Antes de contratar um serviço de IaaS é importante conhecer os prós e contras dos vários provedores disponíveis no mercado. Com isso em mente, essa série de artigos vai esclarecer tudo sobre os serviços Iaas da AWS (Amazon Web Services).
São seis critérios principais a avaliar. Mas antes, é preciso compreendê-los. Confira, então, a seguir suas definições básicas:
Segurança de perímetro
Embora o conceito de perímetro tenha diminuído na nuvem e em sua arquitetura de recursos compartilhados, ainda há uma necessidade de definir os limites externos de dados, aplicativos e serviços em nuvem. Controles de perímetro em uma nuvem visam avaliar o tempo de atividade e disponibilidade de recursos de ataques, como negação de serviço e envenenamento de DNS
de serviços em nuvem. Contudo, o perímetro também inclui alguns aspectos de um WAF para aplicativos em nuvem, bem como o controle de acesso remoto a recursos de nuvem, como solicitações de porta.
Os principais provedores de nuvem oferecem uma gama completa de controles para mitigar ameaças externas e sustentar o tempo de atividade durante uma negação de serviço direcionada. A bem da verdade, o Google pode ter uma ligeira vantagem nesta categoria devido aos seus recursos de aprendizado de máquina e funcionalidade out-of-the-box. Entretanto, o serviço AWS WAF oferece as opções mais personalizáveis.
Segurança de rede
Um desafio em relação à segurança de rede na computação em nuvem é a falta de visibilidade da organização para monitorar o tráfego de rede e responder a atividades suspeitas. A computação em uma nuvem pública renuncia ao controle de rede e dados do usuário ou empresa para o CSP em modelo de responsabilidade compartilhada. Portanto, a segurança dos dados é responsabilidade do cliente.
Por esse motivo, é imperativo que o provedor de nuvem ofereça recursos e / ou suporte às ferramentas de terceiros para garantir à rede principal princípios básicos de segurança. Isso inclui o isolamento entre várias zonas por meio de camadas de firewalls, controles de tráfego de e para aplicativos, criptografia de nível de transporte ponta a ponta e protocolos de padrão seguro de encapsulamento, como IPSEC, SSH e Secure Sockets Layer (SSL), usado ao implantar um VPC.
Contudo, além de todos esses recursos, o provedor IaaS deve oferecer suporte a algum método de monitoramento de rede para detecção e resposta a ameaças, o que significa fornecer uma fonte de dados de tráfego de rede para inspeção de segurança.
Virtualização / Host
Os clientes IaaS são os principais responsáveis por proteger os hosts provisionados na nuvem, como virtualização e segurança de software ou segurança de servidor virtual. Em paralelo, o provedor de IaaS é responsável pelo camada de hardware e configuração de hipervisor de suporte subjacente. Ou seja, o cliente assume a responsabilidade e gerenciamento do sistema operacional convidado, incluindo atualizações e patches de segurança.
Além disso, as cargas de trabalho do cliente são isoladas e cada conta do cliente está vinculada aos recursos que ele consome. A maioria das cargas de trabalho corporativas é executada em sistemas operacionais Windows e Linux. Contudo, o Windows tem recursos de autopatching, enquanto o sistema operacional Linux requer script ou ferramentas de terceiros.
Gerenciamento de identidade e acesso
A identidade é talvez o componente mais crítico pelo qual o cliente é responsável na questão de segurança da nuvem. Afinal, a identidade mantém a integridade e confidencialidade dos dados e aplicativos, ao mesmo tempo que torna o acesso prontamente disponível para usuários autorizados. Portanto, oferecer suporte para esses recursos de gerenciamento de identidade, para usuários e componentes de infraestrutura, é um requisito importante para a computação em nuvem. Então, a identidade deve ser gerenciada de forma a construir confiança.
Felizmente, todos os CSPs fornecem identidade granular e controle de acesso que oferecem suporte à maioria, senão a todas, as opções de autenticação.
Gerenciamento de postura de segurança
É muito difícil controlar se os dados do cliente estão armazenados adequadamente. Isso acontece devido a mudanças emergentes e perpétuas na nuvem. Afinal, conforme a infraestrutura em nuvem cresce e muda dinamicamente, a necessidade de rastrear e proteger contra as configurações incorretas devem ocorrer em conjunto.
