Security - ribeiry/AWS-Professional-Study GitHub Wiki

Security Groups

É um firewall na camada de instancias aonde voce pode liberar ou negar acessos a determinadas portas .A AWS removeu o dispositivo de firewall do hub da rede e implementou a funcionalidade de firewall como Statefull no Security Group e Stateless em NACLs

  • Regras são stefull (mantém o estado) regra de entrada vale para saída também

  • Atua no nível de Interface (Instancia)

  • Avalia todas as regras antes de decidir em que momento permitir o trafego

  • Suporta apenas regra de permissão "allows"

  • Tanto Security Groups quanto NACL são refletidas as alterações imediatamente.

  • Regras Default de um Security Group Default :

    • Permite tráfego de entrada de interfaces de rede e instâncias atribuídas ao mesmo grupo de segurança.
    • Permite todo o tráfego IPv4 de saída.
    • Permite todo o tráfego IPv6 de saída. (Essa regra será adicionada somente se sua VPC tiver um bloco CIDR IPv6 associado.)

  • Regras Default de um Security Group Custom :

    • Não permite nenhum tráfego de entrada.
    • Permite todo o tráfego de saída.

NACL

  • Regras são stateless (Não mantém o estado) regra de entrada não vale para saída
  • As regras são executadas imediatamente (e a permissão de uma regra subsequente não contradiz a anterior)
  • As regras são executadas do menor para o maior (aconselhável enumera-las de 100 em 100)
  • Permite acesso entre subnetes
  • As NACL's tem precedencia em cima dos security groups

Firewall Manager

O AWS Firewall Manager é um serviço de gerenciamento de segurança que permite a configuração e o gerenciamento centralizados de regras do firewall entre todas as contas e aplicações no AWS Organizations. À medida que novos aplicações e recursos são criados, o Firewall Manager facilita a aplicação de conformidade em aplicativos e recursos, forçando um conjunto comum de regras de segurança. Agora, você dispõe de um único serviço para criar e aplicar regras de firewall e políticas de segurança de forma consistente e hierárquica em toda a sua infraestrutura.

Com o AWS Firewall Manager, você pode de forma centralizada configurar regara de AWS Shield Advanced protection, Amazon Virtual Private Cloud (VPC) security groups, AWS Network Firewalls, e Amazon Route 53 Resolver DNS Firewall regras em contas e recursos em sua organização. Ele não oferece suporte a ACLs, GuardDuty e Inspector.

AWS Inspector

Para CVE assessment, o Amazon Inspector pode ser usado para realizar avaliações de segurança de instâncias do Amazon EC2 usando AWS managed rules packages, como o pacote Common Vulnerabilities and Exposures (CVEs).

AWS Shield

Ferramenta que ajuda na mitigação de ataques de DDOS

SSL

Tipo de criptografia somente para transito, juntamente com a sua evolução como por exemplo TLS e o MTLS

WAF

WAF é o firewall para sua aplicação web ou API que protege contra ataques mais comuns como SQL injection e cross-site scripting, ou pode ainda ter regras espcíficas que você determine. Conditions

  • Cross-Site scripting condition - create one or more cross-site scripting match conditions to identify the parts of web requests
  • IP Match Conditions - allow or block web requests based on the IP addresses that the requests originate from
  • Geographic Match Conditions - allow or block web requests based on the country that the requests originate from
  • Size Constraint Conditions - allow or block web requests based on the length of specified parts of requests
  • SQL Inject Match Condition - allow or block web requests that appear to contain malicious SQL code, create one or more SQL injection match conditions.
  • String Match Condition - allow or block web requests based on strings that appear in the requests, create one or more string match conditions.
  • Regex Match Condition - Web requests based on strings that match a regular expression (regex) pattern that appears in the requests, create one or more regex match conditions.
  • Rate Based - Rastre - uma regra que rastreia a taxa de solicitação de cada endereço de IP origem e aciona uma ação da regra nos IPs com taxas que ultrapassam um limite que é definido por um intervalos de tempo de 5 minutos

Utilização

  • WAF pode ser utilizado em ALB, API Gateway e CloudFront
  • WAF não pode ser configurado para engatilhar diretamente uma função Lambda

STS

AWS Security Token Service (AWS STS) é um serviço que habilita a sua requisição temporaria. As credenciais temporárias são úteis em cenários que envolvem federação de identidades, delegação, acesso entre contas e funções do IAM. Suporte a dois tipos de federação :

  • Federação de identidades empresariais: Você pode autenticar usuários na rede de sua organização e, em seguida, fornecer aos usuários acesso a AWS sem necessidade de criar novas identidades da AWS para eles e exigindo que eles façam login com outro nome de usuário e senha. Isso é conhecido como a abordagem de logon único (SSO) para acesso temporário

