1

SEGURANÇAE CONFORMIDADEDA AWSGUIADE INÍCIORÁPIDO

2017

2

Visão geral

Programas

Setores

Como compartilhamos a responsabilidade

AWS - Conformidade da nuvem

Cliente - Conformidade na nuvem

Seu conteúdo

Onde o conteúdo é armazenado

Continuidade do negócio

Segurança

Recursos

Parceiros e Marketplace

Treinamento

19

21

13

9

7

3

1

4

VISÃO GERAL

1

VISÃO GERAL

Ao migrar as cargas de trabalho regulamentadas para a nuvem, é possível obter acesso a diversos recursos de gestão, que você pode utilizar para obter uma nível maior de segurança de acordo com a escala. A gestão com base em nuvem oferece uma opção de entrada de baixo custo, facilidade para executar as operações e maior agilidade ao oferecer mais supervisão, controle de segurança e automação centralizada. A migração para a nuvem significa que você poderá aproveitar a AWS para reduzir a quantidade de controles de segurança necessários para a manutenção.

Um ambiente compatível é o resultado de um ambiente devidamente protegido. Oferecemos um conjunto forte de controles de infraestrutura que foram validados por meio de diversos testes e certificações. Cada certificação significa que um auditor verificou que os controles de segurança específicos estão instalados e funcionando como necessário. Você pode saber mais sobre todos os testes e certificações compatíveis na página Programa de Garantia da AWS.

Também oferecemos um amplo conjunto de serviços e ferramentas que você pode utilizar para ajudar a obter a conformidade na nuvem, incluindo Amazon Inspector, AWS Artifact, AWS Service Catalog, AWS CloudTrail, AWS Config e AWS Config Rules.

2

PROGRAMAS

3

PROGRAMAS

Figura 1: Programas de garantia

Observação: adicionamos programas constantemente. Para obter a lista mais atual de Programas de Garantia da AWS, acesse o site.

Os Atestadoss/de certificação são executados por um auditor terceirizado independente. As certificações, os relatórios de auditoria ou os atestados de conformidade são baseados nos resultados do trabalho do auditor.

As auditorias são feitas continuamente em nossos ambientes, e nossa infraestrutura e serviços são aprovados para operação sob diversas normas de conformidade e certificações do setor em localidades e verticais diferentes. É possível utilizar essas certificações para validar a implementação e a eficácia dos controles de segurança.

4

PROGRAMAS

Leis/regulamentos/privacidade e Alinhamentos/estruturas são específicos do setor ou da função. Oferecemos suporte ao fornecer as funcionalidades (como recursos de segurança) e capacitadores (inclusive livros de regras de conformidade, documentos de mapeamento e whitepapers). A certificação "direta" formal dessas leis, regulamentações e programas 1) não está disponível para provedores de nuvem ou 2) representa uma subconjunto menor de requisitos já demonstrados por nossos programas de certificação formal/atestado.

Alguns dos nossos programas mais populares incluem:

PCI DSS: os Padrões de segurança de dados (DSS) do Setor de cartões de crédito (PCI) são normas de segurança estritas para impedir fraudes e proteger os dados do proprietário para que os comerciantes processem pagamentos com cartão de crédito.

ISO 27001: ISO 27001 é um padrão de segurança adotado no mundo inteiro, que descreve os requisitos para os sistemas de gerenciamento de segurança da informação. Ele fornece uma abordagem sistemática para gerenciar as informações da empresa e do cliente, baseadas em avaliações de risco periódicas apropriadas e cenários de ameaça em constante mudança.

SOC – os Relatórios de Controle Organizacional (SOC) do Serviço da AWS são relatórios de exame de terceiros independentes que demonstram como a AWS satisfaz os controles e objetivos-chave de conformidade. O propósito desses relatórios é ajudar você e os seus auditores no entendimento dos controles estabelecidos na AWS para o suporte às operações e à conformidade. Existem quatro tipos de Relatórios SOC da AWS: Relatório SOC AWS 1, SOC AWS 2: Relatório de segurança e disponibilidade, SOC AWS 2: Relatório de confidencialidade e SOC AWS 3: Relatório de segurança e disponibilidade.

