Segurança em nuvem da AWS (Amazon Web Services)

O que é a segurança na nuvem da AWS?

A segurança na nuvem da AWS é um conjunto de protocolos e medidas projetados para manter o ambiente de nuvem pública da Amazon Web Services (AWS) seguro contra ameaças à nuvem. A AWS fornece um modelo de responsabilidade compartilhada, um framework que descreve as respectivas responsabilidades para provedores de serviços de nuvem e clientes. Ela aumentou suas capacidades ao longo do tempo, mas com a adoção crescente de ambientes híbridos ou multinuvem, surge um novo conjunto de desafios de segurança na nuvem.

Neste artigo, expandiremos as dicas e sugestões da Amazon e explicaremos por que às vezes não é suficiente seguir cegamente as práticas recomendadas de segurança.

Além das Melhores Práticas: o que elas não lhe dizem

Já passamos por essa situação e sabemos que há muitos recursos disponíveis sobre as melhores práticas de segurança. No entanto, eles geralmente sempre cobrem os mesmos pontos e geralmente se concentram nas etapas iniciais de proteção da infraestrutura de nuvem.

Algumas das melhores práticas que eles compartilham incluem:

• Criptografar dados na nuvem: a AWS tem suas próprias opções de criptografia de dados na nuvem. A criptografia AES de 256 bits é uma chave gerenciada pelo serviço AWS fornecida gratuitamente, com a desvantagem de fornecer criptografia apenas no lado do servidor. O AWS Key Management Service é a opção paga que permite que você crie e criptografe sua própria infraestrutura.
• Criar nuvens privadas virtuais: quando os clientes criam VPCs, eles podem isolar workloads umas das outras no nível da rede. VPCs são ferramentas de segurança úteis que ajudam a reduzir exposições de segurança.
• Backup de dados: as organizações podem ter suas operações interrompidas no caso de um ataque. As interrupções operacionais são drasticamente mitigadas quando todos os dados da organização são copiados e, no caso de uma interrupção, ela pode estar pronta e funcionando em um curto período de tempo.
• Usar autenticação multifatorial (MFA): a MFA aumenta a segurança em um sistema porque garante que os usuários são quem dizem ser e limita o número de usuários que podem acessar e/ou modificar dados armazenados.
• Ter senhas fortes: certifique-se de seguir as melhores práticas de armazenamento de senhas fortes para evitar que hackers entrem facilmente em sua rede ou sistema.
• Centralizar logs do CloudTrail: os logs centralizados permite que suas equipes detectem facilmente comportamentos suspeitos em serviços da AWS, como S3 e RDS.
• Dar ênfase ao gerenciamento de acesso de identidade: o IAM permite que seu departamento de TI otimize e controle quais usuários têm acesso a qual quantidade de dados na rede.

Esses conselhos funcionam e são úteis no começo. Mas eles não tendem a escalar facilmente e definitivamente não nos fornecem uma estratégia de segurança em nuvem completa e robusta. Se você quer isso, precisa ir mais longe.

A seguir estão 4 recomendações que vão além das melhores práticas e recomendações da Amazon.

1. Cuidado com o deputado confuso

O problema do deputado confuso é um problema de segurança em que uma entidade não autorizada pode utilizar outra entidade mais privilegiada para acessar seus recursos dentro de sua conta da AWS. Isso só acontece nos casos em que precisamos autorizar um terceiro a acessar nossos recursos, mas essa prática se tornou comum no mundo da computação em nuvem e SaaS.

Se você não tomar cuidado com isso, poderá acabar dando acesso irrestrito à sua infraestrutura para um ator malicioso. Para se defender contra isso, use a propriedade de ID externa da AWS ao definir funções. O ID externo é apenas um campo (pense nele como uma senha) que qualquer entidade deve fornecer ao assumir uma determinada função.

No entanto, isso não deve ser encarado levianamente, pois há muitas maneiras de forçar esse campo. Quando definido, ele deve ter uma senha segura e difícil de adivinhar e deve ser enviado de forma criptografada para que seu fornecedor terceirizado guarde. Para reforçar ainda mais sua segurança, você pode alternar esses IDs externos de vez em quando.

2. Mantenha suas políticas simples, pequenas e escaláveis

Você sabe que a AWS usa políticas para conceder ou impedir o acesso de entidades aos recursos. É assim que você deve definir quem tem acesso a quê, de acordo com a AWS. Mas se você pretende continuar crescendo, você definitivamente deve ter um plano para manter suas políticas em longo prazo. Isso significa manter as políticas simples e diretas.

