Segurança na AWS – Responsabilidade Compartilhada

Tempo de leitura: 6 minutos

Segurança na AWS
Segurança na AWS

Segurança na AWS, o modelo de Responsabilidades Compartilhada.

Você ja se perguntou onde começa e onde termina suas obrigações para manter a segurança de seus servidores na nuvem?

Segurança na AWS ja começa com uma boa pratica de segurança em Cloud Computing começa com um modelo de responsabilidades compartilhado, pois é nele que consta suas responsabilidades e do provedor de cloud computing sobre questões de segurança ao seu servidor.

Existem outras abordagens, outras praticas, que aumentam o nível de segurança do seu ambiente em nuvem.

Porém vamos começar pelo Modelo do Responsabilidade Compartilhada.

Como o próprio nome sugere, fica claro que nem a AWS ou nem você é o responsável pela segurança na nuvem. Este ponto, a segurança, é algo divido entre a AWS e você.

Basicamente a AWS se compromete com a segurança física dos equipamentos, quanto a você fica o controle de seus recursos expostos na WEB.

Saber o que diz o modelo de responsabilidade compartilhado é fundamental para você implementar suas políticas de segurança. Sem saber o que o provedor ja faz por você fica difícil de fechar as outras brechas.

Segurança para AWS é algo de máxima prioridade e ela gasta muito esforço para manter sua nuvem como um todo, totalmente segura. E aconselhamos você a fazer o mesmo.

Um dos principais motivos pelo qual a Amazon Web Services se esforça tanto com a segurança é que esse assunto é o que mais preocupa seus futuros clientes em aderirem a computação em nuvem. Para convencê-los, a Amazon precisa estar no topo da segurança em cloud computing.

Hoje a Amazon Web Services já implementa varias normas de seguranças, tais como PCI DSS, ISO e SOC.

Estes padrões de seguranças são aplicados em todos os serviços da AWS, independente de região ou do cliente em uso, por exemplo, eu, um simples usuário de um bucket no S3 na região de São Paulo, tenho o mesmo nível de segurança que um bucket na GovCloud usado na campanha eleitoral de 2012 do Obama para presidente ou do bucket que a Nasa usa para armazenar fotos da missão do Rover em Marte.

O Modelo de Responsabilidade Compartilhada

  • O papel da Amazon Web Services
Segurança na AWS - Itens da Amazon Web Services
Segurança na AWS – Itens da Amazon Web Services

Como eu disse, a AWS é responsável pela segurança da nuvem. Isto abrange os componentes globais de infra-estrutura, como as Regiões, Zonas de disponibilidades e pontos de presença. Isso também cobre os serviços fundamentais, como computação, rede, armazenamento e base de dados.

A AWS possui e controla o acesso aos seus data-center, que é onde os dados dos clientes ficam. Isto cobre acesso fisico a todos os equipamentos, todos mesmo, desde os hardware de servidores e rede, até aos sistemas de de fonte de alimentação ininterrupta (UPS), geradores, unidades de distribuição de energia (PDUs), sala de controle, ar condicionado e sistemas de extinção de incêndios.

Resumidamente a AWS é responsável por toda a infraestrutura que compõe a Nuvem, toda a parte física, desde implementações, manutenções e o controle ao acesso a estes componentes.

O que é de sua responsabilidade então? Tudo que é colocado la dentro!

Segurança na AWS - Suas responsabilidades
Segurança na AWS – Suas responsabilidades
  • O seu papel:

Como a AWS garante a infra-estrutura básica da Nuvem, a responsabilidade pelo que esta dentro da nuvem é sua! Tudo por trás de toda a stack, isso cobre; proteção do tráfego de dados entre cliente X servidor, criptografia, segurança do Sistema Operacional, Rede, Firewall, segurança da aplicação e o gerenciamento de identidades e acesso.

O quanto disso tudo você deseja implementar, ai varia de caso para caso. É uma decisão sua! O que recomendo é implementar a segurança o suficiente para minimizar a exposição do seu ambiente. 
Não se esqueça a AWS te ajuda com esses controles, oferecendo vários recursos poderosos de segurança, como e quando usa-los é responsabilidade SUA!

  • Contas na AWS:

Quando você cria uma conta na AWS, ela é uma conta de administrador (ou conta root). Esta conta lhe fornece as credenciais que lhe permitirá criar outros usuários, grupos e funções dentro do IAM (Identity and Access Management). Neste momento você tem o controle de quem pode acessar seus recursos e somente você pode gerenciar esse acesso corretamente. Com o IAM você pode criar um conjunto muito especifico de permissões e acesso as chaves privadas dos recursos que você implementar. Dentro o IAM você também pode implementar o login de dois passos, o multi-fator, o que recomendo a ser feito no primeiro instante após o cadastro.

  • Atualizações de segurança do Sistema Operacional:

Depois de iniciar uma instância no EC2, a responsabilidade sobre ela é sua. Isso inclui manter o sistema operacional sempre atualizado. A AWS não lhe avisará quando estas atualizações estiverem disponíveis.
Independentemente de estar no Linux ou Windows, você deve gerenciar as configurações de segurança do sistema operacional. Não fique esperando que as ultimas AMIs (Amazon Machine Images) estarão com os últimos patches. Sempre verifique se há atualizações, (yum update | aptitude safe-upgrade) no Linux ou no Windows pelo gerenciador de atualizações.

  • Security Groups e NACLs:

Para proteger amplamente seu ambiente na nuvem, devo indicar fortemente a importância da configuração dos Security Groups. Os Secutity Groups atuam como um firewall em nível de instância com as regras filtrando o tráfego que entra e que sai da sua instância. Eles atuam em um nível de porta do protocolo e isso permite que você conceda acesso por porta e por IP, podendo restringir desde faixas de IPs ou permitindo acesso por qualquer lugar do mundo.

E dentro da sua VPC (Virtual Private Cloud) no nível de sub-rede, você pode implementar o Network Access Control List (NACL). Ele é semelhante aos Security Groups, pois também é composto de regras, mas ele monitoria o tráfego a nível de sub-rede. Ressaltamos que, Security Groups são Stateful e o NACL é Statless. Ou seja, respostas para tráfego permitido de entrada é permitido para sair, independente das regras de saída, e vice-versa. Entender estes grupos de segurança é crucial para controlar quem e o que pode acessar os recursos dentro da sua VPC.

  • Encriptação:

Se você precisar de uma maior segurança para os seus dados quando estarão sendo armazenados, você pode usar criptografia no cliente e/ou no servidor. Você pode usar métodos 256-bits AES nos buckets do S3. 

Bom, espero que tenha ficado claro a divisão de responsabilidades da segurança entre você e a Amazon Web Services e que além disso, você tenha uma visão do que a Amazon ja fez no dia a dia com a segurança, e o que ela te fornece para que você implemente suas regras de segurança.

Vamos abordar mais temas de segurança, vamos falar mais sobre os Security Groups, então não perca as novidades.

Insira o seu endereço de email abaixo para receber gratuitamente as atualizações do blog!

Fique tranquilo, seu e-mail está completamente <strong>SEGURO</strong> conosco!