As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Domínios do fluxo de trabalho de segurança e conformidade
<a name="domains"></a>

Esta seção descreve, em detalhes, os domínios pelos quais o fluxo de trabalho de segurança e conformidade é responsável. Durante a fase de mobilização do seu projeto de migração, esses domínios ajudam a acelerar o planejamento e a implementação de segurança e conformidade em: AWS
+ [Descoberta e alinhamento de segurança](discovery-and-alignment.md)
+ [Mapeamento da estrutura de segurança](mapping.md)
+ [Implementação, integração e validação de segurança](implementation-integration-and-validation.md)
+ [Documentação de segurança](documentation.md)
+ [Operações de nuvem de segurança e conformidade](cloud-operations.md)

É importante abordar esses domínios durante a fase de mobilização para proteger as atividades de migração durante a fase subsequente de migração e modernização.

# Descoberta e alinhamento de segurança
<a name="discovery-and-alignment"></a>

Ao mobilizar um projeto de migração, o primeiro domínio para o fluxo de trabalho de segurança e conformidade é a *descoberta e o alinhamento da segurança*. Esse domínio tem como objetivo ajudar sua organização a atingir as seguintes metas:
+ Treine o fluxo de trabalho de segurança e conformidade sobre os serviços AWS de segurança, os recursos e a adesão à conformidade
+ Descubra seus requisitos de segurança e conformidade e as práticas atuais. Considere esses requisitos do ponto de vista da infraestrutura e das operações, incluindo:
  + Desafios e fatores de segurança para o estado final de destino
  + Conjunto de habilidades da equipe de segurança na nuvem
  + Políticas, configurações, controles e barreiras de segurança e conformidade
  + Apetite e linha de base para riscos de segurança
  + Ferramentas de segurança existentes e futuras

## Workshops de um dia de imersão
<a name="immersion-day-workshops"></a>

Para se alinhar a essas metas, use dias de imersão em segurança e conformidade. Os *dias de imersão* são workshops que abrangem uma variedade de tópicos relacionados à segurança, como:
+ [AWS modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [AWS serviços de segurança](https://aws.amazon.com/products/security/)
+ [AWS Arquitetura de referência de segurança (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/)
+ [AWS conformidade](https://aws.amazon.com/compliance/)
+ [Pilar de segurança](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) do AWS Well-Architected Framework

Os workshops do dia de imersão ajudam a estabelecer uma base de conhecimento para sua equipe de segurança. Ele os treina sobre serviços AWS de segurança e melhores práticas de segurança e conformidade. AWS Arquitetos de soluções, serviços AWS profissionais e AWS parceiros podem ajudá-lo a realizar esses workshops interativos. Eles usam apresentações padrão, laboratórios da AWS e atividades de quadro branco para ajudar a preparar suas equipes.

## Workshops de descoberta
<a name="discovery-workshops"></a>

Após os workshops do dia de imersão, você realiza vários workshops aprofundados sobre segurança e descoberta de conformidade. Isso ajuda suas equipes a descobrir os requisitos atuais de segurança, risco e conformidade (SRC) da infraestrutura, dos aplicativos e das operações. Você analisa esses requisitos por meio das seguintes perspectivas: pessoas, processos e tecnologia. A seguir estão as áreas de descoberta de cada perspectiva.

### Perspectiva das pessoas
<a name="people-perspective"></a>
+ **Estrutura organizacional** — entenda a estrutura e as responsabilidades atuais do fluxo de trabalho de segurança e conformidade.
+ **Capacidades e conjuntos de habilidades** — Tenha conhecimentos práticos e conjuntos de habilidades para Serviços da AWS e para os recursos de segurança e conformidade na nuvem. Isso inclui descoberta, planejamento, implementação e operações.
+ **Matriz responsável, responsável, consultada, informada (RACI)** — Defina as funções e responsabilidades pelas atividades atuais de segurança e conformidade dentro da organização.
+ **Cultura** — Entenda a cultura atual de segurança e conformidade. Priorize a segurança e a conformidade como parte das fases de construção, projeto, implementação e operação. Introduza as operações de segurança de desenvolvimento (DevSecOps) na cultura de segurança e conformidade da nuvem.

