fbpx

Risco e Compliance na AWS

awsrisk1
Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp

A AWS e seus clientes compartilham o controle sobre o ambiente de TI, para que ambas as partes sejam responsáveis ​​pelo gerenciamento desse ambiente. A parte da AWS nessa responsabilidade compartilhada inclui o fornecimento de seus serviços em uma plataforma altamente segura e controlada e o fornecimento de uma ampla variedade de recursos de segurança que os clientes podem usar.

O cliente é responsável por configurar seu ambiente de TI de maneira segura e controlada para seus propósitos. Embora os clientes não comuniquem seu uso e configurações à AWS, a AWS se comunica com os clientes sobre sua segurança e controle do ambiente, conforme relevante. A AWS divulga essas informações usando três mecanismos principais.

Primeiro, a AWS trabalha diligentemente para obter certificações do setor e atestados independentes de terceiros. Segundo, a AWS publica abertamente informações sobre suas práticas de segurança e controle em whitepapers e conteúdo de sites.

Por fim, a AWS fornece certificados, relatórios e outras documentações diretamente a seus clientes sob os contratos de confidencialidade (NDAs), conforme necessário.

Quando os clientes transferem suas cargas de trabalho de produção para a nuvem da AWS, ambas as partes se tornam responsáveis ​​pelo gerenciamento do ambiente de TI.

Os clientes são responsáveis ​​por configurar seu ambiente de maneira segura e controlada. Os clientes também precisam manter a governança adequada sobre todo o ambiente de controle de TI. Esta seção descreve o modelo de responsabilidade compartilhada da AWS e fornece conselhos sobre como estabelecer uma conformidade forte.

 

Modelo de Responsabilidade Compartilhada

Esse modelo de responsabilidade compartilhada pode ajudar a diminuir a carga operacional de TI de um cliente, pois é responsabilidade da AWS gerenciar os componentes do sistema operacional host e da virtualização até a segurança física dos datacenters em que esses serviços operam.

O cliente é responsável pelos componentes do sistema operacional convidado para cima (incluindo atualizações, patches de segurança e software antivírus). O cliente também é responsável por qualquer outro software aplicativo, bem como pela configuração de grupos de segurança, Nuvens Privadas Virtuais (VPCs) e assim por diante.

Enquanto a AWS gerencia a segurança da nuvem, a segurança na nuvem é de responsabilidade do cliente. Os clientes mantêm o controle de qual segurança eles escolhem implementar para proteger seu próprio conteúdo, plataforma, aplicativos, sistemas e redes, da mesma forma que seria para aplicativos em um data center no local.

Os clientes precisam estar cientes de quaisquer leis e regulamentos aplicáveis ​​com os quais devem cumprir e, em seguida, devem considerar se os serviços que eles consomem na AWS estão em conformidade com essas leis. Em alguns casos, pode ser necessário melhorar na AWS com medidas de segurança adicionais (como implantar um firewall de aplicativo da web, Sistema de detecção de intrusões [IDS] ou Sistema de prevenção de intrusões [IPS] ou usar alguma forma de criptografia para os dados em repouso)

Esse modelo de responsabilidade compartilhada do cliente / AWS não se limita apenas a considerações de segurança, mas também se estende aos controles de TI. Por exemplo, o gerenciamento, a operação e a verificação dos controles de TI são compartilhados entre a AWS e o cliente.

Antes de migrar para a Nuvem AWS, os clientes eram responsáveis ​​por gerenciar todos os controles de TI em seus ambientes. A AWS gerencia os controles da infra-estrutura física, levando assim a carga pesada indiferenciada dos clientes, permitindo que eles se concentrem no gerenciamento dos controles de TI relevantes. Como cada cliente é implantado de maneira diferente na AWS, os clientes podem mudar o gerenciamento de determinados controles de TI para a AWS.

Essa mudança no gerenciamento dos controles de TI resulta em um novo ambiente de controle distribuído. Os clientes podem usar a documentação de controle e conformidade da AWS disponível para executar seus procedimentos de avaliação e verificação de controle, conforme necessário.

 

Forte governança de conformidade

Ainda é responsabilidade dos clientes manter uma governança adequada em todo o ambiente de controle de TI, independentemente de como a TI é implantada (seja no local, na nuvem ou parte de um ambiente híbrido). Ao implantar na nuvem da AWS, os clientes têm opções para aplicar diferentes tipos de controles e vários métodos de verificação.

Para alcançar uma forte conformidade e governança, os clientes podem querer seguir esta metodologia básica:

  1. Adote uma abordagem holística. Revise as informações disponíveis na AWS, juntamente com todas as outras informações, para entender o máximo possível do ambiente de TI. Após a conclusão, documente todos os requisitos de conformidade.
  2. Projete e implemente objetivos de controle para atender aos requisitos de conformidade da organização.
  3. Identifique e documente os controles de propriedade de todos os terceiros.
  4. Verifique se todos os objetivos de controle foram alcançados e se todos os controles principais foram projetados e operando com eficiência.

Ao usar essa metodologia básica, os clientes podem entender melhor seu ambiente de controle. Por fim, isso simplificará o processo e ajudará a separar as atividades de verificação que precisam ser executadas.

 

Avaliando e integrando controles da AWS

A AWS fornece aos clientes uma ampla gama de informações sobre seu ambiente de controle de TI por meio de documentos técnicos, relatórios, certificações e outros atestados de terceiros.

