Como a AWS ajuda os clientes a cumprirem seus objetivos de segurança, risco e conformidade

Clarke (00:58):
Conte-nos um pouco sobre seu background, como você veio para a AWS e qual o seu cargo atual?

Hart (01:05):
Claro. Antes da AWS, eu trabalhava em um espaço de inteligência para fornecedores de defesa, fazendo vários trabalhos de integração de sistemas. Eu gostava muito desse trabalho, adorava a missão de apoiar o governo americano e outros governos em todo o mundo e o que eles faziam, além de outras indústrias regulamentadas também. Mas eu sempre tive curiosidade e mantinha em minha cabeça uma lista das principais empresas de segurança. No início da minha carreira, essas empresas eram voltadas principalmente aos consumidores. Estou falando de antivírus, firewalls pessoais em seu desktop, coisas desse tipo. Mas, com o passar do tempo, essa lista migrou para empresas que fornecem a infraestrutura que faz o mundo rodar. Empresas como a Amazon e outras grandes provedoras de infraestrutura. Eu estava em um ponto na minha carreira no qual eu precisava descobrir meu próximo passo. Eu queria fazer parte de uma empresa que estivesse realmente inovando a segurança. Isso faria uma diferença, não só para alguns clientes importantes, mas para todo o mundo. E assim que eu tive a oportunidade de entrar para a AWS, eu não hesitei.

Clarke (02:02):
E qual é a sua função atual na AWS hoje?

Hart (02:39):
No momento eu sou diretor de serviços profissionais e práticas especializadas globais de infraestrutura e segurança, o que é um cargo com um nome bem longo. Mas na verdade, meu trabalho é ajudar os clientes a criar confiança e capacidade técnica para operar suas workloads mais sigilosas conosco na nuvem.

Clarke (02:58):
Entendi. Então, quando você analisa diferentes serviços profissionais que seu grupo oferece ou disponibiliza aos clientes, existe algum mecanismo específico que você adota para garantir que a sua oferta é na verdade o que os clientes querem ou precisam?

Hart: (03:14)
Te darei um exemplo bem específico. Alguns anos atrás, tínhamos alguns clientes que estavam considerando migrar seus sistemas de cartão de pagamento para a nuvem. Eles precisavam de uma equipe que tivesse a expertise em nuvem e em operações modernas de sistemas de cartões de pagamento, e que também entendessem o padrão PCI. A primeira vez que enfrentamos essa situação, pensamos em trazer um parceiro que tivesse competência em PCI. Isso funcionou muito bem. Normalmente, quando os clientes trabalham com a AWS e com um de seus parceiros, obtemos os melhores resultados.

Ouvimos também que eles querem garantir que a expertise e orientação que receberão da AWS seja autoritativa e que os parceiros, como o PCI, sejam qualificados. Assim, acabamos escrevendo seis páginas de uma narrativa escrita com base no “trabalho de trás para frente” e desenvolvendo uma equipe que eventualmente se tornou uma subsidiária independente, a AWS Security Assurance Services, que é uma empresa PCI-QSA. E agora é também um assessor altamente confiável.

Clarke (05:17):
Fantástico! Então não há nenhum processo interno que você oferecerá ao serviço X, se o cliente não solicitá-lo?

Hart (05:27):
Não, nenhum. Aliás, em algumas conversas das quais participei, e já estou na AWS a mais de nove anos, isso não é aconselhável. O que acontece muito é, por exemplo, você fala algo em uma reunião e alguém o elogia e diz que você é muito perspicaz mas, em seguida, agradecem o seu ponto de vista e perguntam: mas o que seus clientes dizem sobre isso? Isso não quer dizer que eles estão descartando a minha expertise, mas eles reconhecem, e eu também reconheço, que teremos a solução correta para os clientes, quando ouvirmos atentamente, quando ajudarmos os clientes a pensar sobre a solução depois de várias interações com eles. Aí então podemos filtrar essas informações com as lentes da expertise. Depois que identificarmos essa solução Amazônica exclusiva, aí sim poderemos levá-la ao cliente.

