Segurança na Nuvem

Michel Pereira

Solutions Architect

michelp@amazon.com

Modelo de segurança na nuvem AWS

Modelo de segurança na nuvem AWS

• Certificações

• Modelo de segurança compartilhado

• Segurança física

• Gerenciamento dos acessos administrativos

• Segurança da VM

• Segurança na rede

AWS Security and Compliance Center

• Respostas para as principais perguntas sobre

segurança e privacidade

• Boletins de segurança

• Melhores práticas em segurança

http://aws.amazon.com/security

Principais conceitos de segurança

Modelo de responsabilidade compartilhada

AWS

• Prédios

• Segurança física

• Infraestrutura

• Rede

• Virtualização

Cliente

Sistema operacional

Aplicações

Security Groups

Firewall no SO

Configuração da rede

Gerenciamento de contas

AWS Identity and Access Management (IAM)

• Usuários e Grupos

• Credenciais únicas

• Permissão de acesso

• Integrado com

serviços AWS

• Proxy e Federação

para autenticação

AWS Multi-Factor Authentication

• Proteção adicional

para a conta

• Loga com usuário,

senha e o token

• Integrado com o

Console

• Integração com o S3

Integração com o S3

• Usuário A tem permissão para publicar

arquivos no S3

• Usuário B tem permissão para remover os

arquivos usando a autenticação via token

• Usuário C tem permissão de listar o conteúdo

do bucket

Separação de falhas

• Uma região não interfere em outra

• Cada zona de disponibilidade tem 2 ou

mais datacenters independentes.

• Sempre use 2 ou mais zonas.

AWS – Infraestrutura GlobalUS-WEST (Oregon)

EU-WEST (Ireland)

ASIA PAC (Tokyo)

US-WEST (N. California)

SOUTH AMERICA (Sao Paulo)

US-EAST (Virginia)

AWS GovCloud (US)

ASIA PAC

(Sydney)

ASIA PAC

(Singapore)

Atualização da nossa infraestrutura

Segue a ordem:

• Rack

• Zona de disponibilidade

• Região

• Mundo

Descarte dos discos

Descarte dos discos

Todos os dispositivos de armazenamento

passam pelo processo

Descarte dos discos

Usa as técnicas:

• DoD 5220.22-M (“National Industrial Security

Program Operating Manual “)

• NIST 800-88 (“Guidelines for Media Sanitization”)

E finalmente...

...o disco é desmagnetizado

EC2

EC2

Autenticação através de chaves assimétricas individuais

Quando a instância ficar pronta:

• Entre nela

• Crie uma nova chave

• Remova a chave criada pela AWS

EC2 - Firewall

Security Groups é o nosso firewall

• Tudo fechado por padrão

• Nunca edite o Security Group „default‟

• Controle de acesso na instância usando IP de origem e porta de destino

• Network ACL quando dentro da VPC

EC2 - Disco

A instância só tem acesso aos discos associados à ela

• Na primeira escrita o volume é sanitizado, por isso a primeira escrita é mais lenta

• As escritas sequentes são rápidas

• A instância só tem acesso aos discos da mesma conta, não pode ver discos de outros

Segurança na rede

Segurança na rede - DDoS

• Monitoramento básico

• Não respondemos aos ataques pois não

sabemos se é tráfego legítimo ou um ataque

• O cliente pode nos acionar para ajudá-los a

responder a um ataque

• Garanta que a sua arquitetura seja resiliente

(Solutions Architect)

Segurança na rede

• IP Spoofing é bloqueado na interface de rede

• Sniffer não funciona na rede, só monitora tráfego da sua instância

• Port Scanning• Violação dos termos de uso

• Detectado automaticamente, bloqueado e vamos falar com você

• Se precisar fazer, tem um formulário que você pode preencher e ter as suas instâncias liberadas temporariamente

VPC

VPC

• Rede isolada logicamente na AWS

• Usa o endereçamento IP que você definir:• 10.0.0.0/8

• 172.16.0.0/16

• 192.168.0.0/24

• Network ACL

• Security Groups

• VPN com IPSec para conectar ao seu ambiente

Certificações

Certificações

• Sarbanes-Oxley (SOX) compliance

• ISO 27001 Certification

• PCI DSS Level I Certification

• HIPAA compliant architecture

• SAS 70 Type II Audit

• FISMA Low ATO

• Pursuing FISMA Moderate ATO

• Pursuing DIACAP MAC II I -Sensitive

• FedRAMP

• Service Health Dashboard

Certificações – SOX

• Controles foram criados

• e o relatório confirma

• que foram implementados

• para proteger os dados dos clientes

• em todos os datacenters

Certificações – ISO 27001

• Padrão global para gerenciamento de sistemas de segurança da informação

• Para ter a certificação tem que provar que a empresa consegue gerenciar os riscos de segurança que afetam a:– confidencialidade,

– integridade e a

– disponibilidade

– dos dados dos nossos clientes

Certificações – PCI DSS Level 1

• PCI – Payment Card industry

• DSS – Data Security Standards

• Level 1 – mais que 300 mil transações por ano

• Podem usar nossa infraestrutura para:– armazenar

– processar e

– transmitir dados de cartão de crédito.

Informações

• AWS Security Center– http://aws.amazon.com/security/

• AWS Compliance– http://aws.amazon.com/compliance/

• AWS Multi-Factor Authentication– http://aws.amazon.com/mfa/

• Security Bulletins– http://aws.amazon.com/security/security-bulletins/

• Penetration Testing– http://aws.amazon.com/security/penetration-testing/

michelp@amazon.com

Michel Pereira

Solutions Architect