Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Segurança de ponta a ponta na AWS

3,509 views

Published on

O quesito segurança é primordial na AWS. O intuito dessa apresentação será expor padrões de seguranças, assim como, boas práticas, desde da proteção da sua conta, até aos serviços utilizados.

Published in: Technology

Segurança de ponta a ponta na AWS

  1. 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Mauricio Muñoz, Solutions Architect Junho, 2016 Segurança de ponta a ponta na AWS
  2. 2. O que esperar dessa sessão? • Analisar diferentes modelos para integrar a nuvem AWS no seu programa de segurança • Compartilhar as práticas de segurança mais utilizadas por clientes AWS com mais experiência
  3. 3. Agenda – Boas práticas de segurança Programa de Segurança Segurança como código Padrão mínimo de segurança Gestão de Ativos Gestão de Segurança
  4. 4. Criptografia onipresente Acesso JIT Trilhas onipresentes de auditoria DevSecOps API e Serviços de segurança Programa de Segurança Segurança como código Padrão mínimo de segurança Gestão de Ativos Gestão de Segurança Agenda – Boas práticas de segurança
  5. 5. Criptografia onipresente Acesso JIT Trilhas onipresentes de auditoria DevSecOps API e Serviços de segurança Programa de Segurança Segurança como código Padrão mínimo de segurança Gestão de Ativos Gestão de Segurança Agenda – Boas práticas de segurança
  6. 6. Programa de segurança – Framework Directivos Preventivos Detetivos Reativos Classificação de Controles:
  7. 7. Programa de segurança – Conceitos base Framework de Controle Funções e responsabilidades Análise de Risco e Métricas de segurança
  8. 8. Programa de segurança – Todos somos donos • Promove a cultura de “todos somos donos” • Faz com que a segurança seja enxergada como parte do sucesso do negócio • Facilita a comunicação Distribuida Embutida
  9. 9. Capability Principle Action Directive Infrastructure as code Skill up security team in code and automation, DevSecOps Design guardrails not gates Architect to drive toward good behavior Preventive Use the cloud to protect the cloud Build, operate, and manage security tools in the cloud Stay current, run secure Consume new security features; patch and replace frequently Reduce reliance on persistent access Establish role catalog; automate KMI via secrets service Detective Total visibility Aggregate AWS logs and metadata with OS and app logs Deep insights Security data warehouse with BI and analytics Responsive Scalable incident response Update IR SOP for shared responsibility framework Forensic readiness Update workloads to support forensic readiness and containment • O conceitos do AWS CAF ajudam na organização • Os princípios como base para a transformação da cultura • A implementação é através da execução de ações específicas e a medição do seu avanço Programa de segurança – Estratégia corporativa
  10. 10. Serviços Básicos Cômputo Armazenam. Banco de Dados Redes Infraestrutura global AWS Regiões Zonas de Disponibilidade Localizações de borde Governança e Risco Negócio Operações (Segurança) Conformidade Times de Produto e Plataforma Segurança Corporativa Programa de Segurança: Modelo de Responsabilidade Compartilhada Parceiros: Tecnologia Parceiros: ServiçosProfissionais
  11. 11. Programa de Segurança – Novas Contas AWS Config AWS CloudTrail Cross- Account Roles para InfoSec Gestão de credenciais (Conta Root, Usuários IAM) Federação Propriedade da conta AWS Dados de Contato (Conta AWS) Relacionamento com AWS (Vendas, Suporte) Baseline
  12. 12. Programa de Segurança – Contas antigas AWS Config AWS CloudTrail Cross- Account Roles para InfoSec Gestão de credenciais (Conta Root, Usuários IAM) Federação Propriedade da conta AWS Dados de Contato (Conta AWS) Relacionamento com AWS (Vendas, Suporte) Baseline
  13. 13. Programa de Segurança – Métricas