### Perspectiva do processo
<a name="process-perspective"></a>
+ **Práticas** — defina e documente os processos atuais de segurança e conformidade para criar, projetar, implementar e operar. Os processos incluem:
  + Acesso e gerenciamento de identidade
  + Resposta e controles de detecção de incidentes
  + Infraestrutura e segurança de rede
  + Proteção de dados
  + Compliance
  + Continuidade e recuperação dos negócios
+ **Documentação de implementação** — documente políticas de segurança e conformidade, configurações de controle, documentação de ferramentas e documentação de arquitetura. Esses documentos são necessários para cobrir a segurança e a conformidade das áreas de infraestrutura, rede, aplicativos, bancos de dados e implantação.
+ **Documentação de risco** — Crie uma documentação de risco de segurança da informação que descreva o apetite e o limite de risco.
+ **Validações** — Crie requisitos internos e externos de validação e auditoria de segurança.
+ **Runbooks** — Desenvolva runbooks operacionais que cubram os processos atuais e padrão de implementação e governança para segurança e conformidade.

### Perspectiva da tecnologia
<a name="technology-perspective"></a>
+ **Serviços e ferramentas** — Use ferramentas para validar sua postura de segurança e conformidade e para impor e governar o cenário atual de TI. Estabeleça ferramentas para as seguintes categorias:
  + Acesso e gerenciamento de identidade
  + Resposta e controles de detecção de incidentes
  + Infraestrutura e segurança de rede
  + Proteção de dados
  + Compliance
  + Continuidade e recuperação dos negócios

Durante o workshop AWS de descoberta de segurança, você usa modelos e questionários padronizados de coleta de dados para coletar dados. Em cenários em que você não consegue fornecer as informações devido à falta de clareza dos dados ou dados obsoletos, você pode usar uma ferramenta de descoberta de migração para coletar informações de segurança em nível de aplicativo e infraestrutura. Para obter uma lista das ferramentas de descoberta que você pode usar, consulte [Ferramentas de migração de descoberta, planejamento e recomendação](https://aws.amazon.com/prescriptive-guidance/migration-tools/migration-discovery-tools/) na AWS Orientação prescritiva. A lista fornece detalhes sobre os recursos de descoberta e o uso de cada ferramenta. Ele também compara ferramentas para ajudá-lo a escolher a melhor ferramenta para atender aos requisitos e restrições do seu cenário de TI.

Durante a avaliação inicial de segurança, é altamente recomendável que você comece com a modelagem de ameaças. Isso ajuda você a identificar possíveis ameaças e medidas existentes em vigor. Também pode haver requisitos predefinidos e documentados de segurança, conformidade e risco. Para obter mais informações, consulte o [workshop sobre modelagem de ameaças para construtores](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) (AWS treinamento) e consulte [Como abordar a modelagem de ameaças](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (postagem AWS no blog). Essa abordagem ajuda você a reconsiderar suas estratégias de segurança e conformidade para implantação, implementação e governança no Nuvem AWS.

# Mapeamento da estrutura de segurança
<a name="mapping"></a>

Depois de concluir o domínio de descoberta e alinhamento de segurança, a próxima etapa é concluir o *domínio de mapeamento da estrutura de segurança*. Esse domínio é um processo de workshop que mapeia os requisitos de segurança e conformidade descobertos para os serviços Nuvem AWS de segurança. Ele também alinha sua arquitetura e suas operações às melhores práticas AWS de segurança e conformidade. O workshop mapeia todos os requisitos do ponto de vista de pessoas, processos e tecnologia para abordar o seguinte:
+ AWS infraestrutura
  + Conta da AWS, infraestrutura e proteção de rede
  + Proteção de dados
  + Compliance
  + Detecção e resposta a incidentes
  + Gerenciamento de identidade e acesso
  + Continuidade e recuperação dos negócios
+ Aplicação em AWS
  + Seguindo as melhores práticas Serviços da AWS para ajudar a proteger seu aplicativo
  + Controle de acesso para aplicativos, bancos de dados, sistemas operacionais e dados
  + Proteção do sistema operacional
  + Proteção de aplicativos, bancos de dados e dados
  + Detecção e resposta a incidentes
  + Compliance
  + Continuidade e recuperação dos negócios de aplicativos