FedRAMP: um programa governamental dos EUA para garantir os padrões na avaliação de segurança, na autorização e no monitoramento contínuo. O FedRAMP segue as normas de controle de segurança NIST 800-53.

5

PROGRAMAS

Modelo de Segurança em Nuvem (CSM) do DOD: normas para computação em nuvem emitidas pela Agência de Sistemas de Informação da Defesa (DISA) dos EUA e documentadas no Guia de requisitos de segurança (SRG) do Departamento de Defesa (DoD). Fornece uma processo de autorização para proprietários de cargas de trabalho do DoD com requisitos de arquitetura únicos dependendo do nível de impacto.

HIPAA: a Lei de Responsabilidade e Portabilidade de Plano de Saúde (HIPAA) contém normais de segurança e conformidade estritas para organizações que processam ou armazenam Informações de Saúde Protegidas (PHI).

Você pode encontrar descrições completas sobre cada programa alinhado na página Programas de Garantir da AWS.

AWS Artifact

O portal AWS Artifact fornece acesso sob demanda aos nossos documentos de segurança e conformidade, também conhecidos como artefatos de auditoria. Você pode utilizar os artefatos para demonstrar a segurança e a conformidade da infraestrutura e dos serviços da AWS para auditores ou reguladores.

Os exemplos de artefatos de auditoria incluem relatórios de Controle de Organização de Serviço (SOC), relatórios do Setor de Cartões de Pagamento (PCI) e certificações de agências de credenciamento de diversas localidades e verticais de conformidade que validam a eficácia da implementação e da operação dos controles de segurança da AWS.

É possível acessar o portal AWS Artifact do Console de Gerenciamento da AWS.

6

SETORES

7

SETORES

• Agricultura e mineração

• Big Data e análise

• Computadores e aparelhos eletrônicos

• Comércio eletrônico

• Educação

• Energia e serviços públicos

• Serviços financeiros

• Alimentos e bebidas

• Jogos

• Governamental

• Saúde e ciências da vida

• Seguro

• Manufatura

• Mídia e entretenimento

• Organização sem fins lucrativos

• Imóveis e construção

• Varejo, atacado e distribuição

• Software e Internet

• Telecomunicações

• Transportes e logística

• Viagens e hotelaria

Os clientes dos seguintes setores utilizam a AWS para atender às necessidades de conformidade regulatória:

88

COMO COMPARTILHAMOS A RESPONSABILIDADE

9

COMO COMPARTILHAMOS A RESPONSABILIDADEAo mover a infraestrutura do setor de TI para a AWS, você adotará o modelo de responsabilidade compartilhada mostrado na Figura 2. Como operamos, gerenciamento e controlamos os componentes da TI a partir do sistema operacional de host e da camada virtualização até a segurança física das instalações nas quais os serviços operam, esse modelo compartilhado retira a responsabilidade operacional das suas mãos.

Figura 2: Modelo de responsabilidade compartilhada da AWS

O modelo de responsabilidade compartilhada também se estende aos controles de TI. Assim como a responsabilidade para operar o ambiente de TI é compartilhada conosco, o mesmo ocorre com o gerenciamento, a operação e a verificação de controles compartilhados de TI. Reduzimos a sobrecarga operacional dos controles gerenciando-os associados à infraestrutura física implementada no ambiente da AWS. Você pode aproveitar o controle da AWS e a documentação de conformidade para realizar procedimentos de avaliação e verificação de controle, conforme necessário sob a norma de conformidade aplicável.

