Como homologar serviços AWS para dados altamente confidenciais em Instituições Financeiras

Por Ilya Epshteyn, Arquiteto de Soluções, AWS

Como Arquiteto Principal de Soluções para a indústria global de Serviços Financeiros, uma das perguntas mais frequentes que recebo é se um serviço específico da AWS está pronto para serviços financeiros. Em um setor regulado como este, migrar para a nuvem não é um simples exercício de lift-and-shift. Em vez disso, as instituições financeiras usam um processo formal de avaliação por cada serviço, geralmente chamado de homologação, para demonstrar como os serviços em nuvem podem ajudar a cumprir suas obrigações regulatórias. Quando esse processo não está bem definido, pode atrasar os esforços para migrar dados para a nuvem.

Neste post, forneço uma estrutura que consiste em cinco considerações importantes nas quais as instituições financeiras devem se concentrar para ajudar a simplificar a homologação de serviços em nuvem para seus dados mais confidenciais. Também descreverei os principais recursos da AWS que podem ajudar as empresas de serviços financeiros durante esse processo.

Aqui estão as cinco considerações principais:

1. Atingindo a conformidade
2. Proteção de dados
3. Isolamento de ambientes de computação
4. Automatizando auditorias com APIs
5. Acesso e segurança operacional

Para muitos dos líderes de negócios e tecnologia com quem trabalho, a agilidade e a capacidade de inovar rapidamente são os principais fatores para seus programas em nuvem. As instituições de serviços financeiros migram para a nuvem para ajudar a desenvolver experiências digitais personalizadas, remover os silos de dados, desenvolver novos produtos, aumentar margens de produtos existentes e abordar proativamente os requisitos globais de conformidade e risco. Os clientes da AWS que usam uma ampla variedade de serviços da AWS obtêm maior agilidade à medida que avançam nos estágios de adoção da nuvem. O uso de uma ampla variedade de serviços permite que as organizações transfiram para a AWS atividades que não trazem diferenciação competitiva, e se concentrem em seus principais negócios e clientes.

Meu objetivo é orientar as instituições de serviços financeiros à medida que elas movem os dados altamente confidenciais da empresa para a nuvem – tanto para produção quanto para cargas de trabalho de missão crítica. As considerações a seguir ajudarão as organizações de serviços financeiros a determinar o quão preparados estão os serviços em nuvem e a obter sucesso nessa jornada.

1. Alcançar a Conformidade

Para instituições financeiras que usam um processo de homologação, a primeira etapa é estabelecer que os componentes inerentes aos serviços do provedor de serviços em nuvem (CSP) possam atender às necessidades básicas de conformidade. Um pré-requisito essencial para obter essa confiança é entender o Modelo de Responsabilidade Compartilhada da AWS. Responsabilidade compartilhada significa que o funcionamento seguro de um aplicativo na AWS requer ação tanto por parte do cliente quanto da AWS como CSP. Os clientes da AWS são responsáveis por sua segurança na nuvem. Eles controlam e gerenciam a segurança de seu conteúdo, aplicações, sistemas e redes. A AWS gerencia a segurança da nuvem, fornecendo e mantendo operações adequadas de serviços e recursos, protegendo a infraestrutura e os serviços da AWS, mantendo a excelência operacional e atendendo aos requisitos legais e regulamentares relevantes.

Para estabelecer confiança no lado da AWS do modelo de responsabilidade compartilhada, os clientes podem revisar regularmente o relatório Tipo II dos Controles de Serviços e Organizações (Service and Organization Controls 2 em inglês, ou SOC 2), preparado por um auditor independente. O relatório SOC 2 da AWS contém informações confidenciais que podem ser obtidas pelos clientes sob um contrato de confidencialidade (NDA) da AWS por meio do AWS Artifact, um portal de autosserviço para acesso sob demanda aos relatórios de conformidade da AWS. Entre no AWS Artifact no AWS Management Console ou saiba mais em Conceitos básicos do AWS Artifact.

Ponto chave: Atualmente, 116 serviços da AWS estão no escopo da conformidade do SOC, o que ajudará as organizações a otimizar seu processo de homologação. Para obter mais informações sobre quais serviços estão no escopo, consulte Serviços da AWS no escopo pelo programa de conformidade.