Ao concluir o domínio de mapeamento da estrutura de segurança, considere o apetite definido pelo risco, a estrutura da equipe, o conjunto de habilidades e capacidades da equipe, os processos de segurança, as políticas de segurança, os controles de segurança, as ferramentas, as operações de segurança e outros requisitos e restrições de segurança. No geral, o mapeamento da estrutura de segurança fornece às organizações uma abordagem sistemática para gerenciar riscos de segurança, manter a conformidade e melhorar continuamente sua postura de segurança, de acordo com os padrões e as melhores práticas do setor.

[O processo de mapeamento da estrutura de segurança usa a [Arquitetura de Referência de AWS Segurança (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/), o [Pilar de Segurança](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) da AWS Well-Architected Framework, a [lente de migração da](https://docs.aws.amazon.com/wellarchitected/latest/migration-lens/security.html) Well-Architected Framework e o whitepaper AWS Introdução à Segurança. AWS](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/welcome.html) Esses documentos funcionam como referências orientadoras para ajudar você a seguir as AWS melhores práticas de segurança e conformidade na nuvem.

Ao usar modelos de mapeamento padronizados no workshop, você mapeia o requisito para o estado final de destino. Você destaca as ferramentas Serviços da AWS, os processos, as políticas, os controles e as mudanças necessárias para atingir o estado final desejado.

Ao realizar o workshop de mapeamento da estrutura de segurança, você pode usar serviços AWS profissionais, arquitetos de soluções de AWS segurança ou AWS parceiros. Esses recursos podem ajudar você a acelerar e facilitar o workshop. Os workshops de mapeamento da estrutura de segurança podem ser incluídos como parte de uma [festa de aceleração baseada na experiência (EBA)](https://aws.amazon.com/blogs/mt/level-up-your-cloud-transformation-with-experience-based-acceleration-eba/), liderada por arquitetos de AWS soluções, gerentes de soluções de AWS clientes ou parceiros. AWS O grupo EBA atua como um acelerador para ajudá-lo a construir uma Nuvem AWS base sólida que siga as melhores práticas de AWS migração e modernização.

# Implementação, integração e validação de segurança
<a name="implementation-integration-and-validation"></a>

Depois de mapear seus requisitos de segurança, risco e conformidade, o próximo domínio é a *implementação, integração e validação da segurança*. Com base nos requisitos identificados, escolha os controles e medidas de segurança apropriados para mitigar os riscos de forma eficaz. Isso pode incluir criptografia, controles de acesso, sistemas de detecção de intrusões ou firewalls. Integre soluções de segurança, como sistemas de detecção e prevenção de intrusões, proteção de terminais e gerenciamento de identidade, à infraestrutura de TI existente para fornecer cobertura de segurança abrangente. Realize avaliações de segurança regulares, incluindo verificação de vulnerabilidades, testes de penetração e análises de código, para validar a eficácia dos controles de segurança e identificar pontos fracos ou lacunas. Ao se concentrar na implementação, integração e validação da segurança, as organizações podem fortalecer sua postura de segurança, reduzir a probabilidade de violações de segurança e demonstrar conformidade com os requisitos regulamentares e os padrões do setor.

## Implementação
<a name="implementation"></a>

Primeiro, atualize a documentação de acordo com seu limite ou apetite atual de segurança, risco e conformidade. Isso permite que você implemente os requisitos, controles, políticas e ferramentas planejados de segurança e conformidade na nuvem. Essa etapa é necessária somente se você tiver um registro de risco existente e um apetite definido, o que teria sido identificado durante os workshops de descoberta.

