Baixe o app para aproveitar ainda mais
Prévia do material em texto
Soluções de Segurança, Governança, Compliance e Migração Carlos Barroso 2022 2 Soluções de Segurança, Governança, Compliance e Migração Carlos Barroso © Copyright do Instituto de Gestão e Tecnologia da Informação. Todos os direitos reservados. 3 Sumário Capítulo 1. Gerenciamento de identidade e acesso .................................................. 6 Responsabilidade Compartilhada na AWS ................................................................... 6 AWS Directory Service (AD) .......................................................................................... 9 Amazon Cognito .......................................................................................................... 10 Capítulo 2. Proteção de dados na AWS .................................................................... 12 AWS Key Management Service (AWS KMS) ............................................................... 12 AWS Secrets Manager................................................................................................. 13 Capítulo 3. Detecção ................................................................................................ 15 Amazon Inspector ....................................................................................................... 15 AWS Security Hub ....................................................................................................... 15 Amazon GuardDuty ..................................................................................................... 17 Capítulo 4. Proteção de infraestrutura .................................................................... 18 AWS Network Firewall ................................................................................................ 18 AWS WAF .................................................................................................................... 19 AWS Shield .................................................................................................................. 20 Capítulo 5. Resposta a incidente de segurança na AWS .......................................... 22 Amazon Detective ....................................................................................................... 22 Capítulo 6. Governança na AWS .............................................................................. 25 4 AWS Personal Health Dashboard ................................................................................ 25 AWS CloudWatch ........................................................................................................ 25 AWS CloudTrail ........................................................................................................... 26 AWS Trusted Advisor .................................................................................................. 27 AWS Compute Optimizer ............................................................................................ 28 AWS Systems Manager ............................................................................................... 28 AWS CloudFormation .................................................................................................. 30 AWS Resource Access Manager .................................................................................. 31 AWS Tags ..................................................................................................................... 32 Capítulo 7. Compliance na AWS ............................................................................... 33 AWS Artifact ................................................................................................................ 33 Customer Compliance Center ..................................................................................... 34 Capítulo 8. Soluções para LGPD na AWS .................................................................. 35 Conformidade da AWS com a LGDP ........................................................................... 35 Recursos de privacidade de produtos da AWS ........................................................... 36 Quais serviços a AWS oferece aos clientes para ajudá-los a cumprir os requisitos da LGDP ............................................................................................................................ 37 Capítulo 9. Migração para nuvem AWS ................................................................... 39 AWS Cloud Adoption Framework (AWS CAF) ............................................................. 39 Planejamento e Migração para a AWS (Estratégias e Ferramentas) .......................... 41 Capítulo 10. Bônus…………. ......................................................................................... 47 5 Overview do AWS Backup ........................................................................................... 47 Overview do Amazon EC2 Dedicated Hosts ............................................................... 48 Referências……………….. .................................................................................................... 49 6 Capítulo 1. Gerenciamento de identidade e acesso Usando a AWS, você ganhará o controle e a confiança necessários para executar seu negócio com segurança no ambiente de computação em nuvem mais flexível e seguro disponível hoje. Como um cliente da AWS, você se beneficiará de datacenters da AWS e de uma rede arquitetada para proteger suas informações, identidades, aplicações e dispositivos. Com a AWS, você pode melhorar sua capacidade de atender aos principais requisitos de segurança e conformidade, como localidade, proteção e confidencialidade de dados por meio de nossos abrangentes serviços e recursos. A AWS lhe permite automatizar tarefas de segurança manuais de forma que você pode passar a se concentrar na escalabilidade e na inovação de seu negócio. Além disso, você paga apenas pelos serviços que usa. Todos os nossos clientes se beneficiam pela AWS ser a única nuvem comercial que possui ofertas de serviços e cadeias de suprimentos associadas verificadas e aceitas como seguras o bastante para as cargas de trabalho mais secretas. Responsabilidade Compartilhada na AWS Segurança e conformidade constituem uma responsabilidade compartilhada entre a AWS e o cliente. Esse modelo compartilhado pode auxiliar a reduzir os encargos operacionais do cliente à medida que a AWS opera, gerencia e controla os componentes do sistema operacional do host e a camada de virtualização, até a segurança física das instalações em que o serviço opera. O cliente assume a gestão e a responsabilidade pelo sistema operacional (inclusive atualizações e patches de segurança), por outros softwares de aplicativos associados e pela configuração do firewall do grupo de segurança fornecido pela AWS. Os clientes devem examinar cuidadosamente os serviços 7 que escolherem, pois suas respectivas responsabilidades variam de acordo com os serviços utilizados; a integração desses serviços ao seu ambiente de TI e as leis e regulamentos aplicáveis. A natureza dessas responsabilidades compartilhadas também oferece a flexibilidade e o controle do cliente necessários para a implantação. Como pode ser visto no gráfico abaixo, esta distinção entre responsabilidades é denominada normalmente como segurança “da” nuvem versus segurança “na” nuvem. Figura 1 – Modelo de Responsabilidade Compartilhada. Responsabilidade da AWS: “segurança da nuvem”: a AWS é responsável por proteger a infraestrutura que executa todos os serviços oferecidos na Nuvem AWS. Essa infraestrutura é composta por hardware, software, redes e instalações que executam os Serviços de nuvem AWS. Responsabilidade do cliente: “segurança na nuvem”: a responsabilidadedo cliente será determinada pelos Serviços de nuvem AWS selecionados por ele. Isso determina a quantidade de operações de configuração que o cliente deverá executar como parte de suas responsabilidades de segurança. Por exemplo, um serviço como o Amazon Elastic Compute Cloud (Amazon EC2) é categorizado como Infrastructure as a 8 Service (IaaS – Infraestrutura como