As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Aplique serviços de segurança em toda a sua AWS organização

Conforme descrito na seção anterior, os clientes estão procurando uma forma adicional de pensar e organizar estrategicamente o conjunto completo de serviços de AWS segurança. Atualmente, a abordagem organizacional mais comum é agrupar os serviços de segurança por função principal, de acordo com o que cada serviço faz. A perspectiva de segurança do AWS CAF lista nove recursos funcionais, incluindo gerenciamento de identidade e acesso, proteção de infraestrutura, proteção de dados e detecção de ameaças. Serviços da AWS Combinar esses recursos funcionais é uma forma prática de tomar decisões de implementação em cada área. Por exemplo, ao analisar o gerenciamento de identidade e acesso, o IAM e o IAM Identity Center são serviços a serem considerados. Ao arquitetar sua abordagem de detecção de ameaças, GuardDuty pode ser sua primeira consideração.

Como complemento a essa visão funcional, você também pode visualizar sua segurança com uma visão estrutural transversal. Ou seja, além de perguntar: “O que Serviços da AWS devo usar para controlar e proteger minhas identidades, acesso lógico ou mecanismos de detecção de ameaças?” , você também pode perguntar: “O que Serviços da AWS devo aplicar em toda a minha AWS organização? Quais são as camadas de defesa que eu deveria implementar para proteger as EC2 instâncias da Amazon no centro do meu aplicativo?” Nesta visualização, você mapeia Serviços da AWS e feições para camadas em seu AWS ambiente. Alguns serviços e recursos são ideais para implementar controles em toda a organização da AWS . Por exemplo, bloquear o acesso público aos buckets do Amazon S3 é um controle específico nessa camada. De preferência, isso deve ser feito na organização raiz, em vez de fazer parte da configuração da conta individual. Outros serviços e recursos são melhor usados para ajudar a proteger recursos individuais em um Conta da AWS. A implementação de uma autoridade de certificação (CA) subordinada em uma conta que exige certificados TLS privados é um exemplo dessa categoria. Outro agrupamento igualmente importante consiste em serviços que afetam a camada de rede virtual da sua AWS infraestrutura. O diagrama a seguir mostra seis camadas em um AWS ambiente típico: AWS organização, unidade organizacional (OU), conta, infraestrutura de rede, diretores e recursos.

Compreender os serviços nesse contexto estrutural, incluindo os controles e proteções em cada camada, ajuda você a planejar e implementar uma defense-in-depth estratégia em todo o seu AWS ambiente. Com essa perspectiva, você pode responder a perguntas de cima para baixo (por exemplo, “Quais serviços estou usando para implementar controles de segurança em toda a minha AWS organização?”) e de baixo para cima (por exemplo, “Quais serviços gerenciam controles nessa EC2 instância?”). Nesta seção, examinamos os elementos de um AWS ambiente e identificamos os serviços e recursos de segurança associados. Obviamente, alguns Serviços da AWS têm amplos conjuntos de recursos e oferecem suporte a vários objetivos de segurança. Esses serviços podem oferecer suporte a vários elementos do seu AWS ambiente.

Para maior clareza, fornecemos breves descrições de como alguns dos serviços atendem aos objetivos estabelecidos. A próxima seção fornece uma discussão mais aprofundada sobre os serviços individuais em cada um Conta da AWS.

