# AWS > **Um guia abrangente sobre Amazon Web Services (AWS)** – desde os fundamentos da nuvem e arquitetura Well-Architected até serviços de segurança, ferramentas de detecção de ameaças e procedimentos de investigação forense. *** ## 📌 Índice 1. [Introdução à AWS Cloud](#-introdução-à-aws-cloud) * 1.1 [O que é AWS?](#11-o-que-é-aws) * 1.2 [O Modelo de Responsabilidade Compartilhada](#12-o-modelo-de-responsabilidade-compartilhada) * 1.3 [Infraestrutura Global: Regiões, Zonas de Disponibilidade e Edge Locations](#13-infraestrutura-global-regiões-zonas-de-disponibilidade-e-edge-locations) 2. [Arquitetura AWS: Well-Architected Framework](#-arquitetura-aws-well-architected-framework) * 2.1 [Os Seis Pilares do Well-Architected Framework](#21-os-seis-pilares-do-well-architected-framework) * 2.2 [Princípios de Design de Segurança](#22-princípios-de-design-de-segurança) * 2.3 [Domínios de Segurança AWS](#23-domínios-de-segurança-aws) 3. [Gerenciamento de Identidade e Acesso (IAM)](#-gerenciamento-de-identidade-e-acesso-iam) * 3.1 [Componentes do IAM](#31-componentes-do-iam) * 3.2 [Políticas de Permissão e Least Privilege](#32-políticas-de-permissão-e-least-privilege) * 3.3 [Melhores Práticas de IAM](#33-melhores-práticas-de-iam) 4. [Serviços de Detecção e Monitoramento de Segurança](#-serviços-de-detecção-e-monitoramento-de-segurança) * 4.1 [AWS CloudTrail – O Registro de Auditoria](#41-aws-cloudtrail--o-registro-de-auditoria) * 4.2 [AWS Config – Rastreamento de Configurações](#42-aws-config--rastreamento-de-configurações) * 4.3 [Amazon GuardDuty – Detecção de Ameaças](#43-amazon-guardduty--detecção-de-ameaças) * 4.4 [AWS Security Hub – Central de Comando](#44-aws-security-hub--central-de-comando) * 4.5 [Amazon Inspector – Gerenciamento de Vulnerabilidades](#45-amazon-inspector--gerenciamento-de-vulnerabilidades) * 4.6 [Amazon Detective – Investigação Forense](#46-amazon-detective--investigação-forense) 5. [Artefatos Forenses na AWS](#-artefatos-forenses-na-aws) * 5.1 [CloudTrail Logs: Quem, Quando, Onde](#51-cloudtrail-logs-quem-quando-onde) * 5.2 [VPC Flow Logs: Tráfego de Rede](#52-vpc-flow-logs-tráfego-de-rede) * 5.3 [AWS Config History: Linha do Tempo de Configurações](#53-aws-config-history-linha-do-tempo-de-configurações) * 5.4 [Amazon S3 Server Access Logs](#54-amazon-s3-server-access-logs) * 5.5 [AWS CloudWatch Logs: Logs de Aplicação e Sistema](#55-aws-cloudwatch-logs-logs-de-aplicação-e-sistema) * 5.6 [Amazon EBS Snapshots: Imagens Forenses de Disco](#56-amazon-ebs-snapshots-imagens-forenses-de-disco) * 5.7 [AWS CLI Profiles para Investigação Estruturada](#57-aws-cli-profiles-para-investigação-estruturada) 6. [Coleta de Evidências e Investigação Forense](#-coleta-de-evidências-e-investigação-forense) * 6.1 [Preparação para Incidentes: Forensic Readiness](#61-preparação-para-incidentes-forensic-readiness) * 6.2 [Resposta a Incidentes: Workflow Automatizado](#62-resposta-a-incidentes-workflow-automatizado) * 6.3 [Aquisição Forense de EC2 e EKS](#63-aquisição-forense-de-ec2-e-eks) * 6.4 [Cadeia de Custódia no Ambiente Cloud](#64-cadeia-de-custódia-no-ambiente-cloud) * 6.5 [Exemplo Prático: Investigação de EC2 Comprometido](#65-exemplo-prático-investigação-de-ec2-comprometido) 7. [Ferramentas e Serviços de Segurança Complementares](#-ferramentas-e-serviços-de-segurança-complementares) * 7.1 [AWS Secrets Manager – Gerenciamento de Segredos](#71-aws-secrets-manager--gerenciamento-de-segredos) * 7.2 [AWS WAF e AWS Shield – Proteção de Aplicações](#72-aws-waf-e-aws-shield--proteção-de-aplicações) * 7.3 [AWS Key Management Service (KMS) – Criptografia](#73-aws-key-management-service-kms--criptografia) * 7.4 [AWS Organizations – Governança Multi-Conta](#74-aws-organizations--governança-multi-conta) 8. [Limitações e Considerações](#-limitações-e-considerações) * 