serviço) e, dessa forma, exige que o cliente execute todas as tarefas necessárias de configuração e gerenciamento da segurança. Os clientes que implantam uma instância do Amazon EC2 são responsáveis pelo gerenciamento do sistema operacional convidado (o que inclui atualizações e patches de segurança), por qualquer utilitário ou software de aplicativo instalado pelo cliente nas instâncias, bem como pela configuração do firewall disponibilizado pela AWS (chamado de grupo de segurança) em cada instância. Para serviços abstraídos, como o Amazon S3 e o Amazon DynamoDB, a AWS opera a camada de infraestrutura, o sistema operacional e as plataformas, e os clientes acessam os endpoints para armazenar e recuperar dados. Os clientes são responsáveis por gerenciar os dados deles (o que inclui opções de criptografia), classificando os ativos e usando as ferramentas de IAM para aplicar as permissões apropriadas. Esse modelo de responsabilidade compartilhada entre o cliente e a AWS também se estende aos controles de TI. Assim como a responsabilidade para operar o ambiente de TI é compartilhada entre a AWS e os seus clientes, o mesmo ocorre com o gerenciamento, a operação e a verificação de controles compartilhados de TI. A AWS pode auxiliar a reduzir os encargos operacionais de controles do cliente gerenciando os controles associados à infraestrutura física implementada no ambiente da AWS que anteriormente eram gerenciados pelo cliente. Já que cada cliente é implantado de forma diferente na AWS, os clientes podem aproveitar a transferência do gerenciamento de determinados controles de TI para a AWS, resultando em um (novo) ambiente de controle distribuído. Os clientes podem usar a documentação sobre controle e conformidade da AWS para executar seus procedimentos de avaliação e verificação de controle, conforme for necessário. Veja abaixo exemplos de controles gerenciados pela AWS, por clientes da AWS e/ou por ambos. 9 AWS Directory Service (AD) O AWS Directory Service for Microsoft Active Directory, também conhecido como AWS Managed Microsoft AD, permite que cargas de trabalho e recursos da AWS com reconhecimento de diretório usem o Active Directory gerenciado na Nuvem AWS. O AWS Managed Microsoft AD é criado com base em um Microsoft Active Directory real e não exige a sincronização ou replicação de dados do Active Directory existente para a nuvem. Você pode usar as ferramentas de administração padrão do AD e aproveitar os benefícios dos recursos integrados, como política de grupo e logon único. Com o AWS Managed Microsoft AD, você pode ingressar facilmente as instâncias do Amazon EC2 e do Amazon RDS for SQL Server em um domínio e usar os serviços do AWS End User Computing (EUC), como o Amazon WorkSpaces, com os usuários e grupos do AD. Você pode escolher serviços de diretório com os recursos e a escalabilidade que melhor atendem às suas necessidades. As informações a seguir podem ajudá-lo a determinar qual opção de diretório do AWS Directory Service funciona melhor para sua organização: • Preciso do Active Directory ou LDAP para meus aplicativos na nuvem ‒ Selecione AWS Directory Service para Microsoft Active Directory (Standard Edition ou Enterprise Edition) se precisar de um Microsoft Active Directory real na AWS Cloud que ofereça suporte a cargas de trabalho com reconhecimento de Active Directory ou aplicativos e serviços AWS, como Amazon WorkSpaces e Amazon QuickSight, ou você precisa de suporte LDAP para aplicativos Linux. ‒ Use o AD Connector se precisar permitir que seus usuários locais façam login em aplicativos e serviços da AWS com suas credenciais do Active 10 Directory. Você também pode usar o AD Connector para unir instâncias do Amazon EC2 ao seu domínio Active Directory existente. ‒ Use Simple AD se precisar de um diretório de baixa escala e baixo custo com compatibilidade básica do Active Directory que ofereça suporte a aplicativos compatíveis com Samba 4, ou se precisar de compatibilidade LDAP para aplicativos que reconhecem LDAP. • Desenvolvo aplicativos SaaS ‒ Use o Amazon Cognito se você desenvolver aplicativos SaaS de alta escala e precisar de um diretório escalonável para gerenciar e autenticar seus assinantes e que funcione com identidades de mídia social. Amazon Cognito O Amazon Cognito fornece autenticação, autorização e gerenciamento de usuário para seus aplicativos da web e móveis. Seus usuários podem entrar diretamente com um nome de usuário e senha, ou por meio de terceiros, como Facebook, Amazon, Google ou Apple. Os dois componentes principais do Amazon Cognito são pools de usuários e pools de identidade. Pools de usuários são diretórios de usuários que fornecem opções de inscrição e login para os usuários do seu aplicativo. Os pools de identidade permitem que você conceda a seus usuários acesso a outros serviços da AWS. Você pode usar pools de identidade e pools de usuários separadamente ou juntos. Um pool de usuários e um pool de identidade do Amazon Cognito usados juntos 11 O diagrama abaixo apresenta um cenário de uso comum do Amazon Cognito. Aqui, o objetivo é autenticar seu usuário e, em seguida, conceder a ele acesso a outro serviço da AWS. Figura 2 – Diagrama Utilização do Cognito. 1. Na primeira etapa, o usuário do aplicativo faz login por meio de um pool de usuários e recebe tokens de pool de usuários após uma autenticação bem- sucedida. 2. Em seguida, seu aplicativo troca os tokens do pool de usuários por credenciais da AWS por meio de um pool de identidade. 3. Finalmente, o usuário do seu aplicativo pode usar essas credenciais para acessar outros serviços da AWS, como Amazon S3 ou DynamoDB. 12 Capítulo 2. Proteção de dados na AWS A AWS fornece serviços que ajudam a proteger seus dados, contas e cargas de trabalho contra acesso não autorizado. Os serviços de proteção de dados da AWS fornecem criptografia, gerenciamento de chaves e detecção de ameaças que monitoram e protegem continuamente suas contas e cargas de trabalho. AWS Key Management Service (AWS KMS) O AWS Key Management Service (AWS KMS) é um serviço gerenciado que facilita a criação e o controle de chaves AWS KMS, as chaves de criptografia usadas para criptografar seus dados. As chaves AWS KMS usam módulos de segurança de hardware (HSM) para proteger e validar usando o programa de validação de módulo criptográfico FIPS 140-2 exceto nas regiões da China (Pequim) e China (Ningxia). AWS KMS integra-se com a maioria dos outros serviços AWS que criptografam seus dados. O AWS KMS também se integra ao AWS CloudTrail para registrar o uso de suas chaves KMS para necessidades de auditoria, regulamentação e conformidade. Ao usar o AWS KMS, você obtém mais controle sobre o acesso aos dados criptografados. Você pode usar o gerenciamento de chaves e recursos criptográficos diretamente em seus aplicativos ou por meio de serviços AWS integrados com AWS KMS. Além disso você pode monitorar e investigar como e quando suas chaves KMS foram usadas e quem as usou. O AWS KMS pode se integrar, por exemplo, ao AWS CloudTrail ou a um serviço que entrega arquivos de log ao seu bucket do Amazon S3. 13 AWS Secrets Manager No passado, quando você criava um aplicativo personalizado para recuperar informações de um banco de dados, normalmente incorporava as credenciais para acessar o banco de dados diretamente no aplicativo. Quandochegava a hora de alterar as credenciais, você sempre tinha que fazer mais do que apenas criar novas credenciais. Você tinha que investir tempo para atualizar o aplicativo para usar as novas credenciais. O Secrets Manager permite que você substitua as credenciais codificadas permanentemente em seu código, incluindo senhas, por uma chamada de API para o Secrets Manager para recuperar o segredo programaticamente. Isso ajuda a garantir que o segredo não possa ser comprometido por alguém que examine seu código. Além disso, você pode configurar o Secrets Manager para alternar automaticamente o segredo para você de acordo com uma programação especificada. O diagrama a seguir ilustra o cenário mais básico. Você pode armazenar credenciais para um banco de dados no Secrets Manager e, em seguida, usar essas credenciais em um aplicativo para acessar o banco de dados. 