Explraçã da cnfrmidade cm GDPR na AWS Nvembr de 2017
2017, Amazn Web Services, Inc. u suas afiliadas. Tds s direits reservads. Aviss Este dcument é frnecid apenas para fins infrmativs. Ele relacina as atuais fertas de prduts e práticas da AWS a cntar da data de emissã deste dcument, que estã sujeitas a alterações sem avis prévi. Os clientes sã respnsáveis pr fazer sua própria avaliaçã independente das infrmações neste dcument e de qualquer us ds prduts u serviçs da AWS, cada um ds quais é frnecid cm está, sem garantia de qualquer tip, expressa u implícita. Este dcument nã cria quaisquer garantias, representações, cmprmisss cntratuais, cndições u segurs da AWS, suas afiliadas, frnecedres u licenciadres. As respnsabilidades e as brigações da AWS cm s seus clientes sã cntrladas pr cntrats dela, e este dcument nã é parte, nem mdifica, qualquer cntrat entre a AWS e seus clientes.
Sumári O regulament geral de prteçã de dads: uma visã geral 1 Mudanças intrduzidas pel GDPR nas rganizações que peram na UE 1 Preparaçã da AWS para GDPR 1 O códig de cnduta da CISPE 2 Cntrles de acess a dads 3 Mnitrament e registr em lg 5 Prteçã de dads na AWS 7 Estrutura de cnfrmidade e padrões de segurança sólids 14 Mdel de respnsabilidade de segurança cmpartilhada 15 Respnsabilidades de segurança da AWS 15 Respnsabilidades de segurança d cliente 16 Prgrama de cnfrmidade da AWS 17 Clud Cmputing Cmpliance Cntrls Catalg (C5 Esquema de credenciament basead n gvern alemã) 18 Revisões d dcument 19
Resum O General Data Prtectin Regulatin ( GDPR Regulament geral de prteçã de dads) entrará em vigr em 25 de mai de 2018. A AWS ferece serviçs e recurss para ajudar cm s requisits d GDPR que pdem ser aplicáveis à sua peraçã. Esses serviçs e recurss incluem cumpriment d códig de cnduta da CISPE pela AWS, além de cntrles detalhads de acess a dads, ferramentas de mnitrament e registr, criptgrafia, gerenciament de chaves, recurss de auditria, cumpriment de nrmas de segurança de TI e atestads C5 da AWS.
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS O regulament geral de prteçã de dads: uma visã geral O GDPR é uma nva lei de privacidade eurpeia que entrará em vigr em 25 de mai de 2018. O GDPR pretende harmnizar as leis de prteçã de dads de tda a Uniã Eurpeia (UE) aplicand uma única lei de prteçã de dads brigatória em tds s estads-membr. O GDPR se aplica a tdas as rganizações que têm um estabeleciment na UE u que ferecem mercadrias u serviçs a indivídus na UE e que prcessam dads pessais de residentes da UE. Os dads pessais sã qualquer infrmaçã relacinada a uma pessa física identificada u identificável. O GDPR substituirá a Diretiva de prteçã de dads eurpeia (Diretiva 95/46/CE). A partir de 25 de mai de 2018, a Diretiva de prteçã de dads e suas leis relacinadas atuais nã terã mais efeit. Mudanças intrduzidas pel GDPR nas rganizações que peram na UE Um ds principais aspects d GDPR é que ele pretende criar uma unifrmidade entre s estads-membr da UE cm relaçã a cm s dads pessais pdem ser prcessads, usads e trcads cm segurança. As rganizações precisarã demnstrar cntinuamente a segurança ds dads que prcessam e sua cnfrmidade cm GDPR pr mei da implementaçã e revisã frequente de medidas técnicas e rganizacinais rigrsas e plíticas de cnfrmidade. As autridades fiscalizadras pderã emitir multas de até 20 milhões EUR u 4% d vlume de negócis glbal anual, que fr mais alt. Preparaçã da AWS para GDPR Os especialistas em cnfrmidade, prteçã de dads e segurança da AWS estã trabalhand cm clientes em td mund para respnder às suas perguntas e ajudá-ls a se preparar para a execuçã de cargas de trabalh na nuvem após GDPR entrar em vigr. Essas equipes também estã revisand tud que a AWS já faz para garantir cumpriment ds requisits d GDPR. Página 1
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS Pdems cnfirmar que tds s serviçs da AWS cumprirã GDPR quand passar a vigrar em mai de 2018. Ns terms d artig 32, s cntrladres e s prcessadres têm de implementar medidas técnicas e rganizacinais adequadas cnsiderand nível tecnlógic e cust da implementaçã, bem cm a natureza, cntext e as finalidades d prcessament, além d risc das semelhanças e severidades variáveis ds direits e liberdades das pessas físicas. O GDPR ferece sugestões específicas sbre s tips de ações de segurança que pdem ser necessáris, incluind: A pseudanmizaçã e a criptgrafia de dads pessais. A capacidade de garantir cntinuamente a cnfidencialidade, a integridade, a dispnibilidade e a resiliência de sistemas e