# Proteção de dados
**Topics**
+ [SEC 7 Como você classifica seus dados?](w2aac19b7c13b5.md)
+ [SEC 8 Como você protege seus dados em repouso?](w2aac19b7c13b7.md)
+ [SEC 9 Como você protege seus dados em trânsito?](w2aac19b7c13b9.md)
# SEC 7 Como você classifica seus dados?
A classificação serve para categorizar os dados com base em criticidade e confidencialidade para ajudá-lo a determinar os controles de proteção e retenção apropriados.
**Topics**
+ [SEC07-BP01 Identificar os dados em sua workload](sec_data_classification_identify_data.md)
+ [SEC07-BP02 Definir controles de proteção de dados](sec_data_classification_define_protection.md)
+ [SEC07-BP03 Automatizar a identificação e a classificação](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 Definir o gerenciamento do ciclo de vida de dados](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 Identificar os dados em sua workload
você precisa conhecer o tipo e a classe dos dados processados pela carga de trabalho, os processos de negócios associados, o proprietário dos dados, os requisitos legais e de conformidade aplicáveis, onde estão armazenados e os controles resultantes que devem ser aplicados. Isso pode incluir classificações para indicar se os dados devem ser disponibilizados publicamente, se os dados são apenas de uso interno, como Personally Identifiable Information (PII – Informações de identificação pessoal) do cliente ou se os dados são para acesso mais restrito, como propriedade intelectual, dados legalmente privilegiados ou marcados como confidenciais, e muito mais. Ao gerenciar cuidadosamente um sistema de classificação de dados apropriado, juntamente com o nível de requisitos de proteção de cada workload, é possível mapear os controles e o nível de acesso ou proteção apropriados aos dados. Por exemplo, o conteúdo voltado para o público está disponível para qualquer pessoa acessar, enquanto o conteúdo importante é criptografado e armazenado de maneira protegida que requer acesso autorizado a uma chave para descriptografá-lo.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Considere descobrir dados usando o Macie: o Amazon Macie reconhece dados confidenciais, como informações de identificação pessoal (PII) ou propriedade intelectual.
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
## Recursos
**Documentos relacionados:**
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
+ [Whitepaper Classificação de dados](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Conceitos básicos do Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vídeos relacionados:**
+ [Introducing the New Amazon Macie (Apresentação do novo Amazon Macie)](https://youtu.be/I-ewoQekdXE)
# SEC07-BP02 Definir controles de proteção de dados
Proteja os dados de acordo com seu nível de classificação. Por exemplo, proteja dados classificados como públicos usando recomendações relevantes enquanto protege dados confidenciais com controles adicionais.
Usando tags de recursos, separar contas da AWS por confidencialidade (e potencialmente também por advertência, enclave ou comunidade de interesse), políticas do IAM, SCPs do AWS Organizations, AWS Key Management Service (AWS KMS) e AWS CloudHSM, você pode definir e implementar as políticas de classificação e proteção de dados com criptografia. Por exemplo, se você tiver buckets do S3 que contêm dados altamente críticos ou instâncias do Amazon Elastic Compute Cloud (Amazon EC2) que processam dados confidenciais, eles poderão ser marcados com uma tag `Project=ABC` . Somente a equipe imediata sabe o que o código do projeto significa e fornece meios de usar o controle de acesso baseado em atributos. Você pode definir os níveis de acesso às chaves de criptografia do AWS KMS por meio de políticas de chave e concessões para garantir que somente os serviços apropriados tenham acesso ao conteúdo confidencial por meio de um mecanismo seguro. Se você estiver tomando decisões de autorização com base em tags, certifique-se de que as permissões nas tags sejam definidas adequadamente usando políticas de tags no AWS Organizations.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Defina o esquema de identificação e classificação de dados: a identificação e a classificação de seus dados são realizadas para avaliar o potencial impacto e o tipo de dados que você está armazenando e quem deve acessá-los.
