Índice:
- Obtendo a visão da segurança da Amazon
- Obtendo a visão especializada da segurança
- A realidade da segurança da Amazon
- Empregando práticas recomendadas de segurança AWS
- Usando o IAM Policy Simulator para verificar o acesso
Vídeo: Top 10 AWS Identity and Access Management (IAM) Best Practices (SEC301) | AWS re:Invent 2013 2025
Todos os serviços da Web têm problemas de segurança, incluindo AWS. O computador mais seguro do mundo não possui nenhum tipo de insumo. Claro, este computador super-seguro também não tem nenhum propósito real porque os computadores sem entradas são inúteis.
Um computador de uso individual, um sem conexões para qualquer outro computador, é o próximo tipo mais seguro. Um computador cujas conexões existem apenas dentro de um grupo de trabalho vem em seguida, e assim por diante. O computador menos seguro é aquele com conexões externas. Para usar o AWS, você deve arriscar a segurança do seu computador de uma maneira importante. Os desenvolvedores podem rapidamente se sentir loucos tentando manter esses computadores interconectados seguros, mas isso faz parte da descrição do trabalho.
Obtendo a visão da segurança da Amazon
Dado que mesmo os melhores esforços por parte de qualquer fornecedor provavelmente fornecerão apenas segurança moderada, o fornecedor deve manter uma posição pró-ativa na segurança. Embora a Amazon gaste muito tempo tentando rastrear e corrigir problemas de segurança conhecidos com suas APIs, também percebe que algumas vulnerabilidades provavelmente escapariam, o que é onde você entra em jogo. A Amazon tem uma política declarada de incentivar sua entrada em todas as vulnerabilidades que você encontrar.
Certifique-se de ler o processo de avaliação da Amazon. O processo deixa espaço para que a Amazônia passe a culpa por um problema em um terceiro, ou não faça nada. Mesmo que a Amazon seja pró-ativa, você precisa perceber que você ainda pode encontrar vulnerabilidades que a Amazon não faz nada para consertar. Como resultado, a segurança para a AWS sempre será menos do que perfeita, o que significa que você também precisa manter uma postura de segurança forte e pró-ativa e não depender da Amazônia para fazer tudo.
A coisa mais importante que você pode fazer ao trabalhar com um fornecedor de serviços da nuvem, como a Amazon, é continuar monitorando seus próprios sistemas para qualquer sinal de atividade inesperada.
Obtendo a visão especializada da segurança
Ao trabalhar com o seu plano para usar o AWS para suportar as necessidades de TI da sua organização, você precisa ler mais do que a visão da Amazon de questões como a segurança. Esperar que a Amazon lhe conte sobre todas as questões potenciais de segurança não é razoável - é apenas que a Amazon exige uma prova antes de lidar com um problema. Para obter a história de segurança completa, você deve confiar em especialistas de terceiros, o que significa que você precisa gastar tempo localizando esta informação online. (Uma visita a este blog ajudará a este respeito porque as atualizações para problemas de segurança são discutidas).
Uma história recente serve para ilustrar que a Amazon é menos do que próxima sobre todas as questões de segurança.Nesse caso, os hackers de capa branca (testadores de segurança) conseguiram invadir a instância EC2 de terceiros de outra instância. Depois de ter acesso à instância de terceiros, os pesquisadores conseguiram roubar as chaves de segurança para essa instância. É improvável que a Amazon conteça sobre esse tipo de pesquisa, então você precisa descobrir isso sozinho.
O problema com muitas dessas histórias é que a imprensa comercial tende a sensacionalizá-los, fazendo com que eles pareçam piores do que realmente são. Você precisa equilibrar o que você conhece sobre a configuração da sua organização, o que a Amazon realmente reportou sobre problemas de segurança conhecidos e o que a imprensa comercial publicou sobre suspeitas de problemas de segurança ao determinar os riscos de segurança de usar a AWS como sua solução em nuvem. Como parte do seu processo de planejamento, você também precisa considerar o que outros fornecedores de nuvem fornecem no caminho da segurança. A linha inferior é que usar a nuvem nunca será tão seguro como manter sua TI em casa porque mais conexões sempre significam mais oportunidades para alguém cortar sua configuração.