Portanto, o gerenciamento de postura de segurança na nuvem deve permitir o monitoramento de mudanças de configuração com algum nível de automação de aplicação de política. Isso inclui consultas que são executadas periodicamente, junto com recursos habilitados para alertas automáticos a fim de permitir a correção manual ou automatizada de configurações incorretas à medida que ocorrem.
Segurança de dados
No datacenter tradicional, controles de acesso físico, acesso a hardware e software e controles de identidade se combinam para proteger os dados. Entretanto, na nuvem, essa barreira protetora que protege a infraestrutura é difusa. Portanto, os dados precisam de sua própria segurança.
Então, esses controles devem incluir criptografia, isolamento de dados, classificação, direitos
gerenciamento e forte acesso baseado em funções para armazenamentos de dados. Todos os principais provedores de nuvem têm um conjunto completo de controles para garantir a criptografia de dados em uso, em trânsito e em repouso. A diferença está entre controles nativos e custos adicionais de ferramentas de terceiros.
IaaS AWS
Confira a seguir as características da IaaS AWS:
Segurança de perímetro IaaS AWS
Os serviços de segurança de perímetro da IaaS AWS protegem endpoints voltados para o público contra ataques da camada 7. Para proteger a web, aplicativos ou cargas de trabalho de API contra exploits comuns da web que podem afetar a disponibilidade, comprometer a segurança ou
consumir recursos excessivos, a AWS fornece serviços WAF e AWS Shield.
O AWS WAF oferece controle aos clientes sobre como o tráfego atinge seus aplicativos. Isso permite criar regras de segurança que bloqueiam ataques comuns padrões, como injeção de SQL ou script entre sites e regras que filtram os padrões de tráfego específicos definidos. Além disso, o AWS WAF é altamente personalizável e os usuários pagam apenas quando as regras são acionadas. Portanto, essa solução é adequada para empresas de médio a grande porte que possuem pessoal com as habilidades necessárias.
O AWS Shield é um serviço de proteção de negação de serviço (DDoS) dedicado gerenciado que protege os aplicativos rodando na AWS. Vale lembrar que todos os clientes da AWS se beneficiam da proteção automática do AWS Shield Standard (sem nenhum custo adicional) para os ataques DDoS de rede e de transporte mais comuns e frequentes. Dessa forma, a solução é adequada para pequenas organizações com equipe de segurança limitada.
Já o AWS Shield Advanced fornece detecção e mitigação adicionais quase em tempo real, junto com a integração com AWS WAF e acesso 24 × 7 à equipe de resposta de DDoS da AWS. O preço do AWS WAF é baseado no uso do tipo de recurso por hora, enquanto o AWS Shield tem uma cobrança mensal fixa. A solução é adequada para médias e grandes organizações que desejam aumentar ou terceirizar sua equipe de segurança
Segurança de rede na IaaS AWS
A rede AWS é dividida em regiões geográficas e zonas subsequentes dentro de cada região. Cada zona pode consistir em um ou mais datacenters. Além disso, a AWS também tem uma zona local, ou seja, uma extensão de uma região da AWS em áreas geográficas com proximidade de usuários com conexão própria à internet, reduzindo a latência.
Cada datacenter da IaaS AWS é segmentado usando VPCs. Isso permite que os clientes provisionem uma seção logicamente isolada da nuvem onde podem iniciar recursos da AWS em uma rede virtual definida por eles. Portanto, os clientes têm controle total sobre seus ambientes de rede, incluindo a seleção de seu próprio intervalo de endereços IP, criação de sub-redes e configuração de tabelas de rotas e gateways de rede.
Além disso, os clientes podem usar IPv4 e IPv6 em seus VPCs para acesso seguro e fácil a recursos e aplicativos. VPCs são protegidos por ACLs de rede que atuam como firewall para sub-redes associadas, controlando tanto a entrada quanto o tráfego de saída no nível da sub-rede. Entretanto, ACLs são stateless, o que significa que as respostas ao tráfego de entrada permitido estão sujeitos às regras de tráfego de saída (e vice-versa).
Roteamento e gateways
Por outro lado, as tabelas de roteamento e os gateways da Internet estão associados com VPCs para permitir, restringir ou direcionar o tráfego. Como ACLs, firewalls de grupo de segurança para instâncias associadas do Amazon EC2 controlam a entrada tal como a saída no nível da instância e são aplicados no nível da interface de rede.
