regras encontradas nos pacotes de conformidade, você pode incorporá-las nos modos de avaliação de detecção e proativa. Isso ajuda a implementar verificações de privacidade mais cedo em seu ciclo de vida de desenvolvimento de software, pois os desenvolvedores de aplicações podem começar a incorporar verificações de pré-implantação. Por exemplo, eles podem incluir ganchos em seus AWS CloudFormation modelos que verificam o recurso declarado no modelo em relação a todas as AWS Config regras relacionadas à privacidade que têm o modo proativo ativado. Para obter mais informações, consulte AWS Config Rules Now Support Proactive Compliance
Amazon GuardDuty
AWS oferece vários serviços que podem ser usados para armazenar ou processar dados pessoais, como Amazon S3, Amazon Relational Database Service (Amazon RDS) ou Amazon EC2 com Kubernetes. A Amazon GuardDuty combina visibilidade inteligente com monitoramento contínuo para detectar indicadores que possam estar relacionados à divulgação não intencional de dados pessoais. Para obter mais informações sobre como esse serviço é usado em um contexto de segurança, consulte o AWS Security Reference Architecture.
Com GuardDuty, você pode identificar atividades potencialmente maliciosas relacionadas à privacidade em todo o ciclo de vida de um ataque. Por exemplo, GuardDuty pode alertá-lo sobre conexões com sites na lista negra, tráfego de portas de rede ou volumes de tráfego incomuns, exfiltração de DNS, lançamentos inesperados de instâncias do EC2 e chamadas incomuns de ISP. Você também pode configurar GuardDuty para interromper alertas de endereços IP confiáveis de suas próprias listas de IP confiáveis e alertar sobre endereços IP maliciosos conhecidos de suas próprias listas de ameaças.
Conforme recomendado no AWS SRA, você pode habilitar GuardDuty para todos Contas da AWS em sua organização e configurar a conta do Security Tooling como administrador GuardDuty delegado. GuardDutyagrega descobertas de toda a organização em uma única conta. Para obter mais informações, consulte Gerenciando GuardDuty contas com AWS Organizations. Você também pode considerar identificar todas as partes interessadas relacionadas à privacidade no processo de resposta a incidentes, da detecção e análise à contenção e erradicação, e envolvê-las em quaisquer incidentes que possam envolver a exfiltração de dados.
IAM Access Analyzer
Muitos clientes querem garantia contínua de que os dados pessoais estão sendo compartilhados adequadamente com processadores terceirizados pré-aprovados e pretendidos, e nenhuma outra entidade. Um perímetro de dados
Com o AWS Identity and Access Management Access Analyzer (IAM Access Analyzer), as organizações podem definir uma Conta da AWS zona de confiança e configurar alertas para violações dessa zona de confiança. O analisador de acesso do IAM analisa as políticas do IAM para ajudar a identificar e resolver o acesso público não intencional ou entre contas a recursos potencialmente sensíveis. O analisador de acesso do IAM usa lógica matemática e inferência para gerar descobertas abrangentes para recursos que podem ser acessados de fora de uma Conta da AWS. Por fim, para responder e remediar políticas excessivamente permissivas do IAM, você pode usar o analisador de acesso do IAM para validar as políticas existentes em relação às práticas recomendadas do IAM e fornecer sugestões. O analisador de acesso do IAM pode gerar uma política do IAM com privilégio mínimo baseada na atividade de acesso anterior de uma entidade principal do IAM. Ele analisa os CloudTrail registros e gera uma política que concede somente as permissões necessárias para continuar executando essas tarefas.
Para obter mais informações sobre como o analisador de acesso do IAM é usado em um contexto de segurança, consulte o AWS Security Reference Architecture.
Amazon Macie
O Amazon Macie é um serviço que usa machine learning e correspondência de padrões para descobrir dados sensíveis, fornece visibilidade dos riscos de segurança de dados e ajuda você a automatizar proteções contra esses riscos. O Macie gera descobertas quando detecta possíveis violações de política ou problemas com a segurança ou privacidade dos seus buckets do Amazon S3. O Macie é outra ferramenta que as organizações podem usar para implementar a automação a fim de apoiar os esforços de conformidade. Para obter mais informações sobre como esse serviço é usado em um contexto de segurança, consulte o AWS Security Reference Architecture.
O Macie pode detectar uma lista grande e crescente de tipos de dados sensíveis, incluindo informações de identificação pessoal (PII), como nomes, endereços e outros atributos identificáveis. Você pode até mesmo criar identificadores de dados personalizados para definir critérios de detecção que reflitam a definição de dados pessoais da sua organização.
À medida que sua organização define controles preventivos para seus buckets do Amazon S3 que contêm dados pessoais, você pode usar o Macie como um mecanismo de validação para fornecer garantia contínua de onde seus dados pessoais estão e como estão protegidos. Para começar, habilite o Macie e configure a descoberta automatizada de dados sensíveis. O Macie analisa continuamente os objetos em todos os seus buckets do S3, em todas as contas e. Regiões da AWS O Macie gera e mantém um mapa de calor interativo que mostra onde os dados pessoais residem. O recurso automatizado de descoberta de dados sensíveis foi projetado para reduzir custos e minimizar a necessidade de configurar manualmente as tarefas de descoberta. Você pode aproveitar o recurso automatizado de descoberta de dados sensíveis e usar o Macie para detectar automaticamente novos buckets ou novos dados em buckets existentes e, em seguida, validar os dados com base nas tags de classificação de dados atribuídas. Configure essa arquitetura para notificar as equipes apropriadas de desenvolvimento e privacidade sobre buckets classificados incorretamente ou não classificados em tempo hábil.
Você pode habilitar o Macie para cada conta em sua organização usando o. AWS Organizations Para obter mais informações, consulte Integrating and configuring an organization in Amazon Macie.
