Mais conteúdo relacionado Semelhante a Melhores Práticas de Segurança na AWS (20) Mais de Amazon Web Services LATAM (20) Melhores Práticas de Segurança na AWS 1. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Melhores Práticas de Segurança na AWS -
Quick Wins!
Bruno Silveira
Arquiteto de Soluções
Dezembro 2019
2. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Desafios de Segurança
Visibilidade Automação
3. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
OUSer Ágil Estar Seguro
Antes…
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
OUSer Ágil Estar Seguro
Antes…
4. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
OUESer Ágil Estar Seguro
Agora …
5. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Segurança na AWS é prioridade
Modelo de Segurança
em diversas
camadas
Validado e
direcionado por
especialistas em
segurança
Beneficia todos
os clientes
Pessoas e Processos
Sistemas
Rede e Infraestrutura
Física
6. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Modelo de Responsabilidade Compartilhada
7. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
+ =
• Instalações / Facilities
• Segurança Física
• Infraestrutura Computacional
• Infraestrutura de Storage
• Infraestrutura de Rede
• Camada de Virtualização (EC2)
• Hardening dos Serviços da
nuvem
• Capacidades de IAM
• Configuração de Rede
• Security Groups (FW)
• FW de Sistema Operacional
• Sistema Operacional
• Segurança de Aplicação
• Configuração correta de serviços
• Autenticação e Gerenciamento
de contas
• Políticas de Autorização
Sistemas mais seguros
e em conformidade
quando comparado
com o que uma
empresa pode fazer de
forma isolada.
Especialização em segurança é um recurso escasso. A AWS permite que sua equipe de segurança se
concentre em um subconjunto de necessidades gerais de segurança.
Modelo de Responsabilidade Compartilhada
8. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Soluções de Segurança NA Nuvem AWS
Gestão de Acessos
e
Identidade
Controles
de
Detecção
Segurança em
Infraestrutura
Resposta
a
Incidentes
Proteção
de
Dados
AWS Identity & Access
Management (IAM)
AWS Organizations
Control Tower
AWS Cognito
AWS Directory Service
AWS Single Sign-On
AWS Secret Manager
AWS CloudTrail
Security Hub
AWS Config
Amazon
CloudWatch
Amazon GuardDuty
VPC Flow Logs
Trusted Advisor
Systems Manager
AWS Shield
AWS Web Application
Firewall (WAF)
Amazon Inspector
Amazon Virtual Private
Cloud (VPC)
Image / AMI / Hardening
Bastion Host
AWS Key Management
Service (KMS)
AWS CloudHSM
Amazon Macie
Certificate Manager
Server Side Encryption
S3 Block Public
AWS Config Rules
AWS Lambda
https://aws.amazon.com/pt/products/security/?nc2=h_m1
9. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Soluções de Segurança NA Nuvem AWS
Gestão de Acessos
e
Identidade
Controles
de
Detecção
Segurança em
Infraestrutura
Resposta
a
Incidentes
Proteção
de
Dados
AWS Identity & Access
Management (IAM)
AWS Organizations
Control Tower
AWS Cognito
AWS Directory Service
AWS Single Sign-On
AWS Secret Manager
AWS CloudTrail
Security Hub
AWS Config
Amazon
CloudWatch
Amazon GuardDuty
VPC Flow Logs
Trusted Advisor
Systems Manager
AWS Shield
AWS Web Application
Firewall (WAF)
Amazon Inspector
Amazon Virtual Private
Cloud (VPC)
Image / AMI / Hardening
Bastion Host
AWS Key Management
Service (KMS)
AWS CloudHSM
Amazon Macie
Certificate Manager
Server Side Encryption
S3 Block Public
AWS Config Rules
AWS Lambda
https://aws.amazon.com/pt/products/security/?nc2=h_m1
10. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS IAM - Controle e segregue os acessos
• Você pode controlar quem pode fazer o
que em seu ambiente da AWS quando e
de onde.
