Modelos operacionais para governança de segurança de aplicativos da Web na AWS
Para a maioria das organizações, proteger os seus ativos de alto valor é uma prioridade máxima. O AWS Web Application Firewall (AWS WAF) é uma solução líder do setor que protege aplicativos da Web contra o cenário de ameaças em evolução, que inclui explorações e bots comuns da Web. Estas ameaças afetam a disponibilidade, comprometem a segurança ou podem consumir recursos excessivos. Embora o AWS WAF seja um serviço gerenciado, o modelo operacional dessa primeira camada crítica de defesa é frequentemente esquecido.
Os modelos operacionais para um serviço principal como o AWS WAF diferem dependendo da pegada tecnológica da sua empresa, e os casos de uso dependem das cargas de trabalho. Embora algumas empresas tenham nascido na nuvem pública e tenham aplicações modernas, muitas grandes empresas estabelecidas têm cargas de trabalho clássicas e legadas em suas unidades de negócios. Examinaremos três modelos operacionais distintos usando AWS WAF, serviço AWS Firewall Manager (AWS FMS), AWS Organizations e outros serviços AWS.
Modelos Operacionais
I. Centralizado
O modelo centralizado funciona bem para organizações onde os aplicativos a serem protegidos pelo AWS WAF são semelhantes e as regras podem ser consistentes. Com ambientes multilocatários (onde os locatários compartilham a mesma infraestrutura ou aplicativo), o AWS WAF pode ser implantado com as mesmas listas de controle de acesso à web (web ACLs) e regras para segurança consistente. Os sistemas de gerenciamento de conteúdo (CMS) também se beneficiam desse modelo, uma vez que regras e ACL da web consistentes podem proteger vários sites hospedados em sua plataforma CMS. Esse modelo operacional oferece proteção uniforme contra ataques baseados na Web e administração centralizada em diversas contas da AWS. Para gerenciar todas as suas contas e aplicativos no AWS Organizations, use o AWS Firewall Manager.
O AWS Firewall Manager simplifica a administração do AWS WAF e ajuda a aplicar regras do AWS WAF nos recursos de todas as contas de uma organização da AWS, usando o AWS Config em segundo plano. O painel de conformidade oferece uma visão simplificada da postura de segurança. Uma equipe centralizada de segurança da informação (IS) pode configurar e gerenciar regras gerenciadas e personalizadas do AWS WAF.
As regras gerenciadas da AWS foram projetadas para proteger contra ameaças comuns da Web, fornecendo uma camada adicional de segurança para seus aplicativos. Ao aproveitar as regras gerenciadas pela AWS e seus grupos de regras pré-configurados, você pode agilizar o gerenciamento de configurações do WAF. Isto reduz a necessidade de equipas especializadas para lidar com estas tarefas complexas e, assim, alivia o trabalho pesado indiferenciado.
Um padrão operacional centralizado (veja a Figura 1) exige que as equipes de SI construam uma política do AWS WAF usando o AWS FMS e depois a implementem em escala em cada conta. Manter-se atualizado sobre o cenário de ameaças em constante mudança pode ser demorado e caro. As equipes de segurança terão a opção de selecionar um ou mais grupos de regras em AWS Managed Rules ou uma assinatura do AWS Marketplace para cada web ACL, juntamente com qualquer regra personalizada necessária.
Figura 1. Modelo operacional centralizado para AWS WAF
Os conjuntos de regras gerenciados do AWS Config garantem que o registro em log do AWS WAF, grupos de regras, web ACLs e implantações regionais e globais do AWS WAF não tenham conjuntos de regras vazios. Os conjuntos de regras gerenciadas simplificam o monitoramento e os relatórios de conformidade, ao mesmo tempo que garantem a segurança e a conformidade. O AWS CloudTrail monitora alterações nas configurações do AWS WAF, fornecendo recursos valiosos de auditoria do seu ambiente operacional.
Este modelo atribui a responsabilidade de definir, aplicar e revisar políticas de segurança, bem como de remediar quaisquer problemas, diretamente ao administrador de segurança e à equipe de SI. Embora abrangente, esta abordagem pode exigir uma gestão cuidadosa para evitar potenciais estrangulamentos, especialmente em operações de maior escala.
II. Distribuído
Muitas organizações iniciam suas operações de TI na AWS desde o início. Essas organizações normalmente possuem infraestrutura multiqualificada e equipes de desenvolvimento e um modelo operacional enxuto. O modelo distribuído mostrado na Figura 2 é uma boa opção para eles. Neste caso, a equipa de aplicação compreende os componentes da infraestrutura subjacentes e a Infraestrutura como Código (IaC) que os provisiona. Faz sentido que essas equipes de desenvolvimento também gerenciem os componentes de segurança de aplicativos interconectados, como o AWS WAF.
