Segurança de ponta a ponta na AWS
57
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Mauricio Muñoz, Solutions Architect Junho, 2016 Segurança de ponta a ponta na AWS
-
Upload
amazon-web-services-latam -
Category
Technology
-
view
953 -
download
1
Transcript of Segurança de ponta a ponta na AWS
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Mauricio Muñoz, Solutions Architect
Junho, 2016
Segurança de ponta a ponta na AWS
O que esperar dessa sessão?
• Analisar diferentes modelos para integrar a nuvem AWS no seu
programa de segurança
• Compartilhar as práticas de segurança mais utilizadas por clientes
AWS com mais experiência
Agenda – Boas práticas de segurança
Programa de Segurança
Segurançacomo código
Padrãomínimo de segurança
Gestão de Ativos
Gestão de Segurança
Criptografiaonipresente
Acesso JITTrilhas
onipresentesde auditoria
DevSecOps
API e Serviços de segurança
Programa de Segurança
Segurançacomo código
Padrãomínimo de segurança
Gestão de Ativos
Gestão de Segurança
Agenda – Boas práticas de segurança
Criptografiaonipresente
Acesso JITTrilhas
onipresentesde auditoria
DevSecOps
API e Serviços de segurança
Programa de Segurança
Segurançacomo código
Padrãomínimo de segurança
Gestão de Ativos
Gestão de Segurança
Agenda – Boas práticas de segurança
Programa de segurança – Framework
Directivos
Preventivos
Detetivos
Reativos
Classificação de Controles:
Programa de segurança – Conceitos base
Framework
de ControleFunções e
responsabilidades
Análise de Risco
e Métricas de
segurança
Programa de segurança – Todos somos donos
• Promove a cultura de “todos somos donos”
• Faz com que a segurança seja enxergada como parte do sucesso do
negócio
• Facilita a comunicação
Distribuida Embutida
Capability Principle Action
DirectiveInfrastructure as code Skill up security team in code and automation, DevSecOps
Design guardrails not gates Architect to drive toward good behavior
PreventiveUse the cloud to protect the cloud Build, operate, and manage security tools in the cloudStay current, run secure Consume new security features; patch and replace frequently Reduce reliance on persistent access Establish role catalog; automate KMI via secrets service
DetectiveTotal visibility Aggregate AWS logs and metadata with OS and app logs
Deep insights Security data warehouse with BI and analytics
ResponsiveScalable incident response Update IR SOP for shared responsibility framework
Forensic readiness Update workloads to support forensic readiness and containment
• O conceitos do AWS CAF ajudam na organização
• Os princípios como base para a transformação da cultura
• A implementação é através da execução de ações específicas
e a medição do seu avanço
Programa de segurança – Estratégia corporativa
Serviços Básicos
Cômputo Armazenam. Banco de Dados Redes
Infraestruturaglobal AWS Regiões
Zonas de Disponibilidade Localizações de
borde
Governança e Risco
Neg
óci
o
Operações(Segurança)
Conformidade
Times de Produto e Plataforma
Segu
ran
çaC
orp
ora
tiva
Programa de Segurança: Modelo de Responsabilidade Compartilhada
Par
ceir
os:
Tecn
olo
gia
Par
ceir
os:
Se
rviç
os
Pro
fiss
ion
ais
Programa de Segurança – Novas Contas
AWS
Config
AWS
CloudTrail
Cross-
Account
Roles para
InfoSec
Gestão de
credenciais
(Conta Root,
Usuários IAM)