• Controle granular de acesso na nuvem
AWS com autenticação de múltiplos
fatores (tokens).
• Integre com seu Active Directory
existente usando federação e logon único
(single Sign-On).
11. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Controle de acesso em diversos níveis
Identity and Access Management
AWS Management Console/APIs
Infraestrutura
AWS
Aplicações
AWS
Suas aplicações
Desenvolvedores
Admins
Segurança Empregados
Clientes
Parceiros
12. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS IAM – Controle de acesso granular
13. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
IAM – Customize as políticas de acessos
14. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
IAM – Restrinja privilégios com condiçõesMFASourceIP
Permite que um usuário gerencie chaves de acesso para todos os
usuários do IAM somente se o usuário estiver usando o SSL.
SSLTags
Permite que um encerre instâncias EC2 somente se ele
estiver autenticado com MFA
Permite que um usuário encerre as instâncias EC2 apenas se o
usuário estiver acessando a console a partir de 192.168.176.0/24
Permite que um usuário encerre as instâncias EC2 somente se a
instância estiver marcada com “Ambiente = Dev”.
15. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS IAM - Policy Simulator
16. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
#2IAM Roles – Controlando acesso de aplicações
Recursos
AWS
Seu código
Sistema
Operacional
Instância
EC2
Credenciais AWS entregues
automaticamente e
rotacionadas
periodicamente
Auto descoberta de
credenciais AWS e uso
Acesso controlado pela
política de IAM (roles)
Também trabalha com AWS Lambda & Amazon ECS
17. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Conta de
Log
centralizado
Time de Nuvem
Conta de
Dev
Conta de
Prod
Cientista de
Dados
Conta de
Segurança
Implementações e
configurações entre
contas
Serviços
compartilhados
Conta de
Sandboxing
Conta de
HIPAA
Gerenciamento
centralizado de
políticas
Contas Novos Controles
Agregação de
dados de serviços
de múltiplas
contas
AWS Organizations – Mais controles em escala
18. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
#2SCP – Service Control Policies
A1 A2 A4
M
Conta Master/ root
Organizational unit (OU)
Contas AWS
Service
Control
Policies
(SCPs)
Recursos AWS
A3
Dev Test Prod
19. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
SCP + IAM
20. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
IAM / AD – Perfis integrados com Grupos do AD
virtual private cloud
Private subnet
Active
Directory
User 1 – Administrator Access
User 2 – Security Audit
User 2 – RDS Full Access
AWS
Management
Console
Identity
Manager
mzncorpawsbr.awsapps.com/console
• Roles
• Policies
• Groups
• Users
Security Team
21. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Melhores
práticas
Gestão de
Identidade
e Acesso
1. MFA (2 fator de autenticação) para contas de acesso.
2. Limite o acesso somente a partir de endereços IPs autorizados quando possível.
3. Não use a conta root (primeira conta) e crie credenciais individualizadas no ambiente.
4. Crie contas com menor privilégio possível e revise periodicamente os acessos e perfis.
5. Sempre que possível integre com a base de autenticação / autoritativa já existente.
6. Crie roles / perfis na Nuvem com base em mapeamento prévio e Grupos de AD, SSO.
7. Utilize o modelo de Organizations para ter múltiplas contas gerenciadas de forma
centralizada, podendo inclusive controlar custos e permissões de acesso por recursos.