Em seguida, você implementa os requisitos, controles, políticas e ferramentas planejados de segurança e conformidade na nuvem. Recomendamos que você os implemente na seguinte ordem: infraestrutura, sistema operacional e Serviços da AWS, em seguida, aplicativo ou banco de dados. Use as informações na tabela a seguir para garantir que você tenha abordado todas as áreas necessárias de segurança e conformidade.


|  |  | 
| --- |--- |
| **Área** | **Requisitos de segurança e conformidade** | 
| Infraestrutura |   Conta da AWS    Zona de pouso   Controles preventivos   Controles de detecção     Segmentação de rede    Controle de acesso    Criptografia    Registro, monitoramento e alertas   | 
| Serviços da AWS |   AWS service (Serviço da AWS) configuração    Instâncias   Armazenamento   Rede     Controle de acesso    Criptografia    Atualizações e patches    Registro, monitoramento e alertas   | 
| Sistema operacional |   Antivírus    Proteção contra malware e worm    Configuração    Proteção de rede    Controle de acesso    Criptografia    Atualizações e patches    Registro, monitoramento e alertas   | 
| Aplicativo ou banco de dados |   Configuração    Código e esquema    Controle de acesso    Criptografia    Atualizações e patches    Registro, monitoramento e alertas   | 

## Integração
<a name="integration"></a>

A implementação da segurança geralmente requer integração com o seguinte:
+ **Rede** — Rede interna e externa à Nuvem AWS
+ Cenário de **TI híbrida** — ambientes de TI diferentes do Nuvem AWS, como locais, nuvens públicas, nuvens privadas e colocations
+ **Software ou serviços externos** — Software e serviços que são gerenciados por fornecedores independentes de software (ISVs) e não estão hospedados em seu ambiente.
+ Serviços de **modelo operacional em AWS nuvem — serviços** de modelo operacional em nuvem que fornecem DevSecOps recursos.

Durante a fase de avaliação do seu projeto de migração, use ferramentas de descoberta, documentação existente ou workshops de entrevistas com aplicativos para identificar e confirmar esses pontos de integração de segurança. Ao projetar e implementar as cargas de trabalho no Nuvem AWS, estabeleça essas integrações de acordo com as políticas e processos de segurança e conformidade que você definiu durante os workshops de mapeamento.

## Validação
<a name="validation"></a>

Após a implementação e a integração, a próxima atividade é validar a implementação. Você garante que a configuração esteja alinhada às AWS melhores práticas de segurança e conformidade. Recomendamos que você valide a segurança de duas áreas de cobertura:
+ **Avaliação de vulnerabilidade e teste de penetração específicos da carga de trabalho** - Valide a segurança do sistema operacional, do aplicativo, do banco de dados ou da rede das cargas de trabalho executadas. Serviços da AWS Para realizar essas validações, use ferramentas e scripts de teste existentes. É importante cumprir a [política de suporte ao cliente do teste de AWS penetração](https://aws.amazon.com/security/penetration-testing/) ao realizar essas avaliações.
+ **AWS****validação de melhores práticas de segurança - Valide** se sua AWS implementação está em conformidade com o AWS Well Architected Framework e outros benchmarks selecionados, como o Center for Internet Security (CIS). Para essa validação, você pode usar ferramentas e serviços como [Prowler](https://github.com/prowler-cloud/prowler/#requirements-and-installation) (GitHub) [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html), [AWS Service Screener () ou AWS Self-Service](https://github.com/aws-samples/service-screener-v2) [Security](https://github.com/awslabs/aws-security-assessment-solution) Assessment (GitHub). GitHub

É importante documentar e comunicar todas as descobertas de segurança e conformidade à equipe de segurança e aos líderes. Padronize os modelos de relatórios e use-os para facilitar a comunicação com a respectiva parte interessada em segurança. Documente todas as exceções feitas durante a busca de remediação e certifique-se de que as respectivas partes interessadas em segurança concordem.

