# Proteção de dados em repouso
<a name="protecting-data-at-rest"></a>

Os *dados em repouso* representam todos os dados mantidos no armazenamento não volátil por qualquer período na workload. Isso inclui armazenamento em bloco, armazenamento de objetos, bancos de dados, arquivos, dispositivos IoT e qualquer outro meio de armazenamento no qual os dados persistam. Proteger seus dados em repouso reduz o risco de acesso não autorizado quando a criptografia e os controles de acesso adequados são implementados. 

Criptografia e tokenização são dois esquemas importantes, mas distintos, de proteção de dados. 

*Tokenização* é um processo que permite definir um token para representar uma informação confidencial (por exemplo, o número do cartão de crédito de um cliente). Um token não deve ter um significado por si só nem deve ser derivado dos dados que ele tokeniza. Portanto, um resumo criptográfico não pode ser utilizado como um token. Ao definir cuidadosamente a abordagem de tokenização, você pode fornecer proteção adicional ao seu conteúdo e garantir o cumprimento dos requisitos de conformidade. Por exemplo, você pode reduzir o escopo de conformidade de um sistema de processamento de cartão de crédito se utilizar um token em vez de um número de cartão de crédito. 

*Criptografia *é uma maneira de transformar o conteúdo de forma a torná-lo ilegível sem uma chave secreta para descriptografar o conteúdo novamente em texto sem formatação. Tanto a tokenização quanto a criptografia podem ser usadas para guardar e proteger as informações conforme apropriado. Além disso, o mascaramento é uma técnica que permite que parte dos dados seja editada até um ponto em que os dados restantes não são considerados confidenciais. Por exemplo, o PCI-DSS permite que os últimos quatro dígitos de um número de cartão sejam retidos fora do limite de escopo de conformidade para indexação. 

**Auditoria do uso de chaves de criptografia: **entenda e faça a auditoria do uso de chaves de criptografia para confirmar se os mecanismos de controle de acesso nas chaves foram implementados adequadamente. Por exemplo, qualquer serviço da AWS que use uma chave do AWS KMS registra cada uso no AWS CloudTrail. Em seguida, você pode consultar o AWS CloudTrail usando uma ferramenta como o Amazon CloudWatch Logs Insights para garantir que todos os usos de suas chaves sejam válidos. 

**Topics**
+ [SEC08-BP01 Implementar o gerenciamento seguro de chaves](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Aplicar criptografia em repouso](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatizar a proteção de dados em repouso](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Aplicar controle de acesso](sec_protect_data_rest_access_control.md)

# SEC08-BP01 Implementar o gerenciamento seguro de chaves
<a name="sec_protect_data_rest_key_mgmt"></a>

 O gerenciamento seguro de chaves inclui o armazenamento, a rotação, o controle de acesso e o monitoramento do material essencial necessário para proteger os dados em repouso para sua workload. 

 **Resultado desejado:** um mecanismo de gerenciamento de chaves escalável, repetível e automatizado. O mecanismo impõe o acesso de privilégio mínimo ao material de chave e fornece o equilíbrio correto entre disponibilidade, confidencialidade e integridade das chaves. Você monitora o acesso às chaves e, se a rotação do material de chave for necessária, você as alterna usando um processo automatizado. Você não permite que o material de chave seja acessado por operadores humanos. 

**Práticas comuns que devem ser evitadas:** 
+  Acesso humano a material de chave não criptografado. 
+  Criação de algoritmos criptográficos personalizados. 
+  Permissões excessivamente amplas para acessar materiais importantes. 

 **Benefícios de implementar esta prática recomendada:** ao estabelecer um mecanismo seguro de gerenciamento de chaves para sua workload, você pode ajudar a proteger seu conteúdo contra acesso não autorizado. Além disso, você pode estar sujeito a requisitos regulatórios para criptografar seus dados. Uma solução eficaz de gerenciamento de chaves pode fornecer mecanismos técnicos alinhados a essas regulamentações para proteger o material das chaves. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 A criptografia de dados em repouso é um controle de segurança fundamental. Para implementar esse controle, a workload precisa de um mecanismo para armazenar e gerenciar com segurança o material de chave usado para criptografar os dados em repouso. 