8. Defina uma política de senhas fortes e de troca periódica no ambiente.
9. Tenha contas dedicadas para Segurança e Log / Auditoria.
22. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Soluções de Segurança NA Nuvem AWS
Gestão de Acessos
e
Identidade
Controles
de
Detecção
Segurança em
Infraestrutura
Resposta
a
Incidentes
Proteção
de
Dados
AWS Identity & Access
Management (IAM)
AWS Organizations
Control Tower
AWS Cognito
AWS Directory Service
AWS Single Sign-On
AWS Secret Manager
AWS CloudTrail
Security Hub
AWS Config
Amazon
CloudWatch
Amazon GuardDuty
VPC Flow Logs
Trusted Advisor
Systems Manager
AWS Shield
AWS Web Application
Firewall (WAF)
Amazon Inspector
Amazon Virtual Private
Cloud (VPC)
Image / AMI / Hardening
Bastion Host
AWS Key Management
Service (KMS)
AWS CloudHSM
Amazon Macie
Certificate Manager
Server Side Encryption
S3 Block Public
AWS Config Rules
AWS Lambda
https://aws.amazon.com/pt/products/security/?nc2=h_m1
23. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS CloudTrail - Audite as ações executadas
• Você pode identificar rapidamente as
alterações mais recentes feitas nos
recursos em seu ambiente, incluindo a
criação, modificação e exclusão de
recursos da AWS, como por exemplo:
• Início ou desligamento de servidores.
• Alterações de usuários e Grupos de
Segurança entre tantos outros eventos.
Ocorre uma
atividade
CloudTrail
Captura e
grava o
evento no log
Você pode
ver a
atividade e
histórico
24. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Inventário, rastreamento de configuração e notificação de alteração de configuração.
AWSConfig
EC2
VPC
EBS
CloudTrail
Gestão de
Mudanças
Análise de
Auditoria
Análise de
Segurança
Análise de
Problemas
Inventário
IAM
AWS Config – Modelo de monitoração continua do ambiente
25. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Config – 100+ regras gerenciadas
26. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Config
27. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Config
https://aws.amazon.com/quickstart/architecture/accelerator-cis-benchmark/
28. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
VPC Flow Logs – Visualizando fluxos de dados
https://aws.amazon.com/blogs/security/how-to-visualize-and-refine-your-networks-security-by-adding-security-group-ids-to-your-vpc-flow-logs/
29. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
O Amazon GuardDuty é um serviço gerenciado de
detecção de ameaças que monitora continuamente
o comportamento mal-intencionado ou não
autorizado para ajudá-lo a proteger suas contas e
cargas de trabalho da AWS usando ML.
GuardDuty – Aprendizagem de máquina em prol da segurança
30. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
GuardDuty- Como funciona
Habilite o
GuardDuty
• Habilite com poucos
cliques.
• Monitore a segurança de
sem a necessidade de
instalar equipamentos
ou softwares adicionais.
Análise automática e
contínua
• Avaliação automática,
contínua e escalável dos
comportamentos de contas
e de rede para proteção de
seu ambiente AWS.
Detecte ameaças de forma
inteligente
• Uso de ML para detecção
de anomalias.
• Feeds inteligência e regras
de ameaças integradas.
Avalie e automatize ações
• Avalie alertas na console.
• Integre com ferramentas de
incidentes e Workflows.
• Automatize resposta a
incidentes com LAMBDA.
31. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
GuardDuty - Tipos de Ameaças Detectadas
Força
Bruta RDP
RAT
Instalado
Exfiltração
de
credenciais
por DNS
Chamada
de APIs
maliciosas
Credenciais
Comprometidas
Reconhecimento
Portas não usuais
Exfiltração DNS
IPs maliciosos
Conexão com sites
em Blacklist
Volume de tráfego
não usual
Proxy
Anônimo
Início não usual de
instâncias
Chamada de ISP
não usual
Mineração
Bitcoin
https://docs.aws.amazon.com/pt_br/guardduty/latest/ug/guardduty_finding-types.html#actual-types
32. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Console
GuardDuty - Alertas Centralizados
33. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Trusted Advisor – Consultor virtual
Valida configurações de Segurança no seu ambiente como:
• Portas abertas.
• Portas irrestritas.
• CloudTrail habilitado.
• Permissões de S3 Bucket
• Uso de MFA
• Política de senha
• DB com risco de acesso.
