fbpx

Conceitos de Segurança na AWS

seguranca na aws
Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp

A segurança da nuvem na AWS é a maior prioridade. Os clientes da AWS se beneficiam dos datacenters e arquiteturas de rede criados para atender aos requisitos das organizações mais sensíveis à segurança.

Uma vantagem da nuvem da AWS é que ela permite aos clientes escalar e inovar, mantendo um ambiente seguro. A segurança na nuvem é muito parecida com a segurança nos datacenters locais, apenas sem os custos de manutenção de instalações e hardware.

Na nuvem, você não precisa gerenciar servidores físicos ou dispositivos de armazenamento. Em vez disso, você usa ferramentas de segurança baseadas em software para monitorar e proteger o fluxo de informações dentro e fora da nuvem

Este artigo se concentrará em quatro serviços da AWS diretamente relacionados aos objetivos de segurança específicos: Serviço de diretório da AWS para gerenciamento de identidades, Serviço de gerenciamento de chaves da AWS (KMS), AWS CloudHSM para gerenciamento de chaves e AWS CloudTrail para auditoria.

 

Serviço de diretório da AWS

O AWS Directory Service é uma oferta de serviço gerenciado que fornece diretórios que contêm informações sobre sua organização, incluindo usuários, grupos, computadores e outros recursos.

Você pode escolher entre três tipos de diretório:

  • Serviço de diretório da AWS para Microsoft Active Directory (Enterprise Edition), também conhecido como Microsoft AD
  • AD simples
  • Conector AD

Como uma oferta gerenciada, o AWS Directory Service foi projetado para reduzir as tarefas de gerenciamento de identidades, permitindo que você concentre mais seu tempo e recursos nos seus negócios.

Não há necessidade de criar sua própria topologia de diretório complexa e altamente disponível, porque cada diretório é implantado em várias zonas de disponibilidade, e o monitoramento detecta e substitui automaticamente os controladores de domínio que falham.

Além disso, a replicação de dados e os snapshots diários automáticos estão configurados para você. Não há software para instalar e a AWS lida com todas as atualizações de patches e software.

 

Serviço de Diretório da AWS para Microsoft Active Directory (Enterprise Edition)

O Serviço de Diretório da AWS para Microsoft Active Directory (Enterprise Edition) é um Microsoft Active Directory gerenciado hospedado na nuvem da AWS.

Ele fornece grande parte da funcionalidade oferecida pelo Microsoft Active Directory, além de integração com aplicativos da AWS. Com a funcionalidade adicional do Active Directory, você pode, por exemplo, configurar facilmente relações de confiança com os domínios existentes do Active Directory para estender esses diretórios aos serviços de nuvem da AWS.

 

AD simples

O Simple AD é um diretório compatível com o Microsoft Active Directory do AWS Directory Service, desenvolvido com o Samba 4. O Simple AD suporta recursos do Active Directory comumente usados, como contas de usuário, associações de grupos, instâncias do Amazon EC2 que ingressam no domínio executando Linux e Microsoft Windows, Kerberos logon único (SSO) e políticas de grupo.

Isso facilita ainda mais o gerenciamento de instâncias do Amazon EC2 executando Linux e Windows e a implantação de aplicativos Windows na nuvem da AWS.

Muitos dos aplicativos e ferramentas que você usa hoje em dia e que requerem suporte ao Microsoft Active Directory podem ser usados ​​com o Simple AD.

As contas de usuário no Simple AD também podem acessar os aplicativos da AWS, como Amazon WorkSpaces, Amazon WorkDocs ou Amazon WorkMail.

Eles também podem usar as funções do AWS IAM para acessar o AWS Management Console e gerenciar os recursos da AWS. Por fim, o Simple AD fornece snapshots automáticos diários para permitir a recuperação point-in-time.

Observe que você não pode configurar relações de confiança entre o Simple AD e outros domínios do Active Directory. Outros recursos não suportados no momento da redação deste documento pelo Simple AD incluem atualização dinâmica de DNS, extensões de esquema, autenticação multifator (MFA), comunicação através de LDAP (Lightweight Directory Access Protocol), cmdlets do PowerShell AD e a transferência de Funções de Master Operations (FSMO).

