Segurança
-
Upload
amazon-web-services-latin-america -
Category
Business
-
view
963 -
download
0
description
Transcript of Segurança
© 2014 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or in part without the express consent of Amazon.com, Inc.
Compreendendo a Segurança na AWS
Marcelo Leal
Enterprise Solutions Architect
Diferentes pontos de vista do cliente sobre segurança:
• CEO: Proteger o valor para o Acionista
• PR exec: Manter longe da mídia
• CI{S}O: Preservar a confidencialidade, integridade, e
disponibilidade do dado
Ponto de vista da AWS sobre segurança Arte Ciência
Segurança é nossa prioridade Nº 1 Características de segurança abrangentes para suportar virtualmente
qualquer carga de trabalho
Segurança na nuvem AWS
“Baseada na nossa experiência, eu acredito que
nós podemos ser ainda mais seguros na nuvem
AWS do que em nossos próprios datacenters.”
-Tom Soderstrom, CTO, NASA JPL
Segurança na AWS oferece aos clientes mais:
Visibilidade Auditoria Controle
Visibilidade
– Na nuvem AWS, veja sua infraestrutura inteira com o clique do “mouse”
– Você consegue mapear sua rede atual?
Segurança na AWS entrega mais facilidade de auditoria
• Consistente, regular, exaustiva avaliação de terceiros
com resultados de fácil compreensão
Pesquisa IDC
Atitudes e Percepções sobre segurança e Serviços Cloud
Quase 60% das organizações concordaram que PSCs [provedores de
serviços em cloud] fornecem melhor segurança do que suas próprias
organizações de TI.
Fonte: IDC 2013 U.S. Cloud Security Survey,
doc #242836, Setembro de 2013
Serasa Experian & cloud computing
“O setor financeiro
brasileiro em breve
entenderá que
ambientes robustos de
nuvem pública, como o
da AWS, serão
fundamentais também
para aplicações de
missão crítica”
Rodrigo Zenun
• A Serasa Experian, parte do grupo Experian, é o
maior bureau de crédito do mundo fora dos
Estados Unidos, detendo o mais extenso banco de
dados da América Latina sobre consumidores,
empresas e grupos econômicos.
• Há 45 anos no mercado brasileiro, a Serasa
Experian participa da maioria das decisões de
crédito e negócios tomadas no País, respondendo,
on-line e em tempo real, a 6 milhões de consultas
por dia, demandadas por 500 mil clientes diretos e
indiretos.
• Technical Security Baselines específicos para
cloud computing publicados pelo Escritório Global
de Segurança.
Missão Crítica & Cloud Computing
• Elasticidade de até 200 vezes a
média de requisições no front-end.
• Utilização de diversos serviços:
EC2, S3, VPC, Cloudfront, VPN,
RDS, Cloudwatch, SES, SNS, IAM,
etc.
• Combinar flexibilidade, agilidade e
segurança da informação.
Estratégia de Segurança na AWS
...e se?
Cenários Técnicas • Multi-factor authenticaion (MFA)
• IAM (Identity and Access Management)
• VPN + Virtual Private Cloud
• IPS / IDS
• Patch Management / Virtual Patching
• Security Group + ACL
• Criptografia de volumes
• Criptografia de banco de dados
• Política de senhas e par de chaves
• Matriz de responsabilidades
• etc.
Visibilidade
• Logs == um componente de visibilidade
– Obtenção
– Retenção
– Análise
AWS CloudTrail
Você está fazendo
chamadas a API...
Em um conjunto de serviços
crescendo ao redor do mundo…
CloudTrail está continuamente registrando as chamadas a
API…
E entregando arquivos de
log para você
Casos de uso proporcionados pelo CloudTrail • Análises de Segurança
Utilize arquivos de log como uma entrada para soluções de análise e administração de log, para executar análises de segurança e para detectar padrões de comportamento do usuário.
• Rastrear Mudanças nos recursos AWS Rastrear a criação, modificação, e deleção de recursos AWS tais como instâncias Amazon
EC2, grupos de segurança Amazon VPC, e volumes Amazon EBS.
• Investigar problemas operacionais Rapidamente identificar as mudanças mais recentes feitas sobre recursos no seu ambiente.
• Auxílio na aderência à regulamentações Mais fácil de demonstrar aderência à políticas internas e regulamentações.
O que é AWS CloudTrail?
• CloudTrail registra chamadas de API na sua conta e entrega um arquivo de log no seu bucket S3.
• Normalmente entrega um evento dentro
de 15 minutos da chamada à API.
• Arquivos de Log são entregues a cada 5 minutos aproximadamente.
