Noções básicas sobre as ferramentas de segurança da AWS
Nos dias de hoje'Na era digital, a nuvem se tornou um pilar para muitas empresas, oferecendo escalabilidade, flexibilidade e custo-benefício. No entanto, com a adoção contínua de serviços em nuvem, as preocupações com a segurança também aumentaram. Garantir a segurança de dados e aplicativos na nuvem é primordial para as organizações, e é aí que a Amazon Web Services (AWS) intervém.
Este post se aprofunda nas ferramentas essenciais de segurança da AWS projetadas para reforçar Segurança na nuvem em hoje's paisagem digital. Como as empresas dependem cada vez mais da nuvem para escalabilidade, flexibilidade e custo-benefício, a importância de proteger dados e aplicativos nunca foi tão alta. Nesse contexto, a Amazon Web Services (AWS) oferece soluções robustas para lidar com essas preocupações de segurança.
AWS Security Best Practices [Cheat Sheet]
This cheat sheet goes beyond the essential AWS security best practices and offers actionable step-by-step implementations, relevant code snippets, and industry- leading recommendations to fortify your AWS security posture.
Download Cheat Sheet
O imperativo da segurança na nuvem
Embora ofereça inúmeras vantagens, um ambiente de nuvem também é suscetível a muitas ameaças. De violações de dados a acessos não autorizados, os riscos potenciais são vastos. Reconhecendo esses desafios, a AWS priorizou o fornecimento de uma infraestrutura segura como primeira linha de defesa. AWS'Seu compromisso com a segurança é evidente em seu conjunto abrangente de ferramentas projetadas para proteger todas as camadas da nuvem.
AWS Security Foundations For Dummies
Everything you need to know to protect your AWS environment
Download PDF
Principais ferramentas de segurança oferecidas pela AWS
O papel das ferramentas de segurança da AWS
As ferramentas de segurança da AWS não se resumem a impedir acesso não autorizado ou violações de dados. Eles desempenham um papel multifacetado na garantia da segurança geral de uma conta da AWS, dos aplicativos executados nela e dos serviços que estão sendo utilizados. Essas ferramentas desempenham um papel fundamental na AWS' Infraestrutura de segurança robusta, oferecendo soluções que atendem a necessidades específicas de segurança e, ao mesmo tempo, fornecem uma visão holística de sua postura de segurança.
AWS'As ofertas de segurança podem ser amplamente categorizadas em:
Nas seções a seguir, nos aprofundaremos nessas ferramentas, explorando seus recursos, casos de uso e os benefícios que elas oferecem aos usuários da AWS.
Gerenciamento de identidades e acesso
Restringir quem pode ver o que em seu ecossistema é fundamental no mundo digital de hoje. A principal solução aqui é o conhecido serviço Web de identidade e acesso da AWS.
Gerenciamento de identidade e acesso da AWS (IAM)
AWS IAM é um dos pilares da segurança da AWS, permitindo que as organizações controlem o acesso aos seus serviços e recursos da AWS. Ele também permite criar e gerenciar usuários e grupos da AWS, garantindo que apenas pessoas autorizadas possam acessar recursos específicos.
As principais características do IAM podem ser resumidas da seguinte forma.
Acesso compartilhado à sua conta da AWS: Conceda a vários usuários acesso à sua conta da AWS, garantindo operações colaborativas e seguras.
Permissões granulares: Ajuste as permissões para garantir que os usuários só tenham acesso aos recursos necessários para seu trabalho.
Acesso seguro aos aplicativos: Integre o IAM com outros serviços da AWS para proteger o acesso a aplicativos.
Autenticação multifator: Obtenha uma camada extra de segurança exigindo dois ou mais métodos de verificação.
O IAM é especialmente adequado para gerenciar permissões para grandes equipes, garantindo que elas possam acessar os recursos da AWS sem comprometer a segurança. Você também deve usá-lo ao proteger dados confidenciais, pois restringirá o acesso apenas a pessoal autorizado.
Proteção de Dados
Os dados costumam ser o ativo mais valioso para as organizações. A AWS fornece ferramentas como o AWS Secrets Manager e o Amazon Macie para garantir que os dados sejam armazenados com segurança e que informações confidenciais, como informações de identificação pessoal (PII), sejam protegidas.
Gerenciador de segredos da AWS
Gerenciador de segredos da AWS é uma ferramenta fundamental para quando as organizações precisam proteger o acesso a aplicativos, serviços e recursos de TI. Ele gerencia informações confidenciais com segurança, garantindo que os segredos não't tornam-se vulnerabilidades por meio de três capacidades importantes.