8.1 [O que os Serviços de Segurança AWS NÃO Fazem](#81-o-que-os-serviços-de-segurança-aws-não-fazem) * 8.2 [Responsabilidade do Cliente na Prática](#82-responsabilidade-do-cliente-na-prática) 9. [Referências e Ferramentas](#-referências-e-ferramentas) *** ## 🔍 Introdução à AWS Cloud ### 1.1 O que é AWS? A **Amazon Web Services (AWS)** é a plataforma de computação em nuvem mais abrangente e amplamente adotada do mundo, oferecendo mais de 200 serviços completos de data centers globais . Lançada em 2006, a AWS transformou a maneira como organizações consomem infraestrutura de TI, substituindo investimentos em hardware por um modelo de pagamento conforme o uso. **Benefícios Fundamentais:** * **Agilidade:** Recursos podem ser provisionados em minutos, não em semanas * **Elasticidade:** Escala automática para cima ou para baixo conforme a demanda * **Pagamento por uso:** Cobre apenas o que você utiliza, sem compromissos de longo prazo * **Global:** Infraestrutura distribuída mundialmente para baixa latência e alta disponibilidade ### 1.2 O Modelo de Responsabilidade Compartilhada Um dos conceitos mais críticos para entender segurança na AWS é o **modelo de responsabilidade compartilhada**. A segurança é uma parceria entre AWS e o cliente . | **Responsabilidade** | **AWS (Segurança *****da***** Nuvem)** | **Cliente (Segurança *****na***** Nuvem)** | | ------------------------- | ------------------------------------------------- | ---------------------------------------------------- | | **Infraestrutura Global** | Regiões, Zonas de Disponibilidade, Edge Locations | - | | **Hardware** | Servidores, redes, data centers | - | | **Virtualização** | Hypervisor, isolamento de recursos | - | | **Sistema Operacional** | - | Patches, hardening, configuração segura | | **Aplicações** | Serviços gerenciados (S3, RDS, Lambda) | Aplicações próprias | | **Dados** | - | Criptografia, backups, classificação | | **Controle de Acesso** | Infraestrutura de autenticação AWS | IAM, políticas, permissões | > 💡 **Regra de Ouro:** A AWS protege a *infraestrutura* que executa os serviços; o cliente protege *dentro* dessa infraestrutura . ### 1.3 Infraestrutura Global: Regiões, Zonas de Disponibilidade e Edge Locations ```mermaid graph TB subgraph "Região AWS (ex: us-east-1)" AZ1[Zona de Disponibilidade A] AZ2[Zona de Disponibilidade B] AZ3[Zona de Disponibilidade C] end subgraph "Edge Locations" E1[CDN - CloudFront] E2[Route 53] end AZ1 --- AZ2 AZ2 --- AZ3 Região AWS --> Edge Locations ``` | **Componente** | **Descrição** | **Exemplo** | | -------------------------------- | ------------------------------------------------------------ | -------------------------------------------------- | | **Região** | Conjunto de data centers geograficamente distintos | `us-east-1` (N. Virgínia), `sa-east-1` (São Paulo) | | **Zona de Disponibilidade (AZ)** | Um ou mais data centers isolados dentro de uma região | `us-east-1a`, `us-east-1b` | | **Edge Location** | Pontos de presença para caching e DNS (CloudFront, Route 53) | 400+ pontos globalmente | *** ## 🏗️ Arquitetura AWS: Well-Architected Framework O **AWS Well-Architected Framework** é um guia de melhores práticas para projetar e operar workloads na nuvem de forma segura, resiliente e eficiente . ### 2.1 Os Seis Pilares do Well-Architected Framework | **Pilar** | **Foco** | **Princípios Chave** | | ----------------------------- | ----------------------------------------------------- | ---------------------------------------------------------------------- | | **Excelência Operacional** | Executar e monitorar sistemas, melhorar continuamente | Automação de mudanças, resposta a eventos, documentação como código | | **Segurança** | Proteger informações e sistemas | IAM forte, detecção, proteção de dados, resposta a incidentes | | **Confiabilidade** | Recuperar-se de falhas, atender demandas | Testes de recuperação, escalabilidade horizontal, monitoramento | | **Eficiência de Performance** | Usar recursos de forma otimizada | Escolha de recursos adequados, serverless, monitoramento | | **Otimização de Custos** | Evitar gastos desnecessários | Pagamento por uso, dimensionamento correto, eliminação de desperdícios | | **Sustentabilidade** | Minimizar impactos ambientais | Eficiência energética, redução de recursos | ### 2.2 Princípios de Design de Segurança O pilar de segurança do Well-Architected Framework estabelece sete princípios fundamentais : | **Princípio** | **Descrição** | **Implementação** | | --------------------------------------------------- | --------------------------------------------------- | ------------------------------------------------------------------- | | **1. Implemente uma base de identidade forte** | Princípio do menor privilégio, separação de funções | IAM Identity Center, autenticação multifator (MFA) | | **2. Mantenha rastreabilidade** | Monitore, alerte e audite ações em tempo real | CloudTrail, Config, Security Hub, CloudWatch | | **3. Aplique segurança em todas as camadas** | Defesa em profundidade | VPC, security groups, WAF, Shield | | **4. Automatize as melhores práticas de segurança** | Mecanismos baseados em software | Infrastructure as Code (CloudFormation/Terraform), AWS Config Rules | | **5. Proteja dados em trânsito e em repouso** | Classifique e proteja dados por sensibilidade | KMS, ACM, TLS, criptografia em repouso | | **6. Mantenha pessoas longe dos dados** | Reduza ou elimine acesso direto a dados | API-based access, Lambda, roles | | **7. Prepare-se para eventos de segurança** | Tenha planos e processos de resposta a incidentes | Playbooks de resposta, simulações, automação | ### 2.3 Domínios de Segurança AWS O pilar de segurança organiza-se em sete domínios de responsabilidade do cliente : ```mermaid graph LR A[Segurança] --> B[Fundações] A --> C[IAM] A --> D[Detecção] A --> E[Proteção de Infraestrutura] A --> F[Proteção de Dados] A --> G[Resposta a Incidentes] A --> H[Segurança de Aplicações] ``` | **Domínio** | **Descrição** | **Serviços Principais** | | ---------------------------------- | ---------------------------------------------------- | ------------------------------------------------------- | | **Fundações de Segurança** | Governança, políticas, treinamento | AWS Organizations, Control Tower, IAM Identity Center | | **Identity and Access Management** | Autenticação e autorização | IAM, IAM Identity Center, Cognito | | **Detecção** | Logging, monitoramento, detecção de ameaças | CloudTrail, GuardDuty, Security Hub | | **Proteção de Infraestrutura** | Segurança de rede e recursos computacionais | VPC, Security Groups, WAF, Shield, AWS Firewall Manager | | **Proteção de Dados** | Classificação, criptografia, gestão de ciclo de vida | KMS, S3 Encryption, Secrets Manager | | **Resposta a Incidentes** | Investigação, contenção, recuperação | Incident Response Playbooks, Forensics Orchestrator | | **Segurança de Aplicações** | Desenvolvimento seguro, proteção de aplicações | CodePipeline, WAF, Amazon Inspector | *** ## 🔐 Gerenciamento de Identidade e Acesso (IAM) O **AWS Identity and Access Management (IAM)** é o serviço fundamental que controla quem pode acessar o quê na AWS. É o "porteiro digital" da sua conta . ### 3.1 Componentes do IAM | **Componente** | **Descrição** | **Exemplo** | | --------------------- | -------------------------------------------------- | ------------------------------------------------------------------ | | **Usuário** | Identidade permanente para pessoas ou aplicações | `admin.joao`, `app-prod` | | **Grupo** | Coleção de usuários com permissões comuns | `Administradores`, `Desenvolvedores` | | **Função (Role)** | Identidade assumível (sem credenciais permanentes) | `EC2-role`, `Lambda-execution-role` | | **Política (Policy)** | Documento JSON que define permissões | `{ "Effect": "Allow", "Action": "s3:GetObject", "Resource": "*" }` | ### 3.2 Políticas de Permissão e Least Privilege O princípio do **menor privilégio (least privilege)** é fundamental: conceda apenas as permissões necessárias para uma função específica . **Exemplo de política IAM (JSON):** ```json { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::meu-bucket-audit/*", "Condition": { "IpAddress": { "aws:SourceIp": "192.168.0.0/16" } } } ] } ``` **Boas práticas de políticas :** * Conceda apenas as permissões necessárias para uma função * Revise regularmente permissões de usuários e funções * Utilize políticas gerenciadas pela AWS quando aplicável * Evite políticas com `"Effect": "Allow", "Action": "*", "Resource": "*"` ### 3.3 Melhores Práticas de IAM | **Prática** | **Descrição** | **Justificativa** | | ----------------------------------- | ---------------------------------------------------- | ---------------------------------------- | | **Ative MFA** | Autenticação multifator para usuários privilegiados | Protege contra credenciais comprometidas | | **Use roles, não chaves de acesso** | Atribua funções a serviços EC2, Lambda, etc. | Elimina credenciais estáticas | | **Rotacione credenciais** | Substitua chaves de acesso periodicamente | Limita janela de comprometimento | | **Monitore IAM** | Use CloudTrail e GuardDuty para atividades suspeitas | Detecção precoce de comprometimento | | **Use IAM Identity Center** | Centralize identidades para múltiplas contas | Reduz complexidade e risco | *** ## 🛡️ Serviços de Detecção e Monitoramento de Segurança A AWS oferece um conjunto robusto de serviços de segurança que funcionam de forma integrada . ### 4.1 AWS CloudTrail – O Registro de Auditoria O **AWS CloudTrail** é o serviço fundamental para auditoria e investigação forense. Ele registra cada API call feita na sua conta, fornecendo um registro completo de quem fez o quê, quando e onde . **O que é registrado:** * Identidade do chamador (usuário, role, serviço) * Endereço IP de origem * Data e hora da ação * Ação executada (ex: `ec2:RunInstances`) * Parâmetros da API * Resposta da ação (sucesso ou falha) **Comando para visualizar logs (AWS CLI):** ```bash aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances --region us-east-1 ``` **Exemplo de evento CloudTrail:** ```json { "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "arn": "arn:aws:sts::123456789012:assumed-role/AdminRole/joao.silva", "accountId": "123456789012" }, "eventTime": "2025-03-27T10:30:00Z", "eventSource": "ec2.amazonaws.com", "eventName": "RunInstances", "sourceIPAddress": "203.0.113.45", "userAgent": "aws-cli/2.0", "requestParameters": { "instancesSet": {"items": [{"imageId": "ami-12345678"}]} }, "responseElements": { "instancesSet": {"items": [{"instanceId": "i-1234567890abcdef0"}]} } } ``` ### 4.2 AWS Config – Rastreamento de Configurações O **AWS Config** fornece um inventário detalhado dos seus recursos e rastreia alterações de configuração ao longo do tempo . **Funcionalidades:** * Descobre recursos existentes na conta * Registra estado de configuração ao longo do tempo * Verifica conformidade com regras predefinidas * Alerta sobre desvios (drift) de configuração **Regras de Config comuns:** * `s3-bucket-public-read-prohibited` – previne buckets públicos * `ec2-instance-managed-by-systems-manager` – garante gerenciamento centralizado * `iam-password-policy` – verifica complexidade de senhas ### 4.3 Amazon GuardDuty – Detecção de Ameaças O **Amazon GuardDuty** é um serviço de detecção de ameaças que monitora continuamente sua conta usando machine learning e inteligência de