Apostila Módulo 4 Bootcamp Profissional AWS Cloud Computing

Prévia do material em texto

Soluções de Segurança, Governança, 
Compliance e Migração 
Carlos Barroso 
 
 
 
 
 
 
2022 
 
 
 
2 
 
 
Soluções de Segurança, Governança, Compliance e Migração 
Carlos Barroso 
© Copyright do Instituto de Gestão e Tecnologia da Informação. 
Todos os direitos reservados. 
 
 
 
 
3 
Sumário 
Capítulo 1. Gerenciamento de identidade e acesso .................................................. 6 
Responsabilidade Compartilhada na AWS ................................................................... 6 
AWS Directory Service (AD) .......................................................................................... 9 
Amazon Cognito .......................................................................................................... 10 
Capítulo 2. Proteção de dados na AWS .................................................................... 12 
AWS Key Management Service (AWS KMS) ............................................................... 12 
AWS Secrets Manager................................................................................................. 13 
Capítulo 3. Detecção ................................................................................................ 15 
Amazon Inspector ....................................................................................................... 15 
AWS Security Hub ....................................................................................................... 15 
Amazon GuardDuty ..................................................................................................... 17 
Capítulo 4. Proteção de infraestrutura .................................................................... 18 
AWS Network Firewall ................................................................................................ 18 
AWS WAF .................................................................................................................... 19 
AWS Shield .................................................................................................................. 20 
Capítulo 5. Resposta a incidente de segurança na AWS .......................................... 22 
Amazon Detective ....................................................................................................... 22 
Capítulo 6. Governança na AWS .............................................................................. 25 
 
 
 
4 
AWS Personal Health Dashboard ................................................................................ 25 
AWS CloudWatch ........................................................................................................ 25 
AWS CloudTrail ........................................................................................................... 26 
AWS Trusted Advisor .................................................................................................. 27 
AWS Compute Optimizer ............................................................................................ 28 
AWS Systems Manager ............................................................................................... 28 
AWS CloudFormation .................................................................................................. 30 
AWS Resource Access Manager .................................................................................. 31 
AWS Tags ..................................................................................................................... 32 
Capítulo 7. Compliance na AWS ............................................................................... 33 
AWS Artifact ................................................................................................................ 33 
Customer Compliance Center ..................................................................................... 34 
Capítulo 8. Soluções para LGPD na AWS .................................................................. 35 
Conformidade da AWS com a LGDP ........................................................................... 35 
Recursos de privacidade de produtos da AWS ........................................................... 36 
Quais serviços a AWS oferece aos clientes para ajudá-los a cumprir os requisitos da 
LGDP ............................................................................................................................ 37 
Capítulo 9. Migração para nuvem AWS ................................................................... 39 
AWS Cloud Adoption Framework (AWS CAF) ............................................................. 39 
Planejamento e Migração para a AWS (Estratégias e Ferramentas) .......................... 41 
Capítulo 10. Bônus…………. ......................................................................................... 47 
 
 
 
5 
Overview do AWS Backup ........................................................................................... 47 
Overview do Amazon EC2 Dedicated Hosts ............................................................... 48 
Referências……………….. .................................................................................................... 49 
 
 
 
 
 
 
 
 
 
