As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de segurança
O gerenciamento de segurança do AWS Managed Services (AMS) é o processo pelo qual o AMS identifica os ativos de uma organização e implementa políticas e procedimentos para proteger esses ativos.
**nota**
O AMS agora tem um tipo de alteração (CT), Implantação \$1 Componentes avançados de pilha \$1 Certificado ACM com adicional SANs \$1 Create (ct-3l14e139i5p50), que você pode usar para enviar uma solicitação de um certificado. AWS Certificate Manager Para mais informações, consulte [AWS::CertificateManager::Certificate](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-certificatemanager-certificate.html). Esta CT prevê a criação de um nome alternativo de assunto adicional (SAN).
Para entender melhor a AWS segurança geral, consulte [Melhores práticas de segurança, identidade e conformidade](https://aws.amazon.com/architecture/security-identity-compliance/).
O AMS classifica os riscos de segurança da seguinte forma:
+ Riscos conhecidos detectados pelo antimalware, que o processo de mitigação de malware trata.
+ Eventos de segurança, incluindo violações de acesso, que o processo de gerenciamento de eventos de segurança trata.
**Topics**
+ [Proteção de dados no AMS](sec-data-protect.md)
+ [Gerenciamento de identidade e acesso](sec-iam.md)
+ [Resposta a incidentes de segurança no AMS](security-incident-response.md)
+ [Revisões de segurança de solicitações de alteração no AMS Advanced](ams-sec-change-request-review.md)
# Proteção de dados no AMS
O AMS monitora continuamente suas contas gerenciadas utilizando AWS serviços nativos, como Amazon GuardDuty, Amazon Macie (opcionalmente) e outras ferramentas e processos proprietários internos. Depois que um alarme é acionado, o AMS assume a responsabilidade pela triagem inicial e pela resposta ao alarme. Nossos processos de resposta são baseados nos padrões do NIST. O AMS testa regularmente seus processos de resposta usando a Simulação de Resposta a Incidentes de Segurança com você para alinhar seu fluxo de trabalho aos programas existentes de resposta de segurança do cliente.
Quando o AMS detecta qualquer violação ou ameaça iminente de violação de suas políticas de AWS segurança, coletamos informações, incluindo recursos afetados e quaisquer alterações relacionadas à configuração. O AMS fornece follow-the-sun suporte 24 horas por dia, 7 dias por semana, 365 dias por ano, com operadores dedicados revisando e investigando ativamente painéis de monitoramento, fila de incidentes e solicitações de serviço em todas as suas contas gerenciadas. O AMS investiga as descobertas com nossos especialistas em segurança para analisar a atividade e notificá-lo por meio dos contatos de escalonamento de segurança listados em sua conta.
Com base em nossas descobertas, a AMS interage com você de forma proativa. Se você acredita que a atividade não é autorizada ou suspeita, a AMS trabalha com você para investigar, corrigir ou conter o problema. Existem certos tipos de descobertas geradas por GuardDuty que exigem que você confirme o impacto antes que o AMS possa realizar qualquer ação. Por exemplo, o tipo de GuardDuty descoberta **UnauthorizedAccess:IAMUser/ConsoleLogin**indica que um de seus usuários fez login em um local incomum; o AMS notifica você e solicita que você revise a descoberta para confirmar se esse comportamento é legítimo.
## Amazon Macie
O AWS Managed Services recomenda que você use o Macie para detectar uma lista grande e abrangente de dados confidenciais, como informações pessoais de saúde (PHI), informações de identificação pessoal (PII) e dados financeiros.
O Macie pode ser configurado para ser executado periodicamente em qualquer bucket do Amazon S3, automatizando a avaliação de qualquer objeto novo ou modificado dentro de um bucket ao longo do tempo. À medida que as descobertas de segurança forem geradas, o AMS notificará você e trabalhará com você para remediar, conforme necessário.
Para obter mais informações, consulte [Análise das descobertas do Amazon Macie.](https://docs.aws.amazon.com/macie/latest/user/findings.html)
### Segurança do Amazon Macie
O Macie é um serviço de segurança intelligence/AI artificial que ajuda você a evitar a perda de dados descobrindo, classificando e protegendo automaticamente dados confidenciais armazenados na AWS. O Macie usa o aprendizado de máquina para reconhecer dados confidenciais, como informações de identificação pessoal (PII) ou propriedade intelectual, atribui um valor comercial e fornece visibilidade de onde esses dados são armazenados e como estão sendo usados em sua organização. O Macie monitora continuamente a atividade de acesso aos dados em busca de anomalias e emite alertas quando detecta o risco de acesso não autorizado ou vazamento inadvertido de dados. O serviço Macie oferece suporte ao Amazon S3 AWS CloudTrail e às fontes de dados.
O AMS monitora continuamente os alertas do Macie e, se alertado, toma medidas rápidas para proteger seus recursos e sua conta. Com a adição do Macie à lista de serviços que o AMS suporta, agora também somos responsáveis por habilitar e configurar o Macie em todas as suas contas, de acordo com suas instruções. Você pode ver os alertas do Macie e nossas ações à medida que elas se desenrolam no console da AWS ou nas integrações compatíveis. Durante a integração da conta, você pode indicar as contas que você usa para armazenar PII. Para todas as novas contas com PII, recomendamos o uso do Macie. Para contas existentes com PII, entre em contato conosco e nós a ativaremos em sua conta. Como resultado, você pode ter uma camada adicional de proteção disponível e aproveitar todos os benefícios do Macie em seu ambiente da AWS gerenciado pelo AMS.
**AMS Macie FAQs**
+ Por que eu preciso do Macie quando todas as contas do AMS têm o Trend Micro e GuardDuty estão ativadas?
O Macie ajuda você a proteger seus dados no Amazon S3, ajudando você a classificar quais dados você tem, o valor que os dados têm para a empresa e o comportamento associado ao acesso a esses dados. GuardDuty A Amazon oferece ampla proteção de suas contas, cargas de trabalho e dados da AWS, ajudando a identificar ameaças como reconhecimento de agentes de ameaças, problemas de instâncias e atividades problemáticas da conta. Ambos os serviços incorporam análise do comportamento do usuário, aprendizado de máquina e detecção de anomalias para detectar ameaças em suas respectivas categorias. A Trend Micro não se concentra em identificar PII e ameaças provenientes delas.
+ Como faço para ativar o Macie na minha conta AMS?
Se você PII/PHI armazenou em suas contas ou planeja armazená-las, entre em contato com seu CSDM ou faça uma solicitação de serviço para habilitar o Macie para suas contas novas ou existentes gerenciadas pelo AMS.
+ Quais são as implicações de custo de ativar o Macie na minha conta do AMS?
Os preços do Macie funcionam para o AMS de forma semelhante a outros serviços, como o Amazon Elastic Compute Cloud (Amazon EC2). Você paga pelo Amazon Macie com base no uso e um aumento do AMS com base no seu. SLAs As taxas do Macie são baseadas no uso, consulte os preços do [Amazon Macie](https://aws.amazon.com/macie/pricing/), medidos com base AWS CloudTrail em eventos e no armazenamento do Amazon S3. Observe que as cobranças do Macie tendem a diminuir a partir do segundo mês após sua ativação, pois a cobrança é baseada nos dados incrementais adicionados aos buckets do Amazon S3.
Para saber mais sobre Macie, consulte [Amazon](https://aws.amazon.com/macie/) Macie.
## GuardDuty
GuardDuty é um serviço contínuo de monitoramento de segurança que usa feeds de inteligência de ameaças, como listas de endereços IP e domínios maliciosos, e aprendizado de máquina para identificar atividades inesperadas, potencialmente não autorizadas e maliciosas em seu ambiente da AWS. Isso pode incluir problemas como escalonamento de privilégios, uso de credenciais expostas ou comunicação com endereços IP ou domínios maliciosos. GuardDuty também monitora o comportamento de acesso à conta da Amazon Web Services em busca de sinais de comprometimento, como implantações de infraestrutura não autorizadas, como instâncias implantadas em uma região que nunca foi usada, ou chamadas de API incomuns, como uma alteração na política de senha para reduzir a força da senha. Para obter mais informações, consulte o [Guia GuardDuty do usuário](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html).
Para visualizar e analisar suas GuardDuty descobertas, use o procedimento a seguir.
1. Abra o [console de GuardDuty ](https://console.aws.amazon.com/guardduty/).
1. Escolha **Descobertas** e, em seguida, escolha uma descoberta específica para ver os detalhes. Os detalhes de cada descoberta diferem dependendo do tipo de descoberta, dos recursos envolvidos e da natureza da atividade.
Para obter mais informações sobre os campos de busca disponíveis, consulte [os detalhes da GuardDuty descoberta](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings-summary.html).
### GuardDuty segurança
A Amazon GuardDuty oferece detecção de ameaças que permite monitorar e proteger continuamente suas contas e cargas de trabalho da AWS. A Amazon GuardDuty analisa fluxos contínuos de metadados gerados a partir de sua conta e atividade de rede encontrados em Eventos, registros de fluxo do AWS CloudTrail Amazon VPC e registros do Sistema de Nomes de Domínio (DNS). Ele também usa inteligência de ameaças integrada, como endereços IP maliciosos conhecidos, detecção de anomalias e aprendizado de máquina para identificar ameaças com mais precisão. GuardDuty é um serviço AMS monitorado. Para saber mais sobre o GuardDuty monitoramento da Amazon, consulte[GuardDuty monitoramento](#guardduty-scope). Para saber mais sobre isso GuardDuty, consulte [Amazon GuardDuty](https://aws.amazon.com/guardduty/).
Todas as novas contas do AMS foram GuardDuty ativadas por padrão. O AMS é configurado GuardDuty durante a integração da conta. Você pode enviar solicitações de alteração para modificar as configurações a qualquer momento. GuardDuty os preços funcionam para o AMS de forma semelhante a outros serviços, como o Amazon Elastic Compute Cloud (Amazon EC2). Você paga GuardDuty com base no uso e um aumento do AMS com base no seu SLAs. GuardDuty as taxas são baseadas no uso ([Amazon GuardDuty Pricing](https://aws.amazon.com/guardduty/pricing/)), medidas com base nos AWS CloudTrail eventos e no volume do seu registro de fluxo do Amazon VPC.
GuardDuty Para o AMS, as seguintes categorias primárias de detecção estão habilitadas:
+ Reconhecimento -- Atividade que sugere reconhecimento por um agente de ameaça, como atividade incomum de API, escaneamento de portas intra-VPC, padrões incomuns de solicitações de login com falha ou sondagem de porta desbloqueada de um IP incorreto conhecido.
+ Problema na instância: atividade problemática na instância, como mineração de criptomoedas, malware usando algoritmos de geração de domínio (DGA), atividade de negação de serviço de saída, volume anormalmente alto de tráfego de rede, protocolos de rede incomuns, comunicação de instância de saída com um IP malicioso conhecido, EC2 credenciais temporárias da Amazon usadas por um endereço IP externo e exfiltração de dados usando DNS.
+ Atividade da conta — Os padrões comuns indicativos da atividade da conta incluem chamadas de API de uma geolocalização incomum ou proxy anônimo, tentativas de desativar o registro em AWS CloudTrail log, lançamentos incomuns de instâncias ou infraestruturas, implantações de infraestrutura em uma região incomum da AWS e chamadas de API de endereços IP maliciosos conhecidos.
O AMS usa GuardDuty em suas contas gerenciadas para monitorar continuamente descobertas e alertas GuardDuty e, se alertadas, as operações do AMS tomam medidas proativas para proteger seus recursos e sua conta. Você pode ver GuardDuty as descobertas e nossas ações à medida que elas se desenrolam no console da AWS ou nas integrações suportadas.
GuardDuty funciona com o Trend Micro Deep Security Manager em sua conta. O Trend Micro Deep Security Manager fornece serviços de detecção e prevenção de intrusões baseados em host. Os serviços de Web Reputation da Trend Micro têm alguma sobreposição GuardDuty na capacidade de detectar quando um host está tentando se comunicar com um host ou serviço web conhecido por ser uma ameaça. No entanto, GuardDuty fornece categorias adicionais de detecção de ameaças e faz isso monitorando o tráfego da rede, um método que é complementar à detecção baseada em host da Trend Micro. A detecção de ameaças baseada em rede permite maior segurança ao não permitir que os controles falhem se o host estiver exibindo um comportamento problemático. O AMS recomenda o uso GuardDuty em todas as suas contas do AMS.
Para saber mais sobre a Trend Micro, consulte a Central de [Ajuda do Trend Micro Deep Security](https://help.deepsecurity.trendmicro.com/10_3/aws/Welcome.html?redirected=true); observe que links que não são da Amazon podem ser alterados sem aviso prévio.
#### GuardDuty monitoramento
GuardDuty informa você sobre o status do seu ambiente da AWS, produzindo [descobertas de segurança](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html) que o AMS captura e sobre as quais pode alertar.
A Amazon GuardDuty monitora a segurança do seu ambiente da AWS analisando e processando registros de fluxo de VPC, registros de AWS CloudTrail eventos e registros do Sistema de Nomes de Domínio. Você pode expandir esse escopo de monitoramento configurando GuardDuty para também usar suas próprias listas de IPs confiáveis e personalizadas e listas de ameaças.
+ As listas de IP confiáveis consistem em endereços IP que você permitiu para comunicação segura com sua infraestrutura e aplicativos da AWS. GuardDuty não gera descobertas para endereços IP em listas de IP confiáveis. Você pode ter somente uma lista de IPs confiáveis enviada por vez por conta da AWS e por região.
+ As listas de ameaças consistem em endereços IP maliciosos conhecidos. GuardDuty gera descobertas com base em listas de ameaças. Você pode ter no máximo seis listas de ameaças enviadas por vez por conta da AWS e por região.
Para implementar GuardDuty, use o AMS CT Deployment \$1 Monitoring and notification \$1 GuardDuty IP set \$1 Create (ct-08avsj2e9mc7g) para criar um conjunto de endereços IP aprovados. Você também pode usar o AMS CT Deployment \$1 Monitoring and notification \$1 GuardDuty Threat Intel Set \$1 Create (ct-25v6r7t8gvkq5) para criar um conjunto de endereços IP negados.
Para obter uma lista dos serviços que o AMS monitora, consulte[O que o sistema de monitoramento AMS monitora?](monitoring-what-services.md).
## Firewall DNS do Amazon Route 53 Resolver
O Amazon Route 53 Resolver responde recursivamente às consultas de DNS de AWS recursos para registros públicos, nomes DNS específicos do Amazon VPC e zonas hospedadas privadas do Amazon Route 53, e está disponível por padrão em todos. VPCs Com o Firewall DNS do Route 53 Resolver, você pode filtrar e regular o tráfego DNS de saída para sua nuvem privada virtual (VPC). Para fazer isso, você cria coleções reutilizáveis de regras de filtragem em grupos de regras do Firewall DNS, associa os grupos de regras à sua VPC e monitora a atividade em logs e métricas do Firewall DNS. Com base na atividade, você pode ajustar o comportamento do Firewall DNS adequadamente. Para obter mais informações, consulte [Usando o firewall DNS para filtrar o tráfego DNS de saída](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).
Para visualizar e gerenciar sua configuração do Route 53 Resolver DNS Firewall, use o procedimento a seguir:
1. Faça login no Console de gerenciamento da AWS e abra o console da Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Em **Firewall DNS**, escolha **Grupos de regras**.
1. Revise, edite ou exclua sua configuração existente ou crie um novo grupo de regras. Para obter mais informações, consulte [Como o Route 53 Resolver DNS Firewall funciona](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-overview.html).
### Amazon Route 53 Resolver DNS Firewall: monitoramento e segurança
O Amazon Route 53 DNS Firewall usa os conceitos de associação de regras, ação de regras e prioridade de avaliação de regras. Uma lista de domínios é um conjunto reutilizável de especificações de domínios que você usa em uma regra do DNS Firewall, dentro de um grupo de regras. Quando você associa um grupo de regras a uma VPC, o DNS Firewall compara suas consultas de DNS com as listas de domínios usadas nas regras. Se o Firewall do DNS encontrar uma correspondência, ele processará a consulta de DNS de acordo com a ação da regra correspondente. Para obter mais informações sobre regras e grupos de regras, consulte Regras [e grupos de regras do Firewall DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html).
As listas de domínios se enquadram em duas categorias principais:
+ Listas de domínios gerenciados, que AWS criam e mantêm para você.
+ Suas próprias listas de domínios, que você cria e mantém.
Os grupos de regras são avaliados com base em seu índice de prioridade de associação.
Por padrão, o AMS implanta uma configuração de linha de base que consiste na seguinte regra e grupo de regras:
+ Um grupo de regras chamado`DefaultSecurityMonitoringRule`. O grupo de regras tem a maior prioridade de associação disponível no momento da criação para cada VPC existente em cada uma habilitada. Região da AWS
+ Uma regra nomeada `DefaultSecurityMonitoringRule` com prioridade **1** dentro do grupo de `DefaultSecurityMonitoringRule` regras, usando a lista de domínios `AWSManagedDomainsAggregateThreatList` gerenciados com a ação **ALERT**.
Se você tiver uma configuração existente, a configuração básica será implantada com menor prioridade do que a configuração existente. Sua configuração existente é a padrão. Você usa a configuração básica do AMS como uma solução abrangente se sua configuração existente não fornecer uma instrução de maior prioridade sobre como lidar com a resolução de consultas. Para alterar ou remover a configuração da linha de base, faça o seguinte:
+ Entre em contato com seu Cloud Service Delivery Manager (CSDM) ou Cloud Architect (CA).
+ Crie uma solicitação de mudança (RFC) usando [Gerenciamento \$1 Outro \$1 Outro \$1 Crie CT (ct-1e1xtak34nx76](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/ex-other-other.html)).
+ Crie uma solicitação de serviço.
Se sua conta for operada no modo Desenvolvedor ou no modo Alteração Direta, você mesmo poderá realizar as alterações.
## AWS Certificate Manager certificado (ACM)
O AMS tem um certificado CT, Deployment \$1 Advanced stack components \$1 ACM com SANs \$1 Create adicional (ct-3l14e139i5p50), que você pode usar para enviar uma solicitação de um certificado do AWS Certificate Manager, com até cinco nomes alternativos de assunto (SAN) adicionais (como example.com, example.net e example.org). Para obter detalhes, consulte [O que é AWS Certificate Manager?](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) e [característica do certificado ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-certificate.html).
**nota**
Essa configuração de tempo limite não diz respeito apenas à execução, mas também à validação do certificado ACM por meio da validação por e-mail. Sem sua validação, o RFC falha.
## Criptografia de dados no AMS
O AMS usa vários AWS serviços para criptografia de dados, principalmente Amazon Simple Storage Service, AWS Key Management Service (AWS KMS), Amazon Elastic Block Store, Amazon Relational Database Service Amazon Redshift,,, Amazon ElastiCache AWS Lambda, e Amazon OpenSearch Service.
**Amazon S3**
O Amazon S3 oferece várias opções de criptografia de objetos que protegem os dados em trânsito e em repouso. A criptografia no lado do servidor criptografa o objeto antes de salvá-lo em discos em seus datacenters e os descriptografa ao fazer download dos objetos. Contanto que você autentique sua solicitação e tenha permissões de acesso, não há diferença na forma de acesso aos objetos criptografados ou não criptografados. Para obter mais informações, consulte [Proteção de dados no Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html).
