AWS Trusted Advisor - Beta

Introdução ao Trusted Advisor

O aplicativo Trusted Advisor tem como objetivo otimizar sua experiência com os serviços da Nuvem AWS. Utilizando os botões na parte superior direita, você pode expandir todas as verificações, fazer o download de dados para análise off-line, atualizar os dados de todas as verificações e entrar em contato com o suporte para assistência adicional.

Grupo de Segurança – Portas abertas

Essa verificação do Trusted Advisor abrange as regras de grupo de segurança de sua conta que permitem o acesso a portas específicas a partir de qualquer dispositivo conectado à internet, em qualquer lugar do mundo, aumentando as oportunidades de atividades maliciosas como ataques de negação de serviço e tentativas de invasão por hackers. Os Grupos de segurança da AWS atuam como um firewall externo que os clientes podem configurar para especificar quais instâncias associadas às portas podem ser acessadas, além de qualquer configuração de segurança interna para as instâncias. Os grupos de segurança podem ser bloqueados por porta, protocolo ou IP de origem. Os resultados listados abaixo indicam possíveis pontos de vulnerabilidade. É possível que você tenha configurado seus grupos de segurança dessa forma intencionalmente e pretenda usar medidas adicionais de segurança para proteger sua infraestrutura (como tabelas de IP, VPC, ou similar). O propósito desse relatório é fornecer visibilidade a possíveis pontos de vulnerabilidade.

Critérios:

• Portas verdes – 80, 25, 443, 465
• Portas vermelhas – 20, 21, 22, 1433, 1434, 3389, 3306, 4333, 5432, 5500
• Portas amarelas – Todas as outras

Grupo de segurança – Regras CIDR

Essa verificação do Trusted Advisor inspeciona seus grupos de segurança buscando regras que contenham erros que possam permitir maior acesso do que o pretendido. Alguns clientes geralmente confundem endereços "/0" e "/32". O sufixo "/0" permite acesso global às portas referidas, e NÃO acesso restrito ao endereço IP anterior. Os grupos de segurança com essa configuração podem aumentar as oportunidades para atividades maliciosas (por ex.: invasão por hackers, ataques de negação de serviço, perda de dados). Para restringir o acesso a um endereço de IP específico, você precisará definir o valor como /32.

Critérios:

• Vermelho: qualquer regra de CIDR que inclua um sufixo "/0"

Uso do IAM

Essa verificação do Trusted Advisor retorna informações básicas sobre o uso do IAM. O AWS Identity and Access Management (IAM) permite que você controle com segurança o acesso aos serviços e recursos da AWS para seus usuários. O IAM permite que você crie e gerencie usuários na AWS, e também possibilita a concessão de acesso a recursos da AWS para usuários gerenciados fora da AWS no seu diretório corporativo. O IAM oferece maior segurança, flexibilidade e controle ao usar a AWS.

Critérios:

• Amarelo: sua conta não possui o IAM ativado

Snapshots EBS

Essa verificação do Trusted Advisor retorna informações sobre seus volumes EBS (disponíveis ou em uso) e seus snapshots relacionados. Os volumes EBS da Amazon foram projetados para oferecer confiabilidade. Mesmo que os volumes EBS sejam suportados por várias unidades físicas, ainda assim eles estão expostos a riscos de durabilidade causados por falhas de múltiplos componentes de hardwares concorrentes. Os Snapshots do Amazon EBS fornecem a capacidade de fazer o back up de snapshots de um momento específico de seus dados para o Amazon S3, a fim de oferecer uma recuperação duradoura.

Critérios:

• Amarelo: volumes em que os snapshots mais recentes estão entre 7 e 30 dias.
• Vermelho: volumes que não possuem um snapshot ou se o snapshot mais recente for anterior a 30 dias.

Otimização do Elastic Load Balancer

Essa verificação do Trusted Advisor retorna informações sobre sua configuração do Elastic Load Balancer. Para ajudar a elevar o nível de tolerância a falhas no Amazon EC2 ao utilizar o Elastic Load Balancing, recomendamos a execução de um número igual de instâncias nas várias Zonas de disponibilidade de uma determinada região.

