Estabeleça seu ambiente da AWS de práticas recomendadas

A AWS permite que você experimente, inove e escale com mais rapidez, tudo isso fornecendo o ambiente de nuvem mais flexível e seguro. Um meio importante pelo qual a AWS garante a segurança das suas aplicações é a conta da AWS. Uma conta da AWS fornece segurança natural, define limites de acesso e faturamento para seus recursos da AWS e permite que você obtenha independência e isolamento de recursos. Por exemplo, os usuários fora da sua conta não têm acesso aos seus recursos por padrão. Da mesma forma, o custo dos recursos da AWS que você consome é alocado à sua conta. Embora você possa começar sua jornada na AWS com uma única conta, a AWS recomenda a configuração de várias contas à medida que as suas workloads crescem em tamanho e complexidade. Usar um ambiente com várias contas é uma prática recomendada da AWS que oferece vários benefícios:

• Inovação rápida com vários requisitos: você pode alocar contas da AWS a diferentes equipes, projetos ou produtos dentro da sua empresa, garantindo que cada uma delas possa inovar rapidamente e, ao mesmo tempo, atender aos seus próprios requisitos de segurança.
• Faturamento simplificado: o uso de várias contas da AWS simplifica a forma como você aloca seus custos da AWS, ajudando a identificar qual produto ou linha de serviço é responsável por uma cobrança da AWS.
• Controles de segurança flexíveis: você pode usar várias contas da AWS para isolar workloads ou aplicações que têm requisitos de segurança específicos ou que precisam atender a diretrizes rigorosas de conformidade, como HIPAA ou PCI.
• Adapta-se facilmente aos processos de negócios: você pode organizar facilmente várias contas da AWS de uma maneira que reflita melhor as necessidades diversificadas dos processos de negócios da sua empresa, que têm diferentes requisitos operacionais, regulamentares e orçamentários.

Por fim, um ambiente da AWS com várias contas garante que você possa usar a nuvem para se mover mais rapidamente e criar produtos e serviços diferenciados de maneira segura, escalável e resiliente. Mas, como você deve construir seu ambiente AWS com várias contas? Você pode ter dúvidas como qual estrutura de conta usar, quais políticas e barreiras de proteção devem ser implementadas ou como configurar seu ambiente para auditoria.

O restante deste guia orientará você pelos elementos da criação de um ambiente seguro e produtivo da AWS com várias contas, geralmente chamado de “zona de destino”, conforme recomendado pela AWS. Isso representa as práticas recomendadas que podem ser usadas para criar uma framework inicial e que, ao mesmo tempo, permitem flexibilidade à medida que as suas workloads da AWS aumentam com o passar do tempo.

A base de um ambiente da AWS com várias contas bem arquitetado é o AWS Organizations, um serviço da AWS que permite gerenciar e administrar centralmente várias contas. Antes de começarmos, vamos nos familiarizar com alguns termos. Uma unidade organizacional (UO) é um agrupamento lógico de contas na sua organização da AWS. As UOs permitem que você organize suas contas em uma hierarquia e facilitam a aplicação de controles de gerenciamento. As políticas do AWS Organizations são os recursos que você utiliza para aplicar esses controles. Uma Política de controle de serviço (SCP) é aquela que define as ações de serviços AWS, como Executar instância do Amazon EC2, que as contas na sua organização podem realizar.

Em primeiro lugar, considere quais grupos de contas ou UOs você deve criar. Suas UOs devem ser baseadas em uma função ou em um conjunto comum de controles, em vez de espelharem a estrutura de subordinação da sua empresa. A AWS recomenda que você comece pensando na segurança e a infraestrutura. A maioria das empresas tem equipes centralizadas que atendem a essas necessidades em toda a organização. Dessa forma, recomendamos a criação de um conjunto de UOs fundamentais para estas funções específicas:

• Infraestrutura: usada para serviços de infraestrutura compartilhados, como serviços de rede e TI. Crie contas para cada tipo de serviço de infraestrutura necessário.
• Segurança: usada para serviços de segurança. Crie contas para arquivos de log, acesso somente leitura de segurança, ferramentas de segurança e situações emergenciais.

Como a maioria das empresas tem requisitos de políticas diferentes para workloads de produção, a infraestrutura e a segurança podem ter UOs aninhadas para não produção (SDLC) e produção (Prod). As contas na UO SDLC hospedam workloads que não são de produção e, portanto, não devem ter dependências de produção de outras contas. Se houver variações nas políticas da UO entre estágios do ciclo de vida, a SDLC pode ser dividida em várias UOs (por exemplo, desenvolvimento e pré-produção). As contas na UO Prod hospedam as workloads de produção.

Aplique políticas no nível da UO para controlar o ambiente Prod e SDLC de acordo com os seus requisitos. Em geral, aplicar políticas no nível da UO é uma prática melhor do que no nível da conta individual, pois simplifica o gerenciamento de políticas e qualquer possível solução de problemas.

Assim que os serviços centrais estiverem em vigor, recomendamos a criação de UOs que estejam diretamente relacionadas à criação ou execução dos seus produtos ou serviços. Muitos clientes da AWS criam essas UOs depois de estabelecerem a base.

• Sandbox: mantém contas da AWS que desenvolvedores individuais podem usar para testar serviços da AWS. Certifique-se de que essas contas possam ser desconectadas das redes internas e configure um processo para limitar os gastos e evitar o uso excessivo.
• Workloads: contém contas da AWS que hospedam seus serviços de aplicações externas. Você deve estruturar as UOs em ambientes SDLC e Prod (semelhantes às UOs fundamentais) para isolar e controlar rigorosamente as workloads de produção.
  

Agora que as UOs fundamentais e orientadas a produção foram estabelecidas, recomendamos UOs adicionais para manutenção e expansão contínua, dependendo das suas necessidades específicas. Estes são alguns temas comuns baseados em práticas de clientes atuais da AWS:

• Preparação de políticas: mantém contas da AWS nas quais você pode testar alterações de políticas propostas antes de aplicá-las amplamente à organização. Comece implementando alterações em nível de conta na UO pretendida e trabalhe lentamente em outras contas, UOs e no restante da organização.
• Suspensa: contém contas da AWS que foram encerradas e estão aguardando serem excluídas da organização. Anexe uma SCP a essa UO que negue todas as ações. Certifique-se de que as contas sejam marcadas com detalhes para rastreabilidade caso precisem ser restauradas.
• Usuários corporativos individuais: uma UO de acesso limitado que contém contas da AWS para usuários corporativos (não desenvolvedores) que talvez precisem criar aplicações relacionadas a produtividade comercial, por exemplo, configurar um bucket do S3 para compartilhar relatórios ou arquivos com um parceiro.
• Exceções: mantém contas da AWS usadas para casos de uso de negócios com requisitos de segurança ou auditoria altamente personalizados, diferentes daqueles definidos na UO de Workloads. Por exemplo, configurar uma conta da AWS especificamente para uma nova aplicação ou recurso confidencial. Use SCPs no nível da conta para atender a necessidades personalizadas. Considere a criação de um sistema de detecção e reação usando o CloudWatch Events e Regras do AWS Config.
• Implantações: contém contas da AWS destinadas a implantações de CI/CD. Você poderá criar essa UO se tiver um modelo operacional e de governança diferente para implantações de CI/CD em comparação com as contas nas UOs de Workloads (Prod e SDLC). A distribuição de CI/CD ajuda a reduzir a dependência organizacional por um ambiente compartilhado de CI/CD operado por uma equipe central. Para cada conjunto de contas de SDLC/Prod da AWS para uma aplicação na UO de Workloads, crie uma conta para CI/CD na UO de Implantações.
  
• Transicional: usada como uma área de retenção temporária para contas e workloads existentes antes de as mover para áreas padrão da sua organização. Isso pode ser porque as contas fazem parte de uma aquisição, eram gerenciadas por terceiros ou são contas herdadas de uma estrutura organizacional antiga. 
  

Uma estratégia de várias contas bem arquitetada ajuda você a inovar com mais rapidez na AWS e, ao mesmo tempo, garante que você atenda às suas necessidades de segurança e escalabilidade. A framework descrita nesta página representa as práticas recomendadas da AWS que você deve usar como ponto de partida para a sua jornada na AWS.

Para começar, consulte o Guia de introdução do Amazon Organizations para construir seu próprio ambiente com várias contas da AWS. Você também pode usar o AWS Control Tower para ajudar a configurar rapidamente um ambiente inicial seguro da AWS com apenas alguns cliques.

• Whitepaper: Organizar seu ambiente da AWS
• Artigo do blog: “Práticas recomendadas para unidades organizacionais com o AWS Organizations”
• Artigo do blog: “Governança, risco e conformidade ao estabelecer sua presença na nuvem”
• AWS re:Invent 2019: Arquitetar a segurança e a governança na sua zona de aterrisagem (SEC325) YouTube ou slides
• Perguntas frequentes, documentação e referência de APIs do AWS Organizations
• Perguntas frequentes e documentação do AWS Control Tower