 A AWS oferece o AWS Key Management Service (AWS KMS) para fornecer armazenamento durável, seguro e redundante para chaves do AWS KMS. [Muitos serviços da AWS se integram ao AWS KMS](https://aws.amazon.com/kms/features/#integration) para oferecer suporte à criptografia de seus dados. O AWS KMS usa módulos de segurança de hardware validados pelo FIPS 140-3 Nível 3 para proteger suas chaves. Não há mecanismo para exportar chaves do AWS KMS em texto simples. 

 Ao implantar workloads usando uma estratégia de várias contas, mantenha as chaves do AWS KMS na mesma conta da workload que as utiliza. [Esse modelo distribuído](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html#app-kms) deixa a responsabilidade pelo gerenciamento das chaves do AWS KMS com sua equipe. Em outros casos de uso, a organização pode optar por armazenar as chaves do AWS KMS em uma conta centralizada. Essa estrutura centralizada requer políticas adicionais para permitir o acesso entre contas necessário para que a conta da workload acesse as chaves armazenadas na conta centralizada, mas pode ser mais aplicável em casos de uso em que uma única chave é compartilhada entre várias Contas da AWS. 

 Independentemente de onde o material de chave esteja armazenado, você deve controlar rigorosamente o acesso à chave por meio de [políticas de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) e políticas do IAM. Políticas de chave são a principal forma de controlar o acesso a uma chave do AWS KMS. Além disso, concessões à chave do AWS KMS podem fornecer acesso a serviços da AWS para criptografar e descriptografar dados em seu nome. Revise as [orientações para controle de acesso às chaves do AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html). 

 Monitore o uso de chaves de criptografia para detectar padrões de acesso incomuns. As operações realizadas usando chaves gerenciadas pela AWS e chaves gerenciadas pelo cliente armazenadas no AWS KMS podem ser registradas no AWS CloudTrail e devem ser revisadas periodicamente. Atenção especial ao monitoramento dos eventos de destruição de chaves. Para mitigar a destruição acidental ou maliciosa de material de chave, os eventos de destruição da chave não excluem o material da chave imediatamente. Tentativas de excluir chaves no AWS KMS estão sujeitas a um [período de espera](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-how-it-works) cujo padrão é 30 dias, com um mínimo de 7 dias, o que dá aos administradores tempo para revisar essas ações e reverter a solicitação, se necessário. 

 A maioria dos serviços da AWS usam o AWS KMS de forma transparente para você. Seu único requisito é decidir se quer usar uma chave gerenciada pela AWS ou gerenciada pelo cliente. Se a workload exigir o uso direto do AWS KMS para criptografar ou descriptografar dados, use a [criptografia envelopada](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) para proteger os dados. O [SDK de criptografia da AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) pode fornecer primitivas de criptografia do lado do cliente às suas aplicações para implementar a criptografia envelopada e integrar com o AWS KMS. 

### Etapas de implementação
<a name="implementation-steps"></a>

1.  Determine as [opções apropriadas de gerenciamento de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) (gerenciadas pela AWS ou gerenciadas pelo cliente) para a chave. 

   1.  Para facilitar o uso, a AWS oferece, para a maioria dos serviços, chaves pertencentes à AWS e gerenciadas pela AWS que fornecem capacidade de criptografia em repouso sem a necessidade de gerenciar materiais ou políticas de chaves. 

   1.  Ao usar chaves gerenciadas pelo cliente, considere o armazenamento de chaves padrão para fornecer o melhor equilíbrio entre agilidade, segurança, soberania de dados e disponibilidade. Outros casos de uso podem exigir o uso de armazenamentos de chaves personalizadas com o [AWS CloudHSM](https://aws.amazon.com/cloudhsm/) ou o [repositório de chaves externo](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html). 

1.  Analise a lista de serviços que você está usando para sua workload para entender como o AWS KMS se integra ao serviço. Por exemplo, as instâncias do EC2 podem usar volumes criptografados do EBS, verificando se os snapshots do Amazon EBS criados com base nesses volumes também são criptografados usando uma chave gerenciada pelo cliente e mitigando a divulgação acidental de dados de snapshots não criptografados. 

   1.  [Como os serviços da AWS usam o AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/service-integration.html) 

   1.  Para obter informações detalhadas sobre as opções de criptografia oferecidas por um serviço da AWS, consulte o tópico Criptografia em repouso no manual do usuário ou no Guia do desenvolvedor do serviço. 

1.  Implemente o AWS KMS: o AWS KMS simplifica a criação e o gerenciamento de chaves e o controle do uso da criptografia em uma ampla variedade de serviços da AWS e em suas aplicações. 

   1.  [Conceitos básicos: AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 

   1.  Reserve tempo para analisar as [práticas recomendadas para controle de acesso às suas chaves do AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html). 

1.  Considere o SDK de criptografia da AWS: use a integração do SDK de criptografia da AWS com o AWS KMS quando sua aplicação precisar criptografar dados do lado do cliente. 

   1.  [SDK de criptografia da AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

1.  Habilite o [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) para revisar e notificar automaticamente se houver políticas de chaves do AWS KMS excessivamente amplas. 

   1.  Considere usar [verificações de políticas personalizadas](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CheckNoPublicAccess.html) para verificar se uma atualização da política de recursos não concede acesso público às chaves KMS. 

1.  Habilite o [Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html) para receber notificações se houver políticas de chaves configuradas incorretamente, chaves agendadas para exclusão ou chaves sem a rotação automática ativada. 

1.  Determine o nível de registro em log apropriado para suas chaves do AWS KMS. Como as chamadas para o AWS KMS, incluindo eventos somente para leitura, são registradas em log, os logs do CloudTrail associados ao AWS KMS podem se tornar volumosos. 

   1.  Algumas organizações preferem registrar a atividade de log do AWS KMS em uma trilha separada. Para obter mais detalhes, consulte a seção [Registrar em log as chamadas de API do AWS KMS com o CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) do Guia do desenvolvedor do AWS KMS. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 
+  [AWS Ferramentas e serviços criptográficos da](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [Proteção de dados do Amazon S3 usando criptografia](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 
+  [criptografia envelopada](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) 
+  [Promessa de soberania digital](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/) 
+  [Desmistificação das operações de chave do AWS KMS, traga sua própria chave, armazenamento de chaves personalizado e portabilidade de texto cifrado](https://aws.amazon.com/blogs/security/demystifying-kms-keys-operations-bring-your-own-key-byok-custom-key-store-and-ciphertext-portability/) 
+  [AWS Key Management Service Detalhes criptográficos do](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Vídeos relacionados:** 
+  [Como funciona a criptografia na AWS](https://youtu.be/plv7PQZICCM) 
+  [Como proteger seu armazenamento em bloco na AWS](https://youtu.be/Y1hE1Nkcxs8) 
+  [AWS Proteção de dados na : usar bloqueios, chaves, assinaturas e certificados](https://www.youtube.com/watch?v=lD34wbc7KNA) 

 **Exemplos relacionados:** 
+  [Implemente mecanismos avançados de controle de acesso usando o AWS KMS](https://catalog.workshops.aws/advkmsaccess/en-US/introduction) 

# SEC08-BP02 Aplicar criptografia em repouso
<a name="sec_protect_data_rest_encrypt"></a>

 Criptografe os dados privados em repouso para manter a confidencialidade e oferecer uma camada adicional de proteção contra a divulgação e exfiltração acidentais dos dados. A criptografia protege os dados para que não possam ser lidos nem acessados sem ser descriptografados primeiro. Faça o inventário e controle dados não criptografados para mitigar os riscos associados à exposição de dados. 

 **Resultado desejado:** é possível ter mecanismos que criptografam os dados privados por padrão quando em repouso. Esses mecanismos ajudam a manter a confidencialidade dos dados e oferecem uma camada adicional de proteção contra a divulgação ou exfiltração não intencional dos dados. Você mantém um inventário de dados não criptografados e compreende os controles que existem para protegê-los. 

 **Práticas comuns que devem ser evitadas:** 
+  Não utilizar configurações de criptografia por padrão. 
+  Conceder acesso excessivamente permissivo para chaves de descriptografia. 
+  Não monitorar o uso de chaves de criptografia e descriptografia. 
+  Armazenar dados não criptografados. 
+  Utilizar a mesma chave de criptografia para todos os dados, seja qual for o uso, os tipos e a classificação de dados. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 Mapeie as chaves de criptografia às classificações de dados em suas workloads. Essa abordagem ajuda a proteger contra o acesso excessivamente permissivo ao usar uma única chave de criptografia ou um número muito pequeno de chaves de criptografia para seus dados (consulte [SEC07-BP01 Compreender seu esquema de classificação de dados](sec_data_classification_identify_data.md)). 