**Amazon EBS**
Com a criptografia do Amazon EBS, você não precisa criar, manter e proteger sua própria infraestrutura de gerenciamento de chaves. A criptografia do Amazon EBS usa AWS KMS chaves ao criar volumes e snapshots criptografados. As operações de criptografia ocorrem nos servidores que hospedam as EC2 instâncias da Amazon. Isso é feito para garantir que tanto a instância data-at-rest data-in-transit quanto o armazenamento conectado do Amazon EBS estejam seguros. É possível anexar volumes criptografados e não criptografados a uma instância simultaneamente. Para obter mais informações, consulte [Criptografia do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html).
**Amazon RDS**
O Amazon RDS pode criptografar suas instâncias de banco de dados do Amazon RDS. Os dados criptografados em repouso incluem o armazenamento subjacente para instâncias de banco de dados, seus backups automatizados, réplicas de leitura e instantâneos. As instâncias de banco de dados criptografadas do Amazon RDS usam o algoritmo de criptografia AES-256 padrão do setor para criptografar seus dados no servidor que hospeda suas instâncias de banco de dados do Amazon RDS. Após a criptografia dos seus dados, o Amazon RDS lida com a autenticação do acesso e a decodificação dos seus dados de forma transparente com um mínimo impacto sobre o desempenho. Você não precisa modificar suas aplicações cliente de banco de dados para usar a criptografia. Para ter mais informações, consulte [Criptografar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html).
**Amazon Simple Queue Service**
Além da opção padrão de criptografia do lado do servidor (SSE) gerenciada pelo Amazon SQS, a SSE gerenciada pelo Amazon SQS (SSE-SQS) permite que você crie uma criptografia gerenciada personalizada do lado do servidor que usa chaves de criptografia gerenciadas pelo Amazon SQS para proteger dados confidenciais enviados por filas de mensagens. A criptografia no lado do servidor (SSE) permite que você transmita dados sigilosos em filas criptografadas. A SSE protege o conteúdo de mensagens em filas usando chaves de criptografia gerenciadas pelo Amazon SQS (SSE-SQS) ou chaves gerenciadas em (SSE-KMS). AWS KMS Para obter informações sobre como gerenciar o SSE usando o Console de gerenciamento da AWS, consulte [Criptografia em repouso](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-server-side-encryption.html).
**Criptografia de dados em repouso**
OpenSearch Os domínios de serviço oferecem criptografia de dados em repouso, um recurso de segurança que ajuda a impedir o acesso não autorizado aos seus dados. O recurso usa AWS Key Management Service (AWS KMS) para armazenar e gerenciar suas chaves de criptografia e o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256) para realizar a criptografia. Para obter mais informações, consulte [Criptografia de dados em repouso para o Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html).
**Gerenciamento de chaves**
AWS KMS é um serviço gerenciado que facilita a criação e o controle das chaves mestras do cliente (CMKs), as chaves de criptografia usadas para criptografar seus dados. AWS KMS CMKs são protegidos por módulos de segurança de hardware (HSMs) validados pelo Programa de Validação de Módulos Criptográficos FIPS 140-2, exceto nas regiões da China (Pequim) e China (Ningxia). Para obter mais informações, consulte [O que é o AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
# Gerenciamento de identidade e acesso
AWS Identity and Access Management (IAM) é um serviço web que ajuda você a controlar com segurança o acesso aos AWS recursos. Você usa o IAM para controlar quem é autenticado (fez login) e autorizado (tem permissões) a usar os recursos. Durante a integração do AMS, você é responsável por criar funções de administrador do IAM entre contas em cada uma das suas contas gerenciadas.
## Proteções IAM da Multi-Account Landing Zone (MALZ)
O AMS Multi-Account Landing Zone (MALZ) exige a confiança do Active Directory (AD) como objetivo principal do projeto de gerenciamento de acesso ao AMS para permitir que cada organização (tanto a AMS quanto o cliente) gerencie os ciclos de vida de suas próprias identidades. Isso evita a necessidade de ter credenciais no diretório um do outro. A confiança unidirecional é configurada para que o Active Directory gerenciado dentro do AD Conta da AWS confie no AD gerenciado ou de propriedade do cliente para autenticar os usuários. Como a confiança é apenas uma forma, isso não significa que o AD gerenciado seja confiável para o Active Directory do cliente.
Nessa configuração, o diretório de clientes que gerencia as identidades dos usuários é conhecido como Floresta de Usuários, e o AD gerenciado ao qual as EC2 instâncias da Amazon estão anexadas é conhecido como Floresta de Recursos. Esse é um padrão de design da Microsoft comumente utilizado para autenticação do Windows; para obter mais informações, [consulte Modelos de design florestal](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/forest-design-models).
Esse modelo permite que ambas as organizações automatizem seus respectivos ciclos de vida e permite que você e o AMS revoguem rapidamente o acesso se um funcionário deixar a organização. Sem esse modelo, se ambas as organizações usassem um diretório comum (ou criassem users/groups nos diretórios uma da outra), ambas precisariam incluir fluxos de trabalho adicionais e sincronizações de usuários para contabilizar a entrada e saída dos funcionários. Isso introduz riscos, pois esse processo tem latência e pode estar sujeito a erros.
### Pré-requisitos de acesso ao MALZ
Integração com o MALZ Identity Provider para acesso ao console AWS/AMS, CLI, SDK.
![\[As relações entre o provedor de identidade e o AWS IAM Console de gerenciamento da AWS, o e o AMS mudam o gerenciamento.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/malz-access-prereqs-1.png)
Confiança unidirecional para EC2 instâncias da Amazon em sua conta AMS.
![\[A direção da confiança é unidirecional: das EC2 instâncias da Amazon ao domínio do Active Directory da sua organização.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/malz-access-prereqs-2.png)
# Autenticação com identidades
O AMS usa funções do IAM, que é um tipo de identidade do IAM. Uma função do IAM é muito semelhante à de um usuário, pois é uma identidade com políticas de permissão que determinam o que a identidade pode ou não fazer AWS. No entanto, uma função não tem credenciais associadas e, em vez de ser associada exclusivamente a uma pessoa, a função deve ser assumida por qualquer pessoa que precise dela. Um usuário do IAM pode assumir uma função para conseguir temporariamente permissões diferentes para uma tarefa específica.
As funções de acesso são controladas pela associação interna ao grupo, que é administrada e revisada periodicamente pelo Operations Management.
# Função de usuário do IAM no AMS
Uma função do IAM é semelhante à de um usuário do IAM, pois é uma AWS identidade com políticas de permissão que determinam o que a identidade pode ou não fazer AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele.
Atualmente, há uma função de usuário padrão do AMS`Customer_ReadOnly_Role`, para contas padrão do AMS e uma função adicional, `customer_managed_ad_user_role` para contas do AMS com o Active Directory gerenciado.
As políticas de função definem permissões CloudWatch e ações de log do Amazon S3, acesso ao console AMS, restrições de somente leitura para a maioria Serviços da AWS, acesso restrito ao console S3 da conta e acesso por tipo de alteração do AMS.
Além disso, `Customer_ReadOnly_Role` tem permissões mutativas de instâncias reservadas que permitem reservar instâncias. Ele tem alguns valores de economia de custos, então, se você sabe que precisará de um certo número de EC2 instâncias da Amazon por um longo período de tempo, pode ligar para elas APIs. Para saber mais, consulte [Instâncias EC2 reservadas da Amazon](https://aws.amazon.com/ec2/pricing/reserved-instances/).
**nota**
O objetivo de nível de serviço (SLO) do AMS para criar políticas personalizadas do IAM para usuários do IAM é de quatro dias úteis, a menos que uma política existente seja reutilizada. Se você quiser modificar a função de usuário do IAM existente ou adicionar uma nova, envie uma RFC [IAM: Update Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html) ou [IAM: Create Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html), respectivamente.
Se você não estiver familiarizado com as funções do Amazon IAM, consulte [Funções do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) para obter informações importantes.
**Zona de aterrissagem com várias contas (MALZ)**: Para ver as políticas de função de usuário padrão e não personalizadas da zona de pouso multiconta do AMS, consulte a seguir. [MALZ: funções de usuário padrão do IAM](#json-default-role-malz)
## MALZ: funções de usuário padrão do IAM
Declarações de política JSON para as funções padrão de usuário multicontas do AMS na landing zone.
**nota**
As funções do usuário são personalizáveis e podem diferir de acordo com a conta. São fornecidas instruções sobre como encontrar sua função.
Esses são exemplos das funções de usuário padrão do MALZ. Para garantir que você tenha as políticas definidas de que precisa, execute o comando da AWS [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)ou faça login no [console AWS Management -> IAM](https://console.aws.amazon.com/iam/) e escolha **Roles** no painel de navegação.
### Funções principais da conta OU
Uma conta principal é uma conta de infraestrutura gerenciada pela MALZ. As contas principais da landing zone com várias contas do AMS incluem uma conta de gerenciamento e uma conta de rede.
**Conta principal da OU: funções e políticas comuns**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/defaults-user-role.html)
**Conta principal da OU: funções e políticas da conta de gerenciamento**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/defaults-user-role.html)
**Conta principal da OU: funções e políticas da conta de rede**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/defaults-user-role.html)
### Funções da conta do aplicativo
As funções da conta do aplicativo são aplicadas às contas específicas do seu aplicativo.
**Conta de aplicativo: funções e políticas**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/defaults-user-role.html)
### Exemplos de políticas
Exemplos são fornecidos para a maioria das políticas usadas. Para ver a ReadOnlyAccess política (que tem páginas longas, pois fornece acesso somente para leitura a todos os AWS serviços), você pode usar este link, se você tiver uma conta ativa da AWS:. [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary) Além disso, uma versão condensada está incluída aqui.
#### AMSBillingPolítica
`AMSBillingPolicy`
A nova função de cobrança pode ser usada pelo departamento de contabilidade para visualizar e alterar as informações de cobrança ou as configurações da conta na conta de gerenciamento. Para acessar informações como contatos alternativos, visualizar o uso dos recursos da conta, acompanhar seu faturamento ou até mesmo modificar suas formas de pagamento, você usa essa função. Essa nova função inclui todas as permissões listadas na [página de ações do AWS Billing IAM](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
Permissões para ver todos os tipos de alteração do AMS e o histórico dos tipos de alteração solicitados.
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
Permissões para solicitar o tipo de alteração Deployment \$1 Managed landing zone \$1 Management account \$1 Create application account (com VPC).
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
Permissões para solicitar o tipo de alteração de Deployment \$1 Managed landing zone \$1 Networking account \$1 Criar tabela de rotas de aplicativos.
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy`(para Gestão \$1 Outros \$1 Outros CTs)
Permissões para solicitar os tipos de alteração Gerenciamento \$1 Outros \$1 Outros \$1 Criar e Gerenciamento \$1 Outros \$1 Outros \$1 Atualizar.
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
Permissões para visualizar o segredo passwords/hashes compartilhado pelo AMS por meio de AWS Secrets Manager (por exemplo, senhas de infraestrutura para auditoria).
Permissões para criar um segredo password/hashes para compartilhar com o AMS. (por exemplo, chaves de licença para produtos que precisam ser implantados).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
Permissões para solicitar e visualizar todos os tipos de alteração do AMS e o histórico dos tipos de alteração solicitados.
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
Permissões para gerenciar instâncias EC2 reservadas da Amazon; para obter informações sobre preços, consulte [Instâncias EC2 reservadas da Amazon](https://aws.amazon.com/ec2/pricing/reserved-instances/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3Política
`AMSS3Policy`
Permissões para criar e excluir arquivos de buckets Amazon S3 existentes.
**nota**
Essas permissões não concedem a capacidade de criar buckets do S3; isso deve ser feito com o tipo Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create change type.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupportAcesso
`AWSSupportAccess`
Acesso total Suporte a. Para obter informações, consulte [Introdução ao Suporte](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Para obter informações sobre o Premium Support, consulte [Suporte](https://aws.amazon.com/premiumsupport/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions`(Política pública AWS gerenciada)
Permissões para assinar, cancelar e visualizar AWS Marketplace assinaturas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
Acesso total AWS Certificate Manager a. Para obter mais informações, consulte [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/).
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy)informações, (Política pública gerenciada pela AWS).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFullAcesso
`AWSWAFFullAccess`
Acesso total AWS WAF a. Para obter mais informações, consulte [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/).
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html)informação, (política pública AWS gerenciada). Essa política concede acesso total aos AWS WAF recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
Acesso somente de leitura a todos os AWS serviços e recursos no AWS console. Quando AWS inicia um novo serviço, o AMS atualiza a ReadOnlyAccess política para adicionar permissões somente de leitura para o novo serviço. As permissões atualizadas são aplicadas a todas as entidades principais às quais política estiver anexada.
Isso não concede a capacidade de fazer login em EC2 hosts ou hosts de banco de dados.
Se você tiver uma política ativa Conta da AWS, poderá usar esse link [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)para ver toda a ReadOnlyAccess política. Toda a ReadOnlyAccess política é muito longa, pois fornece acesso somente de leitura a todos. Serviços da AWS A seguir está um trecho parcial da ReadOnlyAccess política.
**Zona de aterrissagem de conta única (SALZ)**: para ver as políticas de função de usuário padrão e não personalizadas da zona de destino de conta única do AMS, consulte a seguir. [SALZ: Função de usuário padrão do IAM](#json-default-role)
## SALZ: Função de usuário padrão do IAM
Declarações de política JSON para a função de usuário padrão da landing zone de conta única do AMS.
**nota**
A função de usuário padrão do SALZ é personalizável e pode variar de acordo com a conta. São fornecidas instruções sobre como encontrar sua função.
Veja a seguir um exemplo da função de usuário padrão do SALZ. Para garantir que você tenha as políticas definidas para você, execute o [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)comando. Ou, entre no AWS Identity and Access Management console em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)e escolha **Funções**.
A função de cliente somente para leitura é uma combinação de várias políticas. Segue abaixo um detalhamento da função (JSON).
Política de auditoria do Managed Services:
ReadOnly Política de IAM do Managed Services
Política de usuário do Managed Services
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
Política compartilhada do Customer Secrets Manager
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
Política de assinatura do Customer Marketplace
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------
# Registro e monitoramento de eventos de segurança no
O AMS monitora continuamente o ambiente gerenciado em busca de ameaças à segurança. Eventos de segurança podem ser detectados pelo AMS ou por você. O AMS atualiza regularmente seu processo de automação, com base no Guia de Tratamento de Incidentes de Segurança de Computadores do Instituto Nacional de Padrões e Tecnologia (NIST), para detectar melhor as ameaças à segurança.
# Segurança de terminais (EPS)
Os recursos que você provisiona em seu ambiente AMS Advanced incluem automaticamente a instalação de um cliente de monitoramento de segurança de terminais (EPS). Esse processo garante que os recursos gerenciados pelo AMS Advanced sejam monitorados e suportados 24 horas por dia, 7 dias por semana. Além disso, o AMS Advanced monitora todas as atividades do agente e um incidente é criado se algum evento de segurança for detectado.
**nota**
[Os incidentes de segurança são tratados como incidentes; para obter mais informações, consulte Resposta a incidentes.](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html)
A segurança de terminais fornece proteção antimalware, especificamente, as seguintes ações são suportadas:
+ EC2 registro de instâncias com EPS
+ EC2 instâncias cancelam o registro do EPS
+ EC2 instâncias de proteção antimalware em tempo real
+ Batimento cardíaco iniciado pelo agente EPS
+ EPS restaura arquivo em quarentena
+ Notificação de evento EPS
+ Relatórios de EPS
O AMS Advanced usa o Trend Micro para segurança de terminais (EPS). Essas são as configurações padrão de EPS. Para saber mais sobre a Trend Micro, consulte a Central de [Ajuda do Trend Micro Deep Security](https://help.deepsecurity.trendmicro.com/aws/welcome.html?redirected=true); observe que links que não são da Amazon podem ser alterados sem aviso prévio.
As configurações padrão do AMS Advanced Multi-Account Landing Zone (MALZ) estão descritas nas seções a seguir; para configurações não padrão do EPS da zona de pouso multiconta do AMS, [consulte Configurações não padrão do EPS da zona de aterrissagem multicontas do AMS Advanced](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#malz-eps-settings).
**nota**
Você pode trazer seu próprio EPS, veja [AMS trazer seu próprio EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html).
## Configurações gerais de EPS
Configurações gerais de rede de segurança de terminais.
**Padrões do EPS**
| Configuração | Padrão |
| --- | --- |
| Portas de firewall (grupo de segurança de instâncias) | Os agentes do EPS Deep Security Manager (DSMs) devem ter a porta 4120 aberta Agent/Relay para a comunicação com o Manager e a porta 4119 para o Manager Console. Os relés EPS devem ter a porta 4122 aberta Manager/Agent para a comunicação com o relé. Nenhuma porta específica deve estar aberta para a comunicação de entrada da instância do cliente porque os agentes iniciam todas as solicitações. |
| Direção de comunicação | Agente/equipamento iniciado |
| Intervalo de pulsação | Dez minutos |
| Número de batimentos cardíacos perdidos antes de um alerta | Dois |
| Desvio máximo permitido (diferença) entre os horários do servidor | Ilimitado |
| Gerar erros off-line para máquinas virtuais inativas (registradas, mas não on-line) | Não |
| Política padrão | Política básica (descrita a seguir) |
| Ativação de vários computadores com o mesmo nome de host | É permitido |
| Alertas para atualizações pendentes são gerados | Depois de sete dias |
| Cronograma de atualização | O AMS tem como meta um ciclo de lançamento mensal para as atualizações do software Trend Micro Deep Security Manager (DSM) /Deep Security Agent (DSA). No entanto, o AMS não mantém um SLA para atualizações. As atualizações são realizadas em toda a frota pelas equipes de desenvolvedores do AMS durante uma implantação. As atualizações do DSA/DSA são registradas nos eventos do sistema Trend Micro DSM que o AMS retém localmente por padrão por 13 semanas. Para obter a documentação do fornecedor, consulte [Eventos do sistema](https://help.deepsecurity.trendmicro.com/12_0/aws/Events-Alerts/ref-events-system.html) na Central de Ajuda do Trend Micro Deep Security. Os registros também são exportados para o grupo de registros/aws/ams/eps/var/log/DSM.log na Amazon. CloudWatch |
| Fonte de atualização | Servidor de atualização Trend Micro (https://ipv6-iaus.trendmicro.com/iau\$1server.dll/) |
| Exclusão de dados de eventos ou registros | Eventos e registros são excluídos do banco de dados DSM após sete dias. |
| As versões do software do agente são mantidas | Até cinco |
| As atualizações de regras mais recentes são realizadas | Até dez |
| Armazenamento de registros | Por padrão, os arquivos de log são armazenados com segurança no Amazon S3, mas você também pode arquivá-los no Amazon Glacier para ajudar a atender aos requisitos de auditoria e conformidade. |
## Política básica
Configurações padrão da política básica de segurança de endpoints.
**Política básica de EPS**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/eps-defaults.html)
## Antimalware
Configurações antimalware de segurança de terminais.
**Padrões de antimalware EPS**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/eps-defaults.html)
# Processo de mitigação de malware
O AMS usa o Deep Security Platform (sistema antimalware) da Trend Micro para detectar e responder ao malware em suas instâncias gerenciadas pelo AMS. Por padrão, o agente de detecção da Trend Micro é executado em todas as EC2 instâncias da Amazon, incluindo aquelas nos serviços compartilhados e sub-redes privadas, para sistemas operacionais Windows e Linux. O sistema antimalware é conectado ao monitoramento do AMS para que um evento seja gerado sempre que um malware for detectado. Se houver impacto no cliente, o evento será encaminhado para o processo de gerenciamento de incidentes (para obter detalhes, consulte[Resposta ao incidente do AMS](sec-incident-response.md)). Enquanto o AMS avalia o impacto, você é notificado e são feitas tentativas para mitigar o impacto.
