A nuvem segura da AWS

*Por Wilder Martins

Utilizar a computação em nuvem deixou de ser tendência há algum tempo. Aqui na Dedalus e para nossos clientes, Cloud Computing é uma realidade desde pequenas, médias empresas até grandes corporações que adotaram a jornada para a nuvem da AWS e ganharam em escala, alta disponibilidade, plataformas como serviços, segurança, redução de custos, entre outros benefícios que a nuvem proporciona.

Embora o mercado tenha conhecimento de que segurança da informação é um benefício da estrutura de Cloud Computing, o assunto ainda é muito temido pelos gestores de TI. De olho neste cenário, a AWS criou as “Boas Práticas de Segurança AWS”, com o intuito de mostrar quais são as reponsabilidades e a importância de um parceiro para Serviços Gerenciados.

AWS é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos em sua nuvem, composta por hardware, software, redes, armazenamento e instalações e fornece toda camada de proteção da infraestrutura e serviços de seus data centers, hardware, hypervisor, armazenamento, rede e banco de dados, além da gama de serviços que ajuda na arquitetura e gerenciamento de um ambiente seguro, como AWS Inspector, AWS Shield, AWS WAF, AWS CloudTrail, entre outros.

Responsabilidade compartilhada

Em paralelo, ao utilizar a nuvem da AWS você também tem responsabilidades em garantir a conformidade e segurança da informação. Quando digo “você”, me refiro ao administrador dos ambientes, desenvolvedor da aplicação, gestor de infraestrutura, etc.

Garantir a confidencialidade, integridade e disponibilidade de seus dados, sistemas, aplicações, é de sua responsabilidade, seguindo boas práticas na gestão de ativos, políticas de segurança, metodologias de desenvolvimento, monitoramento, atualizações de sistemas operacionais e aplicações e tudo mais que você já está acostumado em sua estrutura atual. É nesta camada que o parceiro de Serviço Gerenciado como a Dedalus poderá apoiá-lo, com ferramentas e metodologias que garantirão a segurança de seu ambiente.

Abaixo, apresento o quadro de responsabilidades compartilhadas de segurança da AWS. Qualquer informação adicional ou mais detalhadas deste artigo, você poderá encontrar no link.

Boas Práticas Recomendadas pela AWS

Agora que você já conhece as responsabilidades, vamos ao principal ponto do artigo: as Boas Práticas recomendadas pela AWS.

Colocar em prática essas recomendações é muito importante para garantir a segurança de seu ambiente, conta e recursos AWS. Clientes Dedalus que possuem Serviços Gerenciados contratados, já usufruem dessas práticas, executadas pelo nosso time de Tecnologia.

Utilize o MFA (Multi Fator de Autenticação)

É extremamente recomendado o uso de um MFA (Multi Factor Authentication) para suas credenciais Root e IAM (Identity and Access Management). Tanto para acesso a recursos do console AWS quanto para chamadas API.

Esta é uma prática simples que adiciona uma camada extra de proteção às suas credenciais de acesso e você poderá utilizar dispositivos MFA por hardware (pode ser adquirido diretamente no site da Amazon.com) ou dispositivos virtuais como Google Authenticator e Authy, que estão disponíveis gratuitamente para plataformas iOS, Android e Windows Phone.

Ative o serviço AWS CloudTrail

Habilite o AWS CloudTrail para todas as regiões em sua conta AWS. Este serviço registra todas as ações realizadas via console de gerenciamento e as chamadas às API’s da AWS, permitindo manter um histórico dos log’s armazenados no AWS S3. Com isso, você terá a possibilidade de análises de segurança, rastreamento de alteração de recursos e auditoria de conformidade.

Credenciais de acesso IAM (Identity and Access Management)

Provavelmente você precisará criar credenciais para acesso a recursos e serviços na AWS. Considere sempre essas boas práticas de uso do IAM:

  • Remova credenciais que não são utilizadas
  • Crie credenciais individuais, com permissões somente aos recursos e serviços que serão utilizados
  • Utilize e aplique as políticas de segurança em grupos. Esta boa prática permitirá que você associe um ou mais usuários ao grupo, para que utilizem as mesmas permissões
  • Configure uma senha forte para os usuários criados
  • Utilize IAM Roles para aplicações que estão hospedadas em instâncias EC2
  • Delegue permissões usando IAM Roles em vez de compartilhar credenciais
  • Crie um processo de troca regular das credenciais

Para conhecer todas as boas práticas relacionadas às credenciais IAM, acesse o link:

Remova o Root Access Key

Você usa uma chave de acesso (Access Key ID e Secret Access Key) para autenticar e fazer chamadas aos serviços AWS. No entanto, não use a chave de acesso principal da conta AWS (Root). Esta credencial é ativada no momento de criação de sua conta AWS. A chave de acesso possui acesso completo a todos os recursos e serviços da AWS, incluindo suas informações de faturamento. Você não pode restringir as permissões associadas à esta chave de acesso, portanto, desative ou exclua esta chave. É muito melhor você criar um IAM com as permissões adequadas para usar em sua aplicação ou gerenciamento do ambiente.

VPC e Regras de Rede (Network ACL’s)

O modo de rede clássico da AWS já foi extinto e consequentemente só é possível criar ambientes na estrutura de VPC (Virtual Private Cloud). Porém, tenha em mente que é possível utilizar este recurso com melhores práticas de segurança.

