Como protejo minha instância do EC2 para atender aos programas de conformidade?

6 minuto de leitura

Quero proteger minha instância do Amazon Elastic Compute Cloud (Amazon EC2) para atender a um programa de conformidade.

Resolução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

É sua responsabilidade seguir as leis de conformidade, regulamentações e programas de privacidade. Para mais informações sobre os programas de conformidade, consulte Programas de conformidade da AWS.

A tabela a seguir inclui programas de conformidade comuns, seus requisitos e serviços da AWS para ajudar a configurar a conformidade:

Programa de conformidade	Principais requisitos	Serviços da AWS para usar
SOC 2	Segurança, disponibilidade e confidencialidade	AWS Identity and Access Management (AWS IAM), AWS CloudTrail, AWS Config, Amazon GuardDuty
Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)	Criptografia de informações de saúde eletrônicas protegidas (ePHI) e logs de acesso	AWS Key Management Service (AWS KMS), CloudTrail, Amazon Macie
Padrões de segurança de dados de cartões de pagamento (PCI DSS)	Proteção de dados do titular do cartão e firewall de aplicações da web (WAF)	AWS WAF, AWS Shield, Amazon Inspector
Regulamento Geral sobre a Proteção de Dados (RGPD)	Proteção de informações de identificação pessoal (PII) e direito de exclusão	Macie, AWS Lambda
ISO 27001	Gerenciamento de riscos e criptografia	AWS Security Hub, AWS Artifact
National Institute of Standards and Technology (NIST) 800-53	Controle de acesso e registros em log	Políticas de controle de serviços (SCPs) da AWS Organizations
Federal Risk and Authorization Management Program (FedRAMP)	US government cloud security	AWS GovCloud (EUA), AWS Control Tower

Para atender aos requisitos de conformidade, é uma prática recomendada implementar uma abordagem de segurança em camadas para suas instâncias do EC2.

Usar o controle de acesso para aderir ao princípio do privilégio mínimo

Para configurar a conformidade com programas como SOC 2, NIST e ISO 27001, execute as seguintes ações:

Use o console do IAM Identity Center ou a AWS CLI para aplicar a autenticação multifator (MFA) para todos os usuários.
Observação: a MFA aplicada é obrigatória para PCI DSS e SOC 2.
Use perfis do IAM em vez de usuários raiz ou credenciais de longo prazo.
Aplique SCPs para restringir ações arriscadas.

Configurar a criptografia em repouso e em trânsito

Para configurar a conformidade com programas como HIPPA, PCI DSS e RGPD, execute as seguintes ações:

Ative a criptografia do Amazon Elastic Block Store (Amazon EBS).
Observação: é possível configurar a criptografia automática para novos volumes e snapshots do EBS.
Aplique o TLS 1.2 ou versão mais recente.
Observação: isso é obrigatório para PCI DSS.
Use certificados do AWS Certificate Manager (ACM) para gerenciar o tráfego HTTPS.
Configure seus grupos de segurança para bloquear tráfego não SSL/TLS.
Observação: para permitir somente tráfego criptografado, permita portas SSL/TLS, como 443, 465 e 587, e bloqueie portas de texto sem formatação, como 80, 21 e 3306. Para mais informações sobre grupos de segurança, consulte Regras de grupos de segurança para diferentes casos de uso.
Combine regras de grupos de segurança com a imposição a nível de aplicação, como HTTP Strict-Transport-Security (HSTS).

Configurar firewalls de segurança de rede

Para configurar a conformidade com programas como PCI DSS, FedRAMP e NIST, execute as seguintes ações:

Restrinja os grupos de segurança para permitir somente as portas necessárias.
Use o AWS WAF para proteger sua instância.
Ative os logs de fluxo da Amazon Virtual Private Cloud (Amazon VPC) para capturar o tráfego de endereços IP para que você esteja em conformidade com as práticas recomendadas operacionais do NIST 800-53.

