10 passos para avaliar a conformidade de segurança em seu ambiente AWS

A segurança na nuvem é a nossa maior prioridade e um impulsionador para empresas de diversos setores, inclusive clientes altamente regulados que rodam aplicações e cargas de trabalho críticas na nuvem. Na AWS, todos os clientes se beneficiam dos controles de segurança adotados pela AWS e ainda têm a possibilidade de implementar sua própria camada de controles, atendendo às suas necessidades de negócio, regulatórias ou mesmo políticas de segurança e privacidade de forma ágil. Mais detalhes sobre os serviços de segurança nativos da AWS podem ser encontrados no site de produtos de segurança.

Os clientes também contam com um conjunto adicional de recursos como os documentos e melhores práticas para lhes apoiar na definição de suas jornadas para a nuvem de maneira segura. Um desses documentos é o CIS Amazon CIS Amazon Web Services Foundations, publicado pelo Center for Internet Security (CIS), conhecido benchmark técnico para a implementação de melhores práticas de segurança em ambientes tecnológicos.

O CIS Amazon Web Services Foundations é um documento técnico que detalha as melhores práticas de configurações e implementação de controles e auditoria para que você possa ter um ambiente alinhado com as melhores práticas na nuvem AWS.

Abaixo estão alguns exemplos de controles de segurança tratados no documento:

• Evitar o uso da conta root, a primeira conta criada na AWS e que possui direitos administrativos, e como se deve estabelecer o monitoramento para quando ela for usada.
• Forçar o uso de um segundo fator de autenticação (MFA – Multi Factor Authentication) para os acesso à console AWS.
• Desativar acesso de credenciais não utilizadas há 90 dias ou mais.
• Rotacionar Access Keys (chaves de acesso programático) a cada 90 dias ou menos.
• Criar políticas de senhas fortes para os usuários de IAM.
• Habilitar CloudTrail em todas as contas.
• Evitar e monitorar a existência de Security Groups (SG) liberando acesso de entrada (ingress/inbound) para porta 22 ou 3389 para qualquer endereço IP (0.0.0.0/0).

Esses são apenas alguns exemplos de controles de segurança fundamentais que podem ser implementados na nuvem AWS e que estão documentados no CIS Amazon Web Services Foundations, sendo assim uma excelente referência para definir as configurações de segurança iniciais para seu ambiente na nuvem AWS.

Uma vez adotados os controles do CIS para o seu ambiente, como você poderá monitorá-los e definir métricas para um ambiente dinâmico e de múltiplas contas?

Na Nuvem AWS é possível implementar um mecanismo de monitoração contínuo, proporcionando a identificação de status de conformidades de configuração e cumprimento de políticas de segurança em praticamente tempo real.

Um dos serviços que pode ser utilizado para monitoração do estado das configurações sugeridas pelo CIS Amazon Web Services Foundations é o AWS Security Hub. Lançado no Re:Invent de 2018 ele permite, entre outras coisas, obter uma visão agregada e unificada de descobertas de segurança em seu ambiente, utilizando-se de informações geradas pelos serviços de segurança AWS como Amazon GuardDuty, Amazon Inspector, Amazon Macie ou ainda através de soluções de parceiros que se integram com o Security Hub.

Adicionalmente, o AWS SecurityHub gera suas próprias descobertas como resultado da execução de verificações automatizadas e contínuas em suas contas. Fornece, dessa maneira, uma pontuação de conformidade e identificando contas e recursos específicos que exigem atenção, como demostrado a seguir, utilizando como base o CIS Amazon Web Services Foundations.

Caso ocorram mudanças de configurações de segurança em suas contas, você poderá periodicamente identificar e avaliar de forma detalhada as não conformidades apontadas, sem a necessidade de executar análises de segurança manuais, permitindo uma avaliação de conformidade contínua de seu ambiente.

É possível obter detalhes e status dos itens de conformidade em seu ambiente AWS, como demonstrado abaixo.