2. Proteção de dados

As instituições financeiras usam estratégias abrangentes de prevenção de perda de dados para proteger informações confidenciais. Os clientes que usam os serviços de dados da AWS podem empregar criptografia para reduzir o risco de divulgação, alteração de informações confidenciais ou acesso não autorizado. O AWS Key Management Service (AWS KMS) permite que os clientes gerenciem o ciclo de vida das chaves de criptografia e controlem como elas são usadas por seus aplicativos e serviços da AWS. Permitir que as chaves de criptografia sejam geradas e mantidas nos HSMs (módulos de segurança de hardware) validados pelo FIPS 140-2 no AWS KMS é a melhor prática e a opção mais econômica.

Para clientes da AWS que desejam flexibilidade adicional para geração e armazenamento de chaves, o AWS KMS permite que eles importem seu próprio material de chave para o AWS KMS e mantenham uma cópia em seu HSM local ou gerem e armazenem chaves em instâncias dedicadas do AWS CloudHSM sob seu controle. Para cada uma dessas opções importantes de geração e armazenamento de materiais, os clientes da AWS podem controlar todas as permissões para usar chaves de qualquer aplicativo ou serviço da AWS. Além disso, todo uso de uma chave ou modificação de sua política é registrado no AWS CloudTrail para fins de auditoria. Esse nível de controle e auditoria do gerenciamento de chaves é uma das ferramentas que as organizações podem usar para atender aos requisitos regulamentares para o uso da criptografia como um mecanismo de privacidade de dados.

Todos os serviços da AWS oferecem recursos de criptografia e a maioria dos serviços da AWS que as instituições financeiras usam se integram ao AWS KMS para fornecer às organizações o controle sobre suas chaves de criptografia usadas para proteger seus dados no serviço. A AWS oferece funcionalidades de emprego de chaves com gerenciamento controlado pelo cliente com o dobro de serviços que qualquer outro CSP.

As instituições financeiras também criptografam dados em trânsito para garantir que estes sejam acessados apenas pelo destinatário pretendido. A criptografia em trânsito deve ser considerada em várias áreas, incluindo chamadas de API para endpoints de serviço da AWS, criptografia de dados em trânsito entre os componentes de serviço da AWS e criptografia em trânsito nas aplicações. As duas primeiras considerações se enquadram no escopo da AWS do modelo de responsabilidade compartilhada, enquanto a última é de responsabilidade do cliente.

Todos os serviços da AWS oferecem endpoints criptografados em TLS (Transport Layer Security) 1.2 que podem ser usados para todas as chamadas de API. Alguns serviços da AWS também oferecem endpoints FIPS 140-2 em regiões selecionadas da AWS. Esses endpoints FIPS 140-2 usam uma biblioteca criptográfica que foi validada sob o padrão Federal Information Processing Standards (FIPS) 140-2. Para instituições financeiras que operam cargas de trabalho em nome do governo dos EUA, o uso de endpoints FIPS 140-2 os ajuda a atender aos requisitos de conformidade.

Para simplificar a configuração da criptografia em trânsito em um aplicativo, que é de responsabilidade do cliente, os clientes podem usar o serviço AWS Certificate Manager (ACM). O ACM permite fácil provisionamento, gerenciamento e implantação de certificados x.509 usados para TLS em endpoints de aplicações críticas hospedadas na AWS. Essas integrações fornecem implantação automática de certificado e chave privada e rotação automatizada para Amazon CloudFront, Elastic Load Balancing, Amazon API Gateway, AWS CloudFormation e AWS Elastic Beanstalk. O ACM oferece tanto opções de certificado públicos quanto privados para atender aos requisitos de modelo de confiança das aplicações. As organizações também podem importar seus certificados públicos ou privados existentes para o ACM para aproveitar os investimentos já realizados em infraestrutura de chave pública (PKI).

Ponto chave: o AWS KMS permite que as organizações gerenciem o ciclo de vida das chaves de criptografia e controlem como as chaves de criptografia são usadas para mais de 50 serviços. Para obter mais informações, consulte Serviços da AWS integrados ao AWS KMS. O AWS ACM simplifica a implantação e o gerenciamento de PKI em comparação ao autosserviço em um ambiente tradicional.

