A infraestrutura de segurança da nuvem da AWS foi projetada para ser um dos ambientes de computação em nuvem mais flexíveis e seguros atualmente disponíveis. Essa infraestrutura oferece uma plataforma extremamente escalável e altamente confiável, que permite que os clientes implantem aplicações e dados com rapidez e segurança.


A infraestrutura da Nuvem AWS reside nos datacenters altamente seguros da AWS, que utilizam vigilância eletrônica e sistemas de controle de acesso multifator de última geração. Os datacenters são protegidos 24 horas por dia, sete dias por semana por seguranças treinados, e o acesso é autorizado estritamente com base no menor privilégio possível. Todas as pessoas devem ser revistadas ao sair de áreas que contêm dados de clientes. Os sistemas ambientais nos datacenters são projetados para minimizar o impacto das interrupções nas operações. As várias regiões geográficas e zonas de disponibilidade permitem manter a resiliência frente à maioria dos modos de falha, incluindo desastres naturais ou falhas de sistema.

A infraestrutura da AWS foi projetada para oferecer disponibilidade ideal e para garantir privacidade e segregação total dos clientes. Por padrão, o tráfego de rede entre regiões, zonas de disponibilidade e datacenters individuais da AWS é transportado em segmentos de rede privados. Esses segmentos de rede privados são totalmente isolados da Internet pública e não podem ser roteados externamente. Os recursos da AWS podem ser configurados para residir apenas em segmentos de rede isolados da AWS e não usar nenhum endereço IP público ou roteamento pela Internet pública. Para obter uma lista completa de todas as medidas de segurança incorporadas à infraestrutura da Nuvem AWS, leia nosso whitepaper Overview of Security Processes.

blank-logo
blank-logo
linkedin_globe_blue
trendmicro_thumb

"Quando procuramos um provedor de tecnologia... não foi necessário procurar muito para determinar qual provedor de plataformas podia oferecer alta disponibilidade e uma malha de segurança que atendesse às nossas necessidades de missão crítica." – JD Sherry, vice-presidente de tecnologia, Trend Micro

Seus aplicativos e dados não precisam apenas ser protegidos por instalações e infraestrutura altamente seguras, eles também precisam ser protegidos por amplos sistemas de monitoramento de segurança e de rede. Esses sistemas oferecem medidas de segurança básicas, mas importantes, como a proteção distribuída de negação de serviço (DDoS) e detecção de tentativa de acesso de senha por força bruta nas contas da AWS. As medidas de segurança adicionais incluem:

  • Acesso seguro – Os pontos de acesso do cliente, também denominados endpoints de API, permitem acesso via HTTP seguro (HTTPS) para que você possa estabelecer sessões de comunicação seguras com seus serviços da AWS usando SSL/TLS.
  • Firewalls integrados – Você pode controlar o nível de acessibilidade às suas instâncias configurando regras integradas de firewall – de totalmente públicas a completamente privadas, ou algo entre os dois. E quando suas instâncias residirem dentro de uma sub-rede da Virtual Private Cloud (VPC), você pode controlar tanto a saída quanto a entrada.
  • Usuários exclusivos – A ferramenta AWS Identity and Access Management (IAM) permite que você controle o nível de acesso que seus próprios usuários terão aos AWS infrastructure services. Com o AWS IAM, cada usuário pode ter credenciais exclusivas de segurança, eliminando a necessidade de senhas ou chaves compartilhadas e permitindo o uso das práticas recomendadas de segurança de separação de funções e menor privilégio.
  • Autenticação multifator (MFA) – A AWS oferece suporte integrado à autenticação multifator (MFA) para uso com a conta raiz da AWS e com as contas de usuário IAM dessa conta raiz.
  • Sub-redes privadas – O serviço AWS Virtual Private Cloud (VPC) permite que você acrescente uma camada adicional de segurança de rede às suas instâncias criando sub-redes privadas e até mesmo criando um túnel VPN IPsec entre sua rede doméstica e sua VPC AWS.
  • Armazenamento físico de dados criptografados – Os clientes podem criptografar automaticamente dados e objetos armazenados no Amazon EBS, Amazon S3, Glacier, Redshift, RDS Oracle e RDS SQL Server usando o Advanced Encryption Standard (AES) 256, um padrão seguro de criptografia de chave simétrica que utiliza chaves de criptografia de 256 bits.
  • Opção de conexão dedicada – O serviço AWS Direct Connect permite estabelecer uma conexão de rede dedicada entre suas instalações locais e a AWS. Usando VLANs 802.1q padrão do setor, essa conexão dedicada pode ser particionada em várias conexões lógicas para permitir o acesso a ambientes de IP públicos e privados dentro da sua nuvem da AWS.
  • Perfect Forward Secrecy – Para proporcionar uma privacidade de comunicação ainda maior, vários serviços da AWS, como Elastic Load Balancer e Amazon CloudFront, oferecem pacotes de cifras mais fortes e atuais. Esses pacotes de cifras permitem que clientes SSL/TLS usem Perfect Forward Secrecy, uma técnica que usa chaves de sessão efêmeras, que não são armazenadas em lugar algum. Isso evita a decodificação de dados capturados, mesmo se a própria chave secreta de longo prazo for comprometida.
  • Logs de segurança – O AWS CloudTrail fornece logs de todas as atividades dos usuários dentro da sua conta da AWS. Você pode ver quais ações foram executadas em cada um dos seus recursos da AWS, e quem as executou. O histórico de chamadas de APIs da AWS gerado pelo CloudTrail possibilita análises de segurança, rastreamento de alteração de recursos e auditoria de conformidade.
  • Identificação e configuração de assets – O serviço AWS Config permite descobrir imediatamente todos seus recursos da AWS e visualizar suas configurações. Você pode ser notificado sempre que uma configuração é alterada, além de poder pesquisar o histórico de configurações para analisar incidentes.
  • Gerenciamento de chaves centralizado – Para clientes que fazem uso intensivo de criptografia exigem controle rigoroso das chaves, o AWS Key Management Service oferece uma opção de gerenciamento conveniente para criar e administrar as chaves usadas para criptografar dados ociosos.
  • GovCloud isolado – Para clientes que precisam de medidas adicionais para atender às regulamentações US ITAR, a AWS oferece uma região totalmente separada chamada AWS GovCloud (US), que oferece um ambiente onde os clientes podem executar aplicações compatíveis com o ITAR e oferece endpoints especiais que utilizam criptografia FIPS 140-2.
  • CloudHSM – Para clientes que precisam usar dispositivos Hardware Security Module (HSM) para armazenamento de chave criptográfica, o AWS CloudHSM oferece uma forma altamente segura e conveniente de armazenar e gerenciar chaves.
  • Trusted Advisor – Fornecido automaticamente quando você se cadastra para o suporte premium, o serviço Trusted Advisor é uma forma conveniente de você ver onde poderia aplicar um pouco mais de segurança. Ele monitora os recursos da AWS e alerta você quanto a falhas de configuração de segurança, como acesso excessivamente permissivo a certas portas de instância do EC2 e buckets de armazenamento do S3, uso mínimo de separação de funções usando o IAM e políticas fracas de senha.