 

Conector AD

O AD Connector é um serviço de proxy para conectar o Microsoft Active Directory local à nuvem da AWS sem exigir sincronização de diretório complexa ou o custo e a complexidade de hospedar uma infraestrutura de federação.

O AD Connector encaminha solicitações de entrada para os controladores de domínio do Active Directory para autenticação e fornece aos aplicativos a capacidade de consultar dados no diretório. Após a instalação, seus usuários podem usar suas credenciais corporativas existentes para fazer logon nos aplicativos da AWS, como Amazon WorkSpaces, Amazon WorkDocs ou Amazon WorkMail.

Com as permissões adequadas do IAM, eles também podem acessar o AWS Management Console e gerenciar recursos da AWS, como instâncias do Amazon EC2 ou buckets do Amazon S3.

Você também pode usar o AD Connector para habilitar o MFA, integrando-o à sua infraestrutura MFA baseada no Serviço de Discagem por Autenticação Remota (RADIUS) existente para fornecer uma camada adicional de segurança quando os usuários acessam os aplicativos da AWS.

Com o AD Connector, você continua a gerenciar seu Active Directory como de costume. Por exemplo, a adição de novos usuários, a adição de novos grupos ou a atualização de senhas são realizadas usando ferramentas de administração de diretório padrão com o diretório local.

Portanto, além de fornecer uma experiência otimizada para seus usuários, o AD Connector permite a aplicação consistente de suas políticas de segurança existentes, como expiração de senha, histórico de senhas e bloqueios de conta, estejam os usuários acessando recursos no local ou na nuvem da AWS.

 

Casos de Uso

O AWS Directory Service fornece várias maneiras de usar o Microsoft Active Directory com outros serviços em nuvem da AWS.

Você pode escolher o serviço de diretório com os recursos necessários a um custo adequado ao seu orçamento.

Serviço de diretório da AWS para Microsoft Active Directory (Enterprise Edition) Este serviço de diretório é a melhor opção se você tiver mais de 5.000 usuários e precisar de uma relação de confiança configurada entre um diretório hospedado pela AWS e seus diretórios locais.

AD simples Na maioria dos casos, o AD simples é a opção mais barata e a melhor opção, se você tiver 5.000 ou menos usuários e não precisar dos recursos mais avançados do Microsoft Active Directory.

 

Conector AD

O AD Connector é a melhor opção quando você deseja usar o diretório onpremises existente com os serviços em nuvem da AWS.

 

Serviço de Gerenciamento de Chaves da AWS

 

O serviço de gerenciamento de chaves da AWS (KMS) e o gerenciamento de chaves do AWS CloudHSM são o gerenciamento de chaves criptográficas em um sistema de criptografia. Isso inclui lidar com a geração, troca, armazenamento, uso e substituição de chaves.

 

A AWS oferece dois serviços que oferecem a capacidade de gerenciar suas próprias chaves criptográficas simétricas ou assimétricas:

  • AWS KMS: um serviço que permite gerar, armazenar, ativar / desativar e excluir chaves simétricas
  • AWS CloudHSM: um serviço que fornece armazenamento de chaves criptográficas seguro, disponibilizando os Módulos de segurança de hardware (HSMs) na nuvem da AWS Serviço de gerenciamento de chaves da AWS (AWS KMS) O AWS KMS é um serviço gerenciado que facilita a criação e o controle do chaves de criptografia usadas para criptografar seus dados.

O AWS KMS permite criar chaves que nunca podem ser exportadas do serviço e que podem ser usadas para criptografar e descriptografar dados com base nas políticas definidas por você.

Ao usar o AWS KMS, você obtém mais controle sobre o acesso aos dados criptografados. Você pode usar os principais recursos de criptografia e gerenciamento diretamente em seus aplicativos ou através dos serviços de nuvem da AWS integrados ao AWS KMS.

Esteja você escrevendo aplicativos para a AWS ou usando os serviços de nuvem da AWS, o AWS KMS permite manter o controle sobre quem pode usar suas chaves e obter acesso aos dados criptografados.

 

Chaves gerenciadas pelo cliente

O AWS KMS usa um tipo de chave chamada CMK (Customer Master Key) para criptografar e descriptografar dados. CMKs são os recursos fundamentais que o AWS KMS gerencia.