As definições de antimalware da Trend Micro são atualizadas automaticamente quando a Trend Micro publica atualizações.
Durante a integração do aplicativo, você indica a ação que deseja que o AMS execute quando um malware é encontrado em uma instância:
+ Verifique se o arquivo em quarentena está na lista de permissões, removendo-o da quarentena e liberando-o de volta para o sistema de arquivos.
+ Exclua o arquivo em quarentena, removendo-o da instância.
+ Suspenda a instância e substitua-a. A instância suspensa fica então disponível para você montar para pesquisa forense.
Após a integração do aplicativo:
+ Quando o sistema antimalware descobre um malware em uma instância, o AMS coloca o malware automaticamente em quarentena. Isso desencadeia um evento e uma investigação de acompanhamento.
+ O AMS notifica você sobre o evento por meio de uma notificação de serviço e começa a seguir a ação de mitigação padrão que você selecionou.
+ Se você não tiver escolhido uma ação padrão, o AMS perguntará qual ação tomar. Depois de receber suas instruções, o AMS executa a ação selecionada e notifica você. O AMS notifica você novamente após a conclusão da ação, incluindo os detalhes necessários para a análise forense, se aplicável.
# Habilite IDS e IPS no Trend Micro Deep Security
Você pode solicitar que o AMS habilite o Trend Micro Intrusion Detection System (IDS) e o Intrusion Protection Systems (IPS), recursos não padrão, para sua conta.
Para fazer isso, envie uma solicitação de atualização (Gerenciamento \$1 Outros \$1 Outros \$1 Atualização) e inclua uma lista de endereços de e-mail para receber notificações de IDS e IPS. Esses endereços são adicionados a um tópico do SNS em sua conta, criado pelo AMS para você.
**nota**
O AMS não pode adicionar nenhum serviço da Trend Micro que possa interferir em nossa capacidade de fornecer outros serviços do AMS.
# Verificações completas de malware do sistema
O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) exige escaneamentos completos de malware do sistema, que são ativados em sua VPC gerenciada pelo AMS por padrão. As varreduras completas do sistema estão programadas para ocorrer às 2h (no fuso horário definido no servidor) porque elas usam muita CPU. As verificações completas do sistema são adicionais às verificações regulares de malware que não usam muita CPU.
Há um novo tipo de alteração de gerenciamento (CT), **Desativar escaneamentos de malware**, que permite desativar escaneamentos completos de malware do sistema. Você pode encontrar o CT em Gerenciamento \$1 Segurança do host \$1 Verificação completa do sistema \$1 Desativar classificação, alterar ID ct-1pybwg08h8qsz. Para reativar as digitalizações, use o Gerenciamento \$1 Outros \$1 Outros \$1 Atualizar CT. Desativar os escaneamentos completos do sistema não desativa seus escaneamentos regulares de malware.
## Segurança do Amazon Inspector
O serviço Amazon Inspector monitora a segurança de suas pilhas gerenciadas pelo AMS. O Amazon Inspector é um serviço automatizado de avaliação de segurança que ajuda a identificar lacunas na segurança e conformidade da infraestrutura implantada. AWS As avaliações de segurança do Amazon Inspector permitem que você avalie automaticamente as pilhas quanto à exposição, vulnerabilidades e desvios das melhores práticas, verificando a acessibilidade e vulnerabilidades não intencionais da rede em suas instâncias da Amazon. EC2 Depois de executar uma avaliação, o Amazon Inspector fornece uma lista detalhada das descobertas de segurança, priorizadas de acordo com seu nível de severidade. As avaliações do Amazon Inspector são oferecidas como pacotes de regras predefinidos mapeados de acordo com as melhores práticas e definições de segurança comuns. Essas regras são atualizadas regularmente por pesquisadores AWS de segurança. Para obter mais informações sobre o Amazon Inspector, acesse Amazon [Inspector](https://aws.amazon.com/inspector).
**AMS Amazon Inspector FAQs**
+ O Amazon Inspector está instalado em minhas contas AMS por padrão?
Não. O Amazon Inspector não faz parte da compilação padrão da AMI ou da ingestão de carga de trabalho.
+ Como faço para acessar e instalar o Amazon Inspector?
Envie um RFC (Gerenciamento \$1 Outro \$1 Outro \$1 Criar) para solicitar acesso e instalação da conta ao Inspector e a equipe de operações do AMS modificará a função ReadOnly Cliente\$1 para fornecer acesso ao console do Amazon Inspector (sem acesso ao SSM).
+ O agente do Amazon Inspector precisa ser instalado em todas as EC2 instâncias da Amazon que eu quero avaliar?
Não, as avaliações do Amazon Inspector com o pacote de regras de acessibilidade de rede podem ser executadas sem um agente para qualquer instância da Amazon. EC2 O agente é necessário para pacotes de regras de avaliação do host. Para obter mais informações sobre a instalação do agente, consulte [Instalando agentes do Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_installing-uninstalling-agents.html).
+ Há algum custo adicional para esse serviço?
Sim. Os preços do Amazon Inspector podem ser encontrados no site de preços do [Amazon Inspector](https://aws.amazon.com/inspector/pricing/).
+ Quais são as descobertas do Amazon Inspector?
As descobertas são possíveis problemas de segurança descobertos durante a avaliação do Amazon Inspector do alvo de avaliação selecionado. As descobertas são exibidas no console do Amazon Inspector ou na API e contêm uma descrição detalhada dos problemas de segurança e recomendações para resolvê-los.
+ Os relatórios da avaliação do Amazon Inspector estão disponíveis?
Sim. Um relatório de avaliação é um documento que explica o que foi testado em uma execução de avaliação e os resultados da avaliação. Os resultados de sua avaliação são formatados em relatórios padrão, que podem ser gerados para compartilhar resultados com sua equipe para ações de remediação, para enriquecer os dados de auditoria de conformidade ou para armazenamento para referência futura. Um relatório de avaliação do Amazon Inspector pode ser gerado para uma execução de avaliação depois de concluída com sucesso.
+ Posso usar tags para identificar as pilhas com as quais eu quero executar relatórios do Amazon Inspector?
Sim.
+ As equipes de operações do AMS terão acesso aos resultados da avaliação do Amazon Inspector?
Sim. Qualquer pessoa com acesso ao console do Amazon Inspector na AWS pode visualizar descobertas e relatórios de avaliação.
+ As equipes de operações do AMS recomendarão ou tomarão medidas com base nas conclusões dos relatórios do Amazon Inspector?
Não. Se você quiser que as alterações sejam feitas com base nas descobertas do relatório do Amazon Inspector, você deve solicitar alterações por meio de um RFC (Gerenciamento \$1 Outro \$1 Outro \$1 Atualização).
+ O AMS será notificado quando eu executar um relatório do Amazon Inspector?
Quando você solicita o acesso ao Amazon Inspector, o operador do AMS que executa o RFC notifica seu CSDM sobre a solicitação.
Para obter mais informações, consulte [Amazon Inspector FAQs](https://aws.amazon.com/inspector/faqs/).
# Resposta ao incidente do AMS
O AMS usa as melhores práticas tradicionais de gerenciamento de incidentes de gerenciamento de serviços de TI (ITSM) para restaurar o serviço, quando necessário, o mais rápido possível.
Fornecemos follow-the-sun suporte 24 horas por dia, 7 dias por semana, 365 dias por ano, por meio de vários centros de operações em todo o mundo, com operadores dedicados monitorando ativamente painéis e filas de incidentes.
Nossos engenheiros de operações usam ferramentas internas de rastreamento de incidentes para identificar, registrar, categorizar, priorizar, diagnosticar, resolver e fechar incidentes e fornecer atualizações sobre todas essas atividades por meio do console do AMS ou da API. Suporte Nossos operadores, muitos dos quais passaram algum tempo no AWS Premium Support em vários perfis e funções de tecnologia, utilizam uma variedade de Suporte ferramentas internas para ajudar em todas essas atividades. Esses operadores estão profundamente familiarizados com as infraestruturas suportadas pelo AMS e têm habilidades técnicas de nível especializado para resolver todos os problemas de suporte identificados. Nos raros casos em que nossos operadores precisam de assistência, as equipes de Suporte e AWS Serviço Premium estão disponíveis para ajudar conforme necessário.
Nos casos em que incidentes de alta prioridade estão afetando suas cargas de trabalho críticas, a AMS recomendará uma restauração da infraestrutura. Muitas vezes, há uma compensação entre solucionar um problema ou restaurar a partir de um backup em boas condições, e os riscos e impactos do tempo de inatividade do serviço para o cliente são os fatores decisivos. Se você tiver tempo para se dedicar à solução de problemas, o AMS o ajudará, mas se a urgência de restaurar for alta, podemos iniciar uma restauração imediatamente.
**nota**
Dados efêmeros que não fazem parte do modelo de pilha ou da restauração de dados são perdidos. O AMS usa esforços razoáveis para realizar a restauração da infraestrutura enquanto as ofertas AWS de serviços não estão disponíveis. A restauração da infraestrutura é concluída quando as ofertas AWS de serviços estão disponíveis.
Se você não autorizar uma restauração de infraestrutura conforme recomendado pelo AMS, não terá direito a um crédito de serviço pelo compromisso de serviço do AMS pelo tempo de resolução de incidentes.
# Validação de conformidade
O AMS implanta e gerencia uma biblioteca de AWS Config regras e ações de remediação para se proteger contra configurações incorretas que podem reduzir a segurança e a integridade operacional de suas contas.
Por exemplo, quando um bucket do Amazon S3 é criado, AWS Config pode avaliar o bucket do Amazon S3 em relação a uma regra que exige que os buckets do Amazon S3 neguem o acesso público de leitura. Se a política de bucket do Amazon S3 ou a lista de controle de acesso ao bucket (ACL) permitirem acesso público de leitura, AWS Config sinalizará o bucket e a regra como não compatíveis. Eles Regras do AWS Config marcam os recursos como compatíveis, não compatíveis ou não aplicáveis, com base no resultado de sua avaliação. Para obter mais informações sobre o AWS Config serviço, consulte o [Guia do AWS Config desenvolvedor](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html).
Você pode usar o AWS Config console, a AWS CLI ou a AWS Config API para ver as regras implantadas em sua conta e o estado de conformidade de suas regras e recursos. Para obter mais informações, consulte a AWS Config documentação: [Exibindo a conformidade da configuração](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html).
**nota**
Informações adicionais sobre esse tópico estão disponíveis acessando os relatórios do AWS Artifact. Para obter mais informações, consulte [Fazer download dos relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Para acessar o AWS Artifact, você pode entrar em contato com seu CSDM para obter instruções ou acessar Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact. Essas informações não estão incluídas neste guia do usuário porque contêm conteúdo de segurança confidencial.
# Zona de destino de várias contas visualizando o status de conformidade de seu Regras do AWS Config
A landing zone multiconta do AMS utiliza o serviço AWS Config agregador para criar uma visão centralizada da conformidade em todas as suas contas. Isso significa que você pode ver o status de conformidade de Regras do AWS Config todo o seu ambiente de landing zone com várias contas do AMS no AWS Config agregador em sua conta de segurança.
Veja a seguir uma amostra do AWS Config agregador que mostra o status de conformidade central de todas as contas. Regras do AWS Config
![\[AWS Config dashboard showing compliant rules across regions and accounts.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/ams-malz-dd-agg-rules.png)
Para obter mais informações, consulte a documentação da AWS para o [Config](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) Aggregator.
+ Como o AMS usa as regras do AWS Config?
O AMS cria Regras do AWS Config para dar visibilidade à configuração de seus AWS recursos em relação às condições especificadas nas regras. Se uma regra não estiver em conformidade, você poderá solicitar uma alteração e a equipe de operações do AMS trabalhará com você para tomar medidas corretivas.
+ Nesse caso, você verá as seguintes alterações aparecerem em suas contas do AMS:
+ Regras do AWS Config em AWS Config > Regras
+ As regras do Custom Config com suas funções Lambda existem em sua conta
+ Config Aggregator na conta de segurança e Config Authorization em todas as contas (somente na zona de destino de várias contas)
A seguir está uma amostra Regras do AWS Config e seus resultados da avaliação de conformidade são mostrados abaixo:
![\[Regras do AWS Config dashboard showing compliant status for multiple security-related rules.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/ams-malz-dd-rules-2.png)
Para saber mais sobre o AWS Config, consulte:
+ AWS Config: [O que é o Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ Regras do AWS Config: [avaliação](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) de recursos com regras
+ Regras do AWS Config: Verificação [dinâmica de conformidade: AWS Config Rules — Verificação dinâmica de conformidade](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/) para recursos na nuvem
+ AWS Config Aggregator: agregação de dados multiconta e [multirregional](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
# Restrições da política de controle de serviços de landing zone multicontas do AMS
Esta seção foi redigida porque contém informações confidenciais relacionadas à segurança do AMS. Essas informações estão disponíveis na **documentação** do console AMS. Para acessar o AWS Artifact, você pode entrar em contato com seu CSDM para obter instruções ou acessar Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
# Resiliência
A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre AWS regiões e zonas de disponibilidade, consulte [infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure).
# Segurança da infraestrutura
**nota**
Informações adicionais sobre esse tópico estão disponíveis acessando os relatórios do AWS Artifact. Para obter mais informações, consulte [Fazer download dos relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Para acessar o AWS Artifact, você pode entrar em contato com seu CSDM para obter instruções ou acessar Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact. Essas informações não estão incluídas neste guia do usuário porque contêm conteúdo de segurança confidencial.
# Controle de segurança para sistemas end-of-support operacionais
Os sistemas operacionais que estão fora do período de suporte geral do fabricante do sistema operacional "end-of-support" ou EOS e não recebem atualizações de segurança têm um risco de segurança maior.
AWS oferece alguns serviços para ajudar no manuseio do sistema operacional end-of-support. Para obter informações sobre o Windows end-of-support, consulte [Programa de End-of-Support migração para Windows Server](https://aws.amazon.com/emp-windows-server/).
**nota**
Informações adicionais sobre esse tópico estão disponíveis acessando os relatórios do AWS Artifact. Para obter mais informações, consulte [Fazer download dos relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Para acessar o AWS Artifact, você pode entrar em contato com seu CSDM para obter instruções ou acessar Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact. Essas informações não estão incluídas neste guia do usuário porque contêm conteúdo de segurança confidencial.
## Usar grupos de segurança
Um grupo de segurança atua como um firewall virtual que controla o tráfego de uma ou mais instâncias. Os grupos de segurança do AMS permitem que você defina regras de tráfego de entrada e de saída em nível de instância. Você pode criar um grupo de segurança e especificar recursos em sua conta AMS, EC2 instâncias Amazon, instâncias de banco de dados Amazon RDS, Load Balancers, instâncias de replicação do Deep Security Manager (DSM), destinos de montagem do EFS e ElastiCache clusters, para associar ao grupo de segurança. Uma vez associado, o tráfego de ou para essas instâncias é limitado pelas regras definidas no grupo de segurança.
Para entender melhor a segurança geral da AWS, consulte [Melhores práticas de segurança, identidade e conformidade e](https://aws.amazon.com/architecture/security-identity-compliance/) [Grupos de EC2 segurança da Amazon para instâncias Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html).
O AMS agora tem um conjunto de tipos de alterações para criar e gerenciar grupos de segurança:
+ Implantação \$1 Componentes avançados da pilha \$1 Grupo de segurança \$1 Criar (ct-1oxx2g2d7hc90)
+ Gerenciamento \$1 Componentes avançados da pilha \$1 Grupo de segurança \$1 Excluir (ct-3cp96z7r065e4)
+ Gerenciamento \$1 Componentes avançados da pilha \$1 Grupo de segurança \$1 Atualização (ct-3memthlcmvc1b)
Para ver exemplos, consulte [Grupos de segurança](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-sec-group-create-delete-update.html).
# Grupos de segurança
Na AWS VPCs, os grupos de segurança da AWS atuam como firewalls virtuais, controlando o tráfego de uma ou mais pilhas (uma instância ou um conjunto de instâncias). Quando uma pilha é iniciada, ela é associada a um ou mais grupos de segurança, que determinam qual tráfego pode chegar até ela:
+ Para pilhas em suas sub-redes públicas, os grupos de segurança padrão aceitam tráfego de HTTP (80) e HTTPS (443) de todos os locais (a Internet). As pilhas também aceitam tráfego SSH e RDP interno da sua rede corporativa e dos bastiões da AWS. Essas pilhas podem então sair por qualquer porta para a Internet. Eles também podem sair para suas sub-redes privadas e outras pilhas em sua sub-rede pública.
+ As pilhas em suas sub-redes privadas podem sair para qualquer outra pilha em sua sub-rede privada, e as instâncias dentro de uma pilha podem se comunicar totalmente entre si por meio de qualquer protocolo.
**Importante**
O grupo de segurança padrão para pilhas em sub-redes privadas permite que todas as pilhas em sua sub-rede privada se comuniquem com outras pilhas nessa sub-rede privada. Se quiser restringir as comunicações entre pilhas em uma sub-rede privada, você deve criar novos grupos de segurança que descrevam a restrição. Por exemplo, se você quiser restringir as comunicações com um servidor de banco de dados para que as pilhas nessa sub-rede privada só possam se comunicar de um servidor de aplicativos específico por meio de uma porta específica, solicite um grupo de segurança especial. Como fazer isso está descrito nesta seção.
## Security groups padrão
------
#### [ MALZ ]
A tabela a seguir descreve as configurações padrão do grupo de segurança de entrada (SG) para suas pilhas. O SG é chamado de "SentinelDefaultSecurityGroupPrivateOnly-VPC-ID”, onde está *ID* um ID de VPC em sua conta de landing zone com várias contas do AMS. Todo o tráfego pode ser enviado para "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" por meio desse grupo de segurança (todo o tráfego local nas sub-redes da pilha é permitido).
Todo o tráfego pode ser enviado para 0.0.0.0/0 por um segundo grupo de segurança "”. SentinelDefaultSecurityGroupPrivateOnly
**dica**
Se você estiver escolhendo um grupo de segurança para um tipo de alteração do AMS, como EC2 OpenSearch criar ou criar domínio, você usaria um dos grupos de segurança padrão descritos aqui ou um grupo de segurança criado por você. Você pode encontrar a lista de grupos de segurança, por VPC, no console da AWS ou no EC2 console da VPC.
Há grupos de segurança padrão adicionais que são usados para fins internos do AMS.
**Grupos de segurança padrão do AMS (tráfego de entrada)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/about-security-groups.html)
------
#### [ SALZ ]
A tabela a seguir descreve as configurações padrão do grupo de segurança de entrada (SG) para suas pilhas. O SG é denominado "mc-initial-garden- SentinelDefaultSecurityGroupPrivateOnly -*ID*", onde *ID* é um identificador exclusivo. Todo o tráfego pode ser enviado para "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" por meio desse grupo de segurança (todo o tráfego local nas sub-redes da pilha é permitido).