Federação
Propriedade da
conta AWS
Dados de Contato
(Conta AWS)
Relacionamento com
AWS
(Vendas, Suporte)
Baseline
Programa de Segurança – Contas antigas
AWS
Config
AWS
CloudTrail
Cross-
Account
Roles para
InfoSec
Gestão de
credenciais
(Conta Root,
Usuários IAM)
Federação
Propriedade da
conta AWS
Dados de Contato
(Conta AWS)
Relacionamento com
AWS
(Vendas, Suporte)
Baseline
Programa de Segurança – Métricas
Demo
• Cross-Account Roles
• Verificando o status do CloudTrail
Criptografiaonipresente
Acesso JITTrilhas
onipresentesde auditoria
DevSecOps
API e Serviços de segurança
Programa de Segurança
Segurançacomo código
Padrãomínimo de segurança
Gestão de Ativos
Gestão de Segurança
Agenda – Boas práticas de segurança
Segurança como código – AWS CodeDeploy
Implementação de ferramenta forense:
LiME - https://github.com/504ensicslabs/lime
AWS CodeDeploy:
Segurança como código – Pontos chave
1. Use a nuvem para proteger a nuvem
2. A infraestrutura de segurança deve “ser ciente” da
nuvem
3. Publicar funcionalidades de segurança como API
4. Automatizar tudo (assim tudo pode escalar)
Segurança como código:
Inovação, estabilidade e segurança
Negócio
Desenvolvimento
Entregue
rapidamente
Operações
Mantenha
estável
Segurança
Proteja
Segurança como código: novo paradigma
Fase de
obtenção de
requerimentos
ReleaseDesenvolvimento e
implementação
Algum aprendizado
Aprendizado mínimo
MUITO aprendizado
Segurança como código: Implementação frequente reduz risco
Esforços incrementais
“Minimização do risco”
Implementação frequente:
“Agile”
Tempo
Mudança
Implementação esporádica:
“Waterfall”
Esforços maiores
“Risco aumentado”
Tempo
Mudança
Segurança como código: Conceitos agile
1. Epics vs. stories
Um “epic” é entregue após vários “sprint”; em um “sprint” é
entregue uma (ou mais) “stories”
icebox backlog sprint
2. Dono do produto
Responsável pela aceitação das estórias, decide a
prioridade de cada uma e define os critérios detalhados de
aceitação.
3. Persona (role)
Usuário fictício (personagem) dentro do sistema
4. Critério de aceite
O que significa um bom entregável? Como o identificamos?
5. Formato de resumo
Toda estória deve ter o mesmo formato de resumo:
Eu como (persona/role) desejo (funcionalidade) de forma que
(benefício).
Segurança como código: Conceitos agile
Nivel de responsabilidade
Dono - Accountable
Responsável - Governança
Consulta / Informativo
Modelo de Responsabilidades
Como saber?
Me ligam no celular quando o
serviço está com problema?
Crio as regras/Defino a execução
da implementação?
Posso sugerir melhoras ao
serviço?
Devo saber o estado/evoluição do
serviço?
Criptografiaonipresente
Acesso JITTrilhas
onipresentesde auditoria
DevSecOps
API e Serviços de segurança
Programa de Segurança
Segurançacomo código
Padrãomínimo de segurança
Gestão de Ativos
Gestão de Segurança
Agenda – Boas práticas de segurança
Evolução da Conformidade na AWS
Certificações
Documentaçãopara implementação
Casos de sucesso
Security by Design
(SbD)
AWS
CloudTrailAWS
CloudHSM
AWS IAMAWS KMS
AWS
Config
Security by Design – SbD
(Segurança por padrão)
Security by Design (SbD) :
- Formaliza o desenho de
contas,
- Automatiza controles e,
- Facilita a auditoria.
Enfoque sistemático para aplicar
controles de segurança no
momento da implementação.