Rotação de segredos: Altere automaticamente os segredos em intervalos definidos, reduzindo o risco de acesso não autorizado.
Armazenamento de segredos seguro e escalável: Guarde segredos com segurança para garantir que eles're criptografado e acessível apenas por entidades autorizadas.
Monitoramento de segredos: Rastreie e monitore o acesso a segredos, garantindo transparência e segurança.
O AWS Secrets Manager é útil para os seguintes casos de uso.
Gerenciando credenciais para serviços de terceiros
Você pode armazenar chaves de API, credenciais de banco de dados e outros segredos com segurança usando o código abaixo:
aws secretsmanager create-secret --name MyTestDatabaseSecret
--Descrição: __________ "Meu segredo de banco de dados de teste criado com a CLI"
--secreto-string '{"nome de usuário":"TestUser","senha":"mypassword"}'Este comando cria um novo segredo chamado MyTestDatabaseSecret, com uma descrição e uma cadeia de caracteres secreta no formato JSON contendo um nome de usuário e senha.
Automatizando a rotação de segredos
Isso garante que os segredos sejam alterados regularmente, reduzindo o risco de violações. Para configurar a rotação automática de segredos, crie uma função do Lambda que defina a lógica de rotação e configure o segredo no Gerenciador de segredos para usar esta função:
aws secretsmanager rotate-secret --secret-id MyTestDatabaseSecret
--rotação-lambda-arn
arn:aws:lambda:region:account-id:function:rotation-function-name
--rotation-rules AutomaticamenteAfterDays=30O comando para MyTestDatabaseSecret usa uma função especificada do Lambda e garante que o segredo seja girado automaticamente a cada 30 dias.
Lago de Segurança da Amazônia
Lago de Segurança da Amazônia centraliza dados de segurança de várias fontes, fornecendo uma plataforma unificada para detecção e análise avançadas de ameaças com os seguintes recursos principais.
Criptografia de dados: Certifique-se de que todos os dados dentro do Security Lake estejam criptografados, mantendo a confidencialidade.
Exportação de data lake: Exporte dados para análise adicional ou para fins de conformidade.
Carregamentos de dados personalizados: Integre dados de diversas fontes, garantindo uma visão abrangente de segurança.
Esta ferramenta é benéfica para a caça a ameaças, procurando proativamente potenciais ameaças ou vulnerabilidades. Além disso, oferece análises dos dados de segurança para obter insights e melhorar sua postura de segurança.
Amazônia Macie
Amazônia Macie utiliza aprendizado de máquina e reconhecimento de padrões para detectar e proteger seus dados confidenciais na AWS. Com o Macie, os usuários da AWS podem entender e gerenciar dados confidenciais em escala, facilitando o cumprimento das regulamentações de privacidade de dados por meio de alguns recursos principais. Nós os abordamos abaixo, juntamente com alguns códigos de exemplo.
Descoberta de dados: Digitalize automaticamente os buckets do S3 para identificar onde os dados confidenciais residem na AWS:
# Trecho de código Python para listar buckets do S3 e verificá-los com Macie
importar boto3
s3 = boto3.client('s3')
macie = boto3.client('Macie2')
# Lista de todos os buckets do S3
baldes = s3.list_buckets()
para caçamba em baldes['Baldes']:
# Verifique cada bucket com Macie para dados confidenciais
resposta = macie.create_classification_job(
jobType='ONE_TIME',
s3JobDefinition={
'bucketDefinições': [{'Nome do bucket': balde['Nome']}]
}
)Classificação dos dados: Categorize dados com base na sensibilidade, como PII, usando identificadores de dados predefinidos:
# Trecho de código Python para obter resultados de classificação
achados = macie.get_findings()
para achado nos achados['Resultados']:
impressão(f"Tipo de dados confidenciais: {finding['tipo']}")Alertas de segurança: Receba notificações via AWS CloudWatch ou SNS quando a Macie detectar possíveis acessos não autorizados ou violações de dados:
# Trecho de código Python para criar um tópico SNS para alertas Macie
SNS = boto3.client('SNS')
tópico = sns.create_topic(Nome='MacieAlertas')
macie_alert_arn = tópico['TópicoArn']Proteção de redes e aplicativos
Proteger sua rede e aplicativos contra possíveis ameaças é crucial. As ferramentas abordadas nesta seção foram projetadas para proteger os aplicativos contra riscos, como ataques distribuídos de negação de serviço (DDoS).