Ao clicar por exemplo no item 1.1, é possível obter mais informações das contas e respectivas configurações.

OS 10 PASSOS PARA HABILITAR A AVALIAÇÃO DE CONFORMIDADE COM BASE NO CIS

Então, como habilitar o AWS Security Hub para monitorar de forma automatizada se as melhores práticas do CIS Amazon Web Services Foundation estão corretamente implementadas em meu ambiente AWS?

PASSO 1 – Para rodar as validações de conformidade o serviço AWS Config deve estar habilitado, já que o Security Hub se utiliza de AWS Config Rules para efetuar as monitorações de  conformidade de seu ambiente AWS. Para habilitar o AWS Config, selecione o serviço Config na console AWS e clique em “Get started”.

PASSO 2– Selecione All Resources e crie um bucket que armazenará o histórico de configuração e os arquivos de configurações que contêm detalhes dos recursos que o AWS Config vai monitorar.

PASSO 3 – Crie uma role para o serviço AWS Config e clique em Next.

PASSO 4 – Na tela do Config Rules não é necessário definir a regra, tendo em vista que elas serão criadas automaticamente pelo Security Hub, clique em “Next” e confirme as configurações.

Revise e altere configurações se necessário, depois clique em “Confirm”.

PASSO 5 – Agora vamos habilitar o Security Hub que criará as regras de verificação de conformidade com base nos padrões do CIS Amazon Web Services Foundations. Na console AWS selecione o serviço Security Hub e clique no botão “Enable Security Hub”.

PASSO 6 – Uma vez na console do serviço, clique no botão “Enable AWS Security Hub”.

PASSO 7 – Clicando em Standards no menu à esquerda do serviço Security Hub, você terá acesso para habilitar a monitoração de conformidade de melhores práticas do CIS Amazon Web Services Foundations.

PASSO 8 – Clique em “Enable” para habilitar a criação de regras e verificação.

PASSO 9 – Valide a criação das regras no AWS Config.

Minutos depois, você poderá analisar o status de conformidade dos itens avaliados em sua conta e ambiente AWS, com base nas melhores práticas do CIS Amazon Web Services Foundations.

PASSO 10 – Em caso de múltiplas contas – Vale destacar que em ambientes com múltiplas contas é fundamental implementar um modelo de centralização das descobertas (findings) do AWS Security Hub, facilitando assim a identificação e tratamento das descobertas em uma conta de segurança centralizada, protegida e controlada.

Para isso, você pode convidar outras contas selecionando a opção “Settings” no menu da esquerda, e adicionar as contas cujas descobertas deseja centralizar.

Clique em “Next”.

Valide se o convite foi enviado.

Com o convite enviado, acesse o serviço AWS Security Hub na conta convidada e aceite o convite, clicando posteriormente em “Update”.

Desta maneira, descobertas são resumidas visualmente em painéis integrados com gráficos para avaliação detalhada, tomada de decisão e acompanhamento da evolução de seus indicadores de segurança e conformidade em relação às configurações especificadas no CIS Amazon Web Services Foundations.

Informações complementares sobre os custos dos serviços podem ser obtidas em AWS Security Hub e AWS Config.

Sobre os Autores

Daniel Garcia

Daniel é arquiteto de soluções de segurança e atualmente está focado em apoiar empresas do setor financeiro na América Latina em sua adoção segura de serviços de computação em nuvem. Com experiência de mais de 18 anos em tecnologia e segurança da informação, Daniel já ajudou dezenas de companhias de vários segmentos e abrangência geográfica a definir, planejar e implementar com sucesso suas estratégias de cibersegurança.

Marcello Zillo

Marcello é especialista de segurança da AWS na América Latina, apoiando empresas dos mais diversos segmentos na criação e execução de suas estratégias de segurança e jornada para a nuvem. Atuando em Segurança da Informação, Riscos e Conformidade há mais de 20 anos, ocupou anteriormente cargos executivos em instituições financeiras, liderando projetos de transformação nas mais diversas disciplinas de Segurança, Riscos e Compliance.