# Segurança
O pilar Segurança refere-se à capacidade de proteger dados, sistemas e ativos para utilizar as tecnologias de nuvem para melhorar sua segurança.
O pilar Segurança apresenta uma visão geral dos princípios de design, melhores práticas e perguntas. Você pode encontrar orientações prescritivas sobre implementação no [whitepaper Pilar de segurança](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html?ref=wellarchitected-wp).
**Topics**
+ [Princípios de design](sec-design.md)
+ [Definição](sec-def.md)
+ [Práticas recomendadas](sec-bp.md)
+ [Recursos](sec-resources.md)
# Princípios de design
Existem sete princípios de design para segurança na nuvem:
+ **Implementar uma forte base de identidade**: implemente o princípio do privilégio mínimo e separe as tarefas com a autorização apropriada para cada interação por meio dos recursos da AWS. Centralize o gerenciamento de identidades e procure eliminar a dependência de credenciais estáticas de longo prazo.
+ **Habilitar a rastreabilidade**: monitore, alerte e audite ações e alterações no seu ambiente em tempo real. Integre a coleta de logs e métricas aos sistemas para investigar e executar ações automaticamente.
+ **Aplicar segurança a todas as camadas**: aplique uma abordagem de defesa detalhada com vários controles de segurança. Aplique a todas as camadas (por exemplo, borda da rede, VPC, balanceamento de carga, cada instância e serviço de computação, sistema operacional, aplicativo e código).
+ **Automatizar as melhores práticas de segurança**: mecanismos de segurança baseados em software automatizados melhoram sua capacidade de ajustar a escala de forma segura, mais rápida e com custos reduzidos. Crie arquiteturas seguras, incluindo a implementação de controles definidos e gerenciados como código em modelos controlados por versão.
+ **Proteger dados em trânsito e em repouso**: classifique seus dados em níveis de sensibilidade e use mecanismos, como criptografia, tokenização e controle de acesso, quando apropriado.
+ **Manter as pessoas afastadas dos dados**: use mecanismos e ferramentas para reduzir ou eliminar a necessidade de acesso direto ou processamento manual de dados. Isso reduz o risco de erros de processamento ou modificação e erro humano ao manipular dados confidenciais.
+ **Preparar-se para eventos de segurança**: prepare-se para um incidente tendo políticas e processos de gerenciamento e investigação de incidentes alinhados aos requisitos organizacionais. Execute simulações de resposta a incidentes e use ferramentas com automação para aumentar sua velocidade de identificação, investigação e recuperação.
# Definição
Existem seis áreas de práticas recomendadas de segurança na nuvem:
+ **Segurança**
+ **Gerenciamento de identidade e acesso**
+ **Detecção**
+ **Proteção de infraestrutura**
+ **Proteção de dados**
+ **Resposta a incidentes**
Antes de projetar qualquer carga de trabalho, estabeleça práticas que influenciem a segurança. Controle quem pode fazer o quê. Além disso, é útil conseguir identificar incidentes de segurança, proteger seus sistemas e serviços e manter a confidencialidade e a integridade dos dados por meio de proteção de dados. Você deve ter um processo bem definido e treinado para responder a incidentes de segurança. Essas ferramentas e técnicas são importantes porque apoiam objetivos como evitar perdas financeiras ou cumprir obrigações regulatórias.
O Modelo de Responsabilidade Compartilhada da AWS permite que as organizações que adotam a nuvem alcancem suas metas de segurança e conformidade. Como a AWS protege fisicamente a infraestrutura que sustenta nossos serviços de nuvem, você, como cliente da AWS, pode se concentrar no uso de serviços para atingir seus objetivos. A Nuvem AWS também oferece maior acesso aos dados de segurança e uma abordagem automatizada para responder a eventos de segurança.