Escudo da AWS
Escudo da AWS é um serviço abrangente de proteção contra negação de serviço distribuído (DDoS) gerenciado projetado para proteger aplicativos da AWS. Ele permite que os usuários garantam a disponibilidade e o desempenho de seus aplicativos, mesmo sob ataque DDoS, sem a necessidade de fazer alterações em um aplicativo. Seus principais recursos estão listados abaixo, juntamente com o código de exemplo, quando relevante.
Proteção contra DDoS: Obtenha proteção robusta contra os vetores de ataque DDoS mais prevalentes, garantindo que seus aplicativos permaneçam disponíveis:
# Trecho de código Python para habilitar a proteção do AWS Shield Advanced
importar boto3
escudo = boto3.client('escudo')
resposta = shield.create_protection(
Nome='MyProtection',
ResourceArn='arn:aws:elasticloadbalancing:us-west-2:123456789012:loadbalancer/app/my-load-balancer/50dc6c495c0c9188'
)Proteção de custos: Evite a pressão financeira quando seus serviços da AWS forem dimensionados devido a um ataque DDoS, já que o AWS Shield cobrirá as taxas de dimensionamento.
Inteligência de ameaças: Receba informações detalhadas sobre ataques em andamento e passados, ajudando-o a entender o cenário de ameaças e melhorar suas defesas.
Gestão de Compliance
Garantir a conformidade com os regulamentos e normas relevantes do setor é uma obrigação. A AWS oferece ferramentas como o AWS CloudTrail e o AWS Config para ajudar as organizações a manter a conformidade rastreando alterações de recursos e auditando configurações.
AWS CloudTrail
AWS CloudTrail é um serviço poderoso que fornece visibilidade da atividade de usuários e recursos em todo o ambiente da AWS. Ao capturar um registro abrangente de alterações e atualizações, o CloudTrail ajuda as organizações a manter um ambiente da AWS seguro e em conformidade, facilitando a auditoria operacional e de riscos.
O AWS CloudTrail tem alguns recursos importantes.
Histórico do evento: Analise todas as ações e alterações anteriores em seu ambiente da AWS por meio do registro cronológico de eventos do CloudTrail:
# Trecho de código Python para procurar eventos recentes
importar boto3
cloudtrail = boto3.client('trilha de nuvem')
eventos = cloudtrail.lookup_events(LookupAttributes=[{'AttributeKey':'Nome do Evento', 'Valor do atributo':'Instâncias de execução'}])
para eventos em eventos['Eventos']:
impressão(evento['Nome do Evento'], evento['Horário do Evento'])Gestão de eventos: Fique por dentro das informações sobre as operações de gerenciamento realizadas em recursos em sua conta da AWS:
# Trecho de código Python para filtrar eventos de gerenciamento
management_events = cloudtrail.lookup_events(EventCategory='Gestão')
para evento em management_events['Eventos']:
impressão(evento['Nome do Evento'], evento['Nome de usuário'])Eventos de dados: Aproveite os insights sobre as operações de recurso executadas no próprio recurso ou dentro dele:
# Trecho de código Python para filtrar eventos de dados para um bucket do S3
data_events = cloudtrail.lookup_events(LookupAttributes=[{'AttributeKey':'Tipo de recurso', 'Valor do atributo':'AWS::S3::Objeto'}])
para evento em data_events['Eventos']:
impressão(evento['Nome do Evento'], evento['Recursos'])Insights: Identifique atividades incomuns, como picos no provisionamento de recursos:
# Trecho de código Python para obter eventos de insights
insights = cloudtrail.lookup_events(InsightSelectors=[{'Tipo de insight': 'ApiCallRateInsight'}])
para insights em insights['Eventos']:
impressão(insight['Nome do Evento'], insight['InsightDetalhes'])Configuração da AWS
Configuração da AWS é um serviço dinâmico projetado para dar às organizações uma visão clara de seus recursos, configurações e dependências da AWS. Ele rastreia as alterações e permite que você avalie as configurações em relação às configurações desejadas, garantindo que seu ambiente da AWS permaneça seguro e em conformidade por meio dos seguintes recursos.
Inventário de recursos: Audite e revise as configurações em seu ambiente, pois o AWS Config monitora e registra continuamente suas configurações de recursos da AWS:
# Trecho de código Python para listar recursos descobertos
importar boto3
config = boto3.client('configuração')
resources = config.list_discovered_resources(resourceType='AWS::EC2::Exemplo')
para recurso em recursos['resourceIdentifiers']:
impressão(recurso['resourceId'])Histórico de configuração: Aprofunde-se nas configurações históricas de seus recursos da AWS, fornecendo uma trilha de auditoria clara.