serviçs de prcessament. A capacidade de restaurar a dispnibilidade e acess a dads pessais em temp hábil em cass de incidentes físics u técnics. Um prcess para testar, cnsiderar e avaliar a eficácia de medidas técnicas e rganizacinais a fim de garantir a segurança d prcessament. O códig de cnduta da CISPE O GDPR prevê a aprvaçã de códigs de cnduta para ajudar cntrladres e prcessadres a demnstrar cnfrmidade e melhres práticas. Um desses códigs que aguardam aprvaçã ficial é códig de cnduta da CISPE para prvedres de serviç de infraestrutura de nuvem ( Códig ). O Códig ferece as clientes a tranquilidade de que seu prvedr de nuvem usa padrões adequads de prteçã de dads cnsistentes cm GDPR. Alguns ds principais benefícis d Códig incluem: Esclarecer quem é respnsável pr cada etapa da prteçã de dads. O Códig de cnduta explica a funçã d prvedr e d cliente ns terms d GDPR, mais especificamente n cntext de serviçs de infraestrutura de nuvem. Página 2
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS O Códig de cnduta define s princípis que devem ser cumprids pels prvedres. O Códig de cnduta desenvlve s princípis mais imprtantes dentr d GDPR em relaçã a ações e cmprmisss clars assumids pels prvedres para ajudar seus clientes a manter a cnfrmidade. Os clientes pdem cnfiar nesses benefícis cncrets de sua própria cnfrmidade e suas próprias estratégias de prteçã de dads. O Códig de cnduta prprcina as clientes a segurança necessária para tmar decisões sbre cnfrmidade. O Códig de cnduta exige que s prvedres sejam transparentes a respeit das etapas executadas para cumprir seus cmprmisss de segurança. Alguns exempls dessas etapas sã a ntificaçã de vilações de dads, a exclusã de dads e subprcessament pr terceirs, bem cm slicitações de autridades pliciais e gvernamentais. Os clientes pdem usar essas infrmações para cmpreender integralmente s alts níveis de segurança ferecids. Em 13 de fevereir de 2017, a AWS declaru que s serviçs Amazn Elastic Cmpute Clud (Amazn EC2), Amazn Simple Service (Amazn S3), Amazn Relatinal Database Service (Amazn RDS), AWS Identity and Access Management (IAM), AWS CludTrail e Amazn Elastic Blck Strage (Amazn EBS) estã em ttal cnfrmidade cm Códig (cnsulte https://cispe.clud/publicregister). Essa cnfrmidade prprcina as clientes garantias adicinais de que cntrlam ttalmente seus dads em um ambiente segur, prtegid e em cnfrmidade quand usam a AWS. A nssa cnfrmidade cm Códig cmplementa a lnga lista de certificações e credenciaments recnhecids internacinalmente e já btids pela AWS, incluind ISO 27001, ISO 27018, ISO 9001, SOC 1, SOC 2, SOC 3 e PCI DSS nível 1, entre muits utrs. Cntrles de acess a dads O artig 25 d GDPR declara que cntrladr deverá implementar medidas técnicas e rganizacinais adequadas para garantir que, pr padrã, smente serã prcessads s dads pessais necessáris para cada finalidade específica d prcessament. Os mecanisms de cntrle de acess da AWS ajudam a cumprir esse requisit, permitind que smente administradres, usuáris e aplicativs autrizads acessem s recurss e s dads d cliente da AWS: Página 3
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS Acess detalhad a bjets da AWS em buckets d S3, SQS, SNS e utrs Vcê pde cnceder permissões diferentes para pessas e recurss distints. Pr exempl, vcê pde cnceder a alguns usuáris acess cmplet as serviçs Amazn Elastic Cmpute Clud (Amazn EC2), Amazn Simple Strage Service (Amazn S3), Amazn DynamDB e Amazn Redshift, entre utrs serviçs da AWS. Para utrs usuáris, vcê pde cnceder acess smente leitura para apenas alguns buckets d S3, permissões de administraçã de apenas algumas instâncias d EC2 u acess às infrmações de faturament e nada mais. Multi-Factr-Authenticatin (MFA) Vcê pde adicinar autenticaçã de dis fatres à sua cnta e a usuáris individuais para aumentar a segurança. Cm a MFA, além de frnecer uma senha u chave de acess para trabalhar cm uma cnta, vcê u s usuáris devem infrmar um códig gerad pr um dispsitiv especialmente cnfigurad. Autenticaçã pr slicitaçã de API Vcê pde usar recurss d IAM para frnecer cm segurança a aplicativs executads em instâncias d EC2 as credenciais necessárias para acessar utrs recurss da AWS, cm buckets d S3 e RDS u bancs de dads d DynamDB. Restrições gegráficas Vcê pde usar restrições gegráficas, também cnhecidas cm blqueis gegráfics, para evitar que usuáris em lcais gegráfics específics acessem cnteúd de uma distribuiçã web d CludFrnt. Vcê tem duas pções para usar restrições gegráficas: Use recurs de restriçã gegráfica d CludFrnt. Use esta pçã para restringir acess a tds s arquivs assciads a uma distribuiçã e restringir acess pr país. Use um serviç de gelcalizaçã de terceirs. Use esta pçã para restringir acess a um subcnjunt ds arquivs assciads a uma distribuiçã u para restringir acess em um nível mais detalhad que pr país. Tkens de acess temprári pr mei d STS Vcê pde usar AWS Security Tken Service (AWS STS) para criar e frnecer as usuáris cnfiáveis credenciais de segurança temprárias que pdem cntrlar acess a recurss da AWS. As credenciais de segurança Página 4