# Documentação de segurança
<a name="documentation"></a>

Ao mobilizar a segurança e a conformidade durante uma migração, é essencial definir e documentar como você implementa a segurança e a conformidade na nuvem. A documentação deve incluir o seguinte:
+ **Documentação de implementação de segurança e conformidade** — Crie um ou mais documentos que detalham sua definição, processo, políticas, controles, configurações e ferramentas de segurança e conformidade. Certifique-se de que esses documentos abordem esses aspectos de uma Nuvem AWS perspectiva. Inclua o seguinte nesta documentação:
  + Acesso e gerenciamento de identidade
  + Resposta e controles de detecção de incidentes
  + Infraestrutura e segurança de rede
  + Proteção de dados
  + Compliance
  + Continuidade e recuperação dos negócios
+ **Runbooks de segurança e conformidade** — Crie um caderno operacional de segurança e conformidade que guie a equipe de operações de nuvem. Eles devem detalhar como concluir tarefas, atividades e mudanças de segurança e conformidade na nuvem como parte dos requisitos operacionais. Isso inclui monitoramento de segurança e conformidade, gerenciamento de incidentes, validação e melhoria contínua. Certifique-se de que seus runbooks atendam aos requisitos que você identificou durante a descoberta de segurança e o domínio de alinhamento.
+ Matriz **RACI de segurança na nuvem — Crie uma matriz** responsável, responsável, consultada e informada (RACI) que defina responsabilidades e partes interessadas em segurança e conformidade nas seguintes áreas:
  + Design e desenvolvimento
  + Implantação e implementação
  + Operações

# Operações de nuvem de segurança e conformidade
<a name="cloud-operations"></a>

O domínio final são as *operações em nuvem de segurança e conformidade*. Essa é uma atividade contínua em que você usa os runbooks operacionais de segurança e conformidade definidos para governar as operações na nuvem. Você também cria um modelo operacional de nuvem de segurança para determinar as responsabilidades pela segurança e conformidade em sua organização.

## Modelo operacional de nuvem de segurança e conformidade
<a name="cloud-operating-model"></a>

Nesse domínio, você define um [modelo operacional de nuvem](apg-gloss.md#glossary-com) para segurança. Seu modelo operacional de nuvem deve atender aos requisitos que você identificou durante os workshops de descoberta e posteriormente definiu como runbooks. Você pode projetar o modelo operacional de nuvem de segurança e conformidade de uma das três maneiras:
+ **Centralizado** — Um modelo mais tradicional, responsável por identificar e remediar eventos de segurança em toda a empresa. SecOps Isso pode incluir a análise das descobertas gerais sobre a postura de segurança da empresa, como problemas de correção e configuração de segurança.
+ **Descentralizado** — a responsabilidade de responder e remediar eventos de segurança em toda a empresa foi delegada aos proprietários do aplicativo e às unidades de negócios individuais, e não há uma função central de operações. Normalmente, ainda há uma função abrangente de governança de segurança que define políticas e princípios.
+ **Híbrido** — Uma combinação de ambas as abordagens, em que SecOps ainda tem um nível de responsabilidade e propriedade para identificar e orquestrar a resposta aos eventos de segurança, e a responsabilidade pela remediação é de propriedade dos proprietários do aplicativo e das unidades de negócios individuais.

É importante selecionar o modelo operacional certo com base nos requisitos de segurança e conformidade, na maturidade e nas restrições da organização. Os requisitos e restrições de segurança e conformidade foram identificados durante o workshop de descoberta. A maturidade da organização, por outro lado, define o nível das práticas de segurança operacional. Veja a seguir um exemplo de uma faixa de maturidade:
+ **Baixo** — O registro é local e algumas ações ou ações esporádicas são realizadas.
+ **Intermediário** — Os registros de diferentes fontes são correlacionados e o alerta automático é estabelecido.
+ **Alto** — Existem manuais detalhados que contêm detalhes sobre as respostas padronizadas do processo.  Operacional e tecnicamente, a maioria das respostas de alerta é automatizada.

