# Fundamentos de segurança
<a name="a-sec-security"></a>

**Topics**
+ [SEC 1. Como você opera seu workload com segurança?](sec-01.md)

# SEC 1. Como você opera seu workload com segurança?
<a name="sec-01"></a>

 Para operar seu workload com segurança, você deve aplicar as práticas recomendadas abrangentes em todas as áreas de segurança. Pegue os requisitos e processos que você definiu em excelência operacional em um nível organizacional e de workload e aplique-os a todas as áreas. Manter-se atualizado com as recomendações do setor e da AWS e a inteligência contra ameaças ajuda você a desenvolver seu modelo de ameaças e seus objetivos de controle. A automação de processos, testes e validação de segurança permite escalar suas operações de segurança. 

**Topics**
+ [SEC01-BP01 Separar as workloads usando contas](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Proteger as propriedades e o usuário-raiz das contas](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 Identificar e validar objetivos de controle](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Manter-se em dia com ameaças e recomendações de segurança](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Reduzir o escopo do gerenciamento de segurança](sec_securely_operate_reduce_management_scope.md)
+ [SEC01-BP06 Automatizar a implantação de controles de segurança padrão](sec_securely_operate_automate_security_controls.md)
+ [SEC01-BP07 Identificar ameaças e priorizar mitigações usando um modelo de ameaça](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Avaliar e implementar regularmente novos serviços e recursos de segurança](sec_securely_operate_implement_services_features.md)

# SEC01-BP01 Separar as workloads usando contas
<a name="sec_securely_operate_multi_accounts"></a>

 Estabeleça barreiras de proteção e isolamento entre workloads e ambientes (como de produção, desenvolvimento e teste) por meio de uma estratégia de várias contas. A separação em nível de conta é altamente recomendável, pois ela oferece um limite de isolamento robusto para segurança, faturamento e acesso. 

**Resultado desejado:** uma estrutura de contas que isola operações em nuvem, workloads não relacionadas e ambientes em contas separadas, aumentando a segurança em toda a infraestrutura de nuvem.

**Práticas comuns que devem ser evitadas:**
+  Colocação de várias workloads não relacionadas com diferentes níveis de confidencialidade na mesma conta.
+  Estrutura de unidade organizacional (UO) definida de forma inadequada.

**Benefícios de implementar esta prática recomendada:**
+  Redução do escopo de impacto se uma workload for acessada acidentalmente.
+  Governança central de acesso a serviços, recursos e regiões da AWS.
+  Manutenção da segurança da infraestrutura de nuvem com políticas e administração centralizada de serviços de segurança.
+  Criação de contas automatizada e processo de manutenção.
+  Auditoria centralizada da infraestrutura de conformidade e requisitos regulatórios.

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 As Contas da AWS oferecem um limite de isolamento de segurança entre workloads ou recursos que operam em diferentes níveis de confidencialidade. Para utilizar esse limite de isolamento, a AWS oferece ferramentas para gerenciar em grande escala suas workloads de nuvem por meio de uma estratégia de várias contas. Para obter orientação sobre os conceitos, padrões e implementação de uma estratégia de várias contas na AWS, consulte [Organizar seu ambiente da AWS usando várias contas](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html). 

 Quando você tem várias Contas da AWS no gerenciamento central, elas devem ser organizadas em uma hierarquia definida por camadas de unidades organizacionais (UOs). Desse modo, os controles de segurança podem ser organizados e aplicados às UOs e às contas-membro, estabelecendo controles preventivos consistentes nas contas-membro da organização. Os controles de segurança são herdados, permitindo que você filtre as permissões disponíveis para as contas-membro localizadas em níveis inferiores de uma hierarquia de UOs. Um bom design aproveita essa herança para reduzir o número e a complexidade das políticas de segurança necessárias para obter os controles de segurança desejados para cada conta-membro. 

 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) e [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) são dois serviços que podem ser usados para implementar e gerenciar essa estrutura de várias contas em seu ambiente da AWS. O AWS Organizations permite que você organize contas em uma hierarquia definida por uma ou mais camadas de UOs, onde cada UO contém várias contas-membro. As [políticas de controle de serviços](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCPs) permitem que o administrador da organização estabeleça controles preventivos granulares nas contas-membro, e o [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) pode ser usado para estabelecer controles proativos e de detetive nas contas-membro. Muitos serviços da AWS [se integram ao AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) para fornecer controles administrativos delegados e realizar tarefas específicas do serviço em todas as contas-membro da organização. 

 Em cima do AWS Organizations, o [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) fornece uma configuração de práticas recomendadas com um clique para um ambiente da AWS de várias contas com uma [zona de pouso](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html). A zona de pouso é o ponto de entrada para o ambiente de várias contas estabelecido pelo Control Tower. O Control Tower oferece vários [benefícios](https://aws.amazon.com/blogs/architecture/fast-and-secure-account-governance-with-customizations-for-aws-control-tower/) em relação ao AWS Organizations. Três benefícios que oferecem governança aprimorada de contas são: 
+  Controles de segurança obrigatórios e integrados que são aplicados automaticamente às contas admitidas na organização. 
+  Controles opcionais que podem ser ativados ou desativados em determinado conjunto de UOs. 
+  O [AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) fornece implantação automatizada de contas contendo linhas de base e opções de configuração pré-aprovadas em sua organização. 

 **Etapas de implementação** 

1.  **Projete uma estrutura de unidade organizacional:** uma estrutura de unidade organizacional projetada adequadamente reduz a carga de gerenciamento necessária para criar e manter políticas de controle de serviços e outros controles de segurança. A estrutura da unidade organizacional deve estar [alinhada às necessidades da empresa, à sensibilidade dos dados e à estrutura da workload](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/). 

1.  **Crie uma zona de pouso para seu ambiente de várias contas:** uma zona de pouso fornece uma base consistente de segurança e infraestrutura a partir da qual sua organização pode desenvolver, lançar e implantar workloads rapidamente. Você pode usar uma [zona de pouso personalizada ou o AWS Control Tower](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) para orquestrar seu ambiente. 

1.  **Estabeleça barreiras de proteção:** implemente proteções de segurança consistentes para seu ambiente em sua zona de pouso. O AWS Control Tower fornece uma lista de controles [obrigatórios](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html) e [opcionais](https://docs.aws.amazon.com/controltower/latest/userguide/optional-controls.html) que podem ser implantados. Os controles obrigatórios são implantados automaticamente na implementação do Control Tower. Leia a lista de controles opcionais e altamente recomendados e implemente controles adequados às suas necessidades. 

1.  **Restrinja o acesso a regiões recém-adicionadas**: para novas Regiões da AWS, recursos do IAM como usuários e perfis são propagados somente para as regiões que você especificar. Essa ação pode ser executada por meio do [console ao usar o Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html) ou ajustando as [políticas de permissão do IAM no AWS Organizations](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/). 

1.  **Considere o AWS [CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)**: o StackSets ajuda a implantar recursos, incluindo políticas, perfis e grupos do IAM, em diferentes contas e regiões da Contas da AWS por meio de um modelo aprovado. 