Contas múltiplas ou em toda a organização

No nível superior, existem Serviços da AWS recursos projetados para aplicar recursos de governança e controle ou barreiras em várias contas em uma AWS organização (incluindo toda a organização ou específicas OUs). As políticas de controle de serviço (SCPs) e as políticas de controle de recursos (RCPs) são bons exemplos de recursos do IAM que fornecem proteções preventivas em toda a AWS organização. AWS Organizations também fornece uma política declarativa que define e impõe centralmente a configuração de linha de base para em grande escala. Serviços da AWS Outro exemplo é CloudTrail, que fornece monitoramento por meio de uma trilha organizacional que registra todos os eventos de todos Contas da AWS nessa AWS organização. Essa trilha abrangente é diferente das trilhas individuais que podem ser criadas em cada conta. Um terceiro exemplo é AWS Firewall Manager o que você pode usar para configurar, aplicar e gerenciar vários recursos em todas as contas da sua AWS organização: AWS WAF regras, regras AWS WAF clássicas, AWS Shield Advanced proteções, grupos AWS Network Firewall de segurança, políticas Amazon Route 53 Resolver e políticas de firewall de DNS da Amazon Virtual Private Cloud (Amazon VPC).

Os serviços marcados com um asterisco (*) no diagrama a seguir operam com um escopo duplo: em toda a organização e focado na conta. Esses serviços basicamente monitoram ou ajudam a controlar a segurança em uma conta individual. No entanto, eles também oferecem suporte à capacidade de agregar os resultados de várias contas em uma conta de toda a organização para visibilidade e gerenciamento centralizados. Para maior clareza, considere SCPs a possibilidade de aplicar em toda uma OU ou AWS organização. Conta da AWS Por outro lado, você pode configurar e gerenciar GuardDuty tanto no nível da conta (onde as descobertas individuais são geradas) quanto no nível da AWS organização (usando o recurso de administrador delegado), onde as descobertas podem ser visualizadas e gerenciadas de forma agregada.

AWS contas

Dentro OUs, existem serviços que ajudam a proteger vários tipos de elementos em um Conta da AWS. Por exemplo, geralmente AWS Secrets Manager é gerenciado a partir de uma conta específica e protege recursos (como credenciais de banco de dados ou informações de autenticação), aplicativos e Serviços da AWS nessa conta. O IAM Access Analyzer pode ser configurado para gerar descobertas quando recursos especificados são acessíveis por diretores fora do. Conta da AWS Conforme mencionado na seção anterior, muitos desses serviços também podem ser configurados e administrados internamente AWS Organizations, para que possam ser gerenciados em várias contas. Esses serviços estão marcados com um asterisco (*) no diagrama. Eles também facilitam a agregação de resultados de várias contas e a entrega desses resultados em uma única conta. Isso dá às equipes de aplicativos individuais a flexibilidade e a visibilidade para gerenciar as necessidades de segurança específicas de sua carga de trabalho, além de permitir governança e visibilidade às equipes de segurança centralizadas. GuardDuty é um exemplo desse serviço. GuardDuty monitora recursos e atividades associados a uma única conta, e GuardDuty as descobertas de várias contas de membros (como todas as contas em uma AWS organização) podem ser coletadas, visualizadas e gerenciadas a partir de uma conta de administrador delegado.

Rede virtual, computação e entrega de conteúdo

Como o acesso à rede é muito importante em termos de segurança e a infraestrutura computacional é um componente fundamental de muitas AWS cargas de trabalho, há muitos serviços e recursos de AWS segurança dedicados a esses recursos. Por exemplo, o Amazon Inspector é um serviço de gerenciamento de vulnerabilidades que verifica continuamente suas AWS cargas de trabalho em busca de vulnerabilidades. Essas verificações incluem verificações de acessibilidade de rede que indicam que há caminhos de rede permitidos para EC2 instâncias da Amazon em seu ambiente. A Amazon VPC permite que você defina uma rede virtual na qual você pode lançar AWS recursos. Essa rede virtual se assemelha muito a uma rede tradicional e inclui uma variedade de recursos e benefícios. Os VPC endpoints permitem que você conecte sua VPC de forma privada aos serviços compatíveis Serviços da AWS e aos serviços de endpoint fornecidos por eles, AWS PrivateLink sem precisar de um caminho para a Internet. O diagrama a seguir ilustra os serviços de segurança que se concentram na infraestrutura de rede, computação e entrega de conteúdo.