Os grupos de segurança, no entanto, são stateful, o que significa que se os usuários enviam uma solicitação de sua instância e o tráfego de resposta para essa solicitação pode fluir independentemente de regras de grupo de segurança de entrada. Entretanto, as respostas ao tráfego de entrada podem fluir para fora, independentemente das regras de saída.
Virtualização/Host da IaaS AWS
A IaaS AWS oferece Organizações AWS, Torre de controle e VPCs para isolar e gerenciar contas de clientes e cargas de trabalho. Esses serviços permitem aos clientes:
- Gerenciar o faturamento de forma centralizada;
- Controlar o acesso, conformidade e segurança;
- Compartilhar recursos em suas contas AWS.
Contudo, além disso, a AWS oferece instâncias bare metal que permitem que os clientes executem cargas de trabalho de aplicativos que requerem acesso direto à infraestrutura bare metal.
O AWS Outposts é um serviço totalmente gerenciado que estende a infraestrutura AWS, serviços AWS, APIs e ferramentas para praticamente qualquer datacenter, espaço de co-localização ou instalação no local para uma experiência híbrida verdadeiramente consistente.
Além disso, a AWS oferece suporte e mantém o Amazon Linux para uso no EC2. Ele foi projetado para fornecer um ambiente de execução estável, seguro e de alto desempenho para aplicativos executados no Amazon EC2. Patchs do AWS Systems Manager automatizam o processo de aplicação de patches em instâncias gerenciadas tanto relacionadas à segurança quanto a outros tipos de atualizações. Ou seja, os clientes podem usar o Patch Manager para aplicar patches para sistemas operacionais e aplicativos disponíveis via IaaS AWS.
Gerenciamento de identidade e acesso AWS
O AWS IAM permite que os usuários gerenciem o acesso aos serviços e recursos da AWS com segurança. Afinal, o IAM permite aos clientes criar e gerenciar usuários e grupos da AWS. As permissões, por sua vez, podem ser usadas para permitir e negar acesso aos recursos da IaaS AWS .
O AWS IAM é um recurso de cada conta da AWS oferecido sem custo adicional. O acesso na AWS é gerenciado por criar políticas e anexá-las às identidades do IAM (usuários, grupos de usuários ou funções) ou recursos da AWS. Mas o que é uma política neste caso? Uma política
é um objeto na AWS que, quando associado a uma identidade ou recurso, define permissões.
Então, a AWS avalia estas políticas quando um usuário ou função do IAM faz uma solicitação. As permissões nas políticas determinam se a solicitação é permitida ou negada. A maioria das políticas são armazenadas na AWS como documentos JSON.
Contudo, vale ressaltar que aAWS suporta seis tipos de políticas: políticas baseadas em identidade, políticas baseadas em recursos, limites de permissões, SCPs de organizações, ACLs e políticas de sessão.
Além disso, os serviços AWS IAM incluem um recurso de consultor de acesso para auxiliar os clientes na implementação de privilégios mínimos. Por exemplo, os desenvolvedores podem ter amplo acesso para começar a trabalhar rapidamente, contudo, à medida que o projeto avança, tais permissões deverão ser limitadas apenas ao que eles precisam.
Então, o consultor de acesso determinará as permissões que os desenvolvedores usaram analisando o último carimbo de data / hora quando uma entidade IAM (um usuário, função ou grupo) acessou um Serviço AWS. Essas informações ajudam os clientes a auditar o acesso ao serviço, remover permissões desnecessárias e definir permissões apropriadas em diferentes ambientes.
Gerenciamento de postura de segurança da IaaS AWS
A AWS oferece um conjunto de ferramentas de segurança normalmente compradas separadamente para gerenciar vulnerabilidades. Muitas dessas ferramentas alimentam o AWS Security Hub, que fornece uma visão abrangente de alertas de segurança de alta prioridade e postura de segurança nas contas da AWS.