ameaças . **Fontes de dados analisadas :** * CloudTrail logs (gerenciamento de eventos e S3) * VPC Flow Logs * DNS logs **Tipos de descobertas (findings):** | **Categoria** | **Exemplos** | | ------------------------------ | --------------------------------------------------- | | **Credenciais comprometidas** | API calls de IP anômalo, uso incomum de credenciais | | **Atividade de rede suspeita** | Comunicação com C2, mineração de criptomoedas | | **Comportamento anômalo** | Volume incomum de API calls, padrões não usuais | **GuardDuty não detecta :** * Vulnerabilidades de aplicação * Mal configurações estáticas (exceto quando causam tráfego suspeito) * Serviços expostos publicamente ### 4.4 AWS Security Hub – Central de Comando O **AWS Security Hub** consolida achados de segurança de diversos serviços em um único painel . **Serviços integrados:** * Amazon GuardDuty * Amazon Inspector * AWS Config * AWS Firewall Manager * AWS Health * Serviços de terceiros (via integração) **Funcionalidades:** * Agrega descobertas em formato padronizado * Aplica regras de conformidade (CIS Benchmarks, AWS Foundational Security Best Practices) * Permite automação de resposta com EventBridge **Limitação :** Security Hub *agrega* achados, mas não gera suas próprias descobertas. ### 4.5 Amazon Inspector – Gerenciamento de Vulnerabilidades O **Amazon Inspector** é um serviço de gerenciamento de vulnerabilidades que escaneia recursos computacionais . **Recursos suportados:** * Amazon EC2 instances (requer agente SSM) * Amazon ECR (container images) * AWS Lambda functions **O que é detectado :** * Vulnerabilidades de sistema operacional (CVE) * Desvios de melhores práticas de segurança * Exposição de serviços não intencionais **Limitação :** Inspector não cobre outros serviços AWS e requer agente nas instâncias EC2. ### 4.6 Amazon Detective – Investigação Forense O **Amazon Detective** ajuda a investigar a causa raiz de descobertas de segurança . **Funcionalidades:** * Analisa automaticamente logs (CloudTrail, VPC Flow Logs, EKS) * Cria visualizações de comportamento de recursos * Permite navegar em timelines de atividades * Responde a perguntas: "O que aconteceu?", "Quando começou?", "Quais recursos foram afetados?" *** ## 📀 Artefatos Forenses na AWS Para uma investigação forense eficaz, é essencial entender quais artefatos estão disponíveis e como extraí-los. ### 5.1 CloudTrail Logs: Quem, Quando, Onde **Localização padrão:** bucket S3 configurado no CloudTrail **Artefatos críticos:** * `eventTime` – momento da ação * `userIdentity` – quem executou * `sourceIPAddress` – origem da ação * `eventName` – ação executada * `requestParameters` – detalhes da requisição * `responseElements` – resultado da operação ### 5.2 VPC Flow Logs: Tráfego de Rede Os **VPC Flow Logs** capturam informações sobre tráfego de rede em interfaces de rede (ENI), sub-redes e VPCs. **Campos do log:** ``` ``` **Exemplo:** ``` 2 123456789012 eni-12345678 172.31.1.5 54.239.98.12 12345 443 6 100 12500 1585123456 1585123512 ACCEPT OK ``` ### 5.3 AWS Config History: Linha do Tempo de Configurações O AWS Config mantém um histórico completo de alterações de recursos. **Comando para extrair histórico:** ```bash aws configservice get-resource-config-history --resource-type AWS::EC2::Instance --resource-id i-1234567890abcdef0 ``` ### 5.4 Amazon S3 Server Access Logs **Localização:** bucket S3 configurado para logging **Campos de interesse:** * `bucket_owner`, `bucket`, `time`, `remote_ip`, `requester`, `request_id`, `operation`, `key`, `request_uri`, `http_status` ### 5.5 AWS CloudWatch Logs: Logs de Aplicação e Sistema Logs de aplicações, sistemas operacionais e serviços gerenciados podem ser enviados para CloudWatch Logs. **Serviços que integram:** * Amazon EC2 (via CloudWatch Agent) * AWS Lambda * Amazon