Para entender melhor o modelo operacional de segurança e conformidade na nuvem e auxiliar na seleção de um design adequado, consulte [Considerações sobre operações de segurança na nuvem](https://aws.amazon.com/blogs/security/considerations-for-security-operations-in-the-cloud/) (postagem no AWS blog). Em cenários em que não há requisitos predefinidos, recomendamos que você configure um Centro de Operações de Segurança (SOC) como parte do modelo operacional em nuvem. Normalmente, essa é uma prática de modelo operacional centralizado. Com essa abordagem, você pode direcionar eventos de várias fontes para uma equipe centralizada, que pode então acionar ações e respostas. Isso padroniza a governança da segurança por meio de operações na nuvem. AWS e AWS os parceiros têm a capacidade de ajudá-lo a criar um SOC e definir e implementar a orquestração, automação e resposta de segurança (SOAR). AWS e AWS os parceiros usam consultas de serviços profissionais Serviços da AWS, modelos definidos e ferramentas de terceiros dos AWS parceiros.

## Operações de segurança contínuas
<a name="ongoing-security-operations"></a>

Nesse domínio, execute as seguintes tarefas continuamente usando seus runbooks de operações de segurança e conformidade definidos:
+ **Monitoramento de segurança e conformidade** — realize o monitoramento centralizado de eventos e ameaças de segurança usando suas ferramentas Serviços da AWS, métricas, critérios e frequência definidos. A equipe de operações ou o SOC administram esse monitoramento contínuo, dependendo da estrutura da sua organização. O monitoramento de segurança envolve análise e correlação de grandes quantidades de registros e dados. Os dados de log vêm de endpoints, redes Serviços da AWS, infraestrutura e aplicativos e são armazenados em um repositório centralizado, como o [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) ou um sistema de gerenciamento de eventos e informações de segurança (SIEM). É importante configurar alertas para que você possa responder manual ou automaticamente aos eventos em tempo hábil.
+ **Gerenciamento de incidentes** — defina sua postura básica de segurança. Quando ocorrer um desvio de uma linha de base predefinida, seja por configuração incorreta ou por fatores externos, registre um incidente. Certifique-se de que uma equipe designada responda a esses incidentes. A base de um programa bem-sucedido de resposta a incidentes na nuvem é ter pessoas, processos e ferramentas integrados em cada estágio do programa de resposta a incidentes (preparação, operações e atividade pós-incidente). Educação, treinamento e experiência são vitais para um programa bem-sucedido de resposta a incidentes na nuvem. Idealmente, eles são implementados bem antes de ter que lidar com um possível incidente de segurança. Para obter mais informações sobre como configurar um programa eficaz de resposta a incidentes de segurança, consulte o [Guia de resposta a incidentes de AWS segurança](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/introduction.html).
+ **Validação de** segurança — A validação de segurança envolve a execução de avaliação de vulnerabilidade, testes de penetração e testes de eventos simulados de segurança caótica. A validação de segurança deve continuar sendo executada periodicamente, especialmente nos seguintes cenários:
  + Atualizações e lançamentos de software
  + Ameaças recém-identificadas, como malware, vírus ou worms
  + Requisitos de auditoria interna e externa
  + Violações de segurança

