A infraestrutura de nuvem da AWS foi projetada para ser um dos ambientes de computação em nuvem mais flexíveis e seguros atualmente disponíveis. Ela oferece uma plataforma extremamente escalonável e altamente confiável, que permite que os clientes implementem aplicativos e dados de forma rápida e segura.

  • Introdução à segurança na nuvem

    twitter_amazon-workspaces_lightblue

    Os recursos de nuvem são iniciados rapidamente e apresentam alta disponibilidade. Mas como o gerenciamento de sua segurança é diferente do gerenciamento de recursos locais? Saiba mais >

  • Recursos de segurança da AWS

    AWS Products and Services

    Para ajudá-lo a manter seus dados e sistemas seguros na nuvem, a AWS fornece uma ampla variedade de recursos e ferramentas de segurança. Saiba mais >

  • Responsabilidades compartilhadas

    homepage_global-infrastructure-map

    Quando você muda para a nuvem, as responsabilidades de segurança tornam-se compartilhadas. A AWS protege a infraestrutura global subjacente, e você protege o que coloca na AWS. Saiba mais >

A infraestrutura de nuvem da AWS reside nos datacenters altamente seguros da AWS, que utilizam vigilância eletrônica e sistemas de controle de acesso multifator de última geração. Os datacenters são protegidos 24 horas por dia, sete dias por semana por seguranças treinados, e o acesso é autorizado estritamente com base no menor privilégio possível. Todas as pessoas devem ser revistadas ao sair de áreas que contêm dados de clientes. Os sistemas ambientais nos datacenters são projetados para minimizar o impacto das interrupções nas operações. Além disso, várias regiões geográficas e zonas de disponibilidade permitem que você permaneça resiliente diante da maioria dos modos de falha, inclusive desastres naturais ou falhas do sistema.

Benefit_Integration_Orange

A infraestrutura da AWS foi projetada para oferecer disponibilidade ideal e para garantir privacidade e segregação total dos clientes. Para obter uma lista completa de todas as medidas de segurança incluídas na infraestrutura de nuvem da AWS, leia nosso whitepaper Overview of Security Processes.

A infraestrutura da AWS é protegida por extensos sistemas de monitoramento de segurança e redes. Esses sistemas oferecem medidas de segurança importantes, como proteção distribuída básica contra negação de serviço (DDoS) e detecção da senha por força bruta nas contas da AWS. Além disso, os componentes de infraestrutura da AWS são continuamente verificados e testados. Enquanto algumas organizações realizam verificação de vulnerabilidade em seus recursos uma vez por trimestre ou uma vez por mês, nós fazemos verificações várias vezes ao dia. E isso é feito de todos os ângulos possíveis – dentro da mesma região dos recursos que estão sendo verificados e também entre diferentes zonas de disponibilidade e regiões.

Benefit_Check-Logs_Blue

A rede de produção da AWS é segregada da rede corporativa da Amazon e exige um conjunto separado de credenciais de acesso, que consiste em autenticação de chave pública SSH através de um bastion host usando um token de MFA. Esse acesso é monitorado e analisado diariamente por gerentes de segurança da AWS.

Além de termos uma grande equipe de especialistas em segurança na AWS, dispomos também de um grande conjunto de ferramentas e sistemas que automatizam muitas de nossas tarefas de segurança, tanto grandes quanto pequenas. Tudo é automatizado: desde o gerenciamento de credenciais até o monitoramento da utilização dos servidores e da rede, as atividades de verificação de portas, a utilização das aplicações e as tentativas de entrada não autorizada.

Benefit_Gears_Red

Nós mesmos construímos a maioria dessas ferramentas de segurança porque as adaptamos ao nosso ambiente e escala únicos. Só o nosso programa de verificação automatizada sozinho diminuiu o tempo de análise da engenharia de segurança de horas para minutos por verificação, além de aumentar a velocidade da verificação de dezenas de hosts para milhares de hosts por dia.