ECS/EKS * Amazon RDS ### 5.6 Amazon EBS Snapshots: Imagens Forenses de Disco O **EBS Snapshot** é o equivalente forense a uma imagem de disco em ambientes tradicionais . **Comando para criar snapshot:** ```bash aws ec2 create-snapshot --volume-id vol-1234567890abcdef0 --description "Forensic snapshot - Incident IR-001" ``` **Análise forense:** * Após criar snapshot, pode-se criar um novo volume e anexá-lo a uma instância de análise * Preserva evidências sem alterar o sistema original ### 5.7 AWS CLI Profiles para Investigação Estruturada Em ambientes multi-conta, **perfis AWS CLI** permitem navegação rápida e segura entre contas . **Configuração (\~/.aws/config):** ```ini [profile prod-forensic] region = us-east-1 output = json [profile staging-forensic] region = us-west-2 output = json [profile compromised-iam-role] region = us-east-1 output = json ``` **Uso durante investigação:** ```bash aws --profile prod-forensic ec2 describe-instances aws --profile prod-forensic cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances aws --profile compromised-iam-role s3 ls s3://bucket-suspeito/ ``` **Benefícios :** * Velocidade: um comando para mudar de contexto * Precisão: evita comandos no ambiente errado * Rastreabilidade: cada comando é associado a um perfil específico *** ## 🔬 Coleta de Evidências e Investigação Forense ### 6.1 Preparação para Incidentes: Forensic Readiness A **forensic readiness** (prontidão forense) é a capacidade de uma organização de coletar evidências de forma eficaz quando um incidente ocorre . **Componentes essenciais :** | **Requisito** | **Descrição** | **Implementação AWS** | | -------------------------- | --------------------------------------- | -------------------------------------------------- | | **Logging abrangente** | Registro de todas as atividades | CloudTrail ativo em todas as regiões e contas | | **Logs imutáveis** | Proteção contra alteração/destruição | S3 Object Lock, logs enviados para bucket separado | | **Acesso limitado a logs** | Apenas pessoal autorizado pode acessar | Políticas IAM restritivas, MFA obrigatório | | **Retenção adequada** | Logs retidos conforme requisitos legais | Lifecycle policies no S3 | | **Planos de resposta** | Procedimentos documentados e testados | Playbooks de resposta, simulações regulares | ### 6.2 Resposta a Incidentes: Workflow Automatizado A AWS fornece uma **Guidance for Automated Forensics Orchestrator** que demonstra como automatizar o processo forense . ```mermaid graph LR A[Detecção - GuardDuty] --> B[Orquestração - EventBridge/Lambda] B --> C[Isolamento - EC2 isolada] B --> D[Aquisição - Snapshots EBS] C & D --> E[Armazenamento Seguro - S3/Glacier] E --> F[Análise - Detective/Third-party] ``` **Benefícios do workflow automatizado :** * Reduz tempo de investigação de horas para minutos * Preserva cadeia de custódia com coleta automatizada * Mantém continuidade do negócio enquanto investiga * Consistência nas respostas a incidentes ### 6.3 Aquisição Forense de EC2 e EKS Para recursos computacionais, a aquisição forense deve capturar dois tipos de evidências : | **Tipo** | **O que capturar** | **Como** | | ------------------- | ---------------------------------------- | --------------------------------------------- | | **Memória Volátil** | RAM, processos em execução | Ferramentas como `LiME`, `avml`; dump via SSM | | **Disco** | Sistema de arquivos, logs, configurações | EBS snapshot antes de qualquer alteração | **Procedimento:** 1. **Isolar** a instância comprometida (mover para security group isolado) 2. **Snapshot** dos volumes EBS (disco) 3. **Dump de memória** via Systems Manager Run Command (se necessário) 4. **Armazenar** evidências em bucket S3 com Object Lock ### 6.4 Cadeia de Custódia no Ambiente Cloud A cadeia de custódia em ambiente cloud exige