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS temprárias funcinam de frma praticamente idêntica às credenciais de chave de acess de lng praz usadas pels usuáris d IAM, cm as seguintes diferenças: As credenciais de segurança temprárias têm curta duraçã, cm indicad pel nme. Elas pdem ser cnfiguradas para durar pr alguns minuts u várias hras. Após a expiraçã das credenciais, a AWS deixa de recnhecê-las e nã permite qualquer tip de acess de slicitações de API cm essas credenciais. As credenciais de segurança temprárias nã sã armazenadas cm usuári, mas sã geradas dinamicamente e frnecidas a usuári mediante slicitaçã. Quand as credenciais de segurança temprárias expiram (u até mesm antes diss), usuári pde slicitar nvas credenciais, desde que ainda tenha permissões para fazê-l. Essas diferenças d us de credenciais temprárias ferecem as seguintes vantagens: Nã é necessári distribuir u incrprar credenciais de segurança de lng praz da AWS em um aplicativ. Vcê pde cnceder as usuáris acess a recurss da AWS sem necessidade de criar uma identidade da AWS para esses usuáris. As credenciais temprárias sã a base da federaçã de funções e identidades. As credenciais de segurança temprárias têm um cicl de vida limitad. Prtant, nã é precis mudá-las frequentemente u revgá-las quand deixam de ser necessárias. Após a expiraçã das credenciais de segurança temprárias, elas nã pdem ser reutilizadas. Vcê pde especificar períd de validade das credenciais, até um limite máxim. Mnitrament e registr em lg O GDPR exige que [c]ada cntrladr e, se fr cas, representante d cntrladr, deverã manter um registr das atividades de prcessament sb sua respnsabilidade. Esse artig também inclui detalhes sbres as infrmações que devem ser registradas. Em utras palavras, GDPR exige mnitrament d prcessament de dads de PII. Além diss, as brigações de Página 5
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS ntificaçã de vilaçã em temp hábil exigem a detecçã ds incidentes praticamente em temp real. Para ajudar vcê a cumprir essas brigações, a AWS ferece diverss serviçs de mnitrament e registr em lg: Gerenciament e cnfiguraçã de ativs cm AWS Cnfig O AWS Cnfig ferece uma visualizaçã detalhada da cnfiguraçã ds recurss da AWS em uma cnta da AWS. Essa visualizaçã inclui a frma cm s recurss se relacinam entre si e cm fram cnfigurads anterirmente, que permite ver a evluçã das cnfigurações e ds relacinaments a lng d temp. Um recurs da AWS é uma entidade cm a qual vcê pde trabalhar na AWS, cm uma instância d Amazn Elastic Cmpute Clud (EC2), um vlume d Amazn Elastic Blck Stre (EBS), um security grup u uma Amazn Virtual Private Clud (VPC). Para bter uma lista ds recurss da AWS cm suprte d AWS Cnfig, cnsulte Tips de recurss da AWS cm suprte. Cm AWS Cnfig, vcê pde: Avaliar as cnfigurações de recurss da AWS e as definições desejadas. Obter um snapsht das cnfigurações atuais ds recurss cm suprte assciads à sua cnta da AWS. Recuperar cnfigurações de um u mais recurss existentes em sua cnta. Recuperar cnfigurações históricas de um u mais recurss. Receber uma ntificaçã sempre que um recurs é criad, mdificad u excluíd. Ver s relacinaments entre s recurss. Pr exempl, vcê pde encntrar tds s recurss que usam um determinad security grup. Auditria de cnfrmidade e análise de segurança cm AWS CludTrail Cm AWS CludTrail, vcê pde mnitrar as implantações da AWS na nuvem btend um históric de chamadas das APIs da AWS na sua cnta, incluind as efetuadas pel Cnsle de Gerenciament da AWS, pels AWS SDKs, pelas ferramentas da linha de cmand e pr serviçs da AWS de nível mais alt. Vcê também pde Página 6
