Accelerate and secure your applications running on AWS - SVC207 - São Paulo AWS Summit

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Acelere e proteja aplicativos executados na AWS
Gustavo Rozatti
Enterprise Solutions Architect
S V C 2 0 7

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S U M M I T
O que esperar desta sessão
Segurança
em
camadas
Demos
Casos
de uso
Aceleração
Global

S U M M I T
“Eu quero e quero agora.”

S U M M I T
Desafios no desenvolvimento de aplicações WEB

S U M M I T
Atores mal
intencionados estão
sempre buscando
pontos fracos
Clientes desejam uma
esperiência rápida, onde
quer que estejam

S U M M I T
Acelere e proteja aplicações na AWS
Contruir uma aplicação rápida, escalável, segura,
bem monitorada e protegida contra DDoS
Objetivo:
Usando o Amazon ClouFront para entrega de conteúdo de
forma rápida e segura
Criando um firewall com AWS WAF para combater qualquer
exploit
Usando o AWS Shield para uma proteção abrangente
contra DDoS
Automação
da segurança
de Software

S U M M I T
Proteção de Perímetro em Camadas – Aplicação básica AWS
Instância EC2
Bucket S3
Subnet
Pública
Subnet
Privada
ALB

Usando o Amazon CloudFront para entrega
de conteúdo de forma rápida e segura

S U M M I T
SEGURANÇA
performance
&
Amazon
CloudFront

S U M M I T
A rede global segura do Amazon CloudFront

S U M M I T
A rede global segura do Amazon CloudFront
Padrões de conformidade CloudFront CDN A
PCI DSS Sim Sim***
ISO 27001 Sim Não
ISO 27002 Sim Sim
ISO 9001 Sim Não
ISO 27017 Sim Não
ISO 27018 Sim Não
SOC 1/2/3 Sim Sim***
HIPAA Sim Sim
GDPR Sim Sim
Auditorias Regionais
• C5, Alemanha
• IRAP/IRAP Protected,
Austrália
• MTCS, Singapura
• K-ISMS, Coréia
Sim Não

S U M M I T
CloudFront protege a sua origem
Edge
Locations
locais
Edge cache
regional Aplicação
de Origem
Usuários

S U M M I T
0
25
50
75
100
CloudFront S3 US East S3 US West EC2 (N.
Virginia)
EC2 (Ohio) EC2 (N.
California)
EC2 (Oregon)
p50 FBL
Protegendo e acelerando toda a sua aplicação
CloudFront S3Conteúdo Estático
Imagens
Javascript
HTML

S U M M I T
CloudFront Amazon S3
Conteúdo de Video
Video sob demanda
Live streaming
AWS Media Services

S U M M I T
CloudFront
Conteúdo Dinâmico
Inputs de Usuários
APIs
ALB Amazon EC2
0
25
50
75
100
CloudFront S3 US East S3 US West EC2 (N.
Virginia)
EC2 (Ohio) EC2 (N.
California)
EC2 (Oregon)
p50 FBL

S U M M I T
Conteúdo Dinâmico – Suporte a WebSocket
"O suporte do CloudFront WebSocket
significa que podemos simplificar nossa
infraestrutura e melhorar ainda mais a
satisfação do cliente. As edge locations do
CloudFront agora contribuirão para
melhorar a performance do usuário em
aplicações WebSocket."
Eduard Iskandarov, Team Lead Infrastructure
Coins.ph
”O fato de o CloudFront suportar
WebSockets nos permite consolidar tanto a
entrega de conteúdo estática quanto a
dinâmica, melhorando o alcance global,
aumentando a segurança do app, e
simplificando nossa arquitetura de entrega,
tudo ao mesmo tempo."
Viesturs Proškins, Head of Video R&D
Evolution Gaming

S U M M I T
Mesma rede global para
HTTPS e HTTP
Aplicação estrita do TLS
Perfect forward secrecy
OCSP stapling
Diversas outras opções de
otimização e customização
com documentação online
Criptografando dados em trânsito e em repouso
0.0%
10.0%
20.0%
30.0%
40.0%
50.0%
60.0%
70.0%
80.0%
2013 2014 2015 2016 2017 2018
% tráfego SSL

