A seguir temos os serviços de segurança nativos na AWS que podem ser utilizados para proteger o seu ambiente na nuvem. Alguns serviços não tem custo, outros tem um período em que podem testar sem custo e outros possuem um limite de utilização sem custos.
O AWS Shield
é um serviço gerenciado de proteção contra DDoS (Negação de serviço distribuída) que protege os aplicativos executados na AWS. O AWS Shield oferece de detecção e mitigações em linha automáticas e sempre ativas que minimizam o tempo de inatividade e a latência dos aplicativos, fornecendo proteção contra DDoS sem necessidade de envolver o AWS Support.
Todos os clientes da AWS se beneficiam gratuitamente com as proteções automáticas do AWS Shield Standard. O AWS Shield Standard protege contra os ataques de DDoS mais comuns, que ocorrem com frequência nas camadas de rede e transporte e visam sites ou aplicativos web. Ao usar o AWS Shield Standard com o Amazon CloudFront e o Amazon Route 53, você recebe uma proteção abrangente de disponibilidade contra todos os ataques conhecidos de infraestrutura (camadas 3 e 4).
O AWS Identity and Access Management (IAM)
permite que você gerencie com segurança o acesso aos serviços e recursos da AWS. Usando o IAM, você pode criar e gerenciar usuários e grupos da AWS e usar permissões para conceder e negar acesso a recursos da AWS.
O IAM é um recurso de sua conta da AWS disponibilizado gratuitamente. Você será cobrado somente pelo uso de outros serviços da AWS utilizados pelos usuários.
O IAM Access Analyzer
gera descobertas abrangentes que identificam recursos que podem ser acessados de fora de uma conta da AWS. O IAM Access Analyzer faz isso avaliando políticas de recursos usando lógica matemática e inferência para determinar os possíveis caminhos de acesso permitidos pelas políticas.
O IAM Access Analyzer monitora continuamente as políticas novas ou atualizadas e analisa as permissões concedidas usando políticas para seus buckets do Amazon S3, chaves do AWS KMS, filas do Amazon SQS, funções do AWS IAM e funções do AWS Lambda.
O AWS Organizations ajuda você a gerenciar e controlar seu ambiente de maneira centralizada à medida que os negócios e seus recursos da AWS expandem. Usando o AWS Organizations, você pode criar novas contas da AWS e alocar recursos, agrupar contas para organizar seus fluxos de trabalho, aplicar políticas a contas ou grupos para governança e simplificar o faturamento usando um único método de pagamento para todas as suas contas.
O AWS IAM Identity Center (sucessor do AWS Single Sign-On)
facilita o gerenciamento centralizado do acesso a várias contas e aplicativos de negócios da AWS e fornece aos usuários acesso de logon único a todas as suas contas e aplicativos atribuídos em um só local. Com o AWS IAM Identity Center (sucessor do AWS Single Sign-On), você pode gerenciar com facilidade o acesso e as permissões de usuário a todas as suas contas no AWS Organizations de forma centralizada.
O AWS IAM Identity Center (sucessor do AWS Single Sign-On) configura e mantém todas as permissões necessárias para as suas contas automaticamente, sem exigir qualquer configuração adicional nas contas individuais. Você atribui permissões de usuário com base em funções de trabalho comuns e as personaliza para atender aos requisitos de segurança específicos. O AWS IAM Identity Center (sucessor do AWS Single Sign-On) também inclui integrações incorporadas a vários aplicativos empresariais, como Salesforce, Box e Office 365.
Bloqueio do Acesso Público ao S3 possibilita controles por toda uma conta AWS ou em um bucket S3 individualmente para garantir que objetos nunca tenham acesso público, agora e no futuro. Acesso público é permitido para buckets e objetos por meio de Listas de Contole de Acesso (ACLs), políticas de buckets, ou ambos. Para garantir que o acesso público esteja bloqueado a todos os seus buckets S3, habilite o bloqueio total de acesso público no nível de conta. Essas configurações se aplicam a toda a conta para todos os buckets atuais e futuros.