CLI

ENTE

AWS

DADOS DO CLIENTE

GERENCIAMENTO DE PLATAFORMA, APLICATIVOS, IDENTIDADE E ACESSO

CONFIGURAÇÃO DE SISTEMA OPERACIONAL, REDE E FIREWALL

COMPUTAÇÃO ARMAZE-NAMENTO

BANCO DE DADOS REDES

PONTOS DE PRESENÇA

REGIÕES

ZONAS DE DISPONIBILIDADE

RESPONSÁVEL PELA SEGURANÇA NUVEM“NA”

RESPONSÁVEL PELA SEGURANÇA NUVEM“DA”

DADOS NO LADO DO CLIENTECRIPTOGRAFIA E DADOSAUTENTICAÇÃO DE INTEGRIDADE

CRIPTOGRAFIA NO LADO DO SERVIDOR (SISTEMA DE ARQUIVOS E/OU DADOS)

PROTEÇÃO DO TRÁFEGO DE REDE (CRIPTOGRAFIA/INTEGRIDADE/IDENTIDADE)

INFRAESTRUTURA GLOBAL DA AWS

10

AWS - CONFORMIDADE DA NUVEM

É nossa responsabilidade ajudar você a manter um ambiente seguro e em conformidade. Em geral:

Garantimos que nossos serviços e instalações no mundo inteiro mantêm um ambiente de controle ubíquo que opera de modo eficiente. Nosso ambiente de controle inclui políticas, processos e atividades de controle que utilizam diversos aspectos do ambiente de controle geral da Amazon.

O ambiente de controle coletivo abrange as pessoas, os processos e a tecnologia necessários para estabelecer e manter um ambiente que ofereça suporte à eficácia operacional da nossa estrutura de controle. Integramos controles específicos de nuvem aplicáveis identificados pelos principais órgãos do setor de computação em nuvem na estrutura de controle. Monitoramos esses grupos de setor para identificar as práticas de liderança que podem ser implementadas para melhor atender aos clientes no gerenciamento de seu ambiente de controle.

Demonstramos nossa postura de conformidade para ajudar a verificar a conformidade com os requisitos governamentais e do setor. Contatamos órgãos externos de certificação e auditores independentes para fornecer a você um grande volume de informações sobre as políticas, os processos e os controles estabelecidos e operados por nós.

Monitoramos isso por meio de milhares de requisitos de controle de segurança. Além disso mantemos a conformidade com as normas globais e as melhores práticas.

11

CLIENTE - CONFORMIDADE NA NUVEM

Semelhante a um data center tradicional, você é responsável por gerenciar o sistema operacional convidado (inclusive a responsabilidade por atualizações e patches de segurança) e outro software de aplicativo associado, bem como pela configuração do firewall do grupo de segurança fornecido pela AWS. Você deve examinar cuidadosamente os serviços escolhidos, pois suas responsabilidades variam de acordo com os serviços utilizados, a integração desses serviços ao seu ambiente de TI e as leis e regulamentos aplicáveis.

Para gerenciar com segurança os recursos da AWS, é necessário saber quais recursos você está utilizando (inventário de recursos), configurar com segurança o sistema operacional convidado e os aplicativos nos recursos (definições de configuração seguras, aplicação de patch e antimalware), além controlar as alterações nos recursos (gerenciamento de alterações).

Você pode utilizar as informações fornecidas para saber mais sobre o programa de conformidade e gerenciamento de riscos a fim de incorporá-lo na estrutura de gestão.

12

SEU CONTEÚDO

13

SEU CONTEÚDO

Por padrão, oferecemos a propriedade e o controle sobre seu conteúdo. Com ferramentas simples e avançadas, você pode determinar onde o conteúdo será armazenado, proteger o conteúdo em trânsito ou parado e gerenciar o acesso do usuário aos serviços e recursos da AWS.

Observação: não acessamos ou utilizamos seu conteúdo para qualquer finalidade que não seja fornecer a você e aos usuários finais os serviços selecionados da AWS. Nunca usamos seu conteúdo para nossos objetivos, incluindo marketing ou publicidade.