3. Isolamento de ambientes de computação

As instituições financeiras possuem requisitos rígidos para o isolamento de recursos de computação e controle de tráfego de rede para cargas de trabalho com dados altamente confidenciais. Uma das principais competências da AWS como CSP é proteger e isolar as cargas de trabalho entre clientes. O Amazon Virtual Private Cloud (Amazon VPC) permite que os clientes controlem seu ambiente da AWS e o mantenham separado dos ambientes de outros clientes. O Amazon VPC permite que os clientes criem um enclave de rede logicamente apartada na rede do Amazon Elastic Compute Cloud (Amazon EC2) para hospedar recursos de computação e armazenamento. Os clientes controlam o ambiente privado, incluindo endereços IP, sub-redes, listas de controle de acesso à rede, security gruoups, firewalls do sistema operacional, tabelas de rotas, redes privadas virtuais (VPNs) e gateways de Internet.

O Amazon VPC fornece isolamento lógico robusto dos recursos dos clientes. Por exemplo, todo fluxo de pacotes na rede é autorizado individualmente para validar a origem e o destino corretos antes de serem transmitidos e entregues. Não é possível que as informações passem entre vários tenants sem serem especificamente autorizadas pelos clientes transmissores e receptores. Se um pacote estiver sendo roteado para um destino sem uma regra que corresponda a ele, o pacote será descartado. A AWS também desenvolveu o AWS Nitro System, um hypervisor com hardware especializado, que aloca recursos da unidade de processamento central (CPU) para cada instância e é projetado para proteger a segurança dos dados dos clientes, mesmo contra operadores da infraestrutura de produção.

Para obter mais informações sobre o modelo de isolamento para serviços de computação multi-tenant, como o AWS Lambda, consulte o paper Visão geral de segurança do AWS Lambda. Quando o Lambda executa uma função em nome de um cliente, ele gerencia o provisionamento e os recursos necessários para executar o código. Quando uma função Lambda é chamada, o data plane aloca um ambiente de execução para essa função ou escolhe um ambiente de execução existente que já foi configurado para essa função e, em seguida, executa o código da função nesse ambiente. Cada função é executada em um ou mais ambientes de execução dedicados usados durante a vida útil da função e depois são destruídos. Os ambientes de execução operam em máquinas enxutas e com virtualização por hardware (microVMs). Uma microVM é dedicada a uma conta da AWS, mas pode ser reutilizada pelos ambientes de execução nas funções em uma mesma conta. Os ambientes de execução nunca são compartilhados entre funções e as microVMs nunca são compartilhados entre as contas da AWS. A AWS continua inovando na área de segurança de hypervisor, e o isolamento de recursos permite que nossos clientes de serviços financeiros executem até mesmo as cargas de trabalho mais sensíveis na nuvem da AWS com confiança.

A maioria das instituições financeiras exige que o tráfego permaneça privado sempre que possível e não saia da rede da AWS, a menos que seja especificamente necessário (por exemplo, em cargas de trabalho voltadas para a Internet). Para manter o tráfego privado, os clientes podem usar o Amazon VPC para criar uma parte isolada e privada da nuvem para suas necessidades organizacionais. Uma VPC permite que os clientes definam seus próprios ambientes de rede virtual com segmentação com base nas camadas de aplicação.

Para conectar-se a serviços regionais da AWS fora da VPC, as organizações podem usar VPC endpoints, que permitem conectividade privada entre recursos na VPC e serviços da suportados AWS. Endpoints são dispositivos virtuais gerenciados altamente disponíveis, redundantes e escaláveis. Os endpoints permitem a conexão privada entre as VPCs do cliente e os serviços AWS usando endereços IP privados. Com endpoints, as instâncias do Amazon EC2 executadas em sub-redes privadas de uma VPC têm acesso privado a recursos regionais sem exigir um Internet gateway, dispositivo NAT, conexão VPN ou conexão AWS Direct Connect. Além disso, quando os clientes criam um endpoint, eles podem anexar uma política que controla o uso do endpoint para acessar apenas recursos específicos da AWS, como buckets específicos do Amazon Simple Storage Service (Amazon S3) em sua conta da AWS. Da mesma forma, usando políticas baseadas em recursos, os clientes podem restringir o acesso a seus recursos para permitir apenas o acesso a partir dos VPC endpoints. Por exemplo, usando políticas de bucket, os clientes podem restringir o acesso a um determinado bucket do Amazon S3 apenas através do endpoint. Isso garante que o tráfego permaneça privado e flua apenas pelo endpoint sem atravessar o espaço de endereço público.

