Ensinando você a ser um Pilar Nato!

Na semana passada, nós te mostramos sobre a “QUEM” cabe a responsabilidade de proteger uma migração para a nuvem, detalhando cada uma das funções envolvidas na implementação de uma prática de segurança bem-sucedida durante a migração para a nuvem. Leia: todo mundo. Nesta semana, tocarei no “O QUE” da segurança; os principais princípios necessários antes de sua primeira workload se mover. O pilar securança da Well-Architected Framework  será a linha de base deste artigo, pois explica completamente os conceitos de segurança em um design de práticas recomendadas para a nuvem.

Se você não estiver familiarizado com o AWS Well-Architected Framework, acesse o Google agora. Eu posso esperar. Tenho certeza de que pedir aos leitores que deixem o artigo que estão lendo no momento é um pecado fundamental no marketing, mas é realmente importante entender o quão poderoso é esse framework. Opa, espera, este blog está funciona com html – eis o link: https://wa.aws.amazon.com/index.en.html. Consiste em cinco pilares que incluem informações sobre melhores práticas escritas por arquitetos com vasta experiência em cada área.

Como o tópico aqui é Segurança começarei analisando este pilar. No entanto, pretendo escrever sobre cada um e, como faço, cada um dos gráficos acima se tornará um link. Mágica da Internet!

Existem sete princípios como parte da estrutura de framework, a seguir:

• Implemente uma base sólida de identidade
• Ative rastreabilidade
• Aplique segurança em todas as camadas
• Automatize as melhores práticas de segurança
• Proteja dados em trânsito e em repouso
• Mantenha as pessoas afastadas dos dados
• Prepare-se para eventos de segurança

Agora, muitos desses princípios podem ser resolvidos usando serviços nativos em nuvem e, geralmente, esses são os mais fáceis de implementar. Uma coisa que o framework não fornece são sugestões sobre como instalar ou configurar esses serviços. Embora possa referenciar a ativação da autenticação multi-fator como uma etapa necessária para sua política de gerenciamento de identidade e acesso, ela não está ativada por padrão. A mesma coisa com a criptografia de objetos de arquivo. Está lá para você usar, mas não necessariamente ativado, nos que você cria.

Aqui é onde eu faço uma recomendação super legal (e gratuita) sobre tecnologia para acelerar seu aprendizado sobre esses tópicos. Temos uma base de conhecimento com centenas de regras de nuvem mapeadas para o Well-Architected Framework (e outros!) a fim de auxiliar na aceleração de seu conhecimento durante e após a migração para a nuvem. Vamos considerar o caso de uso acima na autenticação multifatorial. Nosso artigo da base de conhecimento aqui detalha os quatro R’s: Risco, Razão, Justificativa (Rationale em inglês) e Referências sobre por que o MFA é uma prática recomendada de segurança.

Começando com um Nível de Risco e detalhando por qual razão isso representa uma ameaça para suas configurações é uma ótima maneira de começar a priorizar descobertas. Ele também inclui os diferentes mandatos de compliance e pilar Well-Architected (obviamente Segurança neste caso), bem como links descritivos para os diferentes frameworks a fim de obter ainda mais detalhes.

A razão pela qual esta regra da base de conhecimento está em vigor também está incluída. Isso dá a você e sua equipe o contexto da regra e ajuda a impulsionar ainda mais sua postura durante a migração para a nuvem. O motivo da amostra é o seguinte para o nosso Caso de Uso MFA:

“Como prática recomendada de segurança é sempre aconselhável complementar os nomes de usuário e senhas de IAM, exigindo uma senha única durante a autenticação. Esse método é conhecido como AWS Multi-Factor Authentication e permite ativar segurança extra para seus usuários privilegiados de IAM. A Multi-Factor Authentication (MFA) é um método simples e eficiente de verificar a identidade do usuário do IAM, exigindo um código de autenticação gerado por um dispositivo virtual ou de hardware além das credenciais de acesso habituais (por exemplo, nome de usuário e senha). A assinatura do dispositivo MFA insere uma camada adicional de proteção às credenciais de usuário existentes tornando praticamente impossível violar sua conta da AWS sem o código exclusivo gerado pelo dispositivo “.

Se Razão é o “o quê” da regra, a Justificativa (Rationale) é o “porquê”, fornecendo a você a necessidade da adoção. Novamente, perfeito para confirmar o caminho e a estratégia de migração para a nuvem ao longo do caminho.

“Monitorar o acesso ao IAM em tempo real para avaliação de vulnerabilidades é essencial para manter sua conta da AWS segura. Quando um usuário do IAM tem permissões no nível de administrador (ou seja, pode modificar ou remover qualquer recurso, acessar quaisquer dados no ambiente da AWS e usar qualquer serviço ou componente – exceto o serviço Billing and Cost Management)  assim como no usuário de conta raiz da AWS, é obrigatório proteger o login do usuário do IAM com a Multi-Factor Authentication.

A implementação da autenticação baseada em MFA para seus usuários do IAM representa a melhor maneira de proteger seus recursos e serviços da AWS contra usuários ou invasores não autorizados, pois o MFA adiciona segurança extra ao processo de autenticação, forçando os usuários do IAM a inserir um código exclusivo gerado por um dispositivo de autenticação aprovado”.

Por fim, todas as referências para cada risco, razão e justificativa estão incluídas na parte inferior, o que ajuda a fornecer clareza adicional. Você também notará as etapas de correção, o quinto ‘R’ quando aplicável, que mostra como realmente corrigir o problema.

Todos esses dados são incluídos na comunidade, pois a Trend Micro continua sendo uma empresa de pesquisa de segurança valiosa, ajudando o mundo a ser seguro na troca de informações digitais. Explore todas as regras que temos disponíveis em nossa base de conhecimento pública: https://www.cloudconformity.com/knowledge-base/.

Este blog faz parte de uma série de várias partes que trata dos princípios de uma migração bem-sucedida para a nuvem. Para obter mais informações, comece no primeiro post (em inglês) aqui.