+ [Documentação da AWS](https://docs.aws.amazon.com/)
+ Descubra os controles disponíveis da AWS: descubra os controles de segurança para os serviços da AWS que você usa ou planeja usar. Muitos serviços têm uma seção de segurança em sua documentação.
+ [Documentação da AWS](https://docs.aws.amazon.com/)
+ Identificar recursos de conformidade da AWS: identifique os recursos da AWS disponíveis para ajudar.
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## Recursos
**Documentos relacionados:**
+ [Documentação da AWS](https://docs.aws.amazon.com/)
+ [Whitepaper Classificação de dados](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Conceitos básicos do Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [Texto ausente](https://aws.amazon.com/compliance/)
**Vídeos relacionados:**
+ [Introducing the New Amazon Macie (Apresentação do novo Amazon Macie)](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 Automatizar a identificação e a classificação
automatizar a identificação e a classificação de dados pode ajudar a implementar os controles corretos. O uso de automação para isso, em vez de acesso direto de uma pessoa, reduz o risco de erros humanos e exposição. Você deve avaliar o uso de uma ferramenta, como o [Amazon Macie](https://aws.amazon.com/macie/), que usa machine learning para descobrir, classificar e proteger automaticamente dados confidenciais na AWS. O Amazon Macie reconhece dados confidenciais, como informações de identificação pessoal (PII) ou propriedade intelectual, e fornece painéis e alertas que dão visibilidade sobre como esses dados estão sendo acessados ou movidos.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio
## Orientação de implementação
+ Use o Amazon Simple Storage Service (Amazon S3) Inventory: o Amazon S3 Inventory é uma das ferramentas que você pode usar para auditar e gerar relatórios sobre o status de replicação e criptografia de seus objetos.
+ [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Considere o Amazon Macie: O Amazon Macie usa o machine learning para descobrir e classificar automaticamente os dados armazenados no Amazon S3.
+ [Amazon Macie](https://aws.amazon.com/macie/)
## Recursos
**Documentos relacionados:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [Whitepaper Classificação de dados](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Conceitos básicos do Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vídeos relacionados:**
+ [Introducing the New Amazon Macie (Apresentação do novo Amazon Macie)](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 Definir o gerenciamento do ciclo de vida de dados
sua estratégia de ciclo de vida definida deve ser baseada no nível de confidencialidade, bem como nos requisitos legais e organizacionais. Aspectos como a duração pela qual você retém dados, processos de destruição de dados, gerenciamento de acesso a dados, transformação de dados e compartilhamento de dados devem ser considerados. Ao escolher uma metodologia de classificação de dados, equilibre usabilidade e acesso. Considere também os vários níveis de acesso e nuances para implementar uma abordagem segura, mas utilizável, para cada nível. Sempre use uma abordagem de defesa detalhada e reduza o acesso humano a dados e mecanismos para transformar, excluir ou copiar dados. Por exemplo, exija que os usuários se autentiquem fortemente em uma aplicação e conceda a ela, e não aos usuários, a permissão de acesso necessária para executar uma ação a distância. Além disso, garanta que os usuários venham de um caminho de rede confiável e exijam acesso às chaves de descriptografia. Use ferramentas como painéis ou relatórios automatizados para fornecer aos usuários informações extraídas dos dados e não acesso direto aos dados.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo
## Orientação de implementação
+ Identificar tipos de dados: identifique os tipos de dados que você está armazenando ou processando em sua workload. Esses dados podem ser texto, imagens, bancos de dados binários, entre outros.
## Recursos
**Documentos relacionados:**
+ [Whitepaper Classificação de dados](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Conceitos básicos do Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vídeos relacionados:**
+ [Introducing the New Amazon Macie (Apresentação do novo Amazon Macie)](https://youtu.be/I-ewoQekdXE)
# SEC 8 Como você protege seus dados em repouso?
Proteja seus dados em repouso implementando vários controles para reduzir o risco de acesso não autorizado ou manuseio incorreto.