Clarke (06:09):
Então eu imagino que, na sua empresa, você esteja constantemente contratando novos consultores para atender às necessidades de seus clientes. O que você procura nesses excelentes consultores de segurança da AWS que você está sempre contratando? Seria uma expertise ampla e profunda em segurança? Ou uma mentalidade de empreiteiro, que só quer resolver problemas? Qual o tipo de background e talento você procura quando faz uma contratação para a Proserve?

Hart (06:39):
Procuramos alguns talentos, mas fundamentalmente buscamos pessoas com aptidões técnicas e adequação cultural. A adequação cultural é o alinhamento com os nossos princípios de liderança e a habilidade de pensar cuidadosamente e internalizar esses princípios, além de nos ajudar a conhecer mais sobre o princípio de liderança durante nosso trabalho. Procuramos também aptidões técnicas, qual é a excelência desse indivíduo? Nesse caso, o que eu procuro é expertise em um assunto ou domínio específico, e habilidade demonstrada para trabalhar com outros domínios também.
 
Por exemplo, se você for um especialista em identidade, poderá demonstrar que pode aplicar sua expertise à criptografia? Ou pode aplicá-la em áreas forenses ou em outras áreas naturais? Porque com isso, trazemos pessoas que são totalmente especializadas em suas áreas. Elas têm uma tremenda profundidade, que levará à abrangência. Pois todo mundo quer a sua expertise para ajudar a resolver problemas, o que é um pouco diferente do que você faz todos os dias. Portanto, procuramos essa agilidade, flexibilidade, a habilidade de ver além do horizonte, de aplicar sua prática de formas não convencionais.

Nós totalmente procuramos por empreiteiros. E insistimos que toda a equipe, desde os arquitetos corporativos até nossos consultores de entrega e gerentes, obtenham proficiência técnica na plataforma. Por isso estamos aqui para ajudar os clientes. E se você nunca carregou uma foto CAT no S3, ou nunca executou uma instância do EC2 ou implantou código no Lambda, você não poderá inspirar credibilidade quando falar com um cliente sobre como eles resolverão seus problemas ou criarão seus próximos negócios nesses mesmos serviços. Portanto, para nós é muito importante que você possa arregaçar suas mangas e trabalhar de verdade com a tecnologia, criando soluções confiáveis.

Clarke (11:55):
Você se reúne com muitos diretores executivos dos clientes, e é claro que você tem consultores implantados em todo o mundo, solucionando problemas dos clientes e ajudando-os a criar diferentes recursos. Você tem observado alguma tendência em relação às ofertas de segurança que estão sendo contratadas por meio do AWS ProServe, com as quais os clientes atualmente precisam de ajuda?

Hart (12:16):
Uma das coisas que notamos desde que começamos nossa empresa, é que os clientes realmente não querem comprar infraestruturas inseguras. É claro que na AWS nós fornecemos um conjunto de serviços muito seguro e confiável. Os clientes querem saber a melhor forma de implementá-los para as necessidades específicas de suas empresas. Atualmente, por exemplo, contêineres estão em alta demanda. Todo mundo está usando contêineres, implementando novos ou usando contêineres para acelerar e simplificar uma migração. Muitos diretores executivos querem saber como acertar no modelo de segurança de contêineres. Como eles acertam em questões de segurança operacional, como gerenciamento de vulnerabilidades, verificações, etc em contêineres e na segurança deles. Outra área é a resposta a incidentes. Infelizmente, temos visto muitos relatos na mídia sobre ransomware e outros tipos de ataques.

Os clientes querem entender quais recursos eles podem usar na AWS para se proteger contra esse tipo de atividade insidiosa. E também como podem capacitar seus respondentes para que sejam eficientes na nuvem, uma vez que tudo isso pode ser novo para eles. Eles podem ser excelentes on-premises, mas agora têm um conjunto totalmente diferente de ambientes para administrar. Portanto temos visto muito interesse em respostas. Outra área de interesse é a engenharia de segurança. Muitos clientes nos falam que querem construir como a Amazon constrói. Sentimos-nos confortáveis com seus serviços. Gostamos do que vocês fizeram e de como expõem suas APIs. Queremos fortalecer nossas APIs da mesma forma que vocês fizeram. Queremos ter o mesmo tipo de dev ops do ciclo de vida do desenvolvimento de software que vocês têm. Assim, recentemente nós desenvolvemos um recurso de engenharia para clientes que tem uma ênfase forte em segurança. Estamos também trabalhando nisso com os clientes.