1. O administrador do banco de dados cria um conjunto de credenciais no banco de dados Pessoal para uso por um aplicativo chamado MyCustomApp. 14 O administrador também configura essas credenciais com as permissões necessárias para que o aplicativo acesse o banco de dados de Pessoal. 2. O administrador do banco de dados armazena as credenciais como um segredo no Secrets Manager nomeado MyCustomAppCreds. Em seguida, o Secrets Manager criptografa e armazena as credenciais dentro do segredo como o texto do segredo protegido. 3. Quando MyCustomApp acessa o banco de dados, o aplicativo consulta o Secrets Manager para obter o segredo nomeado MyCustomAppCreds. 4. O Secrets Manager recupera o segredo, descriptografa o texto do segredo protegido e retorna o segredo para o aplicativo cliente por meio de um canal seguro (HTTPS com TLS). 5. O aplicativo cliente analisa as credenciais, string de conexão e quaisquer outras informações necessárias da resposta e, em seguida, usa as informações para acessar o servidor de banco de dados. 15 Capítulo 3. Detecção A AWS identifica ameaças monitorando continuamente a atividade da rede e o comportamento da conta no seu ambiente de nuvem. Amazon Inspector O Amazon Inspector testa a acessibilidade da rede de suas instâncias do Amazon EC2 e o estado de segurança de seus aplicativos executados nessas instâncias. O Amazon Inspector avalia os aplicativos quanto à exposição, vulnerabilidades e desvios das melhores práticas. Depois de realizar uma avaliação, o Amazon Inspector produz uma lista detalhada de descobertas de segurança que é organizada por nível de gravidade. Com o Amazon Inspector, você pode automatizar as avaliações de vulnerabilidade de segurança em todos os seus pipelines de desenvolvimento e implantação ou para sistemas de produção estáticos. Isso permite que você torne os testes de segurança uma parte regular do desenvolvimento e das operações de TI. O Amazon Inspector também oferece um software predefinido chamado agente que você pode instalar opcionalmente no sistema operacional das instâncias do EC2 que deseja avaliar. O agente monitora o comportamento das instâncias EC2, incluindo rede, sistema de arquivos e atividade do processo. Ele também coleta um amplo conjunto de dados de comportamento e configuração (telemetria). AWS Security Hub O AWS Security Hub fornece uma visão abrangente de seu estado de segurança na AWS e ajuda você a verificar seu ambiente em relação aos padrões e práticas recomendadas do setor de segurança. 16 O Security Hub coleta dados de segurança de contas AWS, serviços e produtos de parceiros de terceiros com suporte e ajuda você a analisar as tendências de segurança e identificar os problemas de segurança de maior prioridade. Você pode usar o Security Hub das seguintes maneiras: Console do hub de segurança Faça login no AWS Management Console e abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/. API Security Hub Para acessar o Security Hub programaticamente, use a API do Security Hub, que permite emitir solicitações HTTPS diretamente para o serviço. Para obter mais informações, consulte a Referência da API do AWS Security Hub. Quando você habilita o Security Hub, ele começa a consumir, agregar, organizar e priorizar descobertas de serviços da AWS que você habilitou, como Amazon GuardDuty, Amazon Inspector e Amazon Macie. Você também pode habilitar integrações com produtos de segurança de parceiros da AWS. Esses produtos de parceiros também podem enviar descobertas para o Security Hub. Consulte Integrações de produtos no AWS Security Hub. O Security Hub também gera suas próprias descobertas ao executar verificações de segurança contínuas e automatizadas com base nas melhores práticas da AWS e nos padrões do setor com suporte. Consulte os padrões e controles de segurança no AWS Security Hub. O Security Hub então correlaciona e consolida as descobertas entre os provedores para ajudá-lo a priorizar as descobertas mais significativas. 17 Amazon GuardDuty Amazon GuardDuty é um serviço de monitoramento de segurança contínuo que analisa e processa as seguintes fontes de dados: VPC Flow Logs, logs de eventos de gerenciamento do AWS CloudTrail, logs de eventos de dados CloudTrail S3 e logs DNS. Ele usa feeds de inteligência de ameaças, como listas de endereços IP maliciosos e domínios, e aprendizado de máquina para identificar atividades inesperadas e potencialmente não autorizadas e maliciosas em seu ambiente AWS. Isso pode incluir problemas como escalonamentos de privilégios, uso de credenciais expostas ou comunicação com endereços IP ou domínios mal-intencionados. Por exemplo, O GuardDuty pode detectar instâncias EC2 comprometidas servindo malware ou bitcoin de mineração. Ele também monitora o comportamento de acesso à conta da AWS em busca de sinais de comprometimento, como implantações de infraestrutura não autorizadas, como instâncias implantadas em uma região que nunca foi usada, ou chamadas API incomuns, como uma mudança de política de senha para reduzir a força da senha. O GuardDuty informa sobre o status do seu ambiente AWS produzindo descobertas de segurança que você pode visualizar no console do GuardDuty ou por meio de eventos do Amazon CloudWatch. 18 Capítulo 4. Proteção de infraestrutura Os serviços de proteção de rede e aplicações permitem que você aplique políticas de segurança refinadas em pontos de controle de rede na sua organização. Os serviços da AWS ajudam você a inspecionar e filtrar o tráfego para evitar o acesso não autorizado a recursos nos limites dos níveis de host, rede e aplicação. AWS Network Firewall O AWS Network Firewall é um firewall de rede gerenciado e com monitoramento de estado e serviço de detecção e prevenção de intrusão para sua nuvem privada virtual (VPC) que você criou na Amazon Virtual Private Cloud (Amazon VPC). Com o Network Firewall, você pode filtrar o tráfego no perímetro de seu VPC. Isso inclui a filtragem do tráfego que vai e vem de um gateway de Internet, gateway NAT ou por VPN ou AWS Direct Connect. O Firewall de rede usa o sistema de prevenção de intrusão de código aberto (IPS), para inspeção de estado. O firewall de rede oferece suporte a regras compatíveis com Suricata. Você pode usar o firewall de rede para monitorar e proteger o tráfego do Amazon VPC de várias maneiras, incluindo as seguintes: • Passando o tráfego apenas de domínios de serviço AWS conhecidos ou endpoints de endereço IP, como Amazon S3. • Usando listas personalizadas de domínios inválidos conhecidos para limitar os tipos de nomes de domínio que seus aplicativos podem acessar. • Realizando uma inspeção profunda de pacotes no tráfego que entra ou sai de seu VPC. 19 • Usando a detecção de protocolo com monitoração de estado para filtrar protocolos como HTTPS, independentemente da portausada. O Network Firewall é compatível com o AWS Firewall Manager. Você pode usar o Firewall Manager para configurar e gerenciar centralmente seus firewalls em suas contas e aplicativos no AWS Organizations. AWS WAF AWS WAF é um firewall de aplicação Web que permite monitorar as solicitações HTTP (S) encaminhadas para uma distribuição do Amazon CloudFront, para uma API REST do Amazon API Gateway, para um Application Load Balancer ou para um AWS AppSyncAPI GraphQL. O AWS WAF também permite que você controle o acesso ao seu conteúdo. Com base nas condições que você especificar, como de quais endereços IP se originam as solicitações ou os valores das strings de consulta, o serviço associado ao recurso protegido responde às solicitações com o conteúdo solicitado ou com um código de status HTTP 403 (proibido). Você também pode configurar o CloudFront para retornar uma página de erro personalizada quando uma solicitação é bloqueada. Você usa AWS WAF para controlar como uma distribuição do Amazon CloudFront, uma API REST do Amazon API Gateway, um Application Load Balancer ou umaAWS AppSyncGraphQL API responde às solicitações da web. • Web ACLs— Use uma lista de controle de acesso (ACL) para proteger um conjunto deAWSrecursos da AWS. Você cria uma web ACL e define sua estratégia de proteção adicionando regras. As regras definem critérios para inspecionar