© 2014 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or i...
Diferentes pontos de vista do cliente sobre segurança:
• CEO: Proteger o valor para o Acionista
• PR exec: Manter longe da...
Ponto de vista da AWS sobre segurança
Arte Ciência
Segurança é nossa prioridade Nº 1
Características de segurança abrangentes para suportar virtualmente
qualquer carga de tr...
Segurança na nuvem AWS
“Baseada na nossa experiência, eu acredito que
nós podemos ser ainda mais seguros na nuvem
AWS do q...
Segurança na AWS oferece aos clientes mais:
Visibilidade Auditoria Controle
Visibilidade
– Na nuvem AWS, veja sua infraestrutura inteira com o clique do “mouse”
– Você consegue mapear sua rede atual?
Segurança na AWS entrega mais facilidade de auditoria
• Consistente, regular, exaustiva avaliação de terceiros
com resulta...
Pesquisa IDC
Atitudes e Percepções sobre segurança e Serviços Cloud
Quase 60% das organizações concordaram que PSCs [prove...
Serasa Experian & cloud computing
“O setor financeiro
brasileiro em breve
entenderá que
ambientes robustos de
nuvem públic...
Missão Crítica & Cloud Computing
• Elasticidade de até 200 vezes a
média de requisições no front-end.
• Utilização de dive...
Estratégia de Segurança na AWS
...e se?
Cenários Técnicas
• Multi-factor authenticaion (MFA)
• IAM (Identity and Access Ma...
Visibilidade
• Logs == um componente de visibilidade
– Obtenção
– Retenção
– Análise
AWS CloudTrail
Você está
fazendo
chamadas a
API...
Em um conjunto
de serviços
crescendo ao
redor do
mundo…
CloudTrail está...
Casos de uso proporcionados pelo CloudTrail
• Análises de Segurança
 Utilize arquivos de log como uma entrada para soluçõ...
O que é AWS CloudTrail?
• CloudTrail registra chamadas de API na
sua conta e entrega um arquivo de log
no seu bucket S3.
•...
Controle
• Defesa em detalhe
– Segurança em múltiplos níveis
• Segurança física dos datacenters
• Segurança de rede
• Segu...
Controle
• Acesso da equipe da AWS
– Exame minucioso
– Equipe da AWS não tem acesso lógico às instâncias dos clientes
Controle
• Acesso da equipe da AWS
– Acesso da equipe AWS ao “control-plane” é limitado & monitorado
• Bastion hosts
• Mod...
Controle
• Acesso da equipe da AWS
– Apenas quem precisa da informação, terá a informação
– Acesso ao datacenter por zonas...
Controle
• Controle de mudanças
– Operação contínua
• Destruição de Dados
– Mídias de armazenamento destruídas antes de pe...
Controle
• Responsabilidade Compartilhada
– AWS faz o trabalho “pesado”
– Você foca no seu negócio
• AWS
• Operação dos Da...
Controle
• Seus dados ficam onde você os colocou
Australia
Amazon Virtual Private Cloud (VPC)
• Cria um ambiente logicamente isolado na infraestrutura altamente escalável da Amazon
...
Controle
• Criptografia
– Clientes escolhem a solução que é melhor para eles
• Regulatória
• Contratual
• Melhores Prática...
AWS IAM: Inovações Recentes
Controle com segurança de acesso a recursos e serviços AWS
• Delegação
– Papéis para EC2
– Ace...
Segurança AWS entrega mais controle & granularidade
Ajuste a implementação baseado na necessidade do seu negócio
AWS
Cloud...
Controle
• Federação SSO utilizando SAML
– Suporte a SAML 2.0
– Utilize provedores de identidade SAML existentes para aces...
© 2014 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or i...
Upcoming SlideShare
Loading in …5
×

Segurança

1,211 views

Published on

Apresentações do AWS Summit Sao Paulo 2014. Baixe o conteúdo preparado por nossos especialistas para auxiliá-lo na jornada para a nuvem.