Todo o tráfego pode ser enviado para 0.0.0.0/0 por um segundo grupo de segurança "- -”. mc-initial-garden SentinelDefaultSecurityGroupPrivateOnlyEgressAll *ID*
**dica**
Se você estiver escolhendo um grupo de segurança para um tipo de alteração do AMS, como EC2 OpenSearch criar ou criar domínio, você usaria um dos grupos de segurança padrão descritos aqui ou um grupo de segurança criado por você. Você pode encontrar a lista de grupos de segurança, por VPC, no console da AWS ou no EC2 console da VPC.
Há grupos de segurança padrão adicionais que são usados para fins internos do AMS.
**Grupos de segurança padrão do AMS (tráfego de entrada)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/about-security-groups.html)
------
## Criar, alterar ou excluir grupos de segurança
Você pode solicitar grupos de segurança personalizados. Nos casos em que os grupos de segurança padrão não atendam às necessidades dos seus aplicativos ou da sua organização, você pode modificar ou criar novos grupos de segurança. Essa solicitação seria considerada necessária para aprovação e seria analisada pela equipe de operações da AMS.
Para criar um grupo de segurança fora das pilhas e VPCs enviar uma RFC usando o tipo de `Deployment | Advanced stack components | Security group | Create (review required)` alteração (ct-1oxx2g2d7hc90).
Para modificações no grupo de segurança do Active Directory (AD), use os seguintes tipos de alteração:
+ Para adicionar um usuário: Envie um RFC usando Management \$1 Directory Service \$1 Usuários e grupos \$1 Adicionar usuário ao grupo [ct-24pi85mjtza8k]
+ Para remover um usuário: envie um RFC usando Management \$1 Directory Service \$1 Usuários e grupos \$1 Remover usuário do grupo [ct-2019s9y3nfml4]
**nota**
Ao usar “revisão obrigatória” CTs, o AMS recomenda que você use a opção ASAP **Scheduling** (escolha **ASAP** no console, deixe a hora de início e término em branco na API/CLI), pois isso CTs exige que um operador do AMS examine a RFC e, possivelmente, se comunique com você antes que ela possa ser aprovada e executada. Se você agendá-los RFCs, aguarde pelo menos 24 horas. Se a aprovação não ocorrer antes do horário de início programado, a RFC será rejeitada automaticamente.
## Encontre grupos de segurança
Para encontrar os grupos de segurança anexados a uma pilha ou instância, use o EC2 console. Depois de encontrar a pilha ou instância, você pode ver todos os grupos de segurança anexados a ela.
Para saber como encontrar grupos de segurança na linha de comando e filtrar a saída, consulte [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html).
# Biblioteca de controles preventivos e de detetive do AMS
O AWS Managed Services (AMS) fornece uma seleção de políticas comprovadas library/catalog de controle de serviços (SCPs) ConfigRules que podem ser utilizadas para melhorar sua postura de segurança e mitigar as lacunas de conformidade em suas contas do AMS.
**Topics**
+ [Regras selecionadas SCPs e de configuração](scp-library-compliance.md)
+ [Notificação personalizada para regras de Config](scp-lib-custom-notice.md)
# Regras selecionadas SCPs e de configuração
Regras selecionadas SCPs e de configuração para o AMS Advanced.
+ **Políticas de controle de serviço (SCPs)**: As fornecidas SCPs são adicionais às padrão do AMS.
Você pode usar esses controles de biblioteca em conjunto com os padrões para atender aos requisitos de segurança específicos.
+ **Regras de configuração**[: como medida básica, o AMS recomenda aplicar pacotes de conformidade (consulte Pacotes de conformidade no AWS Config guia), além das regras de configuração padrão do AMS (consulte Artefatos do AMS para ver as regras padrão).](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html) Os pacotes de conformidade cobrem a maioria dos requisitos de conformidade e a AWS os atualiza regularmente.
As regras listadas aqui podem ser usadas para cobrir lacunas específicas de casos de uso que não são cobertas pelos pacotes de conformidade
**nota**
À medida que as regras padrão e os pacotes de conformidade do AMS são atualizados com o tempo, você pode ver duplicatas dessas regras.
O AMS recomenda fazer uma limpeza periódica das regras de configuração duplicadas em geral.
Para o AMS Advanced, o Config Rules não deve usar remediações automáticas (consulte Correção de [recursos não compatíveis da AWS pelo AWS Config Rules) para evitar](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) alterações. out-of-band
## SCP-AMS-001: Restringir a criação de EBS
Evite a criação de volumes do EBS se você não tiver a criptografia ativada.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:CreateVolume",
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-002: Restringir o lançamento EC2
Evite a execução de uma EC2 instância se o volume do EBS não estiver criptografado. Isso inclui negar uma EC2 inicialização não criptografada AMIs porque esse SCP também se aplica aos volumes raiz.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:volume/*",
"Effect": "Deny"
}
```
## SCP-ADV-001: Restringir envios de RFC
Restrinja o envio automático de funções padrão do AMS, RFCs como **Criar VPC** ou **Excluir** VPC. Isso é útil se você quiser aplicar permissões mais granulares às suas funções federadas.
Por exemplo, talvez você queira que o padrão seja `AWSManagedServicesChangeManagement Role` capaz de enviar a maioria das informações disponíveis, RFCs exceto aquelas que permitem a criação e exclusão de uma VPC, a criação de sub-redes adicionais, a desativação de uma conta de aplicativo, a atualização ou a exclusão de provedores de identidade SAML:
## SCP-AMS-003: Restringir EC2 ou criar RDS no AMS
Evite a criação de instâncias da Amazon EC2 e do RDS que não tenham tags específicas e, ao mesmo tempo, permita que a `AMS Backup IAM` função padrão do AMS faça isso. Isso é necessário para recuperação de desastres ou DR.
```
{
"Sid": "DenyRunInstanceWithNoOrganizationTag",
"Effect": "Deny",
"Action": [
"ec2:RunInstances",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
],
"Condition": {
"Null": {
"aws:RequestTag/organization": "true"
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam:::role/ams-backup-iam-role"
]
}
}
}
```
## SCP-AMS-004: Restringir os carregamentos do S3
Evite o upload de objetos S3 não criptografados.
```
{
"Sid": "DenyUnencryptedS3Uploads",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "*",
"Condition": {
"StringNotLike": {
"s3:x-amz-server-side-encryption": ["aws:kms", "AES256"]
},
"Null": {
"s3:x-amz-server-side-encryption": "false"
}
}
}
]
}
```
## SCP-AMS-005: Restrinja o acesso à API e ao console
Impeça o acesso ao console e à API da AWS para solicitações provenientes de endereços IP inválidos conhecidos como incorretos, conforme determinado cliente InfoSec.
## SCP-AMS-006: Impedir que a entidade IAM remova a conta do membro da organização
Impeça que uma AWS Identity and Access Management entidade remova contas de membros da organização.
```
{
"Effect": "Deny",
"Action": ["organizations:LeaveOrganization"],
"Resource": ["*"]
}
```
## SCP-AMS-007: Evite compartilhar recursos com contas fora de sua organização
Evite compartilhar recursos com contas externas fora da sua AWS organização
```
{
"Effect": "Deny",
"Action": [
"ram:*"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"ram:AllowsExternalPrincipals": "true"
}
}
},
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
```
## SCP-AMS-008: Impedir o compartilhamento com organizações ou unidades organizacionais () OUs
Evite compartilhar recursos com uma conta and/or OU que esteja em uma organização.
```
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}",
"arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}"
]
}
}
}
```
## SCP-AMS-009: Impedir que usuários aceitem convites de compartilhamento de recursos
Impeça que as contas dos membros aceitem convites AWS RAM para participar de compartilhamentos de recursos. Essa API não suporta nenhuma condição e impede compartilhamentos somente de contas externas.
```
{
"Effect": "Deny",
"Action": ["ram:AcceptResourceShareInvitation"],
"Resource": ["*"]
}
```
## SCP-AMS-010: Impedir ações de ativação e desativação da região da conta
Evite ativar ou desativar novas AWS regiões para suas AWS contas.
```
{
"Effect": "Deny",
"Action": [
"account:EnableRegion",
"account:DisableRegion"
],
"Resource": "*"
}
```
## SCP-AMS-011: Evitar ações de modificação do faturamento
Evite modificações na configuração de cobrança e pagamento.
```
{
"Effect": "Deny",
"Action": [
"aws-portal:ModifyBilling",
"aws-portal:ModifyAccount",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*"
}
```
## SCP-AMS-012: Impedir a exclusão ou modificação de dados específicos CloudTrails
Evite modificações em AWS CloudTrail trilhas específicas.
```
{
"Effect": "Deny",
"Action": [
"cloudtrail:DeleteEventDataStore",
"cloudtrail:DeleteTrail",
"cloudtrail:PutEventSelectors",
"cloudtrail:PutInsightSelectors",
"cloudtrail:UpdateEventDataStore",
"cloudtrail:UpdateTrail",
"cloudtrail:StopLogging"
],
"Resource": [
"arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}"
]
}
```
## SCP-AMS-013: Impedir a desativação da criptografia padrão do EBS
Evite a desativação da criptografia padrão do Amazon EBS.
```
{
"Effect": "Deny",
"Action": [
"ec2:DisableEbsEncryptionByDefault"
],
"Resource": "*"
}
```
## SCP-AMS-014: Impedir a criação de VPC e sub-rede padrão
Evite a criação de uma Amazon VPC e sub-redes padrão.
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc"
],
"Resource": "*"
}
```
## SCP-AMS-015: Impedir a desativação e modificação GuardDuty
Impeça que GuardDuty a Amazon seja modificada ou desativada.
```
{
"Effect": "Deny",
"Action": [
"guardduty:AcceptInvitation",
"guardduty:ArchiveFindings",
"guardduty:CreateDetector",
"guardduty:CreateFilter",
"guardduty:CreateIPSet",
"guardduty:CreateMembers",
"guardduty:CreatePublishingDestination",
"guardduty:CreateSampleFindings",
"guardduty:CreateThreatIntelSet",
"guardduty:DeclineInvitations",
"guardduty:DeleteDetector",
"guardduty:DeleteFilter",
"guardduty:DeleteInvitations",
"guardduty:DeleteIPSet",
"guardduty:DeleteMembers",
"guardduty:DeletePublishingDestination",
"guardduty:DeleteThreatIntelSet",
"guardduty:DisableOrganizationAdminAccount",
"guardduty:DisassociateFromMasterAccount",
"guardduty:DisassociateMembers",
"guardduty:InviteMembers",
"guardduty:StartMonitoringMembers",
"guardduty:StopMonitoringMembers",
"guardduty:TagResource",
"guardduty:UnarchiveFindings",
"guardduty:UntagResource",
"guardduty:UpdateDetector",
"guardduty:UpdateFilter",
"guardduty:UpdateFindingsFeedback",
"guardduty:UpdateIPSet",
"guardduty:UpdateMalwareScanSettings",
"guardduty:UpdateMemberDetectors",
"guardduty:UpdateOrganizationConfiguration",
"guardduty:UpdatePublishingDestination",
"guardduty:UpdateThreatIntelSet"
],
"Resource": "*"
}
```
## SCP-AMS-016: Impedir a atividade do usuário root
Impeça que o usuário root execute qualquer ação.
```
{
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:root"
]
}
}
}
```
## SCP-AMS-017: Impedir a criação de chaves de acesso para o usuário root
Impeça a criação de chaves de acesso para o usuário root.
```
{
"Effect": "Deny",
"Action": "iam:CreateAccessKey",
"Resource": "arn:aws:iam::*:root"
}
```
## SCP-AMS-018: Impedir a desativação do bloqueio de acesso público da conta S3
Evite desativar um bloqueio de acesso público da conta Amazon S3. Isso evita que qualquer bucket na conta se torne público.
```
{
"Effect": "Deny",
"Action": "s3:PutAccountPublicAccessBlock",
"Resource": "*"
}
```
## SCP-AMS-019: Evite a desativação do AWS Config ou a modificação das regras do Config
Evite desativar ou modificar regras. AWS Config
```
{
"Effect": "Deny",
"Action": [
"config:DeleteConfigRule",
"config:DeleteConfigurationRecorder",
"config:DeleteDeliveryChannel",
"config:DeleteEvaluationResults",
"config:StopConfigurationRecorder"
],
"Resource": "*"
}
```
## SCP-AMS-020: Impeça todas as ações do IAM
Evite todas as ações do IAM.
```
{
"Effect": "Deny",
"Action": [
"iam:*"
],
"Resource": "*"
}
```
## SCP-AMS-021: Impedir a exclusão de grupos e fluxos de registros CloudWatch
Evite excluir grupos e streams do Amazon CloudWatch Logs.
```
{
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": "*"
}
```
## SCP-AMS-022: Impedir a exclusão do Glacier
Evite a exclusão do Amazon Glacier.
```
{
"Effect": "Deny",
"Action": [
"glacier:DeleteArchive",
"glacier:DeleteVault"
],
"Resource": "*"
}
```
## SCP-AMS-023: Impedir a exclusão do IAM Access Analyzer
Evite a exclusão do IAM Access Analyzer.
```
{
"Action": [
"access-analyzer:DeleteAnalyzer"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-024: Evitar modificações no Security Hub
Impedir a exclusão do. AWS Security Hub CSPM
```
{
"Action": [
"securityhub:DeleteInvitations",
"securityhub:DisableSecurityHub",
"securityhub:DisassociateFromMasterAccount",
"securityhub:DeleteMembers",
"securityhub:DisassociateMembers"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-025: Impedir a exclusão no Directory Service
Evite a exclusão de recursos em Directory Service.
```
{
"Action": [
"ds:DeleteDirectory",
"ds:DeleteLogSubscription",
"ds:DeleteSnapshot",
"ds:DeleteTrust",
"ds:DeregisterCertificate",
"ds:DeregisterEventTopic",
"ds:DisableLDAPS",
"ds:DisableRadius",
"ds:DisableSso",
"ds:UnshareDirectory"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-026: Impedir o uso do serviço negado
Evite o uso de serviços negados.
**nota**
Substitua *service1* e *service2* por seus nomes de serviço. Exemplo *access-analyzer* ou*IAM*.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"]
}
```
## SCP-AMS-027: Impedir o uso de serviços negados em regiões específicas
Evite o uso de serviços da lista negada em regiões específicas AWS .
**nota**
Substitua *service1* e *service2* por seus nomes de serviço. Exemplo *access-analyzer* ou*IAM*.
Substitua *region1* e *region2* por seus nomes de serviço. Exemplo *us-west-2* ou*use-east-1*.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"],
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"region1",
"region2"
]
}
}
}
```
## SCP-AMS-028: Impedir que as etiquetas sejam modificadas, exceto por diretores autorizados
Evite modificações de tags por qualquer usuário, exceto os diretores autorizados. Use etiquetas de autorização para autorizar diretores. As etiquetas de autorização devem estar associadas aos recursos e aos diretores. user/role A só é considerado autorizado se a tag no recurso e no principal corresponder. Para obter mais informações, consulte os seguintes recursos:
+ [Protegendo tags de recursos usadas para autorização usando uma política de controle de serviço no AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/)
+ [Impedir que as etiquetas sejam modificadas, exceto por diretores autorizados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"ec2:ResourceTag/access-project": false
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"access-project"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"aws:PrincipalTag/access-project": true
}
}
}
```
## SCP-AMS-029: Impedir que os usuários excluam os registros de fluxo da Amazon VPC
Evite a exclusão dos registros de fluxo da Amazon VPC.
```
{
"Action": [
"ec2:DeleteFlowLogs",
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutLifecycleConfiguration",
"firehose:DeleteDeliveryStream"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-030: Impedir o compartilhamento da sub-rede VPC com uma conta que não seja uma conta de rede
Evite compartilhar sub-redes da Amazon VPC com contas que não sejam a conta da rede.
**nota**
*NETWORK\$1ACCOUNT\$1ID*Substitua pelo ID da sua conta de rede.
```
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": "NETWORK_ACCOUNT_ID"
},
"StringEquals": {
"ram:RequestedResourceType": "ec2:Subnet"
}
}
}
```
## SCP-AMS-031: Evite a execução de instâncias com tipos de instância proibidos
Evite o lançamento de tipos de EC2 instância proibidos da Amazon.
**nota**
*instance\$1type2*Substitua *instance\$1type1* e pelos tipos de instância que você deseja restringir, como *t2.micro* ou uma string curinga, como*\$1.nano*.
```
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"ec2:InstanceType": [
"instance_type1",
"instance_type2"
]
}
}
}
```
## SCP-AMS-032: Impeça o lançamento de instâncias sem IMDSv2
Evite EC2 instâncias da Amazon sem IMDSv2.
```
[
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:MetadataHttpTokens": "required"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"NumericGreaterThan": {
"ec2:MetadataHttpPutResponseHopLimit": "3"
}
}
},
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NumericLessThan": {
"ec2:RoleDelivery": "2.0"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:ModifyInstanceMetadataOptions",
"Resource": "*"
}
]
```
## SCP-AMS-033: Evitar modificações na função específica do IAM
Evite modificações em funções específicas do IAM.
```
{
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:TagRole",
"iam:UntagRole",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## SCP-AMS-034: Evitar AssumeRolePolicy modificações em funções específicas do IAM
Evite modificações nas quatro AssumeRolePolicy funções específicas do IAM.
```
{
"Action": [
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## ConfigRule: Etiquetas obrigatórias
Verifique se EC2 as instâncias têm as tags personalizadas que você solicitou. Além disso InfoSec, isso também é útil para seu gerenciamento de custos
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the required tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
```
## ConfigRule: Tecla de acesso girada
Verifique se as chaves de acesso estão sendo giradas dentro do período de tempo especificado. Geralmente, isso é definido para ser de 90 dias de acordo com os requisitos de conformidade típicos.
```
ConfigRuleName: access-keys-rotated
Description: >-
A config rule that checks whether the active access keys are rotated
within the number of days specified in maxAccessKeyAge. The rule is
NON_COMPLIANT if the access keys have not been rotated for more than
maxAccessKeyAge number of days.
InputParameters:
maxAccessKeyAge: '90'
Source:
Owner: AWS
SourceIdentifier: ACCESS_KEYS_ROTATED
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: chave de acesso raiz do IAM no AMS
Verifique se a chave de acesso raiz não está presente em uma conta. Para contas AMS Advanced, espera-se que isso seja compatível. out-of-the-box
```
ConfigRuleName: iam-root-access-key-check
Description: >-
A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist.
Source:
Owner: AWS
SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: SSM gerenciado EC2
Verifique se você EC2s está sendo gerenciado pelo SSM Systems Manager.
```
ConfigRuleName: ec2-instance-managed-by-systems-manager
Description: >-
A Config rule that checks whether the EC2 instances in the
account are managed by AWS Systems Manager.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
- 'AWS::SSM::ManagedInstanceInventory'
Source:
Owner: AWS
SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
```
## ConfigRule: Usuário do IAM não utilizado no AMS
Verifique as credenciais de usuário do IAM que não foram usadas por um período especificado. Assim como a verificação de rotação de chaves, o padrão é de 90 dias de acordo com os requisitos de conformidade típicos.
```
ConfigRuleName: iam-user-unused-credentials-check
Description: >-
A config rule that checks whether IAM users have passwords
or active access keys that have not been used within the
specified number of days provided.
InputParameters:
maxCredentialUsageAge: '90'
Source:
Owner: AWS
SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: registro de buckets do S3
Verifique se o registro foi ativado para buckets do S3 na conta.