Esta documentação ajuda os clientes a entender os controles em vigor relevantes para os serviços em nuvem da AWS que eles usam e como esses controles foram validados. Essas informações também auxiliam os clientes em seus esforços para contabilizar e validar se os controles em seu ambiente de TI estendido estão operando efetivamente.

Tradicionalmente, o design e a eficácia operacional dos controles e objetivos de controle são validados pelos auditores internos e / ou externos por meio de orientações passo a passo do processo e avaliação de evidências.

Observação direta e verificação, pelo cliente ou auditor externo do cliente, geralmente são realizadas para validar os controles. No caso de fornecedores de serviços como a AWS, empresas solicitam e avaliam atestados e certificações de terceiros a fim de obter garantia razoável do design e da eficácia operacional dos controles e objetivos do controle.

Como resultado, embora os principais controles de um cliente possam ser gerenciados pela AWS, o ambiente de controle ainda pode ser uma estrutura unificada na qual todos os controles são contabilizados e verificados como operando efetivamente. Os atestados e certificações de terceiros da AWS não apenas fornecem um nível mais alto de validação do ambiente de controle, mas também pode aliviar os clientes do requisito de realizar determinados trabalhos de validação.

 

Informações de controle de TI da AWS

A AWS fornece informações de controle de TI aos clientes das duas maneiras a seguir.

 

Definição de controle específico

Os clientes da AWS podem identificar os principais controles gerenciados pela AWS. Os controles-chave são críticos para o ambiente de controle do cliente e exigem um atestado externo da eficácia operacional desses controles-chave para atender aos requisitos de conformidade (por exemplo, uma auditoria financeira anual). Para esse fim, a AWS publica uma ampla gama de controles de TI específicos em seu relatório Service Organization Controls 1 (SOC 1) Tipo II.

O relatório SOC 1 Tipo II, anteriormente a Declaração sobre Normas de Auditoria (SAS) Nº 70, é um padrão de auditoria amplamente reconhecido desenvolvido pelo Instituto Americano de Contadores Públicos Certificados

(AICPA). A auditoria SOC 1 é uma auditoria aprofundada da eficácia do projeto e da operação dos objetivos de controle definidos e das atividades de controle da AWS (que incluem objetivos de controle e atividades de controle sobre a parte da infraestrutura que a AWS gerencia). “Tipo II” refere-se ao fato de que cada um dos controles descritos no relatório não é apenas avaliados quanto à adequação do projeto, mas também são testados quanto à eficácia operacional pelo auditor externo. Devido à independência e competência do auditor externo da AWS, os controles identificados no relatório devem fornecer aos clientes um alto nível de confiança no ambiente de controle da AWS.

Os controles da AWS podem ser considerados efetivamente projetados e operacionais para vários fins de conformidade, incluindo auditorias às demonstrações financeiras da Seção 404 da Sarbanes-Oxley (SOX). A utilização de relatórios SOC 1 Tipo II também é geralmente permitida por outros organismos de certificação externos. Por exemplo, os auditores da Organização Internacional de Normalização (ISO) 27001 podem solicitar um relatório SOC 1 Tipo II para concluir suas avaliações para clientes

 

Conformidade com o padrão de controle geral

Se um cliente da AWS exigir que um amplo conjunto de objetivos de controle seja alcançado, a avaliação das certificações do setor da AWS poderá ser realizada. Com a certificação ISO 27001, a AWS está em conformidade com um padrão de segurança amplo e abrangente e segue as práticas recomendadas para manter um ambiente seguro. Com a certificação DSS (Data Security Standard) do setor de cartões de pagamento (PCI), a AWS cumpre um conjunto de controles importantes para as empresas que lidam com informações de cartão de crédito.

A conformidade da AWS com os padrões da Federal Information Security Management Act (FISMA) significa que a AWS cumpre uma ampla gama de controles específicos exigidos pelas agências governamentais dos EUA. A conformidade da AWS com esses padrões gerais fornece aos clientes informações detalhadas sobre a natureza abrangente dos controles e processos de segurança em vigor na nuvem da AWS.

 

Regiões globais da AWS

 

A infraestrutura da nuvem da AWS é construída em torno de regiões e zonas de disponibilidade. Uma região é um local físico no mundo em que temos várias zonas de disponibilidade. As zonas de disponibilidade consistem em um ou mais data centers distintos, cada um com energia, rede e rede redundantes em  conectividade, instalado em instalações separadas. Essas zonas de disponibilidade oferecem aos clientes a capacidade de operar aplicativos e bancos de dados de produção mais altamente disponíveis, tolerantes a falhas e escaláveis ​​do que seria possível usando um único data center.

Até o momento em que este artigo foi escrito, a AWS Cloud opera 33 zonas de disponibilidade em 12 regiões geográficas do mundo. As 12 regiões são Leste dos EUA (Virgínia do Norte), Oeste dos EUA (Oregon), Oeste dos EUA (norte da Califórnia), AWS GovCloud (EUA) (Oregon), UE (Frankfurt), UE (Irlanda), Ásia-Pacífico (Cingapura), Ásia Pacífico (Tóquio), Ásia-Pacífico (Sydney), Ásia-Pacífico (Seul), China (Pequim) e América do Sul (São Paulo).

Comentários do Facebook

Conteúdos relacionados