Diretores e recursos

AWS diretores e AWS recursos (junto com as políticas do IAM) são os elementos fundamentais no gerenciamento de identidade e acesso em AWS. Um principal autenticado AWS pode realizar ações e acessar AWS recursos. Um principal pode ser autenticado como usuário Conta da AWS raiz e usuário do IAM ou assumindo uma função. 

Um AWS recurso é um objeto que existe dentro de um AWS service (Serviço da AWS) com o qual você pode trabalhar. Os exemplos incluem uma EC2 instância, uma CloudFormation pilha, um tópico do Amazon Simple Notification Service (Amazon SNS) e um bucket do S3. As políticas do IAM são objetos que definem permissões quando são associadas a um principal (usuário, grupo ou função) ou AWS recurso do IAM. Políticas baseadas em identidade são documentos de política que você anexa a um diretor (funções, usuários e grupos de usuários) para controlar quais ações um diretor pode realizar, em quais recursos e sob quais condições. Políticas baseadas em recursos são documentos de política que você anexa a um recurso, como um bucket do S3. Essas políticas concedem ao principal especificado permissão para realizar ações específicas nesse recurso e definem as condições dessa permissão. As políticas baseadas em recursos são políticas em linha. A seção de recursos do IAM se aprofunda nos tipos de políticas do IAM e em como elas são usadas.

Para simplificar as coisas nessa discussão, listamos serviços e recursos de AWS segurança para diretores do IAM que têm como objetivo principal operar ou se candidatar aos diretores de contas. Mantemos essa simplicidade e, ao mesmo tempo, reconhecemos a flexibilidade e a amplitude dos efeitos das políticas de permissão do IAM. Uma única declaração em uma política pode ter efeitos em vários tipos de AWS entidades. Por exemplo, embora uma política baseada em identidade do IAM esteja associada a um principal do IAM e defina permissões (permitir, negar) para esse principal, a política também define implicitamente as permissões para as ações, recursos e condições especificados. Dessa forma, uma política baseada em identidade pode ser um elemento crítico na definição de permissões para um recurso.

O diagrama a seguir ilustra os serviços e recursos de AWS segurança para AWS diretores. As políticas baseadas em identidade são anexadas a um usuário, grupo ou função do IAM. Essas políticas permitem que você especifique o que cada identidade pode fazer (suas respectivas permissões). Uma política de sessão do IAM é uma política de permissões em linha que os usuários passam na sessão quando assumem a função. Você mesmo pode passar a política ou configurar seu agente de identidade para inserir a política quando suas identidades forem federadas. AWS Isso permite que seus administradores reduzam o número de funções que precisam criar, porque vários usuários podem assumir a mesma função, mas têm permissões de sessão exclusivas. O serviço IAM Identity Center é integrado às operações de AWS API AWS Organizations e ajuda você a gerenciar o acesso ao SSO e as permissões de usuário em toda a sua entrada Contas da AWS . AWS Organizations

O diagrama a seguir ilustra os serviços e recursos dos recursos da conta. Políticas baseadas em recurso são anexadas a um recurso. Por exemplo, você pode anexar políticas baseadas em recursos a buckets do S3, filas do Amazon Simple Queue Service (Amazon SQS), endpoints de VPC e chaves de criptografia. AWS KMS Você pode usar políticas baseadas em recursos para especificar quem tem acesso ao recurso e quais ações eles podem realizar nele. Políticas de bucket do S3, políticas de AWS KMS chaves e políticas de VPC endpoint são tipos de políticas baseadas em recursos. O IAM Access Analyzer ajuda você a identificar os recursos em sua organização e suas contas, como buckets do S3 ou funções do IAM, que são compartilhados com uma entidade externa. Isso permite identificar o acesso não intencional aos seus recursos e dados, o que é um risco de segurança. AWS Config permite que você avalie, audite e avalie as configurações dos AWS recursos suportados em seu Contas da AWS. AWS Config monitora e registra continuamente as configurações AWS dos recursos e avalia automaticamente as configurações gravadas em relação às configurações desejadas.