solicitações da web e especificam como lidar com solicitações que correspondam aos critérios. Você define uma ação padrão para a web ACL que 20 indica se deseja bloquear ou permitir através das solicitações que passam as inspeções de regras. • Regras— Cada regra contém uma instrução que define os critérios de inspeção e uma ação a ser executada se uma solicitação da Web atender aos critérios. Quando uma solicitação da web atende aos critérios, isso é uma correspondência. Você pode usar regras para bloquear solicitações correspondentes ou para permitir solicitações correspondentes. Você também pode usar regras apenas para contar solicitações correspondentes. • Grupos de regras— Você pode usar regras individualmente ou em grupos de regras reutilizáveis. AWS Regras gerenciadas e AWS Marketplace fornecem grupos de regras gerenciadas para seu uso. Você também pode definir seus próprios grupos de regras. Depois de criar a ACL da web, você pode associá-la a um ou mais AWS recursos da AWS. Os tipos de recursos que você pode proteger usando o AWS WAFAs ACLs da web são uma distribuição do Amazon CloudFront, uma API REST do Amazon API Gateway, um Application Load Balancer e uma AWS AppSyncAPI GraphQL. AWS Shield A AWS fornece o AWS Shield Standard e o AWS Shield Advanced para a proteção contra ataques DDoS. O AWS Shield Standard é automaticamente incluído, sem custo adicional além do que você já paga pelo AWS WAF e pelos outros serviços da AWS. Para maior proteção contra ataques DDoS, a AWS oferta o AWS Shield Advanced que oferece proteção contra ataques de DDoS expandida para seus recursos. Você pode adicionar proteção a qualquer um dos seguintes tipos de recurso: • Distribuições do Amazon CloudFront. 21 • Zona hospedada do Amazon Route 53. • Aceleradoras do AWS Global Accelerator. • Application Load Balancers. • Load balancers de balanceamento elástico (ELB). • Endereços IP elástico do Amazon Elastic Compute Cloud (Amazon EC2). 22 Capítulo 5. Resposta a incidente de segurança na AWS Serviços de segurança da AWS, como Amazon GuardDuty, Amazon Macie e AWS Security Hub, bem como produtos de segurança de parceiros, podem ser usados para identificar possíveis problemas ou descobertas de segurança. Esses serviços são realmente úteis para alertar quando algo está errado e apontar o caminho para a correção. Porém, algumas vezes pode haver uma descoberta de segurança em que você precisa se aprofundar mais e analisar mais informações para isolar a causa raiz e tomar uma medida. Determinar a causa raiz das descobertas de segurança pode ser um processo complexo que geralmente envolve a coleta e a combinação de logs de muitas fontes de dados separadas, usando ferramentas de extração, transformação e carregamento (ETL) ou scripts personalizados para organizar os dados. Em seguida, os analistas de segurança precisam analisar os dados e conduzir longas investigações. O Amazon Detective simplifica esse processo, permitindo que suas equipes de segurança investiguem facilmente e cheguem rapidamente à causa raiz de uma descoberta. O Amazon Detective pode analisar trilhões de eventos de várias fontes de dados, como Virtual Private Cloud (VPC) Flow Logs, AWS CloudTrail e Amazon GuardDuty, e criar automaticamente uma visualização interativa e unificada de seus recursos, usuários e interações entre eles ao longo do tempo. Com essa visão unificada, você pode visualizar todos os detalhes e o contexto em um único local para identificar os motivos subjacentes das descobertas, detalhar as atividades históricas relevantes e determinar rapidamente a causa raiz. Amazon Detective O Amazon Detective facilita a análise, a investigação e a identificação rápida da causa raiz das descobertas de segurança ou atividades suspeitas. Ele recolhe 23 automaticamente dados de registo, depois usa machine learning, análise estatística e teoria de gráficos para ajudá-lo a visualizar e realizar investigações de segurança mais rápidas e eficientes. As agregações de dados pré-criadas pelo Detective, os resumos e o contexto ajudam a analisar e determinar rapidamente a natureza e a extensão de possíveis problemas de segurança. O Detective mantém até um ano de dados históricos do evento. Esses dados ficam facilmente disponíveis por meio de um conjunto de visualizações que mostram alterações no tipo e no volume de atividade em uma janela de tempo selecionada. Ele liga essas alterações às descobertas da GuardDuty. O Detective extrai automaticamente eventos baseados em tempo, como tentativas de início de sessão, chamadas de API e tráfego de rede do AWS CloudTrail. Os logs de fluxo da Amazon VPC. Ele também ingere descobertas detectadas pela GuardDuty. A partir desses eventos, Detective usa aprendizado de máquina e visualização para criar uma visão unificada e interativa de seus comportamentos de recursos e as interações entre eles ao longo do tempo. Você pode explorar esse gráfico de comportamento para examinar ações diferentes, como tentativas de logon com falha ou chamadas de API suspeitas. Você também pode ver como essas ações afetam recursos como AWS Contas e instâncias do Amazon EC2. Você pode ajustar o escopo e a linha de tempo do gráfico de comportamento para várias tarefas: • Investigue rapidamente qualquer atividade que esteja fora da norma. • Identifique padrões que possam indicar um problema de segurança. • Compreender todos os recursos afetados por um achado. 24 Visualizações personalizadas por Detective fornecem uma linha de base e resumem as informações da conta. Essas descobertas podem ajudar a responder perguntas como “Esta é uma chamada de API incomum para essa função?” Ou “É esperado esse pico no tráfego desta instância?” Com Detective, você não precisa organizar dados ou desenvolver, configurar ou ajustar suas próprias consultas e algoritmos. Não há custos iniciais e você paga apenas pelos eventos analisados, sem software adicional para implantar ou outros feeds para assinar. 25 Capítulo 6. Governança na AWS No passado, as organizações precisavam escolher entre inovar com mais rapidez e manter o controle sobre os custos, a conformidade e a segurança. Com os serviços de Gerenciamento e governança da AWS, os clientes não precisam escolher entre inovação e controle: eles podem ter ambos. Com a AWS, os clientes podem habilitar, provisionar e operar seus ambientespara obter agilidade de negócios e controle de governança. AWS Personal Health Dashboard O AWS Personal Health Dashboard fornece alertas e orientação para eventos da AWS, que podem afetar seu ambiente. Embora o Service Health Dashboard mostre o status geral dos produtos da AWS, o Personal Health Dashboard fornece notificações proativas e transparentes sobre seu ambiente específico na AWS. Todos os clientes da AWS podem acessar o Personal Health Dashboard. O Personal Health Dashboard mostra eventos recentes para ajudar no gerenciamento de eventos ativos e mostra notificações proativas para possibilitar o planejamento das atividades programadas. Use esses alertas para receber notificações sobre mudanças que podem afetar seus recursos da AWS e, em seguida, siga as orientações para diagnosticar e solucionar problemas. AWS CloudWatch O Amazon CloudWatch monitora seus recursos do Amazon Web Services (AWS) e os aplicativos que você executa na AWS em tempo real. Você pode usar o CloudWatch para coletar e rastrear métricas, que são variáveis que você pode medir para seus recursos e aplicativos. 