# Fundamentos de segurança
**Topics**
+ [SEC 1 Como você opera com segurança sua carga de trabalho?](w2aac19b7b5b5.md)
# SEC 1 Como você opera com segurança sua carga de trabalho?
Para operar sua carga de trabalho com segurança, você deve aplicar as melhores práticas gerais a todas as áreas de segurança. Use os requisitos e os processos que você definiu em excelência operacional em nível de carga de trabalho e também organizacional e aplique-os a todas as áreas. Manter-se atualizado com as recomendações da AWS e do setor e a inteligência de ameaças ajuda você a desenvolver seu modelo de ameaças e objetivos de controle. A automação de processos, testes e validação de segurança permite que você escale suas operações de segurança.
**Topics**
+ [SEC01-BP01 Separar as workloads usando contas](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Proteger a Conta da AWS](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 Identificar e validar objetivos de controle](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Manter-se atualizado sobre as ameaças à segurança](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Manter-se atualizado com as recomendações de segurança](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 Automatizar testes e validação de controles de segurança em pipelines](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 Identificar e priorizar riscos usando um modelo de ameaça](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Avaliar e implementar regularmente novos serviços e recursos de segurança](sec_securely_operate_implement_services_features.md)
# SEC01-BP01 Separar as workloads usando contas
Tenha em mente a segurança e a infraestrutura ao começar para que sua organização possa definir proteções comuns à medida que as cargas de trabalho aumentam. Essa abordagem fornece limites e controles entre cargas de trabalho. A separação no nível da conta é altamente recomendada para isolar ambientes de produção de ambientes de desenvolvimento e teste, ou para determinar um limite lógico forte entre cargas de trabalho que processam dados de diferentes níveis de confidencialidade, conforme definido por requisitos de conformidade externos (como PCI-DSS ou HIPAA) e cargas de trabalho que não processam.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Alto
## Orientações para a implementação
+ Usar o AWS Organizations: use o AWS Organizations para aplicar centralmente o gerenciamento baseado em políticas para várias Contas da AWS.
+ [Conceitos básicos do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [How to use service control policies to set permission guardrails across accounts in your AWS Organization (Como usar políticas de controle de serviços para definir barreiras de proteção de permissão entre contas no AWS Organization) ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Considerar o AWS Control Tower: o AWS Control Tower oferece uma maneira fácil de configurar e controlar um novo ambiente seguro e multicontas da AWS com base nas práticas recomendadas.
+ [AWS Control Tower](https://aws.amazon.com/controltower/)
## Recursos
**Documentos relacionados:**
+ [Práticas recomendadas do IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html?ref=wellarchitected)
+ [Boletins de segurança](https://aws.amazon.com/security/security-bulletins)
+ [AWS Security Audit Guidelines (Diretrizes de auditoria de segurança da AWS)](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html?ref=wellarchitected)
**Vídeos relacionados:**
+ [Como gerenciar ambientes da AWS de várias contas usando o AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
+ [Usar o AWS Control Tower para administrar ambientes da AWS de várias contas ](https://youtu.be/2t-VkWt0rKk)
# SEC01-BP02 Proteger a Conta da AWS
Há uma série de aspectos para proteger suas Contas da AWS, incluindo a proteger e não utilizar o [usuário raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)e manter as informações de contato atualizadas. Você pode usar o [AWS Organizations](https://aws.amazon.com/organizations/) para gerenciar e controlar centralmente suas contas à medida que expande e dimensiona suas workloads na AWS. O AWS Organizations ajuda você a gerenciar contas, definir controles e configurar serviços em todas as suas contas.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Usar o AWS Organizations: use o AWS Organizations para aplicar centralmente o gerenciamento baseado em políticas para várias Contas da AWS.
+ [Conceitos básicos do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [Como usar políticas de controle de serviço para definir barreiras de proteção de permissão entre contas no AWS Organization ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Limitar o uso do usuário raiz da AWS: somente use o usuário raiz para executar tarefas que o exijam especificamente.
+ [ Tarefas da AWS que exigem credenciais do usuário raiz da conta da AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+ Habilitar a autenticação multifator (MFA) para o usuário raiz: habilite a MFA no usuário raiz da Conta da AWS, se o AWS Organizations não estiver gerenciando usuários raiz para você.
+ [Usuário raiz ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+ Altere periodicamente a senha do usuário raiz. Alterar a senha do usuário raiz reduz o risco de que uma senha salva possa ser usada. Isso é particularmente importante se você não estiver usando o AWS Organizations e alguém tiver acesso físico.
+ [ Alteração da senha do usuário raiz da Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+ Habilite a notificação quando o usuário raiz da Conta da AWS for usado: ser notificado automaticamente reduz o risco.
+ [ Como receber notificações quando suas chaves de acesso raiz da Conta da AWS são usadas ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ Restringir o acesso a regiões adicionadas recentemente: para novas regiões da Regiões da AWS, os recursos do IAM, como usuários e perfis, serão propagados somente para as regiões habilitadas.
+ [ Configuração das permissões para habilitar contas para as próximas Regiões da AWS](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+ Considere o AWS CloudFormation StackSets: o CloudFormation StackSets pode ser usado para implantar recursos, incluindo políticas, perfis e grupos do IAM, em diferentes regiões e Contas da AWS por meio de um modelo aprovado.
+ [ Use o CloudFormation StackSets ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)
## Recursos
**Documentos relacionados:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Security Audit Guidelines (Diretrizes de auditoria de segurança da AWS) ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Práticas recomendadas do IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Boletins de segurança ](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [ Enable AWS adoption at scale with automation and governance (Habilite a adoção da AWS em escala com automação e governança) ](https://youtu.be/GUMSgdB-l6s)
+ [ Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
**Exemplos relacionados:**
+ [ Laboratório: usuário raiz e Conta da AWS](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP03 Identificar e validar objetivos de controle
Com base em seus requisitos de conformidade e riscos identificados no modelo de ameaça, derive e valide os objetivos de controle e os controles que você precisa aplicar à carga de trabalho. A validação contínua de objetivos de controle e controles ajuda a medir a eficácia da mitigação de riscos.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Identificar requisitos de conformidade: descubra os requisitos organizacionais, legais e de conformidade que a sua workload precisa cumprir.
+ Identificar recursos de conformidade da AWS: identifique os recursos da AWS disponíveis para ajudar você com a conformidade.
+ [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
+ [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/)
## Recursos
**Documentos relacionados:**
+ [AWS Security Audit Guidelines (Diretrizes de auditoria de segurança da AWS)](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Boletins de segurança](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [AWS Security Hub CSPM: Manage Security Alerts and Automate Compliance (AWS Security Hub: gerenciamento de alertas de segurança e automatização da governança)](https://youtu.be/HsWtPG_rTak)
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP04 Manter-se atualizado sobre as ameaças à segurança
Para ajudar a definir e implementar os controles apropriados, reconheça vetores de ataque mantendo-se a par das ameaças de segurança mais recentes. Consuma o AWS Managed Services para facilitar o recebimento de notificações de comportamentos inesperados ou incomuns em suas contas da AWS. Investigue usando ferramentas de parceiros da AWS ou feeds de informações sobre ameaças de terceiros como parte de seu fluxo de informações de segurança. A [lista de vulnerabilidades e exposições comuns (CVEs) ](https://cve.mitre.org/) contém vulnerabilidades de segurança cibernética divulgadas publicamente que você pode usar para se manter atualizado.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Inscreva-se em fontes de inteligência de ameaças: analise regularmente as informações de inteligência de ameaças de várias fontes relevantes sobre as tecnologias usadas na sua workload.
+ [Lista de vulnerabilidades e exposições comuns ](https://cve.mitre.org/)
+ Considerar [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) : oferece visibilidade quase em tempo real das fontes de inteligência, se sua workload for acessível pela Internet.
## Recursos
**Documentos relacionados:**
+ [AWS Security Audit Guidelines (Diretrizes de auditoria de segurança da AWS)](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [AWS Shield](https://aws.amazon.com/shield/)
+ [ Boletins de segurança](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP05 Manter-se atualizado com as recomendações de segurança
Mantenha-se atualizado com as recomendações de segurança da AWS e do setor para evoluir a postura de segurança de sua workload. [Boletins de segurança da AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) contêm informações importantes sobre notificações de segurança e privacidade.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Siga as atualizações da AWS: inscreva-se ou verifique regularmente novas recomendações e dicas.
+ [Laboratórios do AWS Well-Architected](https://wellarchitectedlabs.com/?ref=wellarchitected)
+ [Blog de segurança da AWS](https://aws.amazon.com/blogs/security/?ref=wellarchitected)
+ [Documentação do serviço da AWS](https://aws.amazon.com/documentation/?ref=wellarchitected)
+ Inscreva-se para receber as novidades do setor: consulte regularmente os feeds de notícias de várias fontes relevantes às tecnologias usadas na sua workload.
+ [Exemplo: lista de vulnerabilidade e exposições comuns](https://cve.mitre.org/cve/?ref=wellarchitected)
## Recursos
**Documentos relacionados:**
+ [Boletins de segurança](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP06 Automatizar testes e validação de controles de segurança em pipelines
Estabeleça linhas de base e modelos seguros para mecanismos de segurança que são testados e validados como parte de sua compilação, pipelines e processos. Use ferramentas e automação para testar e validar todos os controles de segurança continuamente. Por exemplo, verifique itens, como imagens de máquina e modelos de infraestrutura como código, para detectar vulnerabilidades de segurança, irregularidades e desvios da uma linha de base estabelecida em cada estágio. O AWS CloudFormation Guard pode ajudar você a verificar se os modelos do CloudFormation são seguros, economizar tempo e reduzir o risco de erro de configuração.
É fundamental reduzir o número de configurações incorretas de segurança introduzidas em um ambiente de produção. Portanto, quanto mais você puder controlar a qualidade e reduzir os defeitos no processo de construção, melhor. Projete pipelines de integração e implantação contínua (CI/CD) para testar problemas de segurança sempre que possível. Os pipelines de CI/CD oferecem a oportunidade de aumentar a segurança em cada estágio de criação e entrega. As ferramentas de segurança de CI/CD também devem estar sempre atualizadas para mitigar as ameaças em constante evolução.
Acompanhe as alterações na configuração de workload para ajudar na auditoria de conformidade, gerenciamento de alterações e investigações que possam ser aplicáveis. Você pode usar o AWS Config para registrar e avaliar seus recursos da AWS e de terceiros. Ele permite auditar e avaliar continuamente a conformidade geral com regras e pacotes de conformidade, que são coleções de regras com ações de correção.
O rastreamento de alterações deve incluir alterações planejadas, que fazem parte do processo de controle de alterações da sua organização [às vezes chamado de MACD, de Move, Add, Change, Delete (Mover, Adicionar, Alterar, Excluir)], alterações não planejadas e alterações inesperadas, como incidentes. Podem ocorrer alterações na infraestrutura, mas também podem estar relacionadas a outras categorias, como alterações em repositórios de código, imagens de máquina e alterações de inventário de aplicações, alterações de processos e políticas ou alterações de documentação.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio
## Orientação de implementação
+ Automatize o gerenciamento de configuração: aplique e valide configurações seguras automaticamente usando uma ferramenta ou um serviço de gerenciamento de configuração.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Configurar um pipeline CI/CD na AWS](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)
## Recursos
**Documentos relacionados:**
+ [Como usar políticas de controle de serviço para definir barreiras de proteção de permissão entre contas no AWS Organization](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
**Vídeos relacionados:**
+ [Como gerenciar ambientes da AWS de várias contas usando o AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP07 Identificar e priorizar riscos usando um modelo de ameaça
Use um modelo de ameaça para identificar e manter um registro atualizado de potenciais ameaças. Priorize as ameaças e adapte os controles de segurança para prevenir, detectar e responder. Revise e mantenha essas informações no contexto do cenário de segurança em evolução.
A modelagem de ameaças fornece uma abordagem sistemática para ajudar a encontrar e resolver problemas de segurança no início do processo de design. Quanto mais cedo melhor, pois as mitigações têm um custo mais baixo em comparação com o final do ciclo de vida.
As etapas principais típicas do processo de modelagem de ameaças são:
1. Identificar ativos, atores, pontos de entrada, componentes, casos de uso e níveis de confiança e incluí-los em um diagrama de design.
1. Identificar uma lista de ameaças.
1. Para cada ameaça, identifique mitigações, que podem incluir implementações de controle de segurança.
1. Criar e revisar uma matriz de risco para determinar se a ameaça foi mitigada de forma adequada.
A modelagem de ameaças é mais eficaz quando feita no nível da workload (ou recurso de workload), garantindo que todo o contexto esteja disponível para avaliação. Revisitar e manter essa matriz à medida que o cenário de segurança evolui.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Baixo
## Orientações para a implementação
+ Crie um modelo de ameaça: um modelo de ameaça pode ajudar a identificar e solucionar possíveis ameaças à segurança.
+ [NIST: Guide to Data-Centric System Threat Modeling (Guia para modelagem de ameaças de sistemas centrados em dados) ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)
## Recursos
**Documentos relacionados:**
+ [AWS Security Audit Guidelines (Diretrizes de auditoria de segurança da AWS) ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [Boletins de segurança ](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP08 Avaliar e implementar regularmente novos serviços e recursos de segurança
Avalie e implemente serviços e recursos de segurança da AWS e parceiros da AWS que permitem que você desenvolva a postura de segurança da sua workload. O blog de segurança da AWS destaca novos serviços e recursos, guias de implementação e orientações gerais de segurança da AWS. [Quais as novidades da AWS?](https://aws.amazon.com/new) é uma ótima forma de se manter atualizado com todos os novos recursos, serviços e anúncios da AWS.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo
## Orientação de implementação
+ Planeje revisões regulares: crie um calendário de atividades de análise que inclua os requisitos de conformidade, avaliar novos recursos e serviços de segurança da AWS e manter-se atualizado sobre as novidades do setor.
+ Descubra os serviços e recursos da AWS: descubra os recursos de segurança disponíveis para os serviços que você está usando e analise os novos recursos à medida que são lançados.
+ [ Blog de segurança da AWS](https://aws.amazon.com/blogs/security/)
+ [ Boletins de segurança da AWS](https://aws.amazon.com/security/security-bulletins/)
+ [Documentação do serviço da AWS](https://aws.amazon.com/documentation/)
+ Definir processo de integração de serviços da AWS: defina processos para integração de novos serviços da AWS. Inclua como você avalia os novos serviços da AWS em termos de funcionalidade e os requisitos de conformidade para sua workload.
+ Teste novos serviços e recursos: teste novos serviços e recursos à medida que são lançados em um ambiente que não seja de produção que replica bem o ambiente de produção.
+ Implemente outros mecanismos de defesa: implemente mecanismos automatizados para defender sua workload e explore as opções disponíveis.
+ [Como corrigir recursos não compatíveis da AWS pelo Regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
## Recursos
**Vídeos relacionados:**
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)