## Recursos
<a name="resources"></a>

**Práticas recomendadas relacionadas:** 
+ [SEC02-BP04 Confiar em um provedor de identidades centralizado](sec_identities_identity_provider.md)

**Documentos relacionados:** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [Diretrizes de auditoria de segurança da AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Usar o CloudFormation StackSets para provisionar recursos em várias regiões e Contas da AWS](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/) 
+  [Perguntas frequentes sobre o Organizations](https://aws.amazon.com/organizations/faqs/) 
+  [Terminologia e conceitos do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) 
+  [Práticas recomendadas para Políticas de controle de serviços do AWS Organizations em um ambiente com várias contas](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) 
+  [Guia de referência de gerenciamento de contas da AWS](https://docs.aws.amazon.com/accounts/latest/reference/accounts-welcome.html) 
+  [Organizar seu ambiente da AWS usando várias contas](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) 

**Vídeos relacionados:** 
+  [Permitir a adoção da AWS em escala por meio de automação e governança](https://youtu.be/GUMSgdB-l6s) 
+  [Práticas recomendadas de segurança à maneira do Well-Architected](https://youtu.be/u6BCVkXkPnM) 
+  [Criar e gerenciar várias contas usando o AWS Control Tower](https://www.youtube.com/watch?v=agpyuvRv5oo) 
+  [Habilitar o Control Tower para organizações existentes](https://www.youtube.com/watch?v=CwRy0t8nfgM) 

# SEC01-BP02 Proteger as propriedades e o usuário-raiz das contas
<a name="sec_securely_operate_aws_account"></a>

 O usuário-raiz é o mais privilegiado de uma Conta da AWS, com acesso administrativo integral a todos os recursos da conta, e em alguns casos não pode ser restringido por políticas de segurança. Desabilitar o acesso programático ao usuário-raiz, estabelecer controles apropriados para ele e evitar o uso rotineiro desse usuário ajuda a reduzir o risco de exposição acidental das credenciais raiz e o subsequente comprometimento do ambiente de nuvem. 

**Resultado desejado:** proteger o usuário-raiz ajuda a reduzir a chance de que danos acidentais ou intencionais ocorram devido ao uso indevido das credenciais do usuário-raiz. Estabelecer controles de detecção também pode alertar o pessoal apropriado ações são postas em prática com o usuário-raiz.

**Práticas comuns que devem ser evitadas:**
+  Utilizar o usuário-raiz para outras tarefas que não sejam aquelas que exigem credenciais do usuário-raiz.  
+  Negligenciar os testes dos planos de contingência regularmente a fim de verificar a funcionalidade da infraestrutura, dos processos e dos funcionários essenciais durante uma emergência. 
+  Considerar apenas o fluxo típico de login de contas e não considerar nem testar métodos de recuperação de contas alternativos. 
+  Não lidar com DNS, servidores de e-mail e operadoras de telefonia como parte do perímetro de segurança essencial, pois eles são usados no fluxo de recuperação de contas. 

 **Benefícios de implementar esta prática recomendada:** proteger o acesso ao usuário-raiz aumenta a confiança de que as ações em sua conta são controladas e auditadas. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 A AWS oferece muitas ferramentas para ajudar a proteger sua conta. No entanto, como algumas dessas medidas não estão habilitadas por padrão, é necessário implementá-las diretamente. Leve em consideração essas recomendações como etapas fundamentais para proteger sua Conta da AWS. Ao implementar essas etapas, é importante criar um processo para avaliar e monitorar os controles de segurança de forma contínua. 

 Ao criar uma Conta da AWS pela primeira vez, você começa com uma identidade que tem acesso completo a todos os recursos e serviços da AWS na conta. Essa identidade é chamada de usuário-raiz da Conta da AWS. Você pode fazer login como usuário-raiz usando o endereço de e-mail e a senha que usou para criar a conta. Devido ao acesso elevado concedido ao usuário-raiz da AWS, limite o uso do usuário-raiz da AWS à realização de tarefas que o [necessitem especificamente dele](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). As credenciais de login do usuário-raiz devem ser bem protegidas, e a autenticação multifator (MFA) sempre deve ser usada para o usuário-raiz da Conta da AWS. 

 Além do fluxo de autenticação normal para fazer login com seu usuário-raiz usando um nome de usuário, senha e o dispositivo de autenticação multifator (MFA), há fluxos de recuperação de contas para fazer login com seu usuário-raiz da Conta da AWS com o endereço de e-mail e o número de telefone associados à sua conta. Dessa forma, é igualmente importante proteger a conta de e-mail do usuário-raiz para a qual o e-mail de recuperação é enviado e o número de telefone associado à conta. Além disso, considere possíveis dependências circulares em que o endereço de e-mail associado ao usuário-raiz é hospedado em servidores de e-mail ou recursos de serviço de nome de domínio (DNS) da mesma Conta da AWS. 

 Quando o AWS Organizations é usado, há várias Contas da AWS, e cada uma tem um usuário-raiz. Uma conta é designada como a conta de gerenciamento e várias camadas de contas-membro podem ser adicionadas à conta de gerenciamento. Priorize a proteção do usuário-raiz de sua conta de gerenciamento e, depois, os usuários-raiz das contas-membro. A estratégia para proteger o usuário-raiz de sua conta de gerenciamento pode diferir da utilizada nos usuários raiz de suas contas-membro, e é possível implementar controles de segurança preventivos nos usuários-raiz dessas contas. 

 **Etapas de implementação** 

 As etapas de implementação a seguir são recomendadas para estabelecer controles para o usuário-raiz. Onde aplicável, as recomendações são cruzadas com o [CIS AWS Foundations Benchmark versão 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html). Além dessas etapas, consulte as [diretrizes de práticas recomendadas do AWS](https://aws.amazon.com/premiumsupport/knowledge-center/security-best-practices/) para proteger sua Conta da AWS e seus recursos. 

 **Controles preventivos** 

1.  Configure [informações de contato](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) precisas para a conta. 

   1.  Essas informações são usadas para o fluxo de recuperação de senha perdida, o fluxo de recuperação de conta de dispositivo MFA perdida e para comunicações com sua equipe sobre segurança crítica. 

   1.  Utilize um endereço de e-mail hospedado por seu domínio corporativo, preferencialmente uma lista de distribuição, como o endereço de e-mail do usuário-raiz. O uso de uma lista de distribuição em vez da conta de e-mail de um indivíduo oferece redundância e continuidade adicionais para o acesso à conta raiz por longos períodos. 

   1.  O número de telefone listado nas informações de contato deve ser um telefone dedicado e seguro para esse fim. O número de telefone não deve ser listado nem compartilhado com ninguém. 

1.  Não crie chaves de acesso para o usuário-raiz. Se houver chaves de acesso, remova-as (CIS 1.4). 

   1.  Elimine todas as credenciais programáticas de longa duração (chaves de acesso e secretas) para o usuário-raiz. 

   1.  Se as chaves de acesso do usuário-raiz já existirem, você deverá fazer a transição dos processos usando essas chaves para usar chaves de acesso temporárias de um pefil do AWS Identity and Access Management (IAM) e, em seguida, [excluir as chaves de acesso do usuário-raiz](https://docs.aws.amazon.com/accounts/latest/reference/root-user-access-key.html#root-user-delete-access-key). 

1.  Determine se você precisa armazenar credenciais para o usuário-raiz. 

   1.  Ao usar o AWS Organizations para criar contas-membro, a senha inicial do usuário-raiz em novas contas-membro é definida como um valor aleatório que não é exposto a você. Considere usar o fluxo de redefinição de senha da sua conta de gerenciamento do AWS Organizations para [obter acesso à conta-membro](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root), se necessário. 

   1.  Para Contas da AWS autônomas ou a conta de gerenciamento do AWS Organizations, considere criar e armazenar de forma segura as credenciais do usuário-raiz. Use MFA para o usuário-raiz 

1.  Ative os controles preventivos para os usuários-raiz das contas-membro em ambientes de várias contas da AWS. 

   1.  Considere usar a barreira de proteção [Não permitir a criação de chaves de acesso raiz para o usuário-raiz](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-access-keys) para contas-membro. 

