A infraestrutura de nuvem da AWS foi projetada para ser um dos ambientes de computação em nuvem mais flexíveis e seguros atualmente disponíveis. Ela oferece uma plataforma extremamente escalável e altamente confiável, que permite que os clientes implementem aplicativos e dados de forma rápida e segura.

Com a nuvem da AWS, não são apenas as dores de cabeça que desaparecem, mas também muitos dos problemas de segurança relacionados à infraestrutura. Os datacenters de nível mundial e altamente seguros da AWS utilizam vigilância eletrônica e sistemas de controle de acesso multifator de última geração. Os datacenters são protegidos 24 horas por dia, 7 dias por semana por seguranças treinados e o acesso é autorizado estritamente com base no menor privilégio possível. Os sistemas ambientais são projetados para diminuir o impacto das interrupções nas operações. E várias regiões e zonas de disponibilidade permitem que você permaneça resiliente diante da maioria dos modos de falha, inclusive desastres naturais ou falhas do sistema.

A infraestrutura virtual da AWS foi projetada para oferecer excelente disponibilidade e para garantir privacidade e separação total de clientes. Para obter uma lista completa de todas as medidas de segurança criadas na infraestrutura, plataformas e serviços da nuvem da AWS, leia nosso whitepaper Overview of Security Processes.

Seus aplicativos e dados não precisam apenas ser protegidos por instalações e infraestrutura altamente seguras, eles também precisam ser protegidos por amplos sistemas de monitoramento de segurança e de rede. Esses sistemas oferecem medidas de segurança básicas, mas importantes, como a proteção distribuída de negação de serviço (DDoS) e detecção de tentativa de acesso de senha por força bruta nas contas da AWS. As medidas de segurança adicionais incluem:

  • Acesso seguro – Os pontos de acesso do cliente, também chamados de endpoints de API, permitem acesso via HTTP seguro (HTTPS) para que você possa estabelecer sessões de comunicação seguras com seus serviços da AWS usando SSL.
  • Firewalls integrados – Você pode controlar o nível de acessibilidade às suas instâncias configurando regras integradas de firewall – de totalmente públicas a completamente privadas, ou algo entre os dois. E quando suas instâncias residirem dentro de uma sub-rede da Virtual Private Cloud (VPC), você pode controlar tanto a saída quanto a entrada.
  • Usuários exclusivos – A ferramenta AWS Identity and Access Management (IAM) permite que você controle o nível de acesso que seus próprios usuários terão aos AWS infrastructure services. Com o AWS IAM, cada usuário pode ter credenciais exclusivas de segurança, eliminando a necessidade de senhas ou chaves compartilhadas e permitindo o uso das práticas recomendadas de segurança de separação de funções e menor privilégio.
  • Autenticação multifator (MFA) – A AWS oferece suporte integrado à Autenticação multifator (MFA) para uso com contas da AWS e contas de usuários individuais do IAM.
  • Sub-redes privadas – O serviço AWS Virtual Private Cloud (VPC) permite que você adicione uma camada adicional de segurança de rede às suas instâncias criando sub-redes privadas e até adicionando um túnel VPN IPsec entre sua rede doméstica e sua VPC AWS.
  • Armazenamento de dados criptografas – Os clientes podem ter os dados e objetos que armazenam no Amazon S3, Glacier, Redshift e Oracle RDS criptografados automaticamente usando o Advanced Encryption Standard (AES) 256, um padrão de criptografia de chave simétrica que utiliza chaves de criptografia de 256 bits.
  • Opção de conexão dedicada– O serviço AWS Direct Connect permite estabelecer uma conexão de rede dedicada entre suas instalações locais e a AWS. Usando VLANs 802.1q padrão do setor, essa conexão dedicada pode ser particionada em várias conexões lógicas para permitir o acesso a ambientes de IP públicos e privados dentro da sua nuvem da AWS.
  • GovCloud isolado – Para clientes que precisam de medidas adicionais para atender às regulamentações US ITAR, a AWS oferece uma região totalmente separada chamada AWS GovCloud (US), que oferece um ambiente onde os clientes podem executar aplicativos compatíveis com o ITAR e oferece endpoints especiais que utilizam apenas criptografia FIPS 140-2.
  • Opção de armazenamento de chave de criptografia dedicada e baseada em hardware – Para clientes que precisam usar dispositivos Hardware Security Module (HSM) para armazenamento de chave criptográfica, o AWS CloudHSM oferece uma forma altamente segura e conveniente de armazenar e gerenciar chaves.
  • Trusted Advisor– Fornecido automaticamente quando você se cadastra para o suporte premium, o serviço Trusted Advisor é uma forma conveniente de você ver onde poderia aplicar um pouco mais de segurança. Ele monitora os recursos da AWS e alerta você quanto a falhas de configuração de segurança, como acesso excessivamente permissivo a certas portas de instância do EC2 e buckets de armazenamento do S3, uso mínimo de separação de funções usando o IAM e políticas fracas de senha.

Como a infraestrutura da nuvem da AWS oferece tantos recursos de segurança integrados, você pode simplesmente focalizar a segurança do seu SO convidado e aplicativos. Os engenheiros de segurança e arquitetos de solução da AWS desenvolveram whitepapers e checklists operacionais para ajudá-lo a selecionar as melhores opções para suas necessidades e práticas recomendadas de segurança, como o armazenamento de chaves secretas e senhas de forma segura e rotativa ou alterando-as com frequência.

Sabemos que é importante que você entenda as medidas de proteção usadas para defender a infraestrutura de nuvem da AWS. Mas, como você não pode tocar fisicamente os servidores nem caminhar pelos datacenters, como você pode ter a certeza de que pode contar com os controles de segurança corretos?

A resposta está nas certificações e avaliações de terceiros pelas quais a AWS passa. A AWS obteve a certificação ISO 27001 e foi validada como provedor de serviços de nível 1 no Padrão de Segurança de Dados (DSS) da Indústria de Cartões de Pagamento (PCI). Passamos por auditorias SOC 1 anuais e fomos avaliados positivamente no nível moderado para os sistemas do governo federal, bem como no nível 2 DIACAP para sistemas do DoD.

Cada certificação significa que um auditor verificou que os controles de segurança específicos estão disponíveis e operando conforme pretendido. Você pode ter acesso aos relatórios de conformidade aplicáveis entrando em contato com seu representante de conta da AWS. Para obter mais informações sobre os regulamentos e padrões de segurança com os quais a AWS está em conformidade, veja a página da web Conformidade com a AWS ou o whitepaper AWS Risk and Compliance.

Como você está construindo sistemas sobre a infraestrutura da nuvem da AWS, as responsabilidades de segurança serão compartilhadas: a AWS protegeu a infraestrutura subjacente, mas você deve proteger tudo o que colocar na infraestrutura. Isso inclui suas instâncias do EC2 da AWS e tudo o que você instalar nelas, todas as contas que acessem suas instâncias, o grupo de segurança que permite acesso externo às suas instâncias, a sub-rede da VPC em que as instâncias residem se você tiver selecionado essa opção, o acesso externo aos seus buckets S3, etc.

Isso significa que há várias decisões de segurança que você precisa tomar e controles que você precisa configurar. Para obter informações sobre como configurar um serviço específico da AWS, consulte a documentação do serviço. Para obter mais dicas sobre as melhores práticas de segurança para recursos da AWS, veja a seção Recursos de segurança da nossa página da web.

A Equipe de segurança da AWS incentiva a comunicação com o cliente. Estabelecemos processos para:

Criamos uma chave PGP assinada para comunicações confidenciais que você queira enviar. Você pode acessá-lo aqui.