**Topics**
+ [SEC08-BP01 Implementar gerenciamento de chaves seguro](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Aplicar criptografia em repouso](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatizar a proteção de dados em repouso](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Impor o controle de acesso](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 Usar mecanismos para evitar que as pessoas acessem os dados](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 Implementar gerenciamento de chaves seguro
Ao definir uma abordagem de criptografia que inclui armazenamento, rotação e controle de acesso das chaves, você pode ajudar a proteger o conteúdo contra usuários não autorizados e contra exposição desnecessária a usuários autorizados. O AWS Key Management Service (AWS KMS) ajuda a gerenciar chaves de criptografia e [se integra a vários serviços da AWS](https://aws.amazon.com/kms/details/#integration). Este serviço fornece armazenamento durável, seguro e redundante para as chaves do AWS KMS. Você pode definir seus alias principais e políticas de nível-chave. As políticas ajudam a definir os administradores de chaves e os usuários de chaves. Além disso, o AWS CloudHSM é um módulo de segurança de hardware baseado na nuvem (HSM) que permite gerar e usar facilmente suas próprias chaves de criptografia na Nuvem AWS. Ele ajuda a atender aos requisitos de conformidade corporativa, contratual e regulamentar para segurança de dados usando HSMs validados pelo FIPS 140-2 Nível 3.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Implemente o AWS KMS: o AWS KMS facilita a criação e o gerenciamento de chaves e o controle do uso de criptografia em uma ampla variedade de serviços da AWS e em aplicações. O AWS KMS é um serviço seguro e resiliente que usa módulos de segurança de hardware validados pelo FIPS 140-2 para proteger suas chaves.
+ [Conceitos básicos: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ Considere o SDK de criptografia da AWS: use o SDK de criptografia da AWS com a integração do AWS KMS quando sua aplicação precisar criptografar dados do lado do cliente.
+ [SDK de criptografia da AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## Recursos
**Documentos relacionados:**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [Ferramentas e serviços criptográficos da AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Conceitos básicos: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [Proteção de dados usando criptografia do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Vídeos relacionados:**
+ [How Encryption Works in AWS (Como a criptografia funciona no AWS Backup)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Como proteger o armazenamento em bloco na AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 Aplicar criptografia em repouso
Garanta que a única maneira de armazenar dados seja usando a criptografia. O AWS Key Management Service (AWS KMS) se integra perfeitamente a muitos serviços da AWS para facilitar a criptografia de todos os seus dados em repouso. Por exemplo, no Amazon Simple Storage Service (Amazon S3), você pode definir a [criptografia padrão](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) em um bucket para que todos os novos objetos sejam criptografados automaticamente. Além disso, o [Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)e [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) oferecem suporte à imposição de criptografia ao definir a criptografia padrão. Você pode usar o [Regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) para verificar automaticamente se está usando criptografia, por exemplo, para [volumes do Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instâncias do Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)e aos [Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Impor criptografia em repouso para o Amazon Simple Storage Service (Amazon S3): implemente a criptografia padrão do bucket do Amazon S3.
+ [Como habilito a criptografia padrão para um bucket do S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ Use o AWS Secrets Manager: o Secrets Manager é um serviço da AWS que facilita o gerenciamento de segredos. Segredos podem ser credenciais de banco de dados, senhas, chaves de API de terceiros e até texto arbitrário.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ Configure a criptografia padrão para volumes do EBS: especifique que você deseja que todos os volumes do EBS recém-criados sejam criados em formato criptografado, com a opção de usar a chave padrão fornecida pela AWS ou uma chave que você criar.
+ [Criptografia padrão para volumes do EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ Configurar imagens de máquina da Amazon (AMIs) criptografadas: a cópia de uma AMI existente com criptografia habilitada criptografará automaticamente os volumes raiz e os snapshots.
