As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Recomendações de controle de segurança para a proteção de infraestrutura

A proteção da infraestrutura é uma parte essencial de qualquer programa de segurança. Ele inclui metodologias de controle que ajudam você a proteger suas redes e recursos computacionais. Exemplos de proteção de infraestrutura incluem limites de confiança, uma defense-in-depth abordagem, fortalecimento da segurança, gerenciamento de patches e autenticação e autorização do sistema operacional. Para obter mais informações, consulte Proteção de infraestrutura no AWS Well-Architected Framework. Os controles de segurança nesta seção podem ajudar você a implementar as práticas recomendadas para proteção da infraestrutura.

Especifique objetos raiz padrão para CloudFront distribuições

A Amazon CloudFront acelera a distribuição do seu conteúdo da web entregando-o por meio de uma rede mundial de data centers, o que reduz a latência e melhora o desempenho. Se você não definir um objeto raiz padrão, as solicitações da raiz da distribuição passarão para o servidor de origem. Se você estiver usando uma origem do Amazon Simple Storage Service (Amazon S3), a solicitação poderá retornar uma lista do conteúdo em seu bucket do S3 ou uma lista do conteúdo privado de sua origem. A especificação de um objeto raiz padrão ajuda você a evitar a exposição do conteúdo da sua distribuição.

Para saber mais, consulte os seguintes recursos:

Verificar o código da aplicação para identificar problemas comuns de segurança

O AWS Well-Architected Framework recomenda que você escaneie bibliotecas e dependências em busca de problemas e defeitos. Há muitas ferramentas de análise de código-fonte que você pode usar para verificá-lo. Por exemplo, a Amazon CodeGuru pode verificar problemas de segurança comuns em Java nossos Python aplicativos e fornecer recomendações para remediação.

Para saber mais, consulte os seguintes recursos:

Crie camadas de rede usando redes dedicadas VPCs e sub-redes

O AWS Well-Architected Framework recomenda que você agrupe componentes que compartilham requisitos de sensibilidade em camadas. Isso minimiza o escopo potencial do impacto do acesso não autorizado. Por exemplo, um cluster de banco de dados que não exige acesso à internet deve ser colocado em uma sub-rede privada de sua VPC para garantir que não haja nenhuma rota de ou para a internet.

AWS oferece muitos serviços que podem ajudá-lo a testar e identificar a acessibilidade pública. Por exemplo, o Reachability Analyzer é uma ferramenta de análise de configuração que ajuda você a testar a conectividade entre os recursos de origem e destino em seu. VPCs O Analisador de Acesso à Rede também ajuda a identificar o acesso à rede não intencional aos seus recursos.

Para saber mais, consulte os seguintes recursos:

Restringir o tráfego de entrada somente às portas autorizadas

O acesso irrestrito, como o tráfego do endereço IP de 0.0.0.0/0 origem, aumenta o risco de atividades maliciosas, como invasões, ataques ( denial-of-serviceDoS) e perda de dados. Os grupos de segurança fornecem filtragem com estado do tráfego de entrada e saída da rede para os recursos. AWS Nenhum grupo de segurança deve permitir acesso irrestrito a portas bem conhecidas, como SSH e protocolo de área de trabalho remota do Windows. Para tráfego de entrada, em seus grupos de segurança, permita somente conexões TCP ou UDP em portas autorizadas. Para se conectar às instâncias do Amazon Elastic Compute Cloud (Amazon EC2), use o Gerenciador de Sessões ou o Run Command em vez do acesso direto via SSH ou RDP.

Para saber mais, consulte os seguintes recursos:

Bloquear o acesso público aos documentos do Systems Manager

A menos que seu caso de uso exija que o compartilhamento público seja ativado, as AWS Systems Manager melhores práticas recomendam que você bloqueie o compartilhamento público de documentos do Systems Manager. O compartilhamento público pode fornecer acesso não intencional aos documentos. Um documento do Systems Manager público pode expor informações valiosas e sensíveis sobre sua conta, recursos e processos internos.

 Para saber mais, consulte os seguintes recursos:

Bloquear o acesso público às funções do Lambda

O AWS Lambda é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. As funções do Lambda não devem ser publicamente acessíveis, pois isso pode possibilitar o acesso não intencional ao seu código de função.

Recomendamos que você configure políticas baseadas em recursos para funções do Lambda para negar acesso de fora da sua conta. Você pode fazer isso removendo as permissões ou adicionando a condição AWS:SourceAccount à instrução que permite o acesso. Você pode atualizar as políticas baseadas em recursos para funções do Lambda por meio da API do Lambda ou da AWS Command Line Interface (AWS CLI).