Notificações de alteração de configuração: Configure tópicos do SNS para receber alertas em tempo real quando as configurações forem alteradas, garantindo que você're sempre informado.
Auditoria de conformidade: Certifique-se de que seus recursos da AWS estejam configurados de acordo com políticas internas e padrões normativos externos.
A integração do AWS Config com outros serviços é mostrada na visualização a seguir:
Hub de segurança da AWS
Hub de segurança da AWS é um serviço centralizado projetado para simplificar o gerenciamento de segurança e conformidade em todo o ecossistema da AWS. Ao consolidar as descobertas dos serviços da AWS e de ferramentas de terceiros, o Security Hub fornece uma visão unificada e organizada, permitindo que você se concentre nos alertas de segurança mais críticos e mantenha uma postura de segurança robusta.
Verificações de segurança automatizadas: Avalie continuamente seu ambiente da AWS em relação a um conjunto de Melhores práticas da AWS e padrões da indústria.
Serviços integrados da AWS: Integre o Security Hub a vários serviços da AWS, fornecendo uma visão abrangente das descobertas de segurança e conformidade.
Padrões de conformidade: Monitore e avalie seus recursos da AWS em relação a padrões como CIS AWS Foundations;
Painel centralizado: Consolide descobertas de várias contas e serviços da AWS por meio de um painel centralizado para obter insights de segurança e conformidade.
O Security Hub permite filtrar e priorizar descobertas, o que significa que você pode identificar e responder rapidamente às ameaças de segurança mais urgentes:
Detecção de ameaças
A AWS oferece ferramentas que monitoram e detectam continuamente possíveis ameaças a contas e cargas de trabalho da AWS. Esses serviços empregam aprendizado de máquina e feeds de inteligência de ameaças para descobrir possíveis ameaças.
Guarda Amazônica
Guarda Amazônica é um serviço de detecção de ameaças de ponta que se integra perfeitamente ao ecossistema da AWS. Ao verificar continuamente atividades maliciosas ou não autorizadas, o GuardDuty garante que as contas e cargas de trabalho da AWS permaneçam seguras, mesmo quando novas ameaças surgem. Seus principais recursos estão listados abaixo, com trechos de código quando relevante.
Detecção de anomalias: Monitore constantemente a atividade do ambiente da AWS, identificando padrões que se desviam da norma e podem indicar ameaças potenciais.
Aprendizado de máquina: Identificar novas ameaças, mesmo que elas tenham't foi visto antes, aproveitando a capacidade do GuardDuty de evoluir ao longo do tempo por meio de aprendizado de máquina:
# Nota: GuardDuty usa aprendizado de máquina internamente e suas descobertas refletem seus recursos de ML
achados = guardduty.list_findings(DetectorId=detector['DetectorId'])
para achado nos achados['FindingIds']:
impressão(localização)Detectando chamadas de API incomuns: Seja alertado sobre chamadas de API inesperadas ou suspeitas que possam indicar atividades maliciosas:
# Trecho de código Python para filtrar descobertas relacionadas a chamadas de API incomuns
critérios = {
'tipo': [{'Valor': 'Recon:IAMUser/IncomumAPIActivity', 'Comparação': 'CONTÉM'}]
}
unusual_api_findings = guardduty.list_findings(DetectorId=detector['DetectorId'], FindingCriteria=critérios)
para encontrar em unusual_api_findings['FindingIds']:
impressão(localização)Monitorando implantações não autorizadas: Detecte implantações inesperadas de recursos, que podem ser um sinal de comprometimento da conta ou configuração incorreta.
Inspetor da Amazônia
Inspetor da Amazônia é uma poderosa ferramenta de avaliação de segurança que se integra perfeitamente à AWS. Ao avaliar automaticamente os aplicativos em busca de possíveis vulnerabilidades ou desvios das melhores práticas da AWS, o Inspector garante que seus aplicativos permaneçam seguros e em conformidade durante todo o ciclo de vida por meio de alguns recursos principais.
Modelos de avaliação: Defina modelos que especifiquem as regras e os padrões em relação aos quais seus aplicativos devem ser avaliados.
Resultados: Após uma avaliação, obtenha resultados detalhados destacando problemas de segurança, permitindo a correção oportuna.
Garantindo as melhores práticas: Certifique-se de que seus aplicativos estejam alinhados com as melhores práticas da AWS, como ter grupos de segurança ou configurações SSH configurados corretamente.
Detetive da Amazônia
Detetive da Amazônia é uma ferramenta poderosa projetada para aprimorar a postura de segurança dos ambientes da AWS. O aproveitamento de técnicas avançadas, como aprendizado de máquina, análise estatística e teoria de grafos, fornece insights profundos sobre as descobertas de segurança, tornando o processo de investigação mais eficiente e preciso.