  É importante documentar o processo de validação de segurança e destacar as pessoas, o processo, o cronograma, as ferramentas e os modelos para coleta de dados e geração de relatórios. Isso padroniza as validações de segurança. Continue cumprindo a [política de suporte AWS ao cliente para testes de penetração](https://aws.amazon.com/security/penetration-testing/) ao executar validações de segurança na nuvem.
+ Auditorias **internas e externas — Conduza auditorias** internas e externas para validar se as configurações de segurança e conformidade atendem aos requisitos normativos ou de políticas internas. Realize auditorias periodicamente com base em um cronograma predefinido. As auditorias internas são normalmente conduzidas por uma equipe interna de segurança e risco. As auditorias externas são conduzidas por agências relevantes ou funcionários padrão. Você pode usar Serviços da AWS, como [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)e [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html), para facilitar o processo de auditoria. Esses serviços podem fornecer evidências relevantes para relatórios de auditoria de TI de segurança. Eles também podem simplificar o gerenciamento de riscos e conformidade com os padrões regulatórios e do setor, automatizando a coleta de evidências. Isso ajuda você a avaliar se as políticas, procedimentos e atividades conhecidos como *controles* estão operando de forma eficaz. Também é importante alinhar os requisitos de auditoria com seus parceiros de serviços gerenciados para garantir a conformidade.

**Análise da arquitetura de segurança** — conclua uma revisão e atualização periódicas de sua AWS arquitetura do ponto de vista de segurança e conformidade. Revise a arquitetura trimestralmente ou quando houver alterações na arquitetura. AWS continua lançando atualizações e aprimoramentos nos recursos e serviços de segurança e conformidade. Use a [Arquitetura AWS de Referência de Segurança](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) e a Ferramenta AWS Well Architected para facilitar essas revisões de arquitetura. É importante documentar sua implementação de segurança e conformidade e as alterações recomendadas após o processo de análise.

## AWS serviços de segurança para operações
<a name="aws-security-services"></a>

Você compartilha a responsabilidade AWS pela segurança e conformidade no Nuvem AWS. Esse relacionamento é descrito em detalhes no [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/). Enquanto AWS gerencia a segurança *da* nuvem, você é responsável pela segurança *na* nuvem. Você é responsável por proteger seu próprio conteúdo, infraestrutura, aplicativos, sistemas e redes, da mesma forma que faria com um data center local. Suas responsabilidades pela segurança e conformidade Nuvem AWS variam de acordo com os serviços que você usa, como você integra esses serviços ao seu ambiente de TI e as leis e regulamentações aplicáveis.

Uma vantagem disso Nuvem AWS é que ele permite que você escale e inove usando as AWS melhores práticas e serviços de segurança e conformidade. Isso ajuda você a manter um ambiente seguro pagando somente pelos serviços que você usa. Você também tem acesso aos mesmos serviços de AWS segurança e conformidade que as organizações corporativas altamente protegidas usam para proteger seus ambientes de nuvem.

Construir uma arquitetura de nuvem em uma base sólida e segura é a primeira e a melhor etapa para garantir a segurança e a conformidade da nuvem. No entanto, seus AWS recursos são tão seguros quanto você os configura. Uma postura eficaz de segurança e conformidade é alcançada somente por meio da adesão contínua e estrita em um nível operacional. As operações de segurança e conformidade podem ser amplamente agrupadas em cinco categorias:
+ Proteção de dados
+ Acesso e gerenciamento de identidade
+ Proteção de rede e aplicativos
+ Detecção de ameaças e monitoramento contínuo
+ Conformidade e privacidade de dados

AWS os serviços de segurança e conformidade são mapeados para essas categorias para ajudá-lo a atender a um conjunto abrangente de requisitos. Agrupados nessas categorias, a seguir estão os principais serviços AWS de segurança e conformidade e seus recursos. Esses serviços podem ajudar você a criar e aplicar a governança da segurança na nuvem.

### Proteção de dados
<a name="data-protection"></a>

AWS fornece os seguintes serviços que podem ajudá-lo a proteger seus dados, contas e cargas de trabalho contra acesso não autorizado:
+ [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)— Provisione, gerencie e implante SSL/TLS certificados para uso com Serviços da AWS.
+ [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html)— Gerencie seus módulos de segurança de hardware (HSMs) no Nuvem AWS.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) — Crie e controle as chaves usadas para criptografar seus dados.
+ [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) — Descubra, classifique e ajude a proteger dados confidenciais com recursos de segurança baseados em aprendizado de máquina.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)— alterne, gerencie e recupere credenciais de banco de dados, chaves de API e outros segredos ao longo de seu ciclo de vida.