   1.  Considere usar a barreira de proteção [Não permitir ações como o usuário-raiz](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-auser-actions) para contas-membro. 

1.  Se você precisar de credenciais para o usuário-raiz: 

   1.  Use uma senha complexa. 

   1.  Ative a autenticação multifator (MFA) para o usuário-raiz, especialmente para contas (pagantes) de gerenciamento do AWS Organizations (CIS 1.5). 

   1.  Considere o uso de dispositivos de MFA de hardware para ter resiliência e segurança, pois os dispositivos de uso único reduzem as chances de os dispositivos que contêm seus códigos de MFA serem reutilizados para outros fins. Garanta que os dispositivos de MFA de hardware alimentados por bateria sejam substituídos regularmente. (CIS 1.6) 
      +  Para configurar a MFA para o usuário-raiz, siga as instruções para criar uma [MFA virtual](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root) ou um [dispositivo com MFA de hardware](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_physical.html#enable-hw-mfa-for-root). 

   1.  Considere inscrever vários dispositivos de MFA para backup. [Até 8 dispositivos de MFA são permitidos por conta.](https://aws.amazon.com/blogs/security/you-can-now-assign-multiple-mfa-devices-in-iam/) 
      +  Observe que a inscrição de mais de um dispositivo de MFA para o usuário-raiz desativa automaticamente o [fluxo para recuperar sua conta se o dispositivo de MFA](https://aws.amazon.com/premiumsupport/knowledge-center/reset-root-user-mfa/) for perdido. 

   1.  Armazene a senha com segurança e considere as dependências circulares se for armazenar a senha eletronicamente. Não armazene a senha de uma forma que exija o acesso à mesma Conta da AWS para obtê-la. 

1.  Opcional: considere estabelecer um cronograma de rotação de senha periódica para o usuário-raiz. 
   +  As práticas recomendadas de gerenciamento de credenciais dependem de seus requisitos regulatórios e de política. Os usuários-raiz protegidos por MFA não dependem da senha como um único fator de autenticação. 
   +  [Alterar a senha do usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html) periodicamente reduz o risco de que uma senha exposta inadvertidamente possa ser usada indevidamente. 

 **Controles de detecção** 
+  Crie alarmes para detectar o uso das credenciais de usuário-raiz (CIS 1.7). O [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) [pode monitorar e alertar sobre o uso da credencial da API do usuário-raiz por meio da descoberta RootCredentialUsage.](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) 
+  Avalie e implemente os controles de detetive incluídos no [pacote de conformidade do pilar Segurança do AWS Well-Architected para AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html), ou se estiver usando o AWS Control Tower, os [controles altamente recomendados](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html) disponíveis no Control Tower. 

 **Orientação operacional** 
+  Determine quem na organização deve ter acesso às credenciais do usuário-raiz. 
  +  Use uma regra de duas pessoas de forma que um indivíduo tenha acesso a todas as credenciais necessárias e MFA para obter acesso de usuário-raiz. 
  +  Verifique se é a organização, e não um único indivíduo, que mantém controle sobre o número de telefone e alias de e-mail associados à conta (que são utilizados para redefinição de senha e fluxo de redefinição de MFA). 
+  Utilize o usuário-raiz apenas como uma exceção (CIS 1.7). 
  +  O usuário-raiz da AWS não deve ser usado para tarefas diárias, mesmo que sejam tarefas administrativas. Faça login somente como usuário-raiz para realizar [tarefas da AWS que exijam o usuário-raiz](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Todas as outras ações devem ser realizadas por outros usuários com perfis apropriados. 
+  Confira periodicamente se o acesso ao usuário-raiz está funcionando de forma que os procedimentos sejam testados antes de uma situação de emergência que exija o uso das credenciais do usuário-raiz. 
+  Verifique periodicamente se o endereço de e-mail associado à conta e os listados em [Contatos alternativos](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) funcionam. Monitore as caixas de entrada de e-mail em busca de notificações de segurança que poderia receber de abuse@amazon.com. Além disso, garanta que todos os números de telefone associados à conta estejam funcionando. 
+  Prepare um procedimento de resposta a incidentes para responder ao mau uso da conta de usuário-raiz. Consulte o [Guia de resposta a incidentes de segurança da AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) e as práticas recomendadas na [seção Resposta a Incidentes do whitepaper Pilar Segurança](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) para obter mais informações sobre como criar uma estratégia de resposta a incidentes para sua Conta da AWS. 

## Recursos
<a name="resources"></a>

**Práticas recomendadas relacionadas:** 
+ [SEC01-BP01 Separar as workloads usando contas](sec_securely_operate_multi_accounts.md)
+ [SEC02-BP01 Usar mecanismos de início de sessão fortes](sec_identities_enforce_mechanisms.md)
+ [SEC03-BP02 Conceder acesso de privilégio mínimo](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Estabelecer processo de acesso de emergência](sec_permissions_emergency_process.md)
+ [SEC10-BP05 Provisionar acesso previamente](sec_incident_response_pre_provision_access.md)

**Documentos relacionados:** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [Diretrizes de auditoria de segurança da AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Amazon GuardDuty — alerta de uso da credencial de usuário-raiz](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) 
+  [Orientação passo a passo sobre o monitoramento do uso da credencial de usuário-raiz via CloudTrail](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-20) 
+  [Tokens MFA aprovados para uso com o AWS](https://aws.amazon.com/iam/features/mfa/) 
+  Implementar o [acesso de emergência](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html) na AWS 
+  [Os 10 principais itens de segurança para melhorar em sua Conta da AWS](https://aws.amazon.com/blogs/security/top-10-security-items-to-improve-in-your-aws-account/) 
+  [O que devo fazer se perceber uma atividade não autorizada em minha Conta da AWS?](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/) 

**Vídeos relacionados:** 
+  [Permitir a adoção da AWS em escala por meio de automação e governança](https://youtu.be/GUMSgdB-l6s) 
+  [Práticas recomendadas de segurança à maneira do Well-Architected](https://youtu.be/u6BCVkXkPnM) 
+  [Limitar o uso de credenciais de usuário-raiz da AWS](https://youtu.be/SMjvtxXOXdU?t=979): AWS re:inforce 2022: Práticas recomendadas de segurança com o AWS IAM

# SEC01-BP03 Identificar e validar objetivos de controle
<a name="sec_securely_operate_control_objectives"></a>

 Com base em seus requisitos de conformidade e riscos identificados no modelo de ameaça, derive e valide os objetivos de controle e os controles que você precisa aplicar à workload. A validação contínua de objetivos de controle e controles ajuda a medir a eficácia da mitigação de riscos. 

 **Resultado desejado:** os objetivos de controle de segurança da sua empresa estão bem definidos e alinhados aos seus requisitos de conformidade. Os controles são implementados e aplicados por meio de automação e políticas, bem como continuamente avaliados quanto à respectiva eficácia para alcançar seus objetivos. As evidências de eficácia em determinado momento e durante um período de tempo podem ser facilmente relatadas aos auditores. 

 **Práticas comuns que devem ser evitadas:** 
+  Os requisitos regulatórios, as expectativas de mercado e os padrões do setor de garantia de segurança não são claros para sua empresa. 
+  Seus frameworks de segurança cibernética e seus objetivos de controle estão desalinhados em relação aos requisitos de sua empresa. 
+  A implementação de controles não se alinha de maneira consistente e mensurável aos seus objetivos de controle. 
+  Você não usa a automação para relatar a eficácia de seus controles. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 Há muitos frameworks comuns de segurança cibernética que podem servir de base para seus objetivos de controle de segurança. Considere os requisitos regulatórios, as expectativas de mercado e os padrões do setor aplicáveis à sua empresa a fim de determinar quais frameworks atendem melhor às suas necessidades. Os exemplos incluem [AICPA SOC 2](https://aws.amazon.com/compliance/soc-faqs/), [HITRUST](https://aws.amazon.com/compliance/hitrust/), [PCI-DSS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/), [ISO 27.001](https://aws.amazon.com/compliance/iso-27001-faqs/) e [NIST SP 800-53](https://aws.amazon.com/compliance/nist/). 

