O blog da segurança de dentro para fora Blog   /     /  

7 configurações de segurança para uma nova AWS

7 configurações de segurança para uma nova AWS

Conteúdos

    Se você acabou de criar sua conta Amazon Web Services (AWS) e está preocupado com a segurança de dados, essa é uma preocupação válida – configurações desconhecidas em toda a organização ou simples erros de configuração podem colocar seus dados em riscos de exposição. No entanto, existem algumas etapas que podem ser seguidas para melhorar drasticamente a postura de segurança. 

    A Amazon fornece ferramentas e serviços para ajudar a proteger seu ambiente, mas, em última análise, a responsabilidade é sua para configurar esses serviços corretamente e monitorar rotineiramente lacunas e problemas. A AWS depende muito do controle de acesso baseado em função e, por padrão, serviços e usuários (exceto o usuário root) têm muito pouco ou nenhum acesso. As etapas mais importantes que você precisa seguir para melhorar a segurança da AWS estão relacionadas ao gerenciamento de usuários e às políticas padrão. 

    Substituir um usuário root por um administrador sempre deve ser a primeira etapa. Feito isso, é necessário criar usuários com acesso que reflita a quantidade mínima de permissões para que possam realizar seu trabalho. Em seguida, proteja o acesso desses usuários definindo políticas de senha. 

    À medida que a organização começa a crescer e a usar mais serviços, pode ser preciso usar opções de configuração mais ajustadas. Entretanto, existem alguns serviços de alto nível que continuarão a garantir uma boa segurança, independentemente do tamanho ou da rapidez com que a organização cresce. Os serviços AWS, como o CloudTrail e Security Hub, podem ser usados para monitorar e alertar os usuários sobre problemas de segurança desde o primeiro dia. 

    1 – Crie uma conta de administrador

    O princípio de menor privilégio é um conceito de segurança bem conhecido que limita o acesso de um usuário apenas ao que é necessário para realizar seu trabalho. Por exemplo, fornecer a um usuário acesso de leitura e gravação a um bucket do S3 quando apenas o acesso de leitura é necessário seria uma violação do privilégio mínimo. 

    As credenciais do usuário raiz oferecem acesso ilimitado a uma conta e a todos os seus recursos. Com isso em mente, é fácil ver por que o acesso raiz raramente é necessário. Em vez disso, você deve usar usuários de gerenciamento de identidade e acesso (IAM) e funções do IAM com permissões restritas. É uma prática aceitável criar um único usuário administrador para a administração diária da conta – a AWS criou uma função (com um subconjunto de controles de acesso raiz) especificamente para essa finalidade. 

    Como adicionar um administrador: 

    1. Faça login em sua conta da AWS usando suas credenciais de usuário raiz. 
    2. Navegue até o serviço AWS IAM usando a barra de pesquisa do console. 
    3. Seleciona “Adicionar usuário”. 
    4. Defina admin ou administrador como o nome de usuário. 
    5. Selecione acesso ao Controle de gerenciamento da AWS e acesso programático (se necessário) para os tipos de acesso.
    6. Insira uma senha forte contendo letras maiúsculas e minúsculas, dígitos e caracteres especiais. Use um gerenciador de senhas para gerar uma senha forte ou selecione uma senha gerada automaticamente, se necessário. 
    7. Desmarque “Exigir redefinição de senha”. 
    8. Selecione próximo. securing-aws-2-2
    9. Escolha “Anexar políticas existentes diretamente” e selecione a política AdministratorAccess.
      securing-aws-3-2
    10. Selecione “Next” novamente para concluir a criação do usuário. Se o acesso programático foi selecionado, armazene as chaves de acesso fornecidas em algum lugar seguro. 

    Dica: Da mesma forma que você cria um usuário administrador para impedir o acesso root, é preciso criar mais usuários de maneira semelhante para evitar o uso do usuário administrador quando não for necessário. Todos os outros usuários e funções devem seguir estritamente o princípio de menor privilégio. 

    Por que isso é importante?

    A conta raiz deve ser utilizada apenas em raras ocasiões para atividades como atualização de detalhes de cobrança, habilitação do AWS marketplace ou suporte do AWS ou cancelamento da conta. 

