Sabemos como é árdua a tarefa de aumentar o nível de maturidade do nosso ambiente na nuvem. Com o passar do tempo, diversos recursos vão sendo criados e podemos facilmente perder o controle do que acontece “em segundo plano”.
Para ajudar a sanar as mais diversas necessidades de segurança de um ambiente em nuvem, a AWS oferece uma vasta gama de serviços que nos ajudam a endereçar questões como: auditoria de acessos, detecção de ameaças, mudanças de configurações e por aí vai.
Hoje irei apresentar a vocês alguns serviços que podem ajudar a facilitar o dia a dia de operações de Cloud Security no seu ambiente.
Cloudtrail
AWS CloudTrail é um serviço de registro de eventos da AWS que monitora todas as atividades de usuário e recursos na sua conta da AWS. Ele fornece visibilidade sobre ações realizadas pelos usuários, permitindo uma auditoria completa e possibilitando a identificação de potenciais problemas de segurança e conformidade.
Por padrão o CloudTrail guarda por 90 dias o histórico das chamadas de API que foram realizadas no ambiente, sejam por recursos ou atividades dos próprios usuários. Se quisermos armazenar os logs de eventos por mais tempo podemos utilizar o recurso chamado Trail para enviar esses dados para um local em que possam ficar armazenados e serem consultados por mais tempo, como por exemplo o S3 ou CloudWatch logs. O primeiro Trail criado na conta não possui custo direto para utilizá-lo, você pagará somente pelo local de armazenamento dos logs.
Também temos algumas outras funcionalidades disponíveis, como Insights e o Lake.
Insights
Pode ser utilizado para identificar atividades incomuns em nosso ambiente baseando-se nos padrões de eventos que são processados e ingeridos pelo CloudTrail.
Ex: Provisionamento em massa de recursos, ações no IAM, etc.
Lake
É uma estrutura de Data Lake integrada que pode ser utilizado para consultar de forma mais simples os dados registrados pelo CloudTrail. É útil para realizar auditorias, investigações de segurança e eventuais troubleshootings do nosso ambiente.
As atividades referentes as consultas dos dados podem ser realizadas usando SQL através da própria interface do CloudTrail. Se você achar muito complicado(ou caro) usar o CloudTrail Lake, uma outra forma de realizar a consulta nos dados é criando tabelas com os mesmos dados para serem consultados pelo Amazon Athena.
GuardDuty
AWS GuardDuty é um serviço de detecção de ameaças gerenciado que monitora continuamente sua conta AWS em busca de atividades maliciosas, incluindo invasões, comportamentos de malware e tráfego de rede suspeito. Ele usa machine learning e análises de dados para identificar padrões de ameaças e enviar alertas para que você possa agir rapidamente para remediar a situação. Por padrão ele ingere automaticamente os dados de VPC Flow(não precisa estar habilitado), consultadas de DNS e os eventos gerados pelo CloudTrail.
Cada item detectado é chamado de finding e trás os dados referentes a ameaça detectada. Ele pode ajudar a detectar acessos incomuns na AWS baseado em horários e localizações geográficas fora do padrão, uso suspeito de credencias IAM, brute force em instâncias EC2 e uma serie de outras possíveis ameaças.
Se você usa um ambiente multi-account, é possível configurá-lo de forma integrada ao AWS Organizations e habilitar as funcionalidades de forma automática para todas as contas, além de centralizar o gerenciamento dos findings em um único painel.
S3 Protection
A função S3 Protection do GuardDuty é um recurso que ajuda a proteger seus buckets contra ameaças de segurança, como acesso não autorizado e exfiltração de dados. Ele alerta sobre atividades suspeitas, como tentativas de acesso a buckets sem autorização e movimentação de grandes quantidades de dados para fora dos buckets.
EKS Protection
A função EKS Protection do GuardDuty é um recurso que ajuda a proteger seus clusters do EKS contra ameaças de segurança. Ele alerta sobre atividades suspeitas, como tentativas de acesso não autorizado e exploração de vulnerabilidades conhecidas no serviço de containers.
Malware Protection
A função Malware Protection do GuardDuty é um recurso que ajuda a proteger sua infraestrutura da AWS contra malware. Ele analisa o tráfego de rede em sua conta em busca de comportamentos maliciosos e alerta sobre atividades suspeitas, como a comunicação com hosts maliciosos conhecidos.
RDS Protection
A função RDS Protection do GuardDuty é um recurso que ajuda a proteger seus bancos de dados contra ameaças de segurança. Ele alerta sobre atividades suspeitas, como tentativas de acesso não autorizado e exploração de vulnerabilidades conhecidas no RDS.
Lambda Protection
A função Lambda Protection do GuardDuty é um recurso que ajuda a proteger suas funções do AWS Lambda contra ameaças de segurança. Ele alerta sobre atividades suspeitas, como tentativas de execução de código malicioso em funções do Lambda ou exploração de vulnerabilidades conhecidas.
inspector
AWS Inspector é um serviço de avaliação de segurança automatizado que ajuda a melhorar a segurança e a conformidade de aplicativos implantados na AWS. Ele avalia automaticamente aplicativos em busca de vulnerabilidades e configurações incorretas e fornece recomendações de remediação. Isso ajuda a garantir que seus aplicativos estejam em conformidade com as melhores práticas de segurança.
config
AWS Config é um serviço que ajuda a avaliar, auditar e avaliar continuamente a configuração dos recursos da AWS. Ele permite que você avalie e audite continuamente a conformidade das configurações de recursos da AWS em relação às suas políticas de conformidade. Com o AWS Config você pode automatizar a avaliação e auditoria de recursos, além de detectar mudanças não autorizadas nas configurações.
security hub
AWS Security Hub é um serviço de centralização de segurança que fornece uma visão abrangente dos alertas e recomendações de segurança de vários serviços da AWS(e alguns parceiros) através de coleta automatizada.
Podemos configurar uma visão centralizada dos findings de vários serviços como GuardDuty, Inspector, Macie, etc. O serviço também permite que você execute verificações de conformidade e avalie continuamente a segurança da sua conta.
Conclusão
Com este conjunto de ferramentas podemos aumentar substancialmente o nível de segurança dos nossos ambientes na AWS. Utilize-as em conjunto com as recomendações de boas práticas para que você possa tirar o melhor proveito de cada uma, elevando sua maturidade de segurança na nuvem.
Vale mencionar que alguns(se não todos) possuem um nível gratuito de 30 dias para experimentar todas suas funcionalidades. Se o seu objetivo for somente realizar um teste de como os serviços funcionam, poderá habilitá-los e depois desativá-los antes do fim dos 30 dias para garantir que cobranças inesperadas não serão geradas.
Atente-se as condições de teste liberadas pela AWS para evitar surpresas.