O valor do AWS SRA - AWS Orientação prescritiva
Como usar o AWS SRAPrincipais diretrizes de implementação da AWS SRA

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O valor do AWS SRA

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWS SRA) respondendo a uma breve pesquisa.

AWS tem um grande (e crescente) conjunto de serviços de segurança e relacionados à segurança. Os clientes expressaram gratidão pelas informações detalhadas disponíveis por meio de nossa documentação de serviço, postagens em blogs, tutoriais, conferências e conferências. Eles também nos dizem que querem entender melhor o panorama geral e ter uma visão estratégica dos serviços de AWS segurança. Quando trabalhamos com clientes para obter uma apreciação mais profunda do que eles precisam, surgem três prioridades:

  • Os clientes querem mais informações e padrões recomendados sobre como eles podem implantar, configurar e operar os serviços de AWS segurança de forma holística. Em quais contas e para quais objetivos de segurança os serviços devem ser implantados e gerenciados? Existe uma conta de segurança na qual todos ou a maioria dos serviços devem operar? Como a escolha do local (unidade organizacional ou Conta da AWS) influencia os objetivos de segurança? Quais compensações (considerações de design) os clientes devem conhecer?

  • Os clientes estão interessados em ver perspectivas diferentes para organizar logicamente os diversos serviços AWS de segurança. Além da função principal de cada serviço (por exemplo, serviços de identidade ou serviços de registro), esses pontos de vista alternativos ajudam os clientes a planejar, projetar e implementar sua arquitetura de segurança. Um exemplo compartilhado posteriormente neste documento agrupa os serviços com base nas camadas de proteção alinhadas à estrutura recomendada do seu AWS ambiente.

  • Os clientes estão procurando orientação e exemplos para integrar os serviços de segurança da maneira mais eficaz. Por exemplo, como eles devem se alinhar e se conectar melhor AWS Config com outros serviços para fazer o trabalho pesado em pipelines automatizados de auditoria e monitoramento? Os clientes estão pedindo orientação sobre como cada serviço de AWS segurança depende ou oferece suporte a outros serviços de segurança.

Abordamos cada um deles no AWS SRA. A primeira prioridade na lista (para onde as coisas vão) é o foco do diagrama da arquitetura principal e das discussões que o acompanham neste documento. Fornecemos uma AWS Organizations arquitetura recomendada e uma account-by-account descrição de quais serviços vão para onde. Para começar com a segunda prioridade da lista (como pensar no conjunto completo de serviços de segurança), leia a seção Aplicar serviços de segurança em sua AWS organização. Esta seção descreve uma forma de agrupar os serviços de segurança de acordo com a estrutura dos elementos em sua AWS organização. Além disso, essas mesmas ideias são refletidas na discussão da conta Application, que destaca como os serviços de segurança podem ser operados para se concentrar em determinadas camadas da conta: instâncias do Amazon Elastic Compute Cloud (Amazon EC2), redes Amazon Virtual Private Cloud (Amazon VPC) e a conta mais ampla. Finalmente, a terceira prioridade (integração de serviços) se reflete em toda a orientação, particularmente na discussão de serviços individuais nos guias de aprofundamento na biblioteca da AWS SRA e do código no repositório de códigos da SRA. AWS

Como usar o AWS SRA

Há diferentes maneiras de usar o AWS SRA, dependendo de onde você está em sua jornada de adoção da nuvem. Aqui está uma lista de maneiras de obter o máximo de informações sobre os ativos da AWS SRA (diagrama de arquitetura, orientação escrita e exemplos de código).

  • Defina o estado de destino para sua própria arquitetura de segurança.

    Se você está apenas começando sua Nuvem AWS jornada, configurando seu primeiro conjunto de contas, ou planejando aprimorar um AWS ambiente estabelecido, o AWS SRA é o lugar para começar a criar sua arquitetura de segurança. Comece com uma base abrangente de estrutura de contas e serviços de segurança e, em seguida, ajuste com base em sua pilha de tecnologia, habilidades, objetivos de segurança e requisitos de conformidade específicos. Se você sabe que criará e lançará mais cargas de trabalho, pode usar sua versão personalizada do AWS SRA como base para a arquitetura de referência de segurança da sua organização. Para descobrir como você pode atingir o estado alvo descrito pela AWS SRA, consulte a seção Construindo sua arquitetura de segurança — Uma abordagem em fases.  

  • Revise (e revise) os projetos e os recursos que você já implementou.