atenção especial : | **Elemento** | **Registro** | | ------------------------ | ------------------------------------------ | | **Quem acessou** | CloudTrail com `userIdentity` | | **Quando** | `eventTime` | | **De onde** | `sourceIPAddress` | | **O que foi feito** | `eventName`, `requestParameters` | | **Evidência preservada** | ID do snapshot, bucket S3, hash do arquivo | **Práticas recomendadas:** * Registre toda interação com evidências (incluindo a análise) * Mantenha logs de acesso ao bucket de evidências * Utilize S3 Object Lock para prevenir alteração/destruição ### 6.5 Exemplo Prático: Investigação de EC2 Comprometido **Cenário:** GuardDuty alerta sobre instância EC2 realizando mineração de criptomoedas . **Fase 1: Detecção e Isolamento** ```bash # GuardDuty gera finding: "UnauthorizedAccess:CryptoCurrency" # Automatização via EventBridge: aws ec2 modify-instance-attribute --instance-id i-1234567890abcdef0 --groups sg-forensics-isolated ``` **Fase 2: Aquisição de Evidências** ```bash # Snapshot do volume EBS aws ec2 create-snapshot --volume-id vol-1234567890abcdef0 --description "Forensic snapshot - Incident IR-001" # Dump de memória (via SSM Run Command) aws ssm send-command --document-name "AWS-RunShellScript" --instance-ids i-1234567890abcdef0 --parameters commands=["sudo dd if=/dev/mem of=/tmp/memory.dump bs=1M"] ``` **Fase 3: Investigação com CloudTrail** ```bash # Identificar como a instância foi criada aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceName,AttributeValue=i-1234567890abcdef0 # Verificar outras ações da mesma origem IP aws cloudtrail lookup-events --lookup-attributes AttributeKey=SourceIPAddress,AttributeValue=203.0.113.45 ``` **Fase 4: Análise com Detective** * Navegar no Amazon Detective para visualizar linha do tempo * Identificar padrões de atividade anômala * Correlacionar com outros recursos na conta *** ## 🧰 Ferramentas e Serviços de Segurança Complementares ### 7.1 AWS Secrets Manager – Gerenciamento de Segredos O **AWS Secrets Manager** protege credenciais sensíveis, substituindo hardcoded secrets por chamadas de API seguras . **Funcionalidades:** * Armazena e criptografa segredos (senhas, chaves API, tokens) * Rotação automática de credenciais * Integração com RDS, Redshift, DocumentDB ### 7.2 AWS WAF e AWS Shield – Proteção de Aplicações | **Serviço** | **Finalidade** | **Protege contra** | | ----------------------- | ------------------------------ | ------------------------------------------------------ | | **AWS WAF** | Web Application Firewall | SQL injection, cross-site scripting, padrões de ataque | | **AWS Shield Standard** | Proteção DDoS básica (inclusa) | Ataques volumétricos comuns | | **AWS Shield Advanced** | Proteção DDoS avançada | Ataques complexos, mitigação dedicada | ### 7.3 AWS Key Management Service (KMS) – Criptografia O **AWS KMS** centraliza o gerenciamento de chaves de criptografia . **Funcionalidades:** * Criação e gerenciamento de chaves de criptografia * Integração com outros serviços AWS (S3, EBS, RDS) * Controle granular de acesso via IAM * Auditoria de uso de chaves via CloudTrail ### 7.4 AWS Organizations – Governança Multi-Conta O **AWS Organizations** permite governança centralizada para múltiplas contas AWS . **Recursos:** * Conta master (management account) e contas membro * **Service Control Policies (SCPs):** restrições de permissões em nível organizacional * Consolidated billing * **AWS Control Tower:** configuração automatizada de ambiente multi-conta com guardrails *** ## ⚠️ Limitações e Considerações ### 8.1 O que os Serviços de Segurança AWS NÃO Fazem É crucial entender as limitações dos serviços de segurança nativos : | **Serviço** | **Não faz** | **Solução Complementar** | | ---------------- | ---------------------------------------------------------------------- | ------------------------------------------ | | **GuardDuty** | Não detecta vulnerabilidades de aplicação, mal configurações estáticas | Amazon Inspector, AWS Config | | **Inspector** | Não cobre serviços gerenciados (S3, RDS), requer agente | Ferramentas de terceiros, auditoria manual | | **Config** | Não fornece classificação de risco por si só | Security Hub, ferramentas de terceiros | | **Security Hub** | Não gera descobertas próprias | GuardDuty, Inspector, Config, etc. | ### 8.2 Responsabilidade do Cliente na Prática **O que você *****precisa***** fazer :** | **Área** | **Responsabilidade do Cliente** | | ------------------------- | ------------------------------------------------------------ | | **IAM** | Definir e gerenciar usuários, grupos, roles, políticas | | **Logging** | Ativar CloudTrail, Config, VPC Flow Logs em todas as regiões | | **Criptografia** | Configurar KMS, aplicar criptografia a dados sensíveis | | **Resposta a Incidentes** | Criar e testar planos de resposta | | **Patches** | Aplicar patches em instâncias EC2 e sistemas operacionais | | **Network Security** | Configurar security groups, NACLs, WAF corretamente | *** ## 📚 Referências e Ferramentas ### Documentação Oficial AWS * [AWS Well-Architected Framework](https://aws.amazon.com/architecture/well-architected/) * [AWS Security Pillar - Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) * [AWS Security Incident Response Guide](https://aws.amazon.com/solutions/guidance/security-incident-response-on-aws/) * [Automated Forensics Orchestrator for EC2 and EKS](https://aws.amazon.com/solutions/guidance/automated-forensics-orchestrator-for-amazon-ec2-and-eks/) * [AWS Security Documentation](https://docs.aws.amazon.com/security/) ### Serviços AWS Essenciais | **Serviço** | **Função** | **Documentação** | | ------------------- | --------------------------------- | --------------------------------------------------- | | AWS IAM | Controle de acesso | [Link](https://docs.aws.amazon.com/iam/) | | AWS CloudTrail | Auditoria de API | [Link](https://docs.aws.amazon.com/cloudtrail/) | | AWS Config | Rastreamento de configurações | [Link](https://docs.aws.amazon.com/config/) | | Amazon GuardDuty | Detecção de ameaças | [Link](https://docs.aws.amazon.com/guardduty/) | | AWS Security Hub | Centralização de achados | [Link](https://docs.aws.amazon.com/securityhub/) | | Amazon Inspector | Gerenciamento de vulnerabilidades | [Link](https://docs.aws.amazon.com/inspector/) | | Amazon Detective | Investigação forense | [Link](https://docs.aws.amazon.com/detective/) | | AWS Secrets Manager | Gerenciamento de segredos | [Link](https://docs.aws.amazon.com/secretsmanager/) | | AWS KMS | Gerenciamento de chaves | [Link](https://docs.aws.amazon.com/kms/) | ### Ferramentas de Terceiros para Segurança AWS | **Ferramenta** | **Função** | **Quando Usar** | | ---------------- | ------------------------------------------------ | ---------------------------------------- | | **Intruder** | Scanning de vulnerabilidades e mal configurações | Complementar a Inspector | | **Prowler** | Scanner de conformidade CIS (open-source) | Auditoria manual, integração CI/CD | | **Scout Suite** | Auditoria de segurança multi-conta | Análise de configurações em larga escala | | **AWS CLI + jq** | Extração e análise de logs | Investigação manual, scripting | ### Comunidade e Treinamento * [AWS Security Learning](https://aws.amazon.com/security/security-learning/) * [AWS Well-Architected Security Review Guide (GitHub)](https://github.com/rushealy-aws/well-architected-guide-security-pillar) * [AWS Builder Community](https://builder.aws.com/) --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://0xmorte.gitbook.io/bibliadopentestbr/conceitos/ambientes/aws.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.