S U M M I T
SSL personalizado com SNI
• Traga o seu próprio certificado
SSL
• Depende da extensão SNI para
o protocolo TLS
Caso de uso
• www.example.com
• Alguns browsers/SOs antigos
não possuem suporte à
extensão SNI
SSL personalizado com IP dedicado
• Traga o seu próprio certificado SSL
• CloudFront aloca endereços IP
dedicados para seu comteúdo SSL
Caso de uso
• www.example.com
• Suportado por todos
navegadores/SOs
CloudFront SSL Padrão
• Certificado do
CloudFront
compartilhado entre
os clientes
Caso de uso
• dxx.cloudfront.net
Opções de TLS/SSL pelo CloudFront
Certificados SSL gratuitos para serviços integrados ao ACM, como
o CloudFront

S U M M I T
URLs Assinadas
• Adiciona a assinatura a
query string da URL
• Sua URL muda
Cookies Assinados
• Adiciona a
assinatura a um
cookie
• Sua URL NÃO muda
Caso de uso
• Restringir acesso a
múltiplos arquivos
• Mudar a URL não é
desejável
Caso de uso
• Restringir acesso a
arquivos individuais
• Usuários usando um
cliente sem suporte a
cookies
Restringindo acesso externo ao seu conteúdo
Restrição Geográfica
• Whitelist ou
blacklist baseada
em país
Caso de uso
• Restrição
abrangente baseada
no mapeamento
geográfico do IP do
cliente

S U M M I T
S3 Origin Access Identity
• Impede acesso direto ao seu
bucket S3
• Nenhuma URL do S3 é acessível
diretamente
Custom Origin Security Groups
• Permite acesso APENAS do range
de IPs do CloudFront
• Protege a origem de sobrecarga
Restringindo acesso externo à sua origem
CloudFront ALB EC2CloudFront S3

S U M M I T
Acesse nosso blog para um guia passo a passo:
“How to Automatically Update Your
Security Groups for Amazon CloudFront
and AWS WAF by Using AWS Lambda”
Atualize automaticamente um security group de um
ALB ou EC2 para o CloudFront com o AWS Lambda
Política do IAM Função Lambda Subscrição SNS

S U M M I T
Proteção de Perímetro em Camadas – Adicionando entrega
segura de conteúdo
Instância EC2
Bucket S3
Subet
Pública
Subnet
Privada
CloudFront
ALB

S U M M I T
Maiores ameaças à aplicações WEB hoje
Vulnerabilidades
na aplicação
Bots mal
intencionados
DDoS
0
200
400
600
800
1000
1200
1400
1600
1800
Maiores ataques DDoS (Gbps)
Mem
cached
Mirai
botnet

S U M M I T
Escolhendo um WAF
4 princípios fundamentais

S U M M I T
Escolhendo um WAF:
AWS WAF

S U M M I T
Templates do
AWS
CloudFormation
Regras
gerenciadas para
o AWS WAF
Escolhendo um WAF:
AWS WAF

S U M M I T
Segurança básica
Regras gerenciadas do AWS WAF
• Regras escritas, atualizadas e gerenciadas por experts
de segurança
• Pague pelo uso: Sem compromisso de longo prazo
• Deploy fácil
• Opções de proteção
• OWASP Top 10 & outros web exploits
• Common Vulnerabilities and Exposures (CVE)
• Proteção contra bots
• Listas de reputação de IP
• Regras CMS (WordPress, Joomla, entre outros)
• Vulnerabilidades do Apache e do NGINX

S U M M I T
O AWS WAF é um poderoso framework de linguagem de regras

S U M M I T
Templates do
AWS
CloudFormation
Regras
gerenciadas para
o AWS WAF
Escolhendo um WAF:
AWS WAF
Vários tipos de
condições para as
regras
Crie e combine
hierarquias
Ações: Allow /
Block / Count

S U M M I T
Templates do
AWS
CloudFormation
Regras
gerenciadas para
o AWS WAF
Vários tipos de
condições para as
regras
Crie e combine
hierarquias
Ações: Allow /
Block / Count
Escolhendo um WAF:
AWS WAF