  14. 14. Demo • Cross-Account Roles • Verificando o status do CloudTrail
  15. 15. Criptografia onipresente Acesso JIT Trilhas onipresentes de auditoria DevSecOps API e Serviços de segurança Programa de Segurança Segurança como código Padrão mínimo de segurança Gestão de Ativos Gestão de Segurança Agenda – Boas práticas de segurança
  16. 16. Segurança como código – AWS CodeDeploy Implementação de ferramenta forense: LiME - https://github.com/504ensicslabs/lime AWS CodeDeploy:
  17. 17. Segurança como código – Pontos chave 1. Use a nuvem para proteger a nuvem 2. A infraestrutura de segurança deve “ser ciente” da nuvem 3. Publicar funcionalidades de segurança como API 4. Automatizar tudo (assim tudo pode escalar)
  18. 18. Segurança como código: Inovação, estabilidade e segurança Negócio Desenvolvimento Entregue rapidamente Operações Mantenha estável Segurança Proteja
  19. 19. Segurança como código: novo paradigma Fase de obtenção de requerimentos Release Desenvolvimento e implementação Algum aprendizado Aprendizado mínimo MUITO aprendizado
  20. 20. Segurança como código: Implementação frequente reduz risco Esforços incrementais “Minimização do risco” Implementação frequente: “Agile” Tempo Mudança Implementação esporádica: “Waterfall” Esforços maiores “Risco aumentado” Tempo Mudança
  21. 21. Segurança como código: Conceitos agile 1. Epics vs. stories Um “epic” é entregue após vários “sprint”; em um “sprint” é entregue uma (ou mais) “stories” icebox backlog  sprint 2. Dono do produto Responsável pela aceitação das estórias, decide a prioridade de cada uma e define os critérios detalhados de aceitação.
  22. 22. 3. Persona (role) Usuário fictício (personagem) dentro do sistema 4. Critério de aceite O que significa um bom entregável? Como o identificamos? 5. Formato de resumo Toda estória deve ter o mesmo formato de resumo: Eu como (persona/role) desejo (funcionalidade) de forma que (benefício). Segurança como código: Conceitos agile
  23. 23. Nivel de responsabilidade Dono - Accountable Responsável - Governança Consulta / Informativo Modelo de Responsabilidades Como saber? Me ligam no celular quando o serviço está com problema? Crio as regras/Defino a execução da implementação? Posso sugerir melhoras ao serviço? Devo saber o estado/evoluição do serviço?
  24. 24. Criptografia onipresente Acesso JIT Trilhas onipresentes de auditoria DevSecOps API e Serviços de segurança Programa de Segurança Segurança como código Padrão mínimo de segurança Gestão de Ativos Gestão de Segurança Agenda – Boas práticas de segurança
  25. 25. Evolução da Conformidade na AWS Certificações Documentação para implementação Casos de sucesso Security by Design (SbD) AWS CloudTrailAWS CloudHSM AWS IAM AWS KMS AWS Config
  26. 26. Security by Design – SbD (Segurança por padrão) Security by Design (SbD) : - Formaliza o desenho de contas, - Automatiza controles e, - Facilita a auditoria. Enfoque sistemático para aplicar controles de segurança no momento da implementação. AWS CloudTrail AWS CloudHSM AWS IAM AWS KMS AWS Config
  27. 27. Controles no ambiente • Regras de firewall • ACLs de rede • Sincronização de horário • Redes internas e externas • Regras de NAT • Golden images • Algoritmos de criptografia em trânsito e em repouso Golden Code: Segurança traduzida na AWS Tradução AWS Golden Image, NTP, NAT ACLs de rede, Subnets, regras de FW
  28. 28. SbD: A grande evolução de IT GRC AWS fornece às equipes de GRC: 1. A tecnologia: AWS 2. A documentação: SbD Whitepaper 3. Templates de segurança: AWS GoldBase 1. Matriz de implementação de controles de segurança 2. Arquiteturas (diagramas) 3. Templates AWS CloudFormation – conformidade com PCI, NIST 800-53, HIPAA, FFIEC CJIS 4. Guias de usuário e Manual de instruções 4. AWS Config Rules – Pacotes pré-definidos 5. AWS Inspector – Pacotes pré-definidos 6. Treinamento AWS CloudTrailAWS CloudHSM AWS IAM AWS KMS AWS Config