6 
Capítulo 1. Gerenciamento de identidade e acesso 
Usando a AWS, você ganhará o controle e a confiança necessários para 
executar seu negócio com segurança no ambiente de computação em nuvem mais 
flexível e seguro disponível hoje. Como um cliente da AWS, você se beneficiará de 
datacenters da AWS e de uma rede arquitetada para proteger suas informações, 
identidades, aplicações e dispositivos. Com a AWS, você pode melhorar sua capacidade 
de atender aos principais requisitos de segurança e conformidade, como localidade, 
proteção e confidencialidade de dados por meio de nossos abrangentes serviços e 
recursos. 
A AWS lhe permite automatizar tarefas de segurança manuais de forma que 
você pode passar a se concentrar na escalabilidade e na inovação de seu negócio. Além 
disso, você paga apenas pelos serviços que usa. Todos os nossos clientes se beneficiam 
pela AWS ser a única nuvem comercial que possui ofertas de serviços e cadeias de 
suprimentos associadas verificadas e aceitas como seguras o bastante para as cargas de 
trabalho mais secretas. 
Responsabilidade Compartilhada na AWS 
Segurança e conformidade constituem uma responsabilidade compartilhada 
entre a AWS e o cliente. Esse modelo compartilhado pode auxiliar a reduzir os encargos 
operacionais do cliente à medida que a AWS opera, gerencia e controla os componentes 
do sistema operacional do host e a camada de virtualização, até a segurança física das 
instalações em que o serviço opera. O cliente assume a gestão e a responsabilidade pelo 
sistema operacional (inclusive atualizações e patches de segurança), por outros 
softwares de aplicativos associados e pela configuração do firewall do grupo de 
segurança fornecido pela AWS. Os clientes devem examinar cuidadosamente os serviços 
 
 
 
 
 
 
 
7 
que escolherem, pois suas respectivas responsabilidades variam de acordo com os 
serviços utilizados; a integração desses serviços ao seu ambiente de TI e as leis e 
regulamentos aplicáveis. A natureza dessas responsabilidades compartilhadas também 
oferece a flexibilidade e o controle do cliente necessários para a implantação. Como 
pode ser visto no gráfico abaixo, esta distinção entre responsabilidades é denominada 
normalmente como segurança “da” nuvem versus segurança “na” nuvem. 
Figura 1 – Modelo de Responsabilidade Compartilhada. 
 
Responsabilidade da AWS: “segurança da nuvem”: a AWS é responsável por 
proteger a infraestrutura que executa todos os serviços oferecidos na Nuvem AWS. Essa 
infraestrutura é composta por hardware, software, redes e instalações que executam os 
Serviços de nuvem AWS. 
Responsabilidade do cliente: “segurança na nuvem”: a responsabilidadedo 
cliente será determinada pelos Serviços de nuvem AWS selecionados por ele. Isso 
determina a quantidade de operações de configuração que o cliente deverá executar 
como parte de suas responsabilidades de segurança. Por exemplo, um serviço como o 
Amazon Elastic Compute Cloud (Amazon EC2) é categorizado como Infrastructure as a 
 
 
 
 
 
 
 
8 
Service (IaaS – Infraestrutura como serviço) e, dessa forma, exige que o cliente execute 
todas as tarefas necessárias de configuração e gerenciamento da segurança. Os clientes 
que implantam uma instância do Amazon EC2 são responsáveis pelo gerenciamento do 
sistema operacional convidado (o que inclui atualizações e patches de segurança), por 
qualquer utilitário ou software de aplicativo instalado pelo cliente nas instâncias, bem 
como pela configuração do firewall disponibilizado pela AWS (chamado de grupo de 
segurança) em cada instância. Para serviços abstraídos, como o Amazon S3 e o Amazon 
DynamoDB, a AWS opera a camada de infraestrutura, o sistema operacional e as 
plataformas, e os clientes acessam os endpoints para armazenar e recuperar dados. Os 
clientes são responsáveis por gerenciar os dados deles (o que inclui opções de 
criptografia), classificando os ativos e usando as ferramentas de IAM para aplicar as 
permissões apropriadas. 
Esse modelo de responsabilidade compartilhada entre o cliente e a AWS 
também se estende aos controles de TI. Assim como a responsabilidade para operar o 
ambiente de TI é compartilhada entre a AWS e os seus clientes, o mesmo ocorre com o 
gerenciamento, a operação e a verificação de controles compartilhados de TI. A AWS 
pode auxiliar a reduzir os encargos operacionais de controles do cliente gerenciando os 
controles associados à infraestrutura física implementada no ambiente da AWS que 
anteriormente eram gerenciados pelo cliente. Já que cada cliente é implantado de forma 
diferente na AWS, os clientes podem aproveitar a transferência do gerenciamento de 
determinados controles de TI para a AWS, resultando em um (novo) ambiente de 
controle distribuído. Os clientes podem usar a documentação sobre controle e 
conformidade da AWS para executar seus procedimentos de avaliação e verificação de 
controle, conforme for necessário. Veja abaixo exemplos de controles gerenciados pela 
AWS, por clientes da AWS e/ou por ambos. 
 
