O blog da AWS
Implementando uma estratégia de Detecção de Eventos de segurança com o AWS Foundational Security Best Practices, o novo padrão do AWS Security Hub
Bruno Silveira, Partner Solutions Architect, ISV Partners & Startups, Brazil Public Sector
Daniel Garcia, Principal Security Solutions Architect, LATAM Specialist Team
Wesley Rodrigues, Solutions Architect, Education, Brazil Public Sector
A segurança é a nossa maior prioridade e, de acordo com o Modelo de Responsabilidade Compartilhada, a AWS é responsável pela segurança da nuvem e você, nosso cliente, é responsável pela segurança na nuvem. No AWS Artifacts você pode ter acesso sob demanda aos relatórios de segurança e conformidade da AWS. No que tange a responsabilidade dos nossos clientes, há um portfólio de serviços de segurança da AWS para nossos clientes protegerem suas cargas de trabalho e aplicativos na nuvem, assim como mais de mil soluções de segurança de parceiros da AWS disponíveis no AWS Marketplace.
Classificamos nossos serviços de segurança em cinco categorias: Identidade e Controle de Acesso, Detecção, Proteção da Infraestrutura, Proteção de Dados e Resposta a Incidentes. Entre estas, a categoria de Detecção tem papel fundamental para que os clientes possam identificar o estado de conformidade com padrões de segurança e regulatório em seu(s) ambiente(s) na AWS.
Serviços de Detecção permitem identificar possíveis configurações de segurança incorretas, ameaças ou comportamentos inesperados. São parte essencial do ciclo de vida da segurança e podem ser usados para apoiar um processo de qualidade, uma obrigação legal ou de conformidade e para identificar ameaças e no esforço de resposta a incidentes. Você deve analisar regularmente os mecanismos de detecção relacionados à sua(s) carga(s) de trabalho para garantir que está atendendo às políticas e requisitos internos e externos.
Este blog post mostrará como o padrão AWS Foundational Security Best Practices do AWS Security Hub pode ajuda-lo a avaliar continuamente todas as suas contas e cargas de trabalho da AWS para identificar rapidamente as áreas de desvio das práticas recomendadas de segurança.
O que é o AWS Security Hub?
O AWS Security Hub possui características presentes em produtos como Cloud Security Posture Management (CSPM), Security Information and Event Management (SIEM), Security Orchestration e Automation and Response (SOAR). O uso do AWS Security Hub poderá trazer grande agilidade e escala na detecção e tratamento de eventos de segurança já que ele integra funcionalidades que antes necessitavam a implantação de múltiplos produtos, adaptando-as à sua realidade de segurança e conformidade.
Como o AWS Security Hub funciona?
O AWS Security Hub oferece uma visão abrangente dos alertas de segurança de alta prioridade e do status de conformidade nas contas da AWS. Com o Security Hub, você tem um único local que agrega, organiza e prioriza alertas de segurança, ou descobertas, de vários serviços da AWS como o Amazon GuardDuty, o Amazon Inspector, o Amazon Macie e o IAM Access Analyzer, bem como das soluções de parceiros da AWS. As descobertas são resumidas visualmente em painéis integrados com gráficos e tabelas acionáveis. Você também pode monitorar continuamente o ambiente usando verificações de conformidade automatizadas baseadas nas melhores práticas da AWS e nos padrões do setor adotados pela organização.
Casos de Uso do AWS Security Hub
Na arquitetura a seguir, mostraremos como enviar notificações para as descobertas de alto nível de severidade recebidas através do AWS Security Hub. Para isso utilizaremos os serviços Amazon EventBridge para receber as notificações de novos eventos, filtrar os eventos de alta severidade e disparar notificações através do Amazon Simple Notification Services (SNS). Em nosso caso de uso usaremos o SNS apenas para notificar por e-mail a equipe de resposta a incidentes, no entanto o serviço também permite disparar diversos serviços que poderiam ser utilizados para fazer a remediação automática do incidente, como por exemplo o AWS Lambda ou AWS Step Functions.
Vamos ver no detalhe como construir essa integração:
1. Em arquiteturas orientadas a eventos, utilizar tópicos como canais para direcionar a comunicação é uma maneira simples de centralizar os eventos e notificar todos que devam tomar conhecimento do evento. Para isso, criaremos um tópico no Amazon Simple Notification Service, que será utilizado no AWS Security Hub posteriormente:
2. Quando criamos um tópico, podemos definir e-mails que serão notificados quando um novo evento for recebido. Além do e-mail, também é possível configurar SMS e Push Notifications, tornando o Amazon SNS uma forma eficiente de monitorar os eventos configurados. Digite seu e-mail, como mostrado na imagem. Depois, lembre-se de acessar seu e-mail e confirmar a inscrição no tópico:
3. Com o tópico pronto e assinado, podemos seguir para a criação da regra no Amazon EventBridge. Após abrir o Amazon EventBridge na console, clique em Create rule, forneça um nome para a regra e selecione Padrão personalizado na opção Definir padrão:
4. Os padrões são definições de eventos, escritos em JSON. O exemplo a seguir define um padrão que aciona o gatilho da regra com eventos do Security Hub com severidades High e Critical:
{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { "Severity": { "Label": [ "HIGH", "CRITICAL" ] } } } }
5. O próximo passo na criação das regras do Amazon EventBridge é a definição do tópico de destino para novos eventos reconhecidos. Nesta etapa, selecione o tópico previamente criado:
6. Com a configuração demonstrada acima, sempre que o AWS Security Hub detectar um evento com severidade High ou Critical, o Amazon EventBridge vai ter a regra acionada, enviando uma cópia do evento para o e-mail cadastrado no tópico do Amazon SNS.
