Acesso do operador na AWS

Muitos dos principais sistemas e serviços da AWS foram projetados com acesso zero pelos operadores, incluindo o AWS Key Management Service (AWS KMS), o Amazon EC2 (por meio do AWS Nitro System), o AWS Lambda, o Amazon Elastic Kubernetes Service (Amazon EKS) e o AWS Wickr. Esses serviços não têm nenhum meio técnico de os operadores da AWS acessarem os dados dos clientes. Em vez disso, sistemas e serviços são administrados por meio de APIs seguras e de automação que protegem os dados dos clientes contra divulgação inadvertida ou até mesmo forçada.

A AWS sempre usou um modelo de privilégio mínimo para minimizar o número de humanos que têm acesso a sistemas que processam dados de clientes. Isso significa que garantimos que cada funcionário da Amazon tenha acesso apenas ao conjunto mínimo de sistemas necessários para executar sua tarefa ou responsabilidade de trabalho, limitado ao tempo em que esse privilégio é necessário. Qualquer acesso a sistemas que armazenam ou processam dados ou metadados dos clientes é registrado, monitorado em busca de anomalias e auditado. A AWS protege contra qualquer ação que possa desabilitar ou ignorar esses controles.

Também aplicamos o princípio do privilégio mínimo à postura dos sistemas e serviços da AWS. A AWS excede os padrões do setor nessa área. O AWS Identity and Account Management (IAM) permite que os clientes articulem permissões granulares usando perfis do IAM. Isso permite que os clientes controlem cuidadosamente quem tem acesso ao quê. Também adicionamos uma camada de segurança adicional e exclusiva, chamada de Forward Access Sessions (FAS), que garante que permissões confidenciais dependam criptograficamente da autorização do cliente. Serviços da AWS, como o Amazon EC2 e o Amazon Simple Storage Service (Amazon S3), também permitem que os clientes criptografem seus dados, de forma que nem mesmo a AWS possa usar as chaves de criptografia do cliente sem a autorização direta do cliente. Isso é aplicado pela FAS, o que prova que o cliente autorizou essa operação. Além disso, essas ações, conhecidas como operações de serviço “em nome de”, são registradas e disponibilizadas para os clientes no AWS CloudTrail. Por padrão, não há nenhuma chave de superusuário que permita que os serviços da AWS acessem os recursos do cliente em outro serviço sem a sua autorização implícita.

Para evitar o acesso por operadores não monitorado aos sistemas que contêm dados dos clientes, a AWS projetou nossos sistemas para garantir que todas as operações administrativas sejam registradas e monitoradas centralmente. Todas as ações dos operadores podem ser rastreadas em detalhes forenses granulares até o ser humano real que executa a ação; não há contas de equipe compartilhadas que fornecem anonimato. O acesso é monitorado em tempo real para detectar atividades incomuns, incluindo possíveis erros ou atividades suspeitas, e os gerentes e equipes de liderança dos operadores da AWS, bem como a organização independente de segurança da AWS, recebem resumos periódicos de todas essas atividades. Esse monitoramento ocorre em vários níveis, incluindo agentes de registro em log no host que enviam eventos locais rapidamente para fora do host para um sistema centralizado de agregação de logs operado pela equipe de segurança da AWS e alertas em tempo real se, por algum motivo, o agente no host parar de funcionar. Isso é complementado pelo monitoramento no nível da rede, monitoramento do serviço de bastion e outros controles.

O pessoal da AWS realiza todas as operações por meio de interfaces seguras que garantem que os operadores tenham estações de trabalho atualizadas e seguras, tokens de segurança de hardware validados pelo FIPS e estejam autenticados corretamente. Essas interfaces fornecem aos operadores da AWS credenciais temporárias de curta duração e também monitoram todas as atividades usando mecanismos que não podem ser substituídos ou ignorados. Essas interfaces de operação seguras permitem apenas operações limitadas que não divulgam dados de clientes e impõem a aprovação de várias pessoas para operações confidenciais.

Se for necessário acessar recursos internos que possam armazenar ou processar dados de clientes, como para solucionar ou corrigir um problema relacionado a um serviço, acrescentamos uma camada adicional de controle para restringir, avaliar e monitorar o acesso pelos operadores.

A equipe de suporte da AWS que auxilia os clientes com suas solicitações de suporte não tem acesso aos dados dos clientes. Todas as permissões do AWS IAM usadas para fins de suporte são totalmente documentadas e acessadas a partir de funções dedicadas que podem ser desabilitadas por cada cliente da AWS. Qualquer uso desses perfis dedicados também é registrado no AWS CloudTrail.

A AWS opera data centers seguros para reduzir o risco de interceptação de rede, roubo ou outros ataques físicos. Usamos o princípio do privilégio mínimo para examinar solicitações de acesso. Essas solicitações devem especificar qual camada do data center o indivíduo precisa acessar e têm prazo determinado. Nenhuma mídia de armazenamento eletrônico pode sair dos data centers da AWS sem ser fisicamente destruída ou apagada criptograficamente usando técnicas detalhadas no NIST 800-88. Os serviços e sistemas da AWS oferecem suporte à criptografia sempre ativa para rede, memória e armazenamento. Em muitos casos, há duas ou mais camadas de criptografia sempre ativa, garantindo que o único acesso aos dados seja feito pelos sistemas responsáveis pelo processamento desses dados para os clientes.

A AWS emprega verificações e equilíbrios organizacionais e técnicos para garantir que nenhum evento de segurança passe despercebido e que nenhum indivíduo ou grupo possa subverter controles de segurança importantes. Os sistemas de controle de acesso e monitoramento de acesso da AWS são intencionalmente independentes e operados por equipes separadas.

Projetamos a AWS com medidas de segurança de defesa em profundidade, incluindo controles de alterações, recursos de log imutáveis, separação de tarefas, aprovações por várias partes, mecanismos de autorização contingente e ferramentas operacionais sem intervenção. Essas medidas de segurança vão além das práticas de segurança padrão para que as medidas tomadas pelos operadores da AWS sejam seguras, transparentes, registradas e revisadas.

Implementamos grupos de permissão para alocar acesso a recursos, uma ferramenta de permissões para administrar a associação a grupos de permissão e ferramentas seguras que permitem que operadores autorizados realizem manutenção e solução de problemas do sistema sem acesso direto a recursos de serviços. Também atualizamos automaticamente a associação conforme os funcionários mudam de função ou saem da empresa.