### Gerenciamento de identidade e acesso
<a name="identity"></a>

Os serviços de AWS identidade a seguir ajudam você a gerenciar com segurança identidades, recursos e permissões em grande escala:
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) — Adicione cadastro, login e controle de acesso de usuários aos seus aplicativos web e móveis.
+ [AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html)— Use o Microsoft Active Directory gerenciado no Nuvem AWS.
+ [Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)— gerencie centralmente o acesso de login único (SSO) a vários Contas da AWS aplicativos e aplicativos comerciais.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) — Controle com segurança o acesso Serviços da AWS e os recursos.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)— implemente o gerenciamento baseado em políticas para vários. Contas da AWS
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) — Compartilhe AWS recursos em suas contas.

### Proteção de rede e aplicativos
<a name="network-app-protection"></a>

Essa categoria de serviços ajuda você a aplicar uma política de segurança refinada em pontos de controle de rede em toda a organização. O seguinte Serviços da AWS ajuda você a inspecionar e filtrar o tráfego para ajudar a impedir o acesso não autorizado a recursos nos limites do host, da rede e do aplicativo:
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)— configure e gerencie AWS WAF regras Contas da AWS e aplicativos em um local central.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)— Implemente proteções de rede essenciais para suas nuvens privadas virtuais (VPCs).
+ [Firewall de DNS do Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) — Ajude a proteger suas solicitações de DNS de saída do seu. VPCs
+ [AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)— Proteja seus aplicativos da web com a proteção DDo S gerenciada.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)— Configure e gerencie o Amazon Elastic Compute Cloud (Amazon EC2) e sistemas locais para aplicar patches de sistema operacional, criar imagens seguras do sistema e configurar sistemas operacionais.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) — Provisione uma seção logicamente isolada de AWS onde você pode lançar AWS recursos em uma rede virtual que você define.
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)— Ajude a proteger seus aplicativos da Web contra explorações comuns da Web.

### Detecção de ameaças e monitoramento contínuo
<a name="detection-monitoring"></a>

Os seguintes serviços de AWS monitoramento e detecção ajudam você a identificar possíveis incidentes de segurança em seu AWS ambiente:
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)— Rastreie a atividade do usuário e o uso da API para permitir a governança e a auditoria operacional e de risco do seu Conta da AWS.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)— registre e avalie as configurações de seus AWS recursos para ajudá-lo a auditar a conformidade, rastrear alterações nos recursos e analisar a segurança dos recursos.
+ [AWS Config regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) — crie regras que atuem automaticamente em resposta às mudanças em seu ambiente, como isolar recursos, enriquecer eventos com dados adicionais ou restaurar uma configuração para um estado em boas condições.
+ [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html) — Analise e visualize dados de segurança para chegar rapidamente à causa raiz de possíveis problemas de segurança.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) — Ajude a proteger suas Contas da AWS cargas de trabalho com detecção inteligente de ameaças e monitoramento contínuo.
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) — Automatize as avaliações de segurança para ajudar a melhorar a segurança e a conformidade de seus aplicativos que são implantados em. AWS
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)— Execute código sem provisionar ou gerenciar servidores para que você possa escalar sua resposta programada e automatizada a incidentes.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Visualize e gerencie alertas de segurança e automatize as verificações de conformidade a partir de um local central.

### Conformidade e privacidade de dados
<a name="compliance"></a>

O seguinte Serviços da AWS fornece uma visão abrangente do seu status de conformidade. Eles monitoram continuamente seu ambiente usando verificações automatizadas de conformidade baseadas nas AWS melhores práticas e nos padrões do setor:
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)— Obtenha acesso sob demanda a relatórios AWS de segurança e conformidade e selecione contratos on-line.
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)— audite continuamente seu AWS uso para simplificar a forma como você gerencia os riscos e mantém a conformidade com as regulamentações e os padrões do setor.