Eles podem ser usados ​​dentro do AWS KMS para criptografar ou descriptografar até 4 KB de dados diretamente. Eles também podem ser usados ​​para criptografar chaves de dados geradas que são usadas para criptografar ou descriptografar grandes quantidades de dados fora do serviço.

As CMKs nunca podem deixar o AWS KMS descriptografado, mas as chaves de dados podem deixar o serviço não criptografado.

 

Chaves de Dados

Você usa chaves de dados para criptografar objetos de dados grandes em seu próprio aplicativo fora do AWS KMS. Quando você chama GenerateDataKey, o AWS KMS retorna uma versão em texto sem formatação da chave e do texto cifrado que contém a chave criptografada no CMK especificado. O AWS KMS rastreia qual CMK foi usado para criptografar a chave de dados.

Você usa a chave de dados de texto sem formatação no seu aplicativo para criptografar dados e normalmente armazena a chave criptografada ao lado dos dados criptografados.

As práticas recomendadas de segurança sugerem que você remova a chave de texto sem formatação da memória assim que possível após o uso. Para descriptografar dados em seu aplicativo, passe a chave de dados criptografados para a função Descriptografar.

O AWS KMS usa o CMK associado para descriptografar e recuperar sua chave de dados de texto sem formatação. Use a chave de texto sem formatação para descriptografar seus dados e remova a chave da memória.

 

Criptografia de Envelope

O AWS KMS usa criptografia de envelope para proteger os dados. O AWS KMS cria uma chave de dados, criptografa-a em um CMK e retorna versões em texto sem formatação e criptografadas da chave de dados para você.

Você usa a chave de texto sem formatação para criptografar dados e armazenar os dados criptografados.

chave ao lado dos dados criptografados. A chave deve ser removida da memória assim que possível após o uso. Você pode recuperar uma chave de dados em texto sem formatação apenas se tiver a chave de dados criptografados e tiver permissão para usar a chave mestra correspondente.

 

Contexto de criptografia

Todas as operações criptográficas do AWS KMS aceitam um mapa de chave / valor opcional de informações contextuais adicionais, denominado contexto de criptografia. O contexto especificado deve ser o mesmo para as operações de criptografia e descriptografia, ou a descriptografia não terá êxito.

O contexto de criptografia é registrado, pode ser usado para auditoria adicional e está disponível como contexto no idioma de política da AWS para autorização refinada baseada em políticas.

 

AWS CloudHSM

 

O AWS CloudHSM ajuda a atender às exigências corporativas, contratuais e requisitos de conformidade regulatórios para segurança de dados usando dispositivos HSM dedicados na nuvem da AWS.

Um HSM é um dispositivo de hardware que fornece armazenamento seguro de chaves e operações criptográficas dentro de um módulo de hardware resistente a violações. Os HSMs são projetados para armazenar com segurança o material da chave criptográfica e usá-lo sem expô-lo fora dos limites criptográficos do dispositivo.

O AWS CloudHSM permite proteger suas chaves de criptografia nos HSMs projetados e validados de acordo com os padrões governamentais para o gerenciamento seguro de chaves.

Você pode gerar, armazenar e gerenciar com segurança as chaves criptográficas usadas para criptografia de dados de uma maneira que garanta que apenas você tenha acesso às chaves. O AWS CloudHSM ajuda a cumprir rigorosamente os principais requisitos de gerenciamento na nuvem da AWS sem sacrificar o desempenho do aplicativo.

Casos de Uso

Os serviços de gerenciamento de chaves da AWS atendem a várias necessidades de segurança que exigiriam grande esforço para implantar e gerenciar de outra forma, incluindo, entre outros:

 

Distribuição de chave simétrica escalável

Os algoritmos de criptografia simétrica exigem que a mesma chave seja usada para criptografar e descriptografar os dados. Isso é problemático porque a transferência da chave do remetente para o receptor deve ser feita por um canal seguro conhecido ou por algum processo “fora da banda”.

 

Criptografia validada pelo governo

Certos tipos de dados (por exemplo, Indústria de cartões de pagamento – PCI – ou registros de informações de saúde) devem ser protegidos com criptografia validada por uma parte externa em conformidade com o (s) algoritmo (s) declarado (s) pela parte requerente.