Configurar trilhas de auditoria

Para configurar a conformidade com programas como SOC 2, ISO 27001 e HIPAA, execute as seguintes ações:

Para ativar o CloudTrail em todas as regiões da AWS, crie uma trilha com IsMultiRegionTrail definido como verdadeiro ou atualize suas trilhas atuais.
Envie logs para o Amazon Detective ou para o Security Hub para verificações automatizadas de conformidade.

Configurar o gerenciamento de patches e as verificações de vulnerabilidades

Para configurar a conformidade com programas como PCI DSS e FedRAMP, execute as seguintes ações:

Configure o Gerenciador de Patches, um recurso do AWS Systems Manager, para corrigir automaticamente suas instâncias do Windows e do Linux.
Use o Amazon Inspector para verificar suas instâncias quanto a vulnerabilidades de pacotes e problemas de acessibilidade de rede.

Configurar o acesso SSH

Para configurar a conformidade com programas como SOC 2, HIPAA, PCI DSS e NIST, execute as seguintes ações:

Siga as práticas recomendadas de acesso SSH.
Use o Gerenciador de Sessões, um recurso do AWS Systems Manager, para se conectar à sua instância em vez do SSH.
Restrinja grupos de segurança a endereços IP específicos.
Desative o login com senha e, em vez disso, use pares de chaves SSH.
Alterne suas chaves SSH a cada 90 dias.

Configurar a detecção de ameaças

Para configurar a conformidade com programas como SOC 2 e IS 27001, defina as seguintes configurações do GuardDuty:

Integre o GuardDuty com o Security Hub para encaminhar descobertas críticas.
Configure verificações de malware sob demanda.
Para identificar as ameaças à segurança que mais afetam seu ambiente, configure regras de supressão para remover falsos positivos, descobertas de baixo valor e ameaças não acionáveis.

Recuperar informações sobre as instâncias para geração de um relatório

Para obter dados sobre sua instância, como ID, tags e status de conformidade, execute o seguinte comando describe-instances da AWS CLI:

aws ec2 describe-instances --query Reservations[*].Instances[*].{InstanceId, InstanceType, LaunchTime, State.Name, Tags[?Key==`Name`].Value} --output text > instances.csv

Importante: é uma prática recomendada auditar e atualizar regularmente sua configuração para manter a conformidade à medida que os padrões mudam.

Tópicos: Compute
Tags: Linux Amazon EC2 Windows
Idioma: Português

AWS OFICIALAtualizada há um ano

Sem comentários

Conteúdo relevante

FNAF 6 Mobile Game (Full Game Android) - Problema de latência ao acessar assets a partir de uma instância EC2
mariagone
feita há 6 meses
Ajuda com otimização de custos na AWS para startup SaaS (EC2 e RDS)
Heber
feita há um ano
Erro ao conectar remotamente a Instância EC2 após problemas na licença do Acesso Remoto do Windows Server
PauloS
feita há um ano
Minha instância não aparece no Painel.
Carlos Augusto
feita há um ano
Servidor não Liga
Evandro
feita há um ano
Por que minha instância do EC2 ficou inacessível antes da data de desativação programada?
AWS OFICIALAtualizada há 8 meses
Como protejo minha instância de contêiner do Amazon ECS seguindo as práticas recomendadas e técnicas de hardening?
AWS OFICIALAtualizada há um ano
Como faço para gerenciar e reprogramar eventos de manutenção de instâncias do Amazon EC2?
AWS OFICIALAtualizada há um ano
Como faço para usar o Programador de instâncias com o CloudFormation para programar instâncias do EC2?
AWS OFICIALAtualizada há 10 meses
Por que as cobranças de serviço na fatura da AWS não correspondem às cobranças no AWS Cost Explorer ou no AWS Cost and Usage Report?
ESPECIALISTA
Caio Correa
publicada há 2 meses