Critérios:

• Amarelo: qualquer ELB que esteja apontando para uma única Zona de disponibilidade, apontando para uma Zona de disponibilidade sem instâncias ativas ou que tenha uma distribuição desequilibrada nas Zonas de disponibilidade (mais do que 20% de diferença na contagem de instância entre a maior e menor Zona de disponibilidade)

Equilíbrio de Zona de disponibilidade do EC2

Essa verificação do Trusted Advisor retorna informações de distribuição de instâncias do EC2 pelas Zonas de disponibilidade em uma determinada região. As Zonas de disponibilidade são as posições distintas que são projetadas para serem isoladas das falhas em outras Zonas de disponibilidade, fornecendo rede de conectividade acessível e de baixa latência para outras Zonas de disponibilidade da mesma região. Ao lançar instâncias em várias Zonas de disponibilidade dentro da mesma região, você pode ajudar a proteger seus aplicativos contra um ponto único de falha.

Critérios:

• Amarelo: regiões que possuem instâncias em várias zonas, mas com distribuição desigual (a Zona de disponibilidade menos populosa é menor que 80% da Zona de disponibilidade mais populosa)
• Vermelho: regiões que possuem instâncias em uma única Zona de disponibilidade

Limites de serviço

Essa verificação do Trusted Advisor retorna informações sobre vários limites por conta e valores relativos de uso para cada um deles. Esses valores são baseados no snapshot de um determinado momento. Às vezes sua utilização atual pode ser diferente do que foi relatado, e há algumas situações em que sua utilização pode ser superior ao limite indicado. A maioria dos limites pode ser ampliada com o preenchimento do formulário de Aumento de limite na página de Contato.

Critérios:

• Amarelo – Qualquer uso que ultrapasse 80% do limite de serviço

Recursos do grupo Auto Scaling

Essa verificação do Trusted Advisor examina a disponibilidade dos recursos associados a suas Configurações de lançamento do grupo do Auto Scaling. Com o Auto Scaling, você pode garantir que o número de instâncias de Amazon EC2 que está usando aumenta facilmente durante repiques de demanda e diminui automaticamente durante abrandamentos da demanda. Os grupos do Auto Scaling que apontam para recursos não disponíveis sofrerão falha ao serem executados de maneira mais eficiente.

Critérios:

• Vermelho: qualquer configuração de execução que esteja associada a um ELB ou AMI excluído

Elastic IPs não utilizados

Essa verificação do Trusted Advisor analisa sua distribuição de Elastic IPs e identifica aqueles que não estão mapeados em uma Instância do EC2. Os endereços Elastic IP são endereços de IP estáticos projetados para computação em nuvem dinâmica. Ao contrário dos tradicionais endereços de IP estáticos, os endereços Elastic IP permitem que você filtre a instância ou falhas da Zona de disponibilidade por meio de remapeamento programado de seus endereços de IP públicos para qualquer instância em sua conta. Uma cobrança nominal é feita a cada endereço quando ele não é mapeado para uma instância.

Critérios:

• Amarelo: qualquer Elastic IP distribuído que não esteja anexado a uma instância

Instâncias de EC2 não utilizadas

Essa verificação do Trusted Advisor analisa a utilização média diária do CPU para todas as suas instâncias de EC2 que foram executadas em algum momento durante os últimos 14 dias. As instâncias que estão sendo executadas, mas que não estão sendo ativamente utilizadas, geram cobranças de uso por hora. Enquanto algumas situações válidas resultam em baixo uso do CPU, é possível conseguir maior eficiência ao manter um controle próximo das instâncias em execução.

Critérios:

• Amarelo: qualquer instância que tenha uma média de utilização diária do CPU inferior a 10%, em pelo menos 4 dos últimos 14 dias.

Backups do RDS

Esta verificação do Trusted Advisor determina se backups automatizados estão habilitados em instâncias do RDS. Todas as instâncias do RDS têm, por padrão, backups habilitados com período de retenção de um dia. Realizar backups reduz o risco de perda inesperada de dados e permite a recuperação a partir de um determinado ponto.