    Obs.: Suporta SAML 2.0 ou Agente de Federação Personalizado

  • Federação de identidades da Web (Web Identity Provider): Você pode permitir que os usuários façam login usando um provedor de identidade de terceiros conhecido, tal como login com Amazon, Facebook, Google ou qualquer provedor compatível com OpenID Connect (OIDC) 2.0. Você pode trocar as credenciais desse provedor por permissões temporárias para usar os recursos em sua conta da AWS

    Obs. : Para dispositivos mobile prefira o Coginito

Web Identity Federation

Com ele você não tem a necessidade de criar um mecanismo de login, você pode utilizar Identity Providers como Facebook, Google ou Open Connect ID. Você recebe um token de autenticação que pode ser exportado e gerado credenciais temporarias com roles no IAM para acesso a recursos específicos Habilita o sign-on(SSO) e habilita também o SAML

Cognito

Cognito prove um Web Identity Federation que manipula interações entre sua aplicação e o Web ID Providers, agindo como um broker de identidade entre eles. O usuário Autentica primeiro com o Web ID provider e recebe um token de autenticação que é trocado por uma credencial aws temporária permitindo que eles assumam um IAM Role

  • User Pool é baseado no usuário, ele manipula coisas como registro de usuario, autenticação e recovery de contas
  • Identity Pool autoriza acesso aos recursos AWS.
  • Disponivel Web e Mobile

Single Sinig On ( SSO )

Serviço que ajuda a gerenciar de forma centralizada acesso à contas AWS e aplicações de negocio que pode ser (Git Hug, G-Suite, Drop Box etc.). - Pode gerenciar o acesso de usuário através de todas as aplicações da organização com o AWS Organization, também pode ser integrado ao Microsoft AD ou qualquer outro provedor de identidade SAML 2.0, por exemplo Azure AD.

  • Qualquer questão no exame que se refere a SAML 2.0 provavelmente estará associada a SSO
  • Não pode ser usado para aplicações mobile

SAML

SAML ou Security Assertation Markup Language é um padrão que permite usuários efetuarem o logon baseado em suas sessões vindas de um outro contexto. Ex.: Microsoft AD é um contexto e um outro contexto pode ser sua aplicação de negócio como o G-SUITE, Office 365 etc. SAML permite vc logar no G-SUITE usando o seu contexto AD. Portanto SAML é o padrão utilizado no processo de Singl Sign On.

AWS Managed Microsoft AD

Cria seu próprio AD na AWS, gerencia usuarios localmente, suporta MFA.

  • Estabelece uma conexão confiável com o seu AD On-Premise
  • Estratrégia de Resilencia:
    • Faça uma replicação do AD em uma instancia EC2 com o mesmo dominio aonde o Microsoft Managed AD confie em sua replica EC2

AD Connector

  • Gateway de Diretório (proxy) para redirecionar para o AD On-Premise
  • Usuários são gerenciados no AD On-Premise
  • Não suporta SQL Server
  • Necessita de uma VPN ou Direct Connect para efetuar a conexão com o On-premise

Simple AD

  • Diretório gerenciado compatível com AD na AWS
  • Não pode ser juntado com o AD On-Premise
  • Não suporta MFA, SQL Server, AWS SSO
  • Baixo custo
  • Compativel com AD e LDAP

GuardDuty

É um serviço de deteção de ameças que monitora os eventos do CloudTrail Logs ou VPC Flow Logs, GuardDuty monitora para maliciosos não autorizados. O serviço usa machine leraning para indentificação de ameaças identificando através de atividades usual ou não autorizadas como uma mineração de criptomoedas ou até um deploy em uma região que nunca foi utilizada.

KMS

É um serviço que centraliza todas as suas chaves de criptografia.

Com ele voce pode:

  • Criar;
  • Rotacionar as chaves;
  • Desabilitar as chaves;
  • Deletar as chaves;
  • Auditar o uso da criptografia Não é permitido
  • Importar chaves default em uma Custom Keys
  • Migrar de Default Key para Custom Key.

Tipos de Chave do KMS

AWS owned CMKs (Serviço Default Gerenciado pela AWS)

CMKs de propriedade da AWS são uma coleção de CMKs que um serviço da AWS possui e gerencia para uso em várias contas da AWS. Embora as CMKs de propriedade da AWS não estejam em sua conta da AWS, um serviço da AWS pode usar as CMKs de propriedade da AWS para proteger os recursos em sua conta.

Não é necessário criar ou gerenciar CMKs de propriedade da AWS. No entanto, não é possível exibi-las, usá-las, rastreá-las ou auditá-las. Não é cobrada taxa mensal nem taxa de uso pelo uso de CMKs de propriedade da AWS e elas não são contabilizadas com base nos Cotas do AWS KMS para sua conta.

AWS managed CMKs (Chave criada pelo usuário no KMS)

CMKs gerenciadas pela AWS, As CMKs em sua conta que são criadas, gerenciadas e usadas em seu nome por um Serviço da AWS integrado ao AWS KMS. Alguns serviços da AWS são compatíveis apenas com um CMK gerenciado pela AWS. Outros usam um CMK de propriedade da AWS ou oferecem uma escolha de CMKs. Você pode Exibir CMKs gerenciadas pela AWS em sua conta,ver suas principais políticas, e auditar seu uso em logs do AWS CloudTrail. No entanto, não é possível gerenciar essas CMKs, alterná-las ou alterar suas políticas de chaves. Além disso, você não pode usar CMKs gerenciadas pela AWS em operações criptográficas de forma direta; o serviço que as cria, usa-as em seu nome.

Customer managed CMKs (Chave importada pelo usuário (deve ser chave simétrica de 256-bit))

CMKs gerenciadas pelo cliente As CMKs em sua conta da AWS que você as cria, as detém e as gerencia. Você tem controle total sobre esses CMKs, incluindo o estabelecimento e manutenção de suas principais políticas, políticas do IAM e subvenções,Ativação e desativação deles,girando seu material criptográfico,Adição de tags,Criar alias que se referem ao CMK, e agendando os CMKs para exclusão.

Secrets Manager

Protege as suas aplicações e serviços. habilita a rotação e gerencialmento de credenciais de bando de dados.Chaves de API's atraves do ciclo de vida. Usuarios e aplicações eliminam a necessidade de inserir as senhas via hardcode em arquivos de texto.

Parameter Store

Prove a segurança hierarquica de armazenamento de configuração de dados e gerenciamentos. VOce pode armazenar como senhas, string de conexões, Id de instancias EC2, AMI Id's e licencas de codigos. Voce pode armazena via codigo ou encriptografa-los via KMS .Voce usar via CLI ou via SDK

AWS CloudHSM

É um hardware de modulo de segurança (Hardware Security Module), que permite voce gerar as suas chaves de criptografia facilmente na AWS. Compativel com :

  • JCE(Java Criptography Extensions)
  • Microsoft CryptoNG
  • PKCS Os HSMs no seu cluster do AWS CloudHSM oferecem suporte à autenticação de quorum, também conhecida como controle de acesso M de N. Com a autenticação de quorum, nenhum usuário único no HSM pode fazer operações controladas pelo quorum no HSM. Em vez disso, um número mínimo de usuários do HSM (pelo menos 2) deve cooperar para realizar essas operações. Com a autenticação de quorum, você pode adicionar uma camada adicional de proteção, exigindo aprovação de mais de um usuário do HSM.
  • Steps :
    • To use quorum authentication, each CO must create an asymmetric key for signing (a signing key). This is done outside of the HSM. Keys can be personal keys or public keys.
    • A CO must log in to the HSM and then set the quorum minimum value, also known as the m value. This is the minimum number of CO approvals that are required to perform HSM user management operations. Any CO on the HSM can set the quorum minimum value, including COs that have not registered a key for signing.

A autenticação de quorum pode controlar as seguintes operações:

  • Gerenciamento de usuários do HSM poroficiais de criptografia (CoS)— Criar e excluir usuários do HSM e alterar a senha de um usuário do HSM diferente.

Perfect Forward Secrecy

É uma feature que prevê segurança adicionais contra espionagem de dados através do uso de uma chave de sessão randomica. Ele preve o decoding de captura do dado mesmo se o secret long-term key é comprometido Elastic Load Balancer e Cloud Front são serviços AWS que suportam essa feature.

ACM

  • Provisiona e gerencia certificados SSL/TLS públicos e privados.
  • ACM é um serviço Regional, para utilizar em uma aplicação global você precisa emitir um em cada região onde a aplicação é deployada
  • Gerencia : possibilita criar/renovar certificados publicos e privados
  • Possibilita importe de certificado (neste caso, quem subiu o certificado será responsável por renová-lo ao)
  • Integrações com :
    • Load Balancer
    • CloudFront
    • API's hospeda no API GATEWAY

Trusted Advisor

Trusted Advisor é um recurso online para ajudá-lo a reduzir custos, aumentar o desempenho e melhorar a segurança, otimizando seu ambiente AWS. O Trusted Advisor fornece orientação em tempo real para ajudá-lo a provisionar seus recursos de acordo com as práticas recomendadas da AWS. O AWS Trusted Advisor oferece uma verificação de Limites de serviço (na categoria Desempenho) que exibe seu uso e limites para alguns aspectos de alguns serviços. O Trusted Advisor tem uma feature de notificação que ajuda voce se manter up-to-date como os seus recursos deployados. Voce irá receber a notificação semanalmente por e-mail quando voce optar para este serviço. A atualização dessa checagem é requirida para validar o up-to-date sumario de status check do seu e-mail.

Teste de Penetração

Os clientes da AWS podem realizar avaliações de segurança ou testes de penetração em sua infraestrutura da AWS sem aprovação prévia em oito serviços Instâncias do Amazon EC2, NAT Gateways e Elastic Load Balancers

  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateway
  • AWS Lambda e funções do Lambda Edge
  • Recursos do Amazon Lightsail
  • Ambientes do Amazon Elastic Beanstalk