segurança na nuvem da aws
DESCRIPTION
Deck de slides do webinar Segurança na Nuvem da AWSTRANSCRIPT
Modelo de segurança na nuvem AWS
Modelo de segurança na nuvem AWS
• Certificações
• Modelo de segurança compartilhado
• Segurança física
• Gerenciamento dos acessos administrativos
• Segurança da VM
• Segurança na rede
AWS Security and Compliance Center
• Respostas para as principais perguntas sobre
segurança e privacidade
• Boletins de segurança
• Melhores práticas em segurança
http://aws.amazon.com/security
Principais conceitos de segurança
Modelo de responsabilidade compartilhada
AWS
• Prédios
• Segurança física
• Infraestrutura
• Rede
• Virtualização
Cliente
Sistema operacional
Aplicações
Security Groups
Firewall no SO
Configuração da rede
Gerenciamento de contas
AWS Identity and Access Management (IAM)
• Usuários e Grupos
• Credenciais únicas
• Permissão de acesso
• Integrado com
serviços AWS
• Proxy e Federação
para autenticação
AWS Multi-Factor Authentication
• Proteção adicional
para a conta
• Loga com usuário,
senha e o token
• Integrado com o
Console
• Integração com o S3
Integração com o S3
• Usuário A tem permissão para publicar
arquivos no S3
• Usuário B tem permissão para remover os
arquivos usando a autenticação via token
• Usuário C tem permissão de listar o conteúdo
do bucket
Separação de falhas
• Uma região não interfere em outra
• Cada zona de disponibilidade tem 2 ou
mais datacenters independentes.
• Sempre use 2 ou mais zonas.
AWS – Infraestrutura GlobalUS-WEST (Oregon)
EU-WEST (Ireland)
ASIA PAC (Tokyo)
US-WEST (N. California)
SOUTH AMERICA (Sao Paulo)
US-EAST (Virginia)
AWS GovCloud (US)
ASIA PAC
(Sydney)
ASIA PAC
(Singapore)
Atualização da nossa infraestrutura
Segue a ordem:
• Rack
• Zona de disponibilidade
• Região
• Mundo
Descarte dos discos
Descarte dos discos
Todos os dispositivos de armazenamento
passam pelo processo
Descarte dos discos
Usa as técnicas:
• DoD 5220.22-M (“National Industrial Security
Program Operating Manual “)
• NIST 800-88 (“Guidelines for Media Sanitization”)
E finalmente...
...o disco é desmagnetizado
EC2
EC2
Autenticação através de chaves assimétricas individuais
Quando a instância ficar pronta:
• Entre nela
• Crie uma nova chave
• Remova a chave criada pela AWS
EC2 - Firewall
Security Groups é o nosso firewall
• Tudo fechado por padrão
• Nunca edite o Security Group „default‟
• Controle de acesso na instância usando IP de origem e porta de destino
• Network ACL quando dentro da VPC
EC2 - Disco
A instância só tem acesso aos discos associados à ela
• Na primeira escrita o volume é sanitizado, por isso a primeira escrita é mais lenta
• As escritas sequentes são rápidas
• A instância só tem acesso aos discos da mesma conta, não pode ver discos de outros
Segurança na rede
Segurança na rede - DDoS
• Monitoramento básico
• Não respondemos aos ataques pois não
sabemos se é tráfego legítimo ou um ataque
• O cliente pode nos acionar para ajudá-los a
responder a um ataque
• Garanta que a sua arquitetura seja resiliente
(Solutions Architect)
Segurança na rede
• IP Spoofing é bloqueado na interface de rede
• Sniffer não funciona na rede, só monitora tráfego da sua instância
• Port Scanning• Violação dos termos de uso
• Detectado automaticamente, bloqueado e vamos falar com você
• Se precisar fazer, tem um formulário que você pode preencher e ter as suas instâncias liberadas temporariamente
VPC
VPC
• Rede isolada logicamente na AWS
• Usa o endereçamento IP que você definir:• 10.0.0.0/8
• 172.16.0.0/16
• 192.168.0.0/24
• Network ACL
• Security Groups
• VPN com IPSec para conectar ao seu ambiente
Certificações
Certificações
• Sarbanes-Oxley (SOX) compliance
• ISO 27001 Certification
• PCI DSS Level I Certification
• HIPAA compliant architecture
• SAS 70 Type II Audit
• FISMA Low ATO
• Pursuing FISMA Moderate ATO
• Pursuing DIACAP MAC II I -Sensitive
• FedRAMP
• Service Health Dashboard
Certificações – SOX
• Controles foram criados
• e o relatório confirma
• que foram implementados
• para proteger os dados dos clientes
• em todos os datacenters
Certificações – ISO 27001
• Padrão global para gerenciamento de sistemas de segurança da informação
• Para ter a certificação tem que provar que a empresa consegue gerenciar os riscos de segurança que afetam a:– confidencialidade,
– integridade e a
– disponibilidade
– dos dados dos nossos clientes
Certificações – PCI DSS Level 1
• PCI – Payment Card industry
• DSS – Data Security Standards
• Level 1 – mais que 300 mil transações por ano
• Podem usar nossa infraestrutura para:– armazenar
– processar e
– transmitir dados de cartão de crédito.
Informações
• AWS Security Center– http://aws.amazon.com/security/
• AWS Compliance– http://aws.amazon.com/compliance/
• AWS Multi-Factor Authentication– http://aws.amazon.com/mfa/
• Security Bulletins– http://aws.amazon.com/security/security-bulletins/
• Penetration Testing– http://aws.amazon.com/security/penetration-testing/