# Práticas recomendadas
**Topics**
+ [Segurança](sec-security.md)
+ [Gerenciamento de identidade e acesso](sec-iam.md)
+ [Detecção](sec-detection.md)
+ [Proteção de infraestrutura](sec-infrastructure.md)
+ [Proteção de dados](sec-dataprot.md)
+ [Resposta a incidentes](sec-incresp.md)
# Segurança
Para operar sua carga de trabalho com segurança, você deve aplicar as melhores práticas gerais a todas as áreas de segurança. Use os requisitos e os processos que você definiu em excelência operacional em nível de carga de trabalho e também organizacional e aplique-os a todas as áreas.
Manter-se atualizado com as recomendações da AWS e do setor e a inteligência de ameaças ajuda você a desenvolver seu modelo de ameaças e objetivos de controle. A automação de processos, testes e validação de segurança permite que você escale suas operações de segurança.
A pergunta a seguir concentra-se nessas considerações sobre segurança. (Para obter uma lista de perguntas e melhores práticas de segurança, consulte o [Apêndice](a-security.md).).
| SEC 1: Como você opera com segurança sua carga de trabalho? |
| --- |
| Para operar sua carga de trabalho com segurança, você deve aplicar as melhores práticas gerais a todas as áreas de segurança. Use os requisitos e os processos que você definiu em excelência operacional em nível de carga de trabalho e também organizacional e aplique-os a todas as áreas. Manter-se em dia com as recomendações da AWS, as fontes do setor e a inteligência de ameaças ajuda você a desenvolver seu modelo de ameaças e objetivos de controle. A automação de processos, testes e validação de segurança permite que você escale suas operações de segurança. |
Na AWS, a segregação de workloads diferentes por conta, com base na respectiva função e nos requisitos de conformidade ou confidencialidade de dados, é uma abordagem recomendada.
# Gerenciamento de identidade e acesso
O Identity and Access Management é parte essencial de um programa de segurança da informação, que garante que apenas usuários autorizados e autenticados possam acessar seus recursos e somente da forma que você pretender. Por exemplo, você deve definir entidades principais (ou seja, contas, usuários, funções e serviços que podem executar ações em sua conta), criar políticas alinhadas com essas entidades principais e implementar um gerenciamento forte de credenciais. Esses elementos de gerenciamento de privilégios formam o núcleo da autenticação e autorização.
Na AWS, o gerenciamento de privilégios é oferecido principalmente pelo serviço AWS Identity and Access Management (IAM), que permite controlar o acesso programático e do usuário a serviços e recursos da AWS. Você deve aplicar políticas granulares, que atribuem permissões a um usuário, grupo, função ou recurso. Você também pode exigir práticas de senha forte, como nível de complexidade, evitando reutilização e impondo multi-factor authentication (MFA). Você pode usar federação com seu serviço de diretório atual. Para workloads que exigem que os sistemas tenham acesso à AWS, o IAM possibilita acesso seguro por meio de funções, perfis de instância, federação de identidades e credenciais temporárias.
As perguntas a seguir se concentram nessas considerações sobre segurança.
| SEC 2: Como você gerencia identidades para pessoas e máquinas? |
| --- |
| Há dois tipos de identidade que você precisa gerenciar para operar workloads seguras da AWS. Entender o tipo de identidade de que você precisa para gerenciar e conceder acesso ajuda a garantir que as identidades corretas tenham acesso aos recursos certos nas condições certas. Identidades humanas: seus administradores, desenvolvedores, operadores e usuários finais precisam de uma identidade para acessar seus ambientes e aplicações na AWS. Eles são membros de sua organização ou usuários externos com quem você colabora e que interagem com seus recursos da AWS por meio de um navegador da Web, de uma aplicação cliente ou de ferramentas interativas de linha de comando. Identidades de máquina: suas aplicações de serviço, ferramentas operacionais e workloads precisam de uma identidade para fazer solicitações a serviços da AWS para ler dados, por exemplo. Essas identidades incluem máquinas em execução em seu ambiente da AWS, como instâncias do Amazon EC2 ou funções do AWS Lambda. Você também pode gerenciar identidades de máquina para partes externas que precisam de acesso. Além disso, você pode ter máquinas fora da AWS que precisam de acesso ao seu ambiente da AWS. |
| SEC 3: Como você gerencia permissões para pessoas e máquinas? |
| --- |
| Gerencie permissões para controlar o acesso a identidades de pessoas e máquinas que precisam de acesso à AWS e à sua workload. As permissões controlam quem pode acessar o quê e em quais condições. |
As credenciais não devem ser compartilhadas entre usuários ou sistemas. O acesso do usuário deve ser concedido usando uma abordagem de privilégio mínimo, com melhores práticas que incluem requisitos de senha e imposição de MFA. O acesso programático, incluindo chamadas de API a serviços da AWS, deve ser realizado usando credenciais de privilégio limitado e temporárias, como aquelas emitidas pelo AWS Security Token Service.