 Com relação aos objetivos de controle identificados, entenda como os serviços da AWS que você consome ajudam a atingi-los. Use o [AWS Artifact](https://aws.amazon.com/artifact/) para encontrar documentação e relatórios alinhados às suas estruturas de destino que descrevam o escopo de responsabilidade coberto pela AWS e orientações para o escopo restante que é de sua responsabilidade. Para obter mais orientações específicas do serviço, conforme elas se alinham a várias declarações de controle da estrutura, consulte os [Guias de conformidade do cliente da AWS](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf). 

 Ao definir os controles que viabilizam seus objetivos, codifique a imposição usando controles preventivos e automatize a mitigação usando controles de detecção. Ajude a evitar configurações e ações de recursos fora de conformidade em todo o seu AWS Organizations por meio do uso [políticas de controle de serviços (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Implemente regras no [AWS Config](https://aws.amazon.com/config/) para monitorar e relatar recursos fora de conformidade e, em seguida, mude as regras para um modelo de fiscalização quando estiver confiante em seu comportamento. Para implantar conjuntos de regras predefinidas e gerenciadas que se alinham às suas estruturas de segurança cibernética, avalie o uso de [padrões do AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html) como sua primeira opção. O padrão de Práticas de Segurança Básica da AWS (FSBP) e o CIS AWS Foundations Benchmark são bons pontos de partida e têm controles que se alinham a muitos objetivos que são compartilhados em vários frameworks padrão. Onde o Security Hub CSPM não tem intrinsecamente as detecções de controle desejadas, ele pode ser complementado usando [pacotes de conformidade do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html). 

 Use [pacotes de parceiros da APN](https://aws.amazon.com/partners/programs/gsca/bundles/) recomendados pela equipe AWS Global Security and Compliance Acceleration (GSCA) para obter assistência de consultores de segurança, agências de consultoria, sistemas de coleta de evidências e relatórios, auditores e outros serviços complementares quando necessário. 

### Etapas de implementação
<a name="implementation-steps"></a>

1.  Avalie frameworks comuns de segurança cibernética e alinhe seus objetivos de controle aos escolhidos. 

1.  Obtenha documentação relevante sobre orientações e responsabilidades pelo uso de seu framework usando o AWS Artifact. Entenda quais partes da conformidade enquadram-se no modelo de responsabilidade compartilhada da AWS e quais partes são de sua responsabilidade. 

1.  Use SCPs, políticas de recursos, políticas de confiança de perfil e outras barreiras de proteção para evitar configurações e ações de recursos fora de conformidade. 

1.  Avalie a implantação de padrões do Security Hub CSPM e de pacotes de conformidade do AWS Config que se alinhem aos seus objetivos de controle. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [SEC03-BP01 Definir requisitos de acesso](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_define.html) 
+  [SEC04-BP01 Configurar o registro em log de serviços e aplicações](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_app_service_logging.html) 
+  [SEC07-BP01 Compreender seu esquema de classificação de dados](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_identify_data.html) 
+  [OPS01-BP03 Avaliar os requisitos de governança](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_governance_reqs.html) 
+  [OPS01-BP04 Avaliar os requisitos de conformidade](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_compliance_reqs.html) 
+  [PERF01-BP05 Usar políticas e arquiteturas de referência](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_use_policies_and_reference_architectures.html) 
+  [COST02-BP01 Desenvolver políticas com base nos requisitos da sua organização](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_govern_usage_policies.html) 

 **Documentos relacionados:** 
+  [AWS Guias de conformidade do cliente da](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **Ferramentas relacionadas:** 
+  [AWS Artifact](https://aws.amazon.com/artifact/) 

# SEC01-BP04 Manter-se em dia com ameaças e recomendações de segurança
<a name="sec_securely_operate_updated_threats"></a>

 Mantenha-se em dia com as ameaças e mitigações mais recentes monitorando as publicações de inteligência contra ameaças do setor e os feeds de dados para atualizações. Avalie as ofertas de serviços gerenciados que são atualizadas automaticamente com base nos dados de ameaças mais recentes. 

 **Resultado desejado:** você se mantém informado à medida que as publicações do setor são atualizadas com as ameaças e recomendações mais recentes.  Você usa a automação para detectar possíveis vulnerabilidades e exposições à medida que identifica novas ameaças. Você toma medidas de mitigação contra essas ameaças.  Você adota serviços da AWS que são atualizados automaticamente com a inteligência de ameaças mais recente. 

 **Práticas comuns que devem ser evitadas:** 
+  Não ter um mecanismo confiável e repetível para se manter em dia com as últimas informações sobre ameaças. 
+  Manter um inventário manual do portfólio de tecnologia, das workloads e das dependências que exigem análise humana de possíveis vulnerabilidades e exposições. 
+  Não ter mecanismos para atualizar workloads e dependências para as versões mais recentes disponíveis que ofereçam mitigações de ameaças conhecidas. 

 **Benefícios de implementar esta prática recomendada:** usar fontes de inteligência de ameaças para se manter atualizado reduz o risco de perder mudanças importantes no cenário de ameaças que podem afetar seus negócios.  Ter a automação implementada para verificar, detectar e corrigir possíveis vulnerabilidades ou exposições em workloads e dependências pode ajudar você a reduzir os riscos de forma rápida e previsível em comparação com as alternativas manuais.  Isso ajuda a controlar o tempo e os custos relacionados à mitigação de vulnerabilidades. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 Analise publicações confiáveis de inteligência contra ameaças para ficar por dentro do cenário de ameaças.  Consulte a base de conhecimento [MITRE ATT&CK](https://attack.mitre.org/) para obter documentação sobre táticas, técnicas e procedimentos (TTPs) conhecidos de adversários. Analise a lista de [Vulnerabilidades e exposições comuns (CVE)](https://cve.org/) da MITRE para se manter informado sobre vulnerabilidades conhecidas em produtos nos quais você confia. Entenda os riscos críticos das aplicações Web com o popular projeto [OWASP Top 10](https://owasp.org/www-project-top-ten/) do Open Worldwide Application Security Project (OWASP). 

 Mantenha-se em dia com os eventos de segurança da AWS e as etapas de correção recomendadas com os [boletins de segurança](https://aws.amazon.com/security/security-bulletins/) da AWS para CVEs. 

 Para reduzir o esforço geral e as despesas indiretas para se manter em dia, considere usar serviços da AWS que incorporam automaticamente novas informações sobre ameaças ao longo do tempo.  Por exemplo, o [Amazon GuardDuty](https://aws.amazon.com/guardduty/) se mantém atualizado com a inteligência de ameaças do setor para detectar comportamentos anômalos e assinaturas de ameaças em suas contas.  O [Amazon Inspector](https://aws.amazon.com/inspector/) mantém automaticamente um banco de dados dos CVEs que usa para seus recursos de verificação contínua atualizados.  O [AWS WAF](https://aws.amazon.com/waf/) e o [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-advanced-summary.html) fornecem grupos de regras gerenciados que são atualizados automaticamente à medida que novas ameaças surgem. 

 Revise o pilar de [excelência operacional do Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html) para gerenciamento e correção automatizados de frotas. 