S U M M I T
Analise a segurança
Visibilidade & análise de dados
Métricas do CloudWatch
• Metricas em todas as
regras
• Allowed | Blocked |
Counted | Passed
Amostras de requisições web
• Logs detalhados de uma
amostra de requisições
• Disponível automaticamente
para todas as regras
Logs completos
• Logs detalhados de todas
requisições this word just for
spacing
• Ativado opcionalmente para
seu web ACL
Caso de uso
Criar alarmes para
notificações
Caso de uso
Teste rapidamente regras do
AWS WAF
Fácil triagem no console
Caso de uso
Análise de segurança,
monitoramento, automação,
auditoria e conformidade

S U M M I T
Logs completos do AWS WAF
Principais Benefícios
Conformidade e auditoria
• Cada requisição registrada inclui
request headers IDs das regras
correspondentes
• Edite campos sensíveis
Implementação flexível
• Logs transmitidos em formato
JSON através do Amazon Kinesis
Data Firehose para o destino de
sua escolha
Integrações com terceiros
• Centralize e analise logs do AWS
WAF e de outros serviços
Amazon S3 Amazon
Redshift
Amazon
Elasticsearch
Search
Splunk
Amazon Kinesis
Data Firehose

S U M M I T
Casos comuns de análise de dados de segurança
Integrações com terceiros

S U M M I T
Confira nosso webinar para um guia passo a
passo:
Enhanced Security Analytics Using AWS
Full Logging
Análise de segurança aprimorada com a AWS
AWS WAF Amazon
Athena
Amazon S3 bucket

S U M M I T
Templates do
AWS
CloudFormation
Regras
gerenciadas para
o AWS WAF
Vários tipos de
condições para as
regras
Crie e combine
hierarquias
Ações: Allow /
Block / Count
Métricas do
CloudWatch
Amostras de
requisições web
Logs completos
Escolhendo um WAF:
AWS WAF

S U M M I T
Templates do
AWS
CloudFormation
Regras
gerenciadas para
o AWS WAF
Vários tipos de
condições para as
regras
Crie e combine
hierarquias
Ações: Allow /
Block / Count
Métricas do
CloudWatch
Amostras de
requisições web
Logs completos
Escolhendo um AWS WAF:
AWS WAF

S U M M I T
Automação de Segurança por Software
Automações do AWS WAF baseadas em AWS Lambda
Bad Bot / Scanner / Known attackers AWS WAF Integration with Amazon
GuardDuty
DevOps friendly: APIs completas e atualizações rápidas de regras
Blog / Webinar: “Automate Threat Mitigation Using AWS
WAF and Amazon GuardDuty”
AWS Answers: “AWS WAF Security Automations”

S U M M I T
Automação de software:
Políticas do AWS WAF baseadas em
configurações
Garanta
conformidade para
regras obrigatórias
dentro d a empresa
Simplifique o
gerenciamento de
regras entre contas e
aplicações com
políticas de segurança
Habilite respostas
rápidas para ataques
na internet
Customize o escopo
de políticas para os
tipos de recurso e
contas (incluir/excluir)

S U M M I T
Automatizando a segurança de aplicações web
Criando proteção com honeypots em aplicativos
Um bot malicioso identificado em uma
aplicação pode ser facilmente isolado
para não atingir outras aplicações de
uma organização.
Para criar rapidamente um honeypot
automatizado em uma conta, leia nosso guia
passo a passo:
“AWS WAF Security Automations”

S U M M I T
Templates do
AWS
CloudFormation
Regras
gerenciadas para
o AWS WAF
Vários tipos de
condições para as
regras
Crie e combine
hierarquias
Ações: Allow /
Block / Count
Métricas do
CloudWatch
Amostras de
requisições web
Logs completos
AWS WAF
Automações com
Lambda
AWS Firewall
Manager

S U M M I T
AWS WAF
Templates do
AWS
CloudFormation
Regras
gerenciadas para
o AWS WAF
Vários tipos de
condições para as
regras
Crie e combine
hierarquias
Ações: Allow /
Block / Count
Métricas do
CloudWatch
Amostras de
requisições web
Logs completos
Automações com
Lambda
AWS Firewall
Manager

