As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Amadurecer: ajuste e avaliação de processos, ferramentas e riscos
<a name="mature"></a>

Na fase madura do modelo de segurança na nuvem, o foco está no alinhamento das equipes de segurança com os recursos de segurança do AWS Cloud Adoption Framework (AWS CAF) e na instituição de processos ágeis. Esse alinhamento ajuda equipes especializadas a acelerar a inovação em curtos intervalos, além de incorporar roteiros e planejamento de longo prazo. A fase de maturidade enfatiza a colaboração com as operações de TI e o aperfeiçoamento de competências especializadas e aprofundadas em nuvem. Cada recurso de segurança implementa ferramentas e processos essenciais para aumentar a eficiência e o impacto, acompanhados pelo desenvolvimento de métricas e mecanismos de relatórios para avaliar as mudanças incrementais e o impacto geral.

**Topics**
+ [

# Ajustar e avaliar processos
](tune-and-measure-processes.md)
+ [

# Ferramentas de ajuste e avaliação
](tune-and-measure-tools.md)
+ [

# Ajustar e avaliar o risco
](tune-and-measure-risk.md)
+ [

# Analise exemplos de casos de uso na fase de maturidade
](review-examples.md)

# Ajustar e avaliar processos
<a name="tune-and-measure-processes"></a>

A [abordagem ágil](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-program-implementation/approach.html) oferece mais flexibilidade e inovação, além de ajudar você a testar e implementar novas ideias rapidamente. Divida suas equipes de segurança em funções especializadas, como agentes de resposta a incidentes e gerentes de vulnerabilidades. As funções devem estar alinhadas às categorias na imagem a seguir, que correspondem aos recursos do AWS Cloud Adoption Framework (AWS CAF). A abordagem ágil incentiva as equipes a pensar grande, inventar, simplificar e identificar possíveis lacunas na segurança. Isso resulta na criação de um backlog de histórias de usuários ou roteiros para futuras melhorias.

Um processo ágil permite soluções mais dinâmicas e adaptáveis, em vez de depender apenas dos recursos de uma ferramenta específica. *Antecipar-se à falha* é uma filosofia que usa testes frequentes e incrementais para reduzir o ciclo de vida do desenvolvimento, além de ser uma parte essencial de uma abordagem ágil. Faça uma alteração, teste-a e decida se deseja continuar com a abordagem atual ou mudar para uma alternativa. Se as equipes trabalharem nesse ciclo, isso ajudará sua organização a se manter atualizada com a natureza acelerada da nuvem. O treinamento focado também é crucial, e você deve fornecer treinamento específico para um domínio específico da segurança na nuvem.



![\[Crie funções especializadas que correspondam às capacidades do AWS CAF no pilar de segurança.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-mature-processes.png)


**nota**  
Essa imagem não contém os recursos de garantia de segurança e governança de segurança no AWS CAF. Este guia se concentra em operações de segurança, e a garantia e a governança da segurança estão fora do escopo deste guia. Para obter mais informações sobre garantia de segurança, consulte [AWS re:Inforce 2023 - Scaling](https://youtu.be/m2wjmGvY2pY?si=o_Rf9Rliu86oFkSQ) compliance with on. AWS Control Tower YouTube

Em sua organização, use uma abordagem ágil que a ajude a acompanhar o rápido desenvolvimento e as mudanças na nuvem. Veja a seguir algumas maneiras de começar a experimentar e iterar em seu ambiente de nuvem:
+ Especialize-se nas categorias definidas no AWS CAF, conforme mostrado na imagem anterior.
+ Para ser mais dinâmico, concentre-se na inovação em vez de nas operações.
+ Mova-se rapidamente em sprints, permitindo que as pessoas testem, antecipem-se à falha, implementem rapidamente e continuem com esse ciclo para acompanhar os negócios.
+ Para apoiar operações contínuas, sempre que possível, alinhe processos para ambientes on-premises e baseados em nuvem.
+ Para ajudar as pessoas a se aprofundar e se concentrar em uma área, forneça treinamento focado em vez de um treinamento amplo.
+ Incentive as pessoas a pensar grande, a investigar os “e se” e a criar backlogs (como roteiros ou lacunas).

# Ferramentas de ajuste e avaliação
<a name="tune-and-measure-tools"></a>

Depois de estabelecer equipes especializadas para diferentes domínios de segurança, alinhe as equipes entre si. O [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) pode ajudar você a conseguir isso. O Security Hub CSPM fornece um painel centralizado e unificado para monitorar o progresso em relação às estruturas. Ele também integra aos serviços AWS de segurança muitas ferramentas de terceiros.

O National Institute of Standards and Technology (NIST) [Cybersecurity Framework](https://www.nist.gov/cyberframework) no site do NIST é composto por cinco funções: identificar, proteger, detectar, responder e recuperar. A imagem a seguir mostra como você pode usar diferentes Serviços da AWS durante cada função e, em seguida, configurar esses serviços para enviar suas descobertas ao Security Hub CSPM para relatórios consolidados. Se você optar por usar outras ferramentas, poderá usar a API CSPM do Security Hub, AWS Command Line Interface (AWS CLI) e o AWS Security Finding Format (ASFF) para criar integrações personalizadas. Para obter mais informações sobre as integrações do CSPM do Security Hub com outros serviços, consulte Integrações de [produtos na](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html) documentação do CSPM do AWS Security Hub CSPM Security Hub.