A AWS fornece recursos que podem ajudar você no gerenciamento de identidade e acesso. Para ajudá-lo a aprender melhores práticas, explore nossos laboratórios práticos sobre [gerenciamento de credenciais e autenticação](https://wellarchitectedlabs.com/Security/Quest_Managing_Credentials_and_Authentication/README.html?ref=wellarchitected-wp), [controle de acesso humano](https://wellarchitectedlabs.com/Security/Quest_Control_Human_Access/README.html?ref=wellarchitected-wp)e [controle de acesso programático](https://wellarchitectedlabs.com/Security/Quest_Control_Programmatic_Access/README.html?ref=wellarchitected-wp).
# Detecção
Você pode usar controles de detecção para identificar uma potencial ameaça ou incidente de segurança. Eles são uma parte essencial das estruturas de governança e podem ser usados para apoiar um processo de qualidade, uma obrigação legal ou de conformidade e para os esforços de identificação e resposta a ameaças. Existem diferentes tipos de controles de detecção. Por exemplo, a realização de um inventário de ativos e seus atributos detalhados promove tomadas de decisão mais eficazes (e controles de ciclo de vida) para ajudar a estabelecer linhas de base operacionais. Você também pode usar a auditoria interna, um exame dos controles relacionados aos sistemas de informação, para garantir que as práticas atendam às políticas e aos requisitos e que você tenha definido as notificações de alerta automatizadas corretas com base nas condições definidas. Esses controles são fatores reativos importantes que podem ajudar sua organização a identificar e entender o escopo da atividade anômala.
Na AWS, você pode implementar controles de detecção por meio do processamento de logs, eventos e monitoramentos que permitem auditoria, análises automatizadas e alarmes. Os logs do CloudTrail, as chamadas de API da AWS e o CloudWatch fornecem monitoramento de métricas com alarmes e o AWS Config fornece um histórico de configuração. O Amazon GuardDuty é um serviço gerenciado de detecção de ameaças que monitora continuamente comportamentos mal-intencionados ou não autorizados para ajudar a proteger contas e workloads da AWS. Logs em nível de serviço também estão disponíveis, por exemplo, você pode usar o Amazon Simple Storage Service (Amazon S3) para registrar solicitações de acesso.
A pergunta a seguir concentra-se nessas considerações sobre segurança.
| SEC 4: Como você detecta e investiga eventos de segurança? |
| --- |
| Capture e analise eventos de logs e métricas para gerar visibilidade. Tome medidas em eventos de segurança e potenciais ameaças para ajudar a proteger sua carga de trabalho. |
O gerenciamento de log é importante para uma carga de trabalho do Well-Architected por motivos que vão de segurança ou análise forense a requisitos regulatórios ou legais. É fundamental analisar os logs e responder a eles para que você possa identificar possíveis incidentes de segurança. A AWS fornece uma funcionalidade que torna o gerenciamento de logs mais fácil de implementar porque possibilita que você defina um ciclo de vida de retenção de dados ou em que local os dados serão preservados, arquivados ou, por fim, excluídos. Isso torna o processamento de dados previsível e confiável mais simples e econômico.