S U M M I T
Proteção de perímetro em camasdas – Adicionando
um Firewall
EC2 Instance
S3 Bucket
Public
Subnet
Private
Subnet
CloudFront
WAF
ALB
Firewall
Manager

Escolhendo um provedor de proteção contra DDoS
4 Princípios Fundamentais
Proteção contra vetores econômicos

AWS Shield Standard & Advanced

Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard

O AWS Shield detecta e mitiga milhares de ataques
DDoS diariamente
Fonte: AWS Global Threat Dashboard (disponível para clientes AWS Shield Advanced)

Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard

Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard
Proteção
automática entre os
clientes
Proteção
aprimorada
baseada no seu
tráfego
Acesso 24/7 ao
time de resposta
a DDoS (DRT)

 Baseline e detecção de anomalias em toda a AWS
 Mitigação com tecnologia de filtragem de pacote proprietária
baseada em score de suspeita
 Defesa automática contra os ataques DDoS mais comuns nas
camadas de rede e transporte para qualquer recurso e
qualquer região da AWS
 Defesa abrangente contra todos ataques conhecidos nas
camadas de rede e transporte quando se usa o Amazon
CloudFront em conjunto com o Amazon Route 53
AWS Shield Standard
Proteção nas camadas 3 e 4 para todos
Proteção
clientes

AWS Shield Advanced
Proteção Aprimorada
• Detecção aprimorada de ataques
nas camadas 3 e 4
• Detecção de ataques na camada 7
• Contenções pré configuradas baseadas no tipo de recurso
• Contenção avançada como aceleração SYN
• Contenção nas camadas 3 e 4 definidas pelo usuário (para
serviços regionais)
Detecção Mitigação
• Ajuda na triagem e contenção de incidentes
• Acionado automaticamente em caso de eventos que
afetem a disponibilidade das camadas 3 e 4
• Casos de suporte ao cliente através do AWS Support ou do
Shield Engagement Lambda
Acesso 24/7 ao
time de resposta
a DDoS (DRT)
Proteção
aprimorada
baseada no seu
tráfego

Ataques significativos recentes
Março de 2018: Aplicação web alvo de um ataque de
reflexão via Memcached com 1.4 Tbps, contido usando o
Amazon CloudFront e o AWS Shield Advanced
Novembro de 2018: Ataque a uma aplicação web rodando
no Amazon CloudFront com 20 milhões de requisições por
segundo, automaticamente contido pelo Amazon
CloudFront e AWS Shield Advanced

Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard
Proteção
clientes
Proteção
aprimorada com
baseline
Acesso 24/7 ao
time de resposta
a DDoS (DRT)

Métricas do
CloudWatch
Diagnóstico de
ataque
Dashboard de
ameaças globais
Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard
Proteção
clientes
Proteção
aprimorada
baseada no seu
tráfego
Acesso 24/7 ao
time de resposta
a DDoS (DRT)

Métricas do
CloudWatch
Diagnóstico de
ataque
Dashboard de
ameaças globais
Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard
Proteção
clientes
Proteção
aprimorada com
baseline
Acesso 24/7 ao
time de resposta
a DDoS (DRT)

AWS WAF sem
custo adicional
Para recursos
protegidos
AWS Firewall
Manager sem
custo adicional
Proteção de
custos para
escala
Métricas do
CloudWatch
Diagnóstico de
ataque
Dashboard de
ameaças globais
Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard
Proteção
clientes
Proteção
aprimorada com
baseline
Acesso 24/7 ao
time de resposta
a DDoS (DRT)

AWS Shield Advanced
Proteção de custo para escala
A AWS absorve os custos de escalabilidade em
recursos protegidos devido a um ataque DDoS
• Amazon CloudFront
• Elastic Load Balancing (ELB/ALB/NLB)
• Amazon Route 53
• Amazon EC2

Proteção
automática entre
os clientes
Proteção
aprimorada
baseada no seu
tráfego
Acesso 24/7 ao
time de resposta
a DDoS (DRT)
Proteção
integrada contra
DDoS para todos
Point and
Protect Wizard
AWS WAF sem
custo adicional
Para recursos
protegidos
AWS Firewall
Manager sem
custo adicional
Proteção de
custo para escala
Métricas do
CloudWatch
Diagnósticos de
ataque
Dashboard de
ameaças globais

