AWS Seg Nuvem

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Gustavo Rozatti – Solutions Architect
rozattig@amazon.com
Escalando com Segurança na Nuvem

Agenda
• Controles da AWS que Você não precisa ser preocupar
• Framework para ajudar Você a se adaptar mais rapidamente à nuvem
• Serviços AWS que Você deveria estar usando
• Arquiteturas de referência que Você pode usar

Agenda

Controles de Segurança AWS

2,500+

Gostaria de ser um
SSD no Datacenter
de outra empresa ...

AWS Foundation Services
Compute Storage Database Networking
AWS Global
Infrastructure Regions
Availability Zones
Edge Locations
Sua própria
acreditação
Sua próprias
certificações
Sua próprias
auditorias esternasClienteAWS
O escopo e esforço
do cliente são
reduzidos
Melhores resultados
através de esforços
focados
Construído sobre os
controles
consistentes AWS

Cloud Adoption Framework
• Cada Perspectiva fornece
orientação para partes diferentes
da organização
• Ajuda você a adaptar as práticas
existentes ou introduzir novas
para computação em nuvem

A Jornada de Segurança para a Nuvem
Segurança na nuvem é familiar.
O aumento de agilidade e a capacidade de realizar ações de
forma mais rápida, em escala maior e a menor custo, não
invalidam princípios bem estabelecidos de segurança da
informação.

A perspectiva de segurança do CAF
5 Capacidades Principais
Gerenciamento de Identidade e Acesso
Controles Detectivos
Segurança de Infraestrutura
Proteção de Dados
Resposta a Incidentes

Escalando para >1 Milhão de Usuários
RDS DB Instance
Active (Multi-AZ)
Availability Zone
ELB
Balancer
RDS DB Instance
Read Replica
RDS DB Instance
Read Replica
Web
Instance
Web
Instance
Web
Instance
Web
Instance
Amazon
Route 53
User
Amazon S3
Amazon
CloudFront
DynamoDB
Amazon SQS
ElastiCache
Worker
Instance
Worker
Instance
Amazon
CloudWatch
Internal App
Instance
Internal App
Instance Amazon SES
Lambda

Segurança já é parte da solução…
Security Groups
são firewalls
virtuais que
controlam o
tráfego de rede
para um ou mais
recursos.
AWS IAM controla o
acesso dos seus
usuários aos recursos
AWS de forma segura

Segurança já é parte da solução…

Gerenciamento de Identidade e Acesso
AWS
Organizations AWS IAM
AWS Security Token
Service

Controles Detectivos
AWS
CloudTrail
Amazon
CloudWatch
AWS Config
Amazon
Inspector
VPC Flow Logs
Conta Recursos Rede

Controles Detectivos - VPC Flow Logs

Segurança de Infraestrutura
AWS OpsWorks
AWS Shield
AWS WAF
Recursos Rede
AWS Trusted
Advisor
AWS Config
Rules

Segurança de Infraestrutura – AWS Config Rules
• Amazon CloudTrail deveria estar ativado…
• Está?
• Todos os volumes EBS criptografados…
• Estão?
• Todos os security groups não devem ter acesso irrestrito à
porta 22.
• Têm?

• Codifique e automatize suas próprias práticas
• Comece com os exemplos em AWS Lambda
• Implemente diretrizes para as melhores práticas de
segurança e conformidade
• Use regras de vários parceiros da AWS
• Veja conformidade em um painel único

Proteção de Dados
AWS CloudHSM AWS Key Management Service
AWS Certificate Manager

Proteção de Dados – Criptografia
Criptografia em trânsito
SSL/TLS
VPN / IPSEC
SSH
Criptografia em repouso
Objeto
Banco de Dados
Sistema de Arquivos
Disco

Proteção de Dados – AWS Certificate Manager
• AWS Certificate Manager (AWS ACM) é um serviço que
permite provisionar, gerenciar e implantar certificados TLS
para uso em Amazon Elastic Load Balancer ou uma
distribuição Amazon CloudFront.
• Sem taxas adicionais para provisionamento de certificados TLS
• Gerencia o processo de renovação de ceriticados TLS
• Certificados são verificados pela Autoridade Certificadora (CA) da
Amazon, Amazon Trust Services (ATS)

Proteção de Dados – AWS Certificate Manager

Proteção de Dados – AWS KMS
Data key 1
S3 object EBS
volume
Amazon
Redshift
cluster
Data key 2 Data key 3 Data key 4
Custom
application
Customer Master Keys

Resposta a Incidentes
Amazon
CloudWatch
Amazon
Lambda

Resposta a Incidentes – AWS CloudWatch Events

Resposta a Incidentes– AWS CloudWatch Events

Resposta a Incidente – Lambda Log
from __future__ import print_function
import json
def lambda_handler(event, context):
print(json.dumps(event, indent=2))