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS identificar quais usuáris e cntas chamaram APIs da AWS para serviçs que ferecem suprte a CludTrail, endereç IP de rigem dessas chamadas e quand as chamadas crreram. É pssível integrar CludTrail a aplicativs usand a API, autmatizar a criaçã de trilhas em sua rganizaçã, verificar status das trilhas e cntrlar cm s administradres ativam e desativam registr em lg d CludTrail. Identificaçã de desafis de cnfiguraçã pr mei d TrustedAdvisr O registr em lg ferece uma frma de bter lgs de acess detalhads para um bucket d S3. Um registr de acess cntém detalhes sbre a slicitaçã, tais cm tip da slicitaçã, s recurss especificads na slicitaçã e a data e hra em que a slicitaçã fi prcessada. Para bter mais infrmações sbre cnteúd de um lg, cnsulte frmat de lg 1 de acess a servidr n guia d desenvlvedr d Amazn Simple Strage Service. Registrs de acess a servidr sã úteis para muits aplicativs prque frnecem as prprietáris de buckets infrmações sbre as slicitações feitas pr clientes fra de seu cntrle. Pr padrã, Amazn S3 nã cleta registrs de acess a serviç. N entant, quand vcê habilita registr em lg, Amazn S3 frnece lgs de acess a bucket a cada hra. Registr em lg detalhad de acess a bjets d S3. Infrmações detalhadas sbre fluxs na rede pr mei d VPC Flw Lgs. Verificações e ações de cnfiguraçã baseadas em regras cm AWS Cnfig Rules. Filtragem e mnitrament d acess HTTP a aplicativs cm funções d WAF n CludFrnt. Prteçã de dads na AWS O GDPR exige que as rganizações implementem medidas técnicas e rganizacinais adequadas para garantir um nível de segurança aprpriad para risc, incluind (...) a pseudanmizaçã e a criptgrafia de dads pessais (...). Além diss, as rganizações devem se prteger cntra a divulgaçã u acess nã autrizad de dads pessais. Pr fim, quand crre uma vilaçã de dads pessais e resultad prvável é um alt risc para s direits e as liberdades de pessas físicas, mas cntrladr implementu medidas de Página 7
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS prteçã técnicas e rganizacinais adequadas (...) cm criptgrafia, cntrladr nã precisa ntificar s titulares de dads afetads pela vilaçã, evitand dessa frma s custs administrativs e s dans à reputaçã. A AWS ferece váris mecanisms altamente escaláveis e segurs de criptgrafia de dads para ajudar a prteger s dads d cliente armazenads e prcessads na AWS: Criptgrafia de dads ciss cm AES-256 (EBS/S3/Glacier/RDS) A criptgrafia de dads ciss 2 é essencial para a cnfrmidade nrmativa e garante que dads cnfidenciais salvs em disc nã pssam ser lids pr nenhum usuári u aplicativ sem uma chave válida. A AWS ferece pções de dads ciss e gerenciament de chaves para ferecer suprte a prcess de criptgrafia. Pr exempl, é pssível criptgrafar vlumes d Amazn EBS e cnfigurar buckets d Amazn S3 para criptgrafia d lad d servidr (SSE) usand criptgrafia AES-256. Além diss, Amazn RDS ferece suprte à Transparent Data Encryptin (TDE Criptgrafia transparente de dads). O armazenament de instâncias ferece armazenament temprári de blcs para instâncias d Amazn EC2. Esse armazenament é lcalizad em discs cnectads fisicamente a um cmputadr hst. O armazenament de instâncias é ideal para armazenament temprári de infrmações que mudam frequentemente, cm buffers, caches e dads de trabalh. Pr padrã, s arquivs armazenads nesses discs nã sã criptgrafads. Criptgrafia de discs e sistema de arquivs Vcê pde usar dis métds para criptgrafar arquivs em armazenaments de instância. O primeir métd é a criptgrafia de disc, em que um disc u blc inteir dentr d disc é criptgrafad usand uma u mais chaves de criptgrafia. A criptgrafia de disc pera abaix d nível de sistema de arquivs, é independente d sistema peracinal e culta infrmações de diretóris e arquivs, cm nme e tamanh. Pr exempl, Encrypting File System é uma extensã da Micrsft para New Technlgy File System (NTFS) d sistema peracinal Windws NT que frnece criptgrafia de disc. O segund métd é a criptgrafia de sistema de arquivs. Os arquivs e diretóris sã criptgrafads, mas nã a partiçã u Página 8
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS disc inteir. A criptgrafia de sistema de arquivs pera cm base n sistema de arquivs e é prtátil entre sistemas peracinais. A infraestrutura Linux dm-crypt O dm-crypt é um mecanism de criptgrafia de kernel d Linux que permite que s usuáris mntem um sistema de arquivs criptgrafad. A mntagem de um sistema de arquivs é um prcess em que um sistema de arquivs é cnectad a um diretóri (pnt de mntagem), dispnibilizand- a sistema peracinal. Após a mntagem, tds s arquivs d sistema de arquivs estã dispníveis para aplicativs sem interações adicinais. N entant, esses arquivs sã criptgrafads quand armazenads n disc. O mapeadr de dispsitivs é uma infraestrutura d kernel 2.6 e 3.x d Linux que ferece uma frma genérica de criar camadas virtuais de dispsitivs de blcs. A criptgrafia de destin d mapeadr de dispsitivs ferece criptgrafia transparente de dispsitivs de blc pr mei da API de criptgrafia d kernel. A sluçã desta publicaçã usa dm-crypt juntamente cm um sistema de arquivs basead em disc mapead a um vlume lógic pel Lgical Vlume Manager (LVM Gerenciadr de vlumes lógics). O LVM ferece gerenciament de vlumes lógics para kernel d Linux. Página 9