• Registros DNS
• Configurações de LB
34. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
#6
https://aws.amazon.com/quickstart/architecture/compliance-cis-benchmark/
https://github.com/toniblyx/prowler
https://github.com/awslabs/aws-security-benchmark
https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf
CIS Quick Start – Validação de práticas do CIS
35. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
1. Mantenha o CloudTrail sempre habilitado.
2. Colete os eventos de segurança de aplicações e sistemas operacionais de forma
centralizada, usando por exemplo CloudWatch Log Agent.
3. Centralize em um SIEM e monitore os alertas / casos de uso.
4. Avalie continuamente as mudanças de configuração e compliance de segurança com
o AWS Config.
5. Monitore atividades suspeitas de ataques e ou comprometimento em seu ambiente
de nuvem com o GuardDuty.
6. Execute continuamente varreduras de vulnerabilidades com AWS Inspector e
execute testes de invasão.
Melhores
Práticas
Controles
Detectivos
36. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
7. Habilite o VPC Flow Logs e monitore (integração com SIEM deve ser considerada).
8. Execute o AWS Trusted Advisor periodicamente.
9. Integre eventos de monitoração da nuvem com seu SOC e valide os procedimentos
de resposta.
10. Reduza o número de erros de configuração de segurança introduzidos no ambiente
de produção integrando e implantando validações de segurança automatizadas em
seu pipeline de desenvolvimento em modelo de integração contínua (CD / CI).
11. Sistemas de prevenção de Intrusão podem ser considerados (avalie o uso de soluções
de parceiros / integradas com a nuvem).
Melhores
Práticas
Controles
Detectivos
37. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Soluções de Segurança NA Nuvem AWS
Gestão de Acessos
e
Identidade
Controles
de
Detecção
Segurança em
Infraestrutura
Resposta
a
Incidentes
Proteção
de
Dados
AWS Identity & Access
Management (IAM)
AWS Organizations
Control Tower
AWS Cognito
AWS Directory Service
AWS Single Sign-On
AWS Secret Manager
AWS CloudTrail
Security Hub
AWS Config
Amazon
CloudWatch
Amazon GuardDuty
VPC Flow Logs
Trusted Advisor
Systems Manager
AWS Shield
AWS Web Application
Firewall (WAF)
AWS System Manager
Amazon Virtual Private
Cloud (VPC)
Image / AMI / Hardening
Amazon Inspector
AWS Key Management
Service (KMS)
AWS CloudHSM
Amazon Macie
Certificate Manager
Server Side Encryption
S3 Block Public
AWS Config Rules
AWS Lambda
https://aws.amazon.com/pt/products/security/?nc2=h_m1
38. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
• Defina seu próprio range de endereços como
uma extensão da sua rede privada.
• Conecte com a sua rede privada usando
túnel VPN ou Direct Connect
• Configure Security Groups (virtual firewalls)
para as suas instâncias EC2; for all EC2
instâncias; atualize regras de Firewall com
chamada de APIs
• Configure Network Access Control Lists para
isolamento de subredes
VPC - Isolamento de Rede
39. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Security Groups = stateful firewall
Instâncias EC2 nesse grupo são acessíveis
pela internet via porta 80 (HTTP).
40. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS WAF - Proteção de camada 7
Amazon CloudFront Application Load Balancer
WAF
API Gateway
41. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS WAF - CloudFormation template
https://docs.aws.amazon.com/solutions/latest/aws-waf-security-automations/template.html
https://docs.aws.amazon.com/solutions/latest/aws-waf-security-automations/deployment.html
42. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS WAF Automations
HTTP floods Scanners and
probes
SQL injection
Bots and
scrapers
IP reputation
lists
Cross-site
scripting
AWS WAF Security Automations
https://aws.amazon.com/answers/security/aws-waf-security-automations/
43. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS WAF Automations – Arquitetura da solução
44. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS WAF – Regras gerenciadas
45. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Proteção de DDoS – Boas práticas e camadas de proteção
https://d1.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf
46. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Proteção de DDoS – Boas práticas e camadas de proteção
https://d1.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf
47. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS System Manager – Patches e controles
48. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS System Manager – Patch Baseline