 
 
 
 
 
 
 
9 
AWS Directory Service (AD) 
O AWS Directory Service for Microsoft Active Directory, também conhecido 
como AWS Managed Microsoft AD, permite que cargas de trabalho e recursos da AWS 
com reconhecimento de diretório usem o Active Directory gerenciado na Nuvem AWS. 
O AWS Managed Microsoft AD é criado com base em um Microsoft Active Directory real 
e não exige a sincronização ou replicação de dados do Active Directory existente para a 
nuvem. Você pode usar as ferramentas de administração padrão do AD e aproveitar os 
benefícios dos recursos integrados, como política de grupo e logon único. Com o AWS 
Managed Microsoft AD, você pode ingressar facilmente as instâncias do Amazon EC2 e 
do Amazon RDS for SQL Server em um domínio e usar os serviços do AWS End User 
Computing (EUC), como o Amazon WorkSpaces, com os usuários e grupos do AD. 
Você pode escolher serviços de diretório com os recursos e a escalabilidade que 
melhor atendem às suas necessidades. As informações a seguir podem ajudá-lo a 
determinar qual opção de diretório do AWS Directory Service funciona melhor para sua 
organização: 
• Preciso do Active Directory ou LDAP para meus aplicativos na nuvem 
‒ Selecione AWS Directory Service para Microsoft Active Directory 
(Standard Edition ou Enterprise Edition) se precisar de um Microsoft 
Active Directory real na AWS Cloud que ofereça suporte a cargas de 
trabalho com reconhecimento de Active Directory ou aplicativos e 
serviços AWS, como Amazon WorkSpaces e Amazon QuickSight, ou você 
precisa de suporte LDAP para aplicativos Linux. 
‒ Use o AD Connector se precisar permitir que seus usuários locais façam 
login em aplicativos e serviços da AWS com suas credenciais do Active 
 
 
 
 
 
 
 
10 
Directory. Você também pode usar o AD Connector para unir instâncias 
do Amazon EC2 ao seu domínio Active Directory existente. 
‒ Use Simple AD se precisar de um diretório de baixa escala e baixo custo 
com compatibilidade básica do Active Directory que ofereça suporte a 
aplicativos compatíveis com Samba 4, ou se precisar de compatibilidade 
LDAP para aplicativos que reconhecem LDAP. 
• Desenvolvo aplicativos SaaS 
‒ Use o Amazon Cognito se você desenvolver aplicativos SaaS de alta escala 
e precisar de um diretório escalonável para gerenciar e autenticar seus 
assinantes e que funcione com identidades de mídia social. 
Amazon Cognito 
O Amazon Cognito fornece autenticação, autorização e gerenciamento de 
usuário para seus aplicativos da web e móveis. Seus usuários podem entrar diretamente 
com um nome de usuário e senha, ou por meio de terceiros, como Facebook, Amazon, 
Google ou Apple. 
Os dois componentes principais do Amazon Cognito são pools de usuários e 
pools de identidade. Pools de usuários são diretórios de usuários que fornecem opções 
de inscrição e login para os usuários do seu aplicativo. Os pools de identidade permitem 
que você conceda a seus usuários acesso a outros serviços da AWS. Você pode usar pools 
de identidade e pools de usuários separadamente ou juntos. 
Um pool de usuários e um pool de identidade do Amazon Cognito usados 
juntos 
 
 
 
 
 
 
 
11 
O diagrama abaixo apresenta um cenário de uso comum do Amazon Cognito. 
Aqui, o objetivo é autenticar seu usuário e, em seguida, conceder a ele acesso a outro 
serviço da AWS. 
Figura 2 – Diagrama Utilização do Cognito. 
 