Por exemplo, se você precisar conceder acesso a um determinado serviço, como o AWS Lambda, você pode ter uma política personalizada que faça exatamente isso e nada mais. Dessa forma, você pode evitar interações indesejadas entre usuários e serviços. É melhor aplicar várias políticas para realizar uma ação do que aplicar uma única política que faz várias coisas, pois esta última envolve políticas que são mais difíceis de ler, manter e escalar.

3. Entenda verdadeiramente a importância do IAM

Por que recorrer a grupos do IAM em vez de usuários ou funções?

Sobre este tópico, vale mencionar que você não deve aplicar políticas diretamente a usuários ou funções, mas sim usar grupos do IAM para fazer isso. Dessa forma, você pode escrever várias políticas que se aplicam a vários subconjuntos de usuários da sua conta, como desenvolvedores, administradores de sistemas, testadores, engenheiros de controle de qualidade, etc.

Depois de escrever essas políticas, você pode atribuí-las a grupos, separando-as por responsabilidades ou por função dentro da sua empresa. A vantagem aqui é que você pode escrever um conjunto de políticas e aplicá-las todas de uma vez. E se você precisar de mais granularidade para um determinado funcionário, você pode adicionar uma de suas políticas mais simples para esse usuário específico e adicionar essas permissões.

Caso contrário, se você precisar modificar um conjunto de usuários (desenvolvedores, por exemplo), você só precisa modificar suas políticas de grupo, o que modificará todas as políticas de usuário desse grupo de uma só vez.

4. Aproveite um serviço de visibilidade

Por que aproveitar um serviço de visibilidade como o AWS Systems Manager?

O AWS Systems Manager é um serviço de segurança e visibilidade que funciona como o centro de todos os seus ativos e fluxos de trabalho da AWS, oferecendo uma interface de usuário centralizada para explorar livremente sua infraestrutura. Isso permite que você verifique e corrija vulnerabilidades, além de se beneficiar de um único armazenamento para todo o seu ambiente para gerenciar os dados de configuração das suas aplicações.

Usando este serviço, você pode criar grupos de recursos em diferentes serviços da AWS e, em seguida, visualizar dados agregados por grupo de recursos. Você pode então responder a insights e automatizar ações operacionais nesses grupos de recursos.

O AWS Systems Manager tem capacidades adicionais na forma de serviços menores, como Incident Manager e Change Manager. O primeiro permite que você crie planos de resposta que entram em vigor sempre que houver problemas de disponibilidade, desempenho ou segurança com suas aplicações ou fluxos de trabalho. Dessa forma, você pode receber notificações quando qualquer alteração no seu ambiente criar uma vulnerabilidade de segurança que precisa ser resolvida o mais rápido possível. O Incident Manager pode executar esses planos se acionados, notificando os socorristas por SMS ou e-mail, revertendo as alterações significativas e fornecendo métricas úteis pós-incidente.

O Change Manager, por outro lado, permite que você simplifique a maneira como faz alterações na infraestrutura e configuração da sua conta. Ele permite que você crie “modelos de alteração” que ajudam a evitar resultados indesejados ao fazer alterações em certas coisas (como políticas de IAM). Isso é muito útil ao tentar garantir que nenhuma alteração drástica passe pelo fluxo de trabalho predefinido, o que, por sua vez, ajuda a impedir problemas de segurança antes mesmo que eles aconteçam.

Tudo isso se encaixa muito bem em uma solução de segurança com muitas políticas, que é como a AWS sugere que façamos as coisas de qualquer maneira.

Como a CrowdStrike pode ajudar

Embora nem todas essas etapas possam se aplicar à sua infraestrutura, é bom ter outras maneiras de protegê-la sem depender dos mesmos cinco conselhos que recebemos da AWS na maioria das vezes. Seu modelo de responsabilidade compartilhada, embora útil, não fornece ferramentas de verdade para proteger nosso meio ambiente, ele simplesmente nos diz o que devemos nos preocupar em proteger.

Já sabemos que devemos criptografar nossos dados e chaves de acesso de segurança, e planejar nossa estratégia de segurança deve ser algo óbvio quando se trata de trabalhar e manter uma grande infraestrutura de nuvem.

Se você estiver procurando por uma solução gerenciada, explore o CrowdStrike Falcon^® para AWS. Este serviço fornece proteção de ponta a ponta, do host à nuvem e em todos os lugares intermediários, ao mesmo tempo em que garante visibilidade completa de todos os seus recursos, contas e instâncias.