## Etapas de implementação
<a name="implementation-steps"></a>
+  Assine atualizações de publicações de inteligência contra ameaças que sejam relevantes para sua empresa e setor. Assine os Boletins de segurança da AWS. 
+  Considere a adoção de serviços que incorporem automaticamente novas informações sobre ameaças, como o Amazon GuardDuty e o Amazon Inspector. 
+  Implemente uma estratégia de gerenciamento e correção de frotas que se alinhe às práticas recomendadas do pilar Excelência operacional do Well-Architected. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [SEC01-BP07 Identificar ameaças e priorizar mitigações usando um modelo de ameaça](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_threat_model.html) 
+  [OPS01-BP05 Avaliar o cenário de ameaças](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_eval_threat_landscape.html) 
+  [OPS11-BP01 Adotar um processo para melhoria contínua](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_evolve_ops_process_cont_imp.html) 

# SEC01-BP05 Reduzir o escopo do gerenciamento de segurança
<a name="sec_securely_operate_reduce_management_scope"></a>

 Determine se você pode reduzir seu escopo de segurança usando serviços da AWS que transferem o gerenciamento de determinados controles para a AWS (*serviços gerenciados*). Esses serviços podem ajudar a reduzir suas tarefas de manutenção de segurança, como provisionamento de infraestrutura, configuração de software, aplicação de patches ou backups. 

 **Resultado desejado:** você considera o escopo do seu gerenciamento de segurança ao selecionar AWS serviços para sua workload. O custo referente a despesas gerais de gerenciamento e a tarefas de manutenção (o custo total de propriedade ou TCO) é ponderado em relação ao custo dos serviços que você seleciona, além de outras considerações do Well-Architected. Você incorpora a documentação de controle e conformidade da AWS em seus procedimentos de avaliação e verificação de controle. 

 **Práticas comuns que devem ser evitadas:** 
+  Implantar workloads sem entender completamente o modelo de responsabilidade compartilhada referente aos serviços que você seleciona. 
+  Hospedar bancos de dados e outras tecnologias em máquinas virtuais sem ter avaliado um serviço gerenciado equivalente. 
+  Não incluir tarefas de gerenciamento de segurança no custo total de propriedade de tecnologias de hospedagem em máquinas virtuais em comparação com as opções de serviços gerenciados. 

 **Benefícios de implementar esta prática recomendada:** o uso de serviços gerenciados pode reduzir sua carga geral de gerenciar controles de segurança operacional, o que pode reduzir seus riscos de segurança e o custo total de propriedade. O tempo que de outra forma seria gasto em determinadas tarefas de segurança pode ser reinvestido em tarefas que agregam maior valor aos negócios. Os serviços gerenciados também podem reduzir o escopo dos requisitos de conformidade ao transferir alguns requisitos de controle para a AWS. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio 

## Orientação para implementação
<a name="implementation-guidance"></a>

 Há várias maneiras de integrar os componentes da workload na AWS. A instalação e a execução de tecnologias em instâncias do Amazon EC2 geralmente exigem que você assuma a maior parte da responsabilidade geral pela segurança. Para ajudar a diminuir a sobrecarga de operar determinados controles, identifique serviços gerenciados da AWS que reduzam o escopo da sua parte do modelo de responsabilidade compartilhada e entenda como é possível usá-los em sua arquitetura atual. Os exemplos incluem o uso do [Amazon Relational Database Service (Amazon RDS](https://aws.amazon.com/rds/)) para implantação de bancos de dados, do [Amazon Elastic Kubernetes Service (Amazon EKS)](https://aws.amazon.com/eks/) ou do [Amazon Elastic Container Service (Amazon ECS)](https://aws.amazon.com/ecs/) para orquestrar contêineres ou usar [opções com tecnologia sem servidor](https://aws.amazon.com/serverless/). Ao criar novas aplicações, pense em quais serviços podem ajudar a reduzir o tempo e o custo referentes à implementação e ao gerenciamento de controles de segurança. 

 Os requisitos de conformidade também podem ser um fator na seleção de serviços. Os serviços gerenciados podem mudar a conformidade de alguns requisitos relacionados à AWS. Converse com sua equipe de conformidade sobre quanto ela se sente confortável para auditar os aspectos dos serviços que você opera e gerencia e aceitar declarações de controle em relatórios de auditoria relevantes da AWS. Você pode fornecer os artefatos de auditoria encontrados no [AWS Artifact](https://aws.amazon.com/artifact/) para seus auditores ou reguladores como evidência dos controles de segurança da AWS. Você também pode usar a orientação de responsabilidade fornecida por alguns dos artefatos de auditoria da AWS para projetar sua arquitetura, junto com os [Guias de conformidade do cliente da AWS](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf). Essas orientações ajudam a determinar os controles de segurança adicionais que você deve implementar para atender aos casos de uso específicos do seu sistema. 

 Ao usar serviços gerenciados, familiarize-se com o processo de atualização de recursos para versões mais recentes (por exemplo, atualizar a versão de um banco de dados gerenciado pelo Amazon RDS ou o runtime de uma linguagem de programação para um perfil do AWS Lambda). Embora o serviço gerenciado possa realizar essa operação para você, configurar o momento da atualização e entender o impacto em suas operações continua sendo sua responsabilidade. Ferramentas como essas [AWS Health](https://aws.amazon.com/premiumsupport/technology/aws-health/) podem ajudar você a rastrear e gerenciar essas atualizações em todos os seus ambientes. 

### Etapas de implementação
<a name="implementation-steps"></a>

1.  Avalie os componentes da workload que podem ser substituídos por um serviço gerenciado. 

   1.  Se você estiver migrando uma workload para a AWS, considere a redução do gerenciamento (tempo e despesas) e a diminuição do risco ao avaliar se deve redefinir a hospedagem, refatorar, redefinir a plataforma, reformular, recompilar ou substituir a workload. Às vezes, investimentos adicionais no início de uma migração podem gerar economias significativas no longo prazo. 

1.  Pense em implementar serviços gerenciados (por exemplo, o Amazon RDS) em vez de instalar e gerenciar suas próprias implantações de tecnologia. 

1.  Use as orientações sobre responsabilidade no AWS Artifact para ajudar a determinar os controles de segurança que você deve implementar para a workload. 

1.  Mantenha um inventário dos recursos em uso e esteja sempre a par de novos serviços e abordagens a fim de identificar novas oportunidades para reduzir o escopo. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [PERF02-BP01 Selecionar as melhores opções de computação para as workloads](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_compute_hardware_select_best_compute_options.html) 
+  [PERF03-BP01 Usar um datastore com propósitos específicos que melhor atenda aos requisitos de acesso e armazenamento de dados](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_data_use_purpose_built_data_store.html) 
+  [SUS05-BP03 Usar serviços gerenciados](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_hardware_a4.html) 

 **Documentos relacionados:** 
+  [Eventos de ciclo de vida planejados para o AWS Health](https://docs.aws.amazon.com/health/latest/ug/aws-health-planned-lifecycle-events.html) 

 **Ferramentas relacionadas:** 
+  [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) 
+  [AWS Artifact](https://aws.amazon.com/artifact/) 
+  [Guias de conformidade do cliente da AWS](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **Vídeos relacionados:** 
+  [Como faço para migrar para uma instância de banco de dados Amazon RDS ou Aurora MySQL usando o AWS DMS?](https://www.youtube.com/watch?v=vqgSdD5vkS0) 
+  [AWS re:Invent 2023: Gerenciar eventos do ciclo de vida dos recursos em grande escala com o AWS Health](https://www.youtube.com/watch?v=VoLLNL5j9NA) 

# SEC01-BP06 Automatizar a implantação de controles de segurança padrão
<a name="sec_securely_operate_automate_security_controls"></a>

 Aplique práticas modernas de DevOps ao desenvolver e implantar controles de segurança que são padrão em seus ambientes da AWS.  Defina controles e configurações de segurança padrão usando modelos de infraestrutura como código (IaC), capture alterações em um sistema de controle de versão, teste as alterações como parte de um pipeline de CI/CD e automatize a implantação de mudanças em seus ambientes da AWS. 

