Security
Responsabilidade Compartilhada
- A AWS é responsável pela segurança da nuvem
- Os clientes são responsáveis pela segurança na nuvem
AWS Identity and Access Management (IAM)
Descrição
- Oferece autenticação e autorização como serviço
- Principais aspectos do serviço:
Link ao original
AWS Organizations
- Um local central para gerenciar várias contas AWS
- Características:
- Gerenciamento centralizado
- Cobrança consolidada
- Organização hierárquicas das contas, conforme necessidades
- Segurança
- Conformidade
- Orçamentárias
- Pode-se construir a hierarquia seguindo o organograma da organização
- Controle de acesso a ações de API e serviço AWS
- As Políticas de contrle de serviço (SCPs) especificam permissões máximas das contas associadas à organização ou uma unidade
AWS Artifact
- Acesso aos relatórios de conformidade feitos por terceiros que as validaram
- Conformidade AWS: Whitepaper de Risco e Segurança da AWS
- Concede acesso sob demanda a esses relatórios
Lembre-se da reponsabilidade compartilhada
- Possui duas seções principais:
AWS Artifact Agreements
- Gerencia e assina contratos
- Uma gama de acordos para respeitar regulamentações específicas de clientes
AWS Artifact Reports
- Disponibiliza relatórios para conformidade por auditores
- Testam e verificam se está em conforme com regulamentações de segurança globais
- Atualizado constantemente
- Fornece artefatos de auditoria da AWS para serem disponibilizados à auditores e reguladores
Ataques de negação de serviço (DoS)
- Um ataque que visa derrubar e indisponibilizar um servidor para clientes
AWS Shield
- Fornece proteção para aplicações contra ataques DDoS, com níveis de proteção
AWS Shield Standard
- Protege todos os clientes automaticamente sem nenhum custo adicional
- Assegura a proteção de ataques mais comuns e frequentes
AWS Shield Advanced
- Serviço pago que fornece mais detalhes nos diagnósticos de ataques
- Faz integração com os demais serviços, como:
- CloudFront
- Route 53
- Elastic Load Balancing
- Possibilita regras personalizadas para mitigação de ataques mais complexos
AWS Key Management Service (KMS)
- Gerencia as chaves criadas para descriptografar os dados
- Basea-se em criptografia
- Proteger dados para que apenas partes autorizadas possam acessá-los
Criptografia em Repouso
- Dados ociosos, em armazanamento
Criptografia em Trânsito
- Dados trafegando de um ponto ao outro
- Como se um ponto fosse um serviço da AWS e outro ponto um cliente (ou outro serviço)
AWS WAF
- Um firewall de aplicação Web
- Monitora solicitações/tráfego em uma rede de serviços Web
- Trabalha em conjunto com outros 2 serviços:
- Amazon CloudFront
- Application Load Balancer
- Bloqueia e permite tráfego utilizando uma lista de controle de acesso (ACL) da web
- Com isso, protege seus recursos da AWS
Amazon Inspector
- Melhora a segurança e conformidade de aplicações da AWS
- É feito de avaliações de seguranças automatizadas
- Verifica desvios de boas práticas de segurança
- Exposição de instâncias EC2
- Vulnerabilidades
Amazon GuardDuty
- Analisa fluxos de metadados contínuos gerados pela sua conta
- Atividade de rede encontrada em eventos do AWS CloudTrail
- Logs de fluxo da Amazon da VPC
- Logs de DNS
- Detecção de anomalias + machine learning
- Executado de forma independente, pois não afeta desempenho e disponibilidade de outros serviços