fbpx

AWS Control Tower & VPC Traffic Mirroring

control tower
Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp

Garanta conformidade e segurança na nuvem

Garantir que suas instâncias da AWS estejam em conformidade com a segurança e monitorar o tráfego em toda a sua infraestrutura ficou mais fácil.

Image title

O AWS re: Inforce 2019 é uma conferência de dois dias para aprendizagem de segurança, identidade e conformidade e construção de comunidades.

A palestra de 2019, apresentada pelo vice-presidente e CIO da AWS, Stephen Schmidt, anunciou a disponibilidade geral do AWS Control Tower e do novo recurso VPC Traffic Mirroring.

Esses dois anúncios repercutiram bastante e eu quero expandi-los para ajudá-lo a obter informações valiosas sobre como a Amazon Web Services (AWS) gerencia a segurança em grande escala.

Neste artigo, vamos dar uma olhada em cada um desses tópicos.

AWS Control Tower

Migrar para a AWS pode ser um grande desafio para as organizações.

Sem duvida, qualquer ajuda com infraestrutura, design de contas, segurança e implementação de controles operacionais seria bem-vinda por muitos.

É aqui que a AWS Control Tower pode ajudar.

Ele foi projetado para ajudar a criar e delinear um ambiente de múltiplas contas da AWS.

Que esteja em conformidade com as melhores práticas definidas na estrutura bem arquitetada da AWS, incluindo segurança e principais serviços operacionais como uma zona inicial.

 

O que o Control Tower garante ?

O AWS Control Tower ajuda a garantir que suas contas da AWS atendam aos padrões exigidos e estipulados por controles de conformidade específicos.

Inclui a opção de adotar e implementar as regras de configuração da AWS como parte da implantação, garantindo que controles específicos sejam atendidos.

As regras de configuração da AWS fornecem um ótimo método para ajudá-lo a aplicar controles e verificações de conformidade específicos em seus recursos e permite que você adote uma especificação de implantação “ideal” para cada um dos seus tipos de recursos.

Cada regra é simplesmente uma função Lambda.

Quando chamado, avalia o recurso e realiza alguma lógica simples para determinar o resultado de conformidade com a regra.

O AWS Control Tower também fornecerá um resumo de cada conta da AWS para mostrar sua conformidade com suas políticas para mostrar se há uma violação contra quaisquer regras de configuração da AWS.

Guardrails

O Control Tower também usa um recurso conhecido como guardrails dentro da unidade organizacional (OU) da organização AWS.

Essas grades de proteção podem ser obrigatórias e opcionais para ajudar a garantir a conformidade e a governança de segurança em todas as suas contas.

Exemplos de grades mandatórias incluem controles como:

  • alterações nas funções do IAM configuradas para a AWS Control Tower
  • acesso de leitura pública ao arquivo de log
  • mudanças de política no arquivo de log

 

O que mais é obrigatório ?

Além desses trilhos de proteção obrigatórios, há também várias proteções recomendadas que você pode ativar ou desativar, como a proibição do acesso de gravação pública aos buckets do Amazon S3.

Além de serem obrigatórias ou opcionais, essas grades de proteção se dividem em duas categorias: preventiva e detectiva.

As proteções preventivas param as ações que não cumprem suas políticas e as grades de proteção de detectivas identificam a não conformidade em suas contas.

O AWS Control Tower implementa de maneira automática e eficiente novas contas. Isso pode ser configurado para usar outras ferramentas de gerenciamento, como o AWS Organizations e o AWS Service Catalog, para ajudá-lo a manter maior controle sobre seu ambiente do AWS.

Blueprints

Grande parte dessa configuração é simplificada em uma configuração automatizada através do uso de blueprints da Control Tower. Esses blueprints de práticas recomendadas fornecem uma configuração de modelo centralizada nos serviços de segurança e gerenciamento da AWS.

Isso ajuda a implantar sua infraestrutura usando os principais recursos, como federação, criação de log, controle de auditoria, design de rede aprimorado e fluxos de trabalho para ajudar a provisionar contas.

Aqui estão alguns exemplos do que os diferentes projetos podem ajudá-lo:

  • Configurar o AWS Organizations para criar um ambiente com várias contas
  • Fornecer gerenciamento de identidade usando usuários e grupos do AWS SSO
  • Federar o acesso usando o logon único do AWS
  • Centralizar o registro usando o AWS CloudTrail e o AWS Config
  • Ativar auditorias de segurança de várias contas usando o AWS IAM
  • Implementar o design de rede usando o Amazon VPC
  • Definir fluxos de trabalho para provisionar contas usando o AWS Service Catalog

 

O que os Blueprints facilitam ?

Como parte do gerenciamento geral de seu ambiente de várias contas, o AWS Control Tower permite que você visualize sua infraestrutura a partir de um resumo de nível superior por meio de um painel que fornece informações como:

  • Número de contas provisionadas
  • Número de políticas ativadas em todas as suas contas
  • Status de conformidade de suas contas

Em resumo, o AWS Control Tower é uma nova adição poderosa à categoria de segurança, identidade e conformidade em constante expansão dos serviços da AWS para governar e proteger várias contas da AWS.

VPC Traffic Mirroring

Em qualquer organização, os analistas de segurança se esforçam para entender que tráfego está sendo gerado pelos recursos da rede para descobrir possíveis ameaças e pontos fracos e solucionar incidentes.

Usando as nuvens privadas virtuais (VPCs) da AWS, um método para capturar esse tráfego é implantar agentes em seus recursos para rastrear e capturar o tráfego de rede de suas instâncias do EC2.

À medida que seus ambientes crescem e você implanta mais e mais VPCs, essa abordagem de implantações baseadas em agentes pode se tornar muito incômoda e difícil de manter e gerenciar.

A AWS desenvolveu e projetou uma nova solução para resolver esse problema. O VPC Traffic Mirroring é um novo recurso dentro do serviço VPC, permitindo que você duplique o tráfego de rede gerado a partir de seus recursos dentro do seu VPC.

Esse tráfego pode ser enviado para outra instância ou appliance para análise e inspeção adicionais sem o uso de quaisquer agentes de terceiros instalados em seus recursos, simplificando o gerenciamento e o controle da captura de tráfego.

 

O que é feito até então ?

Até o momento, o VPC Traffic Mirroring está disponível apenas em fontes que executam instâncias baseadas em Nitro.

Como esse processo duplica o tráfego, essa carga adicional conta para a largura de banda associada à instância de origem.

Se o limite de largura de banda atingir a capacidade, causando congestionamento, a AWS primeiro soltará o tráfego espelhado usado pelo Espelhamento de Tráfego do VPC para ajudar a aliviar o congestionamento.

De acordo com as práticas recomendadas de design, é recomendável que você encaminhe seu tráfego de rede duplicado para um NLB (Balanceador de carga de rede), que encaminha o tráfego a uma frota de appliances atrás dele por meio de um ouvinte UDP.

Se necessário, você pode simplesmente encaminhar o tráfego para uma única instância ou appliance, mas deve projetar com alta disponibilidade em mente.

A melhor coisa sobre o VPC Traffic Mirroring é que as instâncias ou o dispositivo que realiza a análise de tráfego podem estar em um VPC diferente daquele da origem que gera o tráfego.

Isso permite que você obtenha um design de hub e spoke, atraindo tráfego agrupado de várias VPCs diferentes, todas direcionadas a partir de uma única VPC dedicada à análise de segurança e à detecção de anomalias de rede.

Novamente, esse design ajuda no gerenciamento e controle de seus recursos.

Comentários do Facebook

Conteúdos relacionados