# Proteção de infraestrutura
A proteção de infraestrutura abrange metodologias de controle, como defesa em profundidade, necessárias para atender às melhores práticas e obrigações organizacionais ou regulatórias. O uso dessas metodologias é fundamental para operações contínuas bem-sucedidas na nuvem ou no local.
Na AWS, é possível implementar inspeção de pacote com estado e sem estado, seja usando tecnologias nativas da AWS ou produtos e serviços de parceiros disponíveis por meio do AWS Marketplace. Você deve usar a Amazon Virtual Private Cloud (Amazon VPC) para criar um ambiente privado, protegido e escalável em que seja possível definir sua topologia, incluindo gateways, tabelas de roteamento e sub-redes públicas e privadas.
As perguntas a seguir se concentram nessas considerações sobre segurança.
| SEC 5: Como você protege seus recursos de rede? |
| --- |
| Qualquer carga de trabalho que tenha alguma forma de conectividade de rede, seja a Internet ou uma rede privada, exige várias camadas de defesa para ajudar a proteger contra ameaças externas e internas baseadas em rede. |
| SEC 6: Como você protege seus recursos de computação? |
| --- |
| Os recursos de computação exigem várias camadas de defesa para ajudar na proteção contra ameaças externas e internas. Recursos de computação incluem instâncias do EC2, contêineres, funções do AWS Lambda, serviços de banco de dados, dispositivos de IoT e muito mais. |
É aconselhável usar várias camadas de defesa em qualquer tipo de ambiente. No caso de proteção de infraestrutura, muitos dos conceitos e métodos são válidos em modelos no local e em nuvem. Impor proteção de limites, monitorar pontos de entrada e saída e registro em log, monitoramento e geração de alertas abrangentes são medidas essenciais para um plano eficaz de segurança da informação.
Os clientes da AWS podem personalizar ou fortalecer a configuração de um Amazon Elastic Compute Cloud (Amazon EC2), de um contêiner do Amazon Elastic Container Service (Amazon ECS) ou de uma instância do AWS Elastic Beanstalk e persistir essa configuração em uma imagem de máquina da Amazon (AMI) imutável. Ao serem acionados pelo Auto Scaling ou iniciados manualmente, todos os novos servidores virtuais (instâncias) iniciados com esse AMI recebem a configuração reforçada.
# Proteção de dados
Antes de criar a arquitetura de qualquer sistema, devem ser adotadas práticas fundamentais que influenciam a segurança. Por exemplo, a classificação de dados fornece uma maneira de categorizar os dados organizacionais com base nos níveis de sensibilidade, e a criptografia protege os dados ao torná-los ininteligíveis ao acesso não autorizado. Essas ferramentas e técnicas são importantes porque apoiam objetivos como evitar perdas financeiras ou cumprir obrigações regulatórias.
Na AWS, as seguintes práticas facilitam a proteção de dados:
+ Como cliente da AWS, você mantém controle total sobre seus dados.
+ A AWS facilita a criptografia e o gerenciamento de chaves, incluindo a rotação regular de chaves, que pode ser facilmente automatizada pela AWS ou mantida por você.
+ O registro em log detalhado com conteúdo importante, como acesso e alterações a arquivo, está disponível.
+ A AWS projetou sistemas de armazenamento para oferecer um nível de resiliência excepcional. Por exemplo, o Amazon S3 Standard, o S3 Standard–IA, o S3 One Zone-IA e o Amazon Glacier são todos projetados para oferecer 99,999999999% de durabilidade de objetos em determinado ano. Esse nível de durabilidade corresponde a uma perda anual média esperada de 0,000000001% dos objetos.
+ O versionamento, que pode fazer parte de um processo de gerenciamento de ciclo de vida de dados maior, pode proteger contra substituições, exclusões e danos similares inadvertidos.
+ A AWS nunca inicia a movimentação de dados entre regiões. O conteúdo colocado em uma região permanecerá naquela Regiãor a menos que você explicitamente habilite um recurso ou utilize um serviço que forneça essa funcionalidade.