- O pacote de ferramentas inclui Amazon GuardDuty, um serviço de detecção de ameaças que
- monitora continuamente atividades maliciosas e comportamento não autorizado para proteger contas e cargas de trabalho disponíveis via IaaS AWS;
- Amazon Macie, um serviço de segurança que usa aprendizado de máquina para descobrir, classificar e proteger automaticamente dados confidenciais em AWS S3 Buckets;
- Amazon Inspector, um serviço automatizado de avaliação de segurança que ajuda
- melhorar a segurança e a conformidade dos aplicativos implantados na AWS;
- Você também pode instalar o CloudWatch em servidores locais e na nuvem. Isso permite que os clientes realizem monitoramento de desempenho;
- O serviço AWS Config fornece gerenciamento de configuração para instâncias EC2, um volume Elastic Block Store, um Elastic Network Interface ou um grupo de segurança. Ele mantém o controle das configurações de todos os recursos da AWS associado a uma conta AWS. Isso permite que os clientes obtenham configurações atuais e históricas de cada recurso AWS e informações sobre a relação entre eles. Eles podem usar o serviço para identificar e reverter alterações não autorizadas. Além disso, o recurso de correção automática do AWS Config permite que os usuários apliquem ações de correção com regras de configuração da AWS e opte por executá-las automaticamente para resolver recursos não compatíveis sem intervenção manual.
Regras de configuração
Já as regras de configuração da AWS são configuradas pelo cliente usando Funções do AWS Lambda. Contudo, saiba que os recursos AWS Config e AWS Config Rules têm um custo.
Ainda assim, os registros de fluxo de VPC da AWS permitem que os clientes capturem informações sobre o tráfego de IP indo e vindo da rede via interfaces em um VPC. Os dados do log de fluxo podem ser publicados no Amazon CloudWatch Logs ou Amazon S3. Depois que um registro de fluxo é criado, os usuários podem recuperar e visualizar seus dados no destino escolhido.
Os registros de fluxo da AWS podem ser habilitados no VPC, sub-rede ou nível de interface de rede. Os registros de fluxo são enviados imediatamente após a janela de amostragem. Eles não capturam todo o tráfego IP, incluindo consultas ao servidor Amazon DNS, tráfego DHCP e metadados. Mesmo com uma amostragem de registro de fluxo de 1,0 ou 100%, no máximo cerca de 10% dos pacotes no nível de VM são processados devido à limitação da taxa de amostragem inicial.
Segurança de dados na AWS
A AWS fornece criptografia em nível de disco para proteger os dados em repouso. Além disso, a AWS fornece suporte para armazenamento de objetos, armazenamento de arquivos e serviços de armazenamento em bloco a um custo.
Para armazenamento de objetos, o Amazon S3 criptografa cada objeto com uma chave exclusiva e criptografa a própria chave com uma chave mestra que gira regularmente. Do lado do servidor Amazon S3, a criptografia usa uma das cifras de bloco mais fortes disponíveis para criptografar dados – criptografia avançada de 256 bits Padrão (AES-256).
O serviço AWS NoSQL DynamoDB criptografa por padrão todos os dados em repouso. Os clientes podem usar a criptografia padrão, a chave mestra do cliente de propriedade da AWS (CMK) ou a CMK gerenciada pela AWS para criptografar todos os seus dados. Contudo, o DynamoDB agora adicionou suporte para permitir que os usuários alternem as chaves de criptografia entre CMK de propriedade da AWS e CMK gerenciado pela AWS, sem ter que fazer qualquer modificação de código ou aplicativo.
Contudo, a criptografia deve ser habilitada no AWS Aurora RDS. Além disso, a AWS oferece serviços RDS não proprietários (incluindo Oracle e Microsoft SQL Server) e serviços NoSQL que utilizam criptografia de banco de dados nativa, que varia dependendo das versões e licenciamento.
Chaves criptográficas
Já o AWS KMS torna mais fácil criar e gerenciar chaves criptográficas e controlar seu uso em uma ampla gama de Serviços da IaaS AWS e em aplicativos. O AWS KMS é um serviço seguro e resiliente que usa módulos de segurança de hardware que foram validados sob o Federal Information Processing Standard (FIPS) 140-2, ou estão em processo de validação, para proteger as chaves. Há integração entre o AWS KMS e o AWS CloudTrail para fornecer registros de todos os principais usos para ajudar a atender às necessidades regulatórias e de conformidade.
Além disso, a AWS protege os dados em trânsito na rede AWS usando TLS e SSL. Portanto, a IaaS AWS irá atualizar todos os seus endpoints para uma versão mínima do TLS do TLS 1.2 no próximo ano. Esta atualização irá descontinuar a capacidade de usar TLS 1.0 e TLS 1.1 em todos os endpoints FIPS em todas as regiões AWS até o segundo semestre de 2021. Contudo, essa mudança não afetará nenhum outro endpoint AWS.