S U M M I T
Proteção de Perímetro em camadas – Adicionando
proteção contra DDoS
EC2 Instance
S3 Bucket
Public
Subnet
Private
Subnet
AWS Shield
AWS Shield
Advanced
ALB
CloudFront
AWS WAF
Firewall
Manager

S U M M I T
Casos de uso específicos
Diferentes necessidades de proteção
 Eu tenho uma
arquitetura / API
serverless
 Eu tenho tráfego
TCP (não-HTTP/S)
 Eu rodo jogos
baseados em UDP
• Crie um frontend de API
unificado para vários
microsserviços
• Autentique e autorize
requisições
• Acelere, meça e monetize
o uso da API por terceiros
Amazon API GatewayAWS WAF
• Features completas do
AWS WAF
• Regras personalizadas
e gerenciadas
• Visibilidade através de
logs e do CloudWatch
• Automação com o AWS
Lambda
AWS Shield
Standard

S U M M I T
 Eu tenho uma
arquitetura / API
serverless
TCP (não-HTTP/S)
 Eu rodo jogos
baseados em UDP
AWS Shield Advanced
Load balancer
transparente e
altamente escalável,
arquitetado para
performance e
disponibilidade
Network Load Balancer
Load balancing global
entre regiões com
roteamento anycast e
controles granulares
AWS Global Accelerator
• Limites de detecção
granulares (baseado na
arquitetura)
• Templates de contenção
pré configurados /
customizados
• Network ACLs colocadas
na borda

S U M M I T
 Eu tenho uma
arquitetura / API
serverless
TCP (não-HTTP/S)
 Eu rodo jogos
baseados em UDP
AWS Shield Advanced EC2 instances
Load balancing global
entre regiões com
roteamento anycast e
controles granulares
AWS Global Accelerator
• Limites de detecção
granulares (baseado na
arquitetura)
• Templates de contenção
pré configurados /
customizados
• Network ACLs colocadas
na borda

Proteção de perímetro em camadas - Aplicação AWS Básica
EC2 instance
S3 bucket
Public
subnet
Private
subnet
ALB

Terminado com uma aplicação acelerada e segura na
AWS
EC2 instance
S3 bucket
Public
subnet
Private
subnet
AWS
WAF
AWS Shield
AWS Shield
Advanced
ALB

Gustavo Rozatti
rozattig@amazon.com

“Os serviços da AWS permitiram a Rede uma
entrega ágil com menor custo e com padrões
efetivos de segurança.”
A Rede é uma empresa adquirente,
sendo uma das responsáveis pela
captura, transmissão e liquidação
financeira de transações com cartões
de crédito e débito de múltiplas
bandeiras.
Oferece diversos produtos, máquina
de cartão de crédito e débito, carteira
digital e serviços a estabelecimentos
comerciais credenciados
“Com a AWS inovamos
de forma segura e
escalável melhorando a
performance das nossas
aplicações”
- Francisco Medina,
Gerente de TI

O Desafio
Liberar o acesso nas ferramentas
somente para parceiros através da
Internet utilizando serviços da AWS.
Aprimorar segurança
Restringir acesso aos endereços IP
dos parceiros
Agilidade

O Desafio
Empresas Parceiras – 19
Ferramentas – 7
Requests por mês – 500.000
19 7 500K

Solução
Route 53 WAF
White List
Cloud Front Elastic Load Balance
EC2
5 Requests inválidas
(400, 403, 404, 405)
BlackList
AWS WAF CloudFront Elastic Load Balancing
Deny List
Allow List

“Por favor, responda a pesquisa ao final
da sessão no app. Ao finalizar a
pesquisa, passe no Help Desk e retire
seu brinde!”

Accelerate and secure your applications running on AWS - SVC207 - São Paulo AWS Summit

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Accelerate and secure your applications running on AWS - SVC207 - São Paulo AWS Summit

Similar a Accelerate and secure your applications running on AWS - SVC207 - São Paulo AWS Summit (20)

Más de Amazon Web Services

Más de Amazon Web Services (20)

Accelerate and secure your applications running on AWS - SVC207 - São Paulo AWS Summit