Se você acabou de criar sua conta Amazon Web Services (AWS) e está preocupado com a segurança de dados, essa é uma preocupação válida – configurações desconhecidas em toda a organização ou simples erros de configuração podem colocar seus dados em riscos de exposição. No entanto, existem algumas etapas que podem ser seguidas para melhorar drasticamente a postura de segurança.
A Amazon fornece ferramentas e serviços para ajudar a proteger seu ambiente, mas, em última análise, a responsabilidade é sua para configurar esses serviços corretamente e monitorar rotineiramente lacunas e problemas. A AWS depende muito do controle de acesso baseado em função e, por padrão, serviços e usuários (exceto o usuário root) têm muito pouco ou nenhum acesso. As etapas mais importantes que você precisa seguir para melhorar a segurança da AWS estão relacionadas ao gerenciamento de usuários e às políticas padrão.
Substituir um usuário root por um administrador sempre deve ser a primeira etapa. Feito isso, é necessário criar usuários com acesso que reflita a quantidade mínima de permissões para que possam realizar seu trabalho. Em seguida, proteja o acesso desses usuários definindo políticas de senha.
À medida que a organização começa a crescer e a usar mais serviços, pode ser preciso usar opções de configuração mais ajustadas. Entretanto, existem alguns serviços de alto nível que continuarão a garantir uma boa segurança, independentemente do tamanho ou da rapidez com que a organização cresce. Os serviços AWS, como o CloudTrail e Security Hub, podem ser usados para monitorar e alertar os usuários sobre problemas de segurança desde o primeiro dia.
O princípio de menor privilégio é um conceito de segurança bem conhecido que limita o acesso de um usuário apenas ao que é necessário para realizar seu trabalho. Por exemplo, fornecer a um usuário acesso de leitura e gravação a um bucket do S3 quando apenas o acesso de leitura é necessário seria uma violação do privilégio mínimo.
As credenciais do usuário raiz oferecem acesso ilimitado a uma conta e a todos os seus recursos. Com isso em mente, é fácil ver por que o acesso raiz raramente é necessário. Em vez disso, você deve usar usuários de gerenciamento de identidade e acesso (IAM) e funções do IAM com permissões restritas. É uma prática aceitável criar um único usuário administrador para a administração diária da conta – a AWS criou uma função (com um subconjunto de controles de acesso raiz) especificamente para essa finalidade.
Como adicionar um administrador:
Dica: Da mesma forma que você cria um usuário administrador para impedir o acesso root, é preciso criar mais usuários de maneira semelhante para evitar o uso do usuário administrador quando não for necessário. Todos os outros usuários e funções devem seguir estritamente o princípio de menor privilégio.
A conta raiz deve ser utilizada apenas em raras ocasiões para atividades como atualização de detalhes de cobrança, habilitação do AWS marketplace ou suporte do AWS ou cancelamento da conta.
Depois de criar um usuário administrador é hora de restringir a atividade do usuário root apenas para funções de administração de conta de nível superior. Nunca gere chaves de acesso para um usuário root. Em vez disso, use uma senha forte e habilite imediatamente a autenticação multifator (MFA) para evitar seu uso indevido – acidente ou não.
Como atualizar o acesso do usuário root:
Dica: MFA não substitui senhas fortes. Use uma senha aleatória com letras, dígitos e caracteres especiais. Se existe a preocupação de perder ou esquecer a senha, use um gerenciador de senhas.
O usuário raiz tem acesso a todos os serviços e recursos e pode executar ações administrativas, incluindo cancelar sua conta da AWS.
Agora que você criou um usuário administrador, o próximo passo é criar os usuários diários da AWS e definir seus acessos; o uso da função de administrador deve ser limitado apenas quando necessário.
A maneira mais fácil de criar um usuário AWS é usando grupos. Isso permitirá que alterações sejam feitas facilmente em vários usuários de uma só vez. Isso é útil se um determinado grupo precisar repentinamente de acesso a um novo serviço ou não precisar mais acessar outro. É importante observar que os usuários não devem compartilhar o mesmo login, pois isso afetará a rastreabilidade e responsabilidade.
Como adicionar usuários diários da AWS
Minimizar o acesso e manter um registro de quem tem acesso ao que é crítico para proteger sua conta AWS, especialmente para aqueles que buscam estar em conformidade com padrões como ISO e SOC 2.
Agora que você criou usuários e grupos, é hora de proteger o acesso desses usuários via MFA.
Como gerenciar o MFA:
Dica: se estiver usando um dispositivo virtual para MFA, como o Google Authenticator, envie seus códigos imediatamente após gerá-los para garantir que o dispositivo MFA esteja sincronizado.
O acesso de um usuário é tão seguro quanto sua senha. Considerando que as chaves de acesso são inerentemente complexas, um agente mal-intencionado pode adivinhar sua senha. O MFA reduz esse risco.
É hora de dobrar a segurança do acesso do usuário. Use políticas de senha para garantir que as senhas atendam aos padrões da empresa e, se aplicável, aos padrões regulatórios.
Como definir política de senhas:
Dica: escolha um equilíbrio entre seguro e sustentável. Por exemplo, expirar as senhas dos usuários todos os dias pode se tornar um pesadelo logístico.