Ponto chave: para ajudar os clientes a manter o tráfego privado, mais de 45 serviços da AWS têm suporte a VPC endpoints.

4. Automatizando auditorias com APIs

A visibilidade das atividades de usuários e das alterações na configuração de recursos é um componente crítico da governança, segurança e conformidade de TI. As soluções de log tradicionais exigem a instalação de agentes, a implantação de arquivos de configuração e servidores de log e a criação e manutenção de sistemas para armazenálos. Essa complexidade pode resultar em baixa visibilidade e conjuntos fragmentados para monitorad, o que, por sua vez, leva mais tempo para solucionar e resolver problemas. O CloudTrail fornece uma solução simples e centralizada para registrar chamadas às APIs da AWS e alterações de recursos na nuvem, ajudando a aliviar esse fardo.

O CloudTrail fornece um histórico de atividades na conta da AWS de um cliente para ajudá-lo a atender aos requisitos de conformidade com suas políticas internas e padrões regulatórios. O CloudTrail ajuda a identificar quem ou o que executou qual ação, quais recursos foram executados, quando o evento ocorreu e outros detalhes para ajudar os clientes a analisar e responder à atividade em sua conta da AWS. Os eventos de gerenciamento do CloudTrail fornecem informações sobre as operações de gerenciamento (control plane) executadas nos recursos de uma conta da AWS. Por exemplo, os clientes podem registrar ações administrativas, como criação, exclusão e modificação de instâncias do Amazon EC2. Para cada evento, eles recebem detalhes como a conta da AWS, a função de usuário do IAM e o endereço IP do usuário que iniciou a ação, bem como o horário da ação e quais recursos foram afetados.

Os eventos de dados do CloudTrail fornecem informações sobre as operações (data plane) de recursos executadas no próprio recurso ou dentro dele. Os eventos de dados geralmente são atividades de alto volume e incluem operações, como APIs no nível de objeto do Amazon S3 e APIs de chamada da função AWS Lambda. Por exemplo, os clientes podem registrar ações da API nos objetos do Amazon S3 e receber informações detalhadas, como a conta da AWS, a função de usuário do IAM, o endereço IP do chamador, a hora da chamada da API e outros detalhes. Os clientes também podem registrar a atividade de suas funções Lambda e receber detalhes sobre as execuções de funções Lambda, como o usuário ou serviço IAM que fez a chamada da API de Invocação, quando a chamada foi feita e qual função foi executada.

Para ajudar os clientes a simplificar a conformidade e a auditoria contínuas, a AWS oferece o serviço AWS Config para ajudá-los a examinar, auditar e avaliar as configurações dos recursos da AWS. O AWS Config monitora e registra continuamente as configurações de recursos da AWS e permite que os clientes automatizem a avaliação das configurações registradas em relação às diretrizes internas. Com o AWS Config, os clientes podem revisar as alterações nas configurações e nos relacionamentos entre os recursos da AWS e mergulhar nos históricos detalhados de configuração de recursos.

Ponto chave: Mais de 160 serviços da AWS estão integrados ao CloudTrail, o que ajuda os clientes a garantir a conformidade com suas políticas internas e padrões regulatórios, fornecendo um histórico de atividades em sua conta da AWS. Para obter mais informações sobre como usar o CloudTrail com serviços específicos da AWS, consulte Tópicos de serviço da AWS para CloudTrail no guia do usuário do CloudTrail. Para obter mais informações sobre como habilitar o AWS Config em um ambiente, consulte Conceitos Básicos do AWS Config.

5. Acesso operacional e segurança

Em nossas discussões com instituições financeiras, é dito à AWS que elas precisam ter um entendimento claro do acesso a seus dados. Isso inclui saber quais controles estão em vigor para garantir que não ocorra o acesso sem autorização. A AWS implementou controles em camadas que usam medidas preventivas e investigativas para garantir que apenas indivíduos autorizados tenham acesso a ambientes de produção em que o conteúdo do cliente reside. Para obter mais informações sobre controles de acesso e segurança, consulte o relatório AWS SOC 2 no AWS Artifact.