Com essas ferramentas automatizadas, podemos aplicar princípios de segurança importantes, como o menor privilégio e a segregação de funções, de forma programática. Podemos, então, definir limites de métricas para atividade incomum e alertar automaticamente os especialistas de segurança ou tomar as medidas apropriadas. Assim, nossos especialistas em segurança podem se concentrar em questões críticas que poderiam potencialmente afetar nossos clientes.

Não estamos apenas substituindo o hardware com falha de forma contínua: estamos sempre melhorando nossa infraestrutura. Substituímos o hardware que está no fim da vida útil pelos mais recentes processadores, que não só melhoram o desempenho, mas também incluem tecnologias de segurança como as últimas instruções para acelerar operações de criptografia (por exemplo, a instrução Intel AES-NI para o algoritmo AES, Intel RDRAND para geração aleatória de números) e o chip Trusted Platform Module para habilitar recursos de segurança baseados em hardware, como armazenamento seguro e verificação de software do host.

Benefit_Code-Quality_LightBlue

Sabemos que alguns recursos de segurança podem afetar o desempenho. Portanto, também procuramos maneiras de reduzir o conflito entre serviços e processos de segurança existentes. Por exemplo, no ano passado, o Amazon CloudFront adicionou os Tickets de Sessão SSL, que salvam as informações de negociação SSL entre o cliente e o servidor e, portanto, aceleram o processo de negociação quando a conexão precisa ser retomada ou reiniciada. Esses recursos operam nos bastidores e não precisam de configuração de sua parte, mas aceleram funções de segurança importantes.

A AWS constrói seus datacenters em várias regiões geográficas, bem como em várias zonas de disponibilidade dentro de cada região. Cada zona de disponibilidade é concebida como uma zona de falha independente. Isso significa que as zonas de disponibilidade são separadas fisicamente dentro de uma região e estão localizadas em áreas de menor risco. Cada uma é alimentada através de grades diferentes de serviços públicos independentes, a fim de reduzir ainda mais os pontos únicos de falha. As zonas de disponibilidade são todas redundantemente conectadas a vários provedores de trânsito de nível 1.

Benefit_Available_Green

Em caso de falha, processos automatizados desviam o tráfego de dados do cliente da área afetada. Os principais aplicativos são implantados em uma configuração N + 1, para que, no caso de uma falha do datacenter, haja capacidade suficiente para permitir que o tráfego tenha sua carga balanceada nas localidades restantes.

Para os clientes que precisam cumprir as normas ou regulamentos específicos de segurança, a AWS fornece relatórios de certificação que descrevem como a infraestrutura de nuvem da AWS cumpre os controles exigidos por essas normas. A AWS obteve conformidade com uma extensa lista de normas de segurança globais, incluindo ISO 27001, SOC, PCI Data Security Standard, Australian Signals Directorate (ASD) Information Security Manual e Singapore Multi-Tier Cloud Security Standard (MTCS SS 584). Recebemos duas ATOs separadas da Agência FedRAMP: uma para a região AWS GovCloud (EUA) e as outras cobrindo as regiões do Leste/Oeste dos EUA da AWS. Somos também um dos únicos provedores de serviços de nuvem pública a receber uma autorização provisória para DoD CSM Níveis 1 a 5.

Benefit_Check_Yellow

Cada certificação significa que um auditor verificou que os controles de segurança específicos estão disponíveis e operando conforme pretendido. Você pode ter acesso aos relatórios de conformidade aplicáveis entrando em contato com seu representante de conta da AWS. Para obter mais informações sobre as regulamentações e padrões de segurança atendidos pela AWS, consulte a página da web AWS Compliance.

A Equipe de segurança da AWS incentiva a comunicação com o cliente. Estabelecemos processos para:

Criamos uma chave PGP assinada para comunicações confidenciais que você queira enviar. Você pode acessá-lo aqui.