Reposta a Incidente – Lambda Respond
cloudtrail = boto3.client('cloudtrail')
trail_arn =
event["detail"]["requestParameters"]["name
"]
ct_response = cloudtrail.start_logging(
Name = trail_arn
)

Respota a Incidente – Lambda Notify
sns_topic = "arn:aws:sns:us-east-1:123459227412:reporter-topic"
subject = 'EVENT: ' + event["detail"]["eventName"]
message = "What happened? " + event["detail"]["eventName"] + "n"
"What service? " + event["detail"]["eventSource"] + "n"
"Where? " + event["detail"]["awsRegion"] + "n"
"When? " + event["detail"]["eventTime"] + "n"
"Who? " + str(json.dumps(event["detail"]["userIdentity"], indent=2))
sns = boto3.client('sns')
sns_response = sns.publish(
TopicArn = sns_topic,
Message = message,
Subject = subject,
MessageStructure = 'string'
)

Resposta a Incidente – Amazon SNS Notification

Resposta a Incidente – Completo

Escalando para >1 Milhão de Usuários
RDS DB Instance
Active (Multi-AZ)
Availability Zone
ELB
Balancer
RDS DB Instance
Read Replica
RDS DB Instance
Read Replica
Web
Instance
Web
Instance
Web
Instance
Web
Instance
Amazon
Route 53
User
Amazon S3
Amazon
CloudFront
DynamoDB
Amazon SQS
ElastiCache
Worker
Instance
Worker
Instance
Amazon
CloudWatch
Internal App
Instance
Internal App
Instance Amazon SES
Lambda
AWS
WAF
AWS
Shield
AWS
Organizations
AWS
CloudTrail
AWS
Config
VPC Flow Logs
Amazon
Inspector
AWS
OpsWorks
307200 12441,6

Implemente Rapidamente Onde Você Quiser
16 Regions – 42 Availability Zones – 68 Edge Locations
Regiões e Zonas de Disponibilidade
AWS GovCloud (2) EU
Ireland (3)
US West Frankfurt (2)
Oregon (3) London (2)
Northern California (3)
Asia Pacific
US East Singapore (2)
N. Virginia (5), Ohio (3) Sydney (2), Tokyo (3),
Seoul (2), Mumbai (2)
Canada
Central (2) China
Beijing (2)
South America
São Paulo (3)

Parceiros de Segurança no AWS Marketplace
Infrastructure
Security
Logging &
Monitoring
Identity & Access
Control
Configuration &
Vulnerability Analysis
Data Protection

Resumo
• Benefícios de Segurança AWS:
• Conformidade e Segurança integradas
• Resiliência Global, Visibilidade e Controle
• Mantém Sua Privacidade e Propriedade dos Dados
• Agilidade Através da Automação de Segurança
• Inovações de Seguranca em Escala
• Várias Parceiros de Segurança e Soluções de Marketplace

“A AWS permitiu a nossa empresa
automatizar o uso da infraestrutura, e
conhecer o real custo de infra para a Rede”
• Redecard é a 6a maior adquirente do
mundo e 2a maior empresa de
captura de transações de cartões do
Brasil.
• Atualmente possuimos 18 milhões de
transações capturadas por dia e
estamos focando em melhorar os
serviços de canais digitais utilizando a
AWS.
“Além do valor da
automação e identificação
do custo da infraestrutura
conseguimos atender
melhor o Time to Market e
redução do lead time dos
produtos”
- Marcos Rodrigues,
Coordenador de Cloud e
Devops REDE

O Desafio
• Escalar o ambiente de forma ágil e com segurança
• Manter monitoração de segurança em tempo real
• Atender os picos de uso
• Manter o sistema em compliance check.

Solução
Amazon
VPC
Amazon
EC2
Amazon
CloudFront
Elastic Load
Balancing
Amazon
S3
Amazon
CloudWatch
Amazon
Route 53
Amazon
RDS
Amazon
SQS
AWS Elastic Beanstalk
AWS
Lambda
Amazon API
Gateway*
Auto ScalingAWS
CloudFormation
AWS CloudTrail AWS Config AWS Shield AWS WAF AWSKMS

Ainda não tem o App oficial do
AWS Summit São Paulo?
http://amzn.to/2rOcsVy
Não deixe de avaliar as sessões no app!

AWS Seg Nuvem

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to AWS Seg Nuvem

Similar to AWS Seg Nuvem (20)

More from Amazon Web Services LATAM

More from Amazon Web Services LATAM (20)

AWS Seg Nuvem

Editor's Notes