Acesso: com nosso conjunto avançado de recursos de acesso, criptografia e log (como AWS CloudTrail), é possível gerenciar o acesso ao conteúdo, bem como para serviços e recursos da AWS. Não acessamos ou usamos o conteúdo para nenhuma outra finalidade que não a legalmente necessária e para manter os serviços da AWS e fornecê-los a você e seus usuários finais.

Armazenamento: você seleciona as regiões nas quais você deseja armazenar o conteúdo. Não moveremos ou replicaremos seu conteúdo fora das regiões escolhidas pelo cliente, exceto onde legalmente obrigatório e necessário para manter os serviços da AWS e fornecê-los a você e seus usuários finais. Por exemplo, caso seja um cliente europeu, é possível optar por implantar os serviços da AWS exclusivamente na Região da UE (Alemanha).

14

SEU CONTEÚDO

Segurança: você escolhe como o conteúdo do cliente é protegido. Oferecemos criptografia forte para seu conteúdo em trânsito ou ocioso, bem como a opção de gerenciar suas próprias chaves de criptografia.

Divulgação do conteúdo: não divulgamos seu conteúdo, a menos que obrigados a fazê-lo para cumprir a lei ou uma ordem válida e obrigatória de um órgão governamental ou normativo. Caso seja necessário divulgar seu conteúdo, primeiro notificaremos você para que possa se proteger contra a divulgação.

Importante: a menos que seja proibido notificar ou se houver clara indicação de conduta ilícita relacionada ao uso de nossos produtos ou serviços, notificaremos você antes de divulgar seu conteúdo.

Garantia de segurança: desenvolvemos um programa de garantia de segurança usando as melhores práticas globais de privacidade e proteção de dados para ajudar você a estabelecer, operar e utilizar nosso ambiente de controle de segurança. Esses processos de controle e proteções de segurança são validados de forma independente por várias avaliações de terceiros autônomos.

Observação: um auditor independente certificou nosso alinhamento com as normas do setor para validar que gerenciamos a segurança da nuvem com controles técnicos e físicos projetados para impedir o acesso não autorizado ou divulgar o conteúdo do cliente.

15

ONDE O CONTEÚDO É ARMAZENADO

Os datacenters da AWS são criados em clusters em diversos países do mundo. Fazemos referência a cada um dos nossos clusters de datacenter em um determinado país como uma "Região". Você tem acesso a diversas Regiões da AWS do mundo inteiro e é possível usar uma Região, todas as Regiões ou uma combinação qualquer de Regiões.

Figura 3: Regiões

Você detém controle e propriedade totais sobre a região em que os seus dados estão fisicamente localizados, o que torna fácil atender a requisitos regionais de conformidade e residência de dados. Você pode escolher entre Regiões da AWS nas quais você deseja armazenar conteúdo, o que é útil em caso de requisitos geográficos específicos. Por exemplo, caso seja um cliente europeu, é possível optar por implantar os serviços da AWS exclusivamente na Região da UE (Alemanha). Se você fizer essa escolha, o conteúdo será armazenado na Alemanha, a menos que selecione uma região da AWS diferente.

16

CONTINUIDADE DO NEGÓCIO

Por seu alto nível de disponibilidade, nossa infraestrutura oferece os recursos necessários para implantar uma arquitetura de TI resiliente. Nossos sistemas foram projetados para tolerar falhas do sistema ou de hardware com o mínimo impacto ao cliente.

A resiliência trabalha com a redução da probabilidade de indisponibilização dos recursos.

A recuperação trabalha com a redução do impacto quando os recursos ficam indisponíveis.

Backup é uma estratégia para trabalhar com a perda de dados acidental ou intencional.