```
ConfigRuleName: s3-bucket-logging-enabled
Description: >-
A Config rule that checks whether logging is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
```
## ConfigRule: controle de versão do bucket S3
Verifique se o controle de versão e a exclusão de MFA (opcional) estão habilitados em todos os buckets do S3
```
ConfigRuleName: s3-bucket-versioning-enabled
Description: >-
A Config rule that checks whether versioning is enabled for S3
buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
```
## ConfigRule: acesso público S3
Verifique se as configurações de acesso público (ACL pública, política pública, compartimentos públicos) estão restritas em toda a conta
```
ConfigRuleName: s3-account-level-public-access-blocks
Description: >-
A Config rule that checks whether the required public access block
settings are configured from account level. The rule is only
NON_COMPLIANT when the fields set below do not match the corresponding
fields in the configuration item.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::AccountPublicAccessBlock'
InputParameters:
IgnorePublicAcls: 'True'
BlockPublicPolicy: 'True'
BlockPublicAcls: 'True'
RestrictPublicBuckets: 'True'
Source:
Owner: AWS
SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
```
## ConfigRule: Descobertas não arquivadas GuardDuty
Verifique se há GuardDuty descobertas não arquivadas que sejam mais antigas do que a duração especificada. A duração padrão é de 30 dias para descobertas de baixo nível, 7 dias para sev médio e 1 dia para descobertas de alto nível.
```
ConfigRuleName: guardduty-non-archived-findings
Description: >-
A Config rule that checks whether the Amazon GuardDuty has findings that
are non archived. The rule is NON_COMPLIANT if GuardDuty has non
archived low/medium/high severity findings older than the specified number.
InputParameters:
daysLowSev: '30'
daysMediumSev: '7'
daysHighSev: '1'
Source:
Owner: AWS
SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: exclusão da CMK
Verifique se há chaves mestras AWS Key Management Service personalizadas (CMKs) que estão programadas (também conhecidas como pendentes) para exclusão. Isso é crucial, pois o desconhecimento da exclusão da CMK pode fazer com que os dados sejam irrecuperáveis.
```
ConfigRuleName: kms-cmk-not-scheduled-for-deletion
Description: >-
A config rule that checks whether customer master keys (CMKs) are not
scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is
NON_COMPLIANT if CMKs are scheduled for deletion.
Source:
Owner: AWS
SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: Rotação CMK
Verifique se a rotação automática está ativada para cada CMK na conta
```
ConfigRuleName: cmk-backing-key-rotation-enabled
Description: >-
A config rule that checks that key rotation is enabled for each customer
master key (CMK). The rule is COMPLIANT, if the key rotation is enabled
for specific key object. The rule is not applicable to CMKs that have
imported key material.
Source:
Owner: AWS
SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
MaximumExecutionFrequency: TwentyFour_Hours
```
# Notificação personalizada para regras de Config
Pode haver ocorrências de regras de configuração críticas não compatíveis que exijam uma maior conscientização diretamente com sua equipe e com a equipe de liderança. InfoSec Para esses cenários, o AMS recomenda que você configure uma notificação personalizada baseada em eventos de não conformidade.
Por exemplo:
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the mandated tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
NotificationEventRule:
Type: 'AWS::Events::Rule'
Properties:
Name: CWEventForrequired-tags
Description: >-
SNS Notification for Non-Compliant Events of Config Rule:
required-tags
State: ENABLED
EventPattern:
detail-type:
- Config Rules Compliance Change
source:
- aws.config
detail:
newEvaluationResult:
complianceType:
- NON_COMPLIANT
configRuleARN:
- 'Fn::GetAtt':
- RequiredEC2Tags
- Arn
Targets:
- Id: RemediationNotification
Arn:
Ref: SnsTopic
InputTransformer:
InputTemplate: >-
"EC2 Instance is non-compliant. Please add required tags: COST_CENTER, APP_ID, Name, and Backup."
InputPathsMap:
instance_id: $.detail.resourceId
SnsTopic:
Type: 'AWS::SNS::Topic'
Properties:
Subscription:
- Endpoint: Cloud_Ops_Leaders@customer.com
Protocol: email
TopicName: noncompliant-instance-notification
SnsTopicPolicy:
Type: 'AWS::SNS::TopicPolicy'
Properties:
PolicyDocument:
Statement:
- Sid: __default_statement_ID
Effect: Allow
Principal:
AWS: '*'
Action:
- 'SNS:GetTopicAttributes'
- 'SNS:SetTopicAttributes'
- 'SNS:AddPermission'
- 'SNS:RemovePermission'
- 'SNS:DeleteTopic'
- 'SNS:Subscribe'
- 'SNS:ListSubscriptionsByTopic'
- 'SNS:Publish'
- 'SNS:Receive'
Resource:
Ref: SnsTopic
Condition:
StringEquals:
'AWS:SourceOwner':
Ref: 'AWS::AccountId'
- Sid: TrustCWEToPublishEventsToMyTopic
Effect: Allow
Principal:
Service: events.amazonaws.com
Action: 'sns:Publish'
Resource:
Ref: SnsTopic
Topics:
- Ref: SnsTopic
```
# Função vinculada ao serviço de EventBridge regras da Amazon para o AMS Advanced
O AMS Advanced usa a função vinculada ao serviço (SLR) chamada **AWSServiceRoleForManagedServices\$1Events**— Essa função confia em um dos diretores do serviço AWS Managed Services (events.managedservices.amazonaws.com) para assumir a função para você. O serviço usa a função para criar uma regra EventBridge gerenciada. Essa regra é a infraestrutura necessária em sua AWS conta para fornecer informações de alteração do estado de alarme de sua conta para a AWS Managed Services.
## Permissões para EventBridge SLR para AMS Advanced
O perfil vinculado ao serviço **AWSServiceRoleForManagedServices\$1Events** confia nos seguintes serviços para aceitar o perfil:
+ events.managedservices.amazonaws.com
Anexada a essa função está a política **AWSManagedServices\$1EventsServiceRolePolicy** AWS gerenciada (consulte a [política gerenciada da AWS: AWSManagedServices\$1EventsServiceRolePolicy](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html#EventsServiceRolePolicy)). O serviço usa a função para fornecer informações de alteração do estado do alarme da sua conta para o AWS Managed Services. Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de função vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no Guia do usuário do *AWS Identity and Access Management*.
Você pode baixar o JSON **AWSManagedServices\$1EventsServiceRolePolicy**neste ZIP: [EventsServiceRolePolicy.zip](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/samples/EventsServiceRolePolicy.zip).
## Criando uma EventBridge SLR para o AMS Advanced
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você se integra ao AMS no AWS Management Console, no ou na AWS API AWS CLI, o AMS Advanced cria a função vinculada ao serviço para você.
**Importante**
Essa função vinculada ao serviço pode aparecer em sua conta se você estava usando o serviço AMS Advanced antes de 7 de fevereiro de 2023, quando ele começou a oferecer suporte a funções vinculadas ao serviço e, em seguida, o AMS Accelerate criou a AWSServiceRoleForManagedServices\$1Events função em sua conta. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você se integra ao AMS, o AMS Advanced cria a função vinculada ao serviço para você novamente.
## Editando uma EventBridge SLR para AMS Advanced
O AMS Advanced não permite que você edite a função AWSServiceRoleForManagedServices\$1Events vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma EventBridge SLR para o AMS Advanced
Você não precisa excluir manualmente a função AWSServiceRoleForManagedServices\$1Events . Quando você sai do AMS no AWS Management Console AWS CLI ou na AWS API, o AMS Advanced limpa os recursos e exclui a função vinculada ao serviço para você.
Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.
**nota**
Se o serviço AMS Advanced estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir recursos do AMS Advanced **usados pela função vinculada ao AWSServiceRoleForManagedServices\$1Events serviço****
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForManagedServices\$1Events vinculada ao serviço.
Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
# Práticas recomendadas de segurança
Esta seção foi redigida porque contém informações confidenciais relacionadas à segurança do AMS. Essas informações estão disponíveis na **documentação** do console AMS. Para acessar o AWS Artifact, você pode entrar em contato com seu CSDM para obter instruções ou acessar Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
## Configurações não padrão de EPS da landing zone multiconta do AMS
Esta seção foi redigida porque contém informações confidenciais relacionadas à segurança do AMS. Essas informações estão disponíveis na **documentação** do console AMS. Para acessar o AWS Artifact, você pode entrar em contato com seu CSDM para obter instruções ou acessar Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
## Guardrails AMS
Uma grade de proteção é uma regra de alto nível que fornece governança contínua para seu ambiente geral de AMS.
Esta seção foi redigida porque contém informações confidenciais relacionadas à segurança do AMS. Essas informações estão disponíveis na **documentação** do console AMS. Para acessar o AWS Artifact, você pode entrar em contato com seu CSDM para obter instruções ou acessar Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
## Políticas de controle de serviços MALZ
Esta seção foi redigida porque contém informações confidenciais relacionadas à segurança do AMS. Essas informações estão disponíveis na **documentação** do console AMS. Para acessar o AWS Artifact, você pode entrar em contato com seu CSDM para obter instruções ou acessar Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
# Resposta a incidentes de segurança no AMS
A segurança é a principal prioridade no AWS Managed Services (AMS). O AMS implanta recursos e controles em suas contas para gerenciá-las. AWS tem um modelo de responsabilidade compartilhada: AWS gerencia a segurança da nuvem e você é responsável pela segurança na nuvem. O AMS protege seus dados e ativos e ajuda a manter sua AWS infraestrutura segura usando controles de segurança e monitoramento ativo para problemas de segurança. Esses recursos ajudam você a estabelecer uma linha de base de segurança para aplicativos executados na AWS nuvem. A AMS colabora com você por meio do Security Incident Response para avaliar o efeito e, em seguida, realizar a contenção e as remediações com base nas recomendações de melhores práticas.
Quando ocorre um desvio da linha de base, como por uma configuração incorreta ou uma alteração em fatores externos, você precisa responder e investigar. Para fazer isso com sucesso, você precisa entender os conceitos básicos de Resposta a Incidentes de Segurança em seu ambiente AMS. Você também deve entender os requisitos para preparar, educar e treinar equipes de nuvem antes que ocorram problemas de segurança. É importante conhecer os controles e os recursos que você pode usar, preparar planos de resposta para problemas comuns de segurança, como comprometimento da conta do usuário ou uso indevido de contas privilegiadas, e identificar métodos de remediação que usam a automação para melhorar a velocidade e a consistência da resposta. Além disso, você precisa entender seus requisitos regulatórios e de conformidade relacionados à criação de um programa de resposta a incidentes de segurança para atender a esses requisitos.
A resposta a incidentes de segurança pode ser complexa, mas, ao implementar uma abordagem iterativa, você pode simplificar o processo e permitir que a equipe de resposta a incidentes mantenha as partes interessadas dos ativos satisfeitas, fornecendo detecção e resposta precoces e contínuas. Neste guia, fornecemos a metodologia que o AMS usa para resposta a incidentes, a matriz de responsabilidade do AMS (RACI), como você pode se preparar para um evento de segurança, como engajar o AMS durante incidentes de segurança e alguns dos runbooks de resposta a incidentes que o AMS usa.
# Como funciona o AMS Security Incident Response
O AWS Managed Services se alinha ao [Guia de Tratamento de Incidentes de Segurança de Computadores do NIST 800-61 para resposta a incidentes de segurança](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final). Ao nos alinharmos a esse padrão do setor, fornecemos uma abordagem consistente para o gerenciamento de eventos de segurança e aderimos às melhores práticas para proteger e responder a incidentes de segurança em sua nuvem.
![\[Ciclo de vida de resposta a incidentes\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/images/sec-inc-response-1.png)
**Ciclo de vida de resposta a incidentes**
Quando a detecção identifica e gera um alerta de segurança, ou você solicita assistência de segurança, a equipe de operações do AWS Managed Services garante que haja uma investigação oportuna, executa automações para realizar a coleta, triagens e análises de dados, informa sobre a análise, realiza a investigação e quaisquer atividades de contenção e, em seguida, publica a análise do evento.
As atividades de coleta, triagem, análise e contenção de dados realizadas durante a resposta ao incidente variam de acordo com o tipo de evento de segurança que está sendo investigado. Exemplos de fluxos de trabalho do Security Incident Response para cenários selecionados estão no final deste documento.
Durante incidentes, o AMS determina dinamicamente o curso de ação correto, o que pode resultar em etapas documentadas sendo reordenadas ou ignoradas, conforme apropriado, para garantir que o resultado correto ocorra.
# Preparar
À medida que o cenário de ameaças evolui, o AMS continua expandindo os recursos de detecção e resposta. À medida que novas detecções são adicionadas, o AMS incorpora os alertas dessas novas detecções na plataforma de detecção e resposta. Os agentes de segurança da AMS são treinados para investigar e fazer parceria com você durante todo o ciclo de vida do Security Incident Response.
Por causa dessa abordagem de parceria, é importante que suas equipes de segurança e aplicativos estejam preparadas para interagir com o AMS para lidar com eventos de segurança à medida que esses eventos ocorrerem. Esta documentação explica o que esperar durante um evento de segurança e ajuda você a se preparar para uma resposta rápida quando ocorrer um incidente de segurança.
Esta documentação usa a definição do NIST 800-61 de um **evento** como qualquer ocorrência observável em um sistema ou rede e um **incidente** como uma violação ou ameaça iminente de violação de políticas, políticas de uso aceitável ou práticas de segurança padrão.
## Lista de verificação de preparação
Faça a seguinte lista de verificação com seu gerente de entrega de soluções de nuvem (CSDM) e arquiteto de nuvem AMS (CA):
+ Entenda quais cargas de trabalho estão sendo executadas em quais contas.
+ Entenda quais equipes internas são responsáveis pelas várias cargas de trabalho e marque-as adequadamente nas cargas de trabalho.
+ Mantenha os detalhes de contato internos de outras equipes que possam ser necessárias durante uma investigação de evento de segurança e para decisões de contenção.
+ Confirme se os contatos de segurança estão atualizados e adicionados a todas as AWS contas gerenciadas. Os contatos são gerenciados por conta.
+ Saiba como enviar um incidente de segurança para o AMS e esteja familiarizado com a gravidade e os tempos de resposta esperados.
+ Certifique-se de que, quando as notificações de segurança forem recebidas, elas sejam encaminhadas para as pessoas e sistemas apropriados, como pagers ou seu centro de operações de segurança.
+ Entenda quais fontes de registro estão disponíveis para você, onde elas estão armazenadas em suas contas e quem tem acesso a elas.
+ Entenda como usar o CloudWatch Insights para consultar registros durante investigações.
+ Entenda as opções de contenção disponíveis para você por recurso (IAMEC2, S3 e assim por diante) e as consequências na disponibilidade de sua carga de trabalho quando em contenção.
# Detectar
Durante o gerenciamento de suas AWS contas, o AMS monitora anomalias no comportamento do usuário, atividades da conta e possíveis eventos de segurança usando dados coletados de fontes e controles de detecção, incluindo, mas não se limitando a, CloudWatch Amazon, GuardDuty VPC Flow Logs, Amazon Macie e feeds internos de inteligência de ameaças AWS Config da Amazon.
O AMS usa AWS serviços nativos e outras tecnologias de detecção para responder aos eventos de segurança criados por:
+ Configure tipos de descoberta de conformidade
+ GuardDuty Tipos de localização
+ Tipos de descoberta de Macie
+ Eventos de firewall DNS do Amazon Route 53 Resolver
+ Eventos de segurança do AMS (alarmes de vigilância na nuvem)
Descobertas adicionais são adicionadas à medida que os serviços, produtos e ecossistemas de ameaças evoluem.
## Relate eventos de segurança ao AMS
Levante um incidente por meio do Suporte Centro ou Portal de Suporte do AMS para notificar o AMS sobre um incidente de segurança ou solicitar investigações.
# Analisar
Depois que um evento de segurança é identificado e relatado, a próxima etapa é analisar se o evento relatado é um falso positivo ou um incidente real. O AMS usa automação e técnicas de investigação manual para lidar com eventos de segurança. A análise inclui a investigação de registros de diferentes fontes de detecção, como registros de tráfego de rede, registros de host, CloudTrail eventos, registros AWS de serviços e assim por diante. A análise também busca padrões que mostram um comportamento anômalo por correlação.
Sua parceria é necessária para entender o contexto específico do ambiente da conta e estabelecer o que é normal para sua conta e suas cargas de trabalho. Isso ajuda o AMS a identificar uma anomalia mais rapidamente e a uma resposta acelerada a incidentes.
## Gerencie as comunicações do AMS sobre eventos de segurança
O AMS mantém você informado durante a investigação, envolvendo seus contatos de segurança por meio de um ticket de incidente. Seu gerente de prestação de serviços em nuvem (CSDM) e o arquiteto de nuvem (CA) do AMS são os pontos de contato a serem contatados para qualquer comunicação durante uma investigação de segurança ativa.
A comunicação inclui a notificação automática quando um alerta de segurança é gerado, a comunicação após a análise do evento, o estabelecimento de pontes de chamadas e a entrega contínua de artefatos, como arquivos de log, captura instantânea dos recursos infectados e obtenção dos resultados da investigação durante o evento de segurança.
Os campos padrão incluídos nas notificações de alerta de segurança do AMS estão listados abaixo. Esses campos fornecem informações para que você possa encaminhar eventos para as equipes apropriadas em sua organização para remediação.
+ Tipo de descoberta
+ Identificador de localização (quando relevante)
+ Encontrando a severidade
+ Descrição da descoberta
+ Localizando a data e a hora de criação
+ AWS ID da conta
+ Região (quando relevante)
+ AWS Recursos (IAMuser/role/policy, S3 EC2, EKS)
Campos adicionais são fornecidos dependendo do tipo de descoberta, por exemplo, as descobertas do EKS incluem detalhes do pod, do contêiner e do cluster.
# Contenção
A abordagem da AMS à contenção é uma parceria com você. Você entende seus negócios e os impactos na carga de trabalho que podem ocorrer com atividades de contenção, como isolamento de rede, desprovisionamento de usuários ou funções do IAM, reconstrução de instâncias e assim por diante.
Uma parte essencial da contenção é a tomada de decisões. Por exemplo, desligue um sistema, isole um recurso da rede ou desative o acesso ou encerre sessões. Essas decisões são mais fáceis de tomar se houver estratégias e procedimentos predeterminados para conter o incidente. O AMS fornece a estratégia de contenção e, em seguida, implementa a solução depois de considerar o risco envolvido na implementação das ações de contenção.
Há diferentes opções de contenção, dependendo dos recursos em análise. A AMS espera que vários tipos de contenção sejam implantados simultaneamente durante uma investigação de incidente. Alguns desses exemplos incluem:
+ Aplique regras de proteção para bloquear tráfego não autorizado (grupo de segurança, NACL, regras WAF, regras de SCP, negação de listagem, configuração da ação de assinatura para quarentena ou bloqueio)
+ Isolamento de recursos
+ Isolamento de rede
+ Desabilitando usuários, funções e políticas do IAM
+ Modificando/reduzindo o usuário e o privilégio de função do IAM
+ Encerrando/Suspendo/ Excluindo recursos computacionais
+ Restringindo o acesso público ao recurso afetado
+ Chaves de acesso, chaves de API e senhas rotativas
+ Limpando credenciais divulgadas e informações confidenciais
A AMS incentiva você a considerar o tipo de estratégia de contenção para cada tipo de incidente importante que esteja dentro de seu apetite pelo risco, com critérios claramente documentados para ajudar na tomada de decisões no caso de um incidente. Os critérios para determinar a estratégia apropriada incluem:
+ Potenciais danos aos recursos.