Crie imagens
seguras
Lance instâncias
1. Instale o agente e configure o serviço
2. Ready to go!
49. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
1 Autenticação forte.
2 Acesso aos servidores de forma restritiva.
3 Auditoria dos comandos executados.
4 Arquivos de auditoria cifrados e protegidos
5 O mesmo serviço pode ser usado para
ambiente on-premise.
1
2
3
4
4
Session
Manager
AWS System Manager – Acessos Administrativos
50. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS System Manager – Acessos Administrativos
51. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS System Manager – Acessos Administrativos
52. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
1. Crie e mantenha imagens seguras permitindo o uso somente de imagens
homologadas.
2. Atualize as imagens periodicamente (Patches e Guias de segurança).
3. Limite as regras de firewall inboud e outbound.
4. Crie os Security Groups por categorias de servidores.
5. Adote um modelo multicamada para proteção contra ataques de DDoS.
6. Crie VPCs isolados de acordo com a prática e modelo atual de segregação do seu
ambiente.
7. Adote soluções de Antimalware de parceiros AWS integradas com seu ambiente na
VPC.
8. Considere a adoção do WAF, com regras AWS e regras gerenciadas, ou ainda um AWF
de parceiro integrado com a nuvem.
9. Considere o uso do Session Manager / System Manager.
Melhores
Práticas
Segurança
de
Infraestrutura
53. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Soluções de Segurança NA Nuvem AWS
Gestão de Acessos
e
Identidade
Controles
de
Detecção
Segurança em
Infraestrutura
Resposta
a
Incidentes
Proteção
de
Dados
AWS Identity & Access
Management (IAM)
AWS Organizations
Control Tower
AWS Cognito
AWS Directory Service
AWS Single Sign-On
AWS Secret Manager
AWS CloudTrail
Security Hub
AWS Config
Amazon
CloudWatch
Amazon GuardDuty
VPC Flow Logs
Trusted Advisor
Systems Manager
AWS Shield
AWS Web Application
Firewall (WAF)
Amazon Inspector
Amazon Virtual Private
Cloud (VPC)
Image / AMI / Hardening
Bastion Host
AWS Key Management
Service (KMS)
AWS CloudHSM
Amazon Macie
Certificate Manager
Server Side Encryption
S3 Block Public
AWS Config Rules
AWS Lambda
https://aws.amazon.com/pt/products/security/?nc2=h_m1
54. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Console e AWS KMS - Você no controle
§ Você está no controle da privacidade de seus dados
§ Escolha a região da AWS em São Paulo e a AWS não a
replicará em outro lugar, a menos que você escolha fazê-lo.
§ Controle o ciclo de vida e o descarte de conteúdo
§ Controle o formato, a precisão e a criptografia da maneira
que você escolher.
§ Gestione suas próprias chaves de criptografia.
55. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Encripte os dados fim a fim
EBS
Criptografia de volumes
Criptografia de
Disco (EBS)
Arquivos
Soluções de parceiros /
MarketPlace
Criptografia de Objetos
S3 Server Side
Encryption (SSE)
S3 SSE com chaves do
cliente
Criptografia do lado do
cliente
Criptografia de Bases de Dados
RedshiftPostgreSQLMYSQLORACLEMSSQL
AWS
KMS
56. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
- Gestão de chaves simplificada.
- Integrado com diversos serviços AWS.
- Alinhado com padrões de criptografia
mundiais, FIPS 140-2 Level 2.