A realidade da segurança da Amazon
O que a Amazon está disposta a admitir quando se trata de segurança e o que os pesquisadores estão tentando convencê-lo é o estado atual de segurança da AWS são duas visões críticas para seu processo de planejamento. Você também precisa considerar experiências do mundo real como parte da mistura. Os pesquisadores de segurança do Worcester Polytechnic Institute criaram uma condição sob a qual a AWS poderia falhar. No entanto, na verdade não falhou dessa maneira no mundo real. A forma como a AWS tem realmente falhou é com suas soluções de backup.
Esta história conta de uma empresa que não é mais operacional. Ele falhou quando alguém comprometeu sua instância EC2. Esta não é uma experiência artificial; realmente aconteceu, e os hackers envolvidos causaram danos reais. Então, esse é o tipo de história para dar maior credibilidade quando você planeja seu uso da AWS.
Outra história relaciona o vazamento de dados inesperados na AWS disponibilizou informações de terceiros. Nesse caso, os dados incluíram informações pessoais obtidas de relatórios de lesões policiais, exames de drogas, notas detalhadas de visitas médicas e números de segurança social. Dadas as implicações desta violação de dados, as organizações envolvidas podem ser responsáveis por acusações criminais e civis. Ao trabalhar com a AWS, você deve temperar a necessidade de economizar dinheiro agora com a necessidade de gastar mais dinheiro depois defendendo-se contra uma ação judicial.
Empregando práticas recomendadas de segurança AWS
A Amazon fornece um conjunto de melhores práticas de segurança e é uma boa idéia para você ler o documento técnico associado como parte do seu processo de planejamento de segurança. As informações que você obterá irão ajudá-lo a entender como configurar sua configuração para maximizar a segurança da perspectiva da Amazônia, mas mesmo uma ótima configuração pode não ser suficiente para proteger seus dados. Sim, você deve garantir que sua instalação siga as melhores práticas da Amazon, mas você também precisa ter planos para a inevitável violação de dados.Esta afirmação pode parecer negativa, mas quando se trata de segurança, você deve sempre assumir o pior caso e preparar estratégias para lidar com isso.
Usando o IAM Policy Simulator para verificar o acesso
Existe uma grande quantidade de ferramentas que você pode usar como desenvolvedor para reduzir seu risco ao trabalhar com AWS. (Acessar a maioria dessas ferramentas exigirá que você faça login na sua conta AWS.) No entanto, uma das ferramentas mais interessantes que você precisa saber agora é o IAM Policy Simulator, que pode informar sobre os direitos que um usuário, grupo, ou papel tem para recursos AWS. Conhecer esses direitos pode ajudá-lo a criar melhores aplicativos e bloquear a segurança para que os usuários possam confiar em seus aplicativos para funcionar, mas dentro de um ambiente seguro.
Para usar este simulador, selecione um usuário, grupo ou função no painel esquerdo. Você pode selecionar uma ou mais políticas para esse usuário, grupo ou função e até mesmo ver o código JSON (JavaScript Object Notation) para essa política. Por exemplo, a diretiva AdministratorAccess se parece com isto:
{
"Versão": "2012-10-17",
"Declaração": [
{
"Efeito": "Permitir ",
" Ação ":" * ",
" Recurso ":" * "
}
]
}
Essencialmente, esta política afirma que o usuário pode executar qualquer ação usando qualquer recurso. O campo Efeito pode conter Permitir ou Negar para permitir ou negar uma ação. O campo Ação contém um asterisco (*) para mostrar que todas as ações entram em jogo. Finalmente, o campo Recurso contém * para mostrar que essa política afeta cada recurso AWS.
Para executar uma simulação em relação a um usuário, grupo, função ou política específica, você precisa escolher um serviço, como o Amazon Elastic File System. Você pode selecionar as ações que deseja verificar ou clicar em Selecionar tudo para selecionar todas as ações associadas ao serviço. Clique em Executar Simulação para concluir o teste.