AWS
CloudTrailAWS
CloudHSM
AWS IAMAWS KMS
AWS
Config
Controles no ambiente
• Regras de firewall
• ACLs de rede
• Sincronização de horário
• Redes internas e externas
• Regras de NAT
• Golden images
• Algoritmos de criptografia em
trânsito e em repouso
Golden Code: Segurança traduzida na AWS
Tradução AWS
Golden Image,
NTP, NAT
ACLs de rede,
Subnets, regras
de FW
SbD: A grande evolução de IT GRC
AWS fornece às equipes de GRC:
1. A tecnologia: AWS
2. A documentação: SbD Whitepaper
3. Templates de segurança: AWS GoldBase
1. Matriz de implementação de controles de segurança
2. Arquiteturas (diagramas)
3. Templates AWS CloudFormation – conformidade com PCI,
NIST 800-53, HIPAA, FFIEC CJIS
4. Guias de usuário e Manual de instruções
4. AWS Config Rules – Pacotes pré-definidos
5. AWS Inspector – Pacotes pré-definidos
6. Treinamento
AWS
CloudTrailAWS
CloudHSM
AWS IAMAWS KMS
AWS
Config
Criptografiaonipresente
Acesso JITTrilhas
onipresentesde auditoria
DevSecOps
API e Serviços de segurança
Programa de Segurança
Segurançacomo código
Padrãomínimo de segurança
Gestão de Ativos
Gestão de Segurança
Agenda – Boas práticas de segurança
Demo
• Cross-account asset attributes
Criptografiaonipresente
Acesso JITTrilhas
onipresentesde auditoria
DevSecOps
API e Serviços de segurança
Programa de Segurança
Segurançacomo código
Padrãomínimo de segurança
Gestão de Ativos
Gestão de Segurança
Agenda – Boas práticas de segurança
VPC Peering
• Serviços
compartilhados de
segurança em
VPC separada
• 1:1 peering =
Isolamento de
aplicações
• Aplicam
SecGroups e
NACLs
Região
AWS
Aplicação Web
Pública
Aplicação
Interna
#1
Terminadores
VPN
HADataCenter On-premises
Aplicação
Interna #2Aplicação
Interna #3
Aplicação
Interna
#4VPC de
Serviços
Desenvolvimento QA
AD, DNS
Monitoring
Logging
Implementando uma camada de gestão de segurança
Criptografiaonipresente
Acesso JITTrilhas
onipresentesde auditoria
DevSecOps
API e Serviços de segurança
Programa de Segurança
Segurançacomo código
Padrãomínimo de segurança
Gestão de Ativos
Gestão de Segurança
Agenda – Boas práticas de segurança
Criptografia onipresente
AWS CloudTrail
AWS IAM
EBS
RDS
Amazon
Redshift
S3
Glacier
Criptografia
em trânsito
Criptografia
em repouso
Totalmente
auditável
Gerenciamento
de chaves
Acesso
restrito
Criptografiaonipresente
Acesso JITTrilhas
onipresentesde auditoria
DevSecOps
API e Serviços de segurança
Programa de Segurança
Segurançacomo código
Padrãomínimo de segurança
Gestão de Ativos
Gestão de Segurança
Agenda – Boas práticas de segurança
Reduzir acessos de longo prazo, privilegiados
• APIs: AssumeRole and GetFederationToken• Desenvolvimento de aplicações
• Federação
• Acesso Cross-Account
• Acesso JIT• Use APIs para permitir acessos de administração à rede
somente quando requerido.
• Integre com ferramentas de tickets, para automatizar a criação
de bastion ou Secgroups
Criptografiaonipresente
Acesso JITTrilhas
onipresentesde auditoria
DevSecOps
API e Serviços de segurança
Programa de Segurança
Segurançacomo código
Padrãomínimo de segurança
Gestão de Ativos
Gestão de Segurança
Agenda – Boas práticas de segurança
Auditoria Onipresente:
Fluxo de logs
Logs
Permissões
Amazon EMR
Amazon Glacier
Amazon Redshift
Amazon S3
Grava no S3
Normalização no EMR
e envio para o RedShift
Instâncias
Amazon EC2
Análise com
ferramentas de BI
Archiving no
Amazon Glacier
AWS CloudTrail
Encriptação
de ponta a
ponta
Auditoria Onipresente: O que procura nos logs?
• Permissões não utilizadas
• Contas privilegiadas usadas em excesso
• Uso de chaves de criptografia
• Inícios de sessão fora do normal
• Violação de políticas
• Uso abusivo de sistemas
….
• Obtenha os dados, guarde…. Dê múltiples usos!
Demo
• CloudWatch Logs
• VPC Flow log
Criptografiaonipresente
Acesso JITTrilhas
onipresentesde auditoria
DevSecOps
API e Serviços de segurança
Programa de Segurança
Segurançacomo código
Padrãomínimo de segurança
Gestão de Ativos
Gestão de Segurança
Agenda – Boas práticas de segurança
Version
Control
Servidor
CI
Package
Builder
Deploy
ServerCommit to
repoDev
Pull
Code
AMIs
Envia relatórios de builds e
parar o processo se falhar
Staging
Teste
Testes do
código
Produção
Push
Config Instalação
Criação
Repo
Templates
AWS CloudFormation
para o ambiente
Geração
DevOps DevSecOps
Repositório
de Segurança
Testes de
Vulnerabilidade
• Testes da Infraestrutura
de segurança
• Testes unitários de
segurança na App
Ambientes
Send build report to dev and
stop everything if build failed
Controle de versões
Compilar/
Build
Dev
Testes
unitários
IT Ops
DR
Test
Prod
Dev
Aplicação
Escrever
Código
Infraestrutura
CloudFormation
tar, war, zip
yum, rpmDeploy
Pacote da
Aplicação
Só deploy da aplicação
Só deploy da infraAMI
Construir
AMIsValidar
templates
Escrever
código
Infra
Deploy
(Infra)
Automatizar
deployment
Repositório de artefactos
Processo de CI/CD e automatização para a
Infraestrutura de Segurança
Amb.
