A Dropbox usa os serviços de segurança da AWS para aumentar a escala da sua proteção de serviços de assinatura

A Dropbox, empresa de armazenamento de arquivos e espaços de trabalho inteligentes baseados na nuvem, adquiriu a solução de assinatura eletrônica e armazenamento HelloSign em 2019. A HelloSign cresceu rapidamente para englobar mais de 80.000 clientes em 2021 e reconheceu a importância de proteger as informações de identificação pessoal (PII) e os dados de cartões de pagamento dos seus clientes. A empresa queria tornar seu serviço seguro e altamente disponível, o que exigia proteger seus serviços contra ataques de negação de serviço distribuído (DDoS) e outros eventos de segurança.

Como já usava a Amazon Web Services (AWS) para muitas das suas necessidades de infraestrutura, a empresa decidiu expandir o uso da AWS para reforçar sua postura de segurança. Em apenas seis meses, a HelloSign atualizou a segurança usando um conjunto de ferramentas de segurança escaláveis e personalizadas da AWS, implementando práticas recomendadas, economizando tempo de desenvolvedor, melhorando o tempo de resposta de segurança e evitando eventos de segurança.

A Dropbox é um espaço de trabalho inteligente que oferece recursos de sincronização e compartilhamento de arquivos para otimizar fluxos de trabalho. Quando adquiriu a HelloSign, a Dropbox ofereceu aos clientes a capacidade de enviar, assinar e armazenar documentos online sem sair do Dropbox. A HelloSign decidiu aprimorar sua postura de segurança, incluindo ganhar visibilidade sobre a segurança das suas aplicações Web e identificar proativamente os dados de PII armazenados para que pudesse identificar onde controles adicionais poderiam ser colocados.

A HelloSign queria uma opção escalável e robusta que não exigisse que os dados fossem transferidos para uma solução de terceiros, potencialmente concedendo às empresas externas acesso às PII e, portanto, exigindo um processo demorado de análise de segurança. A HelloSign já confiava na AWS para sua infraestrutura, pois armazenava dados criptografados usando o Amazon Simple Storage Service (Amazon S3), armazenamento de objetos criado para recuperar qualquer quantidade de dados de qualquer lugar. Em vez de adotar serviços de segurança de forma fragmentada, a HelloSign implementou rapidamente um conjunto de serviços de segurança da AWS em seu fluxo de trabalho interno.

Na primeira camada da solução de segurança da HelloSign está o Amazon Macie, um serviço totalmente gerenciado de segurança e privacidade de dados que usa machine learning e correspondência de padrões para descobrir e proteger dados confidenciais nos buckets do Amazon S3. O Amazon Macie funciona em grande escala e sem transferir dados para terceiros. Para o gerenciamento de vulnerabilidades, a HelloSign usa o Amazon Inspector, que ajuda a melhorar a segurança e a conformidade de aplicações implantadas na AWS, avaliando-as quanto a vulnerabilidades e verificando a acessibilidade não intencional da rede. “Usamos as descobertas do Amazon Inspector como parte de nosso processo de automação de gerenciamento de patches, economizando muito tempo e recursos na atualização de nossos softwares e sistemas”, diz Kirtika Dommeti, senior security engineer da HelloSign. Para proporcionar ainda mais visibilidade sobre a segurança, a HelloSign usa o Amazon GuardDuty, um serviço de detecção de ameaças que monitora continuamente atividades mal-intencionadas e comportamentos não autorizados para proteger contas, workloads e dados da AWS armazenados no Simple Storage Service (Amazon S3). Para entender melhor a causa-raiz das descobertas de segurança do Amazon GuardDuty, a empresa está avaliando o Amazon Detective, que usa machine learning, análise estatística e teoria de grafos para criar um conjunto vinculado de dados que permite que os usuários conduzam investigações de segurança mais rápidas e eficientes com facilidade.

Para monitorar e relatar a postura de segurança da HelloSign na AWS, a empresa usa o AWS Security Hub, que agrega todas as suas descobertas de segurança e realiza verificações de práticas recomendadas de segurança em toda a implantação da AWS. Essa visão abrangente dos alertas e da postura de segurança ajuda a garantir a conformidade. Por exemplo, a HelloSign usa a capacidade do Amazon Macie de ajudar na detecção de PII e informações de cartões de pagamento, juntamente com as verificações abrangentes de postura de segurança do AWS Security Hub, para atender às referências do Center for Internet Security e ao Payment Card Industry Data Security Standard.

A HelloSign gerencia as descobertas usando lógica de processamento exclusiva e serviços como o AWS Lambda, um serviço de computação sem servidor que permite que os usuários executem código sem provisionar ou gerenciar servidores, e o Amazon DynamoDB, um banco de dados de chave-valor e documentos que oferece performance de milissegundos com um dígito em qualquer escala. Em seguida, as equipes internas da HelloSign resolvem quaisquer problemas por meio do fluxo de trabalho de emissão de tíquetes e resposta a incidentes da empresa.

A empresa também combate eventos de segurança de aplicações Web usando o AWS Web Application Firewall (AWS WAF), que ajuda a proteger aplicações Web ou APIs contra exploits e bots da Web comuns que podem afetar a disponibilidade, comprometer a segurança ou consumir recursos em excesso. Usando o AWS WAF, a HelloSign pode filtrar o tráfego antes que ele chegue aos servidores Web da empresa, mitigando incidentes em apenas 15 a 30 minutos, personalizando regras que bloqueiam proativamente padrões comuns de eventos de segurança e aplicando bloqueios geográficos ou específicos de cada país em áreas sob sanções dos EUA. A utilização do AWS WAF ajudou a HelloSign a evitar 12 eventos de segurança de DDoS e outras ameaças à segurança que, de outra forma, poderiam ter derrubado seu sistema. A HelloSign também usa o AWS Shield Advanced, um serviço gerenciado de proteção contra DDoS que ajuda a proteger as aplicações em execução na AWS. Para recursos protegidos com o AWS Shield Advanced, os clientes recebem o AWS WAF e o AWS Firewall Manager, um serviço de gerenciamento de segurança, sem custos adicionais. “Agora podemos tomar decisões inteligentes e obter visibilidade sobre quais clientes estão vindo de onde”, diz Dommeti.

A HelloSign atualizou seu processo de autenticação usando o AWS Single Sign-On (AWS SSO), o que simplifica o gerenciamento centralizado do acesso a várias contas e aplicações de negócios da AWS e fornece acesso de login único para os usuários a todas as contas e aplicações atribuídas, de um só lugar. A automação dos recursos de segurança em 3 meses simplificou o fluxo de trabalho e acelerou tarefas demoradas. No total, essas mudanças aumentaram a eficiência, economizando à HelloSign cerca de 120 horas de trabalho por semana. “Como os serviços são intuitivos, conseguimos colocá-los em funcionamento e treinar novos funcionários para gerenciá-los com facilidade”, diz Dommeti.

A facilidade de uso e a integração dos serviços de segurança da AWS ajudaram a HelloSign a alcançar um nível de segurança além do padrão do setor. “Usando a AWS, conseguimos amadurecer nosso modelo de segurança e automatizar processos manuais”, diz Mark Dorsi, director of security da HelloSign. “Economizamos cerca de um milhão de dólares por ano em tempo de triagem para operações de segurança, pessoal e custos de licenciamento.”