Mostraremos agora como configurar o AWS Security Hub para monitorar os eventos de segurança.
AWS Foundational Security Best Practices (FSBP)
O padrão AWS Foundational Security Best Practices é um conjunto de verificações de segurança automatizadas que detectam quando as contas da AWS e os recursos implantados não se alinham às práticas recomendadas de segurança. O padrão é definido pelos especialistas em segurança da AWS. Esse conjunto de controles ajuda a melhorar sua postura de segurança na AWS e abrange os serviços mais populares e fundamentais da AWS.
Como habilitar o FSBP?
Ao conectar no AWS Security via AWS Management Console, vá em Padrões de Segurança e clique no botão Habilitar no padrão Melhores práticas de segurança básicas da AWS (versão em português), conforme mostra a figura à seguir:
Painel de Controle do FSBP
Ao habilitar o padrão FSBP, aparecerá o painel de controle mostrando todos os controles que o padrão habilita, sendo possível desabilitar os controles que não fazem sentido para seu cenário.
Nota: a AWS recomenda fortemente que os clientes usem o máximo de controles possível dos padrões do AWS Security Hub.
Exemplos de Controles do FSBP
O FSBP tem mais de 30 controles que ajudam a aumentar a segurança do ambiente AWS. Entre eles, listamos alguns exemplos:
- Os certificados do AWS Certificate Manager importados devem ser renovados após um período de tempo especificado: Este controle verifica se os certificados ACM em sua conta estão marcados para expiração em 30 dias. Ele verifica os certificados importados e os certificados fornecidos pelo AWS Certificate Manager.
- CodeBuild GitHub ou URLs de repositório de origem Bitbucket devem usar OAuth: Este controle verifica se a URL do repositório de origem do GitHub ou Bitbucket contém tokens de acesso pessoal ou um nome de usuário e senha.
- Os snapshots do Amazon EBS não devem ser públicos: Este controle verifica se os snapshots do Amazon Elastic Block Store não são públicos, conforme determinado pela capacidade de ser restaurado por qualquer pessoa.
- Os volumes EBS anexados devem ser criptografados em repouso: Este controle verifica se os volumes EBS que estão em um estado anexado estão criptografados. Para passar nessa verificação, os volumes EBS devem estar em uso e criptografados. Se o volume EBS não estiver conectado, ele não estará sujeito a essa verificação.
- As políticas do IAM não devem permitir privilégio administrativo ‘*’ completo: Este controle verifica se a versão padrão das políticas IAM (também conhecidas como políticas gerenciadas pelo cliente) tem acesso de administrador que inclui uma instrução com “Effect”: “Allow” com “Action”: “*” sobre “Resource”: “*”.
- As instâncias de RDS devem proibir o acesso público: Este controle verifica se as instâncias do Amazon RDS estão publicamente acessíveis, avaliando o campo PubliclyAccessible no item de configuração da instância.
Para ver a listagem completa e detalhes de como funcionam, tanto os controles quanto como criar remediações, acesse esse link.
Conclusão e Próximos Passos
Este blogpost mostrou como começar a utilizar o AWS Security Hub com o padrão AWS Foundational Security Best Practices para automatizar a verificação de segurança em diversos aspectos, seguindo as melhores práticas criadas pelos especialistas em segurança da AWS. Mas este é apenas o ponto de partida.
Teste gratuitamente por 30 dias o AWS Security Hub acessando https://console.aws.amazon.com/securityhub/ .
Veja a rede de parceiros habilitados para apoiar na implementação do AWS Security acessando https://aws.amazon.com/security-hub/partners/ .
Sobre os autores
Bruno Silveira, Arquiteto de Soluções da AWS no time de Setor Publico com foco em ISV Partners e Startups. Com carreira prévia em instituições como Globalweb, Hepta Tecnologia, Caixa, Itaipu Binacional, Parque Tecnológico Itaipu, Ministério de Minas e Energia e Ministério da Cultura, Bruno é entusiasta em práticas ágeis como Lean e Scrum e gosta muito de um bom rock’n roll com uma boa cerveja.
Daniel Garcia é especialista em segurança na AWS com mais de 20 anos de experiência em tecnologia e segurança da informação. Trabalha junto aos clientes do Brasil e da América Latina na definição, implementação de suas jornadas de segurança na nuvem.
Wesley Rodrigues é um arquiteto de soluções sênior na AWS com foco em clientes de educação. Seja ajudando a melhorar a performance dos portais, aprimorando práticas de dados por meio de bancos de dados gerenciados e análises, promovendo pesquisas por meio de machine learning ou melhorando o monitoramento remoto com a Internet das Coisas (IoT), seu foco é ajudar a tornar o mundo um lugar melhor para as pessoas viverem.