Critérios:

• Vermelho: qualquer instância que tenha o período de retenção de backup definido como zero dia.

Multi-AZ do RDS

Esta verificação do Trusted Advisor determina se há instâncias do RDS implementadas em um AZ individual. Implantações Multi-AZ aprimoram a disponibilidade do banco de dados, protegendo ao mesmo tempo atualizações de banco de dados em relação a interrupções não planejadas. Caso ocorra uma manutenção programada de banco de dados, uma falha da Instância de banco de dados ou uma falha de Zona de disponibilidade, o Amazon RDS automaticamente fará um failover para a espera atualizada para que as operações de banco de dados possam ser retomadas rapidamente sem intervenção administrativa.

Critérios:

• Amarelo: qualquer instância do RDS que for implementada em um AZ individual.

Redundância de túnel de VPN

Esta verificação examina o número de túneis que estão ativos para cada uma das VPNs do cliente. Uma VPN deve ter sempre dois túneis para fornecer a redundância apropriada no caso de falha ou manutenção planejada. Se uma VPN estiver configurada mas não tiver túneis, cobranças pela VPN ainda poderão se aplicar.

Critérios:

• Amarelo: qualquer VPN que tenha um túnel individual
• Amarelo: qualquer VPN que não tenha túneis (potencial economia de custo)

Otimização de instâncias reservadas do EC2

Esta verificação do Trusted Advisor analisa suas taxas de consumo de processamento EC2, incluindo todos os leasings existentes de Instância reservada, e calcula o número ideal de Instâncias reservadas para cada tipo de instância em cada região e zona de disponibilidade, com base nos dados de uso do mês anterior. Taxas únicas para novos leasings de Instância reservada são amortizadas ao longo do prazo do leasing e incluídas no cálculo.

As Instâncias reservadas do EC2 permitem que você preserve os benefícios da computação elástica ao mesmo tempo em que diminui os custos e reserva a capacidade. Com as Instâncias reservadas, você paga uma pequena taxa única e, por sua vez, recebe uma garantia de capacidade e um desconto significativo sobre a cobrança de utilização por hora para tal instância. Ao calcular a sua conta, o nosso sistema automaticamente aplicará primeiro as taxas de Instâncias reservadas para minimizar os custos.

Todos os cálculos são baseados em Instâncias Reservadas do Linux/UNIX e Windows de utilização pesada. Dependendo do seu padrão de uso, benefícios adicionais podem estar disponíveis através do uso de Instâncias Reservadas de Utilização Leve ou Média. O cálculo exclui o uso e as recomendações para Red Hat Enterprise Linux, SUSE Linux Enterprise, Amazon RDS e Amazon ElastiCache.

Essa verificação pressupõe que você comprará Instâncias reservadas em prazos de 1 ano ou 3 anos, não ambos. Como resultado, recomendações para compra de leasings adicionais de 1 ano ou 3 anos não são aditivas em ambos os prazos. Para ilustrar, em uma recomendação para 3 leasings adicionais de 1 ano ou 4 leasings adicionais de 3 anos, estamos recomendando a compra de 3 ou 4 leasings, respectivamente, não um total de 7 leasings adicionais.

Critérios:

• Amarelo: economia estimada de, pelo menos, 10% de suas taxas de consumo de processamento EC2 está disponível ao se otimizar o uso de Instâncias reservadas.

Elastic Load Balancers ociosos

Essa verificação examina configurações de ELB e avisa quando cobranças estiverem sendo acumuladas sem o ELB estar sendo ativamente usado. Qualquer ELB que esteja configurado acumulará cobranças. Se um ELB não tiver instâncias de back-end associadas ou se o tráfego de rede estiver muito limitado, o ELB provavelmente não está sendo usado.

