*Por Wilder Martins
Utilizar a computação em nuvem deixou de ser tendência há algum tempo. Aqui na Dedalus e para nossos clientes, Cloud Computing é uma realidade desde pequenas, médias empresas até grandes corporações que adotaram a jornada para a nuvem da AWS e ganharam em escala, alta disponibilidade, plataformas como serviços, segurança, redução de custos, entre outros benefícios que a nuvem proporciona.
Embora o mercado tenha conhecimento de que segurança da informação é um benefício da estrutura de Cloud Computing, o assunto ainda é muito temido pelos gestores de TI. De olho neste cenário, a AWS criou as “Boas Práticas de Segurança AWS”, com o intuito de mostrar quais são as reponsabilidades e a importância de um parceiro para Serviços Gerenciados.
A AWS é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos em sua nuvem, composta por hardware, software, redes, armazenamento e instalações e fornece toda camada de proteção da infraestrutura e serviços de seus data centers, hardware, hypervisor, armazenamento, rede e banco de dados, além da gama de serviços que ajuda na arquitetura e gerenciamento de um ambiente seguro, como AWS Inspector, AWS Shield, AWS WAF, AWS CloudTrail, entre outros.
Responsabilidade compartilhada
Em paralelo, ao utilizar a nuvem da AWS você também tem responsabilidades em garantir a conformidade e segurança da informação. Quando digo “você”, me refiro ao administrador dos ambientes, desenvolvedor da aplicação, gestor de infraestrutura, etc.
Garantir a confidencialidade, integridade e disponibilidade de seus dados, sistemas, aplicações, é de sua responsabilidade, seguindo boas práticas na gestão de ativos, políticas de segurança, metodologias de desenvolvimento, monitoramento, atualizações de sistemas operacionais e aplicações e tudo mais que você já está acostumado em sua estrutura atual. É nesta camada que o parceiro de Serviço Gerenciado como a Dedalus poderá apoiá-lo, com ferramentas e metodologias que garantirão a segurança de seu ambiente.
Abaixo, apresento o quadro de responsabilidades compartilhadas de segurança da AWS. Qualquer informação adicional ou mais detalhadas deste artigo, você poderá encontrar no link.
![](https://dedalus.hookteste.com/wp-content/uploads/2020/06/seguranca-aws-1024x515.png)
Boas Práticas Recomendadas pela AWS
Agora que você já conhece as responsabilidades, vamos ao principal ponto do artigo: as Boas Práticas recomendadas pela AWS.
Colocar em prática essas recomendações é muito importante para garantir a segurança de seu ambiente, conta e recursos AWS. Clientes Dedalus que possuem Serviços Gerenciados contratados, já usufruem dessas práticas, executadas pelo nosso time de Tecnologia.
Utilize o MFA (Multi Fator de Autenticação)
É extremamente recomendado o uso de um MFA (Multi Factor Authentication) para suas credenciais Root e IAM (Identity and Access Management). Tanto para acesso a recursos do console AWS quanto para chamadas API.
Esta é uma prática simples que adiciona uma camada extra de proteção às suas credenciais de acesso e você poderá utilizar dispositivos MFA por hardware (pode ser adquirido diretamente no site da Amazon.com) ou dispositivos virtuais como Google Authenticator e Authy, que estão disponíveis gratuitamente para plataformas iOS, Android e Windows Phone.
Ative o serviço AWS CloudTrail
Habilite o AWS CloudTrail para todas as regiões em sua conta AWS. Este serviço registra todas as ações realizadas via console de gerenciamento e as chamadas às API’s da AWS, permitindo manter um histórico dos log’s armazenados no AWS S3. Com isso, você terá a possibilidade de análises de segurança, rastreamento de alteração de recursos e auditoria de conformidade.
Credenciais de acesso IAM (Identity and Access Management)
Provavelmente você precisará criar credenciais para acesso a recursos e serviços na AWS. Considere sempre essas boas práticas de uso do IAM:
- Remova credenciais que não são utilizadas
- Crie credenciais individuais, com permissões somente aos recursos e serviços que serão utilizados
- Utilize e aplique as políticas de segurança em grupos. Esta boa prática permitirá que você associe um ou mais usuários ao grupo, para que utilizem as mesmas permissões
- Configure uma senha forte para os usuários criados
- Utilize IAM Roles para aplicações que estão hospedadas em instâncias EC2
- Delegue permissões usando IAM Roles em vez de compartilhar credenciais
- Crie um processo de troca regular das credenciais
Para conhecer todas as boas práticas relacionadas às credenciais IAM, acesse o link:
Remova o Root Access Key
Você usa uma chave de acesso (Access Key ID e Secret Access Key) para autenticar e fazer chamadas aos serviços AWS. No entanto, não use a chave de acesso principal da conta AWS (Root). Esta credencial é ativada no momento de criação de sua conta AWS. A chave de acesso possui acesso completo a todos os recursos e serviços da AWS, incluindo suas informações de faturamento. Você não pode restringir as permissões associadas à esta chave de acesso, portanto, desative ou exclua esta chave. É muito melhor você criar um IAM com as permissões adequadas para usar em sua aplicação ou gerenciamento do ambiente.
VPC e Regras de Rede (Network ACL’s)
O modo de rede clássico da AWS já foi extinto e consequentemente só é possível criar ambientes na estrutura de VPC (Virtual Private Cloud). Porém, tenha em mente que é possível utilizar este recurso com melhores práticas de segurança.