+ [AMIs com snapshots criptografados](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ Configurar a criptografia do Amazon Relational Database Service (Amazon RDS): configure a criptografia para seus clusters de banco de dados Amazon RDS e snapshots em repouso ativando a opção de criptografia.
+ [Criptografia de recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)
+ Configure a criptografia em serviços adicionais da AWS: para os serviços da AWS que você usa, determine os recursos de criptografia.
+ [Documentação da AWS](https://docs.aws.amazon.com/)
## Recursos
**Documentos relacionados:**
+ [AMIs com snapshots criptografados](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ [Ferramentas de criptografia da AWS](https://docs.aws.amazon.com/aws-crypto-tools)
+ [Documentação da AWS](https://docs.aws.amazon.com/)
+ [SDK de criptografia da AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [Whitepaper de detalhes criptográficos do AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [Ferramentas e serviços criptográficos da AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Criptografia do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Criptografia padrão para volumes do EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [Criptografia de recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [Como habilito a criptografia padrão para um bucket do S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [Proteção de dados usando criptografia do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Vídeos relacionados:**
+ [How Encryption Works in AWS (Como a criptografia funciona no AWS Backup)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Como proteger o armazenamento em bloco na AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 Automatizar a proteção de dados em repouso
Use ferramentas automatizadas para validar e impor controles de dados em repouso continuamente, por exemplo, verificar se há apenas recursos de armazenamento criptografados. Você pode [automatizar a validação de que todos os volumes do EBS são criptografados](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) com o uso do [Regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) também pode verificar vários controles diferentes por meio de verificações automatizadas em relação a padrões de segurança. Além disso, o Regras do AWS Config pode [corrigir recursos não compatíveis automaticamente](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation).
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Médio
## Orientações para a implementação
*Dados em repouso* representam todos os dados mantidos no armazenamento não volátil por qualquer período na carga de trabalho. Isso inclui armazenamento em bloco, armazenamento de objetos, bancos de dados, arquivos, dispositivos IoT e qualquer outro meio de armazenamento no qual os dados persistam. Proteger seus dados em repouso reduz o risco de acesso não autorizado quando a criptografia e os controles de acesso adequados são implementados.
Garantir a criptografia em repouso: garanta que a única maneira de armazenar dados seja usando a criptografia. O AWS KMS se integra perfeitamente a muitos serviços da AWS para facilitar a criptografia de todos os seus dados em repouso. Por exemplo, no Amazon Simple Storage Service (Amazon S3), você pode definir a [criptografia padrão](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) em um bucket para que todos os novos objetos sejam criptografados automaticamente. Além disso, o [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) e [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) oferecem suporte à imposição de criptografia ao definir a criptografia padrão. Você pode usar o [AWS Managed Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) para verificar automaticamente se você está usando criptografia, por exemplo, para [Volumes do EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instâncias do Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)e aos [Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
## Recursos
**Documentos relacionados:**
+ [Ferramentas de criptografia da AWS](https://docs.aws.amazon.com/aws-crypto-tools)
+ [SDK de criptografia da AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**Vídeos relacionados:**
+ [How Encryption Works in AWS (Como a criptografia funciona na AWS)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Como proteger o armazenamento em bloco na AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 Impor o controle de acesso
Aplique controle de acesso com privilégios mínimos e mecanismos, incluindo backups, isolamento e versionamento, para ajudar a proteger seus dados ociosos. Impeça que os operadores concedam acesso público aos seus dados.
