SEC 8: Como você protege seus dados em repouso?

Proteja seus dados em repouso implementando vários controles para reduzir o risco de acesso não autorizado ou manuseio incorreto.

Recursos

How Encryption Works in AWS
Securing Your Block Storage on AWS
AWS Key Management Service
Protecting Amazon S3 Data Using Encryption
Amazon EBS Encryption
Encrypting Amazon RDS Resources
AWS KMS Cryptographic Details Whitepaper
AWS Encryption SDK
AWS Crypto Tools
AWS cryptographic services and tools

Melhores práticas:

• Implementar gerenciamento de chaves seguro: As chaves de criptografia devem ser armazenadas em segurança, com um rigoroso controle de acesso; por exemplo, usando um serviço de gerenciamento de chaves, como o AWS KMS. Considere o uso de chaves diferentes e o controle de acesso às chaves, combinado com as políticas de recursos e IAM da AWS, para alinhamento com os níveis de classificação de dados e requisitos de segregação.

• Aplicar criptografia em repouso: Aplique seus requisitos de criptografia definidos com base nos mais recentes padrões e recomendações para proteger os dados em repouso.

• Automatizar a proteção de dados em repouso: Use ferramentas automatizadas para validar e aplicar controles de dados em repouso continuamente, por exemplo, verificar se há apenas recursos de armazenamento criptografados.

• Aplicar controle de acesso: Aplique controle de acesso com privilégios mínimos e mecanismos, incluindo backups, isolamento e versionamento, para ajudar a proteger seus dados ociosos. Impeça que os operadores concedam acesso público aos seus dados.

• Usar mecanismos para evitar que as pessoas acessem os dados: Impeça que os usuários acessem dados e sistemas confidenciais diretamente em circunstâncias operacionais normais. Por exemplo, ofereça um painel em vez de acesso direto a um armazenamento de dados para executar consultas. Quando os pipelines de CI/CD não forem usados, determine quais controles e processos são necessários para fornecer adequadamente um mecanismo de acesso break-glass normalmente desabilitado.

Plano de melhoria

Implementar gerenciamento de chaves seguro

Implementar o AWS Key Management Service (AWS KMS): O AWS Key Management Service (AWS KMS) facilita a criação e o gerenciamento de chaves e o controle do uso da criptografia em uma grande variedade de serviços da AWS e em seus aplicativos. O AWS KMS é um serviço seguro e resiliente que usa módulos de segurança de hardware validados pelo FIPS 140-2 para proteger suas chaves.
Getting started: AWS Key Management Service (AWS KMS)

Considerar o AWS Encryption SDK: Use o AWS Encryption SDK com a integração do AWS KMS quando seu aplicativo precisar criptografar dados do lado do cliente.
AWS Encryption SDK

Aplicar criptografia em repouso

Aplicar criptografia em repouso para o Amazon S3: Implemente a criptografia padrão do bucket do S3.
How do I enable default encryption for an S3 bucket?

Usar o AWS Secrets Manager: O AWS Secrets Manager é um serviço da AWS que facilita o gerenciamento de segredos. Segredos podem ser credenciais de banco de dados, senhas, chaves de API de terceiros e até texto arbitrário.
AWS Secrets Manager

Configurar a criptografia padrão para novos volumes do EBS: Especifique que você deseja que todos os volumes do EBS recém-criados sejam criados em formato criptografado, com a opção de usar a chave padrão fornecida pela AWS ou uma chave que você criar.
Default encryption for EBS volumes

Configurar Amazon Machine Images (AMIs) criptografadas: A cópia de uma AMI existente com a criptografia ativada criptografará automaticamente os volumes raiz e os snapshots.
AMIs with encrypted Snapshots

Configurar criptografia do Amazon RDS: Configure a criptografia para seus clusters e snapshots em repouso de banco de dados do Amazon RDS ativando a opção de criptografia.
Encrypting Amazon RDS resources

Configurar a criptografia em serviços adicionais da AWS: Para os serviços da AWS que você usa, determine os recursos de criptografia.
AWS Documentation

Automatizar a proteção de dados em repouso

Aplicar controle de acesso

Aplicar controle de acesso: Aplique o controle de acesso com privilégios mínimos, incluindo acesso a chaves de criptografia.
Introduction to Managing Access Permissions to Your Amazon S3 Resources

Dados separados com base em diferentes níveis de classificação: Use diferentes contas da AWS para níveis de classificação de dados gerenciados pelo AWS Organizations.
AWS Organizations

Analisar políticas do AWS KMS: Analise o nível de acesso concedido nas políticas do AWS KMS.
Overview of managing access to your AWS KMS resources

Analisar as permissões do bucket do S3 e do objeto: Analise com regularidade o nível de acesso concedido nas política de bucket do Amazon S3. Uma das melhores práticas é não ter buckets que possam ser lidos ou gravados publicamente. Considere o uso do AWS Config para detectar buckets que estão disponíveis publicamente e do Amazon CloudFront para fornecer conteúdo do Amazon S3.
AWS Config Rules
Amazon S3 + Amazon CloudFront: A Match Made in the Cloud

Habilitar o versionamento e o bloqueio de objetos do Amazon S3
Using versioning
Locking Objects Using Amazon S3 Object Lock

Usar o Amazon S3 Inventory: O Amazon S3 Inventory é uma das ferramentas que você pode usar para auditar e gerar relatórios sobre o status de replicação e criptografia de seus objetos.
Amazon S3 Inventory

Analisar as permissões de compartilhamento do Amazon EBS e da AMI: As permissões de compartilhamento podem permitir que imagens e volumes sejam compartilhados com contas da AWS externas à sua carga de trabalho.
Sharing an Amazon EBS Snapshot
Shared AMIs

Usar mecanismos para evitar que as pessoas acessem os dados

Implementar mecanismos para evitar que as pessoas acessem os dados: Os mecanismos incluem o uso de painéis, como o Amazon QuickSight, para exibir dados para os usuários, em vez de consultar diretamente.
Amazon QuickSight

Automatizar gerenciamento de configuração: Execute ações remotas, aplique e valide configurações seguras automaticamente usando uma ferramenta ou um serviço de gerenciamento de configuração. Evite usar bastion hosts ou acessar diretamente instâncias do EC2.
AWS Systems Manager
AWS CloudFormation
CI/CD Pipeline for AWS CloudFormation templates on AWS