O AWS Systems Manager Patch Manager
automatiza o processo de aplicação de patches a instâncias gerenciadas com atualizações de segurança e outros tipos de atualizações. Você pode usar o Patch Manager para aplicar patches a sistemas operacionais e aplicativos. É possível usar o Patch Manager para instalar Service Packs em instâncias do Windows e executar atualizações de versões secundárias em instâncias do Linux. Você pode aplicar patches a frotas de instâncias do EC2 ou a servidores no local e máquinas virtuais (VMs) por tipo de sistema operacional.
(o serviço para servidores na nuvem AWS é gratuito, para servidores on-premises ou outras nuvens existe custo)
O AWS System Manager Session Manager é um serviço totalmente gerenciado que permite que você gerencie suas Amazon Elastic Compute Cloud (Amazon EC2), instâncias on-premises, e máquinas virtuais (VMs) por meio de um shell interativo baseado no navegador com um clique ou por meio do AWS Command Line Interface (AWS CLI). O Session Manager fornece gerenciamento de instâncias seguro e auditável sem a necessidade de abrir portas de entrada, manter bastion hosts, ou gerenciar chaves SSH. O Session Manager também facilita o cumprimento de políticas corporativas que exigem acesso controlado a instâncias por práticas de segurança rigorosas e logs totalmente auditáveis com detalhes de acesso à instância, ao mesmo tempo que ainda fornece aos usuários finais acesso de um único clique e entre plataformas às suas instâncias gerenciadas.
O AWS Trusted Advisor é uma ferramenta online que fornece orientações em tempo real para ajudar a provisionar recursos de acordo com as melhores práticas da AWS. As verificações do Trusted Advisor ajudam a otimizar sua infraestrutura da AWS, aumentar a segurança e a performance, reduzir os custos gerais e monitorar os limites de serviço. Para estabelecer novos fluxos de trabalho, desenvolver aplicativos ou fazer parte de aprimoramentos contínuos, aproveite as recomendações fornecidas regularmente pelo Trusted Advisor para a ajudar a manter o provisionamento ideal das soluções.
O Construtor de imagens do EC2
simplifica a criação, manutenção, validação, o compartilhamento e a implantação de imagens do Linux ou Windows Server para uso no Amazon EC2 e on-premises. Manter as imagens do servidor atualizadas pode consumir muito tempo, utilizar muitos recursos e é propenso a erros. No momento, os clientes atualizam e capturam instantaneamente as VMs ou destinam equipes que criam scripts de automação para manter as imagens.
O Construtor de imagens reduz significativamente o esforço de manter as imagens atualizadas e seguras, fornecendo uma interface gráfica simples, automação incorporada e configurações de segurança fornecidas pela AWS. Com o Construtor de imagens, não há etapas manuais para atualizar uma imagem e você também não precisa criar seu próprio pipeline de automação.
(o serviço é gratuito, somente a infraestrutura criada tem custo)
O AWS CloudFormation
oferece uma forma fácil de modelar uma coleção de recursos relacionados da AWS e de terceiros, provisioná-la com rapidez e consistência e gerenciar todo o seu ciclo de vida mediante o tratamento da infraestrutura como código. Um modelo do CloudFormation descreve os recursos desejados e suas dependências para que você possa iniciá-los e configurá-los em conjunto como uma pilha. Você pode usar um modelo para criar, atualizar e excluir uma pilha inteira como uma única unidade, quantas vezes quiser, em vez de gerenciar os recursos individualmente.
(o serviço é gratuiro, somente a infraestrutura criada tem custo)
O AWS Well-Architected Tool ajuda a analisar o estado das cargas de trabalho e as compara às mais recentes melhores práticas de arquitetura da AWS. A ferramenta é baseada no AWS Well-Architected Framework , desenvolvido para ajudar arquitetos de nuvem a criar infraestruturas de aplicativos seguras, resilientes, eficientes e de alta performance. O Pilar de Segurança se concentra em proteger informações e sistemas