Diferentes controles, incluindo acesso (usando privilégios mínimos), backups (consulte o [whitepaper Confiabilidade](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)), isolamento e versionamento, podem ajudar a proteger os dados em repouso. Deve ser feita a auditoria de acesso aos seus dados com os mecanismos de detecção abordados anteriormente neste documento, incluindo o CloudTrail e o log de nível de serviço, como os logs de acesso do Amazon Simple Storage Service (Amazon S3). Você deve inventariar quais dados são acessíveis publicamente e planejar como reduzir a quantidade de dados disponíveis ao longo do tempo. O Amazon Glacier Vault Lock e o Amazon S3 Object Lock são recursos que fornecem controle de acesso obrigatório. Assim que uma política de cofre é bloqueada com a opção de conformidade, nem mesmo o usuário raiz pode alterá-la até que o bloqueio expire. O mecanismo atende aos requisitos de Books and Records Management da SEC, CFTC e FINRA. Para obter mais detalhes, consulte [este whitepaper](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf).
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo
## Orientação de implementação
+ Aplique o controle de acesso: aplique o controle de acesso com privilégios mínimos, incluindo acesso a chaves de criptografia.
+ [Introdução ao gerenciamento de permissões de acesso aos seus recursos do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ Dados separados com base em diferentes níveis de classificação: use diferentes de Contas da AWS para níveis de classificação de dados gerenciados pelo AWS Organizations.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ Analise as políticas do AWS KMS: analise o nível de acesso concedido nas políticas do AWS KMS.
+ [Visão geral do gerenciamento de acesso dos recursos do AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ Revise as permissões de objeto e de bucket do Amazon S3: revise regularmente o nível de acesso concedido nas políticas de bucket do Amazon S3. Uma das melhores práticas é não ter buckets que possam ser lidos ou gravados publicamente. Considere o uso do AWS Config para detectar buckets que estão disponíveis publicamente e do Amazon CloudFront para fornecer conteúdo do Amazon S3.
+ [Regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront: uma combinação perfeita](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ Habilite o versionamento e o bloqueio de objetos do Amazon S3.
+ [Usar versionamento](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [Como bloquear objetos usando o Bloqueio de objetos do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ Use o Amazon S3 Inventory: o Amazon S3 Inventory é uma das ferramentas que você pode usar para auditar e gerar relatórios sobre o status de replicação e criptografia de seus objetos.
+ [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Revise as permissões de compartilhamento do Amazon EBS e do AMI: as permissões de compartilhamento podem autorizar que imagens e volumes sejam compartilhados com Contas da AWS externas à sua workload.
+ [Como compartilhar um snapshot do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [AMIs compartilhadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
## Recursos
**Documentos relacionados:**
+ [Whitepaper de detalhes criptográficos do AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Vídeos relacionados:**
+ [Securing Your Block Storage on AWS (Como proteger o armazenamento em bloco na AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 Usar mecanismos para evitar que as pessoas acessem os dados
Impeça que os usuários acessem dados e sistemas confidenciais diretamente em circunstâncias operacionais normais. Por exemplo, use um fluxo de trabalho de gerenciamento de alterações para gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) usando ferramentas em vez de permitir acesso direto ou um host traga a sua própria licença. Isso pode ser obtido usando o [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), que usa [documentos de automação](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) que contêm etapas que você usa para realizar tarefas. Esses documentos podem ser armazenados no controle de origem, analisados por pares antes da execução e testados detalhadamente para minimizar os riscos em comparação com o acesso ao shell. Os usuários empresariais podem ter um painel em vez de acesso direto a um armazenamento de dados para executar consultas. Quando os pipelines de CI/CD não forem usados, determine quais controles e processos são necessários para fornecer adequadamente um mecanismo de acesso break-glass normalmente desabilitado.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo
## Orientação de implementação
+ Implemente mecanismos para manter as pessoas longe dos dados: os mecanismos incluem o uso de painéis, como o Quick, para exibir dados aos usuários em vez de consultar diretamente.
+ [Quick](https://aws.amazon.com/quicksight/)
+ Automatize o gerenciamento de configuração: execute ações remotas, aplique e valide configurações seguras automaticamente usando uma ferramenta ou um serviço de gerenciamento de configuração. Evite usar hosts traga a sua própria licença ou acessar diretamente instâncias do EC2.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Pipeline de CI/CD do AWS CloudFormation para modelos na AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## Recursos
**Documentos relacionados:**
+ [Whitepaper de detalhes criptográficos do AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Vídeos relacionados:**
+ [How Encryption Works in AWS (Como a criptografia funciona no AWS Backup)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Como proteger o armazenamento em bloco na AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC 9 Como você protege seus dados em trânsito?
Proteja seus dados em trânsito implementando vários controles para reduzir o risco de acesso não autorizado ou perda.
**Topics**
+ [SEC09-BP01 Implementar o gerenciamento seguro de chaves e certificados](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Aplique a criptografia em trânsito](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Automatizar a detecção de acesso não intencional a dados](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 Autenticar as comunicações de rede](sec_protect_data_transit_authentication.md)
# SEC09-BP01 Implementar o gerenciamento seguro de chaves e certificados
armazene chaves de criptografia e certificados com segurança e alterne-os em intervalos de tempo apropriados com controle de acesso rigoroso. A melhor maneira de fazer isso é usar um serviço gerenciado, como o [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager). Ele facilita o provisionamento, o gerenciamento e a implantação de certificados de Transport Layer Security (TLS) públicos e privados para uso com os serviços da AWS e seus recursos internos conectados. Certificados TLS são usados para proteger as comunicações de rede e estabelecer a identidade de sites pela Internet, bem como de recursos em redes privadas. O ACM se integra a recursos da AWS, como Elastic Load Balancers (ELBs), distribuições da AWS e APIs no API Gateway, além de lidar com renovações automáticas de certificados. Se você usar o ACM para implantar uma CA raiz privada, ele poderá fornecer os certificados e as chaves privadas para uso em instâncias do Amazon Elastic Compute Cloud (Amazon EC2), contêineres e outros.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Alto
## Orientações para a implementação
+ Implementar o gerenciamento seguro de chaves e certificados: implemente a solução definida de gerenciamento seguro de chaves e certificados.
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [ Como hospedar e gerenciar toda uma infraestrutura de certificados privados na AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ Implementar protocolos seguros: use protocolos seguros que ofereçam autenticação e confidencialidade, como Transport Layer Security (TLS) ou IPsec, para reduzir o risco de violação ou perda de dados. Verifique a documentação da AWS quanto aos protocolos e segurança relevantes para os serviços que você está usando.
## Recursos
**Documentos relacionados:**
+ [Documentação da AWS](https://docs.aws.amazon.com/)
# SEC09-BP02 Aplique a criptografia em trânsito
Imponha o uso dos requisitos de criptografia definidos com base em padrões e recomendações apropriados para conseguir cumprir os requisitos organizacionais, legais e de conformidade. Os serviços da AWS fornecem endpoints HTTPS usando TLS para comunicação, fornecendo criptografia em trânsito ao se comunicar com as APIs da AWS. Protocolos não seguros, como HTTP, podem ser auditados e bloqueados em uma VPC por meio do uso de grupos de segurança. As solicitações HTTP também podem ser [redirecionadas automaticamente para HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) no Amazon CloudFront ou em um [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Você tem controle total sobre seus recursos de computação para implementar a criptografia em trânsito em seus serviços. Além disso, você pode usar a conectividade VPN em sua VPC a partir de uma rede externa para facilitar a criptografia do tráfego. Soluções de terceiros estão disponíveis no AWS Marketplace, caso você tenha requisitos especiais.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Aplique a criptografia em trânsito: os requisitos de criptografia definidos devem se basear nos mais recentes padrões e práticas recomendadas e permitir apenas protocolos seguros. Por exemplo, configure apenas um grupo de segurança para permitir o protocolo HTTPS a um Application Load Balancer ou instância do Amazon Elastic Compute Cloud (Amazon EC2).
+ Configure protocolos seguros em serviços de borda: configure o HTTPS com o Amazon CloudFront e as cifras necessárias.
+ [ Como usar o HTTPS com o CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ Use uma VPN para conectividade externa: considere usar uma rede privada virtual (VPN) IPsec para proteger conexões ponto a ponto ou rede a rede para fornecer privacidade e integridade dos dados.
+ [ Conexões VPN ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+ Configure protocolos seguros em balanceadores de carga: habilite o ouvinte de HTTPS para proteger conexões com balanceadores de carga.
+ [ Ouvintes de HTTPS para o seu Application Load Balancer ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ Configure protocolos seguros para instâncias: considere configurar a criptografia HTTPS em instâncias.
+ [ Tutorial: Configurar o servidor da Web Apache no Amazon Linux 2 para usar SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+ Configure protocolos seguros no Amazon Relational Database Service (Amazon RDS): use Secure Socket Layer (SSL) ou Transport Layer Security (TLS) para criptografar a conexão com instâncias de banco de dados.
+ [ Uso de SSL para criptografar uma conexão com uma Instância de banco de dados ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ Configure protocolos seguros no Amazon Redshift: configure o cluster para exigir uma conexão Secure Socket Layer (SSL) ou Transport Layer Security (TLS).
+ [ Configure opções de segurança para as conexões ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+ Configurar protocolos seguros em serviços adicionais da AWS. Para os serviços da AWS que você usa, determine os recursos de criptografia em trânsito.
## Recursos
**Documentos relacionados:**
+ [ Documentação da AWS](https://docs.aws.amazon.com/index.html)
# SEC09-BP03 Automatizar a detecção de acesso não intencional a dados
Use ferramentas como o Amazon GuardDuty para detectar automaticamente atividades suspeitas ou tentativas de mover dados para fora dos limites definidos. Por exemplo, o GuardDuty pode detectar atividade de leitura do Amazon Simple Storage Service (Amazon S3) que é incomum com a descoberta [Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Além do GuardDuty, [Logs de fluxo da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), que capturam informações de tráfego de rede, podem ser usados com o Amazon EventBridge para acionar a detecção de conexões anormais, bem-sucedidas e recusadas. [Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) pode ajudar a avaliar quais dados podem ser acessados por quem nos buckets do Amazon S3.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Médio
## Orientações para a implementação
+ Automatizar a detecção de acesso não intencional a dados: use uma ferramenta ou um mecanismo de identificação para detectar automaticamente tentativas de mover dados fora dos limites definidos; por exemplo, para descobrir um sistema de banco de dados que esteja copiando dados para um host desconhecido.
+ [ Logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ Considerar o Amazon Macie: o Amazon Macie é um serviço de privacidade e segurança de dados totalmente gerenciado que usa machine learning e correspondência de padrões para descobrir e proteger seus dados sigilosos na AWS.
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## Recursos
**Documentos relacionados:**
+ [ Logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 Autenticar as comunicações de rede
Verifique a identidade das comunicações usando protocolos que oferecem suporte à autenticação, como Transport Layer Security (TLS) ou IPsec.
O uso de protocolos de rede que oferecem suporte à autenticação permite que a confiança seja estabelecida entre as partes. Isso é adicionado à criptografia usada no protocolo para reduzir o risco de as comunicações serem alteradas ou interceptadas. Protocolos comuns que implementam a autenticação incluem Transport Layer Security (TLS), que é usado em muitos serviços da AWS, e o IPsec, que é usado na [AWS Virtual Private Network (Site-to-Site VPN)](http://aws.amazon.com/vpn).
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo
## Orientação de implementação
+ Implemente protocolos seguros: use protocolos seguros que ofereçam autenticação e confidencialidade, como TLS ou IPsec, para reduzir o risco de violação ou perda de dados. Consulte a [Documentação da AWS](https://docs.aws.amazon.com/) quanto aos protocolos e à segurança relevantes para os serviços que você está usando.
## Recursos
**Documentos relacionados:**
+ [Documentação da AWS](https://docs.aws.amazon.com/)