+ Preservação de evidências
+ Indisponibilidade de serviços (por exemplo, conectividade de rede e serviços fornecidos para entidades externas).
+ Tempo e recursos necessários para implementar a estratégia.
+ Eficácia da estratégia (por exemplo, contenção parcial, contenção total)
+ Permanência da solução (por exemplo, decisões de porta unidirecional versus decisões de porta bidirecional)
+ Duração da solução (por exemplo, solução alternativa de emergência a ser removida em quatro horas, solução temporária a ser removida em duas semanas, solução permanente).
+ Aplique controles de segurança que você possa ativar para reduzir o risco e ter tempo para definir e implementar uma contenção mais eficaz.
A velocidade da contenção é fundamental. A AMS recomenda uma abordagem em etapas para obter uma contenção eficiente e eficaz, elaborando estratégias de abordagens de curto e longo prazo.
Use este guia para considerar sua estratégia de contenção que envolve técnicas diferentes com base no tipo de recurso.
+ Estratégia de contenção
+ O AMS pode identificar o escopo do incidente de segurança?
+ Em caso afirmativo, realize a identificação de todos os recursos afetados (usuários, sistemas e recursos).
+ Em caso negativo, realize a investigação simultaneamente à execução da próxima etapa nos recursos previamente identificados.
+ O recurso pode ser isolado?
+ Em caso afirmativo, prossiga com o isolamento dos recursos afetados.
+ Em caso negativo, colabore com os responsáveis pelos sistemas e gerentes para determinar as ações necessárias para a contenção do problema.
+ Todos os recursos afetados estão isolados dos recursos que não foram afetados?
+ Em caso afirmativo, prossiga para a próxima etapa.
+ Se não, continue isolando os recursos afetados até que a contenção de curto prazo seja realizada para evitar que o incidente se agrave ainda mais.
+ Backup do sistema
+ Foram criadas cópias de backup dos sistemas afetados para análises posteriores?
+ As cópias para análises forenses estão devidamente criptografadas e armazenadas em um local seguro?
+ Em caso afirmativo, prossiga para a próxima etapa.
+ Em caso negativo, criptografe as imagens para análises forenses e, em seguida, armazene-as em um local seguro para evitar uso acidental, danos e adulterações.
# Erradicação
Depois que um incidente for contido, a erradicação pode ser necessária para eliminar completamente as fontes de ameaça e proteger o sistema antes de prosseguir para o próximo estágio de recuperação. As etapas de erradicação podem incluir a exclusão de malware e a remoção de contas de usuário comprometidas, além de identificar e mitigar todas as vulnerabilidades que foram exploradas. Durante a erradicação, é importante identificar todas as contas, recursos e instâncias afetados no ambiente para que possam ser corrigidos.
É uma prática recomendada que a erradicação e a recuperação sejam feitas em uma abordagem em fases para que as etapas de remediação sejam priorizadas. Para incidentes de grande escala, a recuperação pode levar meses. A intenção das fases iniciais deve ser aumentar a segurança geral com mudanças de alto valor relativamente rápidas (dias ou semanas) para evitar futuros incidentes. As fases posteriores devem se concentrar em mudanças de longo prazo (por exemplo, mudanças na infraestrutura) e no trabalho contínuo para manter a empresa o mais segura possível.
Para alguns incidentes, a erradicação não é necessária ou é realizada durante a recuperação.
Considere o seguinte:
+ O sistema pode ser recriado e depois reforçado com patches ou outras contramedidas para evitar ou reduzir o risco de ataques?
+ Todos os malwares e outros artefatos deixados pelos atacantes são removidos e os sistemas afetados são protegidos contra novos ataques?
# Recuperar
A AMS faz parceria com você para restaurar a operação normal dos sistemas, confirmar se os sistemas estão funcionando normalmente e (conforme aplicável) corrigir vulnerabilidades para evitar incidentes semelhantes.
Considere o seguinte:
+ O (s) sistema (s) afetado (s) está (m) corrigido (s) e protegido (s) contra o ataque recente e possíveis ataques futuros?
+ Em que dia e horário são viáveis para restaurar a produção dos sistemas afetados?
+ Quais ferramentas você usará para testar, monitorar e verificar se os sistemas que você restaura para produção não são vulneráveis às técnicas iniciais de ataque?
# Relatório pós-incidente
Após o evento, o AMS executa um processo de análise de investigação para todos os incidentes de segurança. Além disso, o AMS inicia um processo de correção de erro (COE) para tratar de incidentes de segurança causados por um sistema ou por uma falha processual que, plausivelmente, pode ser melhorada. A AMS faz parceria com você para melhorar continuamente a experiência de investigação de segurança. O processo de COE ajuda a AMS a identificar os fatores que contribuem para eventos que afetam o cliente e conecta essas causas aos itens de ações futuras que podem evitar que eventos semelhantes se repitam ou ajudar a mitigar a duração ou o nível de impacto.
O processo de análise da investigação de incidentes de segurança aborda os seguintes itens para identificar oportunidades de melhoria:
+ Qual foi o tempo decorrido desde o início do incidente até a descoberta do incidente, a avaliação inicial do impacto e cada estágio do processo de tratamento do incidente (por exemplo, contenção, recuperação)?
+ Quanto tempo a equipe de resposta a incidentes levou para responder ao relatório inicial do incidente?
+ Quanto tempo demorou para fazer uma análise de impacto inicial?
+ Isso era evitável e como? Existe uma ferramenta ou processo que poderia ter evitado isso?
+ Poderíamos ter detectado isso mais cedo e como?
+ O que poderia ter acelerado a investigação?
+ Os procedimentos documentados de resposta a incidentes foram seguidos? Eles eram adequados?
+ O compartilhamento de informações com outras partes interessadas foi feito em tempo hábil? Como ele poderia ser melhorado?
+ A colaboração com outras equipes (AWS segurança, equipes de contas, equipe de AWS desenvolvimento e equipe de segurança do cliente) foi eficaz? Se não, o que poderia ser melhorado?
+ Quais etapas de preparação estavam faltando que poderiam ter ajudado, matrizes de escalonamento, RACIs, modelos de responsabilidade compartilhada e assim por diante? É necessário atualizar algum Runbook?
+ Qual foi a diferença entre a avaliação de impacto inicial e a avaliação de impacto final? O que podemos fazer para melhorar a precisão das avaliações anteriores na resposta ao incidente?
+ Quais são os itens de ação das lições aprendidas?
# Runbooks de resposta a incidentes de segurança no AMS
Esta seção contém dois runbooks:
+ [Resposta à atividade do usuário root](sir-root-user.md)
+ [Resposta a eventos de malware](sir-malware.md)
# Resposta à atividade do usuário root
O [usuário root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) é o superusuário em sua AWS conta. Observe que o AMS monitora o uso do root. É uma prática recomendada usar o usuário root somente para as poucas tarefas que o exigem, como alterar as configurações da conta, ativar o acesso AWS Identity and Access Management (IAM) ao faturamento e ao gerenciamento de custos, alterar sua senha raiz e ativar a autenticação multifator (MFA). Para obter mais informações, consulte [Tarefas que exigem credenciais de usuário root](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root).
Para obter mais informações sobre como informar o AMS sobre o uso raiz planejado, consulte [Quando e como usar a conta raiz no AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/how-when-to-use-root.html).
Quando a atividade do usuário root é detectada, ou tentativas malsucedidas de login que podem indicar um ataque de força bruta ou atividade na conta após um login bem-sucedido, um evento é gerado e um incidente é enviado aos seus contatos de segurança definidos.
O AWS Managed Services Operations investiga atividades não planejadas do usuário raiz, realiza coleta, triagem e análise de dados e realiza atividades de contenção sob sua orientação, seguidas pela análise pós-evento.
Se você tiver o modelo operacional AMS Advanced, receberá comunicações adicionais dos engenheiros do AMS CSDM e do AMS Ops que confirmam a atividade não planejada do usuário raiz devido à responsabilidade do AMS de proteger as credenciais do usuário raiz. O AMS investiga a atividade do usuário raiz até que você confirme um caminho a seguir.
## Preparar
Avise o AMS sobre qualquer uso planejado do usuário raiz enviando uma solicitação de serviço do AMS com dados e horários do evento planejado para evitar atividades desnecessárias de resposta a incidentes.
Conduza periodicamente GameDays com a AMS para validar os processos de resposta a incidentes de clientes da AMS, se as pessoas e os sistemas estão atualizados e crie uma memória muscular com indivíduos responsáveis para obter uma resposta mais rápida a incidentes.
## Fase A: Detectar
O AMS monitora a atividade raiz nas contas por meio de fontes de detecção, incluindo GuardDuty o monitoramento do AMS.
Se você tiver o AMS Accelerate, o modelo operacional responde ao incidente solicitando investigação de atividade inesperada do usuário raiz. Quando isso ocorre, o AMS Operations inicia o runbook de contas comprometidas.
Se você tiver o AMS Advanced, o modelo operacional responde ao incidente ou informa o CSDM sobre qualquer atividade planejada do usuário raiz para encerrar uma investigação ativa de comprometimento de conta.
## Fase B: Analisar
O AMS realiza uma investigação completa dos eventos do usuário raiz quando é determinado que a atividade não está autorizada. Usando as automações e a equipe de resposta de segurança do AMS, os registros e eventos são analisados em busca de anomalias e comportamentos inesperados dos usuários root. Os registros são fornecidos para ajudar a determinar se a atividade é desconhecida, se é um evento autorizado do usuário root ou se requer uma investigação mais aprofundada.
Alguns exemplos das informações fornecidas durante a investigação para apoiar as verificações internas incluem:
+ Informações da conta: em qual conta a conta raiz foi usada?
+ Endereço de e-mail do usuário raiz: cada usuário raiz está associado a um endereço de e-mail da sua organização
+ Detalhes da autenticação: de onde e quando o usuário root acessou seu ambiente?
+ Registros de atividades: o que o usuário fez quando estava logado como root? Esses registros estão na forma de CloudWatch eventos. Entender como ler esses registros ajuda na investigação.
É uma prática recomendada que você esteja preparado para receber as informações de análise e ter um plano de como alcançar pontos de contato autorizados para contas em sua organização. Como os usuários raiz não são nomeados como indivíduos, determinar quem tem acesso ao endereço de e-mail raiz usado para a conta em sua organização ajuda a encaminhar rapidamente as perguntas internamente.
## Fase C: Conter e erradicar
A AMS faz parceria com suas equipes de segurança para realizar a contenção sob a orientação de seus contatos autorizados de Segurança do Cliente. As opções de contenção incluem:
+ Rotação de credenciais e chaves apropriadas.
+ Encerramento de sessões ativas em contas e recursos.
+ Erradicando os recursos criados.
Durante as atividades de contenção, o AMS trabalha em estreita colaboração com sua equipe de segurança para garantir que qualquer interrupção em suas cargas de trabalho seja minimizada e que as credenciais raiz sejam protegidas adequadamente.
Depois que o plano de contenção for concluído, você trabalha com a equipe de operações do AMS para quaisquer ações de recuperação, conforme necessário.
## Relatório pós-incidente
Conforme necessário, a AMS inicia o processo de revisão da investigação para identificar as lições aprendidas. Como parte da conclusão de um COE, a AMS comunica todas as descobertas relevantes aos clientes afetados para ajudá-los a melhorar seu processo de resposta a incidentes.
O AMS documenta todos os detalhes finais da investigação, coleta métricas apropriadas e, em seguida, relata o incidente a qualquer equipe interna do AMS que precise de informações, incluindo seu CSDM e CA designados.
# Resposta a eventos de malware
As EC2 instâncias da Amazon são usadas para hospedar uma variedade de cargas de trabalho, incluindo software de terceiros e software desenvolvido sob medida, implantado por equipes de aplicativos dentro das organizações. O AMS fornece e incentiva você a implantar suas cargas de trabalho em imagens que são corrigidas e mantidas continuamente pelo AMS.
Durante a operação das instâncias, o AMS monitora anomalias no comportamento ou na atividade por meio de uma variedade de controles de detecção de segurança, incluindo Amazon, Endpoint Protection GuardDuty, Network Traffic e feeds internos da Amazon Threat Intelligence.
Os clientes do AMS com o modelo operacional AMS Advanced têm automaticamente o cliente de monitoramento de segurança de terminais (EPS) instalado nos recursos provisionados. Isso garante que os recursos sejam monitorados e suportados 24 horas por dia, 7 dias por semana, incluindo a criação de um incidente de segurança quando um evento é detectado.
O AMS também monitora as descobertas de GuardDuty malware. Eles estão disponíveis no AMS Advanced e no AMS Accelerate, se habilitados. Consulte [Proteção contra malware na Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html) para obter mais informações.
**nota**
Se você optou por [Traga seu próprio EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html), o processo de resposta a incidentes é diferente do descrito nesta página. Para obter mais informações, consulte a documentação referenciada.
Quando um malware é detectado, um incidente é criado e você é notificado sobre o evento. Essa notificação é seguida por todas as atividades de remediação que ocorreram. O AMS Operations investiga, realiza coleta, triagem e análise de dados e, em seguida, realiza atividades de contenção sob sua direção, seguidas pela análise pós-evento.
## Fase A: Detectar
O AMS monitora eventos em instâncias com GuardDuty monitoramento de soluções de segurança de terminais. O AMS determina as atividades apropriadas de enriquecimento e triagem para ajudá-lo a tomar decisões de contenção ou aceitação de riscos com base no tipo de descoberta ou alerta.
A coleta de dados é realizada com base no tipo de descoberta. A coleta de dados envolve a consulta de várias fontes de dados dentro e fora da conta afetada para criar uma imagem da atividade observada ou das configurações preocupantes.
O AMS realiza a correlação da descoberta com quaisquer outros alarmes e alertas ou telemetria de quaisquer contas afetadas ou plataformas de inteligência de ameaças da AMS.
## Fase B: Analisar
Depois que os dados são coletados, eles são analisados para identificar qualquer atividade ou indicador de preocupação. Durante essa fase da investigação, a AMS faz parceria com você para integrar o conhecimento comercial e de domínio das instâncias e cargas de trabalho para ajudar a entender o que é esperado e o que está fora do comum.
Alguns exemplos das informações fornecidas durante a investigação para apoiar as verificações internas incluem:
+ Informações da conta: em qual conta a atividade do malware foi observada?
+ Detalhes da instância: quais instâncias estão envolvidas nos eventos de malware?
+ Data e hora do evento: quando o alerta foi acionado?
+ Informações sobre a carga de trabalho: o que está sendo executado na instância?
+ Detalhes do malware, se relevante: famílias de malware e informações de código aberto sobre o malware.
+ Detalhes de usuários ou funções: quais usuários ou funções são afetados e envolvidos na atividade?
+ Registros de atividades: quais atividades são registradas na instância? Eles estão na forma de CloudWatch eventos e eventos do sistema da instância. Entender como ler esses registros ajudará você na investigação.
+ Atividade de rede: quais endpoints estão se conectando à instância, a que a instância está se conectando e qual é a análise de tráfego?
É uma prática recomendada estar preparado para receber informações de investigação e ter um plano sobre como entrar em contato com os pontos de contato apropriados para contas, instâncias e cargas de trabalho em sua organização. Compreender a topologia da rede e a conexão esperada pode ajudar a acelerar a análise de impacto. O conhecimento dos testes de penetração planejados no ambiente e das implantações recentes realizadas pelos proprietários de aplicativos também podem acelerar a investigação.
Se você determinar que a atividade foi planejada e autorizada, o incidente será atualizado e a investigação será encerrada. Se o comprometimento for confirmado, você e a AMS determinarão o plano de contenção apropriado.
## Fase C: Conter e erradicar
A AMS faz parceria com você para determinar as atividades de contenção apropriadas com base nos dados coletados e nas informações conhecidas. As opções de contenção incluem, mas não estão limitadas a:
+ Preservando dados por meio de instantâneos
+ Modificação das regras de rede para limitar o tráfego de entrada ou saída de instâncias
+ Modificando as políticas de usuário e função do SCP, do IAM para limitar o acesso
+ Encerramento, suspensão ou desativação de instâncias
+ Encerrando todas as conexões persistentes
+ Rotação de credenciais/chaves apropriadas
Se você optar por realizar atividades de erradicação contra a instância, o AMS o ajudará a conseguir isso. As opções incluem, mas não estão limitadas a:
+ Removendo qualquer software indesejado
+ Reconstruindo a instância a partir de uma imagem limpa e totalmente corrigida e reimplantando aplicativos e configurações
+ Restaurando a instância a partir de um backup anterior
+ Implantar aplicativos e serviços em outra instância da sua conta que possa ser adequada para hospedar as cargas de trabalho.
É importante determinar como o malware foi entregue e executado na instância antes da restauração do serviço para garantir que quaisquer controles adicionais sejam aplicados para evitar a recorrência do malware na instância. O AMS fornece insights ou informações adicionais aos seus parceiros ou equipes forenses, conforme necessário, para apoiar a perícia.
Neste ponto, você trabalha com o AMS Operations para as atividades de recuperação. O AMS trabalha em estreita colaboração com você para minimizar a interrupção das cargas de trabalho e proteger as instâncias.
## Relatório pós-incidente
Conforme necessário, a AMS inicia o processo de revisão da investigação para identificar as lições aprendidas. Como parte da conclusão de um COE, o AMS comunica descobertas relevantes para ajudá-lo a melhorar seu processo de resposta a incidentes.
O AMS documenta os detalhes finais da investigação, coleta métricas apropriadas e relata o incidente às equipes internas do AMS que precisam de informações, incluindo seu CSDM e CA designados.
# Revisões de segurança de solicitações de alteração no AMS Advanced
O processo de revisão da solicitação de alteração do AWS Managed Services garante que o AMS realize uma análise de segurança das alterações solicitadas à medida que elas são implementadas em seu nome em sua conta.
[Padrões técnicos avançados do AMS](ams-sec-technical-standards.md)defina os critérios, configurações e processos mínimos de segurança para estabelecer a segurança básica de suas contas. Quando o AMS implementa as mudanças solicitadas, seguimos esses padrões.
O AMS avalia todas as solicitações de alteração de acordo com os padrões técnicos do AMS. Qualquer alteração que possa diminuir a postura de segurança da sua conta ao se desviar dos padrões técnicos passa por um processo de revisão de segurança. Durante esse processo, o risco relevante é destacado pela AMS e revisado e aprovado por seu aprovador de riscos autorizado para equilibrar as necessidades comerciais e de segurança.
# Processo de gerenciamento de riscos de segurança do cliente
O processo de Gerenciamento Avançado de Riscos de Segurança do Cliente (CSRM) da AMS ajuda a identificar e comunicar claramente os riscos aos proprietários certos. Esse processo minimiza os riscos de segurança em seu ambiente e reduz a sobrecarga operacional contínua dos riscos identificados.
Por padrão, quando alguém da sua organização solicita que o AMS implemente uma alteração em seu ambiente gerenciado, o AMS analisa a alteração para determinar se a solicitação está fora dos padrões técnicos, o que pode alterar a postura de segurança da sua conta. Se houver um risco de segurança alto ou muito alto, a revisão da alteração será aceita ou rejeitada pela equipe de segurança autorizada. As alterações solicitadas também são avaliadas quanto aos efeitos adversos na capacidade da AMS de operar a conta. Se a revisão encontrar possíveis impactos adversos, revisões e aprovações adicionais serão necessárias dentro da AMS.
