Amazon Web Services (AWS) continua a se expandir com novos produtos e serviços em nuvem. O Center for Internet Security (CIS) disseminou mais opções para ajudar a proteger esses recursos na nuvem AWS. O Guia do iniciante para configurações seguras de nuvem na AWS descreve como os usuários podem proteger suas contas, produtos, serviços na nuvem da AWS e muito mais.

Nova orientação da comunidade de Benchmarks CIS AWS

O CIS convocou sua rede de voluntários para expandir sua orientação para a nuvem AWS. Esse esforço resultou em Benchmarks CIS específicos para produtos e serviços em nuvem da AWS.

O CIS aprimorou seus recursos e não criou um Benchmark do CIS para cada serviço exclusivo. Em vez disso, o CIS seguiu o exemplo da AWS e agrupou os serviços por produto em nuvem. A AWS oferece dezenas de produtos, agrupando serviços em nuvem com base na função que eles fornecem.

Noções básicas sobre a responsabilidade de segurança em nuvem compartilhadas

Segurança e conformidade são responsabilidades compartilhadas entre a AWS e o cliente. Este modelo de responsabilidade compartilhada da AWS pode ajudar a aliviar a carga operacional do cliente; A AWS opera, gerencia e controla os componentes do sistema operacional do host e da camada de virtualização até a segurança física das instalações nas quais o serviço opera. A AWS é responsável por proteger a infraestrutura que executa todos os serviços oferecidos na nuvem AWS. Essa infraestrutura é composta de hardware, software, rede e instalações que executam os serviços da nuvem da AWS. O cliente assume a responsabilidade e o gerenciamento do sistema operacional convidado (incluindo atualizações e patches de segurança), outro software de aplicativo associado e a configuração do firewall de grupo de segurança fornecido pela AWS.

Três níveis de benchmarks de nuvem CIS AWS

O guia apresenta as três categorias CIS AWS Benchmark aplicáveis ​​à nuvem:

1. Benchmark de Fundação CIS AWS
2. Benchmark de Compute de End User da CIS
3. Benchmark do CIS Amazon Elastic Kubernetes Service (EKS)

Cada nível de Benchmark fornece uma camada adicional de segurança, começando com o CIS AWS Foundations Benchmark e terminando com a proteção de máquinas virtuais por meio de imagens “hardenizadas” CIS.

1. O CIS AWS Foundations Benchmark fornece um ponto de partida no nível da conta para a configuração segura da Nuvem AWS. Esses recursos cobrem o gerenciamento de identidade e acesso, registro e monitoramento, rede, etc. Baixe o guia básico gratuito para AWS.

2. Os benchmarks de CIS em nível de produto em nuvem fornecem orientação de configuração de produtos e serviços e incluem áreas como computação, bancos de dados, armazenamento e contêineres. Esses Benchmarks CIS permitem que o usuário escolha os serviços de nuvem aplicáveis ​​e os configure de acordo com seu ambiente. Os Benchmarks CIS em nível de produto complementam os Benchmarks CIS Foundations, fornecendo uma camada adicional de segurança integrada aos serviços de nuvem usados ​​na conta da nuvem. A primeira versão é o benchmark CIS AWS End User Compute Services Benchmark.

3. Benchmarks de serviço de nuvem autônomo CIS são específicos para um serviço AWS que requer orientação de configuração mais extensa. Nesses casos, o Benchmark CIS em nível de produto terá uma seção para o serviço e apontará para o Benchmark CIS autônomo para a orientação de serviço e incluirá áreas como computação, bancos de dados, armazenamento e contêineres. Esses Benchmarks CIS permitem que o usuário escolha os serviços de nuvem aplicáveis ​​e os configure de acordo com seu ambiente. Os Benchmarks CIS em nível de produto complementam os Benchmarks CIS Foundations, fornecendo uma camada adicional de segurança integrada aos serviços de nuvem usados ​​na conta da nuvem. A primeira versão é o Benchmark CIS AWS End User Compute Services Benchmark.

Benchmark de Compute e Kubernet de End User

O primeiro lançamento de um Benchmark CIS em nível de produto em nuvem é o Benchmark CIS AWS End User Compute Services. Isso inclui recomendações de configuração para Amazon WorkSpaces, Amazon WorkDocs, Amazon AppStream 2.0 e Amazon WorkLink. O usuário pode escolher os serviços aplicáveis ​​e configurá-los de acordo com o que está sendo executado em seu ambiente.

Em alguns casos, as configurações necessárias para os serviços garantem um Benchmark CIS específico para um serviço em nuvem. Com este cenário, o Benchmark CIS de nível de produto incluirá uma seção para o serviço de nuvem, mas apontará para um Benchmark CIS separado para o serviço. Um exemplo do serviço de nuvem autônomo CIS Benchmark são os Benchmarks CIS Amazon Elastic Kubernetes Service (EKS).

Configurações seguras com CIS Hardened Images

Uma imagem virtual é um print de uma máquina virtual (VM) que fornece a mesma funcionalidade de um computador físico. As imagens virtuais residem na nuvem e permitem que os usuários executem operações de computação de rotina de maneira econômica, sem investir em hardware e software locais.

Hardening é um processo de limitar as fraquezas potenciais que tornam os sistemas vulneráveis ​​a ataques cibernéticos. Mais seguras do que uma imagem padrão, as imagens virtuais protegidas reduzem as vulnerabilidades do sistema para ajudar a proteger contra malware, autorização insuficiente e intrusão remota.

As Hardened Images CIS pré-configuradas com segurança ajudam as organizações a proteger seus sistemas operacionais na nuvem. As Hardened Images do CIS atendem aos requisitos dos Benchmarks do CIS e estão disponíveis no AWS Marketplace.

Posts Relacionados: CIS Controls Version 8 chegará em maio de 2021 / CIS Benchmarks: Atualização de Março 2021 e Como Avaliações de Configuração ajudam a aprimorar a Segurança Cibernética

Informações obtidas/adaptadas de https://www.cisecurity.org/blog/cis-aws-benchmarks-help-secure-cloud-products-services/