View a markdown version of this page

Documentação e centralização dos diagramas de arquitetura - AWS Security Incident ResponseGuia do usuário do

Documentação e centralização dos diagramas de arquitetura

Para responder de forma rápida e precisa a um evento de segurança, é necessário compreender como seus sistemas e suas redes estão arquitetados. A compreensão desses padrões internos é essencial não apenas para a resposta a incidentes, mas também para verificar a consistência das aplicações que foram desenvolvidas seguindo esses padrões, de acordo com as práticas recomendadas. Você também deve verificar se essa documentação está atualizada e é regularmente atualizada de acordo com os novos padrões de arquitetura. Recomenda-se desenvolver documentação e repositórios internos que detalhem itens como:

  • Estrutura da conta da AWS: informações necessárias:

    • Qual é a quantidade de contas da AWS que você tem?

    • De que maneira essas contas da AWS estão organizadas?

    • Quem são os responsáveis comerciais por cada conta da AWS?

    • Você faz o uso de políticas de controle de serviços (SCPs)? Em caso afirmativo, quais barreiras de proteção organizacionais são implementadas ao usar as SCPs?

    • Você limita as regiões e os serviços que podem ser usados?

    • Quais são as diferenças entre as unidades de negócios e os ambientes (dev/teste/produção)?

  • Padrões de serviços da AWS

    • Quais serviços da AWS são usados por você?

    • Quais são os serviços da AWS que apresentam maior adoção?

  • Padrões de arquitetura

    • Quais arquiteturas de nuvem são usadas por você?

  • Padrões de autenticação da AWS

    • De que maneira seus desenvolvedores geralmente realizam a autenticação na AWS?

    • Você usa usuários ou perfis do IAM, ou uma combinação de ambos? Sua autenticação na AWS está conectada a um provedor de identidades (IdP)?

    • De que maneira é realizado o mapeamento de um usuário por perfil do IAM para um colaborador ou para um sistema?

    • De que maneira ocorre a revogação de acesso quando um indivíduo perde a autorização?

  • Padrões de autorização da AWS

    • Quais políticas do IAM são usadas por seus desenvolvedores?

    • Você faz o uso de políticas baseadas em recursos?

  • Registro em log e monitoramento

    • Quais fontes de registros em log são usadas e em quais locais essas fontes são armazenadas?

    • Você realiza a agregação de logs do AWS CloudTrail? Em caso afirmativo, em quais locais esses logs são armazenados?

    • De que maneira você realiza a consulta em logs do CloudTrail?

    • O Amazon GuardDuty está habilitado?

    • De que maneira é possível acessar as descobertas do GuardDuty (por exemplo, o console, o sistema de emissão de tíquetes e o SIEM)?

    • As descobertas ou os eventos são agregados em um SIEM?

    • Os tíquetes são criados automaticamente?

    • Quais ferramentas estão em vigor para realizar a análise de logs para uma investigação?

  • Topologia de rede

    • De que maneira os dispositivos, os endpoints e as conexões presentes em sua rede estão organizados física ou logicamente?

    • De que maneira sua rede se conecta com a AWS?

    • De que maneira é realizado a filtragem do tráfego de rede entre os diferentes ambientes?

  • Infraestrutura externa

    • De que maneira as aplicações voltadas para o público externo são implantadas?

    • Quais recursos da AWS estão disponíveis publicamente?

    • Quais contas da AWS hospedam infraestrutura voltada para o público externo?

    • Que mecanismos de proteção contra ataques de DDoS ou filtragem externa estão implementados?

A documentação de diagramas técnicos e processos internos facilita o trabalho do analista responsável pela resposta a incidentes, permitindo o acesso rápido ao conhecimento técnico institucional necessário para responder a um evento de segurança. A documentação completa dos processos técnicos internos não apenas simplifica as investigações de segurança, como também contribui para a racionalização e para a avaliação desses processos.