Clarke (17:19):
Quando um cliente está começando, eles podem usar a Proserve, um parceiro para ajudar a identificar qual é a zona de pouso inicial deles. E, claro, atualmente temos também o Control Tower e outras formas para fazer isso. Quais os tipos de serviços ou mesmo de documentação que vocês oferecem? Esse é um tipo de pergunta de duas partes, uma como um cliente, “como eu sei quando estou configurando tudo, imediatamente e alinhado às práticas recomendadas da AWS” e “mesmo se eu fizer tudo isso, posso esquecer de algo e aí terei um problema, seja ele um ransomware ou de outro tipo; nesses casos, a ProServe terá a oportunidade de me ajudar?”

Hart (18:04):
Ótima pergunta, Clarke. Tenho algumas questões com as duas partes da sua pergunta. Em relação à primeira parte, eu sempre gosto de garantir que os clientes estejam familiarizados com a nossa linha principal, digamos nossas ferramentas de inspeção. Eles precisam se sentir confortáveis com esse elementos bem arquitetados. Essas são ótimas orientações. É preciso que você sinta-se confortável com as recomendações, e com o Security Hub e Guard Duty. Esses tipos de serviços ajudam a entender onde você está. E, se você implementou esses fundamentos e se eles estão funcionando da forma esperada. E então, do ponto de vista mais abrangente de um planejamento e capacitação, podemos olhar os serviços como as recomendações da AWS ou APG. Esses são um tesouro fenomenal de lições e práticas recomendadas, aprendidas da Amazon e de nossos parceiros sobre como fazer as coisas.
 
Lançamos recentemente uma arquitetura de referência de segurança, o que é uma orientação bastante prescritiva, tanto em palavras como em código. Em alguns textos, falamos sobre uma variedade de uso de casos e princípios de arquiteturas, e o que foi importante para mim quando desenvolvemos essa arquitetura de referência de segurança. São como desenhos arquitetônicos que mostram como os serviços da AWS funcionam na sua conta do ponto de vista de segurança. Não são somente rabiscos no quadro negro ou expressões entusiasmadas, são o tipo de física da segurança teórica, que depois complementa essa implementação real. Assim, cada caso de uso na orientação da arquitetura de referência de segurança vem com um código-fonte que mostra como implementá-la em uma implementação de referência. E isso, com o tempo, será construído por nós.

Adicionaremos diferentes pontos de vista. Já recebemos um feedback incrível de nossos clientes, que não só adoraram usá-los, mas também querem saber mais sobre o caso de uso. E este caso de uso que eu tenho? Estamos considerando repetir esse também. Você perguntou também sobre a resposta a incidentes. Recentemente, no Reinforced, falamos sobre os recursos da nossa equipe de resposta a incidentes do cliente. Essa equipe está sediada na Proserve. E essa é uma oportunidade para fazermos duas coisas. Primeiro, e o mais importante, ajudar os clientes a resolver problemas e planejar com antecedência. Assim, podemos prevenir a ocorrência de qualquer incidente. Porém, se alguma coisa acontecer, pode ser um problema pequeno até a solução de tudo. Ok. Temos ainda uma oportunidade por meio do sistema de suporte, no qual se você tem um evento de segurança e precisa de ajuda escalada ou elevada na AWS, temos essa equipe de resposta a incidentes de clientes, que é sediada na minha organização.

E a meta dessa equipe é resolver qualquer problema para os clientes. Eles fornecem bastante suporte prático e várias orientações para solucionar incidentes. E, na maioria dos casos, os clientes estão bem equipados para responder aos incidentes e gerenciá-los. Acredito que para eles, é tudo novidade. Pode ser que nunca tenham feito isso na nuvem ou que o ataque seja totalmente desconhecido para eles. O que eles querem mesmo, é que um especialista fora da empresa deles possa ajudá-los. Oferecendo um ponto de vista diferente. E uma conversa amigável.