A infraestrutura de nuvem da AWS foi projetada para ser um dos ambientes de computação em nuvem mais flexíveis e seguros atualmente disponíveis. Ela oferece uma plataforma extremamente escalonável e altamente confiável, que permite que os clientes implementem aplicativos e dados de forma rápida e segura.

Com a nuvem da AWS, não são apenas as dores de cabeça que desaparecem, mas também muitos dos problemas de segurança relacionados à infraestrutura. Os datacenters de nível mundial e altamente seguros da AWS utilizam vigilância eletrônica e sistemas de controle de acesso multifator de última geração. Os datacenters são protegidos 24 horas por dia, 7 dias por semana por seguranças treinados e o acesso é autorizado estritamente com base no menor privilégio possível. Os sistemas ambientais são projetados para diminuir o impacto das interrupções nas operações. E várias regiões e zonas de disponibilidade permitem que você permaneça resiliente diante da maioria dos modos de falha, inclusive desastres naturais ou falhas do sistema.

A infraestrutura virtual da AWS foi projetada para oferecer excelente disponibilidade e para garantir privacidade e separação total de clientes. Para obter uma lista completa de todas as medidas de segurança criadas na infraestrutura, plataformas e serviços da nuvem da AWS, leia nosso whitepaper Overview of Security Processes.

trendmicro_thumb

"Quando procuramos um provedor de tecnologia... não foi necessário procurar muito para determinar qual provedor de plataformas podia oferecer alta disponibilidade e uma malha de segurança que atendesse às nossas necessidades de missão crítica." – JD Sherry, vice-presidente de tecnologia, Trend Micro

Seus aplicativos e dados não precisam apenas ser protegidos por instalações e infraestrutura altamente seguras, eles também precisam ser protegidos por amplos sistemas de monitoramento de segurança e de rede. Esses sistemas oferecem medidas de segurança básicas, mas importantes, como a proteção distribuída de negação de serviço (DDoS) e detecção de tentativa de acesso de senha por força bruta nas contas da AWS. As medidas de segurança adicionais incluem:

  • Acesso seguro – Os pontos de acesso do cliente, também denominados endpoints de API, permitem acesso via HTTP seguro (HTTPS) para que você possa estabelecer sessões de comunicação seguras com seus serviços da AWS usando SSL/TLS.
  • Firewalls integrados – Você pode controlar o nível de acessibilidade às suas instâncias configurando regras integradas de firewall – de totalmente públicas a completamente privadas, ou algo entre os dois. E quando suas instâncias residirem dentro de uma sub-rede da Virtual Private Cloud (VPC), você pode controlar tanto a saída quanto a entrada.
  • Usuários exclusivos – A ferramenta AWS Identity and Access Management (IAM) permite que você controle o nível de acesso que seus próprios usuários terão aos AWS infrastructure services. Com o AWS IAM, cada usuário pode ter credenciais exclusivas de segurança, eliminando a necessidade de senhas ou chaves compartilhadas e permitindo o uso das práticas recomendadas de segurança de separação de funções e menor privilégio.
  • Autenticação multifator (MFA) – A AWS oferece suporte integrado à autenticação multifator (MFA) para uso com a conta raiz da AWS e com as contas de usuário IAM dessa conta raiz.
  • Sub-redes privadas – O serviço AWS Virtual Private Cloud (VPC) permite que você acrescente uma camada adicional de segurança de rede às suas instâncias criando sub-redes privadas e até mesmo criando um túnel VPN IPsec entre sua rede doméstica e sua VPC AWS.
  • Armazenamento físico de dados criptografados – Os clientes podem criptografar automaticamente dados e objetos armazenados no Amazon EBS, Amazon S3, Glacier, Redshift, RDS Oracle e RDS SQL Server usando o Advanced Encryption Standard (AES) 256, um padrão seguro de criptografia de chave simétrica que utiliza chaves de criptografia de 256 bits.
  • Opção de conexão dedicada – O serviço AWS Direct Connect permite estabelecer uma conexão de rede dedicada entre suas instalações locais e a AWS. Usando VLANs 802.1q padrão do setor, essa conexão dedicada pode ser particionada em várias conexões lógicas para permitir o acesso a ambientes de IP públicos e privados dentro da sua nuvem da AWS.
  • Perfect Forward Secrecy – Para proporcionar uma privacidade de comunicação ainda maior, vários serviços da AWS, como Elastic Load Balancer e Amazon CloudFront, oferecem pacotes de cifras mais fortes e atuais. Esses pacotes de cifras permitem que clientes SSL/TLS usem Perfect Forward Secrecy, uma técnica que usa chaves de sessão efêmeras, que não são armazenadas em lugar algum. Isso evita a decodificação de dados capturados, mesmo se a própria chave secreta de longo prazo for comprometida.
  • Logs de segurança – O AWS CloudTrail fornece logs de todas as atividades dos usuários dentro da sua conta da AWS. Você pode ver quais ações foram executadas em cada um dos seus recursos da AWS, e quem as executou. O histórico de chamadas de APIs da AWS gerado pelo CloudTrail possibilita análises de segurança, rastreamento de alteração de recursos e auditoria de conformidade.
  • Identificação e configuração de assets – O serviço AWS Config permite descobrir imediatamente todos seus recursos da AWS e visualizar suas configurações. Você pode ser notificado sempre que uma configuração é alterada, além de poder pesquisar o histórico de configurações para analisar incidentes.
  • Gerenciamento de chaves centralizado – Para clientes que fazem uso intensivo de criptografia exigem controle rigoroso das chaves, o AWS Key Management Service oferece uma opção de gerenciamento conveniente para criar e administrar as chaves usadas para criptografar dados ociosos.
  • GovCloud isolado – Para clientes que precisam de medidas adicionais para atender às regulamentações US ITAR, a AWS oferece uma região totalmente separada chamada AWS GovCloud (US), que oferece um ambiente onde os clientes podem executar aplicações compatíveis com o ITAR e oferece endpoints especiais que utilizam criptografia FIPS 140-2.
  • CloudHSM – Para clientes que precisam usar dispositivos Hardware Security Module (HSM) para armazenamento de chave criptográfica, o AWS CloudHSM oferece uma forma altamente segura e conveniente de armazenar e gerenciar chaves.
  • Trusted Advisor – Fornecido automaticamente quando você se cadastra para o suporte premium, o serviço Trusted Advisor é uma forma conveniente de você ver onde poderia aplicar um pouco mais de segurança. Ele monitora os recursos da AWS e alerta você quanto a falhas de configuração de segurança, como acesso excessivamente permissivo a certas portas de instância do EC2 e buckets de armazenamento do S3, uso mínimo de separação de funções usando o IAM e políticas fracas de senha.

Como a infraestrutura da nuvem da AWS oferece tantos recursos de segurança integrados, você pode simplesmente focalizar a segurança do seu SO convidado e aplicativos. Os engenheiros de segurança e arquitetos de solução da AWS desenvolveram whitepapers e checklists operacionais para ajudá-lo a selecionar as melhores opções para suas necessidades e práticas recomendadas de segurança, como o armazenamento de chaves secretas e senhas de forma segura e rotativa ou alterando-as com frequência.

Sabemos que alguns recursos de segurança podem afetar o desempenho. Portanto, procurarmos maneiras de reduzir o impacto sobre processos de segurança existentes. Por exemplo, neste ano o Amazon CloudFront adicionou SSL Session Tickets, que salva informações de negociação SSL entre cliente e servidor e, portanto, acelera o processo de negociação quando a conexão deve ser retomada ou reiniciada.

Também introduzimos OCSP Stapling, que reduz o trabalho feito pelo cliente durante a verificação da autoridade certificadora (CA) nas negociações de SSL. Esses recursos operam nos bastidores e não precisam de configuração de sua parte, mas aceleram funções de segurança importantes.