26 A página inicial do CloudWatch exibe automaticamente as métricas sobre cada serviço AWS que você usa. Além disso, você pode criar painéis personalizados para exibir métricas sobre seus aplicativos personalizados e exibir coleções personalizadas de métricas que você escolher. Você pode criar alarmes que monitoram as métricas e enviam notificações ou fazem alterações automaticamente nos recursos que você está monitorando quando um limite é violado. Por exemplo, você pode monitorar o uso da CPU e as leituras e gravações do disco de suas instâncias do Amazon EC2 e, em seguida, usar esses dados para determinar se deve iniciar instâncias adicionais para lidar com o aumento da carga. Você também pode usar esses dados para interromper instâncias subutilizadas para economizar dinheiro. Com o CloudWatch, você obtém visibilidade de todo o sistema sobre a utilização de recursos, desempenho de aplicativos e integridade operacional. AWS CloudTrail O AWS CloudTrail é um serviço da AWS que ajuda a habilitar a governança, conformidade e auditoria operacional e de risco de sua conta da AWS. As ações realizadas por um usuário, função ou serviço AWS, são registradas como eventos no CloudTrail. Os eventos incluem ações executadas no AWS Management Console, AWS Command Line Interface e AWS SDKs e APIs. O CloudTrail é habilitado em sua conta AWS quando você o cria. Quando a atividade ocorre em sua conta AWS, essa atividade é registrada em um evento CloudTrail. Você pode visualizar facilmente os eventos recentes no console do CloudTrail acessando o histórico de eventos. Para um registro contínuo de atividades e eventos em sua conta AWS, crie uma trilha. Para obter mais informações sobre preços do CloudTrail, consulte Preços do AWS CloudTrail. 27 A visibilidade da atividade da sua conta da AWS é um aspecto fundamental das melhores práticas operacionais e de segurança. Você pode usar o CloudTrail para visualizar, pesquisar, baixar, arquivar, analisar e responder à atividade da conta em sua infraestrutura AWS. Você pode identificar quem ou o que executou qual ação, quais recursos foram acionados, quando o evento ocorreu e outros detalhes para ajudá-lo a analisar e responder à atividade em sua conta da AWS. Opcionalmente, você pode habilitar o AWS CloudTrail Insights em uma trilha para ajudá-lo a identificar e responder a atividades incomuns. Você pode integrar o CloudTrail aos aplicativos usando a API, automatizar a criação de trilhas para sua organização, verificar o status das trilhas que você cria e controlar como os usuários veem os eventos do CloudTrail AWS Trusted Advisor O Trusted Advisor baseia-se nas melhores práticas aprendidas no atendimento a centenas de milhares de clientes da AWS. O Trusted Advisor inspeciona seu ambiente AWS e, em seguida, faz recomendações quando existem oportunidades para economizar dinheiro, melhorar a disponibilidade e o desempenho do sistema ou ajudar a fechar brechas de segurança. Se você tiver um plano de Suporte Básico ou de Desenvolvedor, poderá usar o console do Trusted Advisor para acessar todas as verificações na categoria Limites de serviço e seis verificações na categoria Segurança. Se você tiver um plano Business ou Enterprise Support, poderá usar o console do Trusted Advisor e a API de suporte da AWS para acessar todas as verificações do Trusted Advisor. Você também pode usar o Amazon CloudWatch Events para monitorar o status das verificações do Trusted Advisor. Para obter mais informações, consulte os resultados da verificação do Trusted Advisor com eventos do Amazon CloudWatch. 28 Você pode acessar o Trusted Advisor no AWS Management Console. Para obter mais informações sobre como controlar o acesso ao console do Trusted Advisor, consulte Gerenciar o acesso do AWS Trusted Advisor. AWS Compute Optimizer O AWS Compute Optimizer é um serviço que analisa a configuração e as métricas de utilização de seus recursos da AWS. Ele relata se seus recursos são ideais e gera recomendações de otimização para reduzir o custo e melhorar o desempenho de suas cargas de trabalho. O Compute Optimizer também fornece gráficos que mostram dados históricos de métricas de utilização recentes, bem como a utilização projetada para recomendações, que você pode usar para avaliar qual recomendação oferece a melhor relação preço-desempenho. O Compute Optimizer fornece uma experiência de console e um conjunto de APIs, que permite visualizar as descobertas da análise e recomendações para seus recursos em várias regiões da AWS. Você também pode visualizar descobertas e recomendações em várias contas, se optar pela conta de gerenciamento de uma organização. As descobertas do serviço também são relatadas nos consoles dos serviços com suporte, como o console do Amazon EC2. AWS Systems Manager O AWS Systems Manager (anteriormente conhecido como SSM) é um serviço da AWS que você pode usar para visualizar e controlar sua infraestrutura na AWS. Usando o console do Systems Manager, você pode visualizar dados operacionais de vários serviços da AWS e automatizar tarefas operacionais em seus recursos da AWS. O gerenciador de sistemas ajuda a manter a segurança e a conformidade verificando suas instâncias gerenciadas e relatando (ou tomando ações corretivas) quaisquer violações de política detectadas. 29 Uma instância gerenciada é uma máquina configurada para uso com o Systems Manager. O gerenciador de sistemas também ajuda a configurar e manter suas instâncias gerenciadas. Os tipos de máquinas com suporte incluem instâncias do Amazon Elastic Compute Cloud (Amazon EC2), servidores locais e máquinas virtuais (VMs), incluindo VMs em outros ambientes de nuvem. Os tipos de sistema operacional com suporte incluem Windows Server, macOS, Raspberry Pi OS (anteriormente Raspbian) e várias distribuições de Linux. Usando o Systems Manager, você pode associar recursos da AWS aplicando a mesma tag de identificação de recurso a cada um deles. Você pode então visualizar os dados operacionais para esses recursos como um grupo de recursos, para ajudar a monitorar e solucionar problemas. Por exemplo, você pode atribuir uma tag de recurso "Operation=Standard OS Patching" aos seguintes recursos: • Um grupo de instâncias do Amazon EC2. • Um grupo de servidores locais em suas próprias instalações. • Uma linha de base do patch do Systems Manager que especifica quais patches aplicar às suas instâncias gerenciadas. • Um bucket do Amazon Simple Storage Service (Amazon S3) para armazenar a saída do log de operação de patch. • Uma janela de manutenção do gerenciador de sistemas, que especifica a programação para a operação de patch. Depois de marcar os recursos,você pode visualizar um painel consolidado no Systems Manager, que relata o status de todos os recursos que fazem parte da operação 30 de patch em Standard OS. Se surgir um problema com qualquer um desses recursos, você pode tomar uma ação corretiva imediatamente. AWS CloudFormation AWS CloudFormation é um serviço que ajuda a modelar e configurar seus recursos AWS, para que você possa gastar menos tempo gerenciando esses recursos e mais tempo se concentrando em seus aplicativos executados na AWS. Você cria um modelo que descreve todos os recursos da AWS que deseja (como instâncias do Amazon EC2 ou instâncias do banco de dados Amazon RDS), e o CloudFormation se encarrega de provisionar e configurar esses recursos para você. Você não precisa criar e configurar individualmente recursos da AWS e descobrir o que depende de quê; CloudFormation lida com isso. Ao criar uma pilha, o AWS CloudFormation faz chamadas de serviço subjacentes ao AWS para provisionar e configurar seus recursos. O CloudFormation só pode realizar ações para as quais você tem permissão. Por exemplo, para criar instâncias EC2 usando CloudFormation, você precisa de permissões para criar instâncias. Você precisará de permissões semelhantes para encerrar instâncias ao excluir pilhas com instâncias. Você usa AWS Identity and Access Management (IAM) para gerenciar permissões. As chamadas que o CloudFormation faz são declaradas pelo seu modelo. Por exemplo, suponha que você tenha um modelo que descreve uma instância EC2 com um t2.microtipo de instância. Quando você usa esse modelo para criar uma pilha, o CloudFormation chama a API de criação de instância do Amazon EC2 e especifica o tipo de instância como t2.micro. O diagrama a seguir resume o fluxo de trabalho do CloudFormation para a criação de pilhas. 