Embora seja vital manter uma política de senha segura, a autenticação multifator torna-se menos segura se um dos fatores for insignificante. Ter uma senha forte garante que, mesmo que um token MFA seja comprometido, qualquer ataque de força bruta de senha falhará.
Ao atribuir políticas a grupos, você deve ter notado que a AWS fornece uma extensa biblioteca de políticas pré-formatadas. Essas políticas cobrirão muitos casos de uso padrão, mas é essencial definir suas próprias políticas se as prontas para uso ainda fornecerem muito acesso aos usuários.
Para a maioria das empresas, esse é um processo contínuo e iterativo, e é uma prática importante de começar cedo, pois essas políticas são a base de uma arquitetura segura da AWS.
Como criar suas políticas:
Dica: sempre consulte o princípio do privilégio mínimo ao redigir políticas. Reduza quaisquer vetores de ataques em potencial limitando a política para permitir apenas as ações necessárias contra recursos necessários.
Limitar um usuário a um conjunto predefinido de ações e serviços ou recursos evita o uso indevido dos serviços da AWS, acidentalmente ou não.
Depois de definir suas políticas e procedimentos e os usuários do console estarem prontos para começar a usar o AWS, você pode verificar o bloqueio de serviços individuais no nível de serviço. Um exemplo é o popular serviço de computação da AWS Elastic Compute Cloud (EC2). O EC2 permite que os usuários criem instâncias de computação com sua escolha de processadores, tipos de armazenamento e sistemas operacionais. Esta é, sem dúvida, uma grande ajuda para os desenvolvedores, no entanto, também é um serviço perigoso para ativar se não estiver seguro. Uma das etapas mais simples para proteger o uso do EC2 é restringir os usuários a Amazon Machine Images (AMI) pré-aprovadas, uma imagem suportada e mantida fornecida pela AWS.
Como proteger o EC2
Dica: veja este link para uma análise detalhada.
O uso de uma instância insegura do EC2 pode expor sua organização a ataques sofisticados. Caso os invasores obtenham acesso a essa instância, eles podem assumir sua função e acessar todos os recursos.
Agora que a conta da AWS foi totalmente configurada, é hora de começar a preparar sua segurança da AWS para o futuro. Existem práticas e princípios que você deve seguir descritos abaixo.
O serviço CloudFormation permite definir toda sua infraestrutura como código (IaC). Isso permite que você controle a versão da infraestrutura usando ferramentas como git e torna mais fácil submeter sua arquitetura a revisão por pares e validação automatizada. Você pode facilmente configurar, atualizar e reimplantar serviços e políticas em contas e regiões sem medo de erro humano.
O AWS Organizations permite que você dimensione rapidamente sua organização criando contas da AWS de forma programática e gerenciando-as a partir de um hub central. Isso significa que é possível auditar e aplicar políticas a várias contas e simplificar seu faturamento em um só lugar.
O fácil gerenciamento de contas combinado com o CloudFormation permite a criação e monitoramento de contas de desenvolvimento, preparação e produção, dando a confiança de que a produção está sempre estável. Também é possível ter contas separadas para auditoria e monitoramento, o que facilita a quebra de contas da AWS.
Depois de configurar várias contas, é importante monitorar a atividade de cada conta para fins de auditoria. Os logs do CloudTrail mostrarão todas as ações que um usuário executa e permitirão que você identifique rapidamente se alguém está realizando ações que não deveria ou se algum usuário precisa de recursos que não pode acessar. Os logs do CloudTrail mostrarão qual usuário executou (ou tentou executar) qual ação em qual recurso e quando.
Para garantir que o CloudTrail realmente reflita a atividade da sua conta, verifique se ele está configurado para enviar todos os logs para um depósito central que ninguém além do CSO possa acessar. Isso impede que usuários realizem ações e removam quaisquer vestígios e suas próprias atividades do CloudTrail.
À medida que sua organização cresce, os processos manuais podem se tornar cada vez mais difíceis. A AWS oferece uma variedade de serviços para lidar com diferentes problemas de segurança. Mesmo com essas ferramentas, porém, gerenciar as descobertas dos serviços pode ser um desafio.
O Security Hub reduz o esforço necessário para coletar e priorizar descobertas de segurança em contas e serviços. Ele lida automaticamente com dados em diferentes formatos e normaliza as informações para que possam destacar e correlacionar descobertas em vários serviços. O Security Hub pode identificar padrões de atividade e ajudar a fornecer informações sobre o que está acontecendo na sua conta.
Este serviço usa as melhores práticas e padrões do setor para fornecer o status geral da saúde cibernética. O Service Hub se integra até mesmo ao EventBrige, permitindo a automação da correção de descobertas específicas.
O IAM é crucial para proteger a AWS à medida que sua organização cresce, e o controle baseado em função está no centro da segurança do serviço. Antes de configurar sua nova conta da AWS, você pode encontrar informações úteis sobre o IAM aqui. Quando se trata de planejar e obter informações sobre sua postura de segurança, a Varonis pode ajudar. Solicite uma demonstração gratuita.