As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Recomendações de controle de segurança para a proteção de dados

O AWS Well-Architected Framework agrupa as melhores práticas para proteção de dados em três categorias: classificação de dados, proteção de dados em repouso e proteção de dados em trânsito. Os controles de segurança nesta seção podem ajudar você a implementar as práticas recomendadas de proteção de dados. Essas práticas recomendadas básicas devem estar em vigor antes de você arquitetar qualquer workload na nuvem. Elas evitam o manuseio incorreto de dados e ajudam você a cumprir as obrigações organizacionais, regulatórias e de conformidade. Use os controles de segurança nesta seção para implementar as práticas recomendadas de proteção de dados.

Identificar e classificar dados no nível da workload

Classificação de dados é um processo para identificar e categorizar os dados em sua rede com base em criticalidade e confidencialidade. É um componente crítico de qualquer estratégia de gerenciamento de riscos de segurança cibernética, pois ajuda a determinar os controles adequados de proteção e retenção para os dados. A classificação de dados geralmente reduz a frequência da duplicação de dados. Isso pode reduzir os custos de armazenamento e backup e acelerar as pesquisas.

Recomendamos que compreenda o tipo e a classificação dos dados que a workload está processando, os processos de negócios associados, onde os dados são armazenados e quem é o proprietário deles. A classificação de dados ajuda os proprietários das workloads a identificar locais que armazenam dados sensíveis e a determinar como eles devem ser acessados e compartilhados. As tags são pares de valores-chave que atuam como metadados para organizar os recursos. AWS As tags podem ajudar você a gerenciar, identificar, organizar, pesquisar e filtrar recursos.

Para saber mais, consulte os seguintes recursos:

Estabelecer controles para cada nível de classificação de dados

Defina controles de proteção de dados para cada nível de classificação. Por exemplo, use controles recomendados para proteger dados classificados como públicos e proteger dados sensíveis com controles adicionais. Use mecanismos e ferramentas para reduzir ou eliminar a necessidade de acesso direto ou processamento manual de dados. A automação da identificação e classificação de dados reduz o risco de erros de classificação, manuseio incorreto, modificação ou erro humano.

Por exemplo, considere usar o Amazon Macie para verificar os buckets do Amazon Simple Storage Service (Amazon S3) em busca de dados sensíveis, como informações de identificação pessoal (PII). Além disso, você pode automatizar a detecção de acesso não intencional a dados usando o VPC Flow Logs na Amazon Virtual Private Cloud (Amazon VPC).

Para saber mais, consulte os seguintes recursos:

Criptografia de dados em repouso

Dados em repouso são dados estacionários em sua rede, como dados que estão em um armazenamento. A implementação de criptografia e controles de acesso adequados para dados em repouso ajuda a reduzir o risco de acesso não autorizado. Criptografia é um processo de computação que transforma dados de texto simples, legíveis por humanos, em texto cifrado. Você precisa de uma chave de criptografia para descriptografar o conteúdo novamente em texto simples para que ele possa ser usado. No Nuvem AWS, você pode usar AWS Key Management Service (AWS KMS) para criar e controlar chaves criptográficas que ajudam a proteger seus dados.

Conforme analisado em Estabelecer controles para cada nível de classificação de dados, recomendamos a criação de uma política que especifique que tipo de dados requer criptografia. Inclua critérios para determinar quais dados devem ser criptografados e quais dados devem ser protegidos com outra técnica, como tokenização ou hashing.

Para saber mais, consulte os seguintes recursos:

Criptografar dados em trânsito

Dados em trânsito que estão se movendo ativamente pela sua rede, como entre os recursos da rede. Criptografe todos os dados em trânsito usando suítes de cifras e protocolos TLS seguros. O tráfego de rede entre seus recursos e a internet deve ser criptografado para ajudar a prevenir o acesso não autorizado aos dados. Quando possível, use o TLS para criptografar o tráfego de rede em seu ambiente interno AWS .

Para saber mais, consulte os seguintes recursos:

Bloquear o acesso público aos snapshots do Amazon EBS

O Amazon Elastic Block Store (Amazon EBS) oferece volumes de armazenamento ao nível do bloco para usar com instâncias do Amazon Elastic Compute Cloud (Amazon EC2). Você pode fazer backup dos dados dos seus volumes do Amazon EBS no Amazon S3 tirando point-in-time snapshots. Você pode compartilhar instantâneos publicamente com todos os outros Contas da AWS ou compartilhá-los de forma privada com a pessoa Contas da AWS que você especificar.

Recomendamos que você não compartilhe publicamente os snapshots do Amazon EBS. Isso pode inadvertidamente expor dados sensíveis. Ao compartilhar um snapshot, você está oferecendo a outras pessoas o acesso aos dados no snapshot. Compartilhe snapshots somente com pessoas que sejam de sua total confiança para lidar com esses dados.

Para saber mais, consulte os seguintes recursos:

Bloquear o acesso público aos snapshots do Amazon RDS

O Amazon Relational Database Service (Amazon RDS) ajuda você a configurar, operar e escalar um banco de dados relacional na Nuvem AWS. O Amazon RDS cria e salva backups automáticos da sua instância de banco de dados ou do cluster de banco de dados multi-AZ durante a janela de backup da instância de banco de dados. O Amazon RDS cria um snapshot do volume de armazenamento de sua instância de banco de dados, fazendo o backup de toda a instância de banco de dados, não apenas dos bancos de dados individuais. Você pode compartilhar um snapshot manual com o objetivo de copiar o snapshot ou restaurar uma instância de banco de dados com base nele.