Critérios:

• Amarelo: ELBs que não têm instâncias de back-end em execução
• Amarelo: ELBs que não têm instâncias de back-end saudáveis
• Amarelo: ELBs que tiveram menos de 24 solicitações/dia nos últimos 7 dias

Política de bucket S3

Essa verificação do Trusted Advisor identifica buckets S3 com permissões de acesso aberto. As permissões de bucket que concedem acesso de lista a todos podem resultar em cobranças acima do esperado se objetos no bucket estiverem relacionados por usuários indesejados em uma alta frequência. As permissões de bucket que concedem acesso de carregamento/exclusão para todos criam potencial de vulnerabilidades de segurança ao permitir que qualquer pessoa adicione, modifique ou remova itens em um bucket.

Critérios:

• Amarelo: qualquer bucket com acesso de lista para todos
• Vermelho: qualquer bucket com acesso de carregamento/exclusão para todos

Volumes de EBS subutilizados

Esta verificação examina configurações de volumes de EBS e avisa quando volumes de EBS parecem estar sendo subutilizados. Todos os volumes de EBS acumulam cobranças depois de criados. Se um volume de EBS permanecer não vinculado ou tiver muito pouca atividade de gravação (excluindo-se volumes de inicialização) por um período de tempo, o volume de EBS provavelmente não está sendo usado.

Critérios:

• Amarelo: Volumes de EBS que estão atualmente não vinculados e tiveram menos de 1 IOPS por dia nos últimos 7 dias

Instâncias de EC2 superutilizadas

Essa verificação do Trusted Advisor analisa a utilização média diária da CPU para todas as suas instâncias de EC2 que foram executadas em algum momento durante os últimos 14 dias e sinaliza instâncias que estão possivelmente utilizadas em excesso. A utilização de CPU é calculada somente quando a instância está em um estado de execução. A utilização de CPU variará com base na carga de trabalho específica da instância. A utilização elevada e consistente pode ser uma indicação de desempenho otimizado e estável, mas também pode indicar que um aplicativo está com poucos recursos.

Critérios:

• Amarelo: qualquer instância que tenha uma média de utilização diária da CPU superior a 90%, em pelo menos 4 dos últimos 14 dias.

Verificação de saúde do ASG

Esta verificação examina as configurações de verificação de saúde do grupo Auto Scaling e avisa quando uma verificação de saúde de ELB não estiver habilitada quando um grupo Auto Scaling tiver um ELB associado. A configuração recomendada para qualquer grupo Auto Scaling associado a um ELB é usar uma verificação de saúde de ELB. Para editar a verificação de saúde, use a API UpdateAutoScalingGroup.

Critérios:

• Amarelo: Qualquer grupo Auto Scaling que tenha um Elastic Load Balancer associado, mas não tenha a verificação de saúde de ELB habilitada

Configuração de vínculo de IOPS provisionadas de EBS

Esta verificação sinaliza volumes com capacidade para IOPS provisionadas de EBS que estão vinculados a instâncias de EC2 otimizadas para EBS, mas que não foram habilitados. IOPS provisionadas são desenvolvidas para fornecer desempenho superior e previsível para cargas de trabalho com uso intensivo de E/S, como aplicativos de bancos de dados que contam com tempos de resposta consistentes e rápidos.

Critérios:

• Amarelo: Qualquer instância de EC2 que tiver um volume de EBS com capacidade para IOPS provisionadas, mas não tiver configurado para habilitar PIOPS.

MFA On Root

Esta verificação examina a capacitação de MFA em uma conta e alerta quando o usuário principal não tiver a MFA habilitada. Para maior segurança, recomendamos que você proteja seus recursos da AWS configurando a AWS Multi-Factor Authentication. A MFA agrega maior segurança ao exigir que os usuários insiram um código de autenticação exclusivo de seu dispositivo de autenticação ao acessar serviços ou sites da AWS.

Política de senha do IAM

Esta verificação determina se uma política de senha foi configurada para sua conta e alerta quando uma política de senha não tiver sido habilitada, ou se critérios adicionais não tiverem sido configurados para o IAM. As políticas de senha aumentam a segurança geral de seu ambiente da AWS ao forçar a criação de senhas difíceis para seus usuários do IAM. Uma política de senha define as regras que serão aplicadas quando usuários mudarem suas senhas. Quando você criar ou alterar uma política de senha, a alteração será aplicada imediatamente para novos usuários, mas não forçará usuários existentes a mudarem suas senhas.

