A ZS oferece práticas recomendadas de segurança sempre ativas usando os serviços de segurança da AWS

A ZS Associates (ZS) buscou criar maior visibilidade e simplificar o gerenciamento de sua postura de segurança para uma base global diversificada de clientes com necessidades de segurança complexas e rigorosas. Muitos de seus clientes precisam atender aos padrões de conformidade que variam de acordo com o país e o setor. A ZS estava criando arquiteturas de soluções em nuvem exclusivas para clientes individuais usando a Amazon Web Services (AWS), então estava procurando uma solução de segurança replicável que pudesse ser escalada de forma simples e funcionar bem com as centenas de serviços da AWS que já estava usando. Ao usar a AWS, a ZS criou um cenário de segurança escalável e abrangente que automatiza procedimentos manuais de segurança demorados e facilita a implantação da arquitetura de nuvem para clientes.

Desde sua criação em 1983, a ZS usa software para resolver problemas de clientes. Ao longo dos anos, a empresa criou ofertas inovadoras usando recursos de análise, inteligência artificial e machine learning, oferecendo-os como software como serviço. A ZS geralmente cria soluções para clientes usando sua própria plataforma proprietária, a ZAIDYN, criada na AWS e ampliada por vários serviços gerenciados da AWS. A empresa tem seu próprio Centro de Excelência da Nuvem (CCoE), um departamento dedicado a criar, manter e ajudar a arquitetar mais de 250 contas da AWS que fazem parte das soluções da ZS para seus clientes. Vários serviços da AWS trabalham juntos para cada cliente no que a ZS chama de “conta falada da AWS”, todas os quais a ZS pode monitorar por meio da centralização de logs, métricas e eventos relevantes.

Esses logs, métricas e eventos geram terabytes de informações brutas, que a ZS armazena por pelo menos um ano usando o Amazon Simple Storage Service (Amazon S3), um serviço de armazenamento de objetos que oferece escalabilidade, disponibilidade de dados, segurança e desempenho líderes do setor. O CCoE criou uma forma de filtrar essas informações, enviando centenas de gigabytes por meio de componentes intermediários para uma plataforma centralizada de observabilidade. (Ver diagrama 1, arquitetura de referência da plataforma de observabilidade da AWS.) “Você precisa ter um processo de due diligence específico para sua empresa que crie diferentes camadas de dados para que você analise os logs que oferecem mais informações”, diz Rujuswami Gandhi, diretor de serviços em nuvem da ZS. 

A segurança é uma parte importante desse fluxo de informações. A ZS construiu um cenário de segurança robusto centrado na estrutura de segurança cibernética do Instituto Nacional de Padrões e Tecnologia (NIST): identificar, proteger, detectar, responder e recuperar. A ZS adicionou governança, uma iniciativa interna para ajudar a empresa a se preparar para a auditoria de segurança de terceiros. “Nos diversos serviços da AWS que estamos usando com a arquitetura exclusiva de locação que seguimos para nossos clientes, a segurança é um elemento muito importante porque nossos clientes têm altas expectativas de segurança da informação”, diz Gandhi. “Nossos clientes podem ter certeza de que não estamos apenas usando os serviços da AWS de forma madura, mas também nos alinhamos às estruturas padrão do setor.” Para conferir os detalhes sobre o cenário de segurança que a ZS criou, consulte o Diagrama 2, “Cenário de confiança na Nuvem AWS da ZS – Perspectiva de segurança”.

Por exemplo, como parte de seu pilar de detecção e resposta, a ZS usa oito serviços da AWS que são ampliados por várias soluções de terceiros. Ao usar o AWS Security Hub, um serviço de gerenciamento de postura de segurança na nuvem que realiza verificações de melhores práticas de segurança, agrega alertas e oferece suporte à remediação automatizada, a ZS obtém visibilidade centralizada quase em tempo real. Além disso, a ZS simplificou seu gerenciamento básico de conformidade com recursos de mapeamento para muitas das estruturas de segurança que os clientes da ZS exigem, como SOC 2, ISO/IEC 27001 e HITRUST. O uso do AWS Security Hub facilitou a expansão global da ZS porque os padrões de segurança diferem globalmente, o Regulamento Geral de Proteção de Dados da UE e a estrutura de governança da China conhecida como Esquema de Proteção de Vários Níveis, por exemplo. “Ao usar o AWS Security Hub, simplesmente escolhemos entre os conjuntos de regras em pacotes pré-criados e ele é implantado automaticamente para fornecer insights de adesão e tendências à medida que o trabalho de remediação avança”, afirma Gandhi. “Gerenciar o AWS Security Hub exige pouco esforço.”

Outro serviço que a ZS usa para detectar e responder às ameaças é o Amazon Inspector, um serviço automatizado de gerenciamento de vulnerabilidades que verifica continuamente as workloads da AWS em busca de vulnerabilidades de software e exposição não intencional da rede. Para impedir ameaças imediatas, a ZS usa o Amazon GuardDuty, um serviço de detecção de ameaças que monitora continuamente contas e workloads da AWS para detectar atividades mal-intencionadas e faz descobertas de segurança detalhadas, permitindo visibilidade e correção. “O uso do Amazon GuardDuty nos proporcionou excelentes insights que poderiam ter sido incidentes de segurança se nossa equipe de resposta a incidentes não tivesse sido informada rapidamente”, declara Gandhi. E para ajudar a demonstrar conformidade, a ZS usa o AWS CloudTrail, que monitora e registra a atividade da conta em toda a infraestrutura da AWS. Essa visibilidade ampliada simplifica os procedimentos de auditoria.

Como parte de seu cenário que se alinha ao pilar de proteção da estrutura do NIST, a ZS usa o AWS Identity and Access Management (AWS IAM), que fornece controle de acesso refinado em toda a AWS. “Seria muito complexo podermos resolver isso sem usar a AWS”, relata Beeling Chang, arquiteto de nuvem da ZS.

Toda a workload do CCoE é baseada em conceitos da Zona de Pouso da AWS, uma solução que ajuda os clientes a configurar mais rapidamente um ambiente AWS seguro de várias contas, com base nas práticas recomendadas da AWS. A Zona de Pouso da AWS ajuda a economizar tempo ao automatizar a configuração para executar workloads seguras e escaláveis. A ZS estima que o modo de conformidade automatizado e sempre ativo das soluções da AWS economiza cerca de mil horas de mão de obra por mês, que seriam gastas manualmente na verificação da adesão às melhores práticas de segurança. Além disso, a ZS está integrando novos clientes três vezes mais rápido usando a segurança acumulável e outros serviços da AWS.

A equipe de CCoE da ZS continua se concentrando na segurança, pois busca aprimorar o AWS Well-Architected Framework, que ajuda os arquitetos de nuvem a criar uma infraestrutura segura, de alto desempenho, resiliente e eficiente para uma variedade de aplicações e workloads.

Além disso, desde que mudou seu foco para as soluções da AWS, a ZS melhorou sua agilidade em aproveitar recursos inovadores de análise e machine learning, atraindo talentos de qualidade e capacitando seus funcionários. Os funcionários usam essas tecnologias de ponta para trabalhar em colaboração com os clientes e ajudar a resolver problemas complexos. “O uso da AWS ajuda a nos dar visibilidade central”, diz Gandhi. “Está sempre ligada e sempre em tempo real. Está mudando toda a nossa mentalidade.”