- Use o SDK para integrar facilmente com
suas aplicações
AWS KMS
Criptografe em escala de forma simples e integrada
57. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Certificate Manager (ACM) – Em trânsito
• Gere certificados SSL confiáveis para proteção
de seus dados
• Gerencie a renovação e instalação
• Certificados sem custo para ambiente AWS
• Use a mesma CA para gestão interna
58. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
1. Use Criptografia como em seus sonhos J, seja com KMS ou CloudHSM.
2. Faça inventário de grande volume de dados usando Amazon Macie.
3. Gerencie os certificados digitais de forma centralizada usando o Certificate Manager.
4. Garanta criptografia no trânsito sempre em chamadas API (HTTPS).
5. Implemente mecanismos de monitoração e controles de permissões em S3 em
múltiplas camadas.
Melhores
Práticas
Proteção
de
Dados
59. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Soluções de Segurança NA Nuvem AWS
Gestão de Acessos
e
Identidade
Controles
de
Detecção
Segurança em
Infraestrutura
Resposta
a
Incidentes
Proteção
de
Dados
AWS Identity & Access
Management (IAM)
AWS Organizations
Control Tower
AWS Cognito
AWS Directory Service
AWS Single Sign-On
AWS Secret Manager
AWS CloudTrail
Security Hub
AWS Config
Amazon
CloudWatch
Amazon GuardDuty
VPC Flow Logs
Trusted Advisor
Systems Manager
AWS Shield
AWS Web Application
Firewall (WAF)
Amazon Inspector
Amazon Virtual Private
Cloud (VPC)
Image / AMI / Hardening
Bastion Host
AWS Key Management
Service (KMS)
AWS CloudHSM
Amazon Macie
Certificate Manager
Server Side Encryption
S3 Block Public
AWS Config Rules
AWS Lambda
https://aws.amazon.com/pt/products/security/?nc2=h_m1
60. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Automatize com serviços integrados
CloudWatch Events
Amazon
CloudWatch
CloudWatch
Event
Lambda
Lambda Function
AWS Lambda
GuardDuty
Amazon
GuardDuty
Automatize a remediação de ameaças
61. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Automatize a remediação de Ameaças
62. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Automatize Respostas com Step Functions
63. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Gere alertas de ameaças
Cloud SOC
GuardDuty
Amazon
GuardDuty
64. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Mantenha o contato atualizado
65. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
1. Defina os casos de uso de automação e eventos a serem tratados.
2. Automatize as ações usando LAMBDA e recursos de integração.
3. Adicione ferramentas de terceiros e Open-Source para automatizar a coleta de
evidências forense em tempo real.
4. Teste periodicamente os cenários de resposta.
5. Execute exercícios de CyberWar Simulation.
Melhores
Práticas
Resposta
a incidentes
66. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
CIS AWS Foundations
https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf
Use as melhores práticas como base
67. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
WA Security Pillar
https://d1.awsstatic.com/whitepapers/architecture/AWS-Security-Pillar.pdf
Use as melhores práticas como base
68. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
CAF Security Perspective
https://d1.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf
Use as melhores práticas como base
69. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Recursos de Segurança
https://aws.amazon.com/pt/security/security-resources/
Use as melhores práticas como base
70. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Grande ecossistema de parceiros tecnológicos
Segurança de
Infraestrutura
Log
e
monitoração
Gestão de
Identidade e
Acessos
Análise e Gestão de
Vulnerabilidades
Proteção de
Dados
Segurança de
Infraestrutura
71. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
OUESer ágil estar seguro
Agora…
Gestão de Acessos
e
Identidade
Controles
de
Detecção
Segurança em
Infraestrutura
Resposta
a
Incidentes
Proteção
de
Dados
72. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Treinamento / Certificação de Segurança
https://aws.amazon.com/pt/training/course-descriptions/security-fundamentals/
73. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Treinamento / Certificação de Segurança
74. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Obrigado
brunorms@amazon.com
https://aws.amazon.com/security/
https://aws.amazon.com/compliance/
75. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Questionário Avaliando a palestra!