Um dos princípios fundamentais de design da segurança da AWS é manter as pessoas afastadas dos dados para minimizar os riscos. Como resultado, a AWS criou uma plataforma de virtualização totalmente nova, chamada AWS Nitro System. Este sistema altamente inovador combina novo hardware e software que aumenta drasticamente o desempenho e a segurança. O AWS Nitro System permite maior segurança com uma superfície de ataque minimizada, porque as funções de virtualização e segurança são movidas da placa principal do sistema, onde as cargas de trabalho dos clientes são executadas para um sistema com hardware e software dedicados. Além disso, o modelo bloqueado de segurança do AWS Nitro System proíbe todo acesso administrativo, incluindo o de funcionários da Amazon, o que elimina a possibilidade de erro humano e adulteração.

Ponto chave: Analise os relatórios de auditorias de terceiros (incluindo SOC 2 Tipo II) disponíveis no AWS Artifact e saiba mais sobre o AWS Nitro System.

Conclusão

A AWS pode ajudar a simplificar e agilizar o processo de homologação para que as instituições de serviços financeiros migrem para a nuvem. Quando as organizações se beneficiam de uma ampla variedade de serviços da AWS, isso ajuda a maximizar sua agilidade, usando as medidas de segurança e conformidade existentes nos serviços da AWS para concluir a homologação, para que as organizações de serviços financeiros possam se concentrar em seus principais negócios e clientes.

Depois que as organizações concluem o processo de homologação e determinam quais serviços de nuvem podem ser usados como parte de sua arquitetura, o AWS Well-Architected Framework pode ser implementado para ajudar a criar e operar arquiteturas seguras, resilientes, de desempenho e de baixo custo na AWS.

A AWS também possui uma equipe dedicada de profissionais de serviços financeiros para ajudar os clientes a navegar em um cenário regulatório complexo, além de outros recursos para orientá-los na migração para a nuvem – independentemente de onde estejam no processo. Para obter mais informações, consulte a página de Serviços Financeiros ou preencha este formulário de contato do AWS Serviços Financeiros.

Recursos adicionais

• Documentação de Segurança AWS
  O repositório de documentos de segurança mostra como configurar os serviços da AWS para ajudar a atender aos objetivos de segurança e conformidade. A segurança da nuvem na AWS é a maior máxima. Os clientes da AWS se beneficiam de datacenters e arquiteturas de rede criados para atender aos requisitos das organizações mais sensíveis à segurança.

• Centro de Conformidade AWS
  O AWS Compliance Center é uma ferramenta interativa que fornece aos clientes requisitos específicos de cada país e quaisquer considerações especiais para o uso da nuvem nas geografias em que operam. O Centro de conformidade da AWS possui links rápidos para os recursos da AWS para ajudar nos caminhos de adoção da nuvem em países específicos e inclui detalhes sobre os programas de conformidade aplicáveis nessas jurisdições. O Centro de conformidade da AWS abrange muitos países e novos países são continuamente adicionados à medida que atualizam seus requisitos regulamentares relacionados ao uso da tecnologia.

• AWS Well-Architected Framework e AWS Well-Architected Tool
  O AWS Well-Architected Framework ajuda os clientes a entender os prós e os contras das decisões que tomam ao criar sistemas na AWS. O AWS Well-Architected Tool ajuda os clientes a revisar o estado de suas cargas de trabalho e as compara com as mais recentes práticas recomendadas de arquitetura da AWS. Para obter mais informações sobre o AWS Well-Architected Framework e a segurança, consulte o documento Pilar de segurança – AWS Well-Architected Framework.

 Tradução e revisão para o idioma local

Julio Carvalho é arquiteto de soluções de Segurança na AWS para o mercado financeiro. Focado em segurança digital há mais de 15 anos, já atuou na linha de frente de resposta à incidentes, na gestão de riscos e como executivo de Segurança para multinacionais. Como especialista técnico para arquiteturas seguras, Julio ajuda clientes AWS a resolver desafios dinâmicos de Segurança e Conformidade em suas jornadas na nuvem.