Segurança de jogos

“Tudo começa com um modelo de riscos”.

Examine a modelagem de riscos e, ao chegar ao item 9 do artigo, considere também o equilíbrio entre riscos e custos gerais. Os riscos se dividem em riscos residuais (que são aceitos como parte do “risco de fazer negócios”) e em riscos materiais (que requerem a aplicação de controles compensatórios para transformá-los em riscos residuais). Conforme o artigo descreve, estruture e categorize suas políticas, controles técnicos e processuais para mitigar os riscos de forma satisfatória (incorporando controles de requisitos de regulamentação e legislação, que talvez você precise desenvolver por meio de interpretações de sua equipe jurídica). Além disso, mapeie esses controles para serviços e recursos que podem ajudar você a alcançá-los. 

Para ajudar no desenvolvimento desse mapeamento, use o seguinte: 

• Conformidade da AWS
  
• Security Pillar - AWS Well-Architected Framework (Pilar da segurança: AWS Well-Architected Framework)
  
• Management and Governance Lens (Lente de gerenciamento e governança)
  
• Game Industry Lens - AWS Well-Architected (Lente do setor de jogos: AWS Well-Architected)

Embora existam recursos que você deseja fornecer usando seu próprio código, os serviços da AWS e possíveis códigos-fonte abertos, use suas políticas e sua estrutura de controle para identificar os parceiros que pretende contratar para fornecer as funções que você não deseja gerenciar ou que estão fora do escopo dos serviços da AWS. Por exemplo, se seu jogo requer que os usuários se autentiquem em seu ambiente, para quais provedores de identidade federados você pretende oferecer suporte? 

Se você estiver usando o EC2 de forma que sua estrutura de controle requeira que você implemente ferramentas antimalware na instância, além dos perfis de capacidade do SELinux, quais ferramentas estão disponíveis no AWS Marketplace para atender aos seus requisitos, tendo em mente que talvez seja necessário aumentar ou diminuir a escala verticalmente de forma automática para grupos de instâncias? 

A menos que você esteja apenas começando a explorar a AWS como hobby ou em seu tempo livre, você precisará de um ambiente com diversas contas e bem projetado para aprender, desenvolver, criar, testar e implantar, mantendo os diferentes ambientes e os dados que possuem devidamente segregados uns dos outros. 

Examine o whitepaper Organizing Your AWS Environment Using Multiple Accounts (Como organizar o ambiente da AWS usando diversas contas) para projetar sua estrutura de diversas contas. Como alguns tipos de jogos podem consumir muitos recursos que não são do cliente, se for o seu caso, considere como seu ambiente talvez precise ser escalado rapidamente quando seu jogo se tornar popular. A forma de fazer isso depende dos tipos de serviços da AWS em que seu jogo está hospedado, mas sempre esteja atento às cotas de serviço por conta. Nos locais em que a estrutura de controle requerer, implante mitigações de DDoS em toda a organização, conforme descrito no whitepaper AWS Best Practices for DDoS Resiliency (Práticas recomendadas da AWS para resiliência de DDoS).

Agora está tudo pronto para você definir e aplicar sua estratégia de marcação na política do Organizations (consulte Políticas de tag), além de configurar a estrutura de monitoramento e resposta a incidentes com base em suas políticas e modelo de riscos, incluindo a supressão de descobertas que podem ser estranhas às suas necessidades específicas. 

Quanto às recomendações para a estrutura de resposta a incidentes, consulteAWS Security Incident Response Guide (Guia de resposta a incidentes de segurança da AWS) com exemplos de runbooks para cenários de incidentes específicos que estão disponíveis no GitHub. 

Quando a política de resposta escolhida incluir atividades que podem ser automatizadas com base em eventos de monitoramento, consulte Guia de implementação de resposta e remediação automatizadas do AWS Security Hub para obter uma estrutura e um conjunto de automação que ajudarão você a conseguir isso.