    Se você já tem um projeto e uma implementação de segurança, vale a pena dedicar algum tempo para comparar o que você tem com o AWS SRA. O AWS SRA foi projetado para ser abrangente e fornecer uma linha de base de diagnóstico para analisar sua própria segurança. Quando seus projetos de segurança se alinham ao AWS SRA, você pode se sentir mais confiante de que está seguindo as melhores práticas ao usar. Serviços da AWS Se seus projetos de segurança divergirem ou até discordarem das orientações do AWS SRA, isso não é necessariamente um sinal de que você está fazendo algo errado. Em vez disso, essa observação oferece a oportunidade de revisar seu processo de decisão. Há motivos comerciais e tecnológicos legítimos pelos quais você pode se desviar das melhores práticas da AWS SRA. Talvez seus requisitos específicos de conformidade, regulamentação ou segurança organizacional exijam configurações de serviço específicas. Ou, em vez de usar Serviços da AWS, você pode ter uma preferência de recurso por um produto do AWS Partner Network ou por um aplicativo personalizado que você criou e gerencia. Às vezes, durante essa análise, você pode descobrir que suas decisões anteriores foram tomadas com base em tecnologias, AWS recursos ou restrições comerciais mais antigas que não se aplicam mais. Essa é uma boa oportunidade para revisar, priorizar todas as atualizações e adicioná-las ao local apropriado da sua lista de pendências de engenharia. O que quer que você descubra ao avaliar sua arquitetura de segurança à luz da AWS SRA, você achará importante documentar essa análise. Ter esse registro histórico das decisões e suas justificativas pode ajudar a informar e priorizar decisões futuras.

  • Inicialize a implementação de sua própria arquitetura de segurança.

    Os módulos de infraestrutura como código (IaC) da AWS SRA fornecem uma maneira rápida e confiável de começar a criar e implementar sua arquitetura de segurança. Esses módulos são descritos mais detalhadamente na seção de repositório de código e no GitHub repositório público. Eles não apenas permitem que os engenheiros desenvolvam exemplos de alta qualidade dos padrões na orientação da AWS SRA, mas também incorporam controles de segurança recomendados, como políticas de senha do IAM, acesso público à conta de bloqueio do Amazon Simple Storage Service (Amazon S3), criptografia padrão EC2 da Amazon Elastic Block Store (Amazon EBS) e integração AWS Control Tower para que os controles sejam aplicados ou removidos à medida que novos são integrados ou desativado. Contas da AWS

  • Saiba mais sobre serviços e recursos de AWS segurança.

    As orientações e discussões na AWS SRA incluem recursos importantes, bem como considerações de implantação e gerenciamento para AWS segurança individual e serviços relacionados à segurança. Um recurso do AWS SRA é que ele fornece uma introdução de alto nível à amplitude dos serviços de AWS segurança e à forma como eles funcionam juntos em um ambiente com várias contas. Isso complementa o aprofundamento nos recursos e na configuração de cada serviço encontrado em outras fontes. Um exemplo disso é a discussão sobre como o AWS Security Hub Cloud Security Posture Management (AWS Security Hub CSPM) ingere descobertas de segurança de uma variedade de Serviços da AWS AWS Partner produtos e até mesmo de seus próprios aplicativos.

  • Promova uma discussão sobre governança organizacional e responsabilidades pela segurança.

    Um elemento importante para projetar e implementar qualquer arquitetura ou estratégia de segurança é entender quem em sua organização tem quais responsabilidades relacionadas à segurança. Por exemplo, a questão de onde agregar e monitorar as descobertas de segurança está ligada à questão de qual equipe será responsável por essa atividade. Todas as descobertas em toda a organização são monitoradas por uma equipe central que precisa acessar uma conta dedicada do Security Tooling? Ou as equipes individuais de aplicativos (ou unidades de negócios) são responsáveis por determinadas atividades de monitoramento e, portanto, precisam acessar determinadas ferramentas de alerta e monitoramento? Como outro exemplo, se sua organização tiver um grupo que gerencia todas as chaves de criptografia centralmente, isso influenciará quem tem permissão para criar chaves AWS Key Management Service (AWS KMS) e em quais contas essas chaves serão gerenciadas. Compreender as características de sua organização, as várias equipes e responsabilidades, ajudará você a adaptar o SRA para melhor atender às suas necessidades. AWS Por outro lado, às vezes, a discussão sobre a arquitetura de segurança se torna o ímpeto para discutir as responsabilidades organizacionais existentes e considerar possíveis mudanças. AWS recomenda um processo de tomada de decisão descentralizado em que as equipes de carga de trabalho sejam responsáveis por definir os controles de segurança com base em suas funções e requisitos de carga de trabalho. O objetivo da equipe centralizada de segurança e governança é criar um sistema que permita que os proprietários da carga de trabalho tomem decisões informadas e que todas as partes tenham visibilidade da configuração, das descobertas e dos eventos. O AWS SRA pode ser um veículo para identificar e informar essas discussões.

Principais diretrizes de implementação da AWS SRA

Aqui estão oito principais conclusões do AWS SRA que você deve ter em mente ao projetar e implementar sua segurança.  

  • AWS Organizations e uma estratégia adequada de várias contas são elementos necessários de sua arquitetura de segurança. A separação adequada de cargas de trabalho, equipes e funções fornece a base para a separação de tarefas e defense-in-depth estratégias. O guia abordará isso mais detalhadamente em uma seção posterior.