31 AWS Resource Access Manager O AWS Resource Access Manager (AWS RAM) permite que você compartilhe seus recursos com uma organização ou unidades organizacionais (OUs), em Organizações da AWS e contas da AWS. Para os tipos de recursos compatíveis, você também pode compartilhar recursos com funções e usuários IAM do IAM. Se você tiver várias contas da AWS, pode usar AWS RAM para compartilhar esses recursos com outras contas. O AWS RAM oferece os seguintes benefícios: • Reduz as despesas operacionais – Cria compartilhamentos de recursos e usa AWS RAM para compartilhar esses recursos com outras contas. Isso elimina a necessidade de provisionar recursos duplicados em todas as contas, o que reduz a sobrecarga operacional. • Fornece segurança e consistência – Administre o consumo de recursos compartilhados usando políticas e permissões existentes para obter segurança e controle. AWS RAM oferece uma experiência consistente para compartilhar diferentes tipos recursos da AWS. 32 • Fornece visibilidade e capacidade de auditoria – Exiba detalhes de uso de recursos compartilhados por meio da integração com o Amazon CloudWatch e AWS CloudTrail. AWS RAM oferece visibilidade abrangente de recursos e contas compartilhados. AWS Tags Você pode atribuir metadados a seus recursos da AWS na forma de tags. Cada tag é um rótulo que consiste em uma chave e um valor definidos pelo usuário. As tags podem ajudá-lo a gerenciar, identificar, organizar, pesquisar e filtrar recursos. Você pode criar tags para categorizar recursos por propósito, proprietário, ambiente ou outros critérios. Cada tag possui duas partes: • Uma chave de marcação (por exemplo, CostCenter, Environment ou Project). As chaves de tag diferenciam maiúsculas de minúsculas. • Um valor de tag (por exemplo, 111122223333 ou Production). Assim como as chaves de tag, os valores de tag diferenciam maiúsculas de minúsculas. Você pode usar tags para categorizar recursos por propósito, proprietário, ambiente ou outros critérios. Para obter mais informações, consulte AWS Tagging Strategies. Você pode adicionar, alterar ou remover tags, um recurso por vez, do console de serviço de cada recurso, API de serviço ou AWS CLI. 33 Capítulo 7. Compliance na AWS Podermos herdar os controles de conformidade mais abrangentes com a AWS. A AWS oferece suporte aos padrões de segurança e certificações de conformidade, como PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, FIPS 140-2 e NIST 800-171, ajudando os clientes a cumprirem os requisitos de conformidade de praticamente todos os órgãos normativos do mundo AWS Artifact O AWS Artifact é sua primeira opção de recurso para informações relacionadas à conformidade que importam para você. Ele oferece acesso sob demanda aos relatórios de segurança e conformidade da AWS e acordos on-line específicos. Entre os relatórios disponíveis no AWS Artifact, estão o Service Organization Control (SOC – Controle de organização de serviço) e o Payment Card Industry (PCI – Setor de cartões de pagamento), bem como certificações de órgãos de credenciamento de diversas áreas geográficas e setores de conformidade que validam a eficácia da implementação e operação dos controles de segurança da AWS. Os acordos disponíveis no AWS Artifact incluem o Business Associate Addendum (BAA – Adendo de associado comercial) e o Nondisclosure Agreement (NDA – Acordo de confidencialidade). Você pode acessar o AWS Artifact diretamente no Console de Gerenciamento da AWS. 34 Customer Compliance Center A capacitação dos clientes é uma parte essencial do DNA da AWS. O centro de conformidade para clientes prioriza a segurança e a conformidade de nossos clientes na AWS. Aprenda com as experiências dos outros clientes e descubra como seus colegas resolveram os difíceis desafios de conformidade, governança e auditoria existentes no ambiente normativo atual. Além disso, é possível acessar o nosso primeiro programa de treinamento para auditores de nuvem do setor. Os recursos de aprendizado da universidade on-line são programas de treinamento lógico criados especificamente para profissionais de segurança, conformidade e auditoria. Esses recursos permitem criar as habilitações de TI necessárias para que seu ambiente evolua para a próxima geração de auditoria e garantia da qualidade. 35 Capítulo 8. Soluções para LGPD na AWS A Lei Geral de Proteção de Dados do Brasil ("LGPD") é a principal regulamentação do Brasil voltada para a proteção de dados pessoais. A LGPD se aplica ao tratamento de dados pessoais (definidos como informações referentes a uma pessoa física identificada ou identificável) realizado por pessoas físicas ou jurídicas do setor público ou privado, independentemente dos meios utilizados para o tratamento do país em que o controlador ou os dados estejam localizados, desde que: 1) o tratamento seja realizado no Brasil; 2) o tratamento seja destinado à oferta ou fornecimento de bens ou serviços, ou ao tratamento de dados de pessoas localizadas no Brasil, ou; 3) os dados pessoais tenham sido coletados no Brasil. A LGPD estabelece princípios e regras para o processamento de dados pessoais. As organizações devem demonstrar a adoção de medidas capazes de comprovar a conformidade com as regras de proteção de dados pessoais, incluindo a eficácia dessas medidas, exigindo a criação e a aplicação de políticas compatíveis aplicáveis ao processamento de dados pessoais. Conformidade da AWS com a LGDP A AWS está atenta à privacidade e à segurança dos seus dados. Na AWS, a segurança começa na infraestrutura central. Criada especificamente para a nuvem e projetada para cumprir os requisitos mais rigorosos de segurança do mundo, nossa infraestrutura é monitorada 24 horas por dia, 7 dias por semana para garantir a confidencialidade, a integridade e a disponibilidade dos dados dos clientes. Os mesmos especialistas de segurança de dados que monitoram essa infraestrutura também criam e mantêm nossaampla seleção de serviços de segurança inovadores, os quais podem ajudar a simplificar o cumprimento de seus próprios requisitos regulatórios e de segurança. Como cliente da AWS, independentemente do seu porte ou da sua 36 localização, você recebe todos os benefícios da nossa experiência, testados de acordo com as mais rigorosas estruturas de garantia de terceiros. A AWS implementa e mantém medidas de segurança técnica e organizacional aplicáveis aos serviços de infraestrutura da Nuvem AWS em estruturas e certificações de garantia de segurança reconhecidas mundialmente, incluindo ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, PCI DSS Level 1 e SOC 1, 2 e 3. Essas medidas de segurança técnica e organizacional são validadas por auditores externos independentes e são projetadas para impedir o acesso não autorizado ao conteúdo de clientes ou a divulgação não autorizada desse conteúdo. Desta forma, podemos confirmar que todos os serviços da AWS podem ser usados em conformidade com a LGPD. Isso significa que, além dos benefícios oferecidos por todas as medidas já tomadas pela AWS para manter a segurança dos serviços, os clientes podem implantar serviços da AWS como parte essencial de seus planos de conformidade com a LGPD. Recursos de privacidade de produtos da AWS A AWS está atenta à sua privacidade e fornece o ambiente de computação em nuvem mais flexível e seguro atualmente disponível. Com a AWS, você é o proprietário dos seus dados e controla sua localização e quem tem acesso a eles. Somos transparentes sobre como os produtos da AWS processam os dados pessoais que você carrega na sua conta da AWS (dados de cliente) e fornecemos recursos que permitem criptografar, excluir e monitorar o processamento dos seus dados de cliente. Você pode usar os produtos da AWS sabendo que seus dados de cliente permanecerão na Região da AWS selecionada. Um pequeno número de produtos da AWS envolve a transferência de dados de cliente, por exemplo para desenvolver e melhorar esses produtos (caso em que você tem a opção de recusar a transferência) ou 37 porque a transferência é uma parte essencial de um serviço (como em um serviço de entrega de conteúdo). Proibimos, e nossos sistemas são projetados para impedir o acesso remoto da equipe da AWS aos dados do cliente para qualquer finalidade, incluindo manutenção do serviço, a menos que o acesso seja solicitado por você, seja necessário para evitar fraude e abuso ou para obedecer à lei. Quais serviços a AWS oferece aos clientes para ajudá-los a cumprir os requisitos da LGDP A AWS já está disponibilizando recursos e serviços específicos que ajudam os clientes a atender aos requisitos da LGPD: Controle de acesso a dados: permite que somente administradores, usuários e aplicativos autorizados acessem os recursos da AWS. • Multi-Factor Authentication (MFA). • Acesso granular refinado a objetos nos buckets do Amazon S3/no Amazon SQS/no Amazon SNS e mais. • Autenticação de solicitação de APIs. • Restrições geográficas. • Acesso temporário a tokens por meio do AWS Security Token Service. Monitoramento e registro em log: obtenha uma visão geral sobre as atividades nos seus recursos da AWS. • Gerenciamento e configuração de ativos com o AWS Config. • Auditoria de conformidade e análise de segurança com o AWS CloudTrail. • Identificação de desafios de configuração por meio do AWS Trusted Advisor. 