AWS na prática | Modelo de responsabilidade compartilhada

Para migrar um ambiente para a AWS é importante entender o modelo de responsabilidade compartilhada, ou seja, no escopo de segurança, o que é responsabilidade da AWS e o que é responsabilidade de quem usa.

Este modelo foi criado para definir de quem é a responsabilidade, no escopo de segurança da informação, em cada nível de serviço. É como uma matriz de responsabilidades, que deixa claro, preto no branco, até que ponto vai a responsabilidade da AWS. Este mesmo formato é usado por praticamente todas as nuvens públicas atualmente.

O modelo de responsabilidade compartilhada é bem simples de entender. Ele basicamente divide o ambiente da AWS em duas camadas:

• Segurança da nuvem – infraestrutura que suporta os serviços da AWS.
• Segurança na nuvem – tudo que a AWS te entrega de recursos para que você faça a gestão.

O que envolve a segurança DA nuvem?

É toda a infraestrutura que executa os serviços oferecidos na nuvem da AWS. Contempla hardware, software, redes e data centers, que são as instalações físicas que hospedam os equipamentos da AWS.

Podemos dizer que a AWS é responsável pela segurança do que ela gerencia. Ela é responsável pela segurança dos servidores, storages, redes, sistemas operacionais e do hypervisor que ela administra para entregar os recursos computacionais para seus usuários.

Tratando de segurança física e de hardware, a AWS possui todas as principais certificações de segurança e segue leis e regulamentos de diversas partes do mundo. Ela possui procedimentos desde segurança física de perímetro, com pessoas armadas, até procedimento de descarte de HDs, em que eles são fisicamente triturados antes do descarte.

Para que instituições financeiras e órgãos de saúde possam usar a nuvem, existem várias normas que devem ser seguidas. Todas as zonas de disponibilidade da AWS já nascem preparadas para isso. Felizmente podemos ter acesso aos mesmos recursos computacionais que grandes bancos e empresas usam no dia-a-dia!

No caso de serviços gerenciados pela AWS, como o RDS e o Load Balancer, a AWS é responsável também pela segurança do Sistema Operacional e serviços que rodam nele. Isso significa que quando usamos um RDS SQL Server, não precisamos nos preocupar com atualizações de segurança do Windows Server, nem em ficar aplicando patches no serviço do SQL Server. Tudo isso fica sob responsabilidade da AWS, porque é ela que gerencia esse serviço, entregando para o cliente o SQL Server estável e seguro.

E a segurança NA nuvem?

Quando criamos uma instância EC2, é nossa responsabilidade cuidar da segurança do sistema operacional e dos serviços que vamos rodar nele. Por exemplo, se essa instância for rodar um webserver apache um banco de dados MySQL, nós temos de nos preocupar com o hardening de segurança do sistema operacional, do apache e do MySQL. A AWS não vai cuidar disso para nós porque ela não tem acesso à nossa instância.

A plataforma da AWS nos fornece uma ferramenta de firewall (security groups) que nos possibilita implementar uma certa camada de segurança, porém se nós formos descuidados e abrirmos a porta do SSH para toda a internet, sem filtrar a origem, então nós estamos colocando a segurança do nosso ambiente em risco porque fomos negligentes. Da mesma forma, se não aplicarmos todos os patches de segurança no apache, ele estará vulnerável à invasão e vazamento de dados. Ou ainda, falando do apache, é nossa responsabilidade implementar um certificado SSL no ambiente.

No caso do IAM, é uma ferramenta muito poderosa para controle de usuários e acessos, porém nós precisamos entender todos seus recursos em configurá-los adequadamente. Se concedermos permissão para qualquer usuário deletar instâncias, alguém descuidado poderá remover instâncias de um ambiente em produção, ocasionando indisponibilidade e perda de dados.

Uma grande vantagem de hospedarmos nosso ambiente na AWS é que, por padrão, já nos fornece uma série de serviços que nos ajudam a implementar camadas de segurança da informação em diversos níveis:

• Security Groups para controle de acesso em nossa rede pública.
• Network ACLs para controle de acesso entre instâncias dentro de nossa rede privada.
• Serviços de mitigação de ataques DDoS.
• Ferramentas de inventário e gerenciamento de configuração.
• Serviços para implementar criptografia de dados, tanto em disco como em banco de dados RDS.
• Ferramentas para controle de identidade e acesso que permitem implementar dupla-autenticação e integração com seu domínio local.
• Ferramentas de monitoramento da infraestrutura.
• Ferramentas de Logs de serviços e APIs.

Quase todos esses serviços estão disponíveis gratuitamente, ou por um preço bem pequeno, se comparado com o custo de implementá-los em um ambiente tradicional.

Apresentei aqui uma visão geral do que é o modelo de responsabilidade compartilhada, porém recomendo que estudem o material disponível no próprio site da AWS, clicando aqui.