Os principais benefícios do Amazon Detective podem ser resumidos da seguinte forma.
Detecção de anomalias: Ser sinalizado para possíveis problemas de segurança quando o Amazon Detective'Os algoritmos de aprendizado de máquina identificam automaticamente padrões e comportamentos incomuns:
# Código Python para habilitar a detecção de anomalias
detetive = boto3.client('detetive')
resposta = detective.enable_anomaly_detection(accountId='123456789012')
print(resposta['Estado'])Visualizações: Explore as descobertas de segurança por meio de visualizações detalhadas, facilitando a compreensão de eventos de segurança complexos.
Conclusões de segurança: Correlacione dados de vários serviços da AWS, obtendo uma visão holística dos eventos de segurança:
# Código Python para listar descobertas de segurança
achados = detective.list_findings(accountId='123456789012')
para encontrar em achados:
impressão(encontrando['Id'], encontrando['Tipo'])Analisando o comportamento da conta histórica: Revise as atividades anteriores da conta para identificar tendências, vulnerabilidades ou ameaças potenciais, garantindo uma abordagem de segurança proativa.
Aprimorando os serviços de segurança da AWS com ferramentas de terceiros
Embora a AWS ofereça um conjunto abrangente de ferramentas de segurança nativas, o cenário de segurança na nuvem é vasto e está em constante evolução. Soluções de terceiros podem aumentar a AWS's ofertas nativas, fornecendo camadas adicionais de proteção, funcionalidades especializadas e análises aprimoradas.
O valor da integração
A integração de ferramentas de terceiros com os serviços de segurança da AWS pode oferecer várias vantagens:
Informações de segurança agregadas: Ao reunir todas as informações de segurança sob um modelo de dados exclusivo, as organizações podem ter uma visão unificada de sua postura de segurança.
Achados enriquecidos: O enriquecimento de dados da AWS, como as descobertas do GuardDuty, com inteligência de terceiros pode fornecer mais contexto, ajudando a detectar e responder a ameaças com mais rapidez e precisão.
Capacidades especializadas: Algumas ferramentas de terceiros oferecem funcionalidades especializadas não disponíveis em ferramentas nativas da AWS, atendendo às necessidades de segurança de nicho.
Connect Wiz with AWS
Gain complete visibility into your entire AWS estate across workloads, data stores, accounts, and environments.
Learn more
Wiz: aprimorando a segurança da AWS
A Wiz ajuda as organizações a identificar e corrigir riscos críticos em seus ambientes da AWS. A Wiz se integra a 50+ serviços da AWS para fornecer visibilidade completa do seu estado de nuvem e usa aprendizado de máquina para identificar riscos que muitas vezes são perdidos pelas ferramentas de segurança tradicionais.
A Wiz trabalha com a AWS de algumas maneiras diferentes:
A Wiz se integra aos serviços da AWS para fornecer visibilidade e contexto.Por exemplo, Wiz pode integrate com o AWS CloudTrail para coletar logs de seus recursos da AWS e, em seguida, usar o aprendizado de máquina para identificar padrões que indicam riscos. Wiz também pode integração com o AWS Security Hub para obter uma visão consolidada de suas descobertas de segurança em toda a AWS.
A Wiz fornece recomendações para remediação.Uma vez que a Wiz tenha identificado um risco, ela fornecerá recomendações para remediação. Essas recomendações podem ser específicas, como "Alterar a senha deste usuário" ou "Habilite a autenticação de dois fatores para este recurso."
A Wiz pode automatizar a remediação.A Wiz pode automatizar a correção de alguns riscos, como alterar senhas ou habilitar a autenticação de dois fatores. Isso pode ajudar as organizações a reduzir o tempo e o esforço necessários para manter seus ambientes da AWS seguros.
Ao integrar os serviços da AWS e usar o aprendizado de máquina, a Wiz pode identificar e corrigir riscos críticos que muitas vezes são perdidos pelas ferramentas de segurança tradicionais.
Para aqueles que desejam reforçar ainda mais a segurança da AWS, recomendamos experimentar um demonstração do Wiz. Experimente em primeira mão como ele pode fornecer uma solução de segurança mais abrangente e eficaz para seu ambiente da AWS.
Agentless Full Stack coverage of your AWS Workloads in minutes
Learn why CISOs at the fastest growing companies choose Wiz to help secure their AWS environments.
Outros roundups de ferramentas de segurança nos quais você pode estar interessado: