# Perspectiva de segurança: conformidade e garantia Perspectiva de segurança A perspectiva de *segurança* ajuda você a alcançar a confidencialidade, a integridade e a disponibilidade de seus dados e workloads na nuvem. É composto por nove capacidades, mostradas na figura a seguir. As partes interessadas comuns incluem CISO, CCO, líderes de auditoria interna e arquitetos e engenheiros de segurança. ![\[Um diagrama que descreve as capacidades da perspectiva de segurança do AWS CAF.\]](http://docs.aws.amazon.com/pt_br/whitepapers/latest/overview-aws-cloud-adoption-framework/images/cloud-adoption-9.png) *Capacidades da perspectiva de segurança do AWS CAF* + **Governança de segurança**: desenvolva, mantenha e comunique com eficácia funções, responsabilidades, políticas, processos e procedimentos de segurança. Garantir linhas claras de responsabilidade é fundamental para a eficácia do seu programa de segurança. Entender seus ativos, riscos de segurança e requisitos de [conformidade](https://aws.amazon.com/compliance/programs/) que se aplicam ao seu setor e/ou organização ajudará você a priorizar seus [esforços de segurança](https://aws.amazon.com/security/?nc=sn&loc=0). Fornecer orientação e aconselhamento contínuos ajudará a acelerar sua transformação, permitindo que suas equipes se movam mais rapidamente. Entenda sua responsabilidade pela [segurança na nuvem](https://aws.amazon.com/compliance/shared-responsibility-model/). Faça um inventário, categorize e priorize as partes interessadas, ativos e trocas de informações relevantes. Identifique leis, regras, regulamentos e [padrões/frameworks](https://d0.awsstatic.com/whitepapers/compliance/NIST_Cybersecurity_Framework_CSF.pdf) que se aplicam ao seu setor e/ou organização. Realize uma avaliação de risco anual em sua organização. As avaliações de risco podem ajudar a determinar a probabilidade e o impacto dos riscos e/ou vulnerabilidades identificados que afetam sua organização. Aloque recursos suficientes para funções e responsabilidades de segurança identificadas. Desenvolva políticas, processos, procedimentos e controles de segurança de acordo com seus requisitos de conformidade e tolerância a riscos organizacionais. Atualize tudo continuamente com base nos riscos e requisitos em evolução. + **Garantia de segurança**: monitore, avalie, gerencie e melhore continuamente a eficácia de seus programas de segurança e privacidade. Sua organização e os clientes que você atende precisam estar confiantes e confiar que os controles que você implementou permitirão que os requisitos normativos sejam atendidos e que você gerencie de forma eficaz e eficiente os riscos de segurança e privacidade de acordo com seus objetivos de negócios e tolerância a riscos. Documente os controles em um [framework de controle](https://aws.amazon.com/audit-manager/) abrangente e estabeleça controles de segurança e [privacidade](https://aws.amazon.com/compliance/data-privacy/) demonstráveis que atendam a esses objetivos. Analise os [relatórios de auditoria](https://aws.amazon.com/artifact/), certificações [de conformidade ou atestados](https://aws.amazon.com/compliance/programs/) que seu fornecedor de nuvem obteve para ajudar você a entender os controles em vigor, como esses controles foram validados e se os controles em seu ambiente de TI estendido estão operando de forma eficaz. [Monitore e avalie](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) continuamente seu ambiente para verificar a eficácia operacional de seus controles e demonstrar conformidade com as regulamentações e os padrões do setor. Analise as políticas, processos, procedimentos, controles e registros de segurança e entreviste a equipe principal, conforme necessário. + **Gerenciamento de identidades e permissões**: gerencie identidades e permissões em escala. Você pode criar identidades na AWS ou conectar sua fonte de identidade e conceder aos usuários as permissões necessárias para que eles possam fazer login, acessar, provisionar ou orquestrar recursos da AWS e aplicações integradas. O [gerenciamento eficaz de identidade e acesso](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-lens/identitymanagement.html) ajuda a validar o acesso das pessoas certas a recursos e máquinas sob as condições certas. O AWS [Well Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/identity-and-access-management.html) descreve conceitos relevantes, princípios de design e práticas recomendadas de arquitetura para gerenciar [identidades](https://aws.amazon.com/single-sign-on/). Isso inclui: confiar em um provedor de identidade centralizado; fazer uso de grupos de usuários e atributos para acesso refinado em escala e credenciais temporárias; e usar mecanismos de login fortes, como autenticação multifator (MFA). Para [controlar o acesso](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) por identidades humanas e de máquina à AWS e suas workloads, defina permissões para ações de serviço específicas em recursos específicos, sob condições específicas; use o princípio do privilégio mínimo, defina limites de permissões e use políticas de controle de serviço para que as entidades certas possam acessar os recursos certos à medida que seu ambiente e sua base de usuários crescem; conceder permissões com base em atributos (ABAC), para que suas políticas possam escalar; e validar continuamente se suas políticas fornecem a proteção de que você precisa. + **Detecção de ameaças**: entenda e identifique possíveis configurações incorretas de segurança, ameaças ou comportamentos inesperados. Uma melhor compreensão das ameaças de segurança permitirá que você priorize os controles de proteção. A detecção eficaz de ameaças permitirá que você responda às ameaças mais rapidamente e aprenda com os eventos de segurança. Chegue a um consenso sobre metas de inteligência tática, operacional e estratégica e a metodologia geral. Extraia a origem dos dados relevantes, processe e analise dados e divulgue e operacionalize insights. Implante o [monitoramento](https://aws.amazon.com/security/continuous-monitoring-threat-detection/) de forma onipresente no ambiente para coletar informações essenciais e em locais específicos para rastrear tipos específicos de transações. Correlacione dados de monitoramento de [várias fontes de eventos](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-lens/securityoperations.html), incluindo tráfego de rede, sistemas operacionais, aplicações, bancos de dados e dispositivos de endpoint para fornecer um procedimento de segurança robusta e aumentar a visibilidade. Considere aproveitar a tecnologia de engano (por exemplo, [honeypots](https://docs.aws.amazon.com/solutions/latest/aws-waf-security-automations/architecture.html)) para entender os padrões de comportamento não autorizados do usuário. + **Gerenciamento de vulnerabilidades**: identifique, classifique, corrija e reduza continuamente as vulnerabilidades de segurança. Vulnerabilidades também podem ser introduzidas com alterações nos sistemas existentes ou com a adição de novos sistemas. [Verifique](https://aws.amazon.com/inspector/) regularmente se há vulnerabilidades para ajudar a proteger contra novas ameaças. Empregue [verificadores](https://aws.amazon.com/security-hub/?aws-security-hub-blogs.sort-by=item.additionalFields.createdDate&aws-security-hub-blogs.sort-order=desc) de vulnerabilidades e agentes de endpoint para associar sistemas a vulnerabilidades conhecidas. Priorize as ações de remediação com base no risco de vulnerabilidade. Aplique ações de remediação e informe as partes interessadas relevantes. Use a equipe vermelha e os [testes de penetração](https://aws.amazon.com/security/penetration-testing/) para identificar vulnerabilidades na arquitetura do seu sistema. Busque autorização prévia do seu provedor de nuvem, conforme necessário. + **Proteção de infraestrutura**: garante que os sistemas e os serviços de sua workload sejam protegidos contra acesso não intencional e não autorizado e possíveis vulnerabilidades. Proteger sua infraestrutura contra acesso não intencional e não autorizado e possíveis vulnerabilidades ajudará você a elevar seu procedimento de segurança na nuvem. Use a [defesa em profundidade](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) para criar uma série de mecanismos defensivos destinados a proteger seus dados e sistemas. Crie camadas de rede e coloque workloads sem requisitos de acesso à Internet em sub-redes privadas. Use [grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html), [listas de controle de acesso à rede](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) e [firewalls de rede](https://aws.amazon.com/network-firewall/) para controlar o tráfego. Aplique o [Zero Trust](https://aws.amazon.com/security/zero-trust/) aos seus sistemas e dados de acordo com o valor deles. Use os [endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) da nuvem privada virtual (VPC) para conexão privada com recursos de nuvem. Inspecione e filtre seu tráfego em cada camada. Por exemplo, por meio de uma [aplicação Web](https://aws.amazon.com/waf) e/ou um [firewall de rede](https://aws.amazon.com/network-firewall/). Use imagens de sistema operacional reforçadas e proteja fisicamente qualquer infraestrutura de nuvem [híbrida](https://aws.amazon.com/hybrid/) on-premises e na [borda](https://d1.awsstatic.com/whitepapers/Security/security-at-the-edge.pdf). + **Proteção de dados**: mantenha a visibilidade e o controle sobre os dados e como eles são acessados e usados em sua organização. [Proteger](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/data-protection.html) seus dados contra acesso não intencional e não autorizado e possíveis vulnerabilidades é um dos principais objetivos do seu programa de segurança. Para ajudar você a determinar os controles adequados de proteção e retenção, [classifique](https://docs.aws.amazon.com/whitepapers/latest/data-classification/welcome.html?secd_dp2) seus dados com base na criticidade e na confidencialidade (por exemplo, informações de identificação pessoal). Defina controles de proteção de dados e políticas de gerenciamento do [ciclo de vida](https://docs.aws.amazon.com/dlm/latest/APIReference/Welcome.html). Criptografe todos os dados em repouso e em trânsito e armazene dados sigilosos em contas separadas. Use machine learning para [descobrir](https://aws.amazon.com/macie/), classificar e proteger dados sigilosos. + **Segurança de aplicações**: detecte e resolva vulnerabilidades de segurança durante o processo de desenvolvimento de software. Você pode economizar tempo, esforço e custo ao encontrar e corrigir falhas de segurança durante a fase de codificação de uma aplicação e ter confiança em seu procedimento de segurança ao iniciar a produção. Verifique e corrija vulnerabilidades em seu código e dependências para ajudar a proteger contra novas ameaças. Minimize a necessidade de intervenção humana [automatizando](https://devops.awssecworkshops.com/) tarefas relacionadas à segurança em seus processos e ferramentas de desenvolvimento e operações. Use [ferramentas](https://aws.amazon.com/codeguru/) de análise de código estático para identificar problemas comuns de segurança. + **Resposta a incidentes**: reduza possíveis danos respondendo efetivamente a incidentes de segurança. Respostas rápidas, eficazes e consistentes a incidentes de segurança ajudarão você a reduzir possíveis danos. [Ensine](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/educate.html) as equipes de operações de segurança e resposta a incidentes sobre as tecnologias de nuvem e como sua organização pretende usá-las. Desenvolva [runbooks](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/runbooks.html) e crie uma biblioteca de mecanismos de resposta a incidentes. Inclua as principais partes interessadas para entender melhor o impacto de suas escolhas na organização em geral. [Simule](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/simulate.html) eventos de segurança e pratique sua resposta a incidentes por meio de exercícios de mesa e dias de jogo. [Itere](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/iterate.html) o resultado da simulação para melhorar a escala da postura de sua resposta, reduzir o tempo de obtenção de valor e reduzir ainda mais o risco. Realize análises pós-incidentes para aprender com os incidentes de segurança, usando um mecanismo padronizado para identificar e resolver [causas](https://aws.amazon.com/detective/).