 **Resultado desejado:** os modelos de IaC capturam controles de segurança padronizados e os comprometem com um sistema de controle de versão.  Os pipelines de CI/CD estão em locais que detectam mudanças e automatizam os testes e a implantação de seus ambientes da AWS.  Barreiras de proteção estão em vigor para detectar e emitir alertas sobre configurações incorretas nos modelos antes de prosseguir com a implantação.  As workloads são implantadas em ambientes em que há controles padrão em vigor.  As equipes têm acesso para implantar configurações de serviço aprovadas por meio de um mecanismo de autoatendimento.  Existem estratégias seguras de backup e recuperação para controlar configurações, scripts e dados relacionados. 

 **Práticas comuns que devem ser evitadas:** 
+  Fazer alterações manuais nos controles de segurança padrão por meio de um console da web ou uma interface de linha de comandos. 
+  Contar com equipes de workload individuais para implementar manualmente os controles definidos por uma equipe central. 
+  Contar com uma equipe central de segurança para implantar controles em nível de workload a pedido de uma equipe de workload. 
+  Permitir que as mesmas pessoas ou equipes desenvolvam, testem e implantem scripts de automação de controle de segurança sem a separação adequada de deveres ou freios e contrapesos.  

 **Benefícios de implementar esta prática recomendada:** o uso de modelos para definir seus controles de segurança padrão permite rastrear e comparar as alterações ao longo do tempo usando um sistema de controle de versão.  Usar a automação para testar e implantar alterações gera padronização e previsibilidade, aumentando as chances de uma implantação bem-sucedida e reduzindo as tarefas manuais repetitivas.  Fornecer um mecanismo de autoatendimento para as equipes de workload implantarem serviços e configurações aprovados reduz o risco de configuração incorreta e uso indevido. Isso também ajuda as equipes a incorporar controles logo no início no processo de desenvolvimento. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio 

## Orientação para implementação
<a name="implementation-guidance"></a>

 Ao seguir as práticas descritas em [SEC01-BP01 Separar workloads por meio de contas](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_multi_accounts.html), você acabará com várias Contas da AWS para diferentes ambientes que você gerencia usando o AWS Organizations.  Embora cada um desses ambientes e workloads possam precisar de controles de segurança distintos, você pode padronizar alguns deles em toda a sua organização.  Isso inclui integração de provedores de identidades centralizados, definição de redes e firewalls e configuração de locais padrão para armazenar e analisar logs.  Da mesma forma que você pode usar *infraestrutura como código* (IaC) para aplicar o mesmo rigor do desenvolvimento do código da aplicação ao provisionamento da infraestrutura, você também pode usar o IaC para definir e implantar seus controles de segurança padrão. 

 Sempre que possível, defina seus controles de segurança de forma declarativa, como em [AWS CloudFormation](https://aws.amazon.com/cloudformation/), e armazene-os em um sistema de controle de origem.  Use práticas de DevOps para automatizar a implantação de seus controles para obter lançamentos mais previsíveis, realizar testes automatizados usando ferramentas como o [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) e detectar desvios entre os controles implantados e a configuração desejada.  É possível usar serviços como [AWS CodePipeline](https://aws.amazon.com/codepipeline/), [AWS CodeBuild](https://aws.amazon.com/codebuild/) e [AWS CodeDeploy](https://aws.amazon.com/codedeploy/) para construir um pipeline de CI/CD. Considere a orientação em [Organizar seu ambiente da AWS usando várias contas](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html) para configurar esses serviços em suas próprias contas, separadas de outros pipelines de implantação. 

 Você também pode definir modelos para padronizar a definição e a implantação de serviços, configurações e Contas da AWS.  Essa técnica permite que uma equipe central de segurança gerencie essas definições e as forneça às equipes de workload por meio de uma abordagem de autoatendimento.  Uma maneira de conseguir isso é usar o [Service Catalog](https://aws.amazon.com/servicecatalog/), onde você pode publicar modelos como *produtos* que as equipes de workload podem incorporar em suas próprias implantações de pipeline.  Se você estiver usando o [AWS Control Tower](https://aws.amazon.com/controltower/), alguns modelos e controles estarão disponíveis como ponto de partida.  O Control Tower também fornece o recurso [Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/af-customization-page.html), permitindo que as equipes de workload criem novas Contas da AWS usando os padrões definidos por você.  Com esse recurso, não é preciso depender de uma equipe central para aprovar e criar contas quando elas são identificadas como necessárias pelas equipes de workload.  Talvez essas contas precisem isolar diferentes componentes da workload com base em motivos como a função que eles desempenham, a confidencialidade dos dados que estão sendo processados ou o comportamento desses componentes. 

## Etapas de implementação
<a name="implementation-steps"></a>

1.  Determine como você armazenará e manterá os modelos em um sistema de controle de versão. 

1.  Crie pipelines de CI/CD para testar e implantar modelos.  Defina testes para verificar se há configurações incorretas e se os modelos estão de acordo com os padrões da sua empresa. 

1.  Crie um catálogo de modelos padronizados para as equipes de workload implantarem serviços e Contas da AWS de acordo com suas necessidades. 

1.  Implemente estratégias seguras de backup e recuperação para suas configurações de controle, scripts e dados relacionados. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [OPS05-BP01 Usar controle de versão](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_version_control.html) 
+  [OPS05-BP04 Usar sistemas de gerenciamento de compilação e implantação](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_build_mgmt_sys.html) 
+  [REL08-BP05 Implantar alterações com automação](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_tracking_change_management_automated_changemgmt.html) 
+  [SUS06-BP01 Adotar métodos que podem introduzir rapidamente melhorias na sustentabilidade](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_dev_a2.html) 

 **Documentos relacionados:** 
+  [Organizar seu ambiente da AWS usando várias contas](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html) 

 **Exemplos relacionados:** 
+  [Automatize a criação de contas e o provisionamento de recursos usando Service Catalog, o AWS Organizations e o AWS Lambda](https://aws.amazon.com/blogs/mt/automate-account-creation-and-resource-provisioning-using-aws-service-catalog-aws-organizations-and-aws-lambda/) 
+  [Fortaleça o pipeline de DevOps e proteja os dados com o AWS Secrets Manager, o AWS KMS e o AWS Certificate Manager](https://aws.amazon.com/blogs/security/strengthen-the-devops-pipeline-and-protect-data-with-aws-secrets-manager-aws-kms-and-aws-certificate-manager/) 

 **Ferramentas relacionadas:** 
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [Acelerador de zona de pouso na AWS](https://github.com/awslabs/landing-zone-accelerator-on-aws) 

# SEC01-BP07 Identificar ameaças e priorizar mitigações usando um modelo de ameaça
<a name="sec_securely_operate_threat_model"></a>

 Realize a modelagem de ameaças para identificar e manter um registro atualizado de possíveis ameaças e mitigações associadas para sua workload. Priorize suas ameaças e adapte as mitigações de controles de segurança para prevenir, detectar e responder. Revise e mantenha isso no contexto de sua workload e no cenário de segurança em evolução. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 **O que é modelagem de ameaças?** 

 "A modelagem de ameaças funciona para identificar, comunicar e entender ameaças e mitigações no contexto da proteção de algo de valor." – [Modelagem de ameaças a aplicações do Open Web Application Security Project (OWASP](https://owasp.org/www-community/Threat_Modeling) 

 **Por que você deveria usar um modelo de ameaça?** 

 Os sistemas são complexos e se tornam cada vez mais intrincados e qualificados com o passar do tempo, oferecendo maior valor empresarial e maior satisfação e engajamento do cliente. Isso significa que as decisões de design de TI precisam considerar um número cada vez maior de casos de uso. Essa complexidade e o número de permutações de caso de uso geralmente tornam as abordagens não estruturadas ineficazes para encontrar e mitigar ameaças. Em vez disso, você precisa de uma abordagem sistemática para enumerar as possíveis ameaças ao sistema, elaborar mitigações e priorizá-las a fim de garantir que os recursos limitados de sua organização tenham impacto máximo na melhoria do procedimento geral de segurança do sistema. 