Também recomendamos que habilite o controle [Lambda.1] As políticas de função Lambda devem proibir o acesso público no AWS Security Hub CSPM. Esse controle valida que as políticas baseadas em recursos para funções do Lambda proíbam o acesso público.

Para saber mais, consulte os seguintes recursos:

Restringir o tráfego de entrada e saída no grupo de segurança padrão.

Se você não associar um grupo de segurança personalizado ao provisionar um AWS recurso, o recurso será associado ao grupo de segurança padrão da VPC. As regras padrão para esse grupo de segurança permitem todo o tráfego de entrada de todos os recursos atribuídos a esse grupo de segurança e permitem todo o tráfego de saída IPv4 e IPv6 de saída. Isso pode permitir tráfego não intencional para o recurso.

AWS recomenda que você não use o grupo de segurança padrão. Em vez disso, crie grupos de segurança personalizados para recursos ou grupos de recursos específicos.

Como o grupo de segurança padrão não pode ser excluído, recomendamos alterar as regras do grupo de segurança padrão para restringir o tráfego de entrada e saída. Ao configurar as regras do grupo de segurança, siga o princípio do privilégio mínimo.

Também recomendamos que você habilite o [EC2.2] Os grupos de segurança padrão da VPC não devem permitir o controle de tráfego de entrada ou saída no CSPM do Security Hub. Esse controlevalida que o grupo de segurança padrão de uma VPC não permite tráfego de entrada ou saída.

Para saber mais, consulte os seguintes recursos:

Verificar em busca de vulnerabilidades e exposição não intencional da rede

Recomendamos que habilite o Amazon Inspector em todas as suas contas. O Amazon Inspector é um serviço de gerenciamento de vulnerabilidades que verifica continuamente as instâncias do Amazon EC2, imagens de contêiner do Amazon Elastic Container Registry (Amazon ECR) e funções do Lambda em busca de vulnerabilidades de software e exposição não intencional da rede. Ele também é compatível com uma inspeção profunda das instâncias do Amazon EC2. Quando o Amazon Inspector identifica uma vulnerabilidade ou um caminho de rede aberto, ele gera uma descoberta que é possível de investigar. Se o Amazon Inspector e o Security Hub CSPM estiverem ambos configurados em sua conta, o Amazon Inspector enviará automaticamente as descobertas de segurança ao CSPM do Security Hub para gerenciamento centralizado.

Para saber mais, consulte os seguintes recursos:

Configurar AWS WAF

AWS WAFé um firewall de aplicativo web que ajuda você a monitorar e bloquear solicitações HTTP ou HTTPS que são encaminhadas para seus recursos protegidos de aplicativos web, como Amazon API Gateway APIs, CloudFront distribuições da Amazon ou Application Load Balancers. Com base nos critérios que você especifica, o serviço responde às solicitações com o conteúdo solicitado, com um código de status HTTP 403 (Proibido) ou com uma resposta personalizada. AWS WAF pode ajudar a proteger aplicativos da Web ou APIs contra explorações comuns da Web que podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos. Considere configurar AWS WAF Contas da AWS e usar uma combinação de regras AWS gerenciadas, regras personalizadas e integrações de parceiros para ajudar a proteger seus aplicativos contra ataques na camada de aplicativos (camada 7).

Para saber mais, consulte os seguintes recursos:

Configure proteções avançadas contra ataques DDo S

AWS Shieldfornece proteções contra ataques distribuídos de negação de serviço (DDoS) para AWS recursos nas camadas de rede e transporte (camadas 3 e 4) e na camada de aplicação (camada 7). Este serviço está disponível em duas opções: AWS Shield Standard AWS Shield Advanced e. O Shield Standard protege automaticamente AWS os recursos suportados, sem custo adicional.

Recomendamos que você assine o Shield Advanced, que fornece proteção expandida contra ataques DDo S para recursos protegidos. As proteções que você recebe do Shield Advanced variam dependendo de suas opções de arquitetura e configuração. Considere a implementação das proteções do Shield Advanced para aplicativos em que você precisa de qualquer um dos seguintes:

Para saber mais, consulte os seguintes recursos:

Use uma defense-in-depth abordagem para controlar o tráfego de rede

AWS Network Firewall é um serviço gerenciado e estável de firewall de rede e detecção e prevenção de intrusões para nuvens privadas virtuais (VPCs) no. Nuvem AWS Ela ajuda você a implantar proteções de rede essenciais no perímetro da VPC. Isso inclui filtrar o tráfego que entra e sai de um gateway da internet, gateway NAT ou por VPN ou AWS Direct Connect. O Network Firewall inclui recursos que ajudam a proteger contra ameaças comuns à rede. O firewall com estado no Network Firewall pode incorporar o contexto dos fluxos de tráfego, como conexões e protocolos, para aplicar políticas.

Para saber mais, consulte os seguintes recursos: