Southwest Airlines investe em sua postura de segurança usando o AWS Security Hub

A Southwest Airlines (Southwest) queria investir em sua estrutura de segurança para proteger as muitas aplicações integradas que mantêm a companhia aérea funcionando com segurança e tranquilidade. Ao usar elementos nativos da nuvem para coletar informações de segurança, a companhia aérea poderia se concentrar na criação de aplicações inovadoras em vez de gerenciar a infraestrutura. “Queríamos poder fornecer informações valiosas de segurança às nossas equipes para que elas estivessem mais bem preparadas para investigar e se recuperar de eventos de segurança e realizar análises forenses após as ocorrências”, diz Will Walsh, gerente sênior de segurança em nuvem da Southwest.

Como parte de sua migração contínua para a Amazon Web Services (AWS), a Southwest adotou o AWS Security Hub, que é um serviço de gerenciamento de postura de segurança na nuvem e é parte fundamental de uma integração automatizada e escalável mais ampla que fornece aos usuários uma visão abrangente de seus alertas de segurança e postura de segurança em todas as contas da AWS. Usando o AWS Security Hub, as equipes de segurança da Southwest têm maior visibilidade das operações de segurança da companhia aérea e podem gerenciar aplicações nativas da nuvem e de terceiros com facilidade.

Com sede no Texas, a Southwest é uma das maiores companhias aéreas de baixo custo do mundo, com cerca de 54 mil funcionários transportando 130 milhões de passageiros por ano para 101 destinos em 11 países. A companhia aérea foi uma das primeiras clientes empresariais da AWS, tendo começado a usar os serviços da AWS em 2010. Até então, a companhia aérea usava tecnologia interna em seus data centers para gerenciar horários de voos, prever a demanda, programar manutenções, obter preços dinâmicos para vendas móveis e pela web e responder a eventos irregulares, como condições climáticas que causam atrasos. A Southwest queria melhorar a flexibilidade e acelerar a entrega de valor, então, em 2017, começou a migrar suas operações para a AWS. Inicialmente, a Southwest operava na nuvem enquanto continuava usando o mesmo modelo operacional de segurança desenvolvido para seus data centers, mas logo percebeu que, ao adotar uma abordagem nativa da nuvem, poderia maximizar suas capacidades. A mudança para um modelo de responsabilidade compartilhada, em que a AWS gerencia a infraestrutura em nome da Southwest, libera as equipes de segurança da companhia aérea para se concentrarem em prioridades mais importantes, incluindo detectar, prevenir e responder a eventos de segurança.

A Southwest escolheu a AWS por sua alta disponibilidade, resiliência e variedade de ferramentas, que a equipe de desenvolvimento poderia usar para desenvolver suas capacidades de segurança. “A migração para a AWS foi uma etapa importante na criação de uma melhor velocidade de entrega para nossas aplicações de segurança”, afirma Jon Barcellona, diretor de engenharia de segurança cibernética da Southwest. “O uso das ferramentas da AWS simplifica a integração, o gerenciamento e a segmentação natural de nossas aplicações.”

A Southwest criou uma solução de segurança que usa o AWS Security Hub para gerenciar e coletar dados de vários serviços de segurança na AWS, bem como de produtos de segurança de terceiros. Para gerenciar os vários serviços da AWS em uso, a Southwest também usa regras personalizadas no AWS Config, um serviço que registra e avalia as configurações dos recursos da AWS. Entre os serviços que alimentam o AWS Security Hub está o Amazon GuardDuty, um serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos não autorizados. A Southwest também usa o Amazon Inspector, que avalia automaticamente aplicações em busca de exposições, vulnerabilidades ou discrepâncias em relação às melhores práticas. Para iniciar as investigações, a companhia aérea usa o Amazon Detective, que simplifica a análise, a investigação e a identificação rápida das causas de possíveis problemas de segurança.

A solução da Southwest usa o AWS Security Hub para reunir eventos detectados por meio do Amazon GuardDuty, do AWS Config e do Amazon Inspector. A partir daí, as informações do evento são agregadas regionalmente e enviadas aos registros no Amazon CloudWatch, um serviço de monitoramento e observabilidade. Por fim, a Southwest usa um adaptador para que os logs do Amazon CloudWatch forneçam informações de eventos à solução terceirizada de gerenciamento de eventos e informações de segurança corporativa, que agrega dados de várias fontes e realiza a correlação de eventos com conteúdo avançado para detectar incidentes de segurança acionáveis. Os eventos são monitorados continuamente pelo centro de operações de segurança e são analisados, contidos e eliminados conforme apropriado.

Usando o AWS Security Hub, várias equipes da Southwest, incluindo o centro de operações de segurança, a equipe de inteligência de ameaças, os respondentes a incidentes e as equipes de aplicações, podem obter alta visibilidade da postura de segurança da Southwest. A solução reduziu o tempo e a mão de obra necessários para implementar mais de 350 controles de segurança automatizados, e a Southwest alcançou alta aderência aos objetivos de controle de segurança associados, que compõem sua postura de segurança. Em nível global, a Southwest verifica mais de 600 mil recursos em centenas de contas da AWS a cada mês, com 98% dos recursos sendo aprovados nas verificações de postura de segurança. É simples remediar os 2% restantes dos recursos por meio do AWS Security Hub. “Ao usar o AWS Security Hub, agora temos os recursos de segurança mais fortes de que precisamos”, afirma Barcellona.

A Southwest usa o Formato de Descobertas de Segurança da AWS (ASFF), um formato padrão de descobertas, para criar bibliotecas que reduzem o tempo de desenvolvimento de futuros controles de segurança automatizados. Com um formato padrão em vigor, a Southwest pode implementar controles de teste complexos em várias contas. A companhia aérea reduziu o tempo de desenvolvimento para a implementação de novos controles de 5 a 6 semanas para 1 semana. Os processos de desenvolvimento, ideação, produção e ativação, que antes levavam anos, agora acontecem em meses ou até semanas. “O AWS Security Hub padronizou nossos dados, quase como mágica”, relata Walsh. “Agora podemos aplicar machine learning, inteligência artificial e detecção de anomalias, coisas que não podíamos fazer antes.”

No futuro, a Southwest planeja simplificar o gerenciamento de contas usando o AWS Identity and Access Management (AWS IAM), que permite que os usuários gerenciem o acesso aos recursos e serviços da AWS com segurança. A Southwest usará o AWS IAM Access Analyzer, que identifica recursos e contas que são compartilhados com entidades externas, para obter visibilidade adicional sobre o risco de segurança do acesso não intencional a recursos e dados.

Ao criar uma solução de segurança nativa da nuvem na AWS, a Southwest alcançou a visibilidade, a resiliência e a eficiência necessárias para ajudar a manter suas aplicações e dados confidenciais em segurança. “Se nosso sistema de segurança não estiver funcionando, não vamos voar”, declara Barcellona. “Portanto, ter a postura e os recursos de segurança robustos que alcançamos na AWS é fundamental para nós.”