 A modelagem de ameaças foi projetada para oferecer essa abordagem sistemática com o objetivo de encontrar e resolver problemas na fase inicial do processo de design, quando as mitigações têm custo e esforço relativamente baixos em comparação com a fase posterior do ciclo de vida. Essa abordagem se alinha ao princípio de segurança [https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview](https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview) do setor. Por fim, a modelagem de ameaças é integrada ao processo de gerenciamento de riscos de uma organização e ajuda a impulsionar as decisões sobre quais controles implementar usando uma abordagem orientada a ameaças. 

 **Quando a modelagem de ameaças deve ser realizada?** 

 Inicie a modelagem de ameaças o quanto antes no ciclo de vida de sua workload. Isso oferece a você maior flexibilidade sobre o que fazer com as ameaças identificadas. Muito semelhante aos bugs de software, quanto mais cedo você identificar as ameaças, mais econômico será resolvê-las. Um modelo de ameaças é um documento ativo e deve continuar a evoluir à medida que suas workloads mudam. Revise seus modelos de ameaça no decorrer do tempo, inclusive quando há uma alteração importante ou uma alteração no cenário de ameaças ou ao adotar um novo recurso ou serviço. 

### Etapas de implementação
<a name="implementation-steps"></a>

 **Como podemos realizar a modelagem de ameaças?** 

 Há muitas formas diferentes de realizar a modelagem de ameaças. Muito semelhante às linguagens de programação, há vantagens e desvantagens em cada uma, e é necessário escolher a forma mais adequada para você. Uma abordagem é começar com o [Quadro de quatro perguntas para modelagem de ameaças do Shostack](https://github.com/adamshostack/4QuestionFrame), que apresenta perguntas abertas para fornecer estrutura ao seu exercício de modelagem de ameaças: 

1.  **Em que estamos trabalhando?** 

    A finalidade dessa pergunta é ajudar você a entender e chegar a um acordo sobre o sistema que você está construindo e os detalhes sobre ele que são relevantes para a segurança. Criar um modelo ou diagrama é a forma mais popular de responder a essa pergunta, pois ajuda a visualizar o que você está criando, por exemplo, usando um [diagrama de fluxo de dados](https://en.wikipedia.org/wiki/Data-flow_diagram). Escrever as suposições e os detalhes importantes sobre seu sistema também ajuda a definir o que está no escopo. Isso permite que todos que estão contribuindo para o modelo de ameaças se concentrem na mesma coisa e evitem desvios demorados para tópicos fora do escopo (inclusive versões desatualizadas do sistema). Por exemplo, se você está criando uma aplicação Web, provavelmente não vale a pena criar uma modelagem de ameaças da sequência de inicialização confiável do sistema operacional para clientes de navegador, pois não há nenhuma possibilidade de seu design ter influência nisso. 

1.  **O que pode acontecer de errado?** 

    É nessa fase que você identifica ameaças ao seu sistema. Ameaças são ações ou eventos acidentais ou intencionais que causam impactos indesejados que podem afetar a segurança de seu sistema. Sem um claro entendimento do que pode dar errado, não há o que fazer sobre isso. 

    Não há uma lista canônica do que pode dar errado. A criação dessa lista exige um brainstorming e a colaboração entre todos os indivíduos de sua equipe e [pessoas relevantes envolvidas](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/#tips) no exercício de modelagem de ameaças. Você pode ajudar seu brainstorming usando um modelo para identificar ameaças, como o [STRIDE](https://en.wikipedia.org/wiki/STRIDE_(security)), que sugere diferentes categorias para avaliação: falsificação, adulteração, repúdio, divulgação de informações, negação de serviço e elevação de privilégios. Além disso, talvez você queira ajudar no brainstorming revisando as listas e pesquisas existentes em busca de inspiração, incluindo o [OWASP Top 10](https://owasp.org/www-project-top-ten/), o [HiTrust Threat Catalog](https://hitrustalliance.net/hitrust-threat-catalogue/) e o catálogo de ameaças da sua própria organização. 

1.  **O que vamos fazer sobre isso?** 

    Como no caso da primeira pergunta, não há uma lista canônica de todas as mitigações possíveis. A entradas nessa etapa são as ameaças identificadas, as pessoas e as áreas de melhoria da etapa anterior. 

    Segurança e conformidade são uma [responsabilidade compartilhada entre você e a AWS](https://aws.amazon.com/compliance/shared-responsibility-model/). É importante entender que ao perguntar "O que vamos fazer a respeito?" você também está perguntando "Quem é responsável por fazer algo a respeito?". Entender o equilíbrio entre suas responsabilidades e as da AWS ajuda a definir o escopo de seu exercício de modelagem de ameaças para as mitigações que estão sob seu controle, que, geralmente, são uma combinação de opções de configuração de serviços da AWS e suas mitigações específicas do sistema. 

    Para a parte da AWS da responsabilidade compartilhada, você descobrirá que os [serviços da AWS estão no escopo de muitos programas de conformidade](https://aws.amazon.com/compliance/services-in-scope/). Esses programas ajudam você a entender os controles sólidos implementados na AWS para manter a segurança e a conformidade da nuvem. Os relatórios de auditoria desses programas estão disponíveis para download para clientes da AWS no [AWS Artifact](https://aws.amazon.com/artifact/). 

    Seja quais forem os serviços da AWS que você está utilizando, sempre há um elemento de responsabilidade do cliente, e as mitigações alinhadas a essas responsabilidades devem ser incluídas em seu modelo de ameaças. Para mitigações de controle de segurança dos próprios serviços da AWS, convém considerar a implementação de controles de segurança em todos os domínios; por exemplo, domínios como gerenciamento de identidade e acesso (autenticação e autorização), proteção de dados (em repouso e em trânsito), segurança de infraestrutura, registro em log e monitoramento. A documentação de cada serviço da AWS conta com um [capítulo de segurança dedicado](https://docs.aws.amazon.com/security/) que fornece orientação sobre os controles de segurança a serem considerados como mitigações. É importante considerar o código que você está escrevendo e suas dependências e pensar nos controles que você poderia implementar para resolver essas ameaças. Esses controles podem ser coisas como [validação de entrada](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html), [tratamento de sessão](https://owasp.org/www-project-mobile-top-10/2014-risks/m9-improper-session-handling) e [tratamento de limites](https://owasp.org/www-community/vulnerabilities/Buffer_Overflow). Com frequência, a maioria das vulnerabilidades é introduzida em código personalizado. Por isso, concentre-se nessa área. 