  29. 29. Criptografia onipresente Acesso JIT Trilhas onipresentes de auditoria DevSecOps API e Serviços de segurança Programa de Segurança Segurança como código Padrão mínimo de segurança Gestão de Ativos Gestão de Segurança Agenda – Boas práticas de segurança
  30. 30. Demo • Cross-account asset attributes
  31. 31. Criptografia onipresente Acesso JIT Trilhas onipresentes de auditoria DevSecOps API e Serviços de segurança Programa de Segurança Segurança como código Padrão mínimo de segurança Gestão de Ativos Gestão de Segurança Agenda – Boas práticas de segurança
  32. 32. VPC Peering • Serviços compartilhados de segurança em VPC separada • 1:1 peering = Isolamento de aplicações • Aplicam SecGroups e NACLs Região AWS Aplicação Web Pública Aplicação Interna #1 Terminadores VPN HA DataCenter On-premises Aplicação Interna #2 Aplicação Interna #3 Aplicação Interna #4 VPC de Serviços Desenvolvimento QA AD, DNS Monitoring Logging Implementando uma camada de gestão de segurança
  33. 33. Criptografia onipresente Acesso JIT Trilhas onipresentes de auditoria DevSecOps API e Serviços de segurança Programa de Segurança Segurança como código Padrão mínimo de segurança Gestão de Ativos Gestão de Segurança Agenda – Boas práticas de segurança
  34. 34. Criptografia onipresente AWS CloudTrail AWS IAM EBS RDS Amazon Redshift S3 Glacier Criptografia em trânsito Criptografia em repouso Totalmente auditável Gerenciamento de chaves Acesso restrito
  35. 35. Criptografia onipresente Acesso JIT Trilhas onipresentes de auditoria DevSecOps API e Serviços de segurança Programa de Segurança Segurança como código Padrão mínimo de segurança Gestão de Ativos Gestão de Segurança Agenda – Boas práticas de segurança
  36. 36. Reduzir acessos de longo prazo, privilegiados • APIs: AssumeRole and GetFederationToken • Desenvolvimento de aplicações • Federação • Acesso Cross-Account • Acesso JIT • Use APIs para permitir acessos de administração à rede somente quando requerido. • Integre com ferramentas de tickets, para automatizar a criação de bastion ou Secgroups
  37. 37. Criptografia onipresente Acesso JIT Trilhas onipresentes de auditoria DevSecOps API e Serviços de segurança Programa de Segurança Segurança como código Padrão mínimo de segurança Gestão de Ativos Gestão de Segurança Agenda – Boas práticas de segurança
  38. 38. Auditoria Onipresente: Fluxo de logs Logs Permissões Amazon EMR Amazon Glacier Amazon Redshift Amazon S3 Grava no S3 Normalização no EMR e envio para o RedShift Instâncias Amazon EC2 Análise com ferramentas de BI Archiving no Amazon Glacier AWS CloudTrail Encriptação de ponta a ponta
  39. 39. Auditoria Onipresente: O que procura nos logs? • Permissões não utilizadas • Contas privilegiadas usadas em excesso • Uso de chaves de criptografia • Inícios de sessão fora do normal • Violação de políticas • Uso abusivo de sistemas …. • Obtenha os dados, guarde…. Dê múltiples usos!
  40. 40. Demo • CloudWatch Logs • VPC Flow log
  41. 41. Criptografia onipresente Acesso JIT Trilhas onipresentes de auditoria DevSecOps API e Serviços de segurança Programa de Segurança Segurança como código Padrão mínimo de segurança Gestão de Ativos Gestão de Segurança Agenda – Boas práticas de segurança
  42. 42. Version Control Servidor CI Package Builder Deploy ServerCommit to repoDev Pull Code AMIs Envia relatórios de builds e parar o processo se falhar Staging Teste Testes do código Produção Push Config Instalação Criação Repo Templates AWS CloudFormation para o ambiente Geração DevOps DevSecOps Repositório de Segurança Testes de Vulnerabilidade • Testes da Infraestrutura de segurança • Testes unitários de segurança na App Ambientes Send build report to dev and stop everything if build failed
