Modelo de Segurança Partilhada da AWS

A Amazon oferece uma vasta gama de serviços para garantir a segurança de implementações específicas. Para ajudar os utilizadores a compreenderem estes serviços conceptualmente, o Modelo de Segurança Partilhada da AWS determina quais os controlos de segurança que são da responsabilidade da AWS e quais são dos clientes.

À medida que as empresas procuram uma maior eficiência operacional para garantir uma vantagem competitiva, recorrem a fornecedores de serviços em nuvem, como a Amazon Web Services, para gerir a sua infraestrutura de TI.

Esta medida pode ser vista como arriscada – o valor acrescentado da AWS é que os utilizadores abdicam de algum controlo sobre a infraestrutura subjacente. Mas os fornecedores de serviços de cloud, como a AWS, continuam a investir significativamente na segurança dos seus serviços, com o objetivo de tornar os serviços de cloud mais seguros do que uma infraestrutura local.

Responsabilidades de segurança da AWS

Em geral, a AWS considera-se responsável pela segurança da nuvem como um todo, enquanto os clientes devem manter a responsabilidade pela segurança das suas instâncias específicas.

• Hardware/infraestrutura global da AWS: isto inclui zonas regionais, disponíveis e de borda da infraestrutura de nuvem da Amazon. Isto é feito através de proteções de segurança física e manutenção constante de TI.
• Software AWS (computação, armazenamento, base de dados, rede): A Amazon garante uma plataforma de software segura em todos os seus serviços. Este aspeto da responsabilidade da Amazon também se refere aos serviços de segurança da AWS desenvolvidos pela Amazon para uso dos clientes. Isto pode incluir chaves de encriptação, ferramentas de monitorização de rede, proteção de bases de dados e mais.

Responsabilidades de segurança do cliente

A responsabilidade pelo controlo de segurança do lado do cliente é determinada pelo serviço AWS Cloud que selecionam. Quando um cliente escolhe qualquer um dos serviços ‘Infraestrutura como Serviço’ da Amazon (EC2, VPC, S3), o cliente deve realizar todas as tarefas necessárias de configuração e gestão de segurança. Isto inclui:

• Dados do cliente: proteção dos dados das empresas do lado da rede, à medida que entram e saem do serviço de cloud.
• Plataforma, aplicações, gestão de identidade e acesso: o cliente é responsável pela manutenção e proteção da plataforma a funcionar na nuvem, e por todos os aspetos associados. Por exemplo, um cliente que opera uma loja de roupa online terá de garantir a proteção das identidades e contas dos seus compradores.
• Encriptação de dados do lado do cliente: quer através de uma chave de encriptação gerida pela AWS, quer através de uma chave pessoal não fornecida pela AWS.
• Encriptação do sistema de ficheiros: Ao proteger os seus dados em repouso, o cliente pode usar um sistema de proteção independente ou utilizar uma proteção do sistema de ficheiros fornecida pela AWS.
• Proteções de tráfego de rede: os clientes precisam garantir a segurança de todo o tráfego que entra e sai do servidor.
• Proteção de serviços e comunicações: um cliente é responsável pelo encaminhamento e pela zonagem de dados dentro de ambientes de segurança específicos.

Responsabilidades de segurança partilhada

A AWS fornece os requisitos para a infraestrutura e o cliente deve fornecer a sua própria implementação de controlo dentro do seu uso dos serviços AWS:

• Controlos de TI: Não só as operações de TI são partilhadas entre a AWS e os seus clientes, como também a gestão e operações dos referidos controlos. A AWS pode ajudar a moderar a carga do cliente em métodos de segurança como manutenção de firewall, encriptação a nível de rede, enquanto supervisiona a implementação de controlos de TI para garantir a devida adesão aos regulamentos de segurança da AWS.
• Gestão de patches: A AWS é responsável por aplicar patches e corrigir falhas na infraestrutura, mas os clientes são responsáveis por aplicar patches no seu sistema operativo convidado e aplicações.
• Gestão de configuração: A AWS mantém a configuração dos seus dispositivos de infraestrutura, mas o cliente é responsável por configurar os seus próprios sistemas operativos convidados, bases de dados e aplicações.
• Consciência & formação: A AWS forma os funcionários da AWS, mas um cliente deve formar os seus próprios funcionários.
• Específico do cliente: Controlos que são exclusivamente da responsabilidade do cliente com base na aplicação que estão a implementar nos serviços AWS.
• Serviço e proteção de comunicações: Segurança de Zona que pode exigir que um cliente encaminhe ou zone dados dentro de ambientes de segurança específicos.

O modelo de responsabilidade partilhada da AWS foi concebido para aumentar o nível total de segurança da infraestrutura de cloud da Amazon. Ao educar os seus clientes sobre como podem gerir e manter fortes proteções operacionais, tanto os clientes da Amazon como os da Web Services podem sentir-se melhor protegidos. O benefício mútuo da segurança partilhada dá garantias à Amazon de que não tem de manter diretamente todos os aspetos da sua segurança, e ajuda os clientes a sentirem que a Amazon pode ajustar-se às suas necessidades específicas de segurança. Para garantir um modelo de segurança bem-sucedido quando a responsabilidade é partilhada, a consciencialização do cliente é fundamental, juntamente com uma forte compreensão dos riscos associados a confiar num terceiro.

A liberdade da responsabilidade total pode ser uma grande vantagem para reduzir custos e aumentar a qualidade da segurança.