Você pode optar por não participar do fluxo de trabalho baseado em aprovação no processo de CSRM para riscos altos ou muito altos. Para alterar a opção CSRM para contas específicas de **CSRM padrão** para **Somente notificação**, trabalhe com seus gerentes de entrega de serviços em nuvem para criar uma aceitação de risco única. Se você optar por continuar com a opção **Somente notificação**, o AMS implementará as alterações solicitadas, independentemente da categoria de risco. Além disso, o AMS envia uma notificação de risco para seus aprovadores de risco autorizados em vez de buscar aprovação antes da implementação da mudança. Fale com seus arquitetos de nuvem ou gerentes de entrega de serviços em nuvem para obter mais informações sobre o processo de CSRM do AMS, como alterar a opção de CSRM padrão ao integrar novas contas do AMS ou como atualizar as contas existentes.
**nota**
O AMS recomenda fortemente que você use a opção **padrão de CSRM** padrão em todas as suas contas.
# Padrões técnicos avançados do AMS
A seguir estão as categorias de padrões técnicos avançados do AMS:
| ID | Categoria |
| --- | --- |
| AMS-STD-001 | Configuração de marcação |
| AMS-STD-002 | AWS Identity and Access Management |
| AMS-STD-003 | Segurança de rede |
| AMS-STD-004 | Teste de penetração |
| AMS-STD-005 | Amazon GuardDuty |
| AMS-STD-006 | Segurança do host |
| AMS-STD-007 | Registro em log |
| AMS-STD-008 | ESTOU LOUCO |
| AMS-STD-009 | Diversos |
# Controles padrão no AMS Advanced
A seguir estão os controles padrão no AMS:
## AMS-STD-001 - Configuração de marcação
A seguir está o controle padrão para 001 - Configuração de marcação.
1. Todos os AWS recursos exigidos pela equipe do AMS para fins operacionais e de gerenciamento devem ter o seguinte par de valores-chave.
+ AppId= AMSInfrastructure
+ Meio ambiente = AMSInfrastructure
+ AppName = AMSInfrastructure
+ AMSResource=Verdadeiro
1. Todas as tags exigidas pela equipe do AMS, exceto as listadas anteriormente, devem ter prefixos conforme mencionado na lista de prefixos do AMS (consulte a Nota).
1. Os valores de tag exigidos pela equipe do AMS (AppId, Ambiente e AppName) podem ser alterados em qualquer um dos recursos criados por você com base em suas solicitações de alteração.
1. Qualquer tag nas pilhas exigida pelo AMS não deve ser excluída com base em suas solicitações de alteração.
1. Você não pode usar a convenção de nomenclatura de tags do AMS para sua infraestrutura, conforme mencionado no ponto 2.
1. Você pode criar etiquetas personalizadas nos recursos exigidos pelo AMS (normalmente para casos de uso de faturamento e relatórios de custos). As tags personalizadas são mantidas se os recursos forem atualizados pela atualização da pilha e não pela atualização do modelo.
**nota**
Lista de prefixos AMS
ams-\$1
AWSManagedServiços\$1
/ams/ \$1
mão\$1
MÃO\$1
Amigos\$1
mc\$1
MC\$1
Mc\$1
sentinela\$1
Sentinela\$1
Serviços\$1gerenciados\$1
Novo AMS\$1
AWS\$1\$1
era\$1
VPC\$1\$1
CloudTrail\$1
Cloudtrail\$1
/aws\$1reserved/
INGERIR\$1
EPSDB\$1
MÃES\$1
TemplateId\$1
StackSet-mão\$1
StackSet-Zona de aterrissagem da AWS
IAMPolicy\$1
cliente-mc-\$1
Raiz\$1
LandingZone\$1
StateMachine\$1
codedeploy\$1service\$1role
host de gerenciamento
sentinel.int.
eps
UnhealthyInServiceBastion
ms-
## AMS-STD-002 - (IAM) AWS Identity and Access Management
| ID | Padrão técnico |
| --- | --- |
| 1.0 | Duração do tempo limite |
| 1.1 | O tempo limite padrão de uma sessão de usuário federado é de uma hora e pode ser aumentado para até quatro horas. |
| 1.2 | O tempo padrão de acesso à pilha é de 12 horas. |
| 2.0 | AWS Uso da conta raiz |
| 2.1 | Se houver uso da conta raiz por qualquer motivo, a Amazon GuardDuty deverá ser configurada para gerar descobertas relevantes. |
| 2.2 | Para contas de zona de destino de conta única (SALZ) e conta de gerenciamento de zona de destino com várias contas (MALZ) (anteriormente conhecida como Master/Billing conta), a conta de usuário raiz deve ter o MFA virtual ativado e o soft token do MFA é descartado durante a integração da conta, para que nem o AMS nem os clientes possam fazer login como root. O processo padrão de perda da senha AWS raiz deve ser seguido em conjunto com o AMS Cloud Service Delivery Manager (CSDM). Essa configuração deve permanecer durante o ciclo de vida das contas gerenciadas pelo AMS. |
| 2.3 | Você não deve criar chaves de acesso para a conta raiz. |
| 3.0 | Criação e modificação de usuários |
| 3.1 | O IAM users/roles com acesso programático e com permissões somente de leitura pode ser criado sem nenhuma política de tempo limitado. No entanto, a permissão para permitir a leitura de objetos (por exemplo, S3:GetObject) em todos os buckets do Amazon Simple Storage Service na conta não é permitida. |
| 3.1.1 | Usuários humanos do IAM para acesso ao console e com permissões somente de leitura podem ser criados com a política de limite de tempo (até 180 dias), enquanto a política com limite removal/renewal/extension de tempo resultará na notificação de risco. No entanto, a permissão para permitir a leitura de objetos (por exemplo, S3:GetObject) em todos os buckets do S3 na conta não é permitida. |
| 3.2 | Os usuários e funções do IAM para acesso programático e de console com quaisquer permissões que alterem a infraestrutura (gravação e gerenciamento de permissões) na conta do cliente não devem ser criados sem a aceitação do risco. Existem exceções para permissões de gravação em nível de objeto do S3, que são permitidas sem aceitação de riscos, desde que os buckets específicos estejam no escopo e nas operações de marcação em tags não relacionadas ao AMS. |
| 3.3 | Usuários do IAM com acesso programático, nomeados customer\$1servicenow\$1user e customer\$1servicenow\$1logging\$1user necessários para ServiceNow integração na conta do aplicativo SALZ ou MALZ e nas contas\$1principais\$1, podem ser criados sem nenhuma política de tempo limitado. |
| 3.4 | Os usuários do IAM com acesso programático, uso customer\$1cloud\$1endure\$1policy e customer\$1cloud\$1endure\$1deny\$1policy (com acesso somente leitura) necessários para CloudEndure integração nas contas SALZ e MALZ podem ser criados, mas precisam de uma política de tempo limitado para o período da migração planejada. O limite de tempo pode ser de um período máximo de 180 dias sem qualquer RA. O SCP também está autorizado a alterar as contas MALZ para permitir que essas políticas funcionem pelo período exigido. Você define janelas de migração apropriadas para suas necessidades e ajusta conforme necessário. |
| 4,0 | Políticas, ações e APIs |
| 4.1 | Todos os seus usuários e funções do IAM nas contas do SALZ devem ter a Política de Negação do Cliente (CDP) padrão anexada para proteger a infraestrutura do AMS contra danos acidentais ou intencionais. |
| 4.2 | O AMS SCPs deve estar habilitado em todas as contas gerenciadas pelo AMS no MALZ. |
| 4.3 | Identidades capazes de realizar ações administrativas em chaves KMS, como, e PutKeyPolicyScheduleKeyDeletion, devem ser restritas somente aos operadores e diretores de automação do AMS. |
| 4.4 | Uma política não deve fornecer acesso ao administrador com uma declaração equivalente a “Efeito”: “Permitir” com “Ação”: “\$1” sobre “Recurso”: “\$1” sem aceitação de risco. |
| 4.5 | A política do IAM não deve incluir nenhuma ação que inclua a ação Permitir S3: \$1\$1\$1 em nenhum bucket sem aceitação de risco. |
| 4.6 | As chamadas de API contra políticas de chaves do KMS para chaves de infraestrutura do AMS nas políticas de IAM do cliente não devem ser permitidas. |
| 4.7 | Ações que ignoram o processo de gerenciamento de alterações (RFC) não devem ser permitidas, como iniciar ou interromper a instância, criar um bucket do S3 ou instância do RDS e assim por diante. |
| 4.8 | Ações que fazem alterações nos registros DNS da infraestrutura do AMS no Amazon Route 53 não devem ser permitidas. |
| 4,9 | Usuários humanos do IAM com acesso ao console criado após seguirem o devido processo legal não devem ter nenhuma política anexada diretamente, exceto a política de confiança, a política de assumir funções e a política de limite de tempo. |
| 4.10 | Perfis de EC2 instância da Amazon com acesso de leitura a um segredo ou namespace específico AWS Secrets Manager na mesma conta podem ser criados. |
| 4.11 | As permissões do AWS Managed Services Change Management (AMSCM) ou do AWS Managed Services Service Knowledge Management System (AMSSKMS) podem ser adicionadas a qualquer função (capacidade de abertura). SR/Incident/RFC |
| 4.12 | A política do IAM não deve incluir nenhuma ação que inclua a ação Permitir registros: DeleteLogGroup e registros: DeleteLogStream em qualquer grupo de CloudWatch registros do AMS Amazon. |
| 4.13 | As permissões para criar chaves multirregionais não devem ser permitidas. |
| 4.14 | Para fornecer acesso ao bucket do S3 ARNs que ainda não foi criado em suas contas, use a chave de condição do S3 específica do serviço s3:ResourceAccount para especificar o número da conta. |
| 4.15 | Você pode ter acesso de visualização, criação, lista e exclusão ao seu painel personalizado, mas somente acessar e listar nos CloudWatch painéis da Amazon. |
| 4.15.1 | Você pode visualizar, criar, listar e excluir o acesso ao painel personalizado da lente de armazenamento do S3. |
| 4.16 | Permissões completas relacionadas ao SQL Workbench podem ser concedidas roles/users para trabalhar nos bancos de dados do Amazon Redshift. |
| 4.17 | Qualquer AWS CloudShell permissão pode ser concedida às funções do cliente como alternativa à CLI. |
| 4.18 | Uma função do IAM com um AWS service (Serviço da AWS) diretor confiável também deve estar em conformidade com os padrões técnicos do IAM. |
| 4.19 | As funções vinculadas ao serviço (SLRs) não estão sujeitas aos padrões técnicos do AMS IAM, pois são criadas e mantidas pela equipe de serviço do IAM. |
| 4.20 | As políticas do IAM não devem permitir acesso de leitura irrestrito aos objetos de bucket do Amazon S3 (por exemplo, Amazon S3GetObject:) em todos os buckets de uma conta: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/userguide/ams-sec-stand-controls.html) |
| 4.21 | Todas as permissões do IAM para o tipo de recurso “savingsplan” podem ser concedidas aos clientes. |
| 4.22 | Os engenheiros do AMS não têm permissão para copiar ou mover dados do cliente (arquivos, objetos do S3, bancos de dados) manualmente em nenhum dos serviços de armazenamento de dados, como Amazon S3, Amazon Relational Database Service, Amazon DynamoDB, etc., nem no sistema de arquivos do sistema operacional. |
| 4.23 | A política de SCP não deve ser modificada para permitir qualquer acesso adicional em qualquer conta gerenciada do AMS. |
| 4,24 | Quaisquer alterações na política do SCP que possam prejudicar a infraestrutura ou os recursos de gerenciamento do AMS não devem ser permitidas. (Observação: os recursos do AMS têm a tag AppId= AMSInfrastructure e seguem o AMS Protected Namespace). |
| 4,25 | O recurso AMS Automated IAM Provisioning deve ser ativado em suas contas como um recurso opcional. |
| 4.26 | As funções ou os usuários assumidos por humanos do AMS não devem ter acesso ao conteúdo do cliente no S3, RDS, DynamoDB, Redshift, Elasticache, EFS e. FSx Além disso, qualquer acesso a um novo e conhecido APIs lançado por terceiros Serviços da AWS que conceda acesso ao conteúdo do cliente deve ser explicitamente negado nas funções de operador. |
| 5.0 | Federação |
| 5.1 | A autenticação deve ser configurada usando a federação na conta gerenciada do AMS. |
| 5.2 | Só deve haver confiança de saída unidirecional do AMS AD para seu Active Directory (o AMS AD confia no AD local). |
| 5.3 | Seus repositórios de identidade usados para se autenticar no AMS não devem existir nas contas de aplicativos gerenciados pelo AMS. |
| 6.0 | Políticas de contas cruzadas |
| 6.1 | As funções do IAM, as políticas de confiança entre contas do AMS que pertencem ao mesmo cliente, de acordo com os registros do cliente, podem ser configuradas. |
| 6.2 | As políticas de confiança das funções do IAM entre contas AMS e não AMS devem ser configuradas somente se a conta não AMS pertencer ao mesmo cliente do AMS (confirmando que elas estão na mesma AWS Organizations conta ou combinando o domínio de e-mail com o nome da empresa do cliente). |
| 6.3 | As políticas de confiança das funções do IAM entre contas do AMS e contas de terceiros não devem ser configuradas sem a aceitação do risco. |
| 6.4 | Políticas entre contas para acessar qualquer cliente gerenciado CMKs entre contas AMS do mesmo cliente podem ser configuradas. |
| 6.5 | Políticas entre contas para acessar qualquer chave KMS em uma conta não AMS por meio de uma conta AMS podem ser configuradas. |
| 6.6 | As políticas entre contas para acessar qualquer chave KMS em uma conta AMS por uma conta de terceiros não devem ser permitidas sem a aceitação do risco. |
| 6.6.1 | As políticas entre contas para acessar qualquer chave KMS em uma conta AMS por uma conta não AMS só podem ser configuradas se a conta não AMS pertencer ao mesmo cliente do AMS. |
| 6.7 | Políticas entre contas para acessar quaisquer dados ou recursos do bucket do S3 em que os dados possam ser armazenados (como Amazon RDS, Amazon DynamoDB ou Amazon Redshift) entre contas AMS do mesmo cliente podem ser configuradas. |
| 6.8 | Políticas entre contas para acessar quaisquer dados ou recursos do bucket do S3 em que os dados possam ser armazenados (como Amazon RDS, Amazon DynamoDB ou Amazon Redshift) em uma conta não AMS a partir de uma conta AMS com acesso somente leitura podem ser configuradas. |
| 6.9 | Políticas entre contas para acessar quaisquer dados ou recursos de bucket do S3 em que os dados possam ser armazenados (como Amazon RDS, Amazon DynamoDB ou Amazon Redshift) com permissões de gravação do AMS para uma conta que não seja do AMS (ou de uma conta que não seja do AMS para AMS) devem ser configuradas somente se a conta não AMS pertencer ao mesmo cliente do AMS (confirmando que eles estão na mesma conta ou combinando com o domínio de e-mail) com AWS Organizations o nome da empresa do cliente). |
| 6.10 | Políticas entre contas para acessar quaisquer dados ou recursos do bucket do S3 em que os dados possam ser armazenados (como Amazon RDS, Amazon DynamoDB ou Amazon Redshift) em uma conta de terceiros a partir de uma conta AMS com acesso somente leitura podem ser configuradas. |
| 6.11 | Políticas entre contas para acessar quaisquer dados ou recursos do bucket do S3 em que os dados possam ser armazenados (como Amazon RDS, Amazon DynamoDB ou Amazon Redshift) em uma conta de terceiros a partir de uma conta AMS com acesso de gravação não devem ser configuradas. |
| 6.12 | Políticas entre contas de contas de terceiros para acessar um bucket S3 de um cliente do AMS ou recursos nos quais os dados podem ser armazenados (como Amazon RDS, Amazon DynamoDB ou Amazon Redshift) não devem ser configuradas sem a aceitação do risco. |
| 7.0 | User Groups (Grupos de usuários) |
| 7.1 | Grupos do IAM com permissões somente de leitura e não mutativas são permitidos. |
| 8.0 | Políticas baseadas em recurso |
| 8.1 | Os recursos de infraestrutura do AMS devem ser protegidos do gerenciamento por identidades não autorizadas por meio da anexação de políticas baseadas em recursos. |
| 8.2 | Seus recursos devem ser configurados com políticas baseadas em recursos com privilégios mínimos, a menos que você especifique explicitamente uma política diferente. |
| 9.0 | Serviços provisionados de autoatendimento (SSPS) |
| 9.1 | A função ou política padrão do IAM do AMS (incluindo perfil de instância, SSPS, padrão) não deve ser modificada com ou sem qualquer aceitação de risco. Exceções são permitidas (sem aceitação de risco) para políticas de confiança. A marcação da função, política ou alterações do usuário também é permitida nas funções SSP padrão. |
| 9.3 | A política SSPS para a função de console do Systems Manager Automation não pode ser anexada a nenhuma função personalizada além da função padrão. Outras políticas de SSPS só devem ser anexadas a funções personalizadas do IAM depois de garantir que a vinculação da política a uma função personalizada não forneça permissões adicionais fora do design pretendido para o serviço SSPS padrão. |
## AMS-STD-003 - Segurança de rede
A seguir está o controle padrão para 003 - Network Security:
| ID | Padrão técnico |
| --- | --- |
| | Redes |
| 1,0 | Todas as EC2 instâncias devem ser acessadas por SSH ou RDP somente por meio de hosts Bastion, do intervalo VPC CIDR do Bastion Host ou do mesmo intervalo de CIDR VPC da instância. |
| 2,0 | O IP elástico em EC2 instâncias é permitido |
| 3.0 | O plano de controle AMS e, por extensão, no plano de dados TLS 1.2\$1 devem ser usados. |
| 4,0 | Todo o tráfego de saída deve passar usando a conta IGW ou TGW. |
| 5,0 | Um grupo de segurança não deve ter origem como 0.0.0.0/0 na regra de entrada se não estiver conectado a um balanceador de carga conforme 9.0 |
| 6.0 | O bucket ou os objetos do S3 não devem ser tornados públicos sem a aceitação do risco. |
| 7.0 | O acesso ao gerenciamento de servidores nas portas SSH/22 ou SSH/2222 (não SFTP/2222), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 ou 1604, LDAP/389 ou 636 e RPC/135, NETBIOS/137-139 não deve ser permitido de fora da VM VPC por meio de grupos de segurança. |
| 8.0 | O acesso ao gerenciamento de banco de dados em portas (MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433) ou em portas personalizadas não deve ser permitido do público, não roteado para VPC sobre DX, VPC-peer ou VPN por meio de um grupo de segurança. IPs |
| 8.1 | Qualquer recurso em que os dados do cliente possam ser armazenados não deve ser exposto diretamente à Internet pública. |
| 9.0 | O acesso direto a aplicativos pela porta HTTP/80, HTTPS/8443 e HTTPS/443 da Internet é permitido somente para balanceadores de carga, mas não para nenhum recurso de computação diretamente, por exemplo, instâncias, contêineres etc. EC2 ECS/EKS/Fargate |
| 10.0 | O acesso de aplicativos pelas portas HTTP/80 e HTTPS/443 a partir do intervalo de IP privado do cliente pode ser permitido. |
| 11.0 | Quaisquer alterações nos grupos de segurança que controlam o acesso à infraestrutura do AMS não devem ser permitidas sem a aceitação do risco. |
| 12.0 | A segurança do AMS se refere aos padrões toda vez que é solicitado que um grupo de segurança seja anexado a uma instância. |
| 13.0 | O acesso ao bastião do cliente nas portas 3389 e 22 deve ser permitido somente a partir de intervalos de IP privados que são roteados para a VPC via DX, VPC-peer ou VPN. |
| 14.0 | A associação entre contas de zonas hospedadas privadas com contas VPCs de AMS para contas não AMS (ou não AMS para AMS) deve ser configurada somente se a conta não AMS pertencer ao mesmo cliente AMS (confirmando que elas estão na mesma conta da AWS Organization ou combinando o domínio de e-mail com o nome da empresa do cliente) usando ferramentas internas. |
| 15.0 | Conexões de emparelhamento de VPC entre contas que pertencem ao mesmo cliente podem ser permitidas. |
| 16,0 | A base do AMS AMIs pode ser compartilhada com contas que não sejam da AMS, desde que ambas sejam de propriedade do mesmo cliente (confirmando que estão na mesma AWS Organizations conta ou combinando o domínio do e-mail com o nome da empresa do cliente) usando ferramentas internas. |
| 17.0 | A porta FTP 21 não deve ser configurada em nenhum grupo de segurança sem a aceitação do risco. |
| 18,0 | A conectividade de rede entre contas via gateway de trânsito é permitida, desde que todas as contas sejam de propriedade do cliente. |
| 19,0 | Não é permitido transformar uma sub-rede privada em pública |
| 20.0 | Conexões de emparelhamento de VPC com contas de terceiros (não pertencentes ao cliente) não devem ser permitidas. |
| 21,0 | A vinculação do Transit Gateway a uma conta de terceiros (não pertencente ao cliente) não deve ser permitida. |
| 22,0 | Qualquer tráfego de rede necessário para que o AMS forneça os serviços aos clientes não deve ser bloqueado no ponto de saída da rede do cliente. |
| 23,0 | O compartilhamento de regras do resolvedor com Conta da AWS pertencentes ao mesmo cliente é permitido com uma notificação de risco |
| 19,0 | ICMP |
| 19.1 | A solicitação de ICMP recebida da infraestrutura EC2 do cliente para a Amazon exigirá uma notificação de risco. |
| 19.2 | Solicitações de entrada do público IPs roteadas para a Amazon VPC via DX, VPC-peer ou VPN via grupo de segurança são permitidas. |
| 19.3 | Solicitações de entrada de um público IPs não roteado para a Amazon VPC via DX, VPC-peer ou VPN via grupo de segurança exigiriam uma aceitação de risco. |
| 19,4 | A solicitação ICMP de saída da Amazon EC2 para qualquer destino é permitida. |
| 20,0 | Compartilhamento de grupos de segurança |
| 20.1 | Se um grupo de segurança atender a esse padrão de segurança, ele poderá ser compartilhado VPCs na mesma conta e entre contas na mesma organização. |
| 20.2 | Se um grupo de segurança não atender a esse padrão e uma aceitação de risco tiver sido exigida anteriormente para esse grupo de segurança, o uso do recurso de compartilhamento de grupos de segurança entre VPCs a mesma conta ou entre contas na mesma organização não será permitido sem a aceitação do risco para essa nova VPC ou conta. |
## AMS-STD-004 - Teste de penetração
O seguinte é o controle padrão para 004 - Teste de Penetração
1. O AMS não oferece suporte à infraestrutura de pentest. É responsabilidade do cliente. Por exemplo, o Kali não é uma distribuição Linux compatível com AMS.