As equipes de aplicativos são responsáveis pela implantação do AWS WAF e pela configuração das Web ACLs para seus respectivos aplicativos. Normalmente, a Web ACL será uma combinação de grupos de regras de linha de base e grupos de regras específicos de casos de uso , ambos implantados e gerenciados pela equipe de aplicação.
Um dos desafios que surge com a implantação distribuída é a inconsistência na implantação das regras, que pode resultar em níveis variados de proteção. Às vezes, prioridades conflitantes nas equipes de aplicação podem comprometer o foco na segurança, priorizando a implementação de recursos em vez da mitigação abrangente de riscos, por exemplo. Um modelo de governança forte pode ser muito útil em situações como essas, em que a equipe de segurança pode não ser responsável pela implantação das regras do AWS WAF, mas precisa de visibilidade da postura de segurança. Os serviços de segurança da AWS, como Security Hub e regras de configuração, podem ajudar a definir esses parâmetros. Por exemplo, algumas das regras de configuração gerenciadas e controles do Security Hub verificam se o AWS WAF está habilitado para Application Load Balancer (ALB) e Amazon API Gateway e também se a Web ACL associada está vazia .
Figura 2. Modelo operacional distribuído para AWS WAF
III. Híbrido
Uma organização que possui uma ampla variedade de aplicativos voltados para o cliente hospedados em diversas contas diferentes da AWS pode se beneficiar de um modelo operacional de implantação híbrida. As organizações cuja infraestrutura é gerenciada por uma combinação de uma equipe de segurança interna, fornecedores terceirizados, prestadores de serviço e um centro gerenciado de operações de segurança cibernética (CSOC) também podem usar esse modelo. Nesse caso, a equipe de segurança pode criar e aplicar um conjunto de regras principais do AWS WAF usando o AWS Firewall Manager. As equipes de aplicativos podem criar e gerenciar regras adicionais com base nos requisitos do aplicativo. Por exemplo, grupos de regras específicos de casos de uso serão diferentes para aplicativos PHP em comparação com aplicativos baseados em WordPress.
As equipes de segurança da informação podem especificar como os grupos de regras principais são ordenados. O administrador do aplicativo tem a capacidade de adicionar regras e grupos de regras que serão executados entre os dois conjuntos de grupos de regras. Essa abordagem garante que a segurança adequada seja aplicada a todos os aplicativos legados e modernos, e os desenvolvedores ainda possam escrever e gerenciar regras personalizadas para maior proteção.
As organizações devem adotar um modelo colaborativo de desenvolvimento DevSecOps , onde tanto a equipe de segurança quanto as equipes de desenvolvimento de aplicativos construirão, gerenciarão e implantarão regras de segurança. Esta também pode ser considerada uma abordagem híbrida que combina o melhor dos modelos central e distribuído, conforme mostrado na Figura 3.
Figura 3. Modelo operacional híbrido para AWS WAF
A governança é compartilhada entre a equipe de segurança centralizada responsável pelos conjuntos de regras básicas implantados em todas as contas da AWS e a equipe de aplicação individual responsável pelos conjuntos de regras personalizadas do AWS WAF. Para manter a segurança e a conformidade, o AWS Config verifica o Amazon CloudFront, o AWS AppSync , o Amazon API Gateway e o ALB para associação do AWS WAF com conjuntos de regras gerenciadas. O AWS Security Hub combina e prioriza descobertas de segurança do AWS Firewall Manager , permitindo visibilidade da conformidade das regras do AWS WAF em contas e recursos da AWS. Este modelo requer uma coordenação estreita entre as duas equipas para garantir que as políticas de segurança sejam consistentes e que todas as questões de segurança sejam abordadas de forma eficaz.
A estratégia de resposta a incidentes do AWS WAF inclui detectar, investigar, conter e documentar incidentes, alertar a equipe, desenvolver planos de resposta, implementar medidas de mitigação e melhoria contínua com base nas lições aprendidas. A modelagem de ameaças para o AWS WAF envolve identificar ativos, avaliar ameaças e vulnerabilidades, definir controles de segurança, testar e monitorar e manter-se atualizado sobre ameaças e atualizações do AWS WAF.
Conclusão
Usar o modelo operacional apropriado é fundamental para garantir que os controles de segurança corretos das aplicações web sejam implementados. Ele atende às necessidades dos proprietários de empresas e aplicativos. Na maioria das implementações, o modelo centralizado e híbrido funciona bem, proporcionando uma aplicação estratificada de políticas. No entanto, o método distribuído pode ser usado para gerenciar casos de uso específicos. Os serviços do Amazon Firewall Manager podem ser usados para agilizar o gerenciamento de modelos operacionais centralizados e híbridos em organizações da AWS.
Artigo originalmente publicado em Blog AWS