É possível criar sub redes isoladas, escolher seu segmento de rede conforme necessidade, criar tabelas de roteamento, gateways e regras de rede. Por meio do Network ACL, é possível criar regras de segurança baseadas em IP e portas TCP/UDP tanto para tráfego de origem, quanto destino. É possível permitir ou negar o acesso de entrada ou saída a IP e portas, além de estabelecer uma conexão segura por meio de VPN IPSEC diretamente na VPC.

Grupos de Segurança – Restrição de acessos

Os Grupos de Segurança permitem criar uma camada de segurança entre a requisição do usuário e suas aplicações e servidores, trabalhando como se fosse uma camada de firewall. Porém, você consegue controlar apenas as requisições de entrada, permitindo o acesso para um IP de origem (ou rede de origem), com destino a uma ou um grupo de portas TCP/UDP em seu ambiente.

  • Evite o tráfego de entrada irrestrito, como CIDR 0.0.0.0/0
  • Se a arquitetura de sua aplicação permitir, use um Elastic Load Balancer para receber as requisições dos usuários, criando uma camada antes de seus servidores
  • Exclua grupos de segurança que não são utilizados
  • Utilize o AWS CloudTrail para rastrear qualquer modificação nos grupos de segurança
  • Crie apenas regras de entrada que são relacionadas a sua aplicação. Não crie regras desnecessárias
  • Abra apenas portas específicas. Permitir intervalos de portas em um grupo de segurança não é uma boa prática
  • Para acesso remoto às instâncias EC2, como RDP ou SSH, sempre crie a restrição de acesso para seus IP’s de origem.  Utilize VPN ou um NAT na estrutura AWS, mantendo seus servidores em estrutura privada
  • Utilize os alertas do Trusted Advisor para garantir que você identifique qualquer grupo de segurança que esteja configurado de forma inadequada. Monitore sempre as regras de seus grupos de segurança
  • Evite permitir UDP ou ICMP para instâncias EC2 em grupos de segurança. Não é uma boa prática, a menos que seja especificamente necessário.

Route 53, WAF, CloudFront e Shield

O uso dos serviços AWS Route53, WAF e CloudFront é a combinação perfeita para reduzir os riscos de ataques de negação de serviço (DDoS) em suas aplicações WEB. O Route53 é um serviço de DNS escalável e tolerante a falhas. Permite também criar regras de distribuição baseado em latência e origem da requisição. Além disso, o serviço está distribuído de forma global. O AWS WAF (Web Application Firewall), permite criar regras específicas de acesso às suas aplicações. É possível mitigar não só ataques DDoS, mas também outros tipos de ataques como SQL Injection e Cross-Site Scripting (XSS), etc.

O AWS CloudFront é um CDN distribuído globalmente e que acelera a entrega dos conteúdos estáticos e dinâmicos de suas aplicações Web, reduzindo o consumo dos recursos computacionais de sua estrutura e melhorando a experiência do usuário.

O AWS Shield é um serviço de proteção contra ataques de negação de serviço (DDoS) que protege as aplicações web executadas na AWS. É possível obter um nível mais alto de proteção contra ataques direcionados a aplicações web executadas em recursos como Elastic Load Balancing (ELB), AWS CloudFront e AWS Route 53.

Criptografia

Considere sempre utilizar métodos de criptografia, conforme a possibilidade da arquitetura de sua infraestrutura e aplicações.

  • Utilize a encriptação de dados nativa do S3 e nativa do EBS
  • Proteja dados em trânsito como canais SSL, túneis IPSEC com IKE ou x.509, DirectConnect
  • Aplique certificados SSL em suas aplicações WEB
  • Utilize criptografia no código de suas aplicações
  • Proteja os dados com criptografia de terceiros ou nativa do sistema operacional
  • Utilize criptografia na camada de banco de dados

Camadas de proteção adicionais – IPS (Intrusion Prevention System) e Antimalware

Mesmo com todas as camadas de proteção da AWS, sempre considere proteger a camada de servidores de sua estrutura. O mercado provê uma gama de ferramentas que pode proteger a camada de servidores, sistemas operacionais e bancos de dados como IPS, análise em tempo real de malwares e vírus, Web Reputation, Inspeção de Logs e análise de comportamento da estrutura.

Na Dedalu, utilizamos Trend Micro Deep Security para os clientes de Serviços Gerenciados. É uma suíte completa para proteção da camada de infraestrutura e aplicações. Opte por ferramentas reconhecidas e homologadas para utilização em ambientes de Cloud Computing.

São muitas práticas que podemos seguir para garantir a conformidade e disponibilidade dos ambientes na AWS. Todas elas com seu grau de complexidade e viabilidade que devem ser avaliados para compatibilidade com o seu cenário, ambiente e negócio. Mas sempre às considere.

Tenha em mente que a segurança da informação e a proteção de seus dados, são de extrema importância, independentemente de qual mercado ou negócio sua empresa pertença. As boas práticas sempre permitirão que sua experiência com a nuvem seja sempre a melhor possível. Usufrua da elasticidade do Auto Scaling. Faça backup. Monitore. Transforme seu ambiente na nuvem, integrando serviços. E conte com um parceiro como a Dedalus  para apoiá-lo nesta transformação.

*Wilder Martins é diretor de Tecnologia na Dedalus Prime

Compartilhe nosso conteúdo

Posts mais lidos

A experiência de migração para Office 365 vista pela Dedalus

A experiência de migração para Office 365 vista pela Dedalus

Desde que anunciamos a parceria com a Microsoft, já conquistamos centenas de clientes utilizando Office 365. Para alcançarmos estes números, migrar e manter estes clientes, a Dedalus conta com times ágeis de implementação, operação e analistas de projetos. ...