1. Na primeira etapa, o usuário do aplicativo faz login por meio de um pool de 
usuários e recebe tokens de pool de usuários após uma autenticação bem-
sucedida. 
2. Em seguida, seu aplicativo troca os tokens do pool de usuários por 
credenciais da AWS por meio de um pool de identidade. 
3. Finalmente, o usuário do seu aplicativo pode usar essas credenciais para 
acessar outros serviços da AWS, como Amazon S3 ou DynamoDB. 
 
 
 
 
 
 
 
12 
Capítulo 2. Proteção de dados na AWS 
A AWS fornece serviços que ajudam a proteger seus dados, contas e cargas de 
trabalho contra acesso não autorizado. Os serviços de proteção de dados da AWS 
fornecem criptografia, gerenciamento de chaves e detecção de ameaças que monitoram 
e protegem continuamente suas contas e cargas de trabalho. 
AWS Key Management Service (AWS KMS) 
O AWS Key Management Service (AWS KMS) é um serviço gerenciado que 
facilita a criação e o controle de chaves AWS KMS, as chaves de criptografia usadas para 
criptografar seus dados. As chaves AWS KMS usam módulos de segurança de hardware 
(HSM) para proteger e validar usando o programa de validação de módulo criptográfico 
FIPS 140-2 exceto nas regiões da China (Pequim) e China (Ningxia). 
AWS KMS integra-se com a maioria dos outros serviços AWS que criptografam 
seus dados. O AWS KMS também se integra ao AWS CloudTrail para registrar o uso de 
suas chaves KMS para necessidades de auditoria, regulamentação e conformidade. 
Ao usar o AWS KMS, você obtém mais controle sobre o acesso aos dados 
criptografados. Você pode usar o gerenciamento de chaves e recursos criptográficos 
diretamente em seus aplicativos ou por meio de serviços AWS integrados com AWS 
KMS. Além disso você pode monitorar e investigar como e quando suas chaves KMS 
foram usadas e quem as usou. 
O AWS KMS pode se integrar, por exemplo, ao AWS CloudTrail ou a um serviço 
que entrega arquivos de log ao seu bucket do Amazon S3. 
 
 
 
 
 
 
 
 
 
13 
AWS Secrets Manager 
No passado, quando você criava um aplicativo personalizado para recuperar 
informações de um banco de dados, normalmente incorporava as credenciais para 
acessar o banco de dados diretamente no aplicativo. Quandochegava a hora de alterar 
as credenciais, você sempre tinha que fazer mais do que apenas criar novas credenciais. 
Você tinha que investir tempo para atualizar o aplicativo para usar as novas credenciais. 
O Secrets Manager permite que você substitua as credenciais codificadas 
permanentemente em seu código, incluindo senhas, por uma chamada de API para o 
Secrets Manager para recuperar o segredo programaticamente. Isso ajuda a garantir 
que o segredo não possa ser comprometido por alguém que examine seu código. Além 
disso, você pode configurar o Secrets Manager para alternar automaticamente o 
segredo para você de acordo com uma programação especificada. 
O diagrama a seguir ilustra o cenário mais básico. Você pode armazenar 
credenciais para um banco de dados no Secrets Manager e, em seguida, usar essas 
credenciais em um aplicativo para acessar o banco de dados. 
 
1. O administrador do banco de dados cria um conjunto de credenciais no 
banco de dados Pessoal para uso por um aplicativo chamado MyCustomApp. 
 
 
 
 
 
 
 
14 
O administrador também configura essas credenciais com as permissões 
necessárias para que o aplicativo acesse o banco de dados de Pessoal. 
2. O administrador do banco de dados armazena as credenciais como um 
segredo no Secrets Manager nomeado MyCustomAppCreds. Em seguida, o 
Secrets Manager criptografa e armazena as credenciais dentro do segredo 
como o texto do segredo protegido. 
3. Quando MyCustomApp acessa o banco de dados, o aplicativo consulta o 
Secrets Manager para obter o segredo nomeado MyCustomAppCreds. 
4. O Secrets Manager recupera o segredo, descriptografa o texto do segredo 
protegido e retorna o segredo para o aplicativo cliente por meio de um canal 
seguro (HTTPS com TLS). 
5. O aplicativo cliente analisa as credenciais, string de conexão e quaisquer 
outras informações necessárias da resposta e, em seguida, usa as 
informações para acessar o servidor de banco de dados. 
 