1. Os clientes precisam aderir aos [testes de penetração](https://aws.amazon.com/security/penetration-testing/).
1. O AMS deve ser pré-notificado com 24 horas de antecedência, caso o cliente deseje realizar testes de penetração de infraestrutura nas contas.
1. A AMS provisionará a infraestrutura de pentesting do cliente de acordo com os requisitos do cliente explicitamente declarados na solicitação de mudança ou solicitação de serviço do cliente.
1. O gerenciamento de identidade da infraestrutura de testes do cliente é de responsabilidade do cliente.
## AMS-STD-005 - GuardDuty
O seguinte é o controle padrão para 005 - GuardDuty
1. GuardDuty deve estar habilitado em todas as contas de clientes em todos os momentos.
1. GuardDuty As descobertas da Customer Managed Application Account (CMA) no MALZ não resultarão em alarmes para a equipe de operações.
1. GuardDuty os alertas devem ser armazenados na mesma conta ou em qualquer outra conta gerenciada da mesma organização.
1. O recurso de lista de IP confiável do não GuardDuty deve ser usado. Em vez disso, o arquivamento automático pode ser usado como alternativa, o que é útil para fins de auditoria.
1. GuardDuty a delegação de administrador não deve ser habilitada no MALZ, pois o administrador delegado seria capaz de realizar ações de alto privilégio, como desativá-las GuardDuty em outras contas sem aceitar riscos.
1. GuardDuty Os filtros de arquivamento automático devem usar o escopo mínimo para obter o máximo retorno. Por exemplo, se o AMS ver vários imprevisíveis IPs em diferentes blocos CIDR e houver um ASN corporativo apropriado para uso, use o ASN. No entanto, se você puder reduzir o escopo para intervalos específicos ou endereços /32, defina o escopo para aqueles.
## AMS-STD-006 - Segurança do host
A seguir está o controle padrão para 006 - Host Security
+ Um agente antivírus deve estar sempre em execução em todas as EC2 instâncias. (por exemplo, Trend Micro DSM).
+ O módulo antimalware deve estar ativado.
+ O agente EPS deve incluir todos os diretórios e arquivos para digitalização.
+ Os arquivos colocados em quarentena pela solução antivírus podem ser compartilhados com você sob demanda.
+ Uma solução de segurança de terminais de terceiros não deve ser instalada.
+ A frequência de atualização da assinatura de antivírus deve ser definida para pelo menos uma vez por dia.
+ A frequência de varredura programada deve ser definida para pelo menos uma vez por mês.
+ A verificação em tempo real (ao acessar) deve estar sempre ativada e em execução.
+ O AMS não deve executar nenhum script personalizado que não seja de propriedade ou de autoria do AMS em suas instâncias. (Observação: você pode fazer isso usando o acesso de administrador da pilha por meio da CT de acesso de administrador da pilha ou usando a [AWS Systems Manager automação (AMS SSPS)](https://docs.aws.amazon.com/managedservices/latest/userguide/sys-man-runbook.html).
+ A Autenticação em Nível de Rede (NLA) não deve ser desativada no host Windows.
+ O sistema operacional do host deve estar atualizado com os patches de segurança mais recentes de acordo com o ciclo de patch configurado.
+ Uma conta gerenciada do AMS não deve ter uma instância não gerenciada na conta.
+ A criação de contas de administrador local em sua instância pelo AMS não deve ser permitida.
+ O par de chaves EC2 ativado não deve ser criado.
+ Você não deve usar sistemas operacionais declarados como Fim da Vida Útil (EOL) e que não haja mais suporte de segurança fornecido pelo fornecedor ou por terceiros.
## AMS-STD-007 - Registro
O seguinte é o controle padrão para 007 - Logging
| ID | Padrão técnico |
| --- | --- |
| 1.0 | Tipos de registro |
| 1.1 | Registros do sistema operacional: todos os hosts devem registrar eventos mínimos de autenticação do host, eventos de acesso para todos os usos de privilégios elevados e eventos de acesso para todas as alterações no acesso e na configuração de privilégios, incluindo sucesso e falha. |
| 1.2 | AWS CloudTrail: o registro CloudTrail de eventos de gerenciamento deve ser ativado e configurado para entregar os registros a um bucket do S3. |
| 1.3 | Registros de fluxo de VPC: todos os registros de tráfego de rede devem ser registrados por meio de registros de fluxo de VPC. |
| 1.4 | Registro de acesso ao servidor Amazon S3: os buckets S3 obrigatórios do AMS que armazenam registros devem ter o registro de acesso ao servidor ativado. |
| 1.5 | AWS Config Snapshots: AWS Config devem registrar as alterações de configuração de todos os recursos suportados em todas as regiões e entregar os arquivos de instantâneos de configuração aos buckets do S3 pelo menos uma vez por dia. |
| 1.6 | Registros do Endpoint Protection System (EPS): o registro da solução EPS deve estar ativado e configurado para entregar os registros a um grupo de CloudWatch registros de registros. |
| 1,7 | Registros de aplicativos: os clientes têm o poder de ativar o login em seus aplicativos e armazená-los no grupo de registros de CloudWatch registros ou em um bucket do S3. |
| 1.8 | Registro em nível de objeto do S3: os clientes têm o poder de ativar o registro em nível de objeto em seus buckets do S3. |
| 1.9 | Registro de serviços: os clientes têm o poder de habilitar e encaminhar registros para serviços SSPS como qualquer serviço principal. |
| 1.10 | Registros do Elastic Load Balancing (Classic/Application Load Balancer/NetworkLoad Balancer): as entradas de registro de acesso e erro devem ser armazenadas nos buckets S3 gerenciados pelo AMS 2.0. |
| 2.0 | Controle de acesso |
| 2.1 | Você não deve ter acesso de gravação ou exclusão nos buckets do S3 exigidos pelo AMS que armazenam registros e grupos de CloudWatch registros;. |
| 2.2 | Você deve ter acesso somente para leitura a todos os registros em suas contas. |
| 2.3 | Os buckets S3 exigidos pela AMS que armazenam registros não devem permitir usuários de contas de terceiros como princípios nas políticas do bucket. |
| 2.4 | Os registros dos grupos de CloudWatch registros do Logs não devem ser excluídos sem a aprovação explícita do seu contato de segurança autorizado. |
| 3.0 | Retenção de registros |
| 3.1 | Os grupos de registros de CloudWatch registros exigidos pela AMS devem ter um período mínimo de retenção de 90 dias nos registros. |
| 3.2 | Os buckets S3 exigidos pela AMS que armazenam os registros devem ter um período mínimo de retenção de 18 meses nos registros. |
| 3.3 | AWS Backup os instantâneos devem estar disponíveis com retenção mínima de 31 dias nos recursos suportados. |
| 4,0 | Criptografia |
| 4.1 | A criptografia deve estar habilitada em todos os buckets do S3 exigidos pelas equipes do AMS que armazenam registros. |
| 4.2 | Qualquer encaminhamento de registros de contas de clientes para qualquer outra conta deve ser criptografado. |
| 5.0 | Integridade |
| 5.1 | O mecanismo de integridade do arquivo de log deve estar ativado. A “validação do arquivo de log” deve ser configurada nas AWS CloudTrail trilhas exigidas pelas equipes do AMS. |
| 6.0 | Encaminhamento de registros |
| 6.1 | Qualquer registro pode ser encaminhado de uma conta AMS para outra conta AMS do mesmo cliente. |
| 6.2 | Qualquer registro pode ser encaminhado do AMS para uma conta não AMS somente se a conta não AMS for de propriedade do mesmo cliente do AMS. |
| 6.3 | Quaisquer registros de uma conta de cliente não devem ser encaminhados para uma conta de terceiros (que não seja de propriedade do cliente). |
## AMS-STD-008 - AMS-MAD
O seguinte é o controle padrão para 008 - AMS-MAD
| ID | Padrão técnico |
| --- | --- |
| 1.0 | Gerenciamento de acesso |
| 1.1 | Somente usuários privilegiados do AMS com logins interativos e tarefas de automação devem ter permissão para fazer login no host de gerenciamento para administrar o AD gerenciado nas contas dos clientes. |
| 1.2 | Os administradores do AD só devem ter privilégios de administrador delegado (Grupo de Administradores Delegados do AMS). |
| 1.3 | Os engenheiros que fazem login nos ambientes AD do cliente (host de gerenciamento ou instâncias) devem ter acesso com limite de tempo. |
| 1.4 | Os clientes têm acesso somente de leitura aos objetos do AD usando o Remote Server Administrator Tools em uma EC2 instância. |
| 1.5 | Os direitos administrativos para o usuário ou grupo do Active Directory não devem ser permitidos. |
| 1.6 | AWS O compartilhamento de diretórios com pessoas Conta da AWS pertencentes ao mesmo cliente é permitido com uma notificação de risco. |
| 2.0 | Contas de serviço |
| 2.1 | As contas de serviço gerenciadas em grupo (gMSA) devem ser usadas sempre que suportadas pelos aplicativos, em vez da conta de serviço padrão. |
| 2.2 | Todas as outras contas de serviço devem ser criadas após o processo de aceitação do risco. |
| 2.3 | Os grupos de segurança do AD não devem ser reutilizados, a menos que sejam explicitamente solicitados pelo cliente. Novos grupos do AD devem ser criados. Objetos de computador que solicitam acesso à conta de serviço devem ser adicionados ao novo grupo de segurança. |
| 2.4 | Qualquer conta de serviço gMSA deve ser adicionada à Unidade Organizacional (OU) “Conta de Serviço Gerenciada”. |
| 2,5 | Qualquer conta de serviço que não seja GMSA deve ser adicionada na OU “Usuários → Contas de serviço”. |
| 3.0 | Objetos de política de grupo (GPO) |
| 3.1 | Qualquer configuração no GPO “Configurações do Windows > Configurações de segurança” não deve ser modificada se reduzir a postura de segurança da conta de alguma forma em relação ao estado atual. |
| 3.2 | No MALZ, RFCs enviado de uma conta de aplicativo solicitando a criação de um GPO, o GPO deve estar vinculado à OU que corresponde à conta do aplicativo. Qualquer GPOs coisa que afete todas as contas deve ser da conta do Shared Service. |
| 3.3 | O tempo limite padrão da sessão RDP Idle deve ser definido como 15 minutos para todos os servidores no domínio do Active Directory. |
| 4,0 | Confiança do Active Direc |
| 4.1 | A confiança de saída unidirecional (diretório hospedado em AMS para diretório de clientes) é IPs permitida se os encaminhadores condicionais forem roteados para a VPC via DX, VPC-peer ou VPN. |
| 5.0 | Outros |
| 5.1 | O mecanismo de integridade do arquivo de log deve estar ativado. A “validação do arquivo de log” deve ser configurada nas AWS CloudTrail trilhas exigidas pelas equipes do AMS. |
| 6.0 | Encaminhamento de registros |
| 6.1 | Usuários, grupos, objetos de computador, UO ou outras entidades do cliente não devem usar a convenção de nomenclatura do AMS de acordo com a convenção de nomenclatura do AMS. |
| 6.2 | Tudo isso OUs deve ser gerenciado pelo AMS. |
## AMS-STD-009 - Diversos
O seguinte é o controle padrão para 009 - Diversos
+ Se a criptografia estiver ativada em um recurso, objeto, banco de dados ou sistema de arquivos, ela não deverá ser desativada.
# Alterações que introduzem riscos de segurança altos ou muito altos em seu ambiente
As alterações a seguir introduzem riscos de segurança altos ou muito altos em seu ambiente:
**AWS Identity and Access Management**
+ High\$1Risk-IAM-001: Crie chaves de acesso para a conta root
+ High\$1Risk-IAM-002: modificação da política de SCP para permitir acesso adicional
+ High\$1Risk-IAM-003: Modificação da política de SCP que pode quebrar a infraestrutura do AMS
+ High\$1Risk-IAM-004: Criação de um role/user com permissões de mutação de infraestrutura (gravação, gerenciamento de permissões ou marcação) na conta do cliente
+ High\$1Risk-IAM-005: as funções do IAM confiam nas políticas entre contas do AMS e contas de terceiros (não pertencentes ao cliente)
+ High\$1risk-IAM-006: políticas entre contas para acessar qualquer chave KMS de uma conta AMS por uma conta de terceiros)
+ High\$1Risk-IAM-007: políticas entre contas de terceiros para acessar um bucket S3 de um cliente AMS ou recursos nos quais os dados podem ser armazenados (como Amazon RDS, Amazon DynamoDB ou Amazon Redshift)
+ High\$1risk-IAM-008: atribua as permissões do IAM com qualquer permissão de mutação de infraestrutura na conta do cliente
+ High\$1Risk-IAM-009: Permitir a listagem e a leitura de todos os buckets S3 na conta
+ High\$1Risk-IAM-010: Provisionamento automatizado de IAM com permissões read/write
**Segurança de rede**
+ High\$1Risk-Net-001: portas abertas de gerenciamento de sistema operacional SSH/22 ou SSH/2222 (não SFTP/2222), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 ou 1604, LDAP/389 ou 636 e NETBIOS/137-139 da Internet
+ High\$1Risk-Net-002: Abra as portas de gerenciamento de banco de dados MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433 ou qualquer porta de gerenciamento do cliente a partir da Internet
+ High\$1Risk-Net-003: abra as portas do aplicativo HTTP/80, HTTPS/8443 e HTTPS/443 diretamente em qualquer recurso computacional. Por exemplo, EC2 instâncias, ECS/EKS/Fargate contêineres etc. da Internet
+ High\$1Risk-Net-004: Qualquer alteração nos grupos de segurança que controlam o acesso à infraestrutura do AMS
+ High\$1Risk-Net-006: emparelhamento de VPC com a conta de terceiros (não de propriedade do cliente)
+ High\$1Risk-Net-007: Adicionando o firewall do cliente como ponto de saída para todo o tráfego do AMS
+ High\$1Risk-Net-008: A conexão do Transit Gateway com a conta de terceiros não é permitida
+ High\$1Risk-S3-001: Provisione ou habilite o acesso público no bucket do S3
**Registro em log**
+ High\$1Risk-log-001: Desativar. CloudTrail (É necessária a aprovação do gerente do site de operações)
+ High\$1risk-log-002: desative os registros de fluxo da VPC. (É necessária a aprovação do gerente do site de operações)
+ High\$1risk-log-003: encaminhamento de registros por meio de qualquer método (notificação de evento do S3, extração do agente SIEM, envio do agente do SIEM etc.) de uma conta gerenciada do AMS para uma conta de terceiros (não pertencente ao cliente)
+ High\$1Risk-log-004: Use uma trilha não AMS para CloudTrail
**Segurança do host**
+ High\$1Risk-Host-001: Desative o End Point Security na conta por qualquer motivo. (É necessária a aprovação do gerente do site de operações)
+ High\$1risk-host-002: desative a aplicação de patches em um recurso ou no nível da conta.
+ High\$1risk-host-003: implantação de uma instância não gerenciada na conta. EC2
+ High\$1Risk-Host-004: Executando um script personalizado fornecido pelo cliente.
+ High\$1risk-host-005: criação de contas de administrador local em instâncias.
+ High\$1Risk-Host-006: exclusões de escaneamento de tipo de arquivo/extensão do Trend Micro EPS ou desativação da proteção contra malware em endpoints.
**nota**
A aceitação do risco não é necessária para exclusões antimalware do EPS ou regras de GuardDuty supressão relacionadas a testes de penetração, escaneamentos de vulnerabilidade ou problemas de desempenho que afetam events/known o serviço, garantindo ações proativas. Uma notificação de risco é suficiente nessas situações.
+ High\$1Risk-Host-007: Criar para KeyPair EC2
+ High\$1Risk-Host-008: Desative a segurança do endpoint no EC2
+ High\$1Risk-Host-009: Contas usando o sistema operacional End of Life (EOL)
**Diversos**
+ High\$1Risk-ENC-001: Desative a criptografia em qualquer recurso se ela estiver ativada
**Active Directory gerenciado**
+ High\$1Risk-AD-001: Forneça direitos de administrador ao usuário ou grupo do Active Director
+ High\$1Risk-AD-002: Políticas de GPO capazes de reduzir a postura de segurança da conta