    2 – Atualize o acesso do usuário raiz

    Depois de criar um usuário administrador é hora de restringir a atividade do usuário root apenas para funções de administração de conta de nível superior. Nunca gere chaves de acesso para um usuário root. Em vez disso, use uma senha forte e habilite imediatamente a autenticação multifator (MFA) para evitar seu uso indevido – acidente ou não. 

    Como atualizar o acesso do usuário root: 

    1. Faça login na conta usando as credenciais do usuário raiz. securing-aws-5-2
    2. Depois de fazer login, clique no nome de usuário e selecione “Minhas credenciais de segurança” no menu suspenso. securing-aws-6-2
    3. Selecione “Ativar MFA” e escolha a abordagem de MFA desejada seguindo as instruções na tela. securing-aws-7-2

    Dica: MFA não substitui senhas fortes. Use uma senha aleatória com letras, dígitos e caracteres especiais. Se existe a preocupação de perder ou esquecer a senha, use um gerenciador de senhas. 

    Por que isso é importante?

    O usuário raiz tem acesso a todos os serviços e recursos e pode executar ações administrativas, incluindo cancelar sua conta da AWS. 

    3 – Crie usuários da AWS

    Agora que você criou um usuário administrador, o próximo passo é criar os usuários diários da AWS e definir seus acessos; o uso da função de administrador deve ser limitado apenas quando necessário. 

    A maneira mais fácil de criar um usuário AWS é usando grupos. Isso permitirá que alterações sejam feitas facilmente em vários usuários de uma só vez. Isso é útil se um determinado grupo precisar repentinamente de acesso a um novo serviço ou não precisar mais acessar outro. É importante observar que os usuários não devem compartilhar o mesmo login, pois isso afetará a rastreabilidade e responsabilidade. 

    Como adicionar usuários diários da AWS 

    1. Faça login na AWS e abra o serviço IAM. 
    2. Escolha “Usuários” e, em seguida, escolha “Adicionar usuários”. 
    3. Digite o nome de usuário para o novo usuário e use a opção “Adicionar usuário adicional” para criar usuários em massa). O nome de usuário será o nome de login para a AWS. 
    4. Selecione como o(s) usuário(s) acessarão a AWS. Se o usuário precisar de acesso à API, selecione o acesso programático; se ele tiver permissão para fazer login na AWS, selecione acesso ao Controle de gerenciamento da AWS. É possível selecionar ambos, mas considere os casos de uso e tenha cuidado para evitar fornecer acesso desnecessário. 
    5. Selecione “Exigir redefinição de senha” para garantir que os usuários alterem suas senhas na primeira vez que entrarem. 
    6. Na página seguinte, selecione como deseja atribuir permissões. 
    7. A maneira mais fácil de atribuir permissões é usando grupos. Por enquanto, escolha “Criar grupo”. Da próxima vez que quiser adicionar um usuário use este grupo, ele aparecerá como uma opção nesta página. Digite o nome do grupo e selecione as políticas que deseja aplicar. Lembre-se de seguir os princípios de privilégio mínimo para limitar o acesso dos usuários apenas aos serviços e recursos necessários para concluir o trabalho. 
    8. A próxima tela é referente a tags, então apenas clique em “próximo” por enquanto. 
    9. Revise as opções configuradas e clique em “Criar usuário” para acessar as credenciais dos usuários. Distribua-os com cuidado – selecionar a opção “enviar e-mail” fornecerá ao usuário seu nome de usuário e URL do console (se necessário), no entanto, cabe ao administrador fornecer a senha ou chaves de acesso usando um canal personalizado, como por telefone ou e-mail. 
    10. Dica: À primeira vista, pode ser difícil selecionar uma opção que corresponda exatamente aos requisitos da organização. Neste caso, selecione a mais adequada e posteriormente crie uma política personalizada que possa ser adicionada a esse grupo. 

    Por que isso é importante?

    Minimizar o acesso e manter um registro de quem tem acesso ao que é crítico para proteger sua conta AWS, especialmente para aqueles que buscam estar em conformidade com padrões como ISO e SOC 2. 

    4 – Acesso seguro usando MFA

    Agora que você criou usuários e grupos, é hora de proteger o acesso desses usuários via MFA. 

    Como gerenciar o MFA: 

    1. Faça login no AWS e abra o serviço IAM. 
    2. Escolha “Usuários” no menu “Gerenciamento de acesso” e na lista ‘Usuários’ escolha o nome do usuário com acesso ao console. 
    3. Escolha “Credenciais de segurança” e, ao lado de “Dispositivo MFA atribuído”, selecione “Gerenciar”.
    4. No assistente “Manage MFA Device”, escolha a abordagem de MFA desejada e siga as instruções na tela. 
    5. Repita essas etapas para todos os usuários com acesso ao console. 

    Dica: se estiver usando um dispositivo virtual para MFA, como o Google Authenticator, envie seus códigos imediatamente após gerá-los para garantir que o dispositivo MFA esteja sincronizado. 

    Por que isso é importante?

    O acesso de um usuário é tão seguro quanto sua senha. Considerando que as chaves de acesso são inerentemente complexas, um agente mal-intencionado pode adivinhar sua senha. O MFA reduz esse risco. 

    5 – Defina políticas de senha padrão

    É hora de dobrar a segurança do acesso do usuário. Use políticas de senha para garantir que as senhas atendam aos padrões da empresa e, se aplicável, aos padrões regulatórios. 

    Como definir política de senhas: 

    1. Faça login na AWS e abra o serviço IAM. 
    2. Escolha as configurações de "Conta”. 
    3. Escolha “Altere a política de senha” na seção “Políticas de senha". 
    4. Selecione as opções que deseja aplicar à política de senha e salve as alterações. securing-aws-8-2

    Dica: escolha um equilíbrio entre seguro e sustentável. Por exemplo, expirar as senhas dos usuários todos os dias pode se tornar um pesadelo logístico. 

    Por que isso é importante?

    Embora seja vital manter uma política de senha segura, a autenticação multifator torna-se menos segura se um dos fatores for insignificante. Ter uma senha forte garante que, mesmo que um token MFA seja comprometido, qualquer ataque de força bruta de senha falhará. 

    6 – Defina políticas personalizadas

    Ao atribuir políticas a grupos, você deve ter notado que a AWS fornece uma extensa biblioteca de políticas pré-formatadas. Essas políticas cobrirão muitos casos de uso padrão, mas é essencial definir suas próprias políticas se as prontas para uso ainda fornecerem muito acesso aos usuários. 

    Para a maioria das empresas, esse é um processo contínuo e iterativo, e é uma prática importante de começar cedo, pois essas políticas são a base de uma arquitetura segura da AWS. 

    Como criar suas políticas: 

    1. Entre no console e abra o serviço IAM.
    2. Escolha “Políticas” e depois escolha “Crie uma política” ou “Comece” se nenhuma política tiver sido criada.
    3. Escolha “Criar sua própria política” e adicione um nome descritivo no campo de nome da política.
    4. Use um gerador de política, como o fornecido pela AWS, para criar um documento de política; a captura de tela abaixo mostra uma política gerada que limita o usuário a um conjunto específico de ações contra um conjunto específico de serviços e recursos. É possível copiar a política fornecida no campo “Documento da política” e clicar em “Criar política”.securing-aws-9-2

    Dica: sempre consulte o princípio do privilégio mínimo ao redigir políticas. Reduza quaisquer vetores de ataques em potencial limitando a política para permitir apenas as ações necessárias contra recursos necessários. 

    Por que isso é importante?

    Limitar um usuário a um conjunto predefinido de ações e serviços ou recursos evita o uso indevido dos serviços da AWS, acidentalmente ou não. 

    7- Uso seguro do EC2

    Depois de definir suas políticas e procedimentos e os usuários do console estarem prontos para começar a usar o AWS, você pode verificar o bloqueio de serviços individuais no nível de serviço. Um exemplo é o popular serviço de computação da AWS Elastic Compute Cloud (EC2). O EC2 permite que os usuários criem instâncias de computação com sua escolha de processadores, tipos de armazenamento e sistemas operacionais. Esta é, sem dúvida, uma grande ajuda para os desenvolvedores, no entanto, também é um serviço perigoso para ativar se não estiver seguro. Uma das etapas mais simples para proteger o uso do EC2 é restringir os usuários a Amazon Machine Images (AMI) pré-aprovadas, uma imagem suportada e mantida fornecida pela AWS. 

    Como proteger o EC2 

    1. Faça com que a equipe de desenvolvimento ou a equipe de segurança crie uma AMI que atenda aos requisitos de segurança da empresa, revise-a e marque-a. 
    2. Use seu conhecimento de política das dicas anteriores para criar uma condição de tag que restrinja as permissões dos usuários para iniciar apenas instâncias que usam a AMI marcada. 
    3. Anexe esta política ao grupo de usuários. 

    Dica: veja este link para uma análise detalhada. 

    Por que isso é importante?

    O uso de uma instância insegura do EC2 pode expor sua organização a ataques sofisticados. Caso os invasores obtenham acesso a essa instância, eles podem assumir sua função e acessar todos os recursos. 

    Outras dicas de segurança da AWS a serem lembradas

    Agora que a conta da AWS foi totalmente configurada, é hora de começar a preparar sua segurança da AWS para o futuro. Existem práticas e princípios que você deve seguir descritos abaixo. 

    Use infraestrutura como código via CloudFormation

    O serviço CloudFormation permite definir toda sua infraestrutura como código (IaC). Isso permite que você controle a versão da infraestrutura usando ferramentas como git e torna mais fácil submeter sua arquitetura a revisão por pares e validação automatizada. Você pode facilmente configurar, atualizar e reimplantar serviços e políticas em contas e regiões sem medo de erro humano. 

    Crie estágios usando o AWS Organizations

    O AWS Organizations permite que você dimensione rapidamente sua organização criando contas da AWS de forma programática e gerenciando-as a partir de um hub central. Isso significa que é possível auditar e aplicar políticas a várias contas e simplificar seu faturamento em um só lugar. 

    O fácil gerenciamento de contas combinado com o CloudFormation permite a criação e monitoramento de contas de desenvolvimento, preparação e produção, dando a confiança de que a produção está sempre estável. Também é possível ter contas separadas para auditoria e monitoramento, o que facilita a quebra de contas da AWS. 

    CloudTrail aumenta a visibilidade da atividade

    Depois de configurar várias contas, é importante monitorar a atividade de cada conta para fins de auditoria. Os logs do CloudTrail mostrarão todas as ações que um usuário executa e permitirão que você identifique rapidamente se alguém está realizando ações que não deveria ou se algum usuário precisa de recursos que não pode acessar. Os logs do CloudTrail mostrarão qual usuário executou (ou tentou executar) qual ação em qual recurso e quando. 

    Para garantir que o CloudTrail realmente reflita a atividade da sua conta, verifique se ele está configurado para enviar todos os logs para um depósito central que ninguém além do CSO possa acessar. Isso impede que usuários realizem ações e removam quaisquer vestígios e suas próprias atividades do CloudTrail. 

    Automatize a segurança com o Security Hub

    À medida que sua organização cresce, os processos manuais podem se tornar cada vez mais difíceis. A AWS oferece uma variedade de serviços para lidar com diferentes problemas de segurança. Mesmo com essas ferramentas, porém, gerenciar as descobertas dos serviços pode ser um desafio. 

    O Security Hub reduz o esforço necessário para coletar e priorizar descobertas de segurança em contas e serviços. Ele lida automaticamente com dados em diferentes formatos e normaliza as informações para que possam destacar e correlacionar descobertas em vários serviços. O Security Hub pode identificar padrões de atividade e ajudar a fornecer informações sobre o que está acontecendo na sua conta. 

    Este serviço usa as melhores práticas e padrões do setor para fornecer o status geral da saúde cibernética. O Service Hub se integra até mesmo ao EventBrige, permitindo a automação da correção de descobertas específicas. securing-aws-10-2

    Pensamentos finais

    O IAM é crucial para proteger a AWS à medida que sua organização cresce, e o controle baseado em função está no centro da segurança do serviço. Antes de configurar sua nova conta da AWS, você pode encontrar informações úteis sobre o IAM aqui. Quando se trata de planejar e obter informações sobre sua postura de segurança, a Varonis pode ajudar. Solicite uma demonstração gratuita. 

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Twitter, Reddit, or Facebook.

    We're Varonis.

    We've been keeping the world's most valuable data out of enemy hands since 2005 with our market-leading data security platform.

    How it works