As perguntas a seguir se concentram nessas considerações sobre segurança.
| SEC 7: Como você classifica seus dados? |
| --- |
| A classificação serve para categorizar os dados com base em criticidade e confidencialidade para ajudá-lo a determinar os controles de proteção e retenção apropriados. |
| SEC 8: Como você protege seus dados em repouso? |
| --- |
| Proteja seus dados em repouso implementando vários controles para reduzir o risco de acesso não autorizado ou manuseio incorreto. |
| SEC 9: Como você protege seus dados em trânsito? |
| --- |
| Proteja seus dados em trânsito implementando vários controles para reduzir o risco de acesso não autorizado ou perda. |
A AWS oferece vários meios para criptografar dados em repouso e em trânsito. Integramos recursos em nossos serviços que tornam mais fácil criptografar seus dados. Por exemplo, implementamos criptografia no lado do servidor (SSE) para o Amazon S3 para tornar mais fácil para você armazenar seus dados em um formato criptografado. Você também pode providenciar que todo o processo de criptografia e descriptografia HTTPS (geralmente conhecido como terminação SSL) seja processado pelo Elastic Load Balancing (ELB).
# Resposta a incidentes
Mesmo com controles preventivos e de detecção consolidados, sua organização ainda deve implementar processos para responder e mitigar o impacto potencial de incidentes de segurança. A arquitetura de sua carga de trabalho afeta fortemente a capacidade de suas equipes de operar efetivamente durante um incidente, de isolar ou conter sistemas e de restaurar operações para um bom estado conhecido. Colocar as ferramentas e o acesso antes de um incidente de segurança e praticar rotineiramente a resposta a incidentes durante os dias de jogo ajudará a garantir que sua arquitetura possa acomodar investigações e recuperação oportunas.
Na AWS, as seguintes práticas facilitam a resposta eficaz a incidentes:
+ Está disponível o registro em log detalhado com conteúdo importante, como acesso e alterações a arquivo.
+ Os eventos podem ser processados automaticamente e acionar ferramentas que automatizam respostas usando as APIs da AWS.
+ Você pode pré-provisionar ferramentas e uma “sala limpa” usando o AWS CloudFormation. Isso permite que você realize análise forense em um ambiente seguro e isolado.
A pergunta a seguir concentra-se nessas considerações sobre segurança.
| SEC 10: Como você prevê, responde e se recupera de incidentes? |
| --- |
| A preparação é essencial para investigação, resposta e recuperação oportunas e eficazes de incidentes de segurança para ajudar a minimizar interrupções na sua organização. |
Garanta acesso rápido de sua equipe de segurança e automatize o isolamento de instâncias, bem como a captura de dados e estado para análise forense.
# Recursos
Consulte os seguintes recursos para saber mais sobre nossas melhores práticas de segurança.
## Documentação
+ [Segurança na Nuvem AWS](https://aws.amazon.com/security/?ref=wellarchitected-wp)
+ [Conformidade da AWS](https://aws.amazon.com/compliance/?ref=wellarchitected-wp)
+ [Blog de segurança da AWS](http://blogs.aws.amazon.com/security/?ref=wellarchitected-wp)
## Whitepaper
+ [Pilar Segurança](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html?ref=wellarchitected-wp)
+ [Visão geral de segurança da AWS](https://d1.awsstatic.com/whitepapers/Security/AWS%20Security%20Whitepaper.pdf?ref=wellarchitected-wp)
+ [Risco e conformidade da AWS](https://d1.awsstatic.com/whitepapers/compliance/AWS_Risk_and_Compliance_Whitepaper.pdf?ref=wellarchitected-wp)
## Vídeo
+ [AWS Security State of the Union (Palestra sobre segurança da AWS)](https://youtu.be/Wvyc-VEUOns?ref=wellarchitected-wp)
+ [Visão geral de responsabilidade compartilhada](https://www.youtube.com/watch?v=U632-ND7dKQ&ref=wellarchitected-wp)