Criação do time de DevSecOps
• Faça do DevOps o trabalho do time de segurança.• Evite silos – Times isolados.
• Encoraje os desenvolvedores {de segurança} a participar abertamente na automação do código de operações.
• Incentive a área de operações {de segurança} a participar nos testes e automação do código da aplicação.
• Orgulhe-se do rápido e frequente que consegue fazer deployments.
Criptografiaonipresente
Acesso JITTrilhas
onipresentesde auditoria
DevSecOps
API e Serviços de segurança
Programa de Segurança
Segurançacomo código
Padrãomínimo de segurança
Gestão de Ativos
Gestão de Segurança
Agenda – Boas práticas de segurança
Segurança como código: Elementos
Shared Responsibility
Model
Identity and Access Control
Logging and
Monitoring
Infrastructure
Security
Data Protection
Secure Continuous Integration/Continuous
Delivery Toolchain
Configuration and
Vulnerability Analysis
Big Data and
Predictive Analytics
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Inajá Azevedo, CTO & Founder
Guia Bolso
Junho, 2016
Caso de Uso – Guia Bolso
“AWS permitiu ao GuiaBolso a criação de uma
plataforma escalável”
GuiaBolso é uma fintech brasileira
com foco em ajudar os brasileiros a
entenderem melhor sobre finanças
Com mais de 2 milhões de usuários
conectados, a plataforma
GuiaBolso opera 100% na AWS.
“AWS também
garantiu ferramentas de
monitoramento e
criptografiaavançadas ” - Inajá
Azevedo, Co-Founder
& CTO
O Desafio
Segurança – garantir uma estrutura que
garanta visibilidade de todos os eventos da
plataformna
Escalabilidade – suportar milhões de
usuários
Performance/custo – ser capaz de processor
milhões de dados para oferecer a melhor
consultoria/recomendação para nossos
usuários
Segurança começa no design
Amazon VPC
GB Front end
security group
VPC
peering
security group
Amazon VPC
GB CORE layer 1
Criptografia é muito importante
Amazon VPCs
Amazon KMS
Amazon RDS & Redshift
Monitorar todos os eventos
Amazon VPCs
Amazon CloudWatchAlerts
Amazon SWF
Amazon RDS & Redshift
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Inajá Azevedo, CTO & Founder
Guia Bolso
Junho, 2016
Caso de Uso – Guia Bolso
Próximos passos
Estória: Como analista de segurança, eu quero monitorar
as interações com as APIs da AWS, de forma que possa
criar uma linha base do comportamento dos usuários.
Sprint 1: Habilite AWS CloudTrail (globalmente)
Estória: Como analista de operações (segurança), eu
quero tomar ações acima das alarmes de CloudWatch, de
forma que possa reduzir o risco.
Sprint 2: Integre as alarmes no workflow de segurança e
ferramentas de tickets
Estratégia e ValorPor que investir?
Por que mudar?
Como medir o sucesso?
ProcessosComo estruturar programas da
nuvem?
Como controlar a qualidade da
entrega?
PessoasQuais habilidades são
requeridas?
Como compor o time para
migração?
MaturidadeQuais são as prioridades?
Quando entregar?
PlataformaComo desenhar as bases?
Como migrar workloads?
OperaçõesQuais são as capacidades chave?
Qual o novo ciclo de Gestão de TI e
Segurança?
SegurançaTeremos aumentos de risco?
É possível implementar a nuvem
em conformidade e de forma
segura?
AWS Cloud Adoption Framework
AWS Marketplace – Ecosistema de Parceiros
Segurança da
Infraestrutura
SECURITY
Logging
Monitoração
Controle de acesso
e identidadeAnálise de
Vulnerabilidades
Proteção de
Dados
Network
Infrastructure
SaaS
SaaS
SaaS