Se você compartilhar um snapshot como público, certifique-se de que nenhum dos dados dele seja privado ou confidencial. Quando um snapshot é compartilhado publicamente, ele concede a todas as Contas da AWS permissão para acessar os dados. Isso pode resultar em exposição não intencional de dados em sua instância do Amazon RDS.

Para saber mais, consulte os seguintes recursos:

Bloqueie o acesso público ao Amazon RDS, Amazon Redshift e recursos AWS DMS

Você pode configurar instâncias de banco de dados do Amazon RDS, clusters do Amazon Redshift AWS Database Migration Service e AWS DMS() instâncias de replicação para serem acessíveis publicamente. Se o valor do campo publiclyAccessible for true, esses recursos estarão acessíveis publicamente. Permitir o acesso público pode resultar em tráfego, exposição ou vazamentos de dados desnecessários. Recomendamos que você não permita o acesso público a esses recursos.

Recomendamos que você habilite AWS Config regras ou controles CSPM do Security Hub para detectar se as instâncias de banco de dados, as instâncias de AWS DMS replicação ou os clusters do Amazon Redshift do Amazon RDS permitem acesso público.

Para saber mais, consulte os seguintes recursos:

Bloquear o acesso público aos buckets do Amazon S3

É uma prática recomendada de segurança do Amazon S3 para garantir que seus buckets não sejam acessíveis ao público. A não ser que seja absolutamente necessário que alguém na internet possa ler ou gravar no seu bucket, certifique-se de que ele não seja público. Isso ajuda a proteger a integridade e a segurança dos dados. Você pode usar AWS Config regras e controles CSPM do Security Hub para confirmar se seus buckets do Amazon S3 estão em conformidade com essa melhor prática.

Para saber mais, consulte os seguintes recursos:

Exigir MFA para excluir dados em buckets críticos do Amazon S3

Ao trabalhar com o Versionamento do S3 em buckets do Amazon S3, você pode, opcionalmente, adicionar outra camada de segurança configurando um bucket para habilitar a exclusão de MFA (autenticação multifator). Quando você faz isso, o proprietário do bucket precisa incluir dois formulários de autenticação em qualquer solicitação para excluir uma versão ou modificar o estado de versionamento do bucket. Recomendamos a habilitação desse recurso para buckets que contêm dados essenciais para sua organização. Isso pode evitar exclusões acidentais de buckets e dados.

Para saber mais, consulte os seguintes recursos:

Configurar domínios OpenSearch do Amazon Service em uma VPC

O Amazon OpenSearch Service é um serviço gerenciado que ajuda você a implantar, operar e escalar OpenSearch clusters no Nuvem AWS. O Amazon OpenSearch Service oferece suporte OpenSearch a um software de código Elasticsearch aberto (OSS) legado. Os domínios do Amazon OpenSearch Service implantados em uma VPC podem se comunicar com recursos da VPC pela AWS rede privada, sem a necessidade de atravessar a Internet pública. Essa configuração melhora sua postura de segurança restringindo o acesso aos dados em trânsito. Recomendamos que você não anexe domínios do Amazon OpenSearch Service a sub-redes públicas e que a VPC seja configurada de acordo com as melhores práticas.

Para saber mais, consulte os seguintes recursos:

Configurar alertas para AWS KMS key exclusão

AWS Key Management Service (AWS KMS) as chaves não podem ser recuperadas depois de serem excluídas. Se uma chave do KMS for excluída, os dados que ainda estiverem criptografados sob essa chave serão permanentemente irrecuperáveis. Se precisar manter o acesso aos dados, antes de excluir a chave, você deverá descriptografá-los ou recriptografá-los com uma nova chave do KMS. Só exclua uma chave do KMS quando você tiver certeza de que não vai mais precisar dela.

Recomendamos que você configure um CloudWatch alarme da Amazon que o notifique se alguém iniciar a exclusão de uma chave KMS. Como é destrutivo e potencialmente perigoso excluir uma chave KMS, é AWS KMS necessário definir um período de espera e programar a exclusão em 7 a 30 dias. Isso possibilita revisar a exclusão programada e cancelá-la, se necessário.

Para saber mais, consulte os seguintes recursos:

Bloquear o acesso público ao AWS KMS keys

As políticas de chaves são a principal forma de controlar o acesso às AWS KMS keys. Cada chave do KMS tem exatamente uma política de chaves. Permitir acesso anônimo às chaves do KMS pode levar a um vazamento de dados sensíveis. Recomendamos que você identifique todas as chaves do KMS acessíveis publicamente e atualize suas políticas de acesso para evitar solicitações sem assinatura feitas a esses recursos.

Para saber mais, consulte os seguintes recursos:

Configurar receptores do balanceador de carga para usar protocolos seguros

O Elastic Load Balancing distribui automaticamente o tráfego de entrada das aplicações entre vários destinos. Você configura seu load balancer para aceitar o tráfego de entrada especificando um ou mais listeners. Um receptor é um processo que verifica solicitações de conexão usando o protocolo e a porta configurados por você. Cada tipo de balanceador de carga é compatível com diferentes protocolos e portas:

Recomendamos sempre usar o protocolo HTTPS ou TLS. Esses protocolos garantem que o balanceador de carga seja responsável por criptografar e descriptografar o tráfego entre o cliente e o destino.

Para saber mais, consulte os seguintes recursos: