# Segurança
**Topics**
+ [
# Fundamentos de segurança
](a-sec-security.md)
+ [
# Gerenciamento de identidade e acesso
](a-identity-and-access-management.md)
+ [
# Detecção
](a-detective-controls.md)
+ [
# Proteção de infraestrutura
](a-infrastructure-protection.md)
+ [
# Proteção de dados
](a-data-protection.md)
+ [
# Resposta a incidentes
](a-incident-response.md)
# Fundamentos de segurança
**Topics**
+ [
# SEC 1 Como você opera com segurança sua carga de trabalho?
](w2aac19b7b5b5.md)
# SEC 1 Como você opera com segurança sua carga de trabalho?
Para operar sua carga de trabalho com segurança, você deve aplicar as melhores práticas gerais a todas as áreas de segurança. Use os requisitos e os processos que você definiu em excelência operacional em nível de carga de trabalho e também organizacional e aplique-os a todas as áreas. Manter-se atualizado com as recomendações da AWS e do setor e a inteligência de ameaças ajuda você a desenvolver seu modelo de ameaças e objetivos de controle. A automação de processos, testes e validação de segurança permite que você escale suas operações de segurança.
**Topics**
+ [
# SEC01-BP01 Separar as workloads usando contas
](sec_securely_operate_multi_accounts.md)
+ [
# SEC01-BP02 Proteger a Conta da AWS
](sec_securely_operate_aws_account.md)
+ [
# SEC01-BP03 Identificar e validar objetivos de controle
](sec_securely_operate_control_objectives.md)
+ [
# SEC01-BP04 Manter-se atualizado sobre as ameaças à segurança
](sec_securely_operate_updated_threats.md)
+ [
# SEC01-BP05 Manter-se atualizado com as recomendações de segurança
](sec_securely_operate_updated_recommendations.md)
+ [
# SEC01-BP06 Automatizar testes e validação de controles de segurança em pipelines
](sec_securely_operate_test_validate_pipeline.md)
+ [
# SEC01-BP07 Identificar e priorizar riscos usando um modelo de ameaça
](sec_securely_operate_threat_model.md)
+ [
# SEC01-BP08 Avaliar e implementar regularmente novos serviços e recursos de segurança
](sec_securely_operate_implement_services_features.md)
# SEC01-BP01 Separar as workloads usando contas
Tenha em mente a segurança e a infraestrutura ao começar para que sua organização possa definir proteções comuns à medida que as cargas de trabalho aumentam. Essa abordagem fornece limites e controles entre cargas de trabalho. A separação no nível da conta é altamente recomendada para isolar ambientes de produção de ambientes de desenvolvimento e teste, ou para determinar um limite lógico forte entre cargas de trabalho que processam dados de diferentes níveis de confidencialidade, conforme definido por requisitos de conformidade externos (como PCI-DSS ou HIPAA) e cargas de trabalho que não processam.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Alto
## Orientações para a implementação
+ Usar o AWS Organizations: use o AWS Organizations para aplicar centralmente o gerenciamento baseado em políticas para várias Contas da AWS.
+ [Conceitos básicos do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [How to use service control policies to set permission guardrails across accounts in your AWS Organization (Como usar políticas de controle de serviços para definir barreiras de proteção de permissão entre contas no AWS Organization) ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Considerar o AWS Control Tower: o AWS Control Tower oferece uma maneira fácil de configurar e controlar um novo ambiente seguro e multicontas da AWS com base nas práticas recomendadas.
+ [AWS Control Tower](https://aws.amazon.com/controltower/)
## Recursos
**Documentos relacionados:**
+ [Práticas recomendadas do IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html?ref=wellarchitected)
+ [Boletins de segurança](https://aws.amazon.com/security/security-bulletins)
+ [AWS Security Audit Guidelines (Diretrizes de auditoria de segurança da AWS)](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html?ref=wellarchitected)
**Vídeos relacionados:**
+ [Como gerenciar ambientes da AWS de várias contas usando o AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
+ [Usar o AWS Control Tower para administrar ambientes da AWS de várias contas ](https://youtu.be/2t-VkWt0rKk)
# SEC01-BP02 Proteger a Conta da AWS
Há uma série de aspectos para proteger suas Contas da AWS, incluindo a proteger e não utilizar o [usuário raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)e manter as informações de contato atualizadas. Você pode usar o [AWS Organizations](https://aws.amazon.com/organizations/) para gerenciar e controlar centralmente suas contas à medida que expande e dimensiona suas workloads na AWS. O AWS Organizations ajuda você a gerenciar contas, definir controles e configurar serviços em todas as suas contas.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Usar o AWS Organizations: use o AWS Organizations para aplicar centralmente o gerenciamento baseado em políticas para várias Contas da AWS.
+ [Conceitos básicos do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [Como usar políticas de controle de serviço para definir barreiras de proteção de permissão entre contas no AWS Organization ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Limitar o uso do usuário raiz da AWS: somente use o usuário raiz para executar tarefas que o exijam especificamente.
+ [ Tarefas da AWS que exigem credenciais do usuário raiz da conta da AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+ Habilitar a autenticação multifator (MFA) para o usuário raiz: habilite a MFA no usuário raiz da Conta da AWS, se o AWS Organizations não estiver gerenciando usuários raiz para você.
+ [Usuário raiz ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+ Altere periodicamente a senha do usuário raiz. Alterar a senha do usuário raiz reduz o risco de que uma senha salva possa ser usada. Isso é particularmente importante se você não estiver usando o AWS Organizations e alguém tiver acesso físico.
+ [ Alteração da senha do usuário raiz da Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+ Habilite a notificação quando o usuário raiz da Conta da AWS for usado: ser notificado automaticamente reduz o risco.
+ [ Como receber notificações quando suas chaves de acesso raiz da Conta da AWS são usadas ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ Restringir o acesso a regiões adicionadas recentemente: para novas regiões da Regiões da AWS, os recursos do IAM, como usuários e perfis, serão propagados somente para as regiões habilitadas.
+ [ Configuração das permissões para habilitar contas para as próximas Regiões da AWS](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+ Considere o AWS CloudFormation StackSets: o CloudFormation StackSets pode ser usado para implantar recursos, incluindo políticas, perfis e grupos do IAM, em diferentes regiões e Contas da AWS por meio de um modelo aprovado.
+ [ Use o CloudFormation StackSets ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)
## Recursos
**Documentos relacionados:**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Security Audit Guidelines (Diretrizes de auditoria de segurança da AWS) ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Práticas recomendadas do IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Boletins de segurança ](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [ Enable AWS adoption at scale with automation and governance (Habilite a adoção da AWS em escala com automação e governança) ](https://youtu.be/GUMSgdB-l6s)
+ [ Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
**Exemplos relacionados:**
+ [ Laboratório: usuário raiz e Conta da AWS](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP03 Identificar e validar objetivos de controle
Com base em seus requisitos de conformidade e riscos identificados no modelo de ameaça, derive e valide os objetivos de controle e os controles que você precisa aplicar à carga de trabalho. A validação contínua de objetivos de controle e controles ajuda a medir a eficácia da mitigação de riscos.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Identificar requisitos de conformidade: descubra os requisitos organizacionais, legais e de conformidade que a sua workload precisa cumprir.
+ Identificar recursos de conformidade da AWS: identifique os recursos da AWS disponíveis para ajudar você com a conformidade.
+ [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
+ [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/)
## Recursos
**Documentos relacionados:**
+ [AWS Security Audit Guidelines (Diretrizes de auditoria de segurança da AWS)](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Boletins de segurança](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [AWS Security Hub CSPM: Manage Security Alerts and Automate Compliance (AWS Security Hub: gerenciamento de alertas de segurança e automatização da governança)](https://youtu.be/HsWtPG_rTak)
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP04 Manter-se atualizado sobre as ameaças à segurança
Para ajudar a definir e implementar os controles apropriados, reconheça vetores de ataque mantendo-se a par das ameaças de segurança mais recentes. Consuma o AWS Managed Services para facilitar o recebimento de notificações de comportamentos inesperados ou incomuns em suas contas da AWS. Investigue usando ferramentas de parceiros da AWS ou feeds de informações sobre ameaças de terceiros como parte de seu fluxo de informações de segurança. A [lista de vulnerabilidades e exposições comuns (CVEs) ](https://cve.mitre.org/) contém vulnerabilidades de segurança cibernética divulgadas publicamente que você pode usar para se manter atualizado.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Inscreva-se em fontes de inteligência de ameaças: analise regularmente as informações de inteligência de ameaças de várias fontes relevantes sobre as tecnologias usadas na sua workload.
+ [Lista de vulnerabilidades e exposições comuns ](https://cve.mitre.org/)
+ Considerar [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) : oferece visibilidade quase em tempo real das fontes de inteligência, se sua workload for acessível pela Internet.
## Recursos
**Documentos relacionados:**
+ [AWS Security Audit Guidelines (Diretrizes de auditoria de segurança da AWS)](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [AWS Shield](https://aws.amazon.com/shield/)
+ [ Boletins de segurança](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP05 Manter-se atualizado com as recomendações de segurança
Mantenha-se atualizado com as recomendações de segurança da AWS e do setor para evoluir a postura de segurança de sua workload. [Boletins de segurança da AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) contêm informações importantes sobre notificações de segurança e privacidade.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Siga as atualizações da AWS: inscreva-se ou verifique regularmente novas recomendações e dicas.
+ [Laboratórios do AWS Well-Architected](https://wellarchitectedlabs.com/?ref=wellarchitected)
+ [Blog de segurança da AWS](https://aws.amazon.com/blogs/security/?ref=wellarchitected)
+ [Documentação do serviço da AWS](https://aws.amazon.com/documentation/?ref=wellarchitected)
+ Inscreva-se para receber as novidades do setor: consulte regularmente os feeds de notícias de várias fontes relevantes às tecnologias usadas na sua workload.
+ [Exemplo: lista de vulnerabilidade e exposições comuns](https://cve.mitre.org/cve/?ref=wellarchitected)
## Recursos
**Documentos relacionados:**
+ [Boletins de segurança](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP06 Automatizar testes e validação de controles de segurança em pipelines
Estabeleça linhas de base e modelos seguros para mecanismos de segurança que são testados e validados como parte de sua compilação, pipelines e processos. Use ferramentas e automação para testar e validar todos os controles de segurança continuamente. Por exemplo, verifique itens, como imagens de máquina e modelos de infraestrutura como código, para detectar vulnerabilidades de segurança, irregularidades e desvios da uma linha de base estabelecida em cada estágio. O AWS CloudFormation Guard pode ajudar você a verificar se os modelos do CloudFormation são seguros, economizar tempo e reduzir o risco de erro de configuração.
É fundamental reduzir o número de configurações incorretas de segurança introduzidas em um ambiente de produção. Portanto, quanto mais você puder controlar a qualidade e reduzir os defeitos no processo de construção, melhor. Projete pipelines de integração e implantação contínua (CI/CD) para testar problemas de segurança sempre que possível. Os pipelines de CI/CD oferecem a oportunidade de aumentar a segurança em cada estágio de criação e entrega. As ferramentas de segurança de CI/CD também devem estar sempre atualizadas para mitigar as ameaças em constante evolução.
Acompanhe as alterações na configuração de workload para ajudar na auditoria de conformidade, gerenciamento de alterações e investigações que possam ser aplicáveis. Você pode usar o AWS Config para registrar e avaliar seus recursos da AWS e de terceiros. Ele permite auditar e avaliar continuamente a conformidade geral com regras e pacotes de conformidade, que são coleções de regras com ações de correção.
O rastreamento de alterações deve incluir alterações planejadas, que fazem parte do processo de controle de alterações da sua organização [às vezes chamado de MACD, de Move, Add, Change, Delete (Mover, Adicionar, Alterar, Excluir)], alterações não planejadas e alterações inesperadas, como incidentes. Podem ocorrer alterações na infraestrutura, mas também podem estar relacionadas a outras categorias, como alterações em repositórios de código, imagens de máquina e alterações de inventário de aplicações, alterações de processos e políticas ou alterações de documentação.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio
## Orientação de implementação
+ Automatize o gerenciamento de configuração: aplique e valide configurações seguras automaticamente usando uma ferramenta ou um serviço de gerenciamento de configuração.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Configurar um pipeline CI/CD na AWS](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)
## Recursos
**Documentos relacionados:**
+ [Como usar políticas de controle de serviço para definir barreiras de proteção de permissão entre contas no AWS Organization](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
**Vídeos relacionados:**
+ [Como gerenciar ambientes da AWS de várias contas usando o AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP07 Identificar e priorizar riscos usando um modelo de ameaça
Use um modelo de ameaça para identificar e manter um registro atualizado de potenciais ameaças. Priorize as ameaças e adapte os controles de segurança para prevenir, detectar e responder. Revise e mantenha essas informações no contexto do cenário de segurança em evolução.
A modelagem de ameaças fornece uma abordagem sistemática para ajudar a encontrar e resolver problemas de segurança no início do processo de design. Quanto mais cedo melhor, pois as mitigações têm um custo mais baixo em comparação com o final do ciclo de vida.
As etapas principais típicas do processo de modelagem de ameaças são:
1. Identificar ativos, atores, pontos de entrada, componentes, casos de uso e níveis de confiança e incluí-los em um diagrama de design.
1. Identificar uma lista de ameaças.
1. Para cada ameaça, identifique mitigações, que podem incluir implementações de controle de segurança.
1. Criar e revisar uma matriz de risco para determinar se a ameaça foi mitigada de forma adequada.
A modelagem de ameaças é mais eficaz quando feita no nível da workload (ou recurso de workload), garantindo que todo o contexto esteja disponível para avaliação. Revisitar e manter essa matriz à medida que o cenário de segurança evolui.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Baixo
## Orientações para a implementação
+ Crie um modelo de ameaça: um modelo de ameaça pode ajudar a identificar e solucionar possíveis ameaças à segurança.
+ [NIST: Guide to Data-Centric System Threat Modeling (Guia para modelagem de ameaças de sistemas centrados em dados) ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)
## Recursos
**Documentos relacionados:**
+ [AWS Security Audit Guidelines (Diretrizes de auditoria de segurança da AWS) ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [Boletins de segurança ](https://aws.amazon.com/security/security-bulletins/)
**Vídeos relacionados:**
+ [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP08 Avaliar e implementar regularmente novos serviços e recursos de segurança
Avalie e implemente serviços e recursos de segurança da AWS e parceiros da AWS que permitem que você desenvolva a postura de segurança da sua workload. O blog de segurança da AWS destaca novos serviços e recursos, guias de implementação e orientações gerais de segurança da AWS. [Quais as novidades da AWS?](https://aws.amazon.com/new) é uma ótima forma de se manter atualizado com todos os novos recursos, serviços e anúncios da AWS.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo
## Orientação de implementação
+ Planeje revisões regulares: crie um calendário de atividades de análise que inclua os requisitos de conformidade, avaliar novos recursos e serviços de segurança da AWS e manter-se atualizado sobre as novidades do setor.
+ Descubra os serviços e recursos da AWS: descubra os recursos de segurança disponíveis para os serviços que você está usando e analise os novos recursos à medida que são lançados.
+ [ Blog de segurança da AWS](https://aws.amazon.com/blogs/security/)
+ [ Boletins de segurança da AWS](https://aws.amazon.com/security/security-bulletins/)
+ [Documentação do serviço da AWS](https://aws.amazon.com/documentation/)
+ Definir processo de integração de serviços da AWS: defina processos para integração de novos serviços da AWS. Inclua como você avalia os novos serviços da AWS em termos de funcionalidade e os requisitos de conformidade para sua workload.
+ Teste novos serviços e recursos: teste novos serviços e recursos à medida que são lançados em um ambiente que não seja de produção que replica bem o ambiente de produção.
+ Implemente outros mecanismos de defesa: implemente mecanismos automatizados para defender sua workload e explore as opções disponíveis.
+ [Como corrigir recursos não compatíveis da AWS pelo Regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
## Recursos
**Vídeos relacionados:**
+ [Security Best Practices the Well-Architected Way ](https://youtu.be/u6BCVkXkPnM)
# Gerenciamento de identidade e acesso
**Topics**
+ [
# SEC 2 Como você gerencia a autenticação de pessoas e máquinas?
](w2aac19b7b7b5.md)
+ [
# SEC 3 Como você gerencia permissões para pessoas e máquinas?
](w2aac19b7b7b7.md)
# SEC 2 Como você gerencia a autenticação de pessoas e máquinas?
Há dois tipos de identidade que você precisa gerenciar para operar workloads seguras da AWS. Entender o tipo de identidade de que você precisa para gerenciar e conceder acesso ajuda a garantir que as identidades corretas tenham acesso aos recursos certos nas condições certas.
Identidades humanas: seus administradores, desenvolvedores, operadores e usuários finais precisam de uma identidade para acessar seus ambientes e aplicações na AWS. Eles são membros de sua organização ou usuários externos com quem você colabora e que interagem com seus recursos da AWS por meio de um navegador da Web, de uma aplicação cliente ou de ferramentas interativas de linha de comando.
Identidades de máquina: suas aplicações de serviço, ferramentas operacionais e workloads precisam de uma identidade para fazer solicitações a serviços da AWS para ler dados, por exemplo. Essas identidades incluem máquinas em execução em seu ambiente da AWS, como instâncias do Amazon EC2 ou funções do AWS Lambda. Você também pode gerenciar identidades de máquina para partes externas que precisam de acesso. Além disso, você pode ter máquinas fora da AWS que precisam de acesso ao seu ambiente da AWS.
**Topics**
+ [
# SEC02-BP01 Usar mecanismos de login fortes
](sec_identities_enforce_mechanisms.md)
+ [
# SEC02-BP02 Usar credenciais temporárias
](sec_identities_unique.md)
+ [
# SEC02-BP03 Armazenar e usar segredos com segurança
](sec_identities_secrets.md)
+ [
# SEC02-BP04 Contar com um provedor de identidades centralizado:
](sec_identities_identity_provider.md)
+ [
# SEC02-BP05 Fazer a auditoria e a rotação periódica das credenciais
](sec_identities_audit.md)
+ [
# SEC02-BP06 Utilizar grupos e atributos de usuários
](sec_identities_groups_attributes.md)
# SEC02-BP01 Usar mecanismos de login fortes
Imponha o tamanho mínimo da senha e instrua os usuários a evitar senhas comuns ou reutilizadas. Aplique a Multi-Factor Authentication (MFA – Autenticação multifator) com mecanismos de software ou hardware para fornecer uma camada adicional de verificação. Por exemplo, quando usar o Centro de Identidade do IAM como origem de identidade, defina a configuração de “reconhecimento de contexto” ou “sempre ativo” da MFA e permita que os usuários inscrevam seus próprios dispositivos MFA para acelerar a adoção. Ao usar um Identity Provider (IdP – Provedor de identidade) externo, configure-o para MFA.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Alto
## Orientações para a implementação
+ Criar uma política do Identify and Access Management (IAM) para aplicar o login de MFA: crie uma política gerenciada pelo cliente do IAM que proíba todas as ações do IAM, exceto aquelas que permitem que um usuário assuma perfis, altere suas próprias credenciais e gerencie seus dispositivos MFA na [página My Security Credentials (Minhas credenciais de segurança)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1).
+ Habilitar a MFA no provedor de identidades: habilite a [MFA](https:/aws.amazon.com/iam/details/mfa) no provedor de identidades ou serviço de logon único, como o [Centro de Identidade do AWS IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html), que você usa.
+ Configurar uma política de senhas robusta para seus usuários: configure uma [política de senha](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) forte no IAM e nos sistemas de identidade federada para ajudar na proteção contra ataques de força bruta.
+ [Alternar credenciais regularmente](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)verifique se os administradores de sua workload alteram senhas e chaves de acesso (se usadas) regularmente.
## Recursos
**Documentos relacionados:**
+ [Conceitos básicos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Provedores de identidade e federação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [O usuário raiz da conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected)
+ [Conceitos básicos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected)
+ [Credenciais de segurança temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected)
+ [Soluções para parceiros de segurança: acesso e controle de acesso](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenciais de segurança temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [O usuário raiz da conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Vídeos relacionados:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Práticas recomendadas para gerenciar, recuperar e alternar segredos em grande escala)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with IAM Identity Center (Gerenciar permissões de usuário em grande escala com o AWS SSO)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP02 Usar credenciais temporárias
exija que as identidades adquiram [credenciais temporárias dinamicamente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html). Para identidades de força de trabalho, use o Centro de Identidade do AWS IAM ou a federação com perfis do AWS Identity and Access Management (IAM) para acessar as Contas da AWS. Para identidades de máquina, como instâncias do Amazon Elastic Compute Cloud(Amazon EC2) ou funções do AWS Lambda, exija o uso de perfis do IAM em vez de usuários do IAM com chaves de acesso de longo prazo.
Para identidades humanas que usam o Console de gerenciamento da AWS, exija que os usuários adquiram credenciais temporárias e façam a federação na AWS. Você pode fazer isso usando o portal do usuário do Centro de Identidade do AWS IAM. Para usuários que precisam de acesso à CLI, certifique-se de que eles usem a [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/), que oferece suporte para integração direta com o IAM Identity Center. Os usuários podem criar perfis de CLI vinculados a contas e perfis do Centro de Identidade do IAM. A CLI recupera automaticamente as credenciais da AWS do IAM Identity Center e as atualiza em seu nome. Isso elimina a necessidade de copiar e colar credenciais temporárias da AWS no console do IAM Identity Center. Para SDK, os usuários devem contar com o AWS Security Token Service (AWS STS) para assumir perfis e receber credenciais temporárias. Em alguns casos, credenciais temporárias podem não ser práticas. Você deve estar ciente dos riscos de armazenar chaves de acesso. Alterne-as com frequência e exija a autenticação multifator (MFA) como uma condição, quando possível. Use as últimas informações acessadas para determinar quando alternar ou remover as chaves de acesso.
Para casos em que você precisa conceder aos consumidores acesso aos seus recursos da AWS, use os grupos de identidade do [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) e atribua a eles um conjunto de credenciais de privilégios temporários e limitados para acessar seus recursos da AWS. As permissões para cada usuário são controladas por meio de [perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que você cria. Você pode definir regras para escolher a função de cada usuário com base em solicitações no token de ID do usuário. Você pode definir uma função padrão para usuários autenticados. Você também pode definir uma função do IAM separada com permissões limitadas para usuários convidados que não são autenticados.
Para identidades de máquina, você deve confiar em perfis do IAM para conceder acesso à AWS. Para instâncias do Amazon Elastic Compute Cloud(Amazon EC2), você pode usar [perfis do Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Você pode anexar um perfil do IAM à sua instância do Amazon EC2 para permitir que suas aplicações em execução no Amazon EC2 usem credenciais de segurança temporárias que a AWS cria, distribui e alterna automaticamente por meio do Instance Metadata Service (IMDS – Serviço de metadados da instância). A [versão mais recente](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) do IMDS ajuda a proteger contra vulnerabilidades que expõem as credenciais temporárias e devem ser implementadas. Para acessar instâncias do Amazon EC2 usando chaves ou senhas, o [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) é uma maneira mais segura de acessar e gerenciar suas instâncias usando um agente pré-instalado sem o segredo armazenado. Além disso, outros serviços da AWS, como o AWS Lambda, permitem que você configure um perfil de serviço do IAM para conceder permissões de serviço a fim de executar ações da AWS usando credenciais temporárias. Em situações em que não é possível usar credenciais temporárias, use ferramentas programáticas, como o [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/), para automatizar a rotação e o gerenciamento de credenciais.
**Fazer a auditoria e a rotação periódica das credenciais: **A validação periódica, preferencialmente por meio de uma ferramenta automatizada, é necessária para verificar se os controles corretos são aplicados. Para identidades humanas, você deve exigir que os usuários alterem suas senhas periodicamente e retirem chaves de acesso em favor de credenciais temporárias. Conforme você migra usuários do IAM para identidades centralizadas, é possível [gerar um relatório de credenciais ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)para auditar os usuários do IAM. Também recomendamos implementar as configurações de MFA no provedor de identidades. Você pode configurar o [Regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) para monitorar essas configurações. Para identidades de máquina, você deve confiar em credenciais temporárias usando perfis do IAM. Para situações em que isso não é possível, é necessária a auditoria frequente e a mudança de chaves de acesso.
**Armazenar e usar segredos com segurança:** para credenciais não relacionadas ao IAM e que não podem usar credenciais temporárias, como logins de banco de dados, use um serviço projetado para lidar com o gerenciamento de segredos, como o [Secrets Manager](https://aws.amazon.com/secrets-manager/). O Secrets Manager facilita o gerenciamento, a rotação e o armazenamento seguro de segredos criptografados usando [serviços com suporte](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). As chamadas para acessar os segredos são registradas no AWS CloudTrail para fins de auditoria, e as permissões do IAM podem conceder privilégio mínimo a elas.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Alto
## Orientações para a implementação
+ Implementar políticas de privilégio mínimo: atribua políticas de acesso com privilégio mínimo a grupos e perfis do IAM para refletir a função do usuário ou a função que você definiu.
+ [Grant least privilege](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ Remover permissões desnecessárias: implemente o privilégio mínimo removendo permissões desnecessárias.
+ [Redução do escopo da política ao exibir a atividade do usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [Visualizar acesso à função](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites)
+ Considerar os limites de permissões: um limite de permissões é um recurso avançado para usar uma política gerenciada que define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. O limite de permissões de uma entidade permite que ela execute apenas as ações aceitas por suas políticas baseadas em identidade e seus limites de permissões.
+ [Laboratório: limites de permissões do IAM que delegam a criação de perfis](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
+ Considerar tags de recursos para permissões: você pode usar tags para controlar o acesso aos recursos da AWS que oferecem suporte à marcação. Você também pode marcar usuários e perfis do IAM para controlar o que eles podem acessar.
+ [Laboratório: Controle de acesso baseado em tags do IAM para o EC2](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
+ [AttributeControle de acesso baseado em atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
## Recursos
**Documentos relacionados:**
+ [Conceitos básicos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Provedores de identidade e federação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Soluções para parceiros de segurança: acesso e controle de acesso](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenciais de segurança temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [O usuário raiz da conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Vídeos relacionados:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Práticas recomendadas para gerenciar, recuperar e alternar segredos em grande escala)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with Centro de Identidade do AWS IAM (Gerenciar permissões de usuário em grande escala com o AWS SSO)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP03 Armazenar e usar segredos com segurança
As identidades de força de trabalho e de máquina que precisam de segredos, como senhas para aplicações de terceiros, devem ser armazenadas com rotação automática, segundo os padrões mais recentes do setor, em um serviço especializado, como credenciais não relacionadas ao IAM e que não podem usar credenciais temporárias, como logins de banco de dados. Use um serviço projetado para lidar com o gerenciamento de segredos, como o AWS Secrets Manager. O Secrets Manager facilita o gerenciamento, a rotação e o armazenamento seguro de segredos criptografados usando serviços compatíveis. As chamadas para acessar os segredos são registradas no AWS CloudTrail para fins de auditoria, e as permissões do IAM podem conceder acesso de privilégio mínimo a elas.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Alto
## Orientações para a implementação
+ Use o AWS Secrets Manager: [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) é um serviço da AWS que facilita o gerenciamento de segredos. Segredos podem ser credenciais de banco de dados, senhas, chaves de API de terceiros e até texto arbitrário.
## Recursos
**Documentos relacionados:**
+ [Conceitos básicos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Provedores de identidade e federação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
**Vídeos relacionados:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Práticas recomendadas para gerenciar, recuperar e alternar segredos em grande escala)](https://youtu.be/qoxxRlwJKZ4)
# SEC02-BP04 Contar com um provedor de identidades centralizado:
Para identidades da força de trabalho, conte com um provedor de identidade que permita a você gerenciar identidades em um local centralizado. Isso facilita o gerenciamento do acesso em vários aplicativos e serviços, pois você está criando, gerenciando e revogando o acesso de um único local. Por exemplo, se alguém deixar sua organização, você poderá revogar o acesso a todos os serviços e aplicações (incluindo a AWS) de um único local. Esse procedimento reduz a exigência de várias credenciais e oferece uma oportunidade de integração com processos de recursos humanos (RH) existentes.
Para federação com contas individuais da AWS, você pode usar identidades centralizadas da AWS com um provedor baseado em SAML 2.0 com o AWS Identity and Access Management. Você pode usar qualquer provedor (hospedado por você na AWS, externo à AWS ou fornecido pela AWS Partner, que seja compatível com o protocolo [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) . Você pode usar a federação entre sua conta da AWS e o provedor escolhido a fim de conceder acesso a um usuário ou a uma aplicação para chamar operações da API da AWS com uma declaração SAML para obter credenciais de segurança temporárias. Também há suporte para logon único baseado na Web, permitindo que os usuários façam login no Console de gerenciamento da AWS por meio do site de login.
Para federação em várias contas no AWS Organizations, você pode configurar sua origem de identidade no [Centro de Identidade do AWS IAM (IAM Identity Center)](http://aws.amazon.com/single-sign-on/)e especificar onde seus usuários e grupos são armazenados. Uma vez configurado, seu provedor de identidade é sua fonte confiável, e as informações podem ser [sincronizadaas](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) com o uso do protocolo System for Cross-domain Identity Management (SCIM) v2.0. Em seguida, você pode pesquisar usuários ou grupos e conceder a eles acesso de IAM Identity Center a contas da AWS, aplicações de nuvem ou ambos.
O IAM Identity Center integra-se ao AWS Organizations, o que permite configurar seu provedor de identidade uma vez e, em seguida, [conceder acesso a contas novas e existentes](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) gerenciadas na sua organização. O IAM Identity Center fornece um armazenamento padrão, que você pode usar para gerenciar seus usuários e grupos. Se você optar por usar o armazenamento do IAM Identity Center, crie seus usuários e grupos e atribua o nível de acesso deles às suas contas e aplicações da AWS, tendo em mente a prática recomendada do privilégio mínimo. Como alternativa, você pode optar por [Conectar-se ao seu provedor de identidade externo ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)usando SAML 2.0 ou [Conectar-se ao seu diretório do Microsoft AD](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) usando o AWS Directory Service. Depois de configurado, você pode fazer login no Console de gerenciamento da AWS ou no aplicativo móvel da AWS, autenticando por meio do provedor de identidades central.
Para gerenciar usuários finais ou consumidores de suas cargas de trabalho, como um aplicativo para dispositivos móveis, você pode usar o [Amazon Cognito](http://aws.amazon.com/cognito/). Ele fornece autenticação, autorização e gerenciamento de usuários para aplicativos Web e para dispositivos móveis. Os usuários podem fazer login diretamente com um nome do usuário e senha ou por meio de terceiros, como Amazon, Apple, Facebook ou Google.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Centralize o acesso administrativo: crie uma entidade de provedor de identidades do Identity and Access Management (IAM) para estabelecer um relacionamento confiável entre o Conta da AWS e o provedor de identidades (IdP). O IAM oferece suporte a IdPs compatíveis com OpenID Connect (OIDC) ou SAML 2.0 (Security Assertion Markup Language 2.0).
+ [Provedores de identidade e federação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ Centralize o acesso à aplicação: considere o Amazon Cognito para centralizar o acesso à aplicação. O produto permite que você adicione cadastro/login de usuários e controle de acesso aos seus aplicativos móveis e web de forma rápida e fácil. [Amazon Cognito](https://aws.amazon.com/cognito/) escala para milhões de usuários e oferece suporte ao login com provedores de identidades sociais, como Facebook, Google e Amazon, e provedores de identidade corporativa via SAML 2.0.
+ Remova usuários e grupos antigos do IAM: depois de começar a usar um provedor de identidades (IdP), remova usuários e grupos do IAM que não são mais necessários.
+ [Encontrar credenciais não utilizadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)
+ [Excluir um grupo do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html)
## Recursos
**Documentos relacionados:**
+ [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Soluções para parceiros de segurança: acesso e controle de acesso](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenciais de segurança temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [O usuário raiz da conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Vídeos relacionados:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Práticas recomendadas para gerenciar, recuperar e alternar segredos em grande escala)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with Centro de Identidade do AWS IAM (Gerenciar permissões de usuário em grande escala com o AWS SSO)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP05 Fazer a auditoria e a rotação periódica das credenciais
Quando você não puder contar com credenciais temporárias e exigir credenciais de longo prazo, faça uma auditoria das credenciais para garantir que os controles definidos, por exemplo, autenticação multifator (MFA), sejam aplicados, alternados regularmente e que tenham o nível de acesso apropriado. A validação periódica, preferencialmente por meio de uma ferramenta automatizada, é necessária para verificar se os controles corretos são aplicados. Para identidades humanas, você deve exigir que os usuários alterem suas senhas periodicamente e retirem chaves de acesso em favor de credenciais temporárias. Conforme você migra usuários do AWS Identity and Access Management (IAM) para identidades centralizadas, é possível [gerar um relatório de credenciais ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)para auditar os usuários do IAM. Também recomendamos que implementar as configurações de MFA no provedor de identidades. Você pode configurar o [Regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) para monitorar essas configurações. Para identidades de máquina, você deve confiar em credenciais temporárias usando perfis do IAM. Para situações em que isso não é possível, é necessária a auditoria frequente e a mudança de chaves de acesso.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio
## Orientação de implementação
+ Faça auditoria de credenciais regularmente: use relatórios de credenciais e o Identity and Access Management (IAM) Access Analyzer para auditar credenciais e permissões do IAM.
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Obtenção do relatório de credenciais](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
+ [Laboratório: Limpeza automatizada de usuários do IAM](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool)
+ Use os níveis de acesso para revisar as permissões do IAM: para melhorar a segurança da sua Conta da AWS, revise e monitore regularmente cada uma das políticas do IAM. Certifique-se de que suas políticas concedam o privilégio mínimo para executar apenas as ações necessárias.
+ [Usar níveis de acesso para revisar permissões do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions)
+ Considere automatizar a criação e as atualizações de recursos do IAM: o AWS CloudFormation pode ser usado para automatizar a implantação de recursos do IAM, incluindo perfis e políticas, para reduzir erros humanos, pois os modelos podem ser verificados e ter controle de versão.
+ [Laboratório: Implantação automatizada de grupos e perfis do IAM](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html)
## Recursos
**Documentos relacionados:**
+ [Conceitos básicos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Provedores de identidade e federação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Soluções para parceiros de segurança: acesso e controle de acesso](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenciais de segurança temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
**Vídeos relacionados:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Práticas recomendadas para gerenciar, recuperar e alternar segredos em grande escala)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with Centro de Identidade do AWS IAM (Gerenciar permissões de usuário em grande escala com o AWS SSO)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP06 Utilizar grupos e atributos de usuários
À medida que o número de usuários gerenciados cresce, você precisará determinar maneiras de organizá-los para que você possa gerenciá-los em grande escala. Coloque usuários com requisitos de segurança comuns em grupos definidos pelo provedor de identidade e implemente mecanismos para garantir que os atributos de usuário que podem ser usados para controle de acesso (por exemplo, departamento ou localização) estejam corretos e atualizados. Use esses grupos e atributos para controlar o acesso em vez de usuários individuais. Isso permite que você gerencie o acesso centralmente, alterando a associação ao grupo ou os atributos de um usuário uma vez com um [conjunto de permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html), em vez de atualizar várias políticas individuais quando as necessidades de acesso de um usuário mudarem. Você pode usar o Centro de Identidade do AWS IAM (IAM Identity Center) para gerenciar grupos e atributos de usuários. O IAM Identity Center oferece suporte aos atributos mais usados, quer eles sejam inseridos manualmente durante a criação do usuário ou provisionados automaticamente usando um mecanismo de sincronização, como definido na especificação System for Cross-Domain Identity Management (SCIM).
Coloque usuários com requisitos de segurança comuns em grupos definidos pelo provedor de identidade e implemente mecanismos para garantir que os atributos de usuário que podem ser usados para controle de acesso (por exemplo, departamento ou localização) estejam corretos e atualizados. Use esses grupos e atributos, em vez de usuários individuais, para controlar o acesso. Com isso, você pode gerenciar o acesso centralmente. Basta alterar uma vez a associação ou os atributos do grupo de um usuário. Ou seja, não será preciso atualizar muitas políticas individuais quando as necessidades de acesso de um usuário mudarem.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Baixo
## Orientações para a implementação
+ Se estiver usando o Centro de Identidade do AWS IAM (IAM Identity Center), configure grupos: o IAM Identity Center permite configurar grupos de usuários e atribuir aos grupos o nível desejado de permissão.
+ [AWS Single Sign-On: gerenciar identidades](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ Saiba mais sobre o controle de acesso por atributo (ABAC): o ABAC é uma estratégia de autorização que define permissões com base em atributos.
+ [O que é ABAC para a AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Laboratório: Controle de acesso baseado em tags do IAM para o EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## Recursos
**Documentos relacionados:**
+ [Conceitos básicos do AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Práticas recomendadas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Provedores de identidade e federação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [O usuário raiz da conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Vídeos relacionados:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Práticas recomendadas para gerenciar, recuperar e alternar segredos em grande escala)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with Centro de Identidade do AWS IAM (Gerenciar permissões de usuário em grande escala com o AWS SSO)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**Exemplos relacionados:**
+ [Laboratório: Controle de acesso baseado em tags do IAM para o EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
# SEC 3 Como você gerencia permissões para pessoas e máquinas?
Gerencie permissões para controlar o acesso a identidades de pessoas e máquinas que precisam de acesso à AWS e à sua workload. As permissões controlam quem pode acessar o quê e em quais condições.
**Topics**
+ [
# SEC03-BP01 Definir requisitos de acesso
](sec_permissions_define.md)
+ [
# SEC03-BP02 Conceder acesso com privilégio mínimo
](sec_permissions_least_privileges.md)
+ [
# SEC03-BP03 Estabelecer processo de acesso de emergência
](sec_permissions_emergency_process.md)
+ [
# SEC03-BP04 Reduzir as permissões continuamente
](sec_permissions_continuous_reduction.md)
+ [
# SEC03-BP05 Definir barreiras de proteção de permissões para sua organização
](sec_permissions_define_guardrails.md)
+ [
# SEC03-BP06 Gerenciar o acesso com base no ciclo de vida
](sec_permissions_lifecycle.md)
+ [
# SEC03-BP07 Analisar o acesso público e entre contas
](sec_permissions_analyze_cross_account.md)
+ [
# SEC03-BP08 Compartilhar recursos com segurança
](sec_permissions_share_securely.md)
# SEC03-BP01 Definir requisitos de acesso
Cada componente ou recurso de sua workload precisa ser acessado por administradores, usuários finais ou outros componentes. É necessário ter uma definição clara de quem ou do que deve ter acesso a cada componente, escolher o tipo de identidade apropriado e o método de autenticação e autorização.
**Antipadrões comuns:**
+ Codificação rígida ou armazenamento de segredos em sua aplicação.
+ Conceder permissões personalizadas a cada usuário.
+ Uso de credenciais de longa duração.
**Nível de risco exposto se essa prática recomendada não for estabelecida:** alto
## Orientação para implementação
Cada componente ou recurso de sua workload precisa ser acessado por administradores, usuários finais ou outros componentes. É necessário ter uma definição clara de quem ou do que deve ter acesso a cada componente, escolher o tipo de identidade apropriado e o método de autenticação e autorização.
O acesso regular a Contas da AWS na organização deve ser fornecido usando [acesso federado](https://aws.amazon.com/identity/federation/) ou um provedor de identidade centralizado. Você também deve centralizar o gerenciamento de identidades e garantir que haja uma prática estabelecida para integrar o acesso à AWS ao ciclo de vida de acesso dos funcionários. Por exemplo, quando um funcionário muda para um cargo com um nível de acesso diferente, sua associação ao grupo também deve mudar para refletir os novos requisitos de acesso.
Ao definir os requisitos de acesso para identidades não humanas, determine quais aplicações e componentes precisam de acesso e como as permissões são concedidas. O uso de perfis do IAM criados com o modelo de acesso de privilégio mínimo é uma abordagem recomendada. [As políticas gerenciadas pela AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) fornecem políticas predefinidas do IAM que abordam a maioria dos casos de uso comuns.
Os serviços da AWS, como o [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) e [o AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html), podem ajudar a desacoplar segredos da aplicação ou workload com segurança em casos em que não é possível usar perfis do IAM. No Secrets Manager, você pode estabelecer uma alternância automática de suas credenciais. É possível usar o Systems Manager para referenciar parâmetros em seus scripts, comandos, documentos do SSM, configurações e fluxos de trabalho de automação, usando o nome exclusivo que você especificou ao criar o parâmetro.
Você pode usar o AWS Identity and Access Management Roles Anywhere para obter [credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) para workloads executadas fora da AWS. As workloads podem usar as mesmas [políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) e [perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que você usa com as aplicações da AWS para acessar os recursos da AWS.
Quando possível, prefira credenciais temporárias de curta duração em vez de credenciais estáticas de longa duração. Para cenários em que você precisa de usuários da IAM com acesso programático e credenciais de longa duração, use [as últimas informações usadas da chave de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) para alternar e remover chaves de acesso.
## Recursos
**Documentos relacionados:**
+ [Controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Centro de Identidade do AWS IAM](https://aws.amazon.com/iam/identity-center/)
+ [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [AWS Managed policies for IAM Identity Center (Políticas gerenciadas pela AWS para o IAM Identity Center)](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [AWS IAM policy conditions (Condições de políticas do AWS IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [IAM use cases (Casos de uso do IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [Remova credenciais desnecessárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Trabalhando com políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [How to control access to AWS resources based on Conta da AWS, OU, or organization (Como controlar o acesso aos recursos da AWS baseados em Conta da AWS, UO ou organização)](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [Identify, arrange, and manage secrets easily using enhanced search in AWS Secrets Manager (Identificar, organizar e gerenciar segredos facilmente usando a pesquisa avançada no AWS Secrets Manager)](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**Vídeos relacionados:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Torne-se um mestre em políticas do IAM em 60 minutos ou menos)](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD (Separação de tarefas, privilégio mínimo, delegação e CI/CD)](https://youtu.be/3H0i7VyTu70)
+ [Streamlining identity and access management for innovation (Simplificação do gerenciamento de identidade e acesso para inovação)](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 Conceder acesso com privilégio mínimo
Conceda somente o acesso de que as identidades precisam, permitindo acesso a ações específicas em recursos específicos da AWS em condições específicas. Conte com grupos e atributos de identidade para definir permissões dinamicamente em grande escala, em vez de definir permissões para usuários individuais. Por exemplo, você pode permitir o acesso de um grupo de desenvolvedores para gerenciar apenas recursos de seu próprio projeto. Dessa forma, quando um desenvolvedor é removido do grupo, seu acesso é revogado em todos os lugares em que esse grupo foi usado para controle de acesso, sem precisar efetuar qualquer alteração nas políticas de acesso.
**Antipadrões comuns:**
+ Usar como padrão a concessão de permissões de administrador aos usuários.
+ Usar a conta raiz para atividades diárias.
**Nível de risco exposto se essa prática recomendada não for estabelecida:** alto
## Orientação para implementação
Estabelecer um princípio de [privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) garante que as identidades só tenham permissão para executar o conjunto mínimo de funções necessárias para realizar uma tarefa específica, enquanto equilibram usabilidade e eficiência. Operar com esse princípio limita o acesso não intencional e ajuda a garantir que você possa auditar quem tem acesso a quais recursos. Na AWS, as identidades não têm permissões por padrão, exceto para o usuário raiz. As credenciais do usuário raiz devem ser estritamente controladas e só podem ser usadas para algumas [tarefas específicas](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html).
Você usa políticas para conceder explicitamente permissões anexadas ao IAM ou a entidades de recursos, como um perfil do IAM usado por máquinas ou identidades federadas, ou recursos (por exemplo, buckets do S3). Ao criar e associar uma política, você pode especificar as ações de serviço, os recursos e as condições que devem ser verdadeiros para que a AWS permita o acesso. A AWS oferece suporte a uma variedade de condições para ajudar você a reduzir o acesso. Por exemplo, usando a chave de condição `PrincipalOrgID` [,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)o identificador do AWS Organizations é verificado para que o acesso possa ser concedido dentro do AWS Organization.
Você também pode controlar as solicitações feitas pelos serviços da AWS em seu nome, como o AWS CloudFormation criando uma função do AWS Lambda, usando a chave de condição `CalledVia` . Você deve colocar em camadas diferentes tipos de política para limitar efetivamente as permissões gerais em uma conta. Por exemplo, é possível permitir que suas equipes de aplicação criem suas próprias políticas do IAM, mas usar um [limite de permissões](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) para definir o máximo de permissões que elas podem conceder.
Há vários recursos da AWS para ajudar a escalar o gerenciamento de permissões e aderir ao princípio do privilégio mínimo. [O controle de acesso baseado em atributos](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) permite limitar as permissões com base na *[tag](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* de um recurso, visando tomar decisões de autorização de acordo com as tags aplicadas ao recurso e a chamada de uma entidade principal do IAM. Isso permite combinar sua política de permissões e marcação para obter um acesso refinado a recursos sem precisar de muitas políticas personalizadas.
Outra maneira de acelerar a criação de uma política de privilégio mínimo é basear sua política nas permissões do CloudTrail depois da execução de uma atividade. [O IAM Access Analyzer pode gerar automaticamente uma política do IAM baseada na atividade](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). Também é possível usar o IAM Access Advisor no nível da organização ou da conta individual para [monitorar as últimas informações acessadas de uma política específica](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html).
Estabeleça uma frequência para revisar esses detalhes e remover permissões desnecessárias. Você deve estabelecer uma barreira de proteção de permissões na organização da AWS para controlar o máximo de permissões na conta de qualquer membro. Serviços como o [AWS Control Tower têm controles preventivos, gerenciados e prescritivos](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) e permitem definir seus próprios controles.
## Recursos
**Documentos relacionados:**
+ [Permissions boundaries for IAM entities (Limites de permissões para entidades do IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Techniques for writing least privilege IAM policies (Técnicas para escrever políticas do IAM de privilégio mínimo)](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity (IAM Access Analyzer facilita a implementação de permissões de privilégio mínimo gerando políticas do IAM baseadas na atividade de acesso)](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [Refining Permissions using last accessed information (Refinar permissões usando as últimas informações acessadas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [IAM policy types and when to use them (Tipos de política do IAM e quando usá-las)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [Testing IAM policies with the IAM policy simulator (Testar políticas do IAM com o simulador de política do IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [Guardrails in AWS Control Tower (Barreiras de proteção no AWS Control Tower)](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [Zero Trust architectures: An AWS perspective (Arquiteturas de confiança zero: uma perspectiva da AWS)](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [How to implement the principle of least privilege with CloudFormation StackSets (Como implementar o princípio de privilégio mínimo com o CloudFormation StackSets)](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
**Vídeos relacionados:**
+ [Next-generation permissions management (Gerenciamento de permissões de última geração)](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [Zero Trust: An AWS perspective (Confiança zero: uma perspectiva da AWS)](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [How can I use permissions boundaries to limit IAM users and roles to prevent privilege escalation? (Como posso usar limites de permissões para limitar usuários e perfis do IAM para evitar a escalação de privilégios?)](https://www.youtube.com/watch?v=omwq3r7poek)
**Exemplos relacionados:**
+ [Lab: IAM permissions boundaries delegating role creation (Laboratório: limites de permissões do IAM que delegam a criação de perfis)](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
# SEC03-BP03 Estabelecer processo de acesso de emergência
Um processo que permite o acesso de emergência à sua workload no caso improvável de um problema no processo automatizado ou no pipeline. Isso ajudará você a confiar no acesso de privilégio mínimo e garantirá que os usuários possam obter o nível certo de acesso quando precisarem. Esse processo pode incluir uma combinação de recursos diferentes, por exemplo, um perfil de emergência entre contas da AWS para acesso ou um processo específico para os administradores seguirem para validar e aprovar uma solicitação de emergência.
**Antipadrões comuns:**
+ Não ter um processo de emergência vigente para se recuperar de uma interrupção com sua configuração de identidade existente.
+ Conceder permissões elevadas de longa duração para fins de recuperação ou resolução de problemas.
**Nível de risco exposto se essa prática recomendada não for estabelecida:** Médio
## Orientação para implementação
O estabelecimento de um acesso de emergência pode assumir diversos formatos para os quais você deve estar preparado. O primeiro é uma falha de seu provedor de identidades primário. Nesse caso, você deve utilizar um segundo método de acesso com as permissões necessárias para a recuperação. Esse método pode ser um provedor de identidade de backup ou um usuário do IAM. Esse segundo método deve ser [estritamente controlado, monitorado e notificado](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) caso seja usado. A identidade de acesso de emergência deve ser originada de uma conta específica para esse fim e só deve ter permissões para assumir um perfil especificamente projetado para recuperação.
Você também deverá se preparar para o acesso de emergência quando o acesso administrativo elevado temporário for necessário. Um cenário comum é limitar as permissões mutantes a um processo automatizado usado para implantar modificações. Se esse processo apresentar um problema, os usuários podem precisar solicitar permissões elevadas para restaurar a funcionalidade. Nesse caso, estabeleça um processo em que os usuários possam solicitar acesso elevado e os administradores possam validá-lo e aprová-lo. Os planos de implementação detalhando as orientações de práticas recomendadas para funções com acesso pré-provisionado e preparação para emergências, *break-glass*, são fornecidos como parte do [SEC10-BP05 Acesso pré-provisionado](sec_incident_response_pre_provision_access.md).
## Recursos
**Documentos relacionados:**
+ [Monitor and Notify on AWS (Monitoramento e notificação na AWS)](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity)
+ [Managing temporary elevated access (Gerenciamento do acesso elevado temporário)](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
**Vídeo relacionado:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Torne-se um mestre em políticas do IAM em 60 minutos ou menos)](https://youtu.be/YQsK4MtsELU)
# SEC03-BP04 Reduzir as permissões continuamente
À medida que as equipes e as cargas de trabalho determinam o acesso de que precisam, remova as permissões que eles não usam mais e estabeleça processos de análise para obter permissões de privilégio mínimo. Monitore e reduza continuamente identidades e permissões não utilizadas.
Às vezes, quando equipes e projetos estão apenas começando, você pode optar por conceder amplo acesso (em um ambiente de desenvolvimento ou teste) para inspirar inovação e agilidade. Recomendamos avaliar o acesso continuamente e, particularmente em um ambiente de produção, restrinja o acesso apenas às permissões necessárias e obtenha privilégio mínimo. A AWS fornece recursos de análise de acesso para ajudar a identificar o acesso não utilizado. Para ajudar a identificar usuários, funções, permissões e credenciais não utilizados, a AWS analisa a atividade de acesso e fornece informações sobre a chave de acesso e a função usadas mais recentemente. Você pode usar o [timestamp de último acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) to [identificar usuários e funções não utilizados](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)e removê-los. Além disso, você pode revisar as informações de último acesso a serviços e ações para identificar e [restringir permissões para usuários e funções específicos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Por exemplo, você pode usar as informações acessadas mais recentemente para identificar as ações específicas do Amazon Simple Storage Service(Amazon S3) exigidas pela função da aplicação e restringir o acesso apenas a essas ações. Esses recursos estão disponíveis no Console de gerenciamento da AWS e de maneira programática para permitir que você os incorpore aos fluxos de trabalho de infraestrutura e ferramentas automatizadas.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Médio
## Orientações para a implementação
+ Configure o AWS Identify and Access Management (IAM) Access Analyzer: o AWS IAM Access Analyzer ajuda você a identificar os recursos na organização e nas contas, como buckets do Amazon Simple Storage Service (Amazon S3) ou funções do IAM, que são compartilhados com uma entidade externa.
+ [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
## Recursos
**Documentos relacionados:**
+ [AttributeControle de acesso baseado em atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Grant least privilege](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [Remova credenciais desnecessárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Trabalhando com políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Vídeos relacionados:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Torne-se um mestre em políticas do IAM em 60 minutos ou menos)](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD (Separação de tarefas, privilégio mínimo, delegação e CI/CD)](https://youtu.be/3H0i7VyTu70)
# SEC03-BP05 Definir barreiras de proteção de permissões para sua organização
Estabeleça controles comuns que restrinjam o acesso a todas as identidades na organização. Por exemplo, é possível restringir o acesso a Regiões da AWS específicas ou impedir que os operadores excluam recursos comuns, como um perfil do IAM usado pela equipe de segurança central.
**Antipadrões comuns:**
+ Execução de workloads em sua conta de administrador organizacional.
+ Execução de workloads de produção e não produção na mesma conta.
**Nível de risco exposto se essa prática recomendada não for estabelecida:** Médio
## Orientação para implementação
Com a expansão e o gerenciamento de workloads adicionais na AWS, você deve separá-las usando contas e gerenciá-las usando o AWS Organizations. Recomendamos que você estabeleça barreiras de proteção de permissões comuns que restrinjam o acesso a todas as identidades na sua organização. Por exemplo, você pode restringir o acesso a Regiões da AWS específicas ou impedir que a equipe exclua recursos comuns, como um perfil do IAM usado pela equipe de segurança central.
Você pode começar implementando exemplos de políticas de controle de serviço, como impedir que os usuários desabilitem os principais serviços. As SCPs usam a linguagem de políticas do IAM e permitem que você estabeleça controles aos quais todas as entidades principais (usuários e perfis) do IAM aderem. Você pode restringir o acesso a ações de serviço, recursos específicos e com base em condições específicas para atender às necessidades de controle de acesso de sua organização. Se necessário, você pode definir exceções para suas barreiras de proteção. Por exemplo, você pode restringir ações de serviço para todas as entidades do IAM na conta, exceto para um perfil de administrador específico.
Recomendamos evitar a execução de workloads em sua conta de gerenciamento. A conta de gerenciamento deve ser usada para gerir e implantar barreiras de proteção de segurança que afetarão as contas-membro. Alguns serviços da AWS permitem o uso de uma conta de administrador delegada. Quando disponível, você deve usar essa conta delegada em vez da conta de gerenciamento. Você deve limitar estritamente o acesso à conta de administrador organizacional.
O uso de uma estratégia de várias contas permite ter maior flexibilidade na aplicação de barreiras de proteção às suas workloads. O AWS Security Reference Architecture dá orientações prescritivas sobre como projetar a estrutura da conta. Os serviços da AWS, como o AWS Control Tower, fornece recursos para gerenciar centralmente os controles de prevenção e detecção em sua organização. Defina um objetivo claro para cada conta ou UO em sua organização e limite os controles de acordo com esse objetivo.
## Recursos
**Documentos relacionados:**
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [Service control policies (SCPs) (Políticas de controle de serviços (SCPs))](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [Get more out of service control policies in a multi-account environment (Aproveite ao máximo as políticas de controle de serviços em um ambiente de várias contas)](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)
+ [AWS Security Reference Architecture (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
**Vídeos relacionados:**
+ [Enforce Preventive Guardrails using Service Control Policies (Aplique barreiras de proteção preventivas usando políticas de controle de serviços)](https://www.youtube.com/watch?v=mEO05mmbSms)
+ [Building governance at scale with AWS Control Tower (Criação de governança em escala com o AWS Control Tower)](https://www.youtube.com/watch?v=Zxrs6YXMidk)
+ [AWS Identity and Access Management deep dive (Análise aprofundada do AWS Identity and Access Management)](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP06 Gerenciar o acesso com base no ciclo de vida
Integre controles de acesso ao ciclo de vida do operador e da aplicação e ao seu provedor de federação centralizado. Por exemplo, remova o acesso do usuário que sair da organização ou mudar de funções.
À medida que você gerencia cargas de trabalho usando contas separadas, haverá casos em que você precisará compartilhar recursos entre essas contas. Recomendamos que você compartilhe recursos usando o [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Esse serviço permite que você compartilhe, com facilidade e segurança, os recursos da AWS dentro da AWS Organizations e das unidades organizacionais. Usando o AWS RAM, o acesso a recursos compartilhados é concedido ou revogado automaticamente à medida que as contas são movidas para dentro e para fora da organização ou da unidade organizacional com a qual são compartilhadas. Isso ajuda a garantir que os recursos sejam compartilhados apenas com as contas que você determinar.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo
## Orientação de implementação
Ciclo de vida de acesso de usuário: implemente uma política de ciclo de vida de acesso para novos usuários, alterações de função de trabalho e usuários que saem, para que apenas os usuários atuais tenham acesso.
## Recursos
**Documentos relacionados:**
+ [AttributeControle de acesso baseado em atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Grant least privilege](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Remova credenciais desnecessárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Trabalhando com políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Vídeos relacionados:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Torne-se um mestre em políticas do IAM em 60 minutos ou menos)](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD (Separação de tarefas, privilégio mínimo, delegação e CI/CD)](https://youtu.be/3H0i7VyTu70)
# SEC03-BP07 Analisar o acesso público e entre contas
Monitore continuamente as descobertas que destacam o acesso público e entre contas. Reduza o acesso público e o acesso entre contas somente aos recursos que exigem esse tipo de acesso.
**Antipadrões comuns:**
+ Não seguir um processo para gerir o acesso público e entre contas aos recursos.
**Nível de risco exposto se essa prática recomendada não for estabelecida:** Baixo
## Orientação para implementação
Na AWS, você pode conceder acesso a recursos em outra conta. Você concede acesso direto entre contas usando políticas anexadas a recursos (por exemplo, [políticas de bucket do Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)) ou permitindo que uma identidade assuma um perfil do IAM em outra conta. Ao usar políticas de recursos, verifique o acesso concedido a identidades em sua organização e se você tem a intenção de tornar os recursos públicos. Defina um processo para aprovar todos os recursos que devem ser acessíveis publicamente.
[O IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) usa [segurança comprovada](https://aws.amazon.com/security/provable-security/) para identificar todos os caminhos de acesso a um recurso de fora de sua conta. Ele revisa as políticas de recursos continuamente e relata descobertas de acesso público e entre contas para facilitar a análise de acesso potencialmente amplo. Considere a configuração do IAM Access Analyzer com o AWS Organizations para verificar se você tem visibilidade em todas as suas contas. O IAM Access Analyzer também permite [visualizar as descobertas do Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html)antes de implantar as permissões do recurso. Isso permite validar que as alterações de política concedam apenas o acesso público e entre contas pretendido aos seus recursos. Ao projetar o acesso de várias contas, é possível usar [políticas de confiança para controlar em quais casos um perfil pode ser assumido](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). Por exemplo, você pode limitar que um perfil seja assumido por determinado intervalo de IPs de origem.
Você também pode usar o [AWS Config para relatar e corrigir recursos](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) com uma configuração acidental de acesso público por meio de verificações de políticas do AWS Config. Serviços como o [AWS Control Tower](https://aws.amazon.com/controltower) e o [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) simplificam as barreiras de proteção e as verificações de implantação em uma AWS Organizations para identificar e corrigir recursos publicamente expostos. Por exemplo, o AWS Control Tower tem uma barreira de proteção gerenciada que pode detectar se algum [snapshot do Amazon EBS pode ser restaurado por todas as contas da AWS](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).
## Recursos
**Documentos relacionados:**
+ [Using AWS Identity and Access Management Access Analyzer (Uso do AWS Identity and Access Management Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [Guardrails in AWS Control Tower (Barreiras de proteção no AWS Control Tower)](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Foundational Security Best Practices standard (Norma de práticas de segurança básicas da AWS)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+ [AWS Config Managed Rules (Regras gerenciadas do AWS Config)](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [AWS Trusted Advisor check reference (Referência de verificação do AWS Trusted Advisor)](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
**Vídeos relacionados:**
+ [Best Practices for securing your multi-account environment (Práticas recomendadas para proteger seu ambiente de várias contas)](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Dive Deep into IAM Access Analyzer (Análise aprofundada do IAM Access Analyzer)](https://www.youtube.com/watch?v=i5apYXya2m0)
# SEC03-BP08 Compartilhar recursos com segurança
Controle o consumo de recursos compartilhados entre contas ou no AWS Organizations. Monitore recursos compartilhados e revise o acesso a recursos compartilhados.
**Antipadrões comuns:**
+ Uso da política de confiança padrão do IAM ao conceder acesso entre contas de terceiros.
**Nível de risco exposto se essa prática recomendada não for estabelecida:** Baixo
## Orientação para implementação
Como você gerencia as workloads usando várias contas da AWS, pode ser necessário compartilhar recursos entre contas. Isso será frequentemente um compartilhamento entre contas em uma AWS Organizations. Vários serviços da AWS, como o [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), o [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)e o [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) têm recursos entre contas integrados à Organizations. Você pode usar o [AWS Resource Access Manager](https://aws.amazon.com/ram/) para compartilhar outros recursos comuns, como [sub-redes de VPC ou anexos do gateway de trânsito](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), o [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall)ou [pipelines do Amazon SageMaker Runtime](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker). Se você quiser garantir que sua conta compartilhe recursos somente com sua Organizations, recomendamos o uso de [Service control policies (SCPs) (Políticas de controle de serviços (SCPs))](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) para impedir o acesso a entidades principais externas.
Ao compartilhar recursos, você deve implantar medidas para se proteger contra acessos indesejados. Recomendamos combinar controles baseados em identidade e controles de rede para [criar um perímetro de dados para sua organização](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html). Esses controles devem impor limites estritos sobre quais recursos podem ser compartilhados e impedir o compartilhamento ou a exposição de recursos que não devem ser permitidos. Por exemplo, como parte de seu perímetro de dados, você pode usar políticas de endpoint da VPC e a condição `aws:PrincipalOrgId` para garantir que as identidades acessem os buckets do Amazon S3 pertencentes à sua organização.
Em alguns casos, você pode compartilhar recursos fora de sua Organizations ou conceder a terceiros acesso à sua conta. Por exemplo, um parceiro pode fornecer uma solução de monitoramento que precise acessar recursos em sua conta. Nesses casos, você deve criar um perfil entre contas do IAM somente com os privilégios necessários para a parte externa. Você deve também criar uma política de confiança usando a [condição de ID externo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Ao usar um ID externo, você deve gerar um ID exclusivo para cada parte externa. O ID exclusivo não deve ser fornecido nem controlado por essa parte. Se ela não precisar mais de acesso ao seu ambiente, remova o perfil. Você também deve evitar o fornecimento de credenciais do IAM de longa duração para terceiros em todos os casos. Esteja ciente de outros serviços da AWS que sejam compatíveis nativamente com o compartilhamento. Por exemplo, o AWS Well-Architected Tool permite [compartilhar uma workload](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) com outras contas da AWS.
Ao usar um serviço como o Amazon S3, é recomendável [desabilitar as ACLs para seu bucket do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) e usar políticas do IAM para definir o controle de acesso. [Para restringir o acesso a uma origem do Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) pelo [Amazon CloudFront](https://aws.amazon.com/cloudfront/), migre da identidade do acesso de origem (OAI) para um controle de acesso de origem (OAC), que é compatível com recursos adicionais, incluindo a criptografia do lado do servidor com o [AWS KMS](https://aws.amazon.com/kms/).
## Recursos
**Documentos relacionados:**
+ [Bucket owner granting cross-account permission to objects it does not own (Proprietário do bucket concede permissão entre contas a objetos que não possui)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [How to use Trust Policies with IAM (Como usar políticas de confiança com o IAM)](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Building Data Perimeter on AWS (Como criar um perímetro de dados na AWS)](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [How to use an external ID when granting a third party access to your AWS resources (Como usar um ID externo ao conceder acesso aos seus recursos da AWS para terceiros)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
**Vídeos relacionados:**
+ [Granular Access with AWS Resource Access Manager (Acesso granular com o AWS Resource Access Manager)](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Securing your data perimeter with VPC endpoints (Como proteger seu perímetro de dados com endpoints da VPC)](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Establishing a data perimeter on AWS (Como estabelecer um perímetro de dados na AWS) ](https://www.youtube.com/watch?v=SMi5OBjp1fI)
# Detecção
**Topics**
+ [
# SEC 4 Como você detecta e investiga eventos de segurança?
](w2aac19b7b9b5.md)
# SEC 4 Como você detecta e investiga eventos de segurança?
Capture e analise eventos de logs e métricas para gerar visibilidade. Tome medidas em eventos de segurança e potenciais ameaças para ajudar a proteger sua carga de trabalho.
**Topics**
+ [
# SEC04-BP01 Configurar registro em log de serviço e aplicação
](sec_detect_investigate_events_app_service_logging.md)
+ [
# SEC04-BP02 Analisar logs, descobertas e métricas de forma centralizada
](sec_detect_investigate_events_analyze_all.md)
+ [
# SEC04-BP03 Automatizar a resposta a eventos
](sec_detect_investigate_events_auto_response.md)
+ [
# SEC04-BP04 Implementar eventos de segurança acionáveis
](sec_detect_investigate_events_actionable_events.md)
# SEC04-BP01 Configurar registro em log de serviço e aplicação
Configure o registro em log em toda a workload, incluindo logs de aplicações, logs de recursos e logs de serviços da AWS. Por exemplo, verifique se o AWS CloudTrail, o Amazon CloudWatch Logs, o Amazon GuardDuty e o AWS Security Hub CSPM estão habilitados para todas as contas da sua organização.
Uma prática básica é estabelecer um conjunto de mecanismos de detecção no nível da conta. Esse conjunto básico de mecanismos deve registrar e detectar uma grande variedade de ações em todos os recursos da conta. Eles permitem criar uma função de detecção abrangente com opções que incluem correção automatizada e integrações de parceiros para funcionalidade adicional.
Na AWS, os serviços que podem implementar esse conjunto base incluem:
+ [AWS CloudTrail](http://aws.amazon.com/cloudtrail) fornece histórico de eventos da atividade de sua conta da AWS, incluindo ações realizadas por meio do Console de gerenciamento da AWS, de AWS SDKs, de ferramentas de linha de comando e de outros serviços da AWS.
+ [AWS Config](http://aws.amazon.com/config) monitora e registra as configurações de recursos da AWS e permite automatizar as tarefas de avaliação e correção em relação às configurações desejadas.
+ [Amazon GuardDuty](http://aws.amazon.com/guardduty) é um serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos não autorizados para proteger contas e cargas de trabalho da AWS.
+ [AWS Security Hub CSPM](http://aws.amazon.com/security-hub) fornece um único local que agrega, organiza e prioriza alertas de segurança ou descobertas de vários serviços da AWS e produtos opcionais de terceiros para oferecer uma visão abrangente dos alertas de segurança e do status de conformidade.
Com base nos alicerces no nível da conta, muitos serviços essenciais da AWS, como o [Amazon Virtual Private Cloud Console (Amazon VPC)](http://aws.amazon.com/vpc), fornecem recursos de registro em log em nível de serviço. [Logs de fluxo da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) permitem capturar informações sobre o tráfego de IP de entrada e saída das interfaces de rede que podem ser valiosas para o histórico de conectividade, além de acionar ações automatizadas com base em comportamentos anômalos.
Para instâncias do Amazon Elastic Compute Cloud(Amazon EC2) e registro em log baseado em aplicações que não são originadas de serviços da AWS, os logs podem ser armazenados e analisados com o [Amazon CloudWatch Logs](http://aws.amazon.com/cloudwatch). Uma [agente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) coleta os logs no sistema operacional e nos aplicativos em execução e os armazena automaticamente. Assim que os logs estiverem disponíveis no CloudWatch Logs, você poderá [processá-los em tempo real](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html)ou se aprofundar em análises usando o [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html).
Igualmente importante para coletar e agregar logs é a capacidade de extrair informações relevantes dos grandes volumes de dados de log e eventos gerados por arquiteturas modernas e complexas. Consulte a guia *Monitoramento* do [whitepaper sobre o pilar de confiabilidade](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/monitor-workload-resources.html) para obter mais detalhes. Os logs podem conter dados considerados confidenciais. Quando os dados do aplicativo são erroneamente encontrados em arquivos de log que o agente do CloudWatch Logs está capturando ou quando o registro em log entre regiões está configurado para agregação de logs e há considerações legislativas sobre o envio de determinados tipos de informações além de fronteiras.
Uma abordagem é usar funções do AWS Lambda, acionadas em eventos quando os logs são entregues, para filtrar e redigir dados de log antes de encaminhá-los para um local de registro centralizado de logs, como um bucket do Amazon Simple Storage Service (Amazon S3). Os logs não editados podem ser mantidos em um bucket local por um tempo razoável (conforme determinado pela legislação e a equipe jurídica), quando uma regra de ciclo de vida do Amazon S3 pode excluí-los automaticamente. Os logs podem ser protegidos ainda mais no Amazon S3 usando o [bloqueio de objetos do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html), no qual é possível armazenar objetos usando um modelo de gravação única e leitura múltipla (WORM).
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Alto
## Orientações para a implementação
+ Habilitar o registro em log de serviços da AWS: habilite o registro em log de serviços da AWS para atender aos seus requisitos. Os recursos de registro em log incluem o seguinte: logs de fluxo do Amazon VPC, logs do Elastic Load Balancing (ELB), logs de bucket do Amazon S3, logs de acesso do CloudFront, logs de consulta do Amazon Route 53 e logs do Amazon Relational Database Service (Amazon RDS).
+ [AWS Answers: capacidade nativa de log de segurança da AWS](https://aws.amazon.com/answers/logging/aws-native-security-logging-capabilities/)
+ Avalie e habilite o registro em log de sistemas operacionais e logs específicos de aplicativos para detectar comportamentos suspeitos.
+ [ Conceitos básicos do CloudWatch Logs ](http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [ Ferramentas do desenvolvedor e análise de log ](https://aws.amazon.com/marketplace/search/results?category=4988009011)
+ Aplicar os controles apropriados aos logs: os logs podem conter informações confidenciais e somente usuários autorizados devem ter acesso. Considere restringir as permissões aos grupos de logs dos buckets do Amazon S3 e do CloudWatch Logs.
+ [ Autenticação e controle de acesso para o Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)
+ [Identity and Access Management no Amazon S3. ](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
+ Configurar [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html): o GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos não autorizados para proteger contas e workloads das Contas da AWS. Habilite o GuardDuty e configure alertas automatizados para enviar e-mails usando o laboratório.
+ [Configurar trilha personalizada no CloudTrail](http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html): a configuração de uma trilha permite armazenar logs por mais tempo que o período padrão e analisá-los posteriormente.
+ Habilitar [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html): o AWS Config oferece uma visualização detalhada da configuração dos recursos da AWS em uma Conta da AWS. Isso inclui como os recursos se relacionam entre si e como foram configurados anteriormente, permitindo que você veja como as configurações e os relacionamentos mudam ao longo do tempo.
+ Habilitar [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): o Security Hub CSPM fornece uma visão abrangente do seu estado de segurança na AWS e ajuda a verificar sua conformidade com os padrões e práticas recomendadas do setor de segurança. O Security Hub CSPM coleta dados de segurança de todas as Contas da AWS, serviços e produtos de parceiros de terceiros suportados e ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de maior prioridade.
## Recursos
**Documentos relacionados:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Conceitos básicos: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Soluções de segurança parceiros: registro em log e monitoramento](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Vídeos relacionados:**
+ [ Centrally Monitoring Resource Configuration and Compliance (Monitoramento centralizado de configuração e conformidade de recursos) ](https://youtu.be/kErRv4YB_T4)
+ [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Correção do Amazon GuardDuty e descobertas do AWS Security Hub) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Gerenciamento de ameaças na nuvem: Amazon GuardDuty e AWS Security Hub) ](https://youtu.be/vhYsm5gq9jE)
**Exemplos relacionados:**
+ [ Laboratório: Implantação automatizada de controles de detecção ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP02 Analisar logs, descobertas e métricas de forma centralizada
as equipes de operações de segurança confiam na coleta de logs e no uso de ferramentas de pesquisa para descobrir possíveis eventos de interesse, que podem indicar atividade não autorizada ou alteração não intencional. No entanto, a simples análise de dados coletados e o processamento manual de informações são insuficientes para acompanhar o volume de informações provenientes de arquiteturas complexas. Somente a análise e os relatórios não facilitam a atribuição dos recursos certos para trabalhar um evento em tempo hábil.
Uma prática recomendada para montar uma equipe madura de operações de segurança é integrar profundamente o fluxo de eventos e descobertas de segurança em um sistema de notificação e fluxo de trabalho, como um sistema de emissão de tíquetes, um sistema de erros ou problemas, ou outro sistema de gerenciamento de informações e eventos de segurança (SIEM). Isso remove o fluxo de trabalho de e-mails e relatórios estáticos, o que permite rotear, escalar e gerenciar eventos ou descobertas. Muitas organizações também estão integrando alertas de segurança em suas plataformas de bate-papo ou colaboração e de produtividade do desenvolvedor. Para organizações que estão iniciando com automações, um sistema de emissão de tíquetes orientado por APIs e de baixa latência oferece flexibilidade considerável para o planejamento de o que automatizar primeiro.
Essa prática recomendada aplica-se não só a eventos de segurança gerados a partir de mensagens de log que representam atividades do usuário ou eventos de rede, como também a alterações detectadas na própria infraestrutura. A capacidade de detectar alterações, determinar se uma alteração foi apropriada e, em seguida, rotear essas informações para o fluxo de trabalho de correção correto é essencial para manter e validar uma arquitetura segura, no contexto de alterações em que a natureza de sua indesejabilidade é suficientemente sutil para que sua execução não possa ser impedida com uma combinação de configuração do AWS Identity and Access Management(IAM) e do AWS Organizations.
O Amazon GuardDuty e o AWS Security Hub CSPM fornecem mecanismos de agregação, desduplicação e análise para registros de log que também são disponibilizados a você por meio de outros serviços da AWS. O GuardDuty ingere, agrega e analisa informações de fontes como gerenciamento e eventos de dados do AWS CloudTrail, logs de DNS de VPC e logs de fluxo de VPC. O Security Hub CSPM pode ingerir, agregar e analisar a saída do GuardDuty AWS Config, do Amazon Inspector, Amazon Macie, do AWS Firewall Manager e de um número significativo de produtos de segurança de terceiros disponíveis no AWS Marketplace e, se criado adequadamente, no seu próprio código. Tanto o GuardDuty quanto o Security Hub CSPM têm um modelo de membro administrador que pode agregar descobertas e insights em várias contas. O Security Hub CSPM geralmente é usado por clientes que têm um SIEM on-premises como um log do lado da AWS e um pré-processador e agregador de logs e alertas nos quais eles podem consumir o Amazon EventBridge por meio de um processador e encaminhador com base no AWS Lambda.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Alto
## Orientações para a implementação
+ Avaliar os recursos de processamento de log: avalie as opções disponíveis para o processamento de logs.
+ [Use Amazon OpenSearch Service to log and monitor (almost) everything (Usar o Amazon OpenSearch Service para registrar e monitorar (quase) tudo) ](https://d1.awsstatic.com/whitepapers/whitepaper-use-amazon-elasticsearch-to-log-and-monitor-almost-everything.pdf)
+ [Encontre um parceiro especializado em soluções de registro e monitoramento ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
+ Para começar a analisar logs do CloudTrail, experimente o Amazon Athena.
+ [ Como configurar o Athena para analisar logs do CloudTrail ](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)
+ Implementar o login centralizado na AWS: consulte a solução de exemplo da AWS a seguir para centralizar o log de várias fontes.
+ [Centralizar a solução de registro em log ](https://aws.amazon.com/solutions/centralized-logging/https://aws.amazon.com/solutions/centralized-logging/)
+ Implementar o registro em log centralizado com o parceiro: os parceiros da APN têm soluções para ajudar você a analisar os logs de forma centralizada.
+ [ Registro em log e monitoramento ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
## Recursos
**Documentos relacionados:**
+ [AWS Answers: registro em log centralizado ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Conceitos básicos: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Soluções de segurança parceiros: registro em log e monitoramento](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Vídeos relacionados:**
+ [ Centrally Monitoring Resource Configuration and Compliance (Monitoramento centralizado de configuração e conformidade de recursos) ](https://youtu.be/kErRv4YB_T4)
+ [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Correção do Amazon GuardDuty e descobertas do AWS Security Hub) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Gerenciamento de ameaças na nuvem: Amazon GuardDuty e AWS Security Hub) ](https://youtu.be/vhYsm5gq9jE)
# SEC04-BP03 Automatizar a resposta a eventos
O uso de automação para investigar e corrigir eventos reduz o esforço humano e erros e permite escalar recursos de investigação. Análises regulares ajudarão você a ajustar ferramentas de automação e iterar continuamente.
Na AWS, a investigação de eventos de interesse e informações sobre alterações potencialmente inesperadas em um fluxo de trabalho automatizado pode ser obtida com o Amazon EventBridge. Esse serviço fornece um mecanismo de regras escalável, projetado para processar formatos de eventos da AWS nativos (como eventos do AWS CloudTrail) e personalizados, que você pode gerar com base em sua aplicação. O Amazon GuardDuty também permite rotear eventos em um sistema de fluxo de trabalho para usuários que criam sistemas de resposta a incidentes (AWS Step Functions), uma conta de segurança central ou um bucket para análise posterior.
A detecção de alterações e o roteamento dessas informações para o fluxo de trabalho correto podem ser realizados com o uso do Regras do AWS Config e [de pacotes de conformidade](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html). O AWS Config detecta alterações nos serviços em escopo (embora com maior latência do que o EventBridge) e gera eventos que podem ser analisados usando o Regras do AWS Config para reversão, aplicação da política de conformidade e encaminhamento de informações aos sistemas, como plataformas de gerenciamento de alterações e sistemas operacionais de emissão de tíquetes. Além de escrever suas próprias funções do Lambda para responder a eventos do AWS Config, você também pode aproveitar o [kit de desenvolvimento do Regras do AWS Config](https://github.com/awslabs/aws-config-rdk)e uma [biblioteca de código aberto](https://github.com/awslabs/aws-config-rules) do Regras do AWS Config. Os pacotes de conformidade são uma coleção de ações de correção e do Regras do AWS Config que você implanta como uma única entidade criada como um modelo YAML. O [modelo de pacote de conformidade de amostra](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) está disponível no pilar Segurança do Well-Architected.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Médio
## Orientações para a implementação
+ Implementar alertas automatizados com o GuardDuty: o GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades mal-intencionadas e comportamentos não autorizados para proteger suas workloads e Contas da AWS. Habilite o GuardDuty e configure alertas automatizados.
+ Automatizar o processo de investigação: desenvolva processos automatizados que investigam um evento e relatam informações a um administrador para economizar tempo.
+ [ Laboratório: Amazon GuardDuty na prática ](https://hands-on-guardduty.awssecworkshops.com/)
## Recursos
**Documentos relacionados:**
+ [AWS Answers: registro em log centralizado ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Conceitos básicos: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Soluções de segurança parceiros: registro em log e monitoramento](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
+ [ Como configurar o Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)
**Vídeos relacionados:**
+ [ Centrally Monitoring Resource Configuration and Compliance (Monitoramento centralizado de configuração e conformidade de recursos) ](https://youtu.be/kErRv4YB_T4)
+ [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Correção do Amazon GuardDuty e descobertas do AWS Security Hub) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Gerenciamento de ameaças na nuvem: Amazon GuardDuty e AWS Security Hub) ](https://youtu.be/vhYsm5gq9jE)
**Exemplos relacionados:**
+ [Laboratório: Implantação automatizada de controles de detecção ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP04 Implementar eventos de segurança acionáveis
Crie alertas para serem enviados à sua equipe para ação. Certifique-se de que os alertas incluam informações relevantes para a equipe agir. Para cada mecanismo de detecção existente, você também deve ter um processo, na forma de um [runbook](https://wa.aws.amazon.com/wat.concept.runbook.en.html) ou [playbook](https://wa.aws.amazon.com/wat.concept.playbook.en.html), para investigar. Por exemplo, quando você habilita o [Amazon GuardDuty](http://aws.amazon.com/guardduty), ele gera diferentes [descobertas](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html). Você deve ter uma entrada de runbook para cada tipo de descoberta, por exemplo, se um [cavalo de Troia](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_trojan.html) for descoberto, seu runbook terá instruções simples que instruem alguém a investigar e corrigir o problema.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo
## Orientação de implementação
+ Descubra as métricas disponíveis para serviços da AWS: descubra as métricas disponíveis por meio do Amazon CloudWatch para os serviços que você está usando.
+ [Documentação do serviço da AWS](https://aws.amazon.com/documentation/)
+ [Uso de métricas do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ Configure os alarmes do Amazon CloudWatch.
+ [Como usar os alarmes do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## Recursos
**Documentos relacionados:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [Soluções de segurança parceiros: registro em log e monitoramento](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Vídeos relacionados:**
+ [ Centrally Monitoring Resource Configuration and Compliance (Monitoramento centralizado de configuração e conformidade de recursos) ](https://youtu.be/kErRv4YB_T4)
+ [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Correção do Amazon GuardDuty e descobertas do AWS Security Hub) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Gerenciamento de ameaças na nuvem: Amazon GuardDuty e AWS Security Hub) ](https://youtu.be/vhYsm5gq9jE)
# Proteção de infraestrutura
**Topics**
+ [
# SEC 5 Como você protege seus recursos de rede?
](w2aac19b7c11b5.md)
+ [
# SEC 6 Como você protege seus recursos de computação?
](w2aac19b7c11b7.md)
# SEC 5 Como você protege seus recursos de rede?
Qualquer carga de trabalho que tenha alguma forma de conectividade de rede, seja a Internet ou uma rede privada, exige várias camadas de defesa para ajudar a proteger contra ameaças externas e internas baseadas em rede.
**Topics**
+ [
# SEC05-BP01 Criar camadas de rede
](sec_network_protection_create_layers.md)
+ [
# SEC05-BP02 Controlar tráfego de todas as camadas
](sec_network_protection_layered.md)
+ [
# SEC05-BP03 Automatizar a proteção da rede:
](sec_network_protection_auto_protect.md)
+ [
# SEC05-BP04 Implementar inspeção e proteção
](sec_network_protection_inspection.md)
# SEC05-BP01 Criar camadas de rede
Agrupe componentes que compartilham requisitos de acessibilidade em camadas. Por exemplo, um cluster de banco de dados em uma nuvem privada virtual (VPC) sem necessidade de acesso à Internet deve ser colocado em sub-redes sem nenhuma rota para/da Internet. Em uma carga de trabalho sem servidor operando sem uma VPC, camadas e segmentação semelhantes com microsserviços podem atingir o mesmo objetivo.
Os componentes como instâncias do Amazon Elastic Compute Cloud (Amazon EC2), clusters de banco de dados do Amazon Relational Database Service (Amazon RDS) e funções do AWS Lambda que compartilham requisitos de acessibilidade podem ser segmentados em camadas formadas por sub-redes. Por exemplo, um cluster de banco de dados do Amazon RDS em uma VPC sem necessidade de acesso à Internet deve ser colocado em sub-redes sem nenhuma rota para/da Internet. Essa abordagem em camadas para os controles reduz o impacto da configuração incorreta de uma única camada, o que pode permitir o acesso não intencional. Para o Lambda, você pode executar as funções em sua VPC para avançar os controles baseados em VPC.
Para uma conectividade de rede que possa incluir milhares de VPCs, contas da AWS e redes on-premises, você deve usar o [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). Ele atua como um hub que controla como o tráfego é roteado entre todas as redes conectadas, que atuam como spokes. O tráfego entre uma Amazon Virtual Private Cloud e o AWS Transit Gateway permanece na rede privada da AWS, o que reduz vetores de ameaças externas, como ataques de negação de serviço distribuída (DDoS) e ameaças comuns, como injeção de SQL, cross-site scripting, falsificação de solicitações entre sites ou abuso de código de autenticação violado. O emparelhamento entre regiões do AWS Transit Gateway também criptografa o tráfego entre regiões sem um ponto único de falha ou gargalo de largura de banda.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Crie sub-redes na VPC: crie sub-redes para cada camada (em grupos que incluem várias zonas de disponibilidade) e associe tabelas de rotas para controlar o roteamento.
+ [VPCs e sub-redes ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ [Tabelas de rotas ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
## Recursos
**Documentos relacionados:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+ [Segurança da Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Conceitos básicos do AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Vídeos relacionados:**
+ [AWS Transit Gateway reference architectures for many VPCs (Arquiteturas de referência do AWS Transit Gateway para várias VPCs) ](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Aceleração e proteção de aplicações com o Amazon CloudFront, o AWS WAF e o AWS Shield)](https://youtu.be/0xlwLEccRe0)
**Exemplos relacionados:**
+ [Laboratório: Implantação automatizada da VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP02 Controlar tráfego de todas as camadas
ao projetar sua topologia de rede, você deve examinar os requisitos de conectividade de cada componente. Por exemplo, se um componente precisa de acesso à Internet (entrada e saída), conectividade com VPCs, serviços de borda e datacenters externos.
Uma VPC permite que você defina a topologia de rede que abrange uma Região da AWS com um intervalo de endereços IPv4 privados que você define ou um intervalo de endereços IPv6 que a AWS seleciona. Você deve aplicar vários controles com uma abordagem detalhada de defesa para tráfego de entrada e saída, incluindo o uso de grupos de segurança (firewall de inspeção com estado), Network ACLs, sub-redes e tabelas de rotas. Você pode criar sub-redes em uma zona de disponibilidade dentro de uma VPC. Cada sub-rede tem uma tabela de rotas associada que define regras de roteamento para gerenciar os caminhos do tráfego dentro da sub-rede. Você pode definir uma sub-rede roteável na Internet com uma rota que siga até um gateway da Internet ou gateway NAT associado à VPC ou que passe por outra VPC.
Quando uma instância, um banco de dados do Amazon Relational Database Service(Amazon RDS) ou outro serviço é executado em uma VPC, ela tem seu próprio grupo de segurança por interface de rede. Esse firewall está fora da camada do sistema operacional e pode ser usado para definir regras para o tráfego permitido de entrada e saída. Você também pode definir relacionamentos entre grupos de segurança. Por exemplo, as instâncias em um grupo de segurança no nível do banco de dados aceitam somente o tráfego de instâncias no nível do aplicativo, por referência aos grupos de segurança aplicados às instâncias envolvidas. A menos que você esteja usando protocolos não baseados em TCP, não deve ser necessário ter uma instância do Amazon Elastic Compute Cloud(Amazon EC2) diretamente acessível pela Internet (mesmo com portas restritas por grupos de segurança) sem um balanceador de carga ou o [CloudFront](https://aws.amazon.com/cloudfront). Isso ajuda a protegê-lo contra acesso não intencional surgido por um problema de sistema operacional ou aplicativo. Uma sub-rede também pode ter uma Network ACL anexada a ela, que atua como um firewall sem estado. Você deve configurar a Network ACL para restringir a abrangência do tráfego permitido entre camadas. Observe que é preciso definir regras de entrada e de saída.
Alguns serviços da AWS requerem componentes para acessar a Internet para fazer chamadas de API, onde [os endpoints de API da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) estão localizados. Outros serviços da AWS usam [VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) dentro das suas Amazon VPCs. Muitos serviços da AWS, incluindo o Amazon S3 e o Amazon DynamoDB, oferecem suporte a endpoints da VPC, e essa tecnologia foi generalizada no [AWS PrivateLink](https://aws.amazon.com/privatelink/). Recomendamos o uso dessa abordagem para acessar serviços da AWS, serviços de terceiros e seus próprios serviços hospedados em outras VPCs com segurança. Todo o tráfego de rede do AWS PrivateLink permanece no backbone global da AWS e nunca atravessa a Internet. A conectividade só pode ser iniciada pelo consumidor do serviço e não pelo provedor do serviço. O uso do AWS PrivateLink para acesso a serviços externos permite criar VPCs air-gapped sem acesso à Internet e ajuda a proteger suas VPCs de vetores de ameaças externas. Os serviços de terceiros podem usar o AWS PrivateLink para permitir que os clientes se conectem aos serviços de suas VPCs por meio de endereços IP privados. Para ativos da VPC que precisam estabelecer conexões de saída com a Internet, elas podem ser feitas somente de saída (unidirecional) por meio de um gateway NAT gerenciado pela AWS, de um gateway da Internet somente de saída ou de proxies de Web criados e gerenciados por você.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Alto
## Orientações para a implementação
+ Controlar o tráfego de rede em uma VPC: implemente as práticas recomendadas de VPC para controlar o tráfego.
+ [Segurança da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)
+ [VPC endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [Grupo de segurança da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [ACLs de rede](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ Controlar o tráfego na borda: implemente serviços de borda, como o Amazon CloudFront, para fornecer uma camada adicional de proteção e outros recursos.
+ [Casos de uso do Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html)
+ [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ [AWS Web Application Firewall (AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html)
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ [Roteamento de entrada da Amazon VPC](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/)
+ Controlar o tráfego de rede privada: implemente serviços que protegem o tráfego privado da sua workload.
+ [Emparelhamento de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [Serviços de endpoint da Amazon VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html)
+ [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html)
+ [Pontos de acesso do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html)
## Recursos
**Documentos relacionados:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Conceitos básicos do AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Vídeos relacionados:**
+ [AWS Transit Gateway reference architectures for many VPCs (Arquiteturas de referência do AWS Transit Gateway para várias VPCs)](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Aceleração e proteção de aplicações com o Amazon CloudFront, o AWS WAF e o AWS Shield) ](https://youtu.be/0xlwLEccRe0)
**Exemplos relacionados:**
+ [Laboratório: Implantação automatizada da VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP03 Automatizar a proteção da rede:
Automatize os mecanismos de proteção para fornecer uma rede de autodefesa com base em inteligência de ameaças e detecção de anomalias. Por exemplo, ferramentas de detecção e prevenção de intrusão que podem se adaptar às ameaças atuais e reduzir seu impacto. Um firewall de aplicação Web é um exemplo de onde você pode automatizar a proteção de rede; por exemplo, usando a solução AWS WAF Security Automations ([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations)) para bloquear automaticamente solicitações originadas de endereços IP associados a agentes de ameaças conhecidos.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio
## Orientação de implementação
+ Automatize a proteção para tráfego baseado na Web: a AWS oferece uma solução que usa o AWS CloudFormation para implantar automaticamente um conjunto de regras do AWS WAF projetadas para filtrar ataques comuns baseados na Web. Os usuários podem selecionar entre recursos de proteção pré-configurados que definem as regras incluídas em uma lista de controle de acesso da Web (ACL da Web) do AWS WAF.
+ [Automações de segurança do AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/)
+ Considere as soluções de AWS Partner: os parceiros da AWS oferecem centenas de produtos líderes do setor que são equivalentes, idênticos ou se integram aos controles existentes nos seus ambientes on-premises. Esses produtos complementam os serviços da AWS já existentes para que os clientes possam implantar uma arquitetura de segurança abrangente e obter uma experiência mais uniforme na nuvem e no ambiente on-premises.
+ [Segurança da infraestrutura](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## Recursos
**Documentos relacionados:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Segurança da Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Conceitos básicos do AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Vídeos relacionados:**
+ [AWS Transit Gateway reference architectures for many VPCs (Arquiteturas de referência do AWS Transit Gateway para várias VPCs)](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Aceleração e proteção de aplicações com o Amazon CloudFront, o AWS WAF e o AWS Shield) ](https://youtu.be/0xlwLEccRe0)
**Exemplos relacionados:**
+ [Laboratório: Implantação automatizada da VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP04 Implementar inspeção e proteção
Inspecione e filtre o tráfego em cada camada. É possível inspecionar suas configurações de VPC quanto a possíveis acessos não intencionais usando o [VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). Especifique seus requisitos de acesso à rede e identifique possíveis caminhos de rede que não os atendem. Para componentes que fazem transações por meio de protocolos baseados em HTTP, um firewall de aplicativo Web pode ajudar a proteger contra ataques comuns. [AWS WAF](https://aws.amazon.com/waf) é um firewall para aplicativos web que permite monitorar e bloquear solicitações HTTP(s) que correspondem às regras configuráveis que são encaminhadas para uma API do Amazon API Gateway, o Amazon CloudFront ou um Application Load Balancer. Para começar a usar o AWS WAF, você pode usar o [AWS Managed Rules](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) em combinação com as suas próprias ou usar [integrações de parceiros existentes](https://aws.amazon.com/waf/partners/).
Para gerenciar o AWS WAF, proteções do AWS Shield Advanced e grupos de segurança do Amazon VPC no AWS Organizations, você pode usar o AWS Firewall Manager. Ele permite configurar e gerenciar centralmente regras de firewall entre contas e aplicativos, simplificando a imposição de regras comuns em escala. Ele também permite que você responda rapidamente a ataques, usando o [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html)ou [soluções](https://aws.amazon.com/solutions/aws-waf-security-automations/) capazes de bloquear automaticamente solicitações indesejadas para suas aplicações Web. O Firewall Manager também funciona com o [AWS Network Firewall](https://aws.amazon.com/network-firewall/). O AWS Network Firewall é um serviço gerenciado que usa um mecanismo de regras para fornecer controle refinado sobre o tráfego de rede com e sem estado. Ele oferece suporte às especificações do sistema de prevenção de intrusões (IPS) de código aberto [compatível com Suricata ](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) para regras para ajudar a proteger sua workload.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo
## Orientação de implementação
+ Configure o Amazon GuardDuty: o GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades mal-intencionadas e comportamentos não autorizados para proteger suas workloads e Contas da AWS. Habilite o GuardDuty e configure alertas automatizados.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
+ [Laboratório: Implantação automatizada de controles de detecção](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
+ Configure os logs de fluxo da nuvem privada virtual (VPC): os logs de fluxo da VPC é um recurso que permite capturar informações sobre o tráfego de IP direcionado e proveniente de interfaces de rede na sua VPC. Os dados de log de fluxo podem ser publicados no Amazon CloudWatch Logs e no Amazon Simple Storage Service (Amazon S3). Depois de criar um log de fluxo, você pode recuperar e visualizar seus dados no destino escolhido.
+ Considere o espelhamento de tráfego da VPC: o espelhamento de tráfego é um recurso da Amazon VPC que pode ser usado para copiar o tráfego de rede de uma interface de rede elástica de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e enviá-lo para dispositivos de segurança e monitoramento fora de banda para inspeção de conteúdo, monitoramento de ameaças e solução de problemas.
+ [Espelhamento de tráfego de VPC](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
## Recursos
**Documentos relacionados:**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Segurança da Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Conceitos básicos do AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Vídeos relacionados:**
+ [AWS Transit Gateway reference architectures for many VPCs (Arquiteturas de referência do AWS Transit Gateway para várias VPCs)](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Aceleração e proteção de aplicações com o Amazon CloudFront, o AWS WAF e o AWS Shield)](https://youtu.be/0xlwLEccRe0)
**Exemplos relacionados:**
+ [Laboratório: Implantação automatizada da VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC 6 Como você protege seus recursos de computação?
Os recursos de computação exigem várias camadas de defesa para ajudar na proteção contra ameaças externas e internas. Recursos de computação incluem instâncias do EC2, contêineres, funções do AWS Lambda, serviços de banco de dados, dispositivos de IoT e muito mais.
**Topics**
+ [
# SEC06-BP01 Fazer o gerenciamento de vulnerabilidades
](sec_protect_compute_vulnerability_management.md)
+ [
# SEC06-BP02 Reduzir a superfície de ataque
](sec_protect_compute_reduce_surface.md)
+ [
# SEC06-BP03 Implementar serviços gerenciados
](sec_protect_compute_implement_managed_services.md)
+ [
# SEC06-BP04 Automatizar a proteção da computação
](sec_protect_compute_auto_protection.md)
+ [
# SEC06-BP05 Permitir que as pessoas executem ações a uma distância
](sec_protect_compute_actions_distance.md)
+ [
# SEC06-BP06 Validar a integridade do software
](sec_protect_compute_validate_software_integrity.md)
# SEC06-BP01 Fazer o gerenciamento de vulnerabilidades
Verifique e corrija com frequência vulnerabilidades no código, nas dependências e na infraestrutura para proteger-se contra novas ameaças.
Começando com a configuração de sua infraestrutura de computação, é possível automatizar a criação e atualização de recursos usando o AWS CloudFormation. O CloudFormation permite criar modelos escritos em YAML ou JSON, usando exemplos da AWS ou escrevendo os seus próprios. Isso permite criar modelos de infraestrutura seguros por padrão que você pode verificar com o [CloudFormation Guard](https://aws.amazon.com/about-aws/whats-new/2020/10/aws-cloudformation-guard-an-open-source-cli-for-infrastructure-compliance-is-now-generally-available/), para economizar tempo e reduzir o risco de erros de configuração. Você pode criar a infraestrutura e implantar suas aplicações usando entrega contínua; por exemplo, com o [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html), para automatizar a criação, o teste e o lançamento.
Você é responsável pelo gerenciamento de patches para seus recursos do AWS, incluindo instâncias do Amazon Elastic Compute Cloud(Amazon EC2), imagens de máquina da Amazon (AMIs) e muitos outros recursos de computação. Para instâncias do Amazon EC2, o Patch Manager do AWS Systems Manager automatiza o processo de aplicação de patches em instâncias gerenciadas com atualizações relacionadas à segurança e com outros tipos de atualizações. Você pode usar o gerenciador de patches para aplicar patches a sistemas operacionais e aplicações. (No Windows Server, o suporte à aplicação é limitado a atualizações para aplicações da Microsoft.) Use o Patch Manager para instalar pacotes de serviços em instâncias do Windows e realizar atualizações de versões secundárias em instâncias do Linux. Corrija frotas de instâncias do Amazon EC2 ou de seus servidores on-premises e máquinas virtuais (VMs) por tipo de sistema operacional. Isso inclui versões compatíveis do Windows Server, Amazon Linux, Amazon Linux 2, CentOS, Debian Server, Oracle Linux, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise Server (SLES) e Ubuntu Server. Você pode verificar instâncias para ver apenas um relatório de patches ausentes ou verificar e instalar automaticamente todos os patches ausentes.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Configure o Amazon Inspector: o Amazon Inspector testa a acessibilidade de rede das instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e o estado de segurança das aplicações executadas nessas instâncias. O Amazon Inspector avalia aplicações para exposição, vulnerabilidades e desvios das práticas recomendadas.
+ [O que é o Amazon Inspector?](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html)
+ Escaneie o código-fonte: escaneie bibliotecas e dependências em busca de vulnerabilidades.
+ [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [OWASP: source code analysis tools](https://owasp.org/www-community/Source_Code_Analysis_Tools)
## Recursos
**Documentos relacionados:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Replacing a Bastion Host with Amazon EC2 Systems Manager (Como substituir um host traga a sua própria licença pelo Amazon EC2 Systems Manager)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Security Overview of AWS Lambda (Visão geral de segurança do AWS Lambda)](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vídeos relacionados:**
+ [Running high-security workloads on Amazon EKS (Execução de workloads de alta segurança no Amazon EKS)](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services (Proteção de serviços com tecnologia sem servidor e de contêiner)](https://youtu.be/kmSdyN9qiXY)
+ [Security best practices for the Amazon EC2 instance metadata service (Práticas recomendadas de segurança para o serviço de metadados de instância do Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Exemplos relacionados:**
+ [Laboratório: Implantação automatizada do firewall de aplicações Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP02 Reduzir a superfície de ataque
Reduza a exposição ao acesso não intencional protegendo os sistemas operacionais e minimizando componentes, bibliotecas e serviços consumíveis externamente em uso. Primeiro, diminua o número de componentes não utilizados, sejam eles pacotes de sistema operacional ou aplicações para workloads baseadas no Amazon Elastic Compute Cloud (Amazon EC2), sejam eles módulos de software externos no código, para todas as workloads. Encontre muitos guias de configuração de proteção e segurança para sistemas operacionais comuns e software de servidor. Por exemplo, você pode começar com o [Center for Internet Security](https://www.cisecurity.org/) e iterar.
No Amazon EC2, e possível criar as próprias imagens de máquina da Amazon (AMIs), corrigidas e reforçadas, para ajudar você a atender aos requisitos de segurança específicos da sua organização. Os patches e outros controles de segurança aplicados na AMI são efetivos no momento em que foram criados. Eles não são dinâmicos, a menos que você modifique após a inicialização, por exemplo, com o AWS Systems Manager.
É possível simplificar o processo de criação de AMIs seguras com o EC2 Image Builder. O EC2 Image Builder reduz significativamente o esforço necessário para criar e manter imagens douradas sem escrever e manter a automação. Quando as atualizações de software ficam disponíveis, o Image Builder produz automaticamente uma nova imagem sem exigir que os usuários iniciem manualmente as compilações de imagem. O EC2 Image Builder permite validar facilmente a funcionalidade e a segurança de suas imagens antes de usá-las na produção com testes fornecidos pela AWS e seus próprios testes. Também é possível aplicar as configurações de segurança fornecidas pela AWS para proteger ainda mais suas imagens para atender aos critérios de segurança internos. Por exemplo, você pode produzir imagens em conformidade com o padrão do Guia de implementação técnica de segurança (STIG) usando modelos fornecidos pela AWS.
Com ferramentas de análise de código estático de terceiros é possível identificar problemas de segurança comuns, como limites de entrada de função não verificados, bem como vulnerabilidades e exposições comuns (CVEs) aplicáveis. Você pode usar o [Amazon CodeGuru](https://aws.amazon.com/codeguru/) para os idiomas compatíveis. As ferramentas de verificação de dependência também podem ser usadas para determinar se as bibliotecas com as quais o código está vinculado são as versões mais recentes, estão livres de CVEs e têm condições de licenciamento que atendem aos requisitos da política de software.
Usando o Amazon Inspector, você pode executar avaliações de configuração de CVEs conhecidas em suas instâncias, avaliar parâmetros de segurança e automatizar a notificação de defeitos. O Amazon Inspector é executado em instâncias de produção ou em um pipeline de compilação e notifica desenvolvedores e engenheiros quando descobertas estão presentes. Você pode acessar as descobertas programaticamente e direcionar sua equipe para os registros em atraso e os sistemas de rastreamento de bugs. [EC2 Image Builder](https://aws.amazon.com/image-builder/) pode ser usado para manter imagens de servidor (AMIs) com aplicação automática de patches, aplicação de políticas de segurança fornecidas pela AWS e outras personalizações. Ao usar contêineres, implemente a [Verificação de imagens do ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) no pipeline de compilação e regularmente no repositório de imagens para procurar CVEs nos contêineres.
Embora o Amazon Inspector e outras ferramentas sejam eficazes na identificação de configurações e CVEs presentes, outros métodos são necessários para testar a carga de trabalho no nível do aplicativo. [Fuzzing](https://owasp.org/www-community/Fuzzing) é um método conhecido de encontrar erros usando automação para injetar dados malformados em campos de entrada e outras áreas do aplicativo.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Configure os sistemas operacionais: configure os sistemas operacionais para atender às práticas recomendadas.
+ [Securing Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/)
+ [Securing Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/)
+ Configure recursos em contêiner para atender às práticas recomendadas de segurança.
+ Implemente as práticas recomendadas do AWS Lambda.
+ [Práticas recomendadas do AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html)
## Recursos
**Documentos relacionados:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Replacing a Bastion Host with Amazon EC2 Systems Manager (Como substituir um host traga a sua própria licença pelo Amazon EC2 Systems Manager)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Security Overview of AWS Lambda (Visão geral de segurança do AWS Lambda)](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vídeos relacionados:**
+ [Running high-security workloads on Amazon EKS (Execução de workloads de alta segurança no Amazon EKS)](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services (Proteção de serviços com tecnologia sem servidor e de contêiner)](https://youtu.be/kmSdyN9qiXY)
+ [Security best practices for the Amazon EC2 instance metadata service (Práticas recomendadas de segurança para o serviço de metadados de instância do Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Exemplos relacionados:**
+ [Laboratório: Implantação automatizada do firewall de aplicações Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP03 Implementar serviços gerenciados
Implemente serviços que gerenciam recursos, como o Amazon Relational Database Service (Amazon RDS), o AWS Lambda e o Amazon Elastic Container Service (Amazon ECS), para reduzir as tarefas de manutenção de segurança como parte do modelo de responsabilidade compartilhada. Por exemplo, o Amazon RDS ajuda você a configurar, operar e escalar um banco de dados relacional, automatiza tarefas de administração, como provisionamento de hardware, configuração de banco de dados, aplicação de patches e backups. Isso significa que você tem mais tempo livre para se concentrar na proteção da aplicação de outras maneiras descritas no AWS Well-Architected Framework. O Lambda permite executar código sem provisionar nem gerenciar servidores e, portanto, você só precisa se concentrar na conectividade, na invocação e na segurança em nível de código, e não na infraestrutura ou no sistema operacional.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Médio
## Orientações para a implementação
+ Explorar os serviços disponíveis: explore, teste e implemente serviços que gerenciam recursos, como Amazon RDS, AWS Lambda e Amazon ECS.
## Recursos
**Documentos relacionados:**
+ [ Site da AWS](https://aws.amazon.com/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Replacing a Bastion Host with Amazon EC2 Systems Manager (Como substituir um bastion host com o Amazon EC2 Systems Manager)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Security Overview of AWS Lambda (Visão geral de segurança do AWS Lambda)](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vídeos relacionados:**
+ [Running high-security workloads on Amazon EKS (Execução de workloads de alta segurança no Amazon EKS)](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services (Proteção de serviços com tecnologia sem servidor e de contêiner)](https://youtu.be/kmSdyN9qiXY)
+ [Security best practices for the Amazon EC2 instance metadata service (Práticas recomendadas de segurança para o serviço de metadados de instância do Amazon EC2)](https://youtu.be/2B5bhZzayjI)
**Exemplos relacionados:**
+ [Laboratório: AWS Certificate Manager Request Public Certificate ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)
# SEC06-BP04 Automatizar a proteção da computação
Automatize seus mecanismos de computação de proteção, incluindo gerenciamento de vulnerabilidades, redução da superfície de ataque e gerenciamento de recursos. A automação ajudará você a investir tempo para proteger outros aspectos da carga de trabalho e reduzir o risco de erros humanos.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Médio
## Orientações para a implementação
+ Automatizar o gerenciamento de configuração: aplique e valide configurações seguras automaticamente usando uma ferramenta ou um serviço de gerenciamento de configuração.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Laboratório: Implantação automatizada da VPC](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
+ [Laboratório: Implantação automatizada da aplicação Web no EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
+ Automatizar a aplicação de patches para instâncias do Amazon Elastic Compute Cloud(Amazon EC2): o Patch Manager do AWS Systems Manager automatiza o processo de aplicação de patches em instâncias gerenciadas com atualizações relacionadas à segurança e com outros tipos de atualizações. Você pode usar o gerenciador de patches para aplicar patches a sistemas operacionais e aplicações.
+ [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [Correção centralizada de várias contas e várias regiões com automação do AWS Systems Manager](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ Implementar detecção e prevenção de intrusão: implemente uma ferramenta de detecção e prevenção de invasões para monitorar e interromper atividades maliciosas nas instâncias.
+ Considerar as soluções de AWS Partner: os parceiros da AWS oferecem centenas de produtos líderes do setor que são equivalentes, idênticos ou se integram aos controles existentes nos seus ambientes on-premises. Esses produtos complementam os serviços da AWS já existentes para que os clientes possam implantar uma arquitetura de segurança abrangente e obter uma experiência mais uniforme na nuvem e no ambiente on-premises.
+ [Segurança da infraestrutura](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## Recursos
**Documentos relacionados:**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [Correção centralizada de várias contas e várias regiões com automação do AWS Systems Manager](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ [Segurança da infraestrutura](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
+ [Replacing a Bastion Host with Amazon EC2 Systems Manager (Como substituir um bastion host com o Amazon EC2 Systems Manager)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Security Overview of AWS Lambda (Visão geral de segurança do AWS Lambda)](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vídeos relacionados:**
+ [Running high-security workloads on Amazon EKS (Execução de workloads de alta segurança no Amazon EKS)](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services (Proteção de serviços com tecnologia sem servidor e de contêiner)](https://youtu.be/kmSdyN9qiXY)
+ [Security best practices for the Amazon EC2 instance metadata service (Práticas recomendadas de segurança para o serviço de metadados de instância do Amazon EC2)](https://youtu.be/2B5bhZzayjI)
**Exemplos relacionados:**
+ [Laboratório: Implantação automatizada do firewall de aplicações Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
+ [Laboratório: Implantação automatizada da aplicação Web no EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
# SEC06-BP05 Permitir que as pessoas executem ações a uma distância
A remoção da capacidade de acesso interativo reduz o risco de erro humano e o potencial de configuração ou gerenciamento manual. Por exemplo, use um fluxo de trabalho de gerenciamento de alterações para implantar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) usando infraestruturas como código e gerenciar instâncias do Amazon EC2 com ferramentas, como o AWS Systems Manager, em vez de permitir acesso direto, ou por meio de um host traga a sua própria licença. O AWS Systems Managerpode automatizar uma variedade de tarefas de manutenção e implantação, usando recursos que incluem fluxos de trabalho de [automação](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [,](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), [documentos](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (playbooks) e o [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html). O AWS CloudFormation empilha a compilação com base em pipelines e pode automatizar tarefas de implantação e gerenciamento de infraestrutura sem usar diretamente o Console de gerenciamento da AWS ou APIs.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo
## Orientação de implementação
+ Substitua o acesso ao controle: substitua o acesso ao console (SSH ou RDP) a instâncias com o Run Command do AWS Systems Manager para automatizar tarefas de gerenciamento.
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
## Recursos
**Documentos relacionados:**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [Replacing a Bastion Host with Amazon EC2 Systems Manager (Como substituir um host traga a sua própria licença pelo Amazon EC2 Systems Manager)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Security Overview of AWS Lambda (Visão geral de segurança do AWS Lambda)](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vídeos relacionados:**
+ [Running high-security workloads on Amazon EKS (Execução de workloads de alta segurança no Amazon EKS)](https://youtu.be/OWRWDXszR-4)
+ [Securing Serverless and Container Services (Proteção de serviços com tecnologia sem servidor e de contêiner)](https://youtu.be/kmSdyN9qiXY)
+ [Security best practices for the Amazon EC2 instance metadata service (Práticas recomendadas de segurança para o serviço de metadados de instância do Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Exemplos relacionados:**
+ [Laboratório: Implantação automatizada do firewall de aplicações Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP06 Validar a integridade do software
Implemente mecanismos (por exemplo, assinatura de código) para validar se o software, o código e as bibliotecas usados na workload são de fontes confiáveis e não foram adulterados. Por exemplo, você deve verificar o certificado de assinatura de código de binários e scripts para confirmar o autor e garantir que ele não tenha sido adulterado desde que foi criado pelo autor. [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) pode ajudar a garantir a confiança e a integridade do código gerenciando centralmente o ciclo de vida de assinatura de código, incluindo certificação de assinatura e chaves públicas e privadas. Você pode aprender a usar padrões avançados e práticas recomendadas para assinatura de código com o [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/). Além disso, uma soma de verificação do software que você faz download, em comparação com a soma de verificação do provedor, pode ajudar a garantir que ela não tenha sido adulterada.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Baixo
## Orientações para a implementação
+ Investigar os mecanismo: a assinatura de código é um mecanismo que pode ser usado para validar a integridade do software.
+ [NIST: Considerações de segurança para assinatura de código](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf)
## Recursos
**Documentos relacionados:**
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [New – Code Signing, a Trust and Integrity Control for AWS Lambda (Novo: assinatura de código, um controle de confiança e integridade para o AWS Lambda)](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)
# Proteção de dados
**Topics**
+ [
# SEC 7 Como você classifica seus dados?
](w2aac19b7c13b5.md)
+ [
# SEC 8 Como você protege seus dados em repouso?
](w2aac19b7c13b7.md)
+ [
# SEC 9 Como você protege seus dados em trânsito?
](w2aac19b7c13b9.md)
# SEC 7 Como você classifica seus dados?
A classificação serve para categorizar os dados com base em criticidade e confidencialidade para ajudá-lo a determinar os controles de proteção e retenção apropriados.
**Topics**
+ [
# SEC07-BP01 Identificar os dados em sua workload
](sec_data_classification_identify_data.md)
+ [
# SEC07-BP02 Definir controles de proteção de dados
](sec_data_classification_define_protection.md)
+ [
# SEC07-BP03 Automatizar a identificação e a classificação
](sec_data_classification_auto_classification.md)
+ [
# SEC07-BP04 Definir o gerenciamento do ciclo de vida de dados
](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 Identificar os dados em sua workload
você precisa conhecer o tipo e a classe dos dados processados pela carga de trabalho, os processos de negócios associados, o proprietário dos dados, os requisitos legais e de conformidade aplicáveis, onde estão armazenados e os controles resultantes que devem ser aplicados. Isso pode incluir classificações para indicar se os dados devem ser disponibilizados publicamente, se os dados são apenas de uso interno, como Personally Identifiable Information (PII – Informações de identificação pessoal) do cliente ou se os dados são para acesso mais restrito, como propriedade intelectual, dados legalmente privilegiados ou marcados como confidenciais, e muito mais. Ao gerenciar cuidadosamente um sistema de classificação de dados apropriado, juntamente com o nível de requisitos de proteção de cada workload, é possível mapear os controles e o nível de acesso ou proteção apropriados aos dados. Por exemplo, o conteúdo voltado para o público está disponível para qualquer pessoa acessar, enquanto o conteúdo importante é criptografado e armazenado de maneira protegida que requer acesso autorizado a uma chave para descriptografá-lo.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Considere descobrir dados usando o Macie: o Amazon Macie reconhece dados confidenciais, como informações de identificação pessoal (PII) ou propriedade intelectual.
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
## Recursos
**Documentos relacionados:**
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
+ [Whitepaper Classificação de dados](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Conceitos básicos do Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vídeos relacionados:**
+ [Introducing the New Amazon Macie (Apresentação do novo Amazon Macie)](https://youtu.be/I-ewoQekdXE)
# SEC07-BP02 Definir controles de proteção de dados
Proteja os dados de acordo com seu nível de classificação. Por exemplo, proteja dados classificados como públicos usando recomendações relevantes enquanto protege dados confidenciais com controles adicionais.
Usando tags de recursos, separar contas da AWS por confidencialidade (e potencialmente também por advertência, enclave ou comunidade de interesse), políticas do IAM, SCPs do AWS Organizations, AWS Key Management Service (AWS KMS) e AWS CloudHSM, você pode definir e implementar as políticas de classificação e proteção de dados com criptografia. Por exemplo, se você tiver buckets do S3 que contêm dados altamente críticos ou instâncias do Amazon Elastic Compute Cloud (Amazon EC2) que processam dados confidenciais, eles poderão ser marcados com uma tag `Project=ABC` . Somente a equipe imediata sabe o que o código do projeto significa e fornece meios de usar o controle de acesso baseado em atributos. Você pode definir os níveis de acesso às chaves de criptografia do AWS KMS por meio de políticas de chave e concessões para garantir que somente os serviços apropriados tenham acesso ao conteúdo confidencial por meio de um mecanismo seguro. Se você estiver tomando decisões de autorização com base em tags, certifique-se de que as permissões nas tags sejam definidas adequadamente usando políticas de tags no AWS Organizations.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Defina o esquema de identificação e classificação de dados: a identificação e a classificação de seus dados são realizadas para avaliar o potencial impacto e o tipo de dados que você está armazenando e quem deve acessá-los.
+ [Documentação da AWS](https://docs.aws.amazon.com/)
+ Descubra os controles disponíveis da AWS: descubra os controles de segurança para os serviços da AWS que você usa ou planeja usar. Muitos serviços têm uma seção de segurança em sua documentação.
+ [Documentação da AWS](https://docs.aws.amazon.com/)
+ Identificar recursos de conformidade da AWS: identifique os recursos da AWS disponíveis para ajudar.
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## Recursos
**Documentos relacionados:**
+ [Documentação da AWS](https://docs.aws.amazon.com/)
+ [Whitepaper Classificação de dados](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Conceitos básicos do Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [Texto ausente](https://aws.amazon.com/compliance/)
**Vídeos relacionados:**
+ [Introducing the New Amazon Macie (Apresentação do novo Amazon Macie)](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 Automatizar a identificação e a classificação
automatizar a identificação e a classificação de dados pode ajudar a implementar os controles corretos. O uso de automação para isso, em vez de acesso direto de uma pessoa, reduz o risco de erros humanos e exposição. Você deve avaliar o uso de uma ferramenta, como o [Amazon Macie](https://aws.amazon.com/macie/), que usa machine learning para descobrir, classificar e proteger automaticamente dados confidenciais na AWS. O Amazon Macie reconhece dados confidenciais, como informações de identificação pessoal (PII) ou propriedade intelectual, e fornece painéis e alertas que dão visibilidade sobre como esses dados estão sendo acessados ou movidos.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio
## Orientação de implementação
+ Use o Amazon Simple Storage Service (Amazon S3) Inventory: o Amazon S3 Inventory é uma das ferramentas que você pode usar para auditar e gerar relatórios sobre o status de replicação e criptografia de seus objetos.
+ [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Considere o Amazon Macie: O Amazon Macie usa o machine learning para descobrir e classificar automaticamente os dados armazenados no Amazon S3.
+ [Amazon Macie](https://aws.amazon.com/macie/)
## Recursos
**Documentos relacionados:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [Whitepaper Classificação de dados](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Conceitos básicos do Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vídeos relacionados:**
+ [Introducing the New Amazon Macie (Apresentação do novo Amazon Macie)](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 Definir o gerenciamento do ciclo de vida de dados
sua estratégia de ciclo de vida definida deve ser baseada no nível de confidencialidade, bem como nos requisitos legais e organizacionais. Aspectos como a duração pela qual você retém dados, processos de destruição de dados, gerenciamento de acesso a dados, transformação de dados e compartilhamento de dados devem ser considerados. Ao escolher uma metodologia de classificação de dados, equilibre usabilidade e acesso. Considere também os vários níveis de acesso e nuances para implementar uma abordagem segura, mas utilizável, para cada nível. Sempre use uma abordagem de defesa detalhada e reduza o acesso humano a dados e mecanismos para transformar, excluir ou copiar dados. Por exemplo, exija que os usuários se autentiquem fortemente em uma aplicação e conceda a ela, e não aos usuários, a permissão de acesso necessária para executar uma ação a distância. Além disso, garanta que os usuários venham de um caminho de rede confiável e exijam acesso às chaves de descriptografia. Use ferramentas como painéis ou relatórios automatizados para fornecer aos usuários informações extraídas dos dados e não acesso direto aos dados.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo
## Orientação de implementação
+ Identificar tipos de dados: identifique os tipos de dados que você está armazenando ou processando em sua workload. Esses dados podem ser texto, imagens, bancos de dados binários, entre outros.
## Recursos
**Documentos relacionados:**
+ [Whitepaper Classificação de dados](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Conceitos básicos do Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vídeos relacionados:**
+ [Introducing the New Amazon Macie (Apresentação do novo Amazon Macie)](https://youtu.be/I-ewoQekdXE)
# SEC 8 Como você protege seus dados em repouso?
Proteja seus dados em repouso implementando vários controles para reduzir o risco de acesso não autorizado ou manuseio incorreto.
**Topics**
+ [
# SEC08-BP01 Implementar gerenciamento de chaves seguro
](sec_protect_data_rest_key_mgmt.md)
+ [
# SEC08-BP02 Aplicar criptografia em repouso
](sec_protect_data_rest_encrypt.md)
+ [
# SEC08-BP03 Automatizar a proteção de dados em repouso
](sec_protect_data_rest_automate_protection.md)
+ [
# SEC08-BP04 Impor o controle de acesso
](sec_protect_data_rest_access_control.md)
+ [
# SEC08-BP05 Usar mecanismos para evitar que as pessoas acessem os dados
](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 Implementar gerenciamento de chaves seguro
Ao definir uma abordagem de criptografia que inclui armazenamento, rotação e controle de acesso das chaves, você pode ajudar a proteger o conteúdo contra usuários não autorizados e contra exposição desnecessária a usuários autorizados. O AWS Key Management Service (AWS KMS) ajuda a gerenciar chaves de criptografia e [se integra a vários serviços da AWS](https://aws.amazon.com/kms/details/#integration). Este serviço fornece armazenamento durável, seguro e redundante para as chaves do AWS KMS. Você pode definir seus alias principais e políticas de nível-chave. As políticas ajudam a definir os administradores de chaves e os usuários de chaves. Além disso, o AWS CloudHSM é um módulo de segurança de hardware baseado na nuvem (HSM) que permite gerar e usar facilmente suas próprias chaves de criptografia na Nuvem AWS. Ele ajuda a atender aos requisitos de conformidade corporativa, contratual e regulamentar para segurança de dados usando HSMs validados pelo FIPS 140-2 Nível 3.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Implemente o AWS KMS: o AWS KMS facilita a criação e o gerenciamento de chaves e o controle do uso de criptografia em uma ampla variedade de serviços da AWS e em aplicações. O AWS KMS é um serviço seguro e resiliente que usa módulos de segurança de hardware validados pelo FIPS 140-2 para proteger suas chaves.
+ [Conceitos básicos: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ Considere o SDK de criptografia da AWS: use o SDK de criptografia da AWS com a integração do AWS KMS quando sua aplicação precisar criptografar dados do lado do cliente.
+ [SDK de criptografia da AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## Recursos
**Documentos relacionados:**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [Ferramentas e serviços criptográficos da AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Conceitos básicos: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [Proteção de dados usando criptografia do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Vídeos relacionados:**
+ [How Encryption Works in AWS (Como a criptografia funciona no AWS Backup)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Como proteger o armazenamento em bloco na AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 Aplicar criptografia em repouso
Garanta que a única maneira de armazenar dados seja usando a criptografia. O AWS Key Management Service (AWS KMS) se integra perfeitamente a muitos serviços da AWS para facilitar a criptografia de todos os seus dados em repouso. Por exemplo, no Amazon Simple Storage Service (Amazon S3), você pode definir a [criptografia padrão](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) em um bucket para que todos os novos objetos sejam criptografados automaticamente. Além disso, o [Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)e [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) oferecem suporte à imposição de criptografia ao definir a criptografia padrão. Você pode usar o [Regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) para verificar automaticamente se está usando criptografia, por exemplo, para [volumes do Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instâncias do Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)e aos [Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Impor criptografia em repouso para o Amazon Simple Storage Service (Amazon S3): implemente a criptografia padrão do bucket do Amazon S3.
+ [Como habilito a criptografia padrão para um bucket do S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ Use o AWS Secrets Manager: o Secrets Manager é um serviço da AWS que facilita o gerenciamento de segredos. Segredos podem ser credenciais de banco de dados, senhas, chaves de API de terceiros e até texto arbitrário.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ Configure a criptografia padrão para volumes do EBS: especifique que você deseja que todos os volumes do EBS recém-criados sejam criados em formato criptografado, com a opção de usar a chave padrão fornecida pela AWS ou uma chave que você criar.
+ [Criptografia padrão para volumes do EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ Configurar imagens de máquina da Amazon (AMIs) criptografadas: a cópia de uma AMI existente com criptografia habilitada criptografará automaticamente os volumes raiz e os snapshots.
+ [AMIs com snapshots criptografados](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ Configurar a criptografia do Amazon Relational Database Service (Amazon RDS): configure a criptografia para seus clusters de banco de dados Amazon RDS e snapshots em repouso ativando a opção de criptografia.
+ [Criptografia de recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)
+ Configure a criptografia em serviços adicionais da AWS: para os serviços da AWS que você usa, determine os recursos de criptografia.
+ [Documentação da AWS](https://docs.aws.amazon.com/)
## Recursos
**Documentos relacionados:**
+ [AMIs com snapshots criptografados](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ [Ferramentas de criptografia da AWS](https://docs.aws.amazon.com/aws-crypto-tools)
+ [Documentação da AWS](https://docs.aws.amazon.com/)
+ [SDK de criptografia da AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [Whitepaper de detalhes criptográficos do AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [Ferramentas e serviços criptográficos da AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Criptografia do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Criptografia padrão para volumes do EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [Criptografia de recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [Como habilito a criptografia padrão para um bucket do S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [Proteção de dados usando criptografia do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Vídeos relacionados:**
+ [How Encryption Works in AWS (Como a criptografia funciona no AWS Backup)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Como proteger o armazenamento em bloco na AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 Automatizar a proteção de dados em repouso
Use ferramentas automatizadas para validar e impor controles de dados em repouso continuamente, por exemplo, verificar se há apenas recursos de armazenamento criptografados. Você pode [automatizar a validação de que todos os volumes do EBS são criptografados](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) com o uso do [Regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) também pode verificar vários controles diferentes por meio de verificações automatizadas em relação a padrões de segurança. Além disso, o Regras do AWS Config pode [corrigir recursos não compatíveis automaticamente](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation).
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Médio
## Orientações para a implementação
*Dados em repouso* representam todos os dados mantidos no armazenamento não volátil por qualquer período na carga de trabalho. Isso inclui armazenamento em bloco, armazenamento de objetos, bancos de dados, arquivos, dispositivos IoT e qualquer outro meio de armazenamento no qual os dados persistam. Proteger seus dados em repouso reduz o risco de acesso não autorizado quando a criptografia e os controles de acesso adequados são implementados.
Garantir a criptografia em repouso: garanta que a única maneira de armazenar dados seja usando a criptografia. O AWS KMS se integra perfeitamente a muitos serviços da AWS para facilitar a criptografia de todos os seus dados em repouso. Por exemplo, no Amazon Simple Storage Service (Amazon S3), você pode definir a [criptografia padrão](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) em um bucket para que todos os novos objetos sejam criptografados automaticamente. Além disso, o [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) e [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) oferecem suporte à imposição de criptografia ao definir a criptografia padrão. Você pode usar o [AWS Managed Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) para verificar automaticamente se você está usando criptografia, por exemplo, para [Volumes do EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instâncias do Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)e aos [Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
## Recursos
**Documentos relacionados:**
+ [Ferramentas de criptografia da AWS](https://docs.aws.amazon.com/aws-crypto-tools)
+ [SDK de criptografia da AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**Vídeos relacionados:**
+ [How Encryption Works in AWS (Como a criptografia funciona na AWS)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Como proteger o armazenamento em bloco na AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 Impor o controle de acesso
Aplique controle de acesso com privilégios mínimos e mecanismos, incluindo backups, isolamento e versionamento, para ajudar a proteger seus dados ociosos. Impeça que os operadores concedam acesso público aos seus dados.
Diferentes controles, incluindo acesso (usando privilégios mínimos), backups (consulte o [whitepaper Confiabilidade](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)), isolamento e versionamento, podem ajudar a proteger os dados em repouso. Deve ser feita a auditoria de acesso aos seus dados com os mecanismos de detecção abordados anteriormente neste documento, incluindo o CloudTrail e o log de nível de serviço, como os logs de acesso do Amazon Simple Storage Service (Amazon S3). Você deve inventariar quais dados são acessíveis publicamente e planejar como reduzir a quantidade de dados disponíveis ao longo do tempo. O Amazon Glacier Vault Lock e o Amazon S3 Object Lock são recursos que fornecem controle de acesso obrigatório. Assim que uma política de cofre é bloqueada com a opção de conformidade, nem mesmo o usuário raiz pode alterá-la até que o bloqueio expire. O mecanismo atende aos requisitos de Books and Records Management da SEC, CFTC e FINRA. Para obter mais detalhes, consulte [este whitepaper](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf).
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo
## Orientação de implementação
+ Aplique o controle de acesso: aplique o controle de acesso com privilégios mínimos, incluindo acesso a chaves de criptografia.
+ [Introdução ao gerenciamento de permissões de acesso aos seus recursos do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ Dados separados com base em diferentes níveis de classificação: use diferentes de Contas da AWS para níveis de classificação de dados gerenciados pelo AWS Organizations.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ Analise as políticas do AWS KMS: analise o nível de acesso concedido nas políticas do AWS KMS.
+ [Visão geral do gerenciamento de acesso dos recursos do AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ Revise as permissões de objeto e de bucket do Amazon S3: revise regularmente o nível de acesso concedido nas políticas de bucket do Amazon S3. Uma das melhores práticas é não ter buckets que possam ser lidos ou gravados publicamente. Considere o uso do AWS Config para detectar buckets que estão disponíveis publicamente e do Amazon CloudFront para fornecer conteúdo do Amazon S3.
+ [Regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront: uma combinação perfeita](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ Habilite o versionamento e o bloqueio de objetos do Amazon S3.
+ [Usar versionamento](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [Como bloquear objetos usando o Bloqueio de objetos do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ Use o Amazon S3 Inventory: o Amazon S3 Inventory é uma das ferramentas que você pode usar para auditar e gerar relatórios sobre o status de replicação e criptografia de seus objetos.
+ [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Revise as permissões de compartilhamento do Amazon EBS e do AMI: as permissões de compartilhamento podem autorizar que imagens e volumes sejam compartilhados com Contas da AWS externas à sua workload.
+ [Como compartilhar um snapshot do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [AMIs compartilhadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
## Recursos
**Documentos relacionados:**
+ [Whitepaper de detalhes criptográficos do AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Vídeos relacionados:**
+ [Securing Your Block Storage on AWS (Como proteger o armazenamento em bloco na AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 Usar mecanismos para evitar que as pessoas acessem os dados
Impeça que os usuários acessem dados e sistemas confidenciais diretamente em circunstâncias operacionais normais. Por exemplo, use um fluxo de trabalho de gerenciamento de alterações para gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) usando ferramentas em vez de permitir acesso direto ou um host traga a sua própria licença. Isso pode ser obtido usando o [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), que usa [documentos de automação](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) que contêm etapas que você usa para realizar tarefas. Esses documentos podem ser armazenados no controle de origem, analisados por pares antes da execução e testados detalhadamente para minimizar os riscos em comparação com o acesso ao shell. Os usuários empresariais podem ter um painel em vez de acesso direto a um armazenamento de dados para executar consultas. Quando os pipelines de CI/CD não forem usados, determine quais controles e processos são necessários para fornecer adequadamente um mecanismo de acesso break-glass normalmente desabilitado.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo
## Orientação de implementação
+ Implemente mecanismos para manter as pessoas longe dos dados: os mecanismos incluem o uso de painéis, como o Quick, para exibir dados aos usuários em vez de consultar diretamente.
+ [Quick](https://aws.amazon.com/quicksight/)
+ Automatize o gerenciamento de configuração: execute ações remotas, aplique e valide configurações seguras automaticamente usando uma ferramenta ou um serviço de gerenciamento de configuração. Evite usar hosts traga a sua própria licença ou acessar diretamente instâncias do EC2.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Pipeline de CI/CD do AWS CloudFormation para modelos na AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## Recursos
**Documentos relacionados:**
+ [Whitepaper de detalhes criptográficos do AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Vídeos relacionados:**
+ [How Encryption Works in AWS (Como a criptografia funciona no AWS Backup)](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS (Como proteger o armazenamento em bloco na AWS)](https://youtu.be/Y1hE1Nkcxs8)
# SEC 9 Como você protege seus dados em trânsito?
Proteja seus dados em trânsito implementando vários controles para reduzir o risco de acesso não autorizado ou perda.
**Topics**
+ [
# SEC09-BP01 Implementar o gerenciamento seguro de chaves e certificados
](sec_protect_data_transit_key_cert_mgmt.md)
+ [
# SEC09-BP02 Aplique a criptografia em trânsito
](sec_protect_data_transit_encrypt.md)
+ [
# SEC09-BP03 Automatizar a detecção de acesso não intencional a dados
](sec_protect_data_transit_auto_unintended_access.md)
+ [
# SEC09-BP04 Autenticar as comunicações de rede
](sec_protect_data_transit_authentication.md)
# SEC09-BP01 Implementar o gerenciamento seguro de chaves e certificados
armazene chaves de criptografia e certificados com segurança e alterne-os em intervalos de tempo apropriados com controle de acesso rigoroso. A melhor maneira de fazer isso é usar um serviço gerenciado, como o [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager). Ele facilita o provisionamento, o gerenciamento e a implantação de certificados de Transport Layer Security (TLS) públicos e privados para uso com os serviços da AWS e seus recursos internos conectados. Certificados TLS são usados para proteger as comunicações de rede e estabelecer a identidade de sites pela Internet, bem como de recursos em redes privadas. O ACM se integra a recursos da AWS, como Elastic Load Balancers (ELBs), distribuições da AWS e APIs no API Gateway, além de lidar com renovações automáticas de certificados. Se você usar o ACM para implantar uma CA raiz privada, ele poderá fornecer os certificados e as chaves privadas para uso em instâncias do Amazon Elastic Compute Cloud (Amazon EC2), contêineres e outros.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Alto
## Orientações para a implementação
+ Implementar o gerenciamento seguro de chaves e certificados: implemente a solução definida de gerenciamento seguro de chaves e certificados.
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [ Como hospedar e gerenciar toda uma infraestrutura de certificados privados na AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ Implementar protocolos seguros: use protocolos seguros que ofereçam autenticação e confidencialidade, como Transport Layer Security (TLS) ou IPsec, para reduzir o risco de violação ou perda de dados. Verifique a documentação da AWS quanto aos protocolos e segurança relevantes para os serviços que você está usando.
## Recursos
**Documentos relacionados:**
+ [Documentação da AWS](https://docs.aws.amazon.com/)
# SEC09-BP02 Aplique a criptografia em trânsito
Imponha o uso dos requisitos de criptografia definidos com base em padrões e recomendações apropriados para conseguir cumprir os requisitos organizacionais, legais e de conformidade. Os serviços da AWS fornecem endpoints HTTPS usando TLS para comunicação, fornecendo criptografia em trânsito ao se comunicar com as APIs da AWS. Protocolos não seguros, como HTTP, podem ser auditados e bloqueados em uma VPC por meio do uso de grupos de segurança. As solicitações HTTP também podem ser [redirecionadas automaticamente para HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) no Amazon CloudFront ou em um [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Você tem controle total sobre seus recursos de computação para implementar a criptografia em trânsito em seus serviços. Além disso, você pode usar a conectividade VPN em sua VPC a partir de uma rede externa para facilitar a criptografia do tráfego. Soluções de terceiros estão disponíveis no AWS Marketplace, caso você tenha requisitos especiais.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Aplique a criptografia em trânsito: os requisitos de criptografia definidos devem se basear nos mais recentes padrões e práticas recomendadas e permitir apenas protocolos seguros. Por exemplo, configure apenas um grupo de segurança para permitir o protocolo HTTPS a um Application Load Balancer ou instância do Amazon Elastic Compute Cloud (Amazon EC2).
+ Configure protocolos seguros em serviços de borda: configure o HTTPS com o Amazon CloudFront e as cifras necessárias.
+ [ Como usar o HTTPS com o CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ Use uma VPN para conectividade externa: considere usar uma rede privada virtual (VPN) IPsec para proteger conexões ponto a ponto ou rede a rede para fornecer privacidade e integridade dos dados.
+ [ Conexões VPN ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+ Configure protocolos seguros em balanceadores de carga: habilite o ouvinte de HTTPS para proteger conexões com balanceadores de carga.
+ [ Ouvintes de HTTPS para o seu Application Load Balancer ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ Configure protocolos seguros para instâncias: considere configurar a criptografia HTTPS em instâncias.
+ [ Tutorial: Configurar o servidor da Web Apache no Amazon Linux 2 para usar SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+ Configure protocolos seguros no Amazon Relational Database Service (Amazon RDS): use Secure Socket Layer (SSL) ou Transport Layer Security (TLS) para criptografar a conexão com instâncias de banco de dados.
+ [ Uso de SSL para criptografar uma conexão com uma Instância de banco de dados ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ Configure protocolos seguros no Amazon Redshift: configure o cluster para exigir uma conexão Secure Socket Layer (SSL) ou Transport Layer Security (TLS).
+ [ Configure opções de segurança para as conexões ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+ Configurar protocolos seguros em serviços adicionais da AWS. Para os serviços da AWS que você usa, determine os recursos de criptografia em trânsito.
## Recursos
**Documentos relacionados:**
+ [ Documentação da AWS](https://docs.aws.amazon.com/index.html)
# SEC09-BP03 Automatizar a detecção de acesso não intencional a dados
Use ferramentas como o Amazon GuardDuty para detectar automaticamente atividades suspeitas ou tentativas de mover dados para fora dos limites definidos. Por exemplo, o GuardDuty pode detectar atividade de leitura do Amazon Simple Storage Service (Amazon S3) que é incomum com a descoberta [Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Além do GuardDuty, [Logs de fluxo da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), que capturam informações de tráfego de rede, podem ser usados com o Amazon EventBridge para acionar a detecção de conexões anormais, bem-sucedidas e recusadas. [Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) pode ajudar a avaliar quais dados podem ser acessados por quem nos buckets do Amazon S3.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Médio
## Orientações para a implementação
+ Automatizar a detecção de acesso não intencional a dados: use uma ferramenta ou um mecanismo de identificação para detectar automaticamente tentativas de mover dados fora dos limites definidos; por exemplo, para descobrir um sistema de banco de dados que esteja copiando dados para um host desconhecido.
+ [ Logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ Considerar o Amazon Macie: o Amazon Macie é um serviço de privacidade e segurança de dados totalmente gerenciado que usa machine learning e correspondência de padrões para descobrir e proteger seus dados sigilosos na AWS.
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## Recursos
**Documentos relacionados:**
+ [ Logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 Autenticar as comunicações de rede
Verifique a identidade das comunicações usando protocolos que oferecem suporte à autenticação, como Transport Layer Security (TLS) ou IPsec.
O uso de protocolos de rede que oferecem suporte à autenticação permite que a confiança seja estabelecida entre as partes. Isso é adicionado à criptografia usada no protocolo para reduzir o risco de as comunicações serem alteradas ou interceptadas. Protocolos comuns que implementam a autenticação incluem Transport Layer Security (TLS), que é usado em muitos serviços da AWS, e o IPsec, que é usado na [AWS Virtual Private Network (Site-to-Site VPN)](http://aws.amazon.com/vpn).
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo
## Orientação de implementação
+ Implemente protocolos seguros: use protocolos seguros que ofereçam autenticação e confidencialidade, como TLS ou IPsec, para reduzir o risco de violação ou perda de dados. Consulte a [Documentação da AWS](https://docs.aws.amazon.com/) quanto aos protocolos e à segurança relevantes para os serviços que você está usando.
## Recursos
**Documentos relacionados:**
+ [Documentação da AWS](https://docs.aws.amazon.com/)
# Resposta a incidentes
**Topics**
+ [
# SEC 10 Como você prevê, responde e se recupera de incidentes?
](w2aac19b7c15b5.md)
# SEC 10 Como você prevê, responde e se recupera de incidentes?
A preparação é essencial para investigação, resposta e recuperação oportunas e eficazes de incidentes de segurança para ajudar a minimizar interrupções na sua organização.
**Topics**
+ [
# SEC10-BP01 Identificar o pessoal-chave e os recursos externos
](sec_incident_response_identify_personnel.md)
+ [
# SEC10-BP02 Desenvolver planos de gerenciamento de incidentes
](sec_incident_response_develop_management_plans.md)
+ [
# SEC10-BP03 Preparar recursos forenses
](sec_incident_response_prepare_forensic.md)
+ [
# SEC10-BP04 Automatizar a capacidade de contenção
](sec_incident_response_auto_contain.md)
+ [
# SEC10-BP05 Acesso pré-provisionado
](sec_incident_response_pre_provision_access.md)
+ [
# SEC10-BP06 Ferramentas pré-implantação
](sec_incident_response_pre_deploy_tools.md)
+ [
# SEC10-BP07 Promover dias de jogo
](sec_incident_response_run_game_days.md)
# SEC10-BP01 Identificar o pessoal-chave e os recursos externos
Identifique o pessoal, as obrigações legais e os recursos internos e externos que ajudariam sua organização a responder a um incidente.
Para definir sua abordagem de resposta a incidentes na nuvem, com a participação de outras equipes (como consultoria jurídica, liderança, partes interessadas de negócios, serviços do AWS Support e outras), você deve identificar as principais partes interessadas, pessoal e contatos relevantes. Para reduzir a dependência e diminuir o tempo de resposta, certifique-se de que sua equipe, equipes de segurança especializadas e respondentes sejam instruídos sobre os serviços que você usa e tenham a oportunidade de praticar.
É recomendável identificar parceiros externos de segurança da AWS que possam fornecer experiência externa e uma perspectiva diferente para aumentar seus recursos de resposta. Os parceiros de segurança confiáveis podem ajudá-lo a identificar possíveis riscos ou ameaças com os quais você talvez não esteja familiarizado.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação de implementação
+ Identifique o pessoal-chave em sua organização: mantenha uma lista de contatos da sua organização que você precisaria acionar para responder e recuperar-se de um incidente.
+ Identifique parceiros externos: entre em contato com parceiros externos, se necessário, que possam ajudar você a responder e se recuperar de um incidente.
## Recursos
**Documentos relacionados:**
+ [AWS Incident Response Guide (Guia de resposta a incidentes da AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Vídeos relacionados:**
+ [Prepare for and respond to security incidents in your AWS environment (Prepare-se e responda a incidentes de segurança no ambiente da AWS) ](https://youtu.be/8uiO0Z5meCs)
**Exemplos relacionados:**
# SEC10-BP02 Desenvolver planos de gerenciamento de incidentes
Crie planos para ajudar a responder, a se comunicar e a se recuperar de um incidente. Por exemplo, você pode começar com um plano de resposta a incidentes com os cenários mais prováveis para sua carga de trabalho e organização. Inclua como você se comunicaria e escalaria interna e externamente.
**Nível de risco exposto se essa prática recomendada não for estabelecida:** alto
## Orientação para implementação
Um plano de gerenciamento de incidentes é fundamental para responder, mitigar e se recuperar de possíveis impactos de incidentes de segurança. Um plano de gerenciamento de incidentes é um processo estruturado de identificação, correção e resposta em tempo hábil a incidentes de segurança.
A nuvem tem muitos dos mesmos requisitos e perfis operacionais encontrados em um ambiente on-premises. Ao criar um plano de gerenciamento de incidentes, é importante definir estratégias de resposta e recuperação que se alinhem melhor aos seus resultados empresariais e requisitos de conformidade. Por exemplo, se você opera workloads na AWS em conformidade com o FedRAMP nos Estados Unidos, é útil aderir ao [Guia de tratamento de segurança de computadores NIST SP 800-61](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf). Da mesma forma, ao operar workloads com dados europeus de PII (informações de identificação pessoal), considere cenários como a forma como você deve se proteger e responder a incidentes relacionados à residência de dados, conforme exigido pela [Regulamentação Geral de Proteção de Dados (GDPR) da UE](https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en).
Ao criar um plano de gerenciamento de incidentes para suas workloads em operação na AWS, comece com o [Modelo de responsabilidade compartilhada da AWS](https://aws.amazon.com/compliance/shared-responsibility-model/), para elaborar uma abordagem de defesa profunda em relação à resposta a incidentes. Nesse modelo, a AWS gerencia a segurança da nuvem, e você é responsável pela segurança na nuvem. Isso significa que você mantém o controle e é responsável pelos controles de segurança que escolhe implementar. O [AWS Security Incident Response Guide (Guia de resposta a incidentes de segurança da AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) detalha os conceitos e as orientações básicas para criar um plano de gerenciamento de incidentes centrado na nuvem.
Um plano de gerenciamento de incidentes eficaz deve ser continuamente iterado e permanecer atualizado com relação às suas metas de operações de nuvem. Considere o uso dos planos de implementação detalhados abaixo, à medida que cria e evolui seu plano de gerenciamento de incidentes.
+ **Promova instrução e treinamento para a resposta a incidentes:** quando ocorre um desvio de sua referência básica definida (por exemplo, um erro de implantação ou de configuração), você pode precisar investigar e dar uma resposta. Para fazer isso com sucesso, é necessário entender quais controles e recursos podem ser usados para a resposta ao incidente de segurança em seu ambiente da AWS, bem como os processos que você deve considerar para preparar, instruir e treinar suas equipes de nuvem que participam da resposta a um incidente.
+ [Manuais](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_playbooks.html) e [runbooks](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_runbooks.html) são mecanismos eficazes para criar consistência no treinamento de como responder a incidentes. Comece criando uma lista inicial de procedimentos executados com frequência durante a resposta a um incidente e continue a iterar à medida que você aprende ou usa novos procedimentos.
+ Socialize os manuais e runbooks por meio de [dias de jogos agendados](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_run_game_days.html). Durante os dias de jogos, simule a resposta a incidentes em um ambiente controlado para que sua equipe possa se lembrar de como responder e para verificar se as equipes envolvidas na resposta a incidentes conhecem bem os fluxos de trabalho. Revise os resultados do evento simulado para identificar melhorias e determinar a necessidade de mais treinamento ou ferramentas adicionais.
+ A segurança deve ser considerada um trabalho de todos. Crie um conhecimento coletivo do processo de gerenciamento de incidentes envolvendo todo o pessoal que geralmente opera suas workloads. Isso inclui todos os aspectos de sua empresa: operações, teste, desenvolvimento, segurança, operações empresariais e líderes da empresa.
+ **Documente o plano de gerenciamento de incidentes:** Documente as ferramentas e os processos para registrar, tomar medidas, comunicar o andamento e notificar sobre os incidentes ativos. A meta do plano de gerenciamento de incidentes é verificar se a operação normal é restaurada o mais rapidamente possível, se o impacto empresarial é minimizado e se todas as partes interessadas são informadas. Exemplos de incidentes incluem (mas não se restringem a) perda ou degradação da conectividade de rede, uma API ou um processo que não responde, uma tarefa programada não realizada (por exemplo, falha na aplicação de patches), indisponibilidade de serviço ou dados da aplicação, interrupção não planejada do serviço devido a eventos de segurança, vazamento de credenciais ou erros de configuração.
+ Identifique o proprietário principal responsável pela resolução do incidente, como o proprietário da workload. Tenha orientações claras de quem vai gerenciar o incidente e de como a comunicação será tratada. Quando você tem mais de uma parte participando do processo de resolução do incidente, como um fornecedor externo, considere a criação de uma *matriz de responsabilidade (RACI)*, detalhando as funções e responsabilidades de várias equipes ou pessoas necessárias para a resolução do incidente.
Uma matriz de RACI detalha o seguinte:
+ **R:** *parte responsável* que faz o trabalho para concluir a tarefa.
+ **A:** *parte atribuída* com autoridade financeira pela conclusão bem-sucedida da tarefa específica.
+ **C:** *parte consultada* cujas opiniões são procuradas, geralmente como especialistas no assunto.
+ **I:** *parte informada* que é notificada sobre o andamento, geralmente apenas depois da conclusão da tarefa ou dos resultados.
+ **Categorize os incidentes:** definir e categorizar incidentes com base em pontuações de gravidade e impacto permite uma abordagem estruturada para fazer a triagem e solucionar os incidentes. As recomendações a seguir ilustram uma *matriz de urgência do impacto à resolução* para quantificar um incidente. Por exemplo, um incidente de baixo impacto e baixa urgência é considerado um incidente de baixa gravidade.
+ **Alto (H):** sua empresa é afetada significativamente. Funções críticas de sua aplicação relacionadas aos recursos da AWS ficam indisponíveis. Classificação reservada para a maioria dos eventos críticos que afetam os sistemas de produção. O impacto do incidente aumenta rapidamente, fazendo com que a correção precise ocorrer o mais rapidamente possível.
+ **Médio (M):** uma aplicação ou um serviço da empresa relacionado aos recursos da AWS é afetado moderadamente e funciona em um estado degradado. Aplicações que contribuem com os objetivos do nível de serviço (SLOs) são afetadas dentro dos limites do Acordo de Serviço (SLA). Os sistemas podem ser operados com capacidade reduzida sem muito impacto financeiro e de reputação.
+ **Baixo (L):** funções não críticas de sua aplicação ou serviço empresarial relacionado aos recursos da AWS são afetadas. Os sistemas podem ser operados com capacidade reduzida com impacto financeiro e de reputação mínimo.
+ **Padronize os controles de segurança:** a meta da padronização dos controles de segurança é obter consistência, rastreabilidade e repetibilidade com relação aos resultados operacionais. Promova a padronização em atividades principais que sejam críticas para a resposta a incidentes, como:
+ **Gerenciamento de identidade e acesso:** estabeleça mecanismos para controlar o acesso aos dados e gerenciar privilégios para identidades humanas e de máquina. Amplie o gerenciamento de sua própria identidade e acesso para a nuvem, usando segurança federada com autenticação única e privilégios baseados em funções para otimizar o gerenciamento de acesso. Para ver as práticas recomendadas e os planos de melhoria para padronizar o gerenciamento de acesso, consulte a [seção de gerenciamento de identidade e acesso](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/identity-and-access-management.html) do whitepaper Security Pillar (Pilar de segurança).
+ **Gerenciamento de vulnerabilidades:** estabeleça mecanismos para identificar vulnerabilidades em seu ambiente da AWS que tenha a probabilidade de ser usado por invasores para comprometer e fazer uso indevido de seu sistema. Implemente controles de prevenção e detecção, como mecanismos de segurança, para responder e mitigar o possível impacto dos incidentes de segurança. Padronize processos como a modelagem de ameaças como parte do ciclo de vida de entrega de aplicações e compilação de infraestrutura.
+ **Gerenciamento de configurações:** Defina configurações padrão e automatize procedimentos para implantar recursos na Nuvem AWS. Padronizar o provisionamento de recursos e infraestrutura ajuda a mitigar o risco de erros de configuração por meio de implantações incorretas ou erros de configuração acidentais por humanos. Consulte a [seção de princípios do projeto](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/design-principles.html) do whitepaper Operational Excellence Pillar (Pilar de excelência operacional) a fim de obter orientações e planos de melhoria para implementar esse controle.
+ **Registro e monitoramento do controle de auditoria:** implemente mecanismos para monitorar seus recursos em busca de falhas, degradação do desempenho e problemas de segurança. Padronizar esses controles também fornece trilhas de atividades de auditoria que ocorrem em seu sistema, ajudando a fazer a triagem e a correção dos problemas em tempo hábil. As práticas recomendadas em [SEC04 (“Como você detecta e investiga eventos de segurança?”)](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) fornecem orientações de implementação desse controle.
+ **Use a automação:** a automação permite solucionar o incidente em larga escala e em tempo hábil. A AWS oferece vários serviços para automatização no contexto da estratégia de resposta a incidentes. Concentre-se em encontrar o equilíbrio adequado entre a automação e a intervenção manual. À medida que você cria sua resposta a incidentes em manuais e runbooks, automatize as etapas repetíveis. Use os serviços da AWS, como o AWS Systems Manager Incident Manager para [solucionar incidentes de TI mais rapidamente](https://aws.amazon.com/blogs/aws/resolve-it-incidents-faster-with-incident-manager-a-new-capability-of-aws-systems-manager/). Use [ferramentas de desenvolvedor](https://aws.amazon.com/devops/) para fornecer controle de versão e automatizar o [Amazon Machine Images (AMI)](https://aws.amazon.com/amis/) e implantações de infraestrutura como código (IaC) sem intervenção humana. Quando aplicável, automatize a detecção e a avaliação de conformidade usando serviços gerenciados, como o Amazon GuardDuty, o Amazon Inspector, o AWS Security Hub CSPM, o AWS Config e o Amazon Macie. Otimize os recursos de detecção com machine learning, como o Amazon DevOps Guru, para detectar padrões de operação anormais antes que eles ocorram.
+ **Realize uma análise da causa raiz e coloque em prática as lições aprendidas:** implemente mecanismos para guardar as lições aprendidas como parte de uma avaliação após a resposta a incidentes. Quando a causa raiz de um incidente revela um defeito maior, uma falha de projeto, um erro de configuração ou uma possibilidade de recorrência, ele é classificado como um problema. Nesses casos, analise e resolva o problema para minimizar a interrupção de operações normais.
## Recursos
**Documentos relacionados:**
+ [AWS Security Incident Response Guide (Guia de resposta a incidentes de segurança da AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [ NIST: Guia de tratamento de incidentes de segurança de computadores ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
**Vídeos relacionados:**
+ [Automating Incident Response and Forensics in AWS (Automação de resposta a incidentes e investigações forenses na AWS) ](https://youtu.be/f_EcwmmXkXk)
+ [ Guia DIY (faça você mesmo) para runbooks, relatórios de incidentes e resposta a incidentes ](https://www.youtube.com/watch?v=E1NaYN_fJUo)
+ [ Prepare for and respond to security incidents in your AWS environment (Prepare-se e responda a incidentes de segurança no ambiente da AWS) ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**Exemplos relacionados:**
+ [Lab: Incident Response Playbook with Jupyter - AWS IAM (Laboratório: Manual de resposta a incidentes com o Jupyter: AWS IAM)](https://www.wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [ Lab: Incident Response with AWS Console and CLI (Laboratório: resposta a incidentes com o console e a CLI da AWS) ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP03 Preparar recursos forenses
É importante que os respondentes a incidentes entendam quando e como a investigação forense se encaixa no plano de resposta. A organização deve definir quais evidências são coletadas e quais ferramentas são usadas no processo. Identifique e prepare recursos de investigação forense adequados, incluindo especialistas externos, ferramentas e automação. Uma decisão importante que você deve tomar inicialmente é se você coletará dados de um sistema ativo. Alguns dados, como o conteúdo da memória volátil ou conexões de rede ativas, serão perdidos se o sistema for desligado ou reinicializado.
A equipe de resposta pode combinar ferramentas, como AWS Systems Manager, Amazon EventBridge e AWS Lambda, para executar automaticamente ferramentas forenses em um sistema operacional e espelhamento de tráfego de VPC para obter uma captura de pacote de rede e coletar evidências não persistentes. Conduza outras atividades, como análise de log ou análise de imagens de disco, em uma conta de segurança dedicada com estações de trabalho forenses personalizadas e ferramentas acessíveis a seus respondentes.
Envie logs relevantes rotineiramente para um armazenamento de dados que oferece alta durabilidade e integridade. Os respondentes devem ter acesso a esses logs. A AWS oferece várias ferramentas que podem facilitar a investigação de logs, como Amazon Athena, Amazon OpenSearch Service (OpenSearch Service) e Amazon CloudWatch Logs Insights. Além disso, preserve a evidência com segurança usando o Amazon Simple Storage Service (Amazon S3) Object Lock. Esse serviço segue o modelo de gravação única e várias leituras (WORM) e evita que objetos sejam excluídos ou substituídos por um período definido. Como as técnicas de investigação pericial exigem treinamento especializado, pode ser necessário envolver especialistas externos.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio
## Orientação de implementação
+ Identifique os recursos forenses: pesquise os recursos de investigação forense da sua organização, as ferramentas disponíveis e os especialistas externos.
+ [Automatização de resposta a incidentes e forense ](https://youtu.be/f_EcwmmXkXk)
## Recursos
**Documentos relacionados:**
+ [How to automate forensic disk collection in AWS (Como automatizar a coleta de disco forense na AWS)](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/)
# SEC10-BP04 Automatizar a capacidade de contenção
Automatize os recursos de contenção e recuperação de incidentes para reduzir o tempo de resposta e o impacto organizacional.
Depois de criar e praticar os processos e as ferramentas com seus playbooks, você poderá desconstruir a lógica de uma solução baseada em código, que pode ser usada como ferramenta por muitos respondentes para automatizar a resposta e remover variações ou suposições dos respondentes. Isso pode acelerar o ciclo de vida de uma resposta. O próximo objetivo é permitir a total automatização desse código por meio da invocação dos alertas ou dos eventos por si mesmo, e não por um respondente humano, para criar uma resposta orientada por eventos. Esses processos também devem adicionar automaticamente dados relevantes aos sistemas de segurança. Por exemplo, um incidente envolvendo o tráfego de um endereço IP indesejado pode preencher automaticamente uma lista de bloqueios do AWS WAF ou um grupo de regras de firewall de rede para evitar mais atividades.
![\[AWS architecture diagram showing WAF WebACL logs processing and IP address blocking flow between accounts.\]](http://docs.aws.amazon.com/pt_br/wellarchitected/2022-03-31/framework/images/aws-waf-automate-block.png)
*Figura 3: O AWS WAF automatiza o bloqueio de endereços IP maliciosos conhecidos.*
Com um sistema de resposta orientado por eventos, um mecanismo de detecção aciona um mecanismo responsivo para corrigir automaticamente o evento. Você pode usar recursos de resposta orientados por eventos para reduzir o tempo de retorno entre os mecanismos de detecção e os mecanismos responsivos. Para criar essa arquitetura orientada por eventos, é possível usar o AWS Lambda, que é um serviço de computação sem servidor que executa o código em resposta a eventos e gerencia automaticamente os recursos computacionais subjacentes. Por exemplo, suponha que você tenha uma conta da AWS com o serviço AWS CloudTrail habilitado. Se o AWS CloudTrail estiver desabilitado (por meio da chamada de API `cloudtrail:StopLogging` ), você pode usar o Amazon EventBridge para monitorar o evento `cloudtrail:StopLogging` específico e invocar uma função do AWS Lambda para chamar `cloudtrail:StartLogging` para reiniciar o registro em log.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio
## Orientação de implementação
Automatize a capacidade de contenção.
## Recursos
**Documentos relacionados:**
+ [AWS Incident Response Guide (Guia de resposta a incidentes da AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Vídeos relacionados:**
+ [Prepare for and respond to security incidents in your AWS environment (Prepare-se e responda a incidentes de segurança no ambiente da AWS)](https://youtu.be/8uiO0Z5meCs)
# SEC10-BP05 Acesso pré-provisionado
Verifique se os respondentes a incidentes têm o acesso correto pré-provisionado na AWS para reduzir o tempo de investigação necessário até a recuperação.
**Antipadrões comuns:**
+ Uso da conta raiz para a resposta a incidentes.
+ Alteração de contas de usuário existentes.
+ Manipulação de permissões do IAM diretamente ao fornecer elevação de privilégios just-in-time.
**Nível de risco exposto se essa prática recomendada não for estabelecida:** Médio
## Orientação para implementação
A AWS recomenda reduzir ou eliminar a dependência de credenciais de longa duração sempre que possível, dando preferência a credenciais temporárias e *a mecanismos de escalação de privilégios* just-in-time. As credenciais de longa duração são propensas a riscos de segurança e aumentam a sobrecarga operacional. Para a maioria das tarefas de gerenciamento, bem como tarefas de resposta a incidentes, recomendamos a implementação da [federação de identidades](https://docs.aws.amazon.com/identity/federation/) junto com a [escalação temporária para acesso administrativo](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/). Nesse modelo, um usuário solicita elevação a um nível superior de privilégio (como um perfil de resposta a incidentes) e, considerando que ele seja elegível para a elevação, a solicitação é enviada a um aprovador. Se a solicitação for aprovada, o usuário receberá um conjunto de credenciais [temporárias da AWS,](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) que podem ser usadas para concluir suas tarefas. Depois que essas credenciais expirarem, o usuário deve enviar uma nova solicitação de elevação.
Recomendamos o uso da escalação de privilégio temporária para a maioria dos cenários de resposta a incidentes. A maneira correta de fazer isso é com o uso do [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) e [de políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) para definir o escopo de acesso.
Há cenários em que as identidades federadas não estão disponíveis, como:
+ Interrupção relacionada a um provedor de identidades (IdP) comprometido.
+ Erro de configuração ou erro humano causando uma falha no sistema de gerenciamento de acesso federado.
+ Atividade mal-intencionada, como um evento de negação de serviço distribuído (DDoS) ou indisponibilidade de renderização do sistema.
Nos casos anteriores, deverá haver um acesso de emergência de *breaking-glass* configurado para permitir a investigação e a correção em tempo hábil dos incidentes. Recomendamos a utilização de um [usuário do IAM com as permissões apropriadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) para realizar tarefas e acessar os recursos da AWS. Use as credenciais raiz somente para [tarefas que exijam o acesso do usuário raiz](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Para verificar se os respondentes de um incidente têm o nível de acesso correto à AWS e a outros sistemas relevantes, recomendamos o pré-provisionamento de contas de usuário dedicadas. As contas de usuário exigem acesso privilegiado e devem ser estritamente controladas e monitoradas. As contas devem ser criadas com os menores privilégios exigidos para realizar as tarefas necessárias, e o nível de acesso deve ser baseado nos manuais criados como parte do plano de gerenciamento de incidentes.
Utilize perfis e usuários dedicados e com propósito específico como uma prática recomendada. Escalar temporariamente o acesso de usuários ou perfis por meio da adição de políticas do IAM não deixa claro qual é o acesso que os usuários tinham durante o incidente, e há um risco de que os privilégios escalados não sejam revogados.
É importante remover o máximo de dependências possível para verificar se o acesso pode ser obtido com o maior número possível de cenários de falha. Para apoiar isso, crie um manual para verificar se os usuários de resposta a incidentes são criados como usuários do AWS Identity and Access Management em uma conta de segurança dedicada, e não são gerenciados por nenhuma solução de autenticação única (SSO) ou federação. Cada respondente individual deve ter sua própria conta nomeada. A configuração da conta deve aplicar uma [política de senha forte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) e a autenticação multifator (MFA). Se os manuais de resposta a incidentes só exigem acesso ao Console de gerenciamento da AWS, o usuário não deve ter chaves de acesso configuradas e deve ser proibido explicitamente de criar chaves de acesso. Isso pode ser configurado com políticas do IAM ou políticas de controle de serviços (SCPs), conforme mencionado nas Práticas recomendadas de segurança da AWS para [SCPs do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Os usuários não devem ter privilégios além da capacidade de assumir perfis de resposta a incidentes em outras contas.
Durante um incidente, pode ser necessário conceder acesso a outros indivíduos internos ou externos para apoiar a investigação, a correção ou as atividades de recuperação. Nesse caso, use o mecanismo do manual mencionado anteriormente, e deve haver um processo para verificar se qualquer acesso adicional foi revogado imediatamente após a conclusão do incidente.
Para verificar se o uso de perfis de resposta a incidentes pode ser monitorado e auditado corretamente, é essencial que as contas de usuário do IAM criadas para esse fim não sejam compartilhadas entre indivíduos e que o usuário raiz da Conta da AWS não seja utilizado, a menos que isso seja [exigido para uma tarefa específica](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Se o usuário raiz for exigido (por exemplo, quando o acesso do IAM a uma conta específica estiver indisponível), use um processo distinto com um manual disponível para verificar a disponibilidade da senha e do token de MFA do usuário raiz.
Para configurar as políticas do IAM para os perfis de resposta a incidentes, considere o uso do [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) para gerar políticas baseadas em logs do AWS CloudTrail. Para fazer isso, conceda acesso de administrador ao perfil de resposta a incidentes em uma conta de não produção e execute de acordo com os manuais. Depois da conclusão, pode ser criada uma política que permita somente as ações realizadas. Essa política pode ser então aplicada a todos os perfis de resposta a incidentes em todas as contas. Você pode criar uma política do IAM separada para cada manual a fim de facilitar o gerenciamento e a auditoria. Exemplos de manuais podem incluir planos de resposta para ransomware, violações de dados, perda de acesso da produção, dentre outros cenários.
Use as contas de usuário de resposta a incidentes para assumir funções do [IAM de resposta a incidentes em outras Contas da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). Esses perfis também devem ser configurados para só poderem ser assumidos por usuários na conta de segurança, e o relacionamento de confiança deve exigir que a entidade principal que está fazendo a chamada seja autenticada com MFA. Os perfis devem usar políticas do IAM com escopo estritamente definido para controlar o acesso. Garanta que todas as solicitações `AssumeRole` para esses perfis estejam conectadas no CloudTrail e sejam alertadas, e que as ações realizadas usando esses perfis sejam registradas.
É altamente recomendável que as contas de usuário do IAM e os perfis do IAM sejam claramente nomeados para permitir que sejam encontrados com facilidade nos logs do CloudTrail. Um exemplo disso seria nomear as contas do IAM como `-BREAK-GLASS` e os perfis do IAM como `BREAK-GLASS-ROLE`.
[O CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) é usado para registrar as atividades da API em suas contas da AWS e deve ser usado para [configurar alertas sobre o uso dos perfis de resposta a incidentes](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/). Consulte a publicação do blog sobre como configurar alertas quando as chaves raiz são usadas. As instruções podem ser modificadas para configurar a métrica do [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) filtro a filtro em eventos `AssumeRole` relacionados ao perfil do IAM de resposta a incidentes:
```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```
Como é provável que os perfis de resposta a incidentes tenham um alto nível de acesso, é importante que esses alertas sejam transmitidos a um grande grupo e que sejam tomadas atitudes rapidamente.
Durante um incidente, é possível que um respondente possa exigir acesso a sistemas que não são protegidos diretamente pelo IAM. Isso pode incluir instâncias do Amazon Elastic Compute Cloud, bancos de dados do Amazon Relational Database Service ou plataformas de software como serviço (SaaS). É altamente recomendável que, em vez de usar protocolos nativos, como SSH ou RDP, o [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) seja usado para todo acesso administrativo a instâncias do Amazon EC2. Esse acesso pode ser controlado usando o IAM, que é protegido e auditado. Também pode ser possível automatizar partes de seus manuais usando os documentos do [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html), o que pode reduzir os erros do usuário e melhorar o tempo de recuperação. Para acesso aos bancos de dados e a ferramentas de terceiros, recomendamos armazenar as credenciais de acesso no AWS Secrets Manager e conceder acesso aos perfis de respondente a incidentes.
Por fim, o gerenciamento das contas de usuário do IAM de resposta a incidentes deve ser adicionado aos seus processos de [junção, migração e saída,](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) além de ser revisado e testado periodicamente visando confirmar se somente o acesso pretendido é permitido.
## Recursos
**Documentos relacionados:**
+ [Managing temporary elevated access to your AWS environment (Gerenciamento de acesso elevado temporário ao seu ambiente da AWS)](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
+ [AWS Security Incident Response Guide (Guia de resposta a incidentes de segurança da AWS) ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/)
+ [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html)
+ [Setting an account password policy for IAM users (Definição de uma política de senhas de contas para usuários do IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [Using multi-factor authentication (MFA) in AWS (Uso da autenticação multifator (MFA) na AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [ Configuring Cross-Account Access with MFA (Configuração do acesso entre contas com MFA) ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ Using IAM Access Analyzer to generate IAM policies (Uso do IAM Access Analyzer para gerar políticas do IAM) ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ Best Practices for AWS Organizations Service Control Policies in a Multi-Account Environment (Práticas recomendadas para políticas de controle de serviço do AWS Organizations em um ambiente de várias contas) ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ How to Receive Notifications When Your AWS Account’s Root Access Keys Are Used (Como receber notificações quando as chaves de acesso raiz da sua conta da AWS são usadas) ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ Create fine-grained session permissions using IAM managed policies (Criar permissões de sessão refinadas usando políticas gerenciadas pelo IAM) ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)
**Vídeos relacionados:**
+ [ Automating Incident Response and Forensics in AWS (Automação de resposta a incidentes e investigações forenses na AWS) ](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+ [Guia DIY (faça você mesmo) para runbooks, relatórios de incidentes e resposta a incidentes](https://youtu.be/E1NaYN_fJUo)
+ [ Prepare for and respond to security incidents in your AWS environment (Prepare-se e responda a incidentes de segurança no ambiente da AWS) ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**Exemplos relacionados:**
+ [ Lab: AWS Account Setup and Root User (Laboratório: usuário raiz e configuração de conta da AWS) ](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
+ [ Lab: Incident Response with AWS Console and CLI (Laboratório: resposta a incidentes com o console e a CLI da AWS) ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP06 Ferramentas pré-implantação
garanta que o pessoal de segurança tenha as ferramentas certas pré-implantadas na AWS para reduzir o tempo de investigação até a recuperação.
Para automatizar as funções de engenharia e operações de segurança, você pode usar um conjunto abrangente de APIs e ferramentas da AWS. Você pode automatizar totalmente os recursos de gerenciamento de identidade, segurança de rede, proteção de dados e monitoramento e disponibilizá-los com métodos populares de desenvolvimento de software já em vigor. Quando você cria a automação da segurança, seu sistema pode monitorar, analisar e iniciar uma resposta, em vez de fazer com que as pessoas monitorem a sua posição de segurança e reajam manualmente a eventos. Uma maneira eficaz de fornecer automaticamente dados de log relevantes e pesquisáveis em todos os serviços da AWS para seus atendentes de incidentes é habilitar o [Amazon Detective](https://aws.amazon.com/detective/).
Se as equipes de resposta a incidentes continuarem a responder aos alertas da mesma forma, há o risco de se acostumarem aos alertas. Com o passar do tempo, a equipe pode se tornar dessensibilizada para alertas e cometer erros ao lidar com situações comuns ou perder alertas incomuns. A automação ajuda a evitar a exaustão de alertas usando funções que processam alertas repetitivos e comuns, permitindo que as pessoas lidem com incidentes confidenciais e exclusivos. A integração de sistemas de detecção de anomalias, como Amazon GuardDuty, AWS CloudTrail Insights e Amazon CloudWatch Anomaly Detection, pode reduzir a carga de alertas baseados em limites comuns.
Você pode melhorar os processos manuais com a automatização programática das etapas do processo. Depois de definir o padrão de correção para um evento, você pode decompor esse padrão em lógica acionável e desenvolver o código para executar essa lógica. Os respondentes podem executar esse código para corrigir o problema. Com o passar do tempo, você pode automatizar mais e mais etapas e, por fim, lidar automaticamente com classes inteiras de incidentes comuns.
As ferramentas executadas no sistema operacional da instância do Amazon Elastic Compute Cloud (Amazon EC2) devem ser avaliadas com Run Command do AWS Systems Manager, que permite administrar instâncias de forma remota e segura usando um agente que você instala no sistema operacional de instância do Amazon EC2. Ele requer o Systems Manager Agent (SSM Agent), que é instalado por padrão em muitas imagens de máquina da Amazon (AMIs). Porém, lembre-se de que, se uma instância for comprometida, nenhuma resposta das ferramentas ou dos agentes que ela executa será considerada confiável.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Baixo
## Orientação de implementação
+ Pré-implante as ferramentas: para que uma resposta apropriada possa ser dada a um incidente, assegure que a equipe de segurança tenha as ferramentas certas pré-implantadas na AWS.
+ [Laboratório: Resposta a incidentes com a CLI e o Console de gerenciamento da AWS](https://wellarchitectedlabs.com/Security/300_Incident_Response_with_AWS_Console_and_CLI/README.html)
+ [ Playbook de resposta a incidentes com o Jupyter: AWS IAM ](https://wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [AWS Security Automation ](https://github.com/awslabs/aws-security-automation)
+ Implemente a marcação de recursos: marque recursos com informações, como um código para o recurso sob investigação, para identificar recursos durante um incidente.
+ [ Estratégias de marcação da AWS](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)
## Recursos
**Documentos relacionados:**
+ [AWS Incident Response Guide (Guia de resposta a incidentes da AWS) ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Vídeos relacionados:**
+ [ DIY guide to runbooks, incident reports, and incident response ](https://youtu.be/E1NaYN_fJUo)
# SEC10-BP07 Promover dias de jogo
dias de jogos, também conhecidos como simulações ou exercícios, são eventos internos que oferecem uma oportunidade estruturada para praticar seus planos e procedimentos de gerenciamento de incidentes em um cenário realista. Esses eventos devem treinar os respondentes usando as mesmas ferramentas e técnicas que seriam usadas em um cenário real, inclusive imitando ambientes reais. Os dias de jogos abrangem fundamentalmente a preparação e a melhoria iterativa dos recursos de resposta. Alguns dos motivos pelos quais você pode encontrar valor na execução de atividades do dia do jogo incluem:
+ Validar a prontidão
+ Desenvolver confiança - aprendizado com simulações e equipes de treinamento
+ Seguir a conformidade ou obrigações contratuais
+ Gerar artefatos para credenciamento
+ Ser ágil - melhorias incrementais
+ Tornar-se mais rápido e melhorar ferramentas
+ Refinar a comunicação e a escalação
+ Ter tranquilidade diante de eventos raros e inesperados
Por esses motivos, o valor derivado da participação em uma atividade de simulação aumenta a eficácia da organização durante eventos estressantes. Desenvolver uma atividade de simulação que seja realista e benéfica pode ser um exercício difícil. Embora testar seus procedimentos ou automação para eventos bem compreendidos tenha certas vantagens, é igualmente valioso participar de atividades criativas de [Simulações de resposta a incidentes de segurança (SIRS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/security-incident-response-simulations.html) para preparar você para o inesperado e melhorar continuamente.
Crie simulações personalizadas sob medida para ambientes, equipes e ferramentas. Encontre um problema e crie a simulação com base nele. Pode ser algo como uma credencial vazada, um servidor se comunicando com sistemas indesejados ou uma configuração incorreta que resulta em exposição não autorizada. Identifique engenheiros que estão familiarizados com a organização para criar o cenário e outro grupo para participar. O cenário deve ser realista e desafiador o suficiente para ser relevante. Ele deve incluir a oportunidade de colocar na prática registros em log, notificações, escalonamentos e execução de runbooks ou automação. Durante a simulação, os respondentes devem exercitar suas habilidades técnicas e organizacionais, e os líderes devem participar para desenvolver suas habilidades de gerenciamento de incidentes. No final da simulação, comemore os esforços da equipe e procure formas de iterar, repetir e expandir para outras simulações.
[A AWS criou modelos de runbook de resposta a incidentes](https://github.com/aws-samples/aws-incident-response-playbooks) que você pode usar não apenas para preparar os esforços de resposta, mas também como base para uma simulação. Ao planejar, uma simulação pode ser dividida em cinco fases.
**Coleta de provas: **nesta fase, uma equipe receberá alertas por diversos meios, como sistema interno de tíquetes, alertas de ferramentas de monitoramento, dicas anônimas ou até notícias públicas. Em seguida, as equipes começam a revisar os logs de infraestrutura e aplicações para determinar a origem do comprometimento. Esta etapa também deve envolver escalações internas e liderança de incidentes. Após a identificação, as equipes passam a conter o incidente.
**Contenção do incidente: **as equipes terão determinado que houve um incidente e estabelecido a fonte do comprometimento. As equipes agora devem tomar medidas para contê-lo, por exemplo, desabilitando credenciais comprometidas, isolando um recurso de computação ou revogando a permissão de uma função.
**Erradicação do incidente: **agora que o incidente foi contido, as equipes trabalharão para mitigar quaisquer vulnerabilidades em aplicações ou configurações de infraestrutura que eram suscetíveis ao comprometimento. Isso pode incluir a alternância de todas as credenciais usadas para uma workload, a modificação de listas de controle de acesso (ACLs) ou a alteração das configurações de rede.
**Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Médio
## Orientações para a implementação
+ Executar [dias de jogo](https://wa.aws.amazon.com/wat.concept.gameday.en.html): execute eventos simulados [de resposta](https://wa.aws.amazon.com/wat.concept.incident.en.html) a incidentes [(dias de jogo)](https://wa.aws.amazon.com/wat.concept.event.en.html) para diferentes ameaças que envolvem equipe e gerenciamento importantes.
+ Guardar as lições aprendidas: lições aprendidas durante os [dias de jogo](https://wa.aws.amazon.com/wat.concept.gameday.en.html) devem fazer parte de uma análise de feedback para melhorar seus processos.
## Recursos
**Documentos relacionados:**
+ [AWS Incident Response Guide (Guia de resposta a incidentes da AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/cloudendure-disaster-recovery/)
**Vídeos relacionados:**
+ [ DIY guide to runbooks, incident reports, and incident response ](https://youtu.be/E1NaYN_fJUo)