1.  **Fizemos um bom trabalho?** 

    O objetivo é a sua equipe e a organização aprimorarem a qualidade dos modelos de ameaças e a velocidade na qual você está realizando a modelagem de ameaças no decorrer do tempo. Essas melhorias vêm de uma combinação entre prática, aprendizado, instrução e revisão. Para se aprofundar e colocar a mão na massa, é recomendável que você e sua equipe concluam o [workshop](https://catalog.workshops.aws/threatmodel/en-US) ou [curso de treinamento Modelagem de ameaças da maneira certa para construtores](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop). Além disso, se você estiver procurando orientação sobre como integrar a modelagem de ameaças ao ciclo de vida de desenvolvimento de aplicações da sua organização, consulte [Como abordar a modelagem de ameaças](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) no blog de segurança da AWS. 

 **Compositor de ameaças** 

 Para obter ajuda e orientação na execução da modelagem de ameaças, considere usar a ferramenta [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer), que visa reduzir o tempo de obtenção de valor na modelagem de ameaças. Essa ferramenta ajuda você a: 
+  Escrever declarações de ameaças úteis alinhadas à [gramática de ameaças](https://catalog.workshops.aws/threatmodel/en-US/what-can-go-wrong/threat-grammar) que funcionem em um fluxo de trabalho natural não linear 
+  Gerar um modelo de ameaça legível por humanos. 
+  Gerar um modelo de ameaça legível por máquina para permitir tratar os modelos de ameaças como código. 
+  Identificar rapidamente as áreas de melhoria de qualidade e de cobertura usando o painel do Insights. 

 **Para obter mais referências, visite o Threat Composer e alterne para o Exemplo de espaço de trabalho** definido pelo sistema. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [SEC01-BP03 Identificar e validar objetivos de controle](sec_securely_operate_control_objectives.md) 
+  [SEC01-BP04 Manter-se em dia com ameaças e recomendações de segurança](sec_securely_operate_updated_threats.md) 
+  [SEC01-BP05 Reduzir o escopo do gerenciamento de segurança](sec_securely_operate_reduce_management_scope.md) 
+  [SEC01-BP08 Avaliar e implementar regularmente novos serviços e recursos de segurança](sec_securely_operate_implement_services_features.md) 

 **Documentos relacionados:** 
+  [Como abordar a modelagem de ameaças](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (Blog de segurança da AWS) 
+ [ NIST: Guide to Data-Centric System Threat modeling ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)

 **Vídeos relacionados:** 
+ [AWS Summit ANZ 2.021 - How to approach threat modeling ](https://www.youtube.com/watch?v=GuhIefIGeuA)
+ [AWS Summit ANZ 2.022 - Scaling security – Optimise for fast and secure delivery ](https://www.youtube.com/watch?v=DjNPihdWHeA)

 **Treinamento relacionado:** 
+ [Modelagem de ameaças da maneira certa para criadores: treinamento individualizado virtual do AWS Skill Builder](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)
+ [Modelagem de ameaças da maneira certa para construtores: workshop da AWS](https://catalog.workshops.aws/threatmodel)

 **Ferramentas relacionadas:** 
+  [Compositor de ameaças](https://github.com/awslabs/threat-composer#threat-composer) 

# SEC01-BP08 Avaliar e implementar regularmente novos serviços e recursos de segurança
<a name="sec_securely_operate_implement_services_features"></a>

 Avalie e implemente serviços e recursos de segurança da AWS e de parceiros da AWS que ajudem você a desenvolver o procedimento de segurança de suas workloads.  

 **Resultado desejado:** você tem uma prática padrão em vigor que informa sobre novos recursos e serviços lançados pela AWS e os parceiros da AWS. Você avalia como esses novos recursos influenciam o design dos controles novos e atuais de seus ambientes e workloads. 

 **Práticas comuns que devem ser evitadas:** 
+  Não assinar blogs e feeds RSS da AWS para tomar conhecimento rapidamente de novos recursos e serviços relevantes. 
+  Recorrer a notícias e atualizações sobre serviços e recursos de segurança de fontes secundárias. 
+  Não incentivar os usuários da AWS da sua organização a se manterem informados sobre as atualizações mais recentes 

 **Benefícios de implementar esta prática recomendada:** ao se manter atualizado sobre os novos serviços e recursos de segurança, você pode tomar decisões informadas sobre a implementação de controles em seus ambientes e workloads na nuvem. Essas fontes ajudam a aumentar a conscientização sobre o cenário de segurança em constante evolução e como os serviços da AWS podem ser usados para impedir ameaças novas e emergentes.   

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo 

## Orientação para implementação
<a name="implementation-guidance"></a>

 A AWS informa os clientes sobre novos serviços e recursos de segurança por meio de vários canais: 
+  [AWS Novidades da](https://aws.amazon.com/new) 
+  [AWS Notícias do blog da](https://aws.amazon.com/blogs/aws/) 
+  [AWS Blog de segurança da](https://aws.amazon.com/blogs/security/) 
+  [AWS Boletins de segurança da](https://aws.amazon.com/security/security-bulletins/) 
+  [AWS Visão geral da documentação da](https://aws.amazon.com/documentation/) 

 Você pode assinar um tópico do [AWS Daily Feature Updates](https://aws.amazon.com/blogs/aws/subscribe-to-aws-daily-feature-updates-via-amazon-sns/) usando o Amazon Simple Notification Service (Amazon SNS) para obter um resumo diário abrangente das atualizações. Alguns serviços de segurança, como o [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_sns.html) e o [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-announcements.html), fornecem seus próprios tópicos de SNS para manter você em dia com os novos padrões, descobertas e outras atualizações desses serviços específicos. 

 Novos serviços e recursos também são anunciados e descritos em detalhes durante [conferências, eventos e webinars](https://aws.amazon.com/events/) realizados em todo o mundo a cada ano. Em destaque está a conferência anual de segurança [AWS re:Inforce](https://reinforce.awsevents.com/) e a conferência mais geral [AWS re:Invent](https://reinvent.awsevents.com/). Os canais de notícias da AWS mencionados anteriormente compartilham esses anúncios de conferências sobre segurança e outros serviços, e você pode assistir a sessões educacionais aprofundadas on-line no [canal AWS Events](https://www.youtube.com/c/AWSEventsChannel) no YouTube. 

 Você também pode perguntar à [equipe da sua Conta da AWS](https://aws.amazon.com/startups/learn/meet-your-aws-account-team) sobre as atualizações e recomendações mais recentes do serviço de segurança. Para entrar em contato com sua equipe, use o [formulário de Suporte de Vendas](https://aws.amazon.com/contact-us/sales-support/) se não tiver as informações de contato direto. Da mesma forma, se você se inscreveu no [AWS Enterprise Support](https://aws.amazon.com/premiumsupport/plans/enterprise/), receberá atualizações semanais do seu gerente técnico de contas (TAM) e poderá agendar uma reunião regular de revisão com ele. 

### Etapas de implementação
<a name="implementation-steps"></a>

1.  Assine vários blogs e boletins com o leitor de RSS de sua preferência ou o tópico de atualizações diárias de recursos do SNS. 

1.  Avalie de quais eventos da AWS você deve participar para saber em primeira mão sobre novos recursos e serviços. 

1.  Agende reuniões com a equipe da sua Conta da AWS para esclarecer dúvidas sobre a atualização de serviços e recursos de segurança. 

1.  Considere a possibilidade de assinar o Enterprise Support para consultar regularmente um gerente técnico de contas (TAM). 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [PERF01-BP01 Conhecer e compreender os serviços e recursos de nuvem disponíveis](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_understand_cloud_services_and_features.html) 
+  [COST01-BP07 Manter-se em dia com os novos lançamentos de serviços](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_cloud_financial_management_scheduled.html)