Como a infraestrutura da nuvem da AWS oferece tantos recursos de segurança integrados, você pode simplesmente focalizar a segurança do seu SO convidado e aplicativos. Os engenheiros de segurança e arquitetos de solução da AWS desenvolveram whitepapers e checklists operacionais para ajudá-lo a selecionar as melhores opções para suas necessidades e práticas recomendadas de segurança, como o armazenamento de chaves secretas e senhas de forma segura e rotativa ou alterando-as com frequência.

Sabemos que alguns recursos de segurança podem afetar o desempenho. Portanto, procurarmos maneiras de reduzir o impacto sobre processos de segurança existentes. Por exemplo, neste ano o Amazon CloudFront adicionou SSL Session Tickets, que salva informações de negociação SSL entre cliente e servidor e, portanto, acelera o processo de negociação quando a conexão deve ser retomada ou reiniciada.

Também introduzimos OCSP Stapling, que reduz o trabalho feito pelo cliente durante a verificação da autoridade certificadora (CA) nas negociações de SSL. Esses recursos operam nos bastidores e não precisam de configuração de sua parte, mas aceleram funções de segurança importantes.

E continuamos a procurar maneiras de fortalecer os processos de segurança que você já usa. Por exemplo, para vários dispositivos, adicionamos a opção de pacotes de cifras avançadas que usam o protocolo Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). O ECDHE permite que clientes SSL/TLS ofereçam Perfect Forward Secrecy, que usa chaves de sessão efêmeras e não armazenadas em lugar algum. Isso evita a decodificação de dados capturados por terceiros não autorizados, mesmo se a própria chave secreta de longo prazo for comprometida.

Nenhum desses novos recursos é lucrativo para nós. Eles simplesmente deixam nossos clientes mais satisfeitos.

Sabemos que é importante que você entenda as medidas de proteção usadas para defender a infraestrutura de nuvem da AWS. Mas, como você não pode tocar fisicamente os servidores nem caminhar pelos datacenters, como você pode ter a certeza de que pode contar com os controles de segurança corretos?

A resposta está nas certificações e avaliações de terceiros pelas quais a AWS passa. A AWS obteve a certificação ISO 27001 e foi validada como provedor de serviços de nível 1 no Padrão de Segurança de Dados (DSS) da Indústria de Cartões de Pagamento (PCI). Passamos por auditorias SOC 1 anuais e fomos avaliados positivamente no nível moderado para os sistemas do governo federal, bem como no nível 2 DIACAP para sistemas do DoD.

Cada certificação significa que um auditor verificou que os controles de segurança específicos estão disponíveis e operando conforme pretendido. Você pode ter acesso aos relatórios de conformidade aplicáveis entrando em contato com seu representante de conta da AWS. Para obter mais informações sobre os regulamentos e padrões de segurança com os quais a AWS está em conformidade, veja a página da web Conformidade com a AWS ou o whitepaper AWS Risk and Compliance.

A Equipe de segurança da AWS incentiva a comunicação com o cliente. Estabelecemos processos para:

Criamos uma chave PGP assinada para comunicações confidenciais que você queira enviar. Você pode acessá-lo aqui.