Security by Design
Visão geral
Automação da segurança, conformidade e governança na AWS
A Security by Design (SbD, segurança por projeto) é uma abordagem de garantia de segurança que formaliza a conta da AWS, automatiza os controles de segurança e acelera a auditoria. Em vez de depender da segurança de auditoria retroativamente, a SbD oferece controle integrado a todo o processo de gerenciamento de TI da AWS. O uso de modelos da SbD no AWS CloudFormation pode aumentar a eficiência e a expansão da segurança e da conformidade na nuvem.
A SbD é uma abordagem de segurança e conformidade em escala, em vários setores, normas e critérios de segurança. Você pode usar a SbD da AWS ao desenvolver recursos de segurança e conformidade para todas as fases de segurança, permitindo projetar tudo dentro do seu ambiente de cliente da AWS: permissões, registros, relações de confiança, aplicação de criptografia, obrigatoriedade do uso de imagens de máquinas aprovadas e muito mais. A SbD permite automatizar a estrutura de front-end da conta da AWS, codificando com segurança e conformidade em sua conta da AWS, tornando a falta de conformidade com controles de TI uma coisa do passado.
Abordagem Security by Design
A SbD destaca as responsabilidades de controle, a automação das linhas bases de segurança, a configuração de segurança e a auditoria de controles do cliente para uma infraestrutura de cliente da AWS, sistemas operacionais, serviços e aplicativos executando na AWS. Esse projeto padronizado, automatizado, prescritivo e repetível pode ser implantado para casos de uso, normas de segurança e requisitos de auditoria comuns em vários setores e cargas de trabalho.
A AWS recomenda a incorporação de segurança e conformidade na sua conta da AWS seguindo uma abordagem de quatro fases:
Fase 1 – Entender seus requisitos. Destaque suas políticas e, em seguida, documente os controles que herdar da AWS. Em seguida, documente os controles que você tem e opera no seu ambiente da AWS e decida quais regras de segurança você deseja aplicar no seu ambiente de TI da AWS.
Fase 2 – Criar um ambiente seguro que se ajuste aos seus requisitos e implementação. Defina a configuração que precisa na forma de valores de configuração da AWS, como requisitos de criptografia (por exemplo, obrigar o uso de criptografia do lado do servidor para objetos do S3), permissões para recursos (que funções se aplicam a determinados ambientes), que imagens de computação são autorizadas (com base em imagens fortalecidas de servidores que você autorizou) e que tipos de registro em log devem ser ativados (como a obrigatoriedade do uso do CloudTrail em recursos aplicáveis). A AWS fornece um conjunto maduro de opções de configuração, com novos serviços sendo liberados a todo momento, e disponibiliza modelos para alinhar seu ambiente com controles de segurança. Esses modelos de segurança (na forma de modelos do AWS CloudFormation) oferecem um conjunto de regras abrangente que pode ser aplicado sistematicamente. A AWS desenvolveu modelos que oferecem regras de segurança conforme as várias estruturas de segurança. Para obter mais informações, consulte o whitepaper Introdução à Security by Design.
Para criar o seu ambiente seguro, você pode obter mais ajuda com os arquitetos experientes da AWS, os serviços profissionais da AWS as soluções dos parceiros da AWS. Essas equipes podem trabalhar em conjunto com sua equipe e as equipes de auditoria para ajudar a implementar ambientes seguros de alta qualidade com suporte a auditorias de terceiros.
Fase 3 – Obrigar o uso de modelos. O AWS Service Catalog permite exigir o uso de um modelo no catálogo. Essa é a etapa que garante o uso do seu ambiente seguro em todos os novos ambientes criados e evita que qualquer pessoa crie um ambiente que não cumpra as regras de segurança do ambiente seguro. A obrigatoriedade do uso do modelo no catálogo garante que as demais configurações de segurança dos controles estejam preparadas para a auditoria.
Fase 4 – Executar atividades de validação. A implantação da AWS por meio do Service Catalog e de modelos de ambiente seguro ajuda a criar um ambiente pronto para auditorias. As regras que você definiu no seu modelo podem ser usadas como um guia de auditoria. O AWS Config permite que você capture o estado atual de qualquer ambiente, que pode então ser comparado com as regras do seu ambiente seguro. O uso de permissões de acesso de leitura seguras, juntamente com scripts exclusivos, permite habilitar a automação da auditoria para coleta de evidências. Você pode converter controles administrativos manuais tradicionais em controles aplicados tecnicamente para ter garantia de que, se projetados e definidos adequadamente, os controles operam 100% a qualquer momento, o que não é possível com métodos tradicionais de amostragem de auditoria ou análises pontuais.
Esta auditoria técnica pode ser aprimorada com orientações pré-auditoria, como suporte e treinamento para auditores, para garantir que a equipe de auditoria entenda os recursos de automação da auditoria exclusivos que a Nuvem AWS oferece.
O impacto da Security by Design
A abordagem da SbD pode alcançar os seguintes resultados:
- Criação de funções obrigatórias que não podem ser ignoradas pelos usuários que não têm permissão para alterar essas funções.
- Estabelecimento de operações de controles confiáveis.
- Ativação de auditoria contínua e em tempo real.
- Criação de roteiros técnicos da sua política de governança.
O resultado é um ambiente automatizado que habilita recursos de segurança, garantia, governança e conformidade no seu ambiente. Você já pode executar a implementação confiável do que era anteriormente escrito apenas em políticas, normas e regulamentos. Além disso, você pode criar segurança e conformidade aplicáveis, que, por sua vez, criam um modelo de governança confiável e funcional para seus ambientes na AWS.