![\[Ferramentas de segurança que se integram com AWS Security Hub CSPM\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-and-measure-tools.png)


O Security Hub CSPM se integra a todos esses serviços e ferramentas e fornece o seguinte:
+ Fornece um painel unificado que mostra atualizações e ajuda as equipes a fazer iterações no local
+ [Integra-se automaticamente com serviços AWS de segurança, como [Amazon Macie, Amazon](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) e [ GuardDutyAmazon Detective](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html)
+ Oferece suporte à integração com ferramentas de terceiros, como o [https://github.com/prowler-cloud/prowler](https://github.com/prowler-cloud/prowler) e o [https://github.com/stelligent/cfn_nag](https://github.com/stelligent/cfn_nag)
+ Oferece suporte a integrações personalizadas com ferramentas, como a API CSPM do Security Hub e o AWS Security Finding Format (ASFF) AWS CLI

# Ajustar e avaliar o risco
<a name="tune-and-measure-risk"></a>

Durante a fase madura da etapa de caminhada, você pode usar AWS Security Hub CSPM para ajustar e medir continuamente os riscos de segurança. O Security Hub CSPM avalia continuamente a postura de segurança de uma organização e toma medidas para remediar os problemas identificados. O Security Hub CSPM centraliza e prioriza as descobertas de segurança de todos os serviços e parceiros Contas da AWS terceirizados suportados. Ele também ajuda você a analisar as tendências de segurança e a identificar os problemas de segurança de maior prioridade.

O Security Hub CSPM executa centenas de verificações de segurança e as classifica com base no risco para seu ambiente. AWS Você pode ver sua pontuação em relação aos controles de segurança em um painel unificado no console CSPM do Security Hub. Para obter mais informações, consulte [Determinando pontuações de segurança](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-security-score.html) na documentação do CSPM do Security Hub. Por meio desse painel, a DevSecOps função pode identificar rapidamente quaisquer verificações que falharam, a gravidade do problema de segurança Região da AWS e quais recursos foram afetados. Uma vez identificada, a DevSecOps equipe pode priorizar e corrigir o problema. À medida que os problemas são corrigidos, o Security Hub CSPM atualiza automaticamente o estado.

# Analise exemplos de casos de uso na fase de maturidade
<a name="review-examples"></a>

Confira a seguir exemplos da etapa de maturidade. Esses exemplos se aprofundam nos modelos, nas ferramentas e nos processos para diferentes objetivos de negócios, em um nível prático.

## Amadurecer: exemplo de detecção de ameaças
<a name="mature-threat-detection-example"></a>

**Resultado de negócios para controles de detecção:** aumente a visibilidade e a velocidade de detecção de incidentes na nuvem para reduzir os riscos e possibilitar o uso e o desenvolvimento acelerados dos recursos da nuvem.

**Ferramenta:** o [https://github.com/awslabs/assisted-log-enabler-for-aws](https://github.com/awslabs/assisted-log-enabler-for-aws) (GitHub) é uma ferramenta de código aberto que ajuda você a ativar o registro em log no meio de um incidente de segurança. Ele pode aumentar rapidamente sua visibilidade sobre um incidente.

**Exemplo de caso de uso:** considere o caso de uso de conta única descrito no diagrama a seguir. Há eventos que exigem uma investigação mais aprofundada. Você não tem certeza se o registro em log está habilitado. Nesse caso, o melhor curso de ação é realizar um dry run com o Assisted Log Enabler para ver quais serviços estão ativados ou desativados. Assisted Log Enablerverifica AWS CloudTrail trilhas, registros de consultas de DNS, registros de fluxo de VPC e outros registros. Se eles não estiverem habilitados, Assisted Log Enabler habilite-os. Assisted Log Enablerpode verificar e ativar o registro em todos Regiões da AWS.

Você também pode controlar a utilização do Assisted Log Enabler, aumentando ou diminuindo sua capacidade. Depois de concluir a simulação, fechar o evento e resolver o problema, você percebe que não precisa mais desse nível de registro em log. Você pode limpar rapidamente a implantação para interromper o registro em log. Esse recurso permite que você use o Assisted Log Enabler como uma ferramenta de triagem.



![\[Use o Assisted Log Enabler para ver quais serviços têm o registro em log habilitado ou desabilitado\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/assisted-log-enabler.png)


Confira abaixo os principais recursos do Assisted Log Enabler for AWS:
+ É possível executá-lo em um ambiente de conta única ou de várias contas.
+ Você pode usá-lo para estabelecer uma linha de base para fazer login em seu ambiente.
+ Você pode usar o recurso de simulação para verificar o estado atual e determinar quais serviços têm o registro em log habilitado.
+ É possível selecionar para quais serviços você deseja habilitar o registro em log.
+ Você pode controlar a utilização do Assisted Log Enabler, aumentando ou diminuindo sua capacidade, para seu caso de uso.

## Amadurecer: exemplo do IAM
<a name="mature-iam-example"></a>

**Resultado de negócios do IAM:** automatize a visibilidade e avalie as práticas recomendadas para reduzir continuamente os riscos, permitir conexões externas seguras e provisionar rapidamente novos usuários e ambientes

**Ferramenta:** o [AWS Identity and Access Management Access Analyzer (analisador de acesso do IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) ajuda a identificar recursos que são compartilhados com uma entidade externa, valida as políticas do IAM em relação à gramática e às práticas recomendadas e gera políticas do IAM com base no histórico de atividades de acesso. É altamente recomendável que você habilite o analisador de acesso do IAM nos níveis da conta e da organização.

**Benefícios do serviço:** o analisador de acesso do IAM fornece um vasto conjunto de descobertas relevantes. Ele ajuda a identificar os recursos da sua organização e as contas que são compartilhados com entidades externas. Ele pode detectar recursos como um bucket público do S3, um AWS KMS key compartilhado com outra conta ou uma função compartilhada com uma conta externa, oferecendo excelente visibilidade na identificação de recursos que não estão sob o controle da sua organização. Ele não apenas valida as políticas do IAM, mas também pode gerá-las para você.