É possível criar sub redes isoladas, escolher seu segmento de rede conforme necessidade, criar tabelas de roteamento, gateways e regras de rede. Por meio do Network ACL, é possível criar regras de segurança baseadas em IP e portas TCP/UDP tanto para tráfego de origem, quanto destino. É possível permitir ou negar o acesso de entrada ou saída a IP e portas, além de estabelecer uma conexão segura por meio de VPN IPSEC diretamente na VPC.
Grupos de Segurança – Restrição de acessos
Os Grupos de Segurança permitem criar uma camada de segurança entre a requisição do usuário e suas aplicações e servidores, trabalhando como se fosse uma camada de firewall. Porém, você consegue controlar apenas as requisições de entrada, permitindo o acesso para um IP de origem (ou rede de origem), com destino a uma ou um grupo de portas TCP/UDP em seu ambiente.
- Evite o tráfego de entrada irrestrito, como CIDR 0.0.0.0/0
- Se a arquitetura de sua aplicação permitir, use um Elastic Load Balancer para receber as requisições dos usuários, criando uma camada antes de seus servidores
- Exclua grupos de segurança que não são utilizados
- Utilize o AWS CloudTrail para rastrear qualquer modificação nos grupos de segurança
- Crie apenas regras de entrada que são relacionadas a sua aplicação. Não crie regras desnecessárias
- Abra apenas portas específicas. Permitir intervalos de portas em um grupo de segurança não é uma boa prática
- Para acesso remoto às instâncias EC2, como RDP ou SSH, sempre crie a restrição de acesso para seus IP’s de origem. Utilize VPN ou um NAT na estrutura AWS, mantendo seus servidores em estrutura privada
- Utilize os alertas do Trusted Advisor para garantir que você identifique qualquer grupo de segurança que esteja configurado de forma inadequada. Monitore sempre as regras de seus grupos de segurança
- Evite permitir UDP ou ICMP para instâncias EC2 em grupos de segurança. Não é uma boa prática, a menos que seja especificamente necessário.
Route 53, WAF, CloudFront e Shield
O uso dos serviços AWS Route53, WAF e CloudFront é a combinação perfeita para reduzir os riscos de ataques de negação de serviço (DDoS) em suas aplicações WEB. O Route53 é um serviço de DNS escalável e tolerante a falhas. Permite também criar regras de distribuição baseado em latência e origem da requisição. Além disso, o serviço está distribuído de forma global. O AWS WAF (Web Application Firewall), permite criar regras específicas de acesso às suas aplicações. É possível mitigar não só ataques DDoS, mas também outros tipos de ataques como SQL Injection e Cross-Site Scripting (XSS), etc.
O AWS CloudFront é um CDN distribuído globalmente e que acelera a entrega dos conteúdos estáticos e dinâmicos de suas aplicações Web, reduzindo o consumo dos recursos computacionais de sua estrutura e melhorando a experiência do usuário.
O AWS Shield é um serviço de proteção contra ataques de negação de serviço (DDoS) que protege as aplicações web executadas na AWS. É possível obter um nível mais alto de proteção contra ataques direcionados a aplicações web executadas em recursos como Elastic Load Balancing (ELB), AWS CloudFront e AWS Route 53.
Criptografia
Considere sempre utilizar métodos de criptografia, conforme a possibilidade da arquitetura de sua infraestrutura e aplicações.
- Utilize a encriptação de dados nativa do S3 e nativa do EBS
- Proteja dados em trânsito como canais SSL, túneis IPSEC com IKE ou x.509, DirectConnect
- Aplique certificados SSL em suas aplicações WEB
- Utilize criptografia no código de suas aplicações
- Proteja os dados com criptografia de terceiros ou nativa do sistema operacional
- Utilize criptografia na camada de banco de dados
Camadas de proteção adicionais – IPS (Intrusion Prevention System) e Antimalware
Mesmo com todas as camadas de proteção da AWS, sempre considere proteger a camada de servidores de sua estrutura. O mercado provê uma gama de ferramentas que pode proteger a camada de servidores, sistemas operacionais e bancos de dados como IPS, análise em tempo real de malwares e vírus, Web Reputation, Inspeção de Logs e análise de comportamento da estrutura.
Na Dedalu, utilizamos Trend Micro Deep Security para os clientes de Serviços Gerenciados. É uma suíte completa para proteção da camada de infraestrutura e aplicações. Opte por ferramentas reconhecidas e homologadas para utilização em ambientes de Cloud Computing.
São muitas práticas que podemos seguir para garantir a conformidade e disponibilidade dos ambientes na AWS. Todas elas com seu grau de complexidade e viabilidade que devem ser avaliados para compatibilidade com o seu cenário, ambiente e negócio. Mas sempre às considere.
Tenha em mente que a segurança da informação e a proteção de seus dados, são de extrema importância, independentemente de qual mercado ou negócio sua empresa pertença. As boas práticas sempre permitirão que sua experiência com a nuvem seja sempre a melhor possível. Usufrua da elasticidade do Auto Scaling. Faça backup. Monitore. Transforme seu ambiente na nuvem, integrando serviços. E conte com um parceiro como a Dedalus para apoiá-lo nesta transformação.
*Wilder Martins é diretor de Tecnologia na Dedalus Prime