© 2014 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or in part without the express consent of Amazon.com, Inc.

Compreendendo a Segurança na AWS

Marcelo Leal

Enterprise Solutions Architect

Diferentes pontos de vista do cliente sobre segurança:

• CEO: Proteger o valor para o Acionista

• PR exec: Manter longe da mídia

• CI{S}O: Preservar a confidencialidade, integridade, e

disponibilidade do dado

Ponto de vista da AWS sobre segurança Arte Ciência

Segurança é nossa prioridade Nº 1 Características de segurança abrangentes para suportar virtualmente

qualquer carga de trabalho

Segurança na nuvem AWS

“Baseada na nossa experiência, eu acredito que

nós podemos ser ainda mais seguros na nuvem

AWS do que em nossos próprios datacenters.”

-Tom Soderstrom, CTO, NASA JPL

Segurança na AWS oferece aos clientes mais:

Visibilidade Auditoria Controle

Visibilidade

– Na nuvem AWS, veja sua infraestrutura inteira com o clique do “mouse”

– Você consegue mapear sua rede atual?

Segurança na AWS entrega mais facilidade de auditoria

• Consistente, regular, exaustiva avaliação de terceiros

com resultados de fácil compreensão

Pesquisa IDC

Atitudes e Percepções sobre segurança e Serviços Cloud

Quase 60% das organizações concordaram que PSCs [provedores de

serviços em cloud] fornecem melhor segurança do que suas próprias

organizações de TI.

Fonte: IDC 2013 U.S. Cloud Security Survey,

doc #242836, Setembro de 2013

Serasa Experian & cloud computing

“O setor financeiro

brasileiro em breve

entenderá que

ambientes robustos de

nuvem pública, como o

da AWS, serão

fundamentais também

para aplicações de

missão crítica”

Rodrigo Zenun

• A Serasa Experian, parte do grupo Experian, é o

maior bureau de crédito do mundo fora dos

Estados Unidos, detendo o mais extenso banco de

dados da América Latina sobre consumidores,

empresas e grupos econômicos.

• Há 45 anos no mercado brasileiro, a Serasa

Experian participa da maioria das decisões de

crédito e negócios tomadas no País, respondendo,

on-line e em tempo real, a 6 milhões de consultas

por dia, demandadas por 500 mil clientes diretos e

indiretos.

• Technical Security Baselines específicos para

cloud computing publicados pelo Escritório Global

de Segurança.

Missão Crítica & Cloud Computing

• Elasticidade de até 200 vezes a

média de requisições no front-end.

• Utilização de diversos serviços:

EC2, S3, VPC, Cloudfront, VPN,

RDS, Cloudwatch, SES, SNS, IAM,

etc.

• Combinar flexibilidade, agilidade e

segurança da informação.

Estratégia de Segurança na AWS

...e se?

Cenários Técnicas • Multi-factor authenticaion (MFA)

• IAM (Identity and Access Management)

• VPN + Virtual Private Cloud

• IPS / IDS

• Patch Management / Virtual Patching

• Security Group + ACL

• Criptografia de volumes

• Criptografia de banco de dados

• Política de senhas e par de chaves

• Matriz de responsabilidades

• etc.

Visibilidade

• Logs == um componente de visibilidade

– Obtenção

– Retenção

– Análise

AWS CloudTrail

Você está fazendo

chamadas a API...

Em um conjunto de serviços

crescendo ao redor do mundo…

CloudTrail está continuamente registrando as chamadas a

API…

E entregando arquivos de

log para você

Casos de uso proporcionados pelo CloudTrail • Análises de Segurança

Utilize arquivos de log como uma entrada para soluções de análise e administração de log, para executar análises de segurança e para detectar padrões de comportamento do usuário.

• Rastrear Mudanças nos recursos AWS Rastrear a criação, modificação, e deleção de recursos AWS tais como instâncias Amazon

EC2, grupos de segurança Amazon VPC, e volumes Amazon EBS.

• Investigar problemas operacionais Rapidamente identificar as mudanças mais recentes feitas sobre recursos no seu ambiente.

• Auxílio na aderência à regulamentações Mais fácil de demonstrar aderência à políticas internas e regulamentações.

O que é AWS CloudTrail?

• CloudTrail registra chamadas de API na sua conta e entrega um arquivo de log no seu bucket S3.

• Normalmente entrega um evento dentro

de 15 minutos da chamada à API.

• Arquivos de Log são entregues a cada 5 minutos aproximadamente.