 
 
 
 
 
 
15 
Capítulo 3. Detecção 
A AWS identifica ameaças monitorando continuamente a atividade da rede e o 
comportamento da conta no seu ambiente de nuvem. 
Amazon Inspector 
O Amazon Inspector testa a acessibilidade da rede de suas instâncias do 
Amazon EC2 e o estado de segurança de seus aplicativos executados nessas instâncias. O 
Amazon Inspector avalia os aplicativos quanto à exposição, vulnerabilidades e desvios 
das melhores práticas. Depois de realizar uma avaliação, o Amazon Inspector produz 
uma lista detalhada de descobertas de segurança que é organizada por nível de 
gravidade. 
Com o Amazon Inspector, você pode automatizar as avaliações de 
vulnerabilidade de segurança em todos os seus pipelines de desenvolvimento e 
implantação ou para sistemas de produção estáticos. Isso permite que você torne os 
testes de segurança uma parte regular do desenvolvimento e das operações de TI. 
O Amazon Inspector também oferece um software predefinido 
chamado agente que você pode instalar opcionalmente no sistema operacional das 
instâncias do EC2 que deseja avaliar. O agente monitora o comportamento das 
instâncias EC2, incluindo rede, sistema de arquivos e atividade do processo. Ele também 
coleta um amplo conjunto de dados de comportamento e configuração (telemetria). 
AWS Security Hub 
O AWS Security Hub fornece uma visão abrangente de seu estado de segurança 
na AWS e ajuda você a verificar seu ambiente em relação aos padrões e práticas 
recomendadas do setor de segurança. 
 
 
 
 
 
 
 
16 
O Security Hub coleta dados de segurança de contas AWS, serviços e produtos 
de parceiros de terceiros com suporte e ajuda você a analisar as tendências de 
segurança e identificar os problemas de segurança de maior prioridade. 
Você pode usar o Security Hub das seguintes maneiras: 
Console do hub de segurança 
Faça login no AWS Management Console e abra o console do AWS Security Hub 
em https://console.aws.amazon.com/securityhub/. 
API Security Hub 
Para acessar o Security Hub programaticamente, use a API do Security Hub, que 
permite emitir solicitações HTTPS diretamente para o serviço. Para obter mais 
informações, consulte a Referência da API do AWS Security Hub. 
Quando você habilita o Security Hub, ele começa a consumir, agregar, organizar 
e priorizar descobertas de serviços da AWS que você habilitou, como Amazon 
GuardDuty, Amazon Inspector e Amazon Macie. Você também pode habilitar 
integrações com produtos de segurança de parceiros da AWS. Esses produtos de 
parceiros também podem enviar descobertas para o Security Hub. Consulte Integrações 
de produtos no AWS Security Hub. 
O Security Hub também gera suas próprias descobertas ao executar 
verificações de segurança contínuas e automatizadas com base nas melhores práticas 
da AWS e nos padrões do setor com suporte. Consulte os padrões e controles de 
segurança no AWS Security Hub. 
O Security Hub então correlaciona e consolida as descobertas entre os 
provedores para ajudá-lo a priorizar as descobertas mais significativas. 
 
 
 
 
 
 
 
