Agilidade • Liberdade • Durante a execução • Evitar ações que possam causar danos • Criar e estimular cultura de segurança • Conceder o menor privilégio possível
logins • AWS Organizations - Criar uma conta de gerenciamento • Centralizar as contas de usuários - SSO - Forçar logins seguros AWS Organizations Conta de gerenciamento AWS Organizations AWS Single Sign-On Conta de desenvolvimento Conta de produção MFA IAM (users)
recursos na AWS e armazenava suas credenciais de produção em um arquivo XML, que estava disponível em um repositório do git, em um cenário perfeito para levar a conta para o UML.”
gerenciamento AWS Organizations AWS Single Sign-On Conta de desenvolvimento Conta de produção MFA IAM (users) IAM (roles) IAM (roles) S3 (Dados) S3 (Dados) AWS STS
gerenciamento AWS Organizations AWS Single Sign-On * Contas de negócio MFA IAM (users) IAM (roles) S3 (Dados) AWS STS AWS Secrets Manager * Contas de negócio = desenvolvimento/homologação/produção/etc AWS Systems Manager Parameter store
de uso e a permissão não é a mais restritiva possível { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }
pessoas LONGE dos dados AWS Organizations Conta de gerenciamento AWS Organizations AWS Single Sign-On Contas de negócio MFA IAM (users) IAM (roles) Conta de logs S3 (ELB logs) IAM (roles) S3 (Dados) AWS STS AWS Secrets Manager AWS Systems Manager Parameter store
conceder sempre o menor privilégio possível AWS Organizations Conta de gerenciamento AWS Organizations AWS Single Sign-On Contas de negócio MFA IAM (users) IAM (roles) Conta de logs S3 (ELB logs) IAM (roles) S3 (Dados) AWS STS AWS Secrets Manager AWS IAM Access Analyzer AWS Systems Manager Parameter store
práticas • Separar as cargas de trabalho utilizando contas • Centralizar o provedor de identidades • Utilizar mecanismos de login fortes • Utilizar credenciais temporárias • Armazenar e utilizar segredos de forma segura • Analisar cuidadosamente acessos públicos e entre contas • Conceder o menor privilégio possível
Contas de negócio MFA IAM (users) IAM (roles) Conta de logs S3 (ELB logs) IAM (roles) S3 (Dados) AWS STS AWS IAM Access Analyzer AWS Secrets Manager Problema A configuração dos recursos AWS não é auditável, monitorada e avaliada de forma contínua Security group VPC
Contas de negócio MFA IAM (users) IAM (roles) Conta de logs S3 (ALB logs) IAM (roles) S3 (Dados) AWS STS Conta de operações AWS Config S3 (Config) AWS CloudTrail S3 (Trail) AWS Config (visão agregada) AWS IAM Access Analyzer AWS Secrets Manager Mitigação Habilitar CloudTrail, AWS Config e configurar regras com base na configuração desejada AWS Config AWS CloudTrail AWS CloudTrail AWS CloudTrail AWS Config Security group VPC
Contas de negócio MFA IAM (users) IAM (roles) Conta de logs S3 (ELB logs) IAM (roles) S3 (Dados) AWS STS Conta de operações AWS Config S3 (Config) AWS CloudTrail S3 (Trail) AWS Config (visão agregada) AWS IAM Access Analyzer AWS Secrets Manager Problema O perímetro não é monitorado continuamente AWS Config AWS CloudTrail AWS CloudTrail AWS CloudTrail AWS Config Security group VPC Public subnet Instance EC2 comprometida
Contas de negócio MFA IAM (users) IAM (roles) Conta de logs S3 (ELB logs) IAM (roles) S3 (Dados) AWS STS Conta de operações AWS Config S3 (Config) AWS CloudTrail S3 (Trail) AWS Config (visão agregada) AWS IAM Access Analyzer AWS Secrets Manager Mitigação Além do CloudTrail, ativar DNS logs, VPC flow logs e utilizar o Amazon GuardDuty para monitorar a segurança utilizando estas fontes de dados AWS Config AWS CloudTrail AWS CloudTrail AWS CloudTrail AWS Config Security group VPC Public subnet Instance EC2 comprometida S3 (VPC flow logs) Amazon GuardDuty (membro) Amazon GuardDuty (administrador) AWS Security Hub AWS Security Hub
controlado, a área de ataque é muito grande, não há qualquer tipo de inspeção Conta de produção VPC Public subnet Application Load Balancer Instance Instance Instance RDS (MySQL) Route 53 (www.xpto.com)
distribuídos globalmente Conta de produção VPC Público (balanceador de carga) Application Load Balancer RDS (MySQL) Route 53 (www.xpto.com) Amazon CloudFront AWS WAF Somente saída (Compartilhado) Privado (Aplicação) Privado (Banco de dados) Auto Scaling Group Instances NAT gateway
• Criar camadas de rede • Controlar o tráfego em todas as camadas • Reduzir a área de ataque • Executar gerenciamento de vulnerabilidade • Validar a integridade do software