 

AWS CloudTrail

 

O AWS CloudTrail fornece visibilidade da atividade do usuário registrando as chamadas de API feitas em sua conta. O AWS CloudTrail registra informações importantes sobre cada chamada da API, incluindo o nome da API, a identidade do chamador, a hora da chamada da API, os parâmetros de solicitação, e os elementos de resposta retornados pelo serviço da AWS.

Essas informações ajudam a rastrear as alterações feitas nos recursos da AWS e a solucionar problemas operacionais. O AWS CloudTrail facilita garantir a conformidade com políticas internas e padrões regulatórios.

O AWS CloudTrail captura chamadas da API da AWS e eventos relacionados feitos por ou em nome de uma conta da AWS e entrega arquivos de log para um bucket do Amazon S3 que você especificar.

Opcionalmente, você pode configurar o AWS CloudTrail para entregar eventos para um grupo de logs monitorado pelo Amazon CloudWatch Logs. Você também pode optar por receber o Amazon Simple Notification Service (Amazon SNS) sempre que um arquivo de log é entregue ao seu bucket.

Você pode criar uma trilha com o console do AWS CloudTrail, a AWS Command Line Interface (CLI) ou a API do AWS CloudTrail. Uma trilha é uma configuração que permite o registro da atividade da API da AWS e eventos relacionados em sua conta.

 

Você pode criar dois tipos de trilhas:

Uma trilha que se aplica a todas as regiões Quando você cria uma trilha que se aplica a todas as regiões da AWS, o AWS CloudTrail cria a mesma trilha em cada região, registra os arquivos de log em cada região e entrega os arquivos de log para o único bucket do Amazon S3 (e opcionalmente ao grupo de logs do Amazon CloudWatch Logs) que você especificar.

Essa é a opção padrão quando você cria uma trilha usando o console do AWS CloudTrail. Se você optar por receber notificações do Amazon SNS para entregas de arquivos de log, um tópico do Amazon SNS será suficiente para todas as regiões.

Se você optar por fazer com que o AWS CloudTrail envie eventos de uma trilha que se aplique a todas as regiões para um grupo de logs do Amazon CloudWatch Logs, os eventos de todas as regiões serão enviados para o único grupo de logs.

Uma trilha que se aplica a uma região Você especifica um bucket que recebe eventos somente dessa região. O bucket pode estar em qualquer região que você especificar. Se você criar trilhas individuais adicionais que se aplicam a regiões específicas, poderá fazer com que essas trilhas entreguem logs de eventos em um único bucket do Amazon S3.

Por padrão, seus arquivos de log são criptografados usando o Amazon S3 SSE. Você pode armazenar seus arquivos de log no seu depósito pelo tempo que quiser, mas também pode definir regras de ciclo de vida do Amazon S3 para arquivar ou excluir arquivos de log automaticamente.

O AWS CloudTrail normalmente fornece arquivos de log em 15 minutos após uma chamada de API. Além disso, o serviço publica novos arquivos de log várias vezes por hora, geralmente a cada cinco minutos.

Esses arquivos de log contêm chamadas de API de todos os serviços da conta que oferecem suporte ao AWS CloudTrail.

Ative o AWS CloudTrail em todas as suas contas da AWS. Em vez de configurar uma trilha para uma região, você deve habilitar trilhas para todas as regiões.

 

Casos de Uso

O AWS CloudTrail é benéfico para vários casos de uso:

Auditorias externas de conformidade

Sua empresa deve demonstrar conformidade com um conjunto de regulamentos pertinentes a alguns ou todos os dados transmitidos, processados ​​e armazenados nas suas contas da AWS. Os eventos do AWS CloudTrail podem ser usados ​​para mostrar o grau em que você está em conformidade com os regulamentos.

 

Acesso não autorizado à sua conta da AWS

O AWS CloudTrail registra todas as tentativas de logon na sua conta da AWS, incluindo tentativas de login do AWS Management Console, chamadas da API do AWS Software Development Kit (SDK) e chamadas da API da AWS CLI. O exame de rotina dos eventos do AWS CloudTrail fornecerá as informações necessárias para determinar se sua conta da AWS está sendo direcionada para acesso não autorizado.

Comentários do Facebook

Conteúdos relacionados