  • Defense-in-depth é uma consideração de design importante para selecionar controles de segurança para sua organização. Ele ajuda você a injetar os controles de segurança apropriados em diferentes camadas da AWS Organizations estrutura, o que ajuda a minimizar o impacto de um problema: se houver um problema com uma camada, existem controles em vigor que isolam outros recursos de TI valiosos. O AWS SRA demonstra como diferentes Serviços da AWS funções em diferentes camadas da pilha de AWS tecnologia e como o uso combinado desses serviços ajuda você a alcançar seus objetivos. defense-in-depth Esse defense-in-depth conceito AWS é discutido mais detalhadamente em uma seção posterior, com exemplos de design mostrados em Conta do aplicativo.

  • Use a ampla variedade de componentes de segurança em vários Serviços da AWS recursos para criar uma infraestrutura de nuvem robusta e resiliente. Ao adaptar o AWS SRA às suas necessidades específicas, considere não apenas a função Serviços da AWS e os recursos principais (por exemplo, autenticação, criptografia, monitoramento, política de permissão), mas também como eles se encaixam na estrutura de sua arquitetura. Uma seção posterior do guia descreve como alguns serviços operam em toda a AWS organização. Outros serviços funcionam melhor em uma única conta, e alguns são projetados para conceder ou negar permissão a diretores individuais. A consideração dessas duas perspectivas ajuda você a criar uma abordagem de segurança mais flexível e em camadas.

  • Sempre que possível (conforme detalhado nas seções posteriores), use o Serviços da AWS que pode ser implantado em todas as contas (distribuídas em vez de centralizadas) e crie um conjunto consistente de proteções compartilhadas que possam ajudar a proteger suas cargas de trabalho contra o uso indevido e a reduzir o impacto de eventos de segurança. O AWS SRA usa AWS Security Hub CSPM (monitoramento centralizado de localização e verificações de conformidade), Amazon GuardDuty (detecção de ameaças e detecção de anomalias) AWS Config (monitoramento de recursos e detecção de alterações), IAM Access Analyzer (monitoramento de acesso a recursos), AWS CloudTrail (registro da atividade da API do serviço em seu ambiente) e Amazon Macie (classificação de Serviços da AWS dados) como um conjunto básico a ser implantado em todos os ambientes. Conta da AWS

  • Use o recurso de administração delegada do AWS Organizations, onde houver suporte, conforme explicado posteriormente na seção de administração delegada do guia. Isso permite que você registre uma conta de AWS membro como administrador dos serviços suportados. A administração delegada oferece flexibilidade para diferentes equipes de sua empresa usarem contas separadas, conforme apropriado para suas responsabilidades, para gerenciar Serviços da AWS todo o ambiente. Além disso, o uso de um administrador delegado ajuda a limitar o acesso e gerenciar a sobrecarga de permissões da conta de AWS Organizations gerenciamento.

  • Implemente monitoramento, gerenciamento e governança centralizados em suas AWS organizações. Ao usar Serviços da AWS essa agregação de suporte de várias contas (e às vezes de várias regiões), junto com recursos de administração delegada, você capacita suas equipes centrais de engenharia de segurança, rede e nuvem a terem ampla visibilidade e controle sobre a configuração de segurança e a coleta de dados apropriadas. Além disso, os dados podem ser devolvidos às equipes de carga de trabalho para capacitá-las a tomar decisões de segurança eficazes no início do ciclo de vida de desenvolvimento de software (SDLC).

  • Use AWS Control Tower para configurar e controlar seu AWS ambiente de várias contas com a implementação de controles de segurança pré-criados para iniciar sua construção de arquitetura de referência de segurança. AWS Control Tower fornece um plano para fornecer gerenciamento de identidade, acesso federado às contas, registro centralizado e fluxos de trabalho definidos para provisionar contas adicionais. Em seguida, você pode usar a solução Customizations for AWS Control Tower (cFCT) para definir as contas gerenciadas AWS Control Tower com controles adicionais de segurança, configurações de serviço e governança, conforme demonstrado pelo repositório de códigos da SRA. AWS O recurso de fábrica de contas provisiona automaticamente novas contas com modelos configuráveis com base na configuração de conta aprovada para padronizar as contas em suas organizações. AWS Você também pode estender a governança a um indivíduo existente Conta da AWS inscrevendo-o em uma unidade organizacional (OU) que já é governada por. AWS Control Tower

  • Os exemplos de código do AWS SRA demonstram como você pode automatizar a implementação de padrões no guia do AWS SRA usando a infraestrutura como código (IaC). Ao codificar os padrões, você pode tratar o IaC como outros aplicativos em sua organização e automatizar os testes antes de implantar o código. O IaC também ajuda a garantir a consistência e a repetibilidade implantando grades de proteção em vários ambientes (por exemplo, SDLC ou específicos da região). Os exemplos de código SRA podem ser implantados em um ambiente de AWS Organizations várias contas com ou sem. AWS Control Tower As soluções necessárias neste repositório AWS Control Tower foram implantadas e testadas em um AWS Control Tower ambiente usando AWS CloudFormation e personalizações para AWS Control Tower (cFct). As soluções que não exigem AWS Control Tower foram testadas em um AWS Organizations ambiente usando AWS CloudFormation. Se você não usar AWS Control Tower, poderá usar a solução de implantação AWS Organizations baseada.