A recuperação de desastres é o processo de preparação e recuperação de um desastre. Qualquer evento que tenha um impacto negativo na continuidade dos negócios ou das finanças poderia ser chamado de um desastre. A nuvem AWS suporta diversas arquiteturas populares de recuperação de desastres, desde ambientes de "luz piloto" que estão prontos para aumentar em escala a qualquer momento até ambientes em "operação contínua" que permitem um failover rápido.

Para saber mais sobre Recuperação de Desastres na AWS, visite https://aws.amazon.com/disaster-recovery/.

Os datacenters são construídos em clusters em várias regiões globais. Todos os datacenters estão online e a serviço dos clientes; nenhum datacenter está "inativo". Em caso de falha, processos automatizados desviam o tráfego de dados do cliente da área afetada.

Oferecemos aos clientes a flexibilidade de posicionar instâncias e armazenar dados em várias regiões geográficas, bem como em várias zonas de disponibilidade em cada região. Ao distribuir aplicativos por várias zonas de disponibilidade, é possível permanecer resilientes diante da maioria dos modos de falha, incluindo catástrofes naturais ou falhas do sistema.

17

CONTINUIDADE DO NEGÓCIO

Você pode desenvolver sistemas altamente resilientes na nuvem ao empregar diversas instâncias em várias zonas de disponibilidade, bem como utilizar a replicação de dados para alcançar objetivos de tempo de recuperação e do ponto de recuperação extremamente altos.

Você é responsável por gerenciar e testar o backup e a recuperação do sistema de informações que aproveita a infraestrutura da AWS. É possível utilizar a infraestrutura da AWS para possibilitar a recuperação de desastres rápida de seus sistemas de TI críticos, sem incorrer em gastos de infraestrutura de um segundo lugar físico. A nuvem AWS comporta diversas arquiteturas populares de recuperação de desastres, desde ambientes de "luz piloto" que estão prontos para aumentar em escala a qualquer momento até ambientes em "operação contínua" que permitem um failover rápido.

18

SEGURANÇA

19

SEGURANÇA

A segurança da nuvem AWS é a nossa maior prioridade. O Centro de Segurança da AWS fornece informações mais detalhadas sobre conformidade e segurança.

Operamos a infraestrutura global na nuvem que você utiliza para oferecer diversos recursos básicos de computação, como processamento e armazenamento. Nossa infraestrutura global inclui as instalações, a rede, o hardware e o software operacional (ex.: sistema operacional do host, software de virtualização etc.) com suporte ao provisionamento e uso desses recursos. Projetada e gerenciada conforme as práticas de segurança recomendadas, nossa infraestrutura global obedece a vários padrões de segurança. Como cliente da AWS, você pode ter a certeza de estar criando arquiteturas da Web em uma das infraestruturas de computação mais seguras do mundo.

20

RECURSOS

21

RECURSOS

Você pode acessar todas as páginas da Web e whitepapers mencionados neste documento no Hub de Recursos de Referência Rápida de Segurança e Conformidade da AWS em https://aws.amazon.com/compliance/reference/.

PARCEIROS E MARKETPLACE

TREINAMENTO

O AWS Partner Network (APN) é o programa global de parceiros da AWS. Isso ajuda os parceiros do APN na criação de soluções ou negócios bem-sucedidos com base na AWS, ao fornecer suporte comercial, técnico, de marketing e introdução no mercado. Para obter mais informações, acesse https://aws.amazon.com/partners/.

O AWS Marketplace é um canal de vendas que facilita para Vendedores da AWS a oferta de soluções de software executadas na nuvem AWS. Para obter mais informações, acesse https://aws.amazon.com/marketplace/.

Se estiver iniciando, aprimorando habilidades de TI existentes ou melhorando seus conhecimentos de nuvem, o Treinamento da AWS pode ajudar você e sua equipe a aumentarem os conhecimentos para fazerem um uso mais eficaz da nuvem. Para obter mais informações, acesse https://aws.amazon.com/training/.

22