• Múltiplos parceiros oferecem soluções integradas para análise dos arquivos de log. Image Source: Jeff Barr
Controle
• Defesa em detalhe – Segurança em múltiplos níveis
• Segurança física dos datacenters
• Segurança de rede
• Segurança do sistema
• Segurança dos dados
Controle
• Acesso da equipe da AWS – Exame minucioso
– Equipe da AWS não tem acesso lógico às instâncias dos clientes
Controle
• Acesso da equipe da AWS – Acesso da equipe AWS ao “control-plane” é limitado & monitorado
• Bastion hosts
• Modelo de privilégio mínimo
Controle
• Acesso da equipe da AWS – Apenas quem precisa da informação, terá a informação
– Acesso ao datacenter por zonas
• Necessidade de negócio
Controle
• Controle de mudanças – Operação contínua
• Destruição de Dados – Mídias de armazenamento destruídas antes de permitir a saída
dos nossos datacenters
– Destruição de mídias consistente com a diretiva 5220.22 do
departamento de defesa dos Estados Unidos
Controle
• Responsabilidade Compartilhada
– AWS faz o trabalho “pesado”
– Você foca no seu negócio
• AWS • Operação dos Datacenters
• Segurança Física
• Infraestrutura Física
• Infraestrutura de rede
• Infraestrutura de virtualização
• Administração do ciclo de vida do hardware
• Cliente • Escolha do SO da instância EC2
• Opções de configuração das Aplicações
• Flexibilidade na administração das contas
• Grupos de Segurança
• ACLs (Listas de controle de Acesso)
• Administração de identidade
Controle • Seus dados ficam onde você os colocou
Australia
Amazon Virtual Private Cloud (VPC)
• Cria um ambiente logicamente isolado na infraestrutura altamente escalável da Amazon
• Especifique seu range de endereçamento privado de IP dentro de uma ou mais subnets, públicas ou privadas
• Controle acesso “inbound” e “outbound’ (para e a partir) de subnets individuais utilizando listas de controle de acesso de rede “stateless“ (NACL)
• Proteja suas instâncias com filtros “stateful” para tráfego “inbound” e “outbound”, utilizando grupos de segurança
• Anexe um endereço IP Elástico em qualquer instância na sua VPC para que ela consiga ser acessada diretamente da internet
• Conecte sua VPC e sua infraestrutura de TI “onsite” utilizando padrões de indústria como uma conexão criptografada (VPN) e/ou AWS Direct Connect
• Utilize um assistente gráfico para facilmente criar sua VPC em 4 topologias diferentes
Controle • Criptografia
– Clientes escolhem a solução que é melhor para eles
• Regulatória
• Contratual
• Melhores Práticas
– Opções
• Automatizado – AWS administra a criptografia para o cliente
• Habilitado – cliente administra a criptografia utilizando serviços AWS
• Do lado do cliente – cliente administra a criptografia utilizando seus mecanismos próprios
AWS IAM: Inovações Recentes Controle com segurança de acesso a recursos e serviços AWS
• Delegação – Papéis para EC2
– Acesso entre contas
• Poderosa integração de permissões
– Permissões a nível de recurso: EC2, RDS, DynamoDB, CloudFormation
– Access control policy variables
– Simulador de política
– Suporte IAM Melhorado: SWF, EMR, Storage Gateway, CloudFormation, Redshift, Elastic Beanstalk
• Federação – Federação de identidade Web
– Exemplos de AD e Shibboleth
– Integração de parceiros
– Estudo de caso: Expedia
• Autenticação Forte – MFA-protected API access
– Políticas de Senha
• Melhorias em documentação e vídeos
Segurança AWS entrega mais controle & granularidade Ajuste a implementação baseado na necessidade do seu negócio
AWS
CloudHSM
Defesa no detalhe
Rápida escalabilidade para segurança
Checagem automática com AWS Trusted Advisor
Controles de acesso de alta granularidade
Criptografia do lado do servidor
Autenticação Multi-Factor
Instâncias Dedicadas
Conexão direta, Storage Gateway
Armazenamento de chave baseada em HSM
AWS IAM
Amazon VPC
AWS Direct
Connect
AWS Storage
Gateway
Controle
• Federação SSO utilizando SAML – Suporte a SAML 2.0
– Utilize provedores de identidade SAML existentes para acessar
recursos AWS
• Você não precisa adicionar software!
– SSO para a console de administração AWS
• Nova URL de sign-in
– https://signin.aws.amazon.com/SAML?Token=<yourdatahere>
– Federação de API utilizando o novo assumeRoleWithSAML API
© 2014 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or in part without the express consent of Amazon.com, Inc.
Compreendendo a Segurança na AWS
Marcelo Leal
Enterprise Solutions Architect
Obrigado!