  43. 43. Controle de versões Compilar/ Build Dev Testes unitários IT Ops DR Test Prod Dev Aplicação Escrever Código Infraestrutura CloudFormation tar, war, zip yum, rpm Deploy Pacote da Aplicação Só deploy da aplicação Só deploy da infra AMI Construir AMIs Validar templates Escrever código Infra Deploy (Infra) Automatizar deployment Repositório de artefactos Processo de CI/CD e automatização para a Infraestrutura de Segurança Amb.
  44. 44. Criação do time de DevSecOps • Faça do DevOps o trabalho do time de segurança. • Evite silos – Times isolados. • Encoraje os desenvolvedores {de segurança} a participar abertamente na automação do código de operações. • Incentive a área de operações {de segurança} a participar nos testes e automação do código da aplicação. • Orgulhe-se do rápido e frequente que consegue fazer deployments.
  45. 45. Criptografia onipresente Acesso JIT Trilhas onipresentes de auditoria DevSecOps API e Serviços de segurança Programa de Segurança Segurança como código Padrão mínimo de segurança Gestão de Ativos Gestão de Segurança Agenda – Boas práticas de segurança
  46. 46. Segurança como código: Elementos Shared Responsibility Model Identity and Access Control Logging and Monitoring Infrastructure Security Data Protection Secure Continuous Integration/ Continuous Delivery Toolchain Configuration and Vulnerability Analysis Big Data and Predictive Analytics
  47. 47. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Inajá Azevedo, CTO & Founder Guia Bolso Junho, 2016 Caso de Uso – Guia Bolso
  48. 48. “AWS permitiu ao GuiaBolso a criação de uma plataforma escalável” GuiaBolso é uma fintech brasileira com foco em ajudar os brasileiros a entenderem melhor sobre finanças Com mais de 2 milhões de usuários conectados, a plataforma GuiaBolso opera 100% na AWS. “AWS também garantiu ferramentas de monitoramento e criptografia avançadas ” - Inajá Azevedo, Co-Founder & CTO
  49. 49. O Desafio Segurança – garantir uma estrutura que garanta visibilidade de todos os eventos da plataformna Escalabilidade – suportar milhões de usuários Performance/custo – ser capaz de processor milhões de dados para oferecer a melhor consultoria/recomendação para nossos usuários
  50. 50. Segurança começa no design Amazon VPC GB Front end security group VPC peering security group Amazon VPC GB CORE layer 1
  51. 51. Criptografia é muito importante Amazon VPCs Amazon KMS Amazon RDS & Redshift
  52. 52. Monitorar todos os eventos Amazon VPCs Amazon CloudWatch Alerts Amazon SWF Amazon RDS & Redshift
  53. 53. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Inajá Azevedo, CTO & Founder Guia Bolso Junho, 2016 Caso de Uso – Guia Bolso
  54. 54. Próximos passos Estória: Como analista de segurança, eu quero monitorar as interações com as APIs da AWS, de forma que possa criar uma linha base do comportamento dos usuários. Sprint 1: Habilite AWS CloudTrail (globalmente) Estória: Como analista de operações (segurança), eu quero tomar ações acima das alarmes de CloudWatch, de forma que possa reduzir o risco. Sprint 2: Integre as alarmes no workflow de segurança e ferramentas de tickets
  55. 55. Estratégia e Valor Por que investir? Por que mudar? Como medir o sucesso? Processos Como estruturar programas da nuvem? Como controlar a qualidade da entrega? Pessoas Quais habilidades são requeridas? Como compor o time para migração? Maturidade Quais são as prioridades? Quando entregar? Plataforma Como desenhar as bases? Como migrar workloads? Operações Quais são as capacidades chave? Qual o novo ciclo de Gestão de TI e Segurança? Segurança Teremos aumentos de risco? É possível implementar a nuvem em conformidade e de forma segura? AWS Cloud Adoption Framework
  56. 56. AWS Marketplace – Ecosistema de Parceiros Segurança da Infraestrutura SECURITY Logging Monitoração Controle de acesso e identidade Análise de Vulnerabilidades Proteção de Dados Network Infrastructure SaaS SaaS SaaS

×