Segurança na Nuvem da AWS

582 views

Published on

Deck de slides do webinar Segurança na Nuvem da AWS

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
582
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
61
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • http://www.usaid.gov/policy/ads/500/d522022m.pdfhttp://csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_with-errata.pdf
  • https://aws.amazon.com/security/penetration-testing/
  • Segurança na Nuvem da AWS

    1. 1. Segurança na NuvemMichel PereiraSolutions Architectmichelp@amazon.com
    2. 2. Modelo de segurança na nuvem AWS
    3. 3. Modelo de segurança na nuvem AWS• Certificações• Modelo de segurança compartilhado• Segurança física• Gerenciamento dos acessos administrativos• Segurança da VM• Segurança na rede
    4. 4. AWS Security and Compliance Center• Respostas para as principais perguntas sobresegurança e privacidade• Boletins de segurança• Melhores práticas em segurançahttp://aws.amazon.com/security
    5. 5. Principais conceitos de segurança
    6. 6. Modelo de responsabilidade compartilhadaAWS• Prédios• Segurança física• Infraestrutura• Rede• VirtualizaçãoClienteSistema operacionalAplicaçõesSecurity GroupsFirewall no SOConfiguração da redeGerenciamento de contas
    7. 7. AWS Identity and Access Management (IAM)• Usuários e Grupos• Credenciais únicas• Permissão de acesso• Integrado comserviços AWS• Proxy e Federaçãopara autenticação
    8. 8. AWS Multi-Factor Authentication• Proteção adicionalpara a conta• Loga com usuário,senha e o token• Integrado com oConsole• Integração com o S3
    9. 9. Integração com o S3• Usuário A tem permissão para publicararquivos no S3• Usuário B tem permissão para remover osarquivos usando a autenticação via token• Usuário C tem permissão de listar o conteúdodo bucket
    10. 10. Separação de falhas• Uma região não interfere em outra• Cada zona de disponibilidade tem 2 oumais datacenters independentes.• Sempre use 2 ou mais zonas.
    11. 11. AWS – Infraestrutura GlobalUS-WEST (Oregon)EU-WEST (Ireland)ASIA PAC (Tokyo)US-WEST (N. California)SOUTH AMERICA (Sao Paulo)US-EAST (Virginia)AWS GovCloud (US)ASIA PAC(Sydney)ASIA PAC(Singapore)
    12. 12. Atualização da nossa infraestruturaSegue a ordem:• Rack• Zona de disponibilidade• Região• Mundo
    13. 13. Descarte dos discos
    14. 14. Descarte dos discosTodos os dispositivos de armazenamentopassam pelo processo
    15. 15. Descarte dos discosUsa as técnicas:• DoD 5220.22-M (“National Industrial SecurityProgram Operating Manual “)• NIST 800-88 (“Guidelines for Media Sanitization”)
    16. 16. E finalmente...
    17. 17. ...o disco é desmagnetizado
    18. 18. EC2
    19. 19. EC2Autenticação através de chaves assimétricasindividuaisQuando a instância ficar pronta:• Entre nela• Crie uma nova chave• Remova a chave criada pela AWS
    20. 20. EC2 - FirewallSecurity Groups é o nosso firewall• Tudo fechado por padrão• Nunca edite o Security Group „default‟• Controle de acesso na instância usando IP deorigem e porta de destino• Network ACL quando dentro da VPC
    21. 21. EC2 - DiscoA instância só tem acesso aos discos associados àela• Na primeira escrita o volume é sanitizado, por issoa primeira escrita é mais lenta• As escritas sequentes são rápidas• A instância só tem acesso aos discos da mesmaconta, não pode ver discos de outros
    22. 22. Segurança na rede
    23. 23. Segurança na rede - DDoS• Monitoramento básico• Não respondemos aos ataques pois nãosabemos se é tráfego legítimo ou um ataque• O cliente pode nos acionar para ajudá-los aresponder a um ataque• Garanta que a sua arquitetura seja resiliente(Solutions Architect)
    24. 24. Segurança na rede• IP Spoofing é bloqueado na interface de rede• Sniffer não funciona na rede, só monitora tráfegoda sua instância• Port Scanning• Violação dos termos de uso• Detectado automaticamente, bloqueado e vamos falarcom você• Se precisar fazer, tem um formulário que você podepreencher e ter as suas instâncias liberadastemporariamente
    25. 25. VPC
    26. 26. VPC• Rede isolada logicamente na AWS• Usa o endereçamento IP que você definir:• 10.0.0.0/8• 172.16.0.0/16• 192.168.0.0/24• Network ACL• Security Groups• VPN com IPSec para conectar ao seu ambiente
    27. 27. Certificações
    28. 28. Certificações• Sarbanes-Oxley (SOX) compliance• ISO 27001 Certification• PCI DSS Level I Certification• HIPAA compliant architecture• SAS 70 Type II Audit• FISMA Low ATO• Pursuing FISMA Moderate ATO• Pursuing DIACAP MAC II I -Sensitive• FedRAMP• Service Health Dashboard
    29. 29. Certificações – SOX• Controles foram criados• e o relatório confirma• que foram implementados• para proteger os dados dos clientes• em todos os datacenters
    30. 30. Certificações – ISO 27001• Padrão global para gerenciamento de sistemasde segurança da informação• Para ter a certificação tem que provar que aempresa consegue gerenciar os riscos desegurança que afetam a:– confidencialidade,– integridade e a– disponibilidade– dos dados dos nossos clientes
    31. 31. Certificações – PCI DSS Level 1• PCI – Payment Card industry• DSS – Data Security Standards• Level 1 – mais que 300 mil transações por ano• Podem usar nossa infraestrutura para:– armazenar– processar e– transmitir dados de cartão de crédito.
    32. 32. Informações• AWS Security Center– http://aws.amazon.com/security/• AWS Compliance– http://aws.amazon.com/compliance/• AWS Multi-Factor Authentication– http://aws.amazon.com/mfa/• Security Bulletins– http://aws.amazon.com/security/security-bulletins/• Penetration Testing– http://aws.amazon.com/security/penetration-testing/
    33. 33. michelp@amazon.comMichel PereiraSolutions Architect

    ×