 O AWS Key Management Service (AWS KMS) integra-se a muitos serviços da AWS para facilitar a criptografia de seus dados em repouso. Por exemplo, no Amazon Elastic Compute Cloud (Amazon EC2), é possível [definir a criptografia padrão](https://docs.aws.amazon.com/ebs/latest/userguide/work-with-ebs-encr.html#encryption-by-default) nas contas para que os novos volumes do EBS sejam criptografados automaticamente. Ao utilizar o AWS KMS, considere o nível de restrição necessário para os dados. Chaves do AWS KMS controladas por serviço e padrão são gerenciadas e utilizadas em seu nome pelo AWS. Para dados sigilosos que exijam acesso refinado à chave de criptografia subjacente, considere chaves gerenciadas pelo cliente (CMKs). Você tem total controle sobre as CMKs, como gerenciamento de rotação e acesso pelo uso de políticas de chave. 

 Além disso, serviços como o Amazon Simple Storage Service ([Amazon S3](https://aws.amazon.com/blogs/aws/amazon-s3-encrypts-new-objects-by-default/)) agora criptografam todos os novos objetos por padrão. Essa implementação fornece segurança aprimorada sem impacto no desempenho. 

 Outros serviços, como o [Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) (Amazon EC2) ou o [Amazon Elastic File System](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/efs.html) (Amazon EFS), oferecem suporte às configurações de criptografia padrão. Você também pode usar o [Regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) para verificar automaticamente se está usando criptografia para [volumes do Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [instâncias do Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html), [buckets do Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html) e outros serviços na organização. 

 A AWS também oferece operações de criptografia do lado do cliente, possibilitando que você criptografe os dados antes de fazer seu upload para a nuvem. O AWS Encryption SDK fornece uma maneira de criptografar seus dados usando [criptografia envelopada](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping). Você fornece a chave de encerramento e o AWS Encryption SDK gera uma chave de dados exclusiva para cada objeto de dados que ele criptografa. Considere utilizar o AWS CloudHSM se precisar de um módulo de segurança de hardware de um locatário (HSM) gerenciado. O AWS CloudHSM possibilita gerar, importar e gerenciar chaves criptográficas em um HSM validado de nível 3 FIPS 140-2. Alguns casos de uso do AWS CloudHSM incluem proteger chaves privadas para emitir uma autoridade de certificado (CA) e ativar a criptografia de dados transparente (TDE) para bancos de dados Oracle. O AWS CloudHSM Client SDK oferece software que possibilita criptografar dados do lado do cliente com chaves armazenadas no AWS CloudHSM antes de fazer upload de seus dados para AWS. O Amazon DynamoDB Encryption Client também possibilita criptografar e assinar itens antes de fazer upload para uma tabela do DynamoDB. 

### Etapas de implementação
<a name="implementation-steps"></a>
+  **Configure a **[https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)**:** especifique que você deseja que todos os volumes do Amazon EBS recém-criados sejam criados em formato criptografado, com a opção de usar a chave padrão fornecida pela AWS ou uma chave que você criar. 
+  **Configure imagens de máquina da Amazon (AMIs) criptografadas:** copiar uma AMI existente com a criptografia configurada criptografará automaticamente os volumes raiz e snapshots. 
+  **Configure a **[https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)**:** configure a criptografia para seus clusters de banco de dados do Amazon RDS e snapshots em repouso usando a opção de criptografia. 
+  **Crie e configure chaves do AWS KMS com políticas que limitam o acesso das entidades principais apropriadas para cada classificação de dados:** por exemplo, crie uma chave do AWS KMS para criptografar dados de produção e uma chave diferente para criptografar dados de desenvolvimento ou teste. Você também pode conceder acesso de chave a outras Contas da AWS. Considere ter contas diferentes para seus ambientes de desenvolvimento e produção. Se seu ambiente de produção precisar descriptografar artefatos na conta de desenvolvimento, você poderá editar a política de CMK utilizada para criptografar os artefatos de desenvolvimento a fim de conferir à conta de produção a capacidade de descriptografar esses artefatos. O ambiente de produção pode, então, ingerir os dados descriptografados para uso na produção. 
+  **Configure a criptografia em serviços da AWS adicionais:** para outros serviços da AWS que você usa, revise a [documentação de segurança](https://docs.aws.amazon.com/security/) desse serviço para determinar as opções de criptografia do serviço. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Crypto Tools](https://docs.aws.amazon.com/aws-crypto-tools) 
+  [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 
+  [Whitepaper Detalhes criptográficos do AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [Ferramentas e serviços criptográficos da AWS](https://docs.aws.amazon.com/aws-crypto-tools/) 
+  [Criptografia do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) 
+  [Criptografia padrão para volumes do Amazon EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/) 
+  [Como criptografar recursos do Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) 
+  [Como faço para habilitar a criptografia padrão em um bucket do Amazon S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html) 
+  [Proteção de dados do Amazon S3 usando criptografia](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **Vídeos relacionados:** 
+  [Como funciona a criptografia na AWS](https://youtu.be/plv7PQZICCM) 
+  [Como proteger seu armazenamento em bloco na AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP03 Automatizar a proteção de dados em repouso
<a name="sec_protect_data_rest_automate_protection"></a>

 Use a automação para validar e aplicar controles de dados em repouso.  Use a verificação automatizada para detectar configurações incorretas de soluções de armazenamento de dados e realize correções por meio de resposta programática automatizada sempre que possível.  Incorpore a automação nos processos de CI/CD para detectar configurações incorretas de armazenamento de dados antes que elas sejam implantadas na produção. 

 **Resultado desejado:** sistemas automatizados examinam e monitoram os locais de armazenamento de dados em busca de configurações incorretas de controles, acesso não autorizado e uso inesperado.  A detecção de locais de armazenamento configurados incorretamente inicia correções automatizadas.  Processos automatizados criam backups de dados e armazenam cópias imutáveis fora do ambiente original. 

 **Práticas comuns que devem ser evitadas:** 
+  Não considerar as opções para habilitar as configurações de criptografia por padrão, onde compatíveis. 
+  Não considerar eventos de segurança, além dos eventos operacionais, ao formular uma estratégia automatizada de backup e recuperação. 
+  Não impor configurações de acesso público para serviços de armazenamento. 
+  Não monitorar e auditar os controles para proteger os dados em repouso. 

 **Benefícios de implementar esta prática recomendada:** a automação ajuda a evitar o risco de configuração incorreta dos locais de armazenamento de dados. Isso ajuda a evitar que configurações incorretas entrem nos ambientes de produção. Essa prática recomendada também ajuda a detectar e corrigir configurações incorretas, caso elas ocorram.  

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio 

## Orientação para implementação 
<a name="implementation-guidance"></a>

 A automação é um tema em todas as práticas para proteger os dados em repouso. [SEC01-BP06 Automatizar a implantação de controles de segurança padrão](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) descreve como é possível capturar a configuração de seus recursos usando modelos de *infraestrutura como código* (IaC), como o [AWS CloudFormation](https://aws.amazon.com/cloudformation/).  Esses modelos estão comprometidos com um sistema de controle de versão e são usados para implantar recursos da AWS por meio de um pipeline de CI/CD.  Essas técnicas também se aplicam à automação da configuração de soluções de armazenamento de dados, como configurações de criptografia em buckets do Amazon S3.   

 Você pode verificar as configurações definidas nos modelos de IaC para verificar se há erros de configuração nos pipelines de CI/CD usando regras no [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html).  Você pode monitorar configurações que ainda não estão disponíveis no CloudFormation ou em outras ferramentas de IaC em busca de configurações incorretas com [AWS Config](https://aws.amazon.com/config/).  Os alertas que o Config gera para configurações incorretas podem ser corrigidos automaticamente, conforme descrito em [SEC04-BP04 Iniciar a correção de recursos fora de conformidade](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html). 

 Usar a automação como parte da estratégia de gerenciamento de permissões também é um componente essencial das proteções de dados automatizadas. [SEC03-BP02 Conceder acesso de privilégio mínimo](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) e [SEC03-BP04 Reduzir permissões continuamente](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html) descrevem a configuração de políticas de acesso de privilégio mínimo que são continuamente monitoradas pelo [AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) para gerar descobertas quando a permissão pode ser reduzida.  Além da automação para monitoramento de permissões, é possível configurar o [Amazon GuardDuty](https://aws.amazon.com/guardduty/) para observar comportamentos anômalos de acesso aos dados em seus [volumes do EBS](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html) (por meio de uma instância do EC2), [buckets do S3](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) e [bancos de dados do Amazon Relational Database Service](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) compatíveis. 

 A automação também desempenha um papel para detectar o armazenamento de dados confidenciais em locais não autorizados. [SEC07-BP03 Automatizar a identificação e a classificação](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html) descreve como o [Amazon Macie](https://aws.amazon.com/macie/) pode monitorar seus buckets do S3 em busca de dados confidenciais inesperados e gerar alertas que podem iniciar uma resposta automática. 

 Siga as práticas de [REL09 Backup de dados](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/back-up-data.html) para desenvolver uma estratégia automatizada de backup e recuperação de dados. O backup e a recuperação de dados são importantes para a recuperação tanto de eventos de segurança quanto de eventos operacionais. 

### Etapas de implementação
<a name="implementation-steps"></a>

1.  Capture a configuração de armazenamento de dados em modelos de IaC.  Use verificações automatizadas nos pipelines de CI/CD para detectar configurações incorretas. 

   1.  É possível usar para [CloudFormation](https://aws.amazon.com/cloudformation/) seus modelos de IaC e o [CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) para verificar se há erros de configuração nos modelos. 

   1.  Use o [AWS Config](https://aws.amazon.com/config/) para executar regras em um modo de avaliação proativa. Use essa configuração como uma etapa em seu pipeline de CI/CD para verificar a conformidade de um recurso antes de criá-lo. 

1.  Monitore os recursos em busca de configurações incorretas de armazenamento de dados. 

   1.  Configure o [AWS Config](https://aws.amazon.com/config/) para monitorar os recursos de armazenamento de dados em busca de alterações nas configurações de controle e gerar alertas para invocar ações de remediação ao detectar uma configuração incorreta. 

   1.  Consulte [SEC04-BP04 Iniciar a correção para recursos fora de conformidade](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) para obter mais orientações sobre correções automatizadas. 

1.  Monitore e reduza continuamente as permissões de acesso aos dados por meio da automação. 

   1.  O [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) pode ser executado continuamente para gerar alertas quando as permissões podem ser potencialmente reduzidas. 

1.  Monitore e emita alertas sobre comportamentos anômalos de acesso aos dados. 

   1.  O [GuardDuty](https://aws.amazon.com/guardduty/) observa tanto as assinaturas de ameaças conhecidas quanto os desvios dos comportamentos de acesso básicos para recursos de armazenamento de dados, como volumes do EBS, buckets do S3 e bancos de dados do RDS. 

1.  Monitore e emita alertas sobre dados confidenciais armazenados em locais inesperados. 

   1.  Use o [Amazon Macie](https://aws.amazon.com/macie/) para examinar continuamente seus buckets do S3 em busca de dados confidenciais. 

1.  Automatize backups seguros e criptografados dos dados. 

   1.  O [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)é um serviço gerenciado que cria backups criptografados e seguros de várias fontes de dados na AWS.  O [Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) permite copiar workloads completas do servidor e manter a proteção contínua dos dados com um objetivo de ponto de recuperação (RPO) medido em segundos.  Você pode configurar os dois serviços para que funcionem juntos e automatizem a criação de backups de dados e os copiem para locais de failover.  Isso pode ajudar a manter os dados disponíveis quando eles forem afetados por eventos operacionais ou de segurança. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [SEC01-BP06 Automatizar a implantação de controles de segurança padrão](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) 
+  [SEC03-BP02 Conceder acesso de privilégio mínimo](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) 
+  [SEC03-BP04 Reduzir as permissões continuamente](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html) 
+  [SEC04-BP04 Iniciar a correção de recursos fora de conformidade](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) 
+  [SEC07-BP03 Automatizar a identificação e a classificação](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html) 
+  [REL09-BP02 Proteger e criptografar backups](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_secured_backups_data.html) 
+  [REL09-BP03 Fazer backup de dados automaticamente](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_automated_backups_data.html) 

 **Documentos relacionados:** 
+  [Recomendação da AWS: Criptografar automaticamente volumes novos e existentes do Amazon EBS](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) 
+  [Gerenciamento de riscos de ransomware na AWS usando o CSF (Cyber Security Framework) do NIST](https://docs.aws.amazon.com/whitepapers/latest/ransomware-risk-management-on-aws-using-nist-csf/ransomware-risk-management-on-aws-using-nist-csf.html) 

 **Exemplos relacionados:** 
+  [Como usar regras proativas do AWS Config e hooks do AWS CloudFormation proativos para evitar a criação de recursos de nuvem fora de conformidade](https://aws.amazon.com/blogs/mt/how-to-use-aws-config-proactive-rules-and-aws-cloudformation-hooks-to-prevent-creation-of-non-complaint-cloud-resources/) 
+  [Automatizar e gerenciar centralmente a proteção de dados para o Amazon S3 com o AWS Backup](https://aws.amazon.com/blogs/storage/automate-and-centrally-manage-data-protection-for-amazon-s3-with-aws-backup/) 
+  [AWS re:Invent 2023: Implementar proteção proativa de dados usando snapshots do Amazon EBS](https://www.youtube.com/watch?v=d7C6XsUnmHc) 
+  [AWS re:Invent 2022: Criar e automatizar para alcançar resiliência com proteção de dados moderna](https://www.youtube.com/watch?v=OkaGvr3xYNk) 

 **Ferramentas relacionadas:** 
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [Registro de regras do AWS CloudFormation Guard](https://github.com/aws-cloudformation/aws-guard-rules-registry) 
+  [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) 
+  [Amazon Macie](https://aws.amazon.com/macie/) 
+  [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) 
+  [Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) 

# SEC08-BP04 Aplicar controle de acesso
<a name="sec_protect_data_rest_access_control"></a>

 Para ajudar a proteger os dados em repouso, implemente o controle de acesso utilizando mecanismos como isolamento e versionamento. Aplique o privilégio mínimo e os controles de acesso condicional. Evite conceder acesso público aos seus dados. 

 **Resultado desejado:** você verifica se somente usuários autorizados podem acessar os dados com base na necessidade real de acesso. Você protege os dados com backups regulares e versionamento a fim de impedir a modificação ou exclusão de dados de maneira intencional ou acidental. Você isola os dados críticos dos outros dados a fim de proteger a confidencialidade e a integridade desses dados. 

**Práticas comuns que devem ser evitadas:**
+  Armazenar dados com requisitos de confidencialidade ou classificações diferentes juntos. 
+  Utilizar permissões excessivamente tolerantes em chaves de descriptografia. 
+  Classificar dados de modo inadequado. 
+  Não reter backups detalhados de dados importantes. 
+  Conceder acesso persistente a dados de produção. 
+  Não auditar o acesso aos dados nem rever as permissões regularmente.

**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 Proteger dados em repouso é importante para manter a integridade, a confidencialidade e a conformidade dos dados com os requisitos normativos. Você pode implementar vários controles para ajudar a conseguir isso, incluindo controle de acesso, isolamento, acesso condicional e versionamento. 

 Você pode aplicar o controle de acesso com o princípio do privilégio mínimo, que fornece somente as permissões necessárias aos usuários e serviços para realizar suas tarefas. Isso inclui acesso às chaves de criptografia. Revise suas [políticas do AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) para verificar se o nível de acesso concedido é apropriado e se as condições relevantes se aplicam. 

 Você pode separar dados com base em diferentes níveis de classificação usando Contas da AWS distintas para cada nível e gerenciar essas contas usando o [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html). Esse isolamento pode ajudar a impedir o acesso não autorizado e minimizar o risco de exposição de dados. 

 Revise regularmente o nível de acesso concedido em políticas de bucket do S3. Evite buckets que possam ser lidos ou gravados publicamente, a menos que seja absolutamente necessário. Considere usar o [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) para detectar buckets disponíveis publicamente e o Amazon CloudFront para fornecer conteúdo do Amazon S3. Garanta que os buckets que não devem permitir acesso público sejam configurados adequadamente para evitá-lo. 

 Implemente mecanismos de versionamento e bloqueio de objetos para dados críticos armazenados no Amazon S3. [O versionamento do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) preserva as versões anteriores dos objetos para recuperar dados de exclusões ou substituições acidentais. A funcionalidade [Bloqueio de Objetos do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) fornece controle de acesso obrigatório para objetos, o que impede que eles sejam excluídos ou substituídos, mesmo pelo usuário-raiz, até que o bloqueio expire. Além disso, a [Trava de Segurança do Amazon Glacier](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) oferece um recurso semelhante para arquivos armazenados no Amazon Glacier. 

### Etapas de implementação
<a name="implementation-steps"></a>

1.  **Imponha o controle de acesso com o princípio de privilégio mínimo**: 
   +  Analise as permissões de acesso concedidas aos usuários e serviços e verifique se eles têm somente as permissões necessárias para realizar suas tarefas. 
   +  Revise o acesso às chaves de criptografia verificando as [políticas do AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html). 

1.  **Separe dados com base em diferentes níveis de classificação**: 
   +  Use Contas da AWS distintas para cada nível de classificação de dados. 
   +  Gerencie essas contas usando o [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html). 

1.  **Revise as permissões de buckets e objetos do Amazon S3**: 
   +  Revise regularmente o nível de acesso concedido em políticas de bucket do S3. 
   +  Evite buckets que possam ser lidos ou gravados publicamente, a menos que seja absolutamente necessário. 
   +  Considere usar o [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) para detectar buckets disponíveis publicamente. 
   +  Use o Amazon CloudFront para fornecer conteúdo do Amazon S3. 
   +  Garanta que os buckets que não devem permitir acesso público sejam configurados adequadamente para evitá-lo. 
   +  Você pode aplicar o mesmo processo de revisão para bancos de dados e qualquer outra fonte de dados que use a autenticação do IAM, como SQS ou armazenamentos de dados de terceiros. 

1.  **Use o AWS IAM Access Analyzer**: 
   +  É possível usar o [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) para analisar buckets do Amazon S3 e gerar descobertas quando uma política do S3 concede acesso a uma entidade externa. 

1.  **Implemente mecanismos de versionamento e bloqueio de objetos**: 
   +  Use o [versionamento do Amazon S3 para preservar](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) as versões anteriores dos objetos, o que permite a recuperação de exclusões ou substituições acidentais. 
   +  Use a funcionalidade [Bloqueio de Objetos do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) para fornecer controle de acesso obrigatório para objetos, o que impede que eles sejam excluídos ou substituídos, mesmo pelo usuário-raiz, até que o bloqueio expire. 
   +  Use a [Trava de Segurança do Amazon Glacier](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) para arquivos armazenados no Amazon Glacier. 

1.  **Use o Inventário Amazon S**: 
   +  Você pode usar o [Inventário Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) para auditar e gerar relatórios sobre o status de replicação e criptografia dos objetos do S3. 

1.  **Revise as permissões de compartilhamento do Amazon EBS e da AMI**: 
   +  Revise as permissões de compartilhamento para o [Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) e para [compartilhamento de AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) a fim de verificar que as imagens e os volumes não são compartilhados com Contas da AWS externas à sua workload. 

1.  **Revise os compartilhamentos do AWS Resource Access Manager periodicamente**: 
   +  Você pode usar o [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) para compartilhar recursos, como políticas do AWS Network Firewall, regras do Amazon Route 53 Resolver e sub-redes em suas Amazon VPCs. 
   +  Faça auditoria em recursos compartilhados regularmente e interrompa o compartilhamento dos que não precisam mais ser compartilhados. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+ [SEC03-BP01 Definir requisitos de acesso](sec_permissions_define.md) 
+  [SEC03-BP02 Conceder acesso de privilégio mínimo](sec_permissions_least_privileges.md) 

 **Documentos relacionados:** 
+  [AWS KMS Whitepaper Detalhes criptográficos do](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 
+  [Introdução ao gerenciamento de permissões de acesso aos recursos do Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html) 
+  [Visão geral do gerenciamento de acesso a recursos do AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) 
+  [Regras do AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 
+  [Amazon S3 \$1 Amazon CloudFront: uma combinação feita na nuvem](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/) 
+  [Usar versionamento](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html) 
+  [Bloquear objetos usando o bloqueio de objetos do Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html) 
+  [Compartilhar um snapshot do Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) 
+  [AMIs compartilhadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) 
+  [Hospedar uma aplicação de página única no Amazon S3](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-a-react-based-single-page-application-to-amazon-s3-and-cloudfront.html) 
+  [AWS Chaves de condições globais da](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 
+  [Como criar um perímetro de dados na AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) 

 **Vídeos relacionados:** 
+  [Como proteger seu armazenamento em bloco na AWS](https://youtu.be/Y1hE1Nkcxs8)