Critérios:

• Vermelho: Nenhuma política de senha configurada para usuários do IAM
• Amarelo: Política de senha configurada para usuários do IAM; critérios disponíveis não configurados
• Verde: Política de senha configurada para usuários do IAM; todos os critérios disponíveis configurados

Registro em log de bucket do S3

Esta verificação sinaliza buckets do S3 que têm o registro em log habilitados, mas parecem estar configurados incorretamente. Para que o registro em log coloque com êxito arquivos de log em um bucket de destino, deve ser mantido um conjunto de configurações. Quando o registro em log estiver inicialmente habilitado, a configuração será automaticamente validada; no entanto, modificações futuras poderão resultar em falhas do registro em log. Esta verificação examina explicaitamente listas de controle de acesso (ACLs, Access Control Lists)/permissões de bucket do S3, mas não examina políticas de bucket associadas que podem substituir ACLs/permissões de bucket.

Critérios:

• Vermelho: não há bucket de destino
• Vermelho: buckets de destino e origem têm diferentes proprietários
• Vermelho: o fornecedor de log não tem permissões de gravação no bucket de destino

Risco de acesso do grupo de segurança do RDS

Esta verificação examina configurações do grupo de segurança do RDS e alerta quando uma regra de grupo de segurança conceder, potencialmente, acesso permissivo em excesso ao seu banco de dados. A configuração recomendada para qualquer regra do grupo de segurança do RDS é permitir acesso de grupos de segurança do EC2 específicos ou de um endereço IP específico. Observe que ter mais de 100 regras de grupo de segurança (50 para VPC) pode resultar em redução na performance. Para editar o grupo de segurança do RDS, use a API AuthorizeDBSecurityGroupIngress ou o AWS Management Console.

Critérios:

• Amarelo: qualquer regra do grupo de segurança do RDS que mencione um grupo de segurança do EC2 que tenha acesso global nas portas: 20, 21, 22, 1433, 1434, 3306, 3389, 4333, 5432, 5500
• Amarelo: qualquer regra do grupo de segurança do RDS que concede acesso a mais de um único IP (sufixo de regra CIDR que não seja igual a /0 ou /32)
• Vermelho: qualquer regra do grupo de segurança do RDS que conceda acesso global (sufixo de regra CIDR que seja /0)

Proliferação de regra do grupo de segurança do EC2

Esta verificação examina a configuração de seus grupos de segurança do EC2 e sinaliza grupos de segurança quando eles tiverem quantidades potencialmente excessivas de regras. A performance pode ser afetada se um grupo de segurança tiver uma quantidade excessiva de regras associadas a um único grupo de segurança. Você pode criar até 500 grupos de segurança do Amazon EC2 em cada região; no entanto, é aconselhável configurar não mais de 100 regras por grupo de segurança. Na Amazon VPC, você pode ter até 50 grupos de segurança, com uma quantidade aconselhável de até 50 regras por grupo de segurança. O limite do grupo de segurança da Amazon VPC não é considerado em relação ao limite do grupo de segurança do Amazon EC2.

Critérios:

• Amarelo: qualquer grupo de segurança da VPC que tenha um agregado de mais de 50 regras
• Amarelo: qualquer grupo de segurança do EC2 que tenha um agregado de mais de 100 regras

Proliferação de regra do grupo de segurança de instância do EC2

Esta verificação examina o número de regras do grupo de segurança do EC2 que estão vinculadas a instâncias individuais do EC2 e sinaliza a instância do EC2 quando ela estiver vinculada por um número excessivo de regras do grupo de segurança. A performance pode ser afetada se uma instância do EC2 estiver vinculada por um número excessivo de regras. É aconselhável vincular uma instância com não mais de 100 regras. Na Amazon VPC, é aconselhável não ter mais de 50 regras por instância.

Critérios:

• Amarelo: qualquer instância do EC2 da VPC que esteja vinculada por mais de 50 regras do grupo de segurança
• Amarelo: qualquer instância do EC2 que esteja vinculada por mais de 100 regras do grupo de segurança