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS Visã geral de arquitetura O diagrama de arquitetura resumid a seguir mstra a sluçã prpsta para pssibilitar a criptgrafia d armazenament de instâncias d EC2. 1. O administradr criptgrafa uma senha secreta usand KMS. A senha criptgrafada é salva em um arquiv. 2. O administradr clca arquiv que cntém a senha criptgrafada em um bucket d S3. 3. Quand é inicializada, a instância cpia arquiv criptgrafad para um disc intern. 4. Em seguida, a instância d EC2 descriptgrafa arquiv usand KMS e recupera a senha em text simples. A senha é usada para cnfigurar sistema de arquivs criptgrafad d Linux cm LUKS. Tds s dads gravads n sistema de arquivs criptgrafad sã criptgrafads usand um algritm de criptgrafia AES-256 quand armazenads em disc. Página 10
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS Gerenciament de chaves centralizad (pr regiã) O AWS Key Management Service (KMS) é um serviç gerenciad que facilita a criaçã e cntrle de chaves de criptgrafia usadas para criptgrafar dads, além de usar móduls de segurança de hardware (HSMs) para prteger a segurança das chaves. O AWS Key Management Service é integrad a váris utrs serviçs da AWS para ajudar vcê a prteger s dads que armazena nesses serviçs. O AWS Key Management Service também é integrad cm AWS CludTrail para frnecer lgs cntend tda a utilizaçã das chaves para ajudar a cumprir requisits nrmativs e de cnfrmidade. Gerenciament de chaves centralizad O AWS Key Management Service frnece cntrle centralizad de chaves de criptgrafia. Vcê pde criar, imprtar e mudar facilmente as chaves, além de definir plíticas de us e auditar a utilizaçã pr mei d Cnsle de Gerenciament da AWS u usand AWS SDK u a ILC. As chaves mestras n KMS, tant as imprtadas quant as criadas em seu nme pel KMS, sã armazenadas em um frmat criptgrafad em um armazenament altamente resiliente, que ajuda a garantir sua recuperaçã quand necessári. Vcê pde slicitar que KMS mude autmaticamente as chaves mestras criadas n KMS uma vez pr an sem a necessidade de criptgrafar nvamente s dads que já fram criptgrafads cm a chave mestra. Vcê nã precisa mnitrar as versões anterires das chaves mestras, pis KMS as mantém dispníveis para descriptgrafar dads anterirmente criptgrafads. Vcê pde criar nvas chaves mestras e cntrlar quem tem acess a essas chaves e cm quais serviçs elas pdem ser usadas sempre que vcê quiser. Vcê também pde imprtar chaves da sua própria infraestrutura de gerenciament de chaves e usá-las n KMS. Integraçã a serviçs da AWS O AWS Key Management Service é ttalmente integrad a váris utrs serviçs da AWS. Essa integraçã significa que vcê pde usar facilmente as chaves mestras d AWS KMS para criptgrafar s dads armazenads nesses serviçs. É pssível usar uma chave mestra padrã criada autmaticamente para vcê e que só pde ser utilizada n serviç integrad, u selecinar uma chave mestra persnalizada criada n KMS u imprtada da sua própria infraestrutura de gerenciament de chaves para a qual vcê tem permissã de us. Página 11
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS Recurss de auditria Se AWS CludTrail 3 estiver habilitad para sua cnta da AWS, cada utilizaçã de uma chave que vcê armazenar n KMS será registrada em um arquiv de lg que será enviad para bucket d Amazn S3 que vcê especificu quand habilitu AWS CludTrail. As infrmações registradas incluem detalhes d usuári, hra, data e a chave usada. Escalabilidade, resiliência e alta dispnibilidade O AWS Key Management Service é um serviç gerenciad. Nã é necessári cmprar infraestrutura de gerenciament de chaves adicinal para acmpanhar cresciment d us das chaves de criptgrafia d AWS KMS. O AWS KMS ferece escalabilidade autmática para atender às suas necessidades de chaves de criptgrafia. As chaves mestras criadas em seu nme pel AWS KMS u imprtadas pr vcê nã pdem ser exprtadas d serviç. O AWS KMS armazena várias cópias de versões criptgrafadas das chaves em sistemas prjetads para ter resiliência de 99,999999999%, que ajuda a garantir a dispnibilidade das chaves quand fr necessári acessá-las. Se vcê imprtar chaves para KMS, deverá