Published in: Business
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,211
On SlideShare
0
From Embeds
0
Number of Embeds
15
Actions
Shares
0
Downloads
114
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Segurança

  1. 1. © 2014 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or in part without the express consent of Amazon.com, Inc. Compreendendo a Segurança na AWS Marcelo Leal Enterprise Solutions Architect
  2. 2. Diferentes pontos de vista do cliente sobre segurança: • CEO: Proteger o valor para o Acionista • PR exec: Manter longe da mídia • CI{S}O: Preservar a confidencialidade, integridade, e disponibilidade do dado
  3. 3. Ponto de vista da AWS sobre segurança Arte Ciência
  4. 4. Segurança é nossa prioridade Nº 1 Características de segurança abrangentes para suportar virtualmente qualquer carga de trabalho
  5. 5. Segurança na nuvem AWS “Baseada na nossa experiência, eu acredito que nós podemos ser ainda mais seguros na nuvem AWS do que em nossos próprios datacenters.” -Tom Soderstrom, CTO, NASA JPL
  6. 6. Segurança na AWS oferece aos clientes mais: Visibilidade Auditoria Controle
  7. 7. Visibilidade – Na nuvem AWS, veja sua infraestrutura inteira com o clique do “mouse” – Você consegue mapear sua rede atual?
  8. 8. Segurança na AWS entrega mais facilidade de auditoria • Consistente, regular, exaustiva avaliação de terceiros com resultados de fácil compreensão
  9. 9. Pesquisa IDC Atitudes e Percepções sobre segurança e Serviços Cloud Quase 60% das organizações concordaram que PSCs [provedores de serviços em cloud] fornecem melhor segurança do que suas próprias organizações de TI. Fonte: IDC 2013 U.S. Cloud Security Survey, doc #242836, Setembro de 2013
  10. 10. Serasa Experian & cloud computing “O setor financeiro brasileiro em breve entenderá que ambientes robustos de nuvem pública, como o da AWS, serão fundamentais também para aplicações de missão crítica” Rodrigo Zenun • A Serasa Experian, parte do grupo Experian, é o maior bureau de crédito do mundo fora dos Estados Unidos, detendo o mais extenso banco de dados da América Latina sobre consumidores, empresas e grupos econômicos. • Há 45 anos no mercado brasileiro, a Serasa Experian participa da maioria das decisões de crédito e negócios tomadas no País, respondendo, on-line e em tempo real, a 6 milhões de consultas por dia, demandadas por 500 mil clientes diretos e indiretos. • Technical Security Baselines específicos para cloud computing publicados pelo Escritório Global de Segurança.
  11. 11. Missão Crítica & Cloud Computing • Elasticidade de até 200 vezes a média de requisições no front-end. • Utilização de diversos serviços: EC2, S3, VPC, Cloudfront, VPN, RDS, Cloudwatch, SES, SNS, IAM, etc. • Combinar flexibilidade, agilidade e segurança da informação.
  12. 12. Estratégia de Segurança na AWS ...e se? Cenários Técnicas • Multi-factor authenticaion (MFA) • IAM (Identity and Access Management) • VPN + Virtual Private Cloud • IPS / IDS • Patch Management / Virtual Patching • Security Group + ACL • Criptografia de volumes • Criptografia de banco de dados • Política de senhas e par de chaves • Matriz de responsabilidades • etc.
  13. 13. Visibilidade • Logs == um componente de visibilidade – Obtenção – Retenção – Análise
  14. 14. AWS CloudTrail Você está fazendo chamadas a API... Em um conjunto de serviços crescendo ao redor do mundo… CloudTrail está continuamente registrando as chamadas a API… E entregando arquivos de log para você
  15. 15. Casos de uso proporcionados pelo CloudTrail • Análises de Segurança  Utilize arquivos de log como uma entrada para soluções de análise e administração de log, para executar análises de segurança e para detectar padrões de comportamento do usuário. • Rastrear Mudanças nos recursos AWS  Rastrear a criação, modificação, e deleção de recursos AWS tais como instâncias Amazon EC2, grupos de segurança Amazon VPC, e volumes Amazon EBS. • Investigar problemas operacionais  Rapidamente identificar as mudanças mais recentes feitas sobre recursos no seu ambiente. • Auxílio na aderência à regulamentações  Mais fácil de demonstrar aderência à políticas internas e regulamentações.
  16. 16. O que é AWS CloudTrail? • CloudTrail registra chamadas de API na sua conta e entrega um arquivo de log no seu bucket S3. • Normalmente entrega um evento dentro de 15 minutos da chamada à API. • Arquivos de Log são entregues a cada 5 minutos aproximadamente. • Múltiplos parceiros oferecem soluções integradas para análise dos arquivos de log.Image Source: Jeff Barr