• Múltiplos parceiros oferecem soluções integradas para análise dos arquivos de log. Image Source: Jeff Barr

Controle

• Defesa em detalhe – Segurança em múltiplos níveis

• Segurança física dos datacenters

• Segurança de rede

• Segurança do sistema

• Segurança dos dados

Controle

• Acesso da equipe da AWS – Exame minucioso

– Equipe da AWS não tem acesso lógico às instâncias dos clientes

Controle

• Acesso da equipe da AWS – Acesso da equipe AWS ao “control-plane” é limitado & monitorado

• Bastion hosts

• Modelo de privilégio mínimo

Controle

• Acesso da equipe da AWS – Apenas quem precisa da informação, terá a informação

– Acesso ao datacenter por zonas

• Necessidade de negócio

Controle

• Controle de mudanças – Operação contínua

• Destruição de Dados – Mídias de armazenamento destruídas antes de permitir a saída

dos nossos datacenters

– Destruição de mídias consistente com a diretiva 5220.22 do

departamento de defesa dos Estados Unidos

Controle

• Responsabilidade Compartilhada

– AWS faz o trabalho “pesado”

– Você foca no seu negócio

• AWS • Operação dos Datacenters

• Segurança Física

• Infraestrutura Física

• Infraestrutura de rede

• Infraestrutura de virtualização

• Administração do ciclo de vida do hardware

• Cliente • Escolha do SO da instância EC2

• Opções de configuração das Aplicações

• Flexibilidade na administração das contas

• Grupos de Segurança

• ACLs (Listas de controle de Acesso)

• Administração de identidade

Controle • Seus dados ficam onde você os colocou

Australia

Amazon Virtual Private Cloud (VPC)

• Cria um ambiente logicamente isolado na infraestrutura altamente escalável da Amazon

• Especifique seu range de endereçamento privado de IP dentro de uma ou mais subnets, públicas ou privadas

• Controle acesso “inbound” e “outbound’ (para e a partir) de subnets individuais utilizando listas de controle de acesso de rede “stateless“ (NACL)

• Proteja suas instâncias com filtros “stateful” para tráfego “inbound” e “outbound”, utilizando grupos de segurança

• Anexe um endereço IP Elástico em qualquer instância na sua VPC para que ela consiga ser acessada diretamente da internet

• Conecte sua VPC e sua infraestrutura de TI “onsite” utilizando padrões de indústria como uma conexão criptografada (VPN) e/ou AWS Direct Connect

• Utilize um assistente gráfico para facilmente criar sua VPC em 4 topologias diferentes

Controle • Criptografia

– Clientes escolhem a solução que é melhor para eles

• Regulatória

• Contratual

• Melhores Práticas

– Opções

• Automatizado – AWS administra a criptografia para o cliente

• Habilitado – cliente administra a criptografia utilizando serviços AWS

• Do lado do cliente – cliente administra a criptografia utilizando seus mecanismos próprios

AWS IAM: Inovações Recentes Controle com segurança de acesso a recursos e serviços AWS

• Delegação – Papéis para EC2

– Acesso entre contas

• Poderosa integração de permissões

– Permissões a nível de recurso: EC2, RDS, DynamoDB, CloudFormation

– Access control policy variables

– Simulador de política

– Suporte IAM Melhorado: SWF, EMR, Storage Gateway, CloudFormation, Redshift, Elastic Beanstalk

• Federação – Federação de identidade Web

– Exemplos de AD e Shibboleth

– Integração de parceiros

– Estudo de caso: Expedia

• Autenticação Forte – MFA-protected API access

– Políticas de Senha

• Melhorias em documentação e vídeos

Segurança AWS entrega mais controle & granularidade Ajuste a implementação baseado na necessidade do seu negócio

AWS

CloudHSM

Defesa no detalhe

Rápida escalabilidade para segurança

Checagem automática com AWS Trusted Advisor

Controles de acesso de alta granularidade

Criptografia do lado do servidor

Autenticação Multi-Factor

Instâncias Dedicadas

Conexão direta, Storage Gateway

Armazenamento de chave baseada em HSM

AWS IAM

Amazon VPC

AWS Direct

Connect

AWS Storage

Gateway

Controle

• Federação SSO utilizando SAML – Suporte a SAML 2.0

– Utilize provedores de identidade SAML existentes para acessar

recursos AWS

• Você não precisa adicionar software!

– SSO para a console de administração AWS

• Nova URL de sign-in

– https://signin.aws.amazon.com/SAML?Token=<yourdatahere>

– Federação de API utilizando o novo assumeRoleWithSAML API

© 2014 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or in part without the express consent of Amazon.com, Inc.

Compreendendo a Segurança na AWS

Marcelo Leal

Enterprise Solutions Architect

Obrigado!