manter de md segur uma cópia das suas chaves para que pssa imprtá-las nvamente a qualquer instante. O AWS KMS é implantad em várias znas de dispnibilidade dentr de uma regiã da AWS para prprcinar alta dispnibilidade para as chaves de criptgrafia. Segur O AWS KMS fi prjetad para que ninguém tenha acess às suas chaves mestras. O serviç é criad cm base em sistemas prjetads para prteger as chaves mestras cm técnicas de prteçã abrangentes, cm nunca armazenar chaves mestras em text simples em disc, nã as manter na memória e cntrlar quais sistemas pdem acessar hsts que usam as chaves. Td acess para atualizaçã de sftware n serviç é administrad pr um cntrle de acess para váris participantes que é auditad e revisad pr um grup independente na Amazn. Para saber mais sbre cm AWS KMS funcina, leia whitepaper sbre AWS Key Management Service 4. Túneis IPsec para a AWS cm gateways VPN A Amazn VPC permite prvisinar uma seçã lgicamente islada da nuvem da Página 12
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS Amazn Web Services (AWS). Nessa seçã, vcê pde executar recurss da AWS em uma rede virtual que vcê mesm define. Vcê tem cntrle ttal sbre seu ambiente de rede virtual, incluind a seleçã d seu própri interval de endereçs IP, a criaçã de sub-redes e cnfiguraçã de tabelas de rtas e gateways de rede. Além diss, vcê pde criar uma cnexã de Virtual Private Netwrk (VPN) pr hardware entre datacenter crprativ e a VPC e usar a Nuvem AWS cm uma extensã desse datacenter. É pssível persnalizar facilmente a cnfiguraçã da rede para a Amazn VPC. Pr exempl, vcê pde criar uma sub-rede pública para s servidres web que têm acess à Internet e dispr s sistemas back-end cm bancs de dads u servidres de aplicativs em uma sub-rede privada sem acess à Internet. Vcê pde aprveitar várias camadas de segurança, cm security grups e listas de cntrle de acess à rede, para ajudar a cntrlar acess às instâncias d Amazn EC2 em cada sub-rede. Móduls HSM dedicads na nuvem cm CludHSM O serviç AWS CludHSM ajuda a cumprir requisits de cnfrmidade crprativs, cntratuais e nrmativs para a segurança de dads usand dispsitivs Hardware Security Mdule (HSM Módul de segurança de hardware) dedicads dentr da Nuvem AWS. Cm CludHSM, vcê cntrla as chaves e as perações de criptgrafia executadas pel HSM. Os parceirs da AWS e d AWS Marketplace ferecem diversas sluções para a prteçã de dads cnfidenciais dentr da AWS. N entant, casinalmente, pde ser necessári ferecer prteçã adicinal para aplicativs e dads sujeits a rigrss requisits cntratuais u nrmativs de gerenciament de chaves criptgráficas. Até agra, a única pçã dispnível era armazenar s dads cnfidenciais (u as chaves de criptgrafia que prtegem s dads cnfidenciais) em datacenters lcais. Infelizmente, essa pçã impedia a migraçã desses aplicativs para a nuvem u reduzia cnsideravelmente sua perfrmance. O serviç AWS CludHSM permite que vcê prteja suas chaves de criptgrafia dentr de HSMs designads e validads de acrd cm padrões gvernamentais para gerenciament segur de chaves. É pssível gerar, armazenar e gerenciar as chaves de criptgrafia usadas na criptgrafia de dads de tal frma que smente vcê tenha acess a Página 13
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS elas. O AWS CludHSM ajuda a cumprir requisits rigrss de gerenciament de chaves sem sacrificar a perfrmance ds aplicativs. O serviç AWS CludHSM funcina cm a Amazn Virtual Private Clud (VPC). As instâncias de CludHSM sã prvisinadas dentr da sua VPC cm endereç IP que vcê especificar, ferecend cnectividade a redes simples e privadas para instâncias d Amazn Elastic Cmpute Clud (EC2). O psicinament das instâncias d CludHSM pert das instâncias d EC2 reduz a latência de rede, que pde aumentar a perfrmance d aplicativ. A AWS frnece acess dedicad e exclusiv (únic lcatári) a instâncias d CludHSM de frma islada ds utrs clientes da AWS. Dispnível em várias regiões e znas de dispnibilidade (AZs), AWS CludHSM permite que vcê adicine as aplicativs um armazenament de chaves segur e resiliente. Integrad Vcê pde usar CludHSM cm Amazn Redshift, Amazn Relatinal Database Service (RDS) Oracle u aplicativs de terceirs, cm SafeNet Virtual KeySecure, para atuar cm uma raiz de cnfiança, Apache (terminaçã de SSL) u Micrsft SQL Server (criptgrafia de dads transparente). Vcê também pde usar CludHSM para escrever seus própris aplicativs e cntinuar a usar as biblitecas de criptgrafia padrã que já cnhece, incluind PKCS#11, Java JCA/JCE e Micrsft CAPI e CNG. Auditável Se vcê precisar rastrear alterações de recurss u auditar atividades para fins de segurança e cnfrmidade, pderá usar CludTrail para revisar tdas as chamadas de API d CludHSM efetuadas em sua cnta. Além diss, é pssível auditar perações n dispsitiv HSM usand syslg u enviand mensagens de lg d syslg a seu própri cletr. Estrutura de cnfrmidade e padrões de segurança sólids De acrd cm GDPR, medidas técnicas e rganizacinais adequadas pdem ser necessárias para incluir a capacidade de garantir cntinuamente a cnfidencialidade, a integridade, a dispnibilidade e a resiliência ds sistemas e serviçs de prcessament, bem cm prcesss cnfiáveis de restauraçã, Página 14