  17. 17. Controle • Defesa em detalhe – Segurança em múltiplos níveis • Segurança física dos datacenters • Segurança de rede • Segurança do sistema • Segurança dos dados
  18. 18. Controle • Acesso da equipe da AWS – Exame minucioso – Equipe da AWS não tem acesso lógico às instâncias dos clientes
  19. 19. Controle • Acesso da equipe da AWS – Acesso da equipe AWS ao “control-plane” é limitado & monitorado • Bastion hosts • Modelo de privilégio mínimo
  20. 20. Controle • Acesso da equipe da AWS – Apenas quem precisa da informação, terá a informação – Acesso ao datacenter por zonas • Necessidade de negócio
  21. 21. Controle • Controle de mudanças – Operação contínua • Destruição de Dados – Mídias de armazenamento destruídas antes de permitir a saída dos nossos datacenters – Destruição de mídias consistente com a diretiva 5220.22 do departamento de defesa dos Estados Unidos
  22. 22. Controle • Responsabilidade Compartilhada – AWS faz o trabalho “pesado” – Você foca no seu negócio • AWS • Operação dos Datacenters • Segurança Física • Infraestrutura Física • Infraestrutura de rede • Infraestrutura de virtualização • Administração do ciclo de vida do hardware • Cliente • Escolha do SO da instância EC2 • Opções de configuração das Aplicações • Flexibilidade na administração das contas • Grupos de Segurança • ACLs (Listas de controle de Acesso) • Administração de identidade
  23. 23. Controle • Seus dados ficam onde você os colocou Australia
  24. 24. Amazon Virtual Private Cloud (VPC) • Cria um ambiente logicamente isolado na infraestrutura altamente escalável da Amazon • Especifique seu range de endereçamento privado de IP dentro de uma ou mais subnets, públicas ou privadas • Controle acesso “inbound” e “outbound’ (para e a partir) de subnets individuais utilizando listas de controle de acesso de rede “stateless“ (NACL) • Proteja suas instâncias com filtros “stateful” para tráfego “inbound” e “outbound”, utilizando grupos de segurança • Anexe um endereço IP Elástico em qualquer instância na sua VPC para que ela consiga ser acessada diretamente da internet • Conecte sua VPC e sua infraestrutura de TI “onsite” utilizando padrões de indústria como uma conexão criptografada (VPN) e/ou AWS Direct Connect • Utilize um assistente gráfico para facilmente criar sua VPC em 4 topologias diferentes
  25. 25. Controle • Criptografia – Clientes escolhem a solução que é melhor para eles • Regulatória • Contratual • Melhores Práticas – Opções • Automatizado – AWS administra a criptografia para o cliente • Habilitado – cliente administra a criptografia utilizando serviços AWS • Do lado do cliente – cliente administra a criptografia utilizando seus mecanismos próprios
  26. 26. AWS IAM: Inovações Recentes Controle com segurança de acesso a recursos e serviços AWS • Delegação – Papéis para EC2 – Acesso entre contas • Poderosa integração de permissões – Permissões a nível de recurso: EC2, RDS, DynamoDB, CloudFormation – Access control policy variables – Simulador de política – Suporte IAM Melhorado: SWF, EMR, Storage Gateway, CloudFormation, Redshift, Elastic Beanstalk • Federação – Federação de identidade Web – Exemplos de AD e Shibboleth – Integração de parceiros – Estudo de caso: Expedia • Autenticação Forte – MFA-protected API access – Políticas de Senha • Melhorias em documentação e vídeos
  27. 27. Segurança AWS entrega mais controle & granularidade Ajuste a implementação baseado na necessidade do seu negócio AWS CloudHSM Defesa no detalhe Rápida escalabilidade para segurança Checagem automática com AWS Trusted Advisor Controles de acesso de alta granularidade Criptografia do lado do servidor Autenticação Multi-Factor Instâncias Dedicadas Conexão direta, Storage Gateway Armazenamento de chave baseada em HSM AWS IAM Amazon VPC AWS Direct Connect AWS Storage Gateway
  28. 28. Controle • Federação SSO utilizando SAML – Suporte a SAML 2.0 – Utilize provedores de identidade SAML existentes para acessar recursos AWS • Você não precisa adicionar software! – SSO para a console de administração AWS • Nova URL de sign-in – https://signin.aws.amazon.com/SAML?Token=<yourdatahere> – Federação de API utilizando o novo assumeRoleWithSAML API
  29. 29. © 2014 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or in part without the express consent of Amazon.com, Inc. Compreendendo a Segurança na AWS Marcelo Leal Enterprise Solutions Architect Obrigado!

×