38 • Registro em log de acesso granular refinado a objetos do Amazon S3. • Informações detalhadas sobre fluxos na rede por meio do Amazon VPC Flow Logs. • Verificações e ações de configuração baseada em regras com o AWS Config Rules. Filtragem e monitoramento do acesso HTTP a aplicativos com funções do WAF no AWS CloudFront. • Criptografia: criptografe dados na AWS. • Criptografia dos seus dados em repouso com o AES256 (EBS/S3/Glacier/RDS). • Gerenciamento centralizado de chaves (por região da AWS). • Túneis IPsec na AWS com gateways de VPN. • Módulos HSM dedicados na nuvem com o AWS CloudHSM. 39 Capítulo 9. Migração para nuvem AWS Podemos migrar qualquer carga de trabalho: aplicações, sites, bancos de dados, armazenamento, servidores físicos ou virtuais e até mesmo datacenters inteiros de um ambiente on-premises, unidade de hospedagem ou outra nuvem pública para a AWS. A cada passo ao longo do caminho, você pode aproveitar os anos de experiência da AWS para desenvolver seus recursos organizacionais, operacionais e técnicos, para que possa obter benefícios de negócios com mais rapidez. AWS Cloud Adoption Framework (AWS CAF) O AWS Cloud Adoption Framework oferece estrutura para ajudar as organizações a desenvolverem um plano eficiente e efetivo para sua jornada de adoção na nuvem. As orientações e as melhores práticas prescritas na estrutura podem ajudá- lo a construir uma abordagem abrangente para a computação em nuvem em toda a sua organização, ao longo do seu ciclo de vida da TI. São sete perspectivas do CAF: • Negócio – Ajuda as partes interessadas a entender como atualizar as habilidades da equipe e os processos organizacionais envolvidos nas 40 capacidades de suporte empresarial, para otimizar o valor do negócio com a adoção da nuvem. • Plataforma - Ajuda as partes interessadas a compreender como atualizar as habilidades da equipe e os processos organizacionais necessários para oferecer, manter e otimizar as soluções e serviços em nuvem. • Governança – Integra Governança de TI e Governança Organizacional. Ele fornece orientação sobre a identificação e implementação de práticas recomendadas para governança de TI e sobre o suporte de processos de negócios com tecnologia. • Pessoas – Fornece orientação para as partes interessadas responsáveis pelo desenvolvimento, treinamento e comunicação de pessoas. Ajuda as partes interessadas a entenderem como atualizar habilidades de pessoal e processos organizacionais com competências baseadas na nuvem. • Processos – Fornece orientação para as partes interessadas que suportam processos de negócios com tecnologia e quem é responsável por gerenciar e medir os resultados comerciais resultantes. Ajuda as partes interessadas a entenderem como atualizar as habilidades da equipe e os processos organizacionais necessários para garantir a governança empresarial na nuvem. • Operações – Ajuda as partes interessadas a entender como atualizar as habilidades da equipe e os processos organizacionais necessários para garantir a saúde e a confiabilidade do sistema através da mudança para a nuvem e as práticas ágeis, contínuas e em computação em nuvem. • Segurança – Fornece orientação para as partes interessadas responsáveis pelas habilidades de pessoal e processos organizacionais necessários para 41 garantir que as cargas de trabalho implantadas ou desenvolvidas na nuvem se alinhem aos requisitos de segurança, resiliência e conformidade da organização Cada perspectiva tem seu conjunto de componentes. Componentes identificam aspectos que podem requerer ou não atenção na transformação – uma vez que a nuvem pode trazer novos benefícios ou mudanças Planejamento e Migração para a AWS (Estratégias e Ferramentas) O processo de migração em três fases foi projetado para ajudar sua organização a lidar com uma migração de dezenas, centenas ou milhares de aplicações. Embora cada fase seja um componente comum de uma migração bem-sucedida, elas não são distintas e isoladas, mas sim um processo iterativo. À medida que você iterar e migrar mais aplicações, poderá gerar repetibilidade e previsibilidade em processos e procedimentos e perceberá que o processo de migração está acelerando. Nosso portfólio abrangente de ferramentas de migração da AWS e nosso consolidado ecossistema de ferramentas de terceiros para migração, oferecem automaçãoe recomendações inteligentes com base em machine learning da AWS para simplificar e acelerar cada etapa do processo de migração em três fases. Avaliação: 42 No início de sua jornada, você avalia a prontidão atual da sua organização para operar na nuvem. Mais importante ainda, você precisa identificar os resultados de negócios desejados e desenvolver o caso de negócios para a migração. Nossas ferramentas ajudam você a avaliar seus recursos on-premises e criar uma projeção de custos otimizada e na medida certa para a execução de aplicações na AWS. Comece usando o Migration Evaluator, que fornece uma projeção do custo total de propriedade (TCO) para a AWS, com base na sua utilização real de recursos e em nossos anos de experiência em ajudar os clientes a otimizarem suas licenças de computação, armazenamento, banco de dados, redes e software na AWS. Quando você apenas precisar gerar recomendações de instâncias do EC2 na medida certa para a execução de workloads on-premises na AWS, use o AWS Migration Hub. A AWS pode ajudar você a desenvolver esse caso de negócios usando o AWS Cloud Economics Center, uma metodologia comprovada com base em centenas de envolvimentos com clientes que oferece casos de negócios e justificativas atraentes e a nível de diretoria antes de embarcar em uma migração em grande escala. Quando tiver seu caso de negócios, reveja os padrões, guias e estratégias de modernização e migração fornecidos nas Recomendações da AWS. O conteúdo fornecido abrange orientações inovadoras e as práticas recomendadas para entrar no cenário da nuvem, planejar sua jornada de migração e acelerar sua transformação. Mobilizar: Como parte da fase Mobilizar, você cria um plano de migração e refina seu caso de negócios. Você fecha lacunas na prontidão da sua organização, que foram descobertas na fase de avaliação, com foco em criar seu ambiente de linha de base (a “zona de aterrissagem”), impulsionar a prontidão operacional e desenvolver habilidades na nuvem. 43 Um sólido plano de migração começa com uma compreensão mais profunda das interdependências entre aplicações e avalia as estratégias de migração para atender aos objetivos do seu caso de negócios. Um aspecto essencial do desenvolvimento da sua estratégia de migração é coletar dados do portfólio de aplicações e interpretar essas aplicações usando as sete estratégias comuns de migração: realocar, reformular a hospedagem, criar uma nova plataforma, refatorar, comprar novamente, retirar ou reter. Nem todas as decisões em uma migração podem ser automatizadas, mas nossas ferramentas ajudam você a tomar decisões melhores e mais fáceis. O AWS Application Discovery Service coleta e apresenta automaticamente informações detalhadas sobre as dependências e a utilização de aplicações, para ajudar na tomada de decisões mais informadas à medida que você planeja a sua migração. Nossas Soluções de parceiros de migração, como a RISC Networks, a Cloudamize, a ATADATA Deloitte e a Turbonomic, também fornecem ferramentas de descoberta profunda e planejamento. O AWS Migration Hub automatiza o planejamento e o acompanhamento das migrações de aplicações entre várias ferramentas da AWS e de parceiros, permitindo que você escolha aquelas que melhor atendam às suas necessidades. Para maximizar os benefícios da migração para a nuvem, você precisa dar às suas equipes a liberdade e a agilidade para inovar, mas também aplicar controles para proteger sua organização contra riscos. Usando os serviços de Gerenciamento e governança da AWS, você pode melhorar a agilidade dos negócios ao mesmo tempo em que mantém a governança e o controle sobre os custos, a conformidade e a segurança. O AWS Control Tower automatiza a configuração de um ambiente de linha de base, para a execução de cargas de trabalho seguras e escaláveis na AWS, com base em práticas recomendadas prescritivas que habilitam proteções para segurança, operações e conformidade. Quando você precisa criar uma linha de base mais personalizada, o AWS 44 Landing Zone é uma solução fornecida por Arquitetos de soluções da AWS ou pela AWS Professional Services. Migrar e Modernizar: Durante a fase Migrar e Modernizar, cada aplicação é projetada, migrada e validada. O Migration Hub permite obter rapidamente atualizações quanto ao andamento de todas as migrações, identificar e solucionar facilmente qualquer problema, bem como reduzir o tempo e os esforços gerais despendidos em projetos de migração. Para muitas aplicações, a melhor abordagem é migrar rapidamente para a nuvem e, em seguida, re-arquitetar na AWS. Você pode usar o AWS Application Migration Service (AWS MGN) para fazer lift and shift (redefinir a hospedagem) rapidamente, de um grande número de servidores de infraestrutura física, virtual ou em nuvem para a AWS. O AWS MGN converte automaticamente seus servidores de origem para execução nativa na AWS e simplifica sua migração, permitindo que você use o mesmo processo automatizado para uma grande variedade de aplicações. Existem certas ocasiões em que você não pode instalar um serviço de migração baseado em agente no seu servidor. O AWS Server Migration Service é um serviço sem agente, que facilita e agiliza a migração de milhares de cargas de trabalho on-premises para a AWS de um snapshot do servidor existente. Se você tem ambientes baseados no VMware Cloud Foundation, o VMware Cloud on AWS permite realocar rapidamente centenas de aplicações virtualizadas no vSphere para a Nuvem AWS em apenas alguns dias e, ao mesmo tempo, manter operações consistentes com os seus ambientes on-premises. Ao migrar de uma origem ou versão de banco de dados para uma nova plataforma ou versão de software, o AWS Database Migration Service mantém o banco 45 de dados de origem totalmente operacional durante a migração, minimizando o tempo de inatividade para aplicações que dependem do banco de dados. Seu portfólio de software existente representa um investimento significativo a ser considerado ao migrar para a nuvem. O AWS Marketplace é um catálogo digital selecionado, que ajuda você a reduzir os custos ao evitar compras em excesso com uma licença permanente. Você pode encontrar, comprar, implantar e gerenciar mais de 7.000 ofertas de software e serviços de terceiros de mais de 1.500 ISVs exclusivos para criar soluções para a sua empresa. Os dados são o alicerce das implantações bem-sucedidas de aplicações em nuvem. A AWS tem a maioria das opções para a transferência de dados para a nossa nuvem, dependendo da natureza dos dados e da aplicação. O AWS DataSync automatiza a movimentação de dados entre o armazenamento on-premises e o Amazon S3, o Amazon Elastic File System (Amazon EFS) ou o Amazon FSx for Windows File Server, transferindo dados em velocidades até 10 vezes mais rápidas do que as ferramentas de código aberto. O AWS Snow Family, formado pelo AWS Snowcone, AWS Snowball e AWS Snowmobile, oferece vários dispositivos físicos e pontos de capacidade, a maioria com funcionalidades de computação integradas. E, para transferir arquivos diretamente para dentro ou fora do Amazon S3 usando os protocolos SFTP, FTPS e FTP, temos o AWS Transfer Family. Não importa o caso de uso, temos um método de transferência de dados que se adapta às suas necessidades. Ao migrar para a AWS, você itera em sua nova base, desativa sistemas antigos e evolui constantemente em direção a um modelo operacional moderno. Seu modelo operacional se torna um conjunto ágil de pessoas, processos e tecnologias que melhora à medida que mais aplicações são migradas. O AWS Managed Services também pode ajudar a acelerar a migração, fornecendo gerenciamento contínuo, otimização de custos 46 e operações da sua infraestrutura da AWS, deixando sua equipe livre para se concentrar nasaplicações e desenvolver suas habilidades na nuvem. À medida que as suas aplicações são migradas para a nuvem, você usa o Service Catalog para criar e gerenciar catálogos de serviços de TI que são aprovados para uso na AWS. Esses serviços de TI podem incluir tudo, de imagens de máquinas virtuais, servidores, software e bancos de dados, até arquiteturas completas de aplicações multicamadas. O AWS Service Catalog permite o gerenciamento central de serviços de TI comumente implantados e ajuda você a atingir uma governança consistente e a cumprir requisitos de conformidade, além de permitir que usuários implantem rapidamente apenas os serviços de TI aprovados de que precisam. 47 Capítulo 10. Bônus Capítulo para descrevermos brevemente dois recursos complementares da AWS. Overview do AWS Backup O AWS Backup é um serviço de proteção de dados totalmente gerenciado, que facilita a centralização e a automação dos serviços da AWS, na nuvem e no local. Usando este serviço, você pode configurar políticas de backup e monitorar a atividade de seus recursos da AWS em um só lugar. Ele permite que você automatize e consolide tarefas de backup que antes eram executadas serviço por serviço, e elimina a necessidade de criar scripts personalizados e processos manuais. Com alguns cliques no console do AWS Backup. Ele não controla os backups que você faz em seu ambiente AWS fora do AWS Backup. Portanto, se você deseja uma solução centralizada e ponta a ponta para requisitos de conformidade regulamentares e de negócios, comece a usar o AWS Backup. Alguns serviços AWS suportados pelo AWS Backup oferecem seus próprios recursos de backup, incluindo instantâneos do Amazon Elastic Block Store (Amazon EBS), instantâneos do Amazon Relational Database Service (Amazon RDS), backups do Amazon DynamoDB, instantâneos do AWS Storage Gateway e outros. Esses recursos estão disponíveis independentemente de você usar o AWS Backup. Para configurar o AWS Backup para gerenciar centralmente os backups dos serviços suportados, você deve optar por gerenciar esse serviço com o AWS Backup, iniciar seus backups usando o AWS Backup e armazenar seus backups em cofres de 48 backup. No entanto, os backups que outros serviços da AWS criam não estão disponíveis para governança central por meio desse mesmo serviço. Overview do Amazon EC2 Dedicated Hosts Hosts dedicados do Amazon EC2 permitem que você use suas licenças de software elegíveis de fornecedores como a Microsoft e a Oracle no Amazon EC2, para possibilitar a flexibilidade e a economia de usar suas próprias licenças, mas com a resiliência, a simplicidade e a elasticidade da AWS. Um Host dedicado do Amazon EC2 é um servidor físico totalmente dedicado ao seu uso, para que você possa ajudar a atender aos requisitos de conformidade corporativa. O Host dedicado do Amazon EC2 também está integrado ao AWS License Manager, um serviço que ajuda a gerenciar suas licenças de software, incluindo licenças do Microsoft Windows Server e do Microsoft SQL Server. No License Manager, você pode especificar seus termos de licenciamento para controlar o uso de licenças, bem como suas preferências de gerenciamento de Hosts dedicados para alocação e utilização da capacidade do host. Após a configuração, a AWS cuida dessas tarefas administrativas em seu nome, para que você possa executar máquinas virtuais (instâncias) sem problemas em Hosts dedicados, da mesma forma que executaria uma instância do EC2 com as licenças fornecidas pela AWS. 49 Referências AMAZON WEB SERVICES. AWS Documentation. 2021. Disponível em: <https://docs.aws.amazon.com/>. Acesso em: 01 abr. 2022. https://docs.aws.amazon.com/
Compartilhar