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS testes e gerenciament de riscs gerais. A AWS ferece uma estrutura de cnfrmidade sólida e padrões de segurança avançads. Mdel de respnsabilidade de segurança cmpartilhada Antes de detalharms cm a AWS prtege s dads, devems analisar que trna a segurança na nuvem um puc diferente da segurança em datacenters lcais. Quand vcê transfere sistemas e dads para a nuvem, a respnsabilidade pela segurança passa a ser cmpartilhada entre vcê e seu prvedr de serviçs na nuvem. Neste cas, a AWS é respnsável pela prteçã da infraestrutura subjacente que ferece suprte à nuvem, e vcê é respnsável pr tud aquil que clca na nuvem u cnecta à nuvem. Esse mdel de respnsabilidade de segurança cmpartilhada pde reduzir a carga peracinal de muitas frmas e, em alguns cass, até melhrar a pstura habitual de segurança sem que vcê precise fazer nada. Respnsabilidades de segurança da AWS A Amazn Web Services é respnsável pela prteçã da infraestrutura glbal que executa tds s serviçs ferecids na Nuvem AWS. Essa infraestrutura abrange hardware, sftware, as redes e as instalações que executam s serviçs da AWS. Prteger essa infraestrutura é a mair priridade da AWS. Embra vcê nã pssa visitar nsss escritóris e datacenters para ver pessalmente essa prteçã, dispnibilizams váris relatóris de auditres independentes que verificaram nssa cnfrmidade cm diversas nrmas e padrões de segurança de cmputaçã. Para bter mais infrmações, cnsulte https://aws.amazn.cm/cmpliance/. Além de prteger essa infraestrutura glbal, a AWS é respnsável pela cnfiguraçã de segurança ds prduts cnsiderads serviçs gerenciads que ferece. Entre s exempls desses tips de serviçs incluem-se Amazn DynamDB, Amazn RDS, Amazn Redshift, Amazn Elastic MapReduce, Amazn WrkSpaces e váris utrs. Eles permitem a escalabilidade e a flexibilidade ds recurss baseads na nuvem cm benefíci adicinal de serem gerenciads. N cas desses serviçs, a AWS cuidará das tarefas básicas de segurança, cm aplicaçã de patches a bancs de dads e sistemas peracinais (SOs) cnvidads, cnfiguraçã de firewalls e recuperaçã de desastres. N cas da mairia desses serviçs gerenciads, vcê só precisa Página 15
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS cnfigurar cntrles de acess lógic as recurss e prteger as credenciais de sua cnta. Alguns deles pdem exigir tarefas adicinais, cm cnfigurar cntas de usuári d banc de dads. Entretant, n geral a cnfiguraçã da segurança é executada pel serviç. Respnsabilidades de segurança d cliente Cm a nuvem AWS, vcê pde prvisinar servidres virtuais, armazenament, bancs de dads e desktps em minuts, em vez de semanas. Além diss, pde usar ferramentas de flux de trabalh e análise baseadas na nuvem para prcessar seus dads e armazená-ls em seus própris datacenters u na nuvem. Os serviçs da AWS que vcê usar determinarã vlume de trabalh de cnfiguraçã que estará entre suas respnsabilidades de segurança. Os prduts da AWS que se inserem na cnhecida categria de Infrastructure as a Service (IaaS, Infraestrutura cm serviç), cm Amazn EC2, a Amazn VPC e Amazn S3, ficam inteiramente sb seu cntrle, exigind que vcê execute tdas as tarefas de cnfiguraçã e gerenciament de segurança necessárias. N cas das instâncias d EC2, pr exempl, vcê é respnsável pel gerenciament d sistema peracinal cnvidad (incluind atualizações e patches de segurança) e de tds s utilitáris u aplicativs de sftware que instalar nas instâncias, bem cm pela cnfiguraçã d firewall frnecid pela AWS (chamad security grup) em cada instância. Essas sã basicamente as mesmas tarefas de segurança que vcê já está habituad a executar, independentemente da lcalizaçã de seus servidres. Os AWS Managed Services, cm Amazn RDS u Amazn Redshift, frnecem tds s recurss que vcê precisa para executar uma determinada tarefa, só que sem trabalh de cnfiguraçã que geralmente s acmpanham. Cm eles, vcê nã precisa se precupar cm execuçã e manutençã de instâncias, crreçã de bancs de dads e SOs cnvidads nem cm replicaçã de bancs de dads: a AWS cuida diss tud para vcê. Prém, cm em tds s serviçs, vcê deve prteger as credenciais de sua cnta da AWS e cnfigurar a cnta de cada usuári cm Amazn Identity and Access Management (IAM) para que eles tenham suas próprias credenciais e vcê pssa implementar a segregaçã de tarefas. Recmendams também us de multi-factr authenticatin (MFA, Autenticaçã multifatr) em tdas as cntas, que requer SSL/TLS para cmunicaçã cm seus recurss na AWS, e a cnfiguraçã de um registr em lg de atividades da API e ds usuáris cm AWS CludTrail. Para Página 16
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS bter infrmações sbre as medidas adicinais que vcê pde adtar, cnsulte whitepaper Melhres práticas de segurança da AWS e as leituras recmendadas na página da web Recurss de segurança da AWS. Prgrama de cnfrmidade da AWS A cnfrmidade da Amazn Web Services permite que s clientes entendam s rígids cntrles que existem na AWS para manter a segurança e a prteçã de dads na nuvem. À medida que s sistemas sã cnstruíds cm base na infraestrutura da Nuvem AWS, as respnsabilidades de cnfrmidade sã cmpartilhadas. A integrar recurss de serviçs cm fc em gvernança e de fácil auditria a padrões de auditria u cnfrmidade aplicáveis, s capacitadres de cnfrmidade da AWS aprveitam s prgramas tradicinais para ajudar vcê a estabelecer e perar um ambiente de cntrle de segurança da AWS. A infraestrutura de TI ferecida pela AWS fi criada e é gerenciada de acrd cm as melhres práticas de segurança e cm diverss padrões de segurança de TI, cm: SOC 1/SSAE 16/ISAE 3402 (antig SAS 70) SOC 2 SOC 3 FISMA, DIACAP e FedRAMP DOD CSM níveis 1-5 PCI DSS nível 1 ISO 9001/ISO 27001 ITAR FIPS 140-2 MTCS nível 3 Além diss, a flexibilidade e cntrle que a AWS ferece as clientes permitem que eles implantem sluções que atendem a diverss padrões específics d setr, entre s quais: Serviçs de Infrmaçã da Justiça Criminal (CJIS) Clud Security Alliance (CSA) Página 17
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS Lei da privacidade e ds direits educacinais da família (FERPA) Lei de Prtabilidade e Respnsabilidade de Prvedres de Saúde (HIPAA) Mtin Picture Assciatin f America (MPAA) A AWS frnece as seus clientes uma ampla variedade de infrmações relacinadas a seu ambiente de cntrle de TI pr mei de whitepapers, relatóris, certificações e declarações de terceirs. Há mais infrmações dispníveis n whitepaper de risc e cnfrmidade, em http://aws.amazn.cm/cmpliance/. Clud Cmputing Cmpliance Cntrls Catalg (C5 Esquema de credenciament basead n gvern alemã) O Clud Cmputing Cmpliance Cntrls Catalg (C5) 5 é um credenciament apiad pel gvern alemã, intrduzid na Alemanha pel departament federal de segurança das infrmações (BSI) para ajudar as rganizações a demnstrar segurança peracinal cntra ataques cibernétics cmuns dentr d cntext d dcument Security Recmmendatins fr Clud Prviders 6 d gvern alemã. O credenciament C5 pde ser usad pr clientes da AWS e seus cnsultres de cnfrmidade para cmpreender a gama de serviçs de garantia de segurança de TI ferecida pela AWS na mvimentaçã de cargas de trabalh para a nuvem. O C5 adicina um nível de segurança de TI definid nrmativamente, equivalente a IT-Grundschutz cm a adiçã de cntrles específics para a nuvem. O C5 acrescenta cntrles que frnecem infrmações sbre lcalizaçã de dads, prvisinament de serviçs, jurisdiçã, certificações existentes, brigações de divulgaçã de infrmações e uma descriçã cmpleta ds serviçs. Usand essas infrmações, s clientes pdem avaliar cm regulaments legais (pr exempl, privacidade de dads), suas próprias plíticas u ambiente de ameaças se relacinam a us de serviçs de cmputaçã em nuvem. Página 18
Amazn Web Services Explraçã da cnfrmidade cm GDPR na AWS Revisões d dcument Data Nvembr de 2017 Descriçã Primeira publicaçã Ntes 1 http://dcs.aws.amazn.cm/amazns3/latest/dev/lgfrmat.html 2 https://d0.awsstatic.cm/whitepapers/aws_securing_data_at_rest_with_ Encryptin.pdf 3 https://aws.amazn.cm/cludtrail/ 4 https://d0.awsstatic.cm/whitepapers/kms-cryptgraphic-details.pdf 5 6 https://www.bsi.bund.de/shareddcs/dwnlads/en/bsi/cludcmputing /CmplianceCntrlsCatalgue/CmplianceCntrlsCatalgue.pdf;jsessinid =E5F009E49EB2689FAC3705578821BCB6.2_cid286? blb=publicatinfil e&v=3 https://www.bsi.bund.de/shareddcs/dwnlads/en/bsi/publicatins/cl udcmputing/securityrecmmendatinscludcmputingprviders.pdf? bl b=publicatinfile&v=2 Página 19