E continuamos a procurar maneiras de fortalecer os processos de segurança que você já usa. Por exemplo, para vários dispositivos, adicionamos a opção de pacotes de cifras avançadas que usam o protocolo Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). O ECDHE permite que clientes SSL/TLS ofereçam Perfect Forward Secrecy, que usa chaves de sessão efêmeras e não armazenadas em lugar algum. Isso evita a decodificação de dados capturados por terceiros não autorizados, mesmo se a própria chave secreta de longo prazo for comprometida.

Nenhum desses novos recursos é lucrativo para nós. Eles simplesmente deixam nossos clientes mais satisfeitos.

Como você está criando sistemas sobre a infraestrutura da Nuvem AWS, as responsabilidades de segurança são compartilhadas. A AWS protege a infraestrutura subjacente e você deve proteger tudo o que coloca ou conecta à infraestrutura. A quantidade de trabalho de configuração de segurança que você deve realizar varia da confidencialidade de seus dados e dos serviços escolhidos.

Nos serviços de IaaS como Amazon EC2 e Amazon S3, você tem mais controle e, portanto, mais configurações a fazer. Em instâncias do EC2, você é responsável pela aplicação de patches no SO convidado e em qualquer software nele instalado, pela configuração do security group (firewall) que permite acesso externo às instâncias e pela configuração das sub-redes de VPC onde as instâncias residem, entre outras atividades. No Amazon S3, você deve definir as políticas de controle de acesso para todos os buckets de armazenamento, definir opções de criptografia para dados armazenados e especificar preferências de backup e arquivamento.

Para serviços PaaS como Amazon RDS, Redshift ou WorkSpaces, há menos configurações de segurança. Nesses serviços, você não precisa se preocupar com o lançamento e a manutenção de instâncias ou com a aplicação de patches no SO convidado ou nas aplicações. A AWS faz isso para você. Nesses serviços gerenciados, a AWS executa os backups automaticamente, configura os firewalls e replica os bancos de dados.

No entanto, há alguns recursos de segurança, como contas e credenciais de usuários individuais do IAM, HTTPS para transmissão de dados e registro de atividades de usuários, que devem ser configurados por você, independentemente dos serviços da AWS usados.

Para obter informações sobre como configurar um serviço específico da AWS, consulte a documentação do serviço. Para obter mais dicas sobre as melhores práticas de segurança da AWS, consulte a lista de whitepapers, tutoriais e artigos de segurança em nossa página Security Resources.

Sabemos que é importante que você entenda as medidas de proteção usadas para defender a infraestrutura de nuvem da AWS. Mas, como você não pode tocar fisicamente os servidores nem caminhar pelos datacenters, como você pode ter a certeza de que pode contar com os controles de segurança corretos?

A resposta está nas certificações e avaliações de terceiros pelas quais a AWS passa. A AWS obteve a certificação ISO 27001 e foi validada como provedor de serviços de nível 1 no Padrão de Segurança de Dados (DSS) da Indústria de Cartões de Pagamento (PCI). Passamos por auditorias SOC 1 anuais e fomos avaliados positivamente no nível moderado para os sistemas do governo federal, bem como no nível 2 DIACAP para sistemas do DoD.

Cada certificação significa que um auditor verificou que os controles de segurança específicos estão disponíveis e operando conforme pretendido. Você pode ter acesso aos relatórios de conformidade aplicáveis entrando em contato com seu representante de conta da AWS. Para obter mais informações sobre os regulamentos e padrões de segurança com os quais a AWS está em conformidade, veja a página da web Conformidade com a AWS ou o whitepaper AWS Risk and Compliance.

A Equipe de segurança da AWS incentiva a comunicação com o cliente. Estabelecemos processos para:

Criamos uma chave PGP assinada para comunicações confidenciais que você queira enviar. Você pode acessá-lo aqui.