17 
Amazon GuardDuty 
Amazon GuardDuty é um serviço de monitoramento de segurança contínuo 
que analisa e processa as seguintes fontes de dados: VPC Flow Logs, logs de eventos de 
gerenciamento do AWS CloudTrail, logs de eventos de dados CloudTrail S3 e logs DNS. 
Ele usa feeds de inteligência de ameaças, como listas de endereços IP maliciosos e 
domínios, e aprendizado de máquina para identificar atividades inesperadas e 
potencialmente não autorizadas e maliciosas em seu ambiente AWS. Isso pode incluir 
problemas como escalonamentos de privilégios, uso de credenciais expostas ou 
comunicação com endereços IP ou domínios mal-intencionados. Por exemplo, O 
GuardDuty pode detectar instâncias EC2 comprometidas servindo malware ou bitcoin 
de mineração. Ele também monitora o comportamento de acesso à conta da AWS em 
busca de sinais de comprometimento, como implantações de infraestrutura não 
autorizadas, como instâncias implantadas em uma região que nunca foi usada, ou 
chamadas API incomuns, como uma mudança de política de senha para reduzir a força 
da senha. 
O GuardDuty informa sobre o status do seu ambiente AWS produzindo 
descobertas de segurança que você pode visualizar no console do GuardDuty ou por 
meio de eventos do Amazon CloudWatch. 
 
 
 
 
 
 
 
18 
Capítulo 4. Proteção de infraestrutura 
Os serviços de proteção de rede e aplicações permitem que você aplique 
políticas de segurança refinadas em pontos de controle de rede na sua organização. Os 
serviços da AWS ajudam você a inspecionar e filtrar o tráfego para evitar o acesso não 
autorizado a recursos nos limites dos níveis de host, rede e aplicação. 
AWS Network Firewall 
O AWS Network Firewall é um firewall de rede gerenciado e com 
monitoramento de estado e serviço de detecção e prevenção de intrusão para sua 
nuvem privada virtual (VPC) que você criou na Amazon Virtual Private Cloud (Amazon 
VPC). 
Com o Network Firewall, você pode filtrar o tráfego no perímetro de seu VPC. 
Isso inclui a filtragem do tráfego que vai e vem de um gateway de Internet, gateway NAT 
ou por VPN ou AWS Direct Connect. O Firewall de rede usa o sistema de prevenção de 
intrusão de código aberto (IPS), para inspeção de estado. O firewall de rede oferece 
suporte a regras compatíveis com Suricata. 
Você pode usar o firewall de rede para monitorar e proteger o tráfego do 
Amazon VPC de várias maneiras, incluindo as seguintes: 
• Passando o tráfego apenas de domínios de serviço AWS conhecidos ou 
endpoints de endereço IP, como Amazon S3. 
• Usando listas personalizadas de domínios inválidos conhecidos para limitar os 
tipos de nomes de domínio que seus aplicativos podem acessar. 
• Realizando uma inspeção profunda de pacotes no tráfego que entra ou sai de 
seu VPC. 
 
 
 
 
 
 
 
19 
• Usando a detecção de protocolo com monitoração de estado para filtrar 
protocolos como HTTPS, independentemente da portausada. 
O Network Firewall é compatível com o AWS Firewall Manager. Você pode usar 
o Firewall Manager para configurar e gerenciar centralmente seus firewalls em suas 
contas e aplicativos no AWS Organizations. 
AWS WAF 
AWS WAF é um firewall de aplicação Web que permite monitorar as 
solicitações HTTP (S) encaminhadas para uma distribuição do Amazon CloudFront, para 
uma API REST do Amazon API Gateway, para um Application Load Balancer ou para um 
AWS AppSyncAPI GraphQL. 
O AWS WAF também permite que você controle o acesso ao seu conteúdo. 
Com base nas condições que você especificar, como de quais endereços IP se originam 
as solicitações ou os valores das strings de consulta, o serviço associado ao recurso 
protegido responde às solicitações com o conteúdo solicitado ou com um código de 
status HTTP 403 (proibido). Você também pode configurar o CloudFront para retornar 
uma página de erro personalizada quando uma solicitação é bloqueada. 
Você usa AWS WAF para controlar como uma distribuição do Amazon 
CloudFront, uma API REST do Amazon API Gateway, um Application Load Balancer ou 
umaAWS AppSyncGraphQL API responde às solicitações da web. 
• Web ACLs— Use uma lista de controle de acesso (ACL) para proteger um 
conjunto deAWSrecursos da AWS. Você cria uma web ACL e define sua 
estratégia de proteção adicionando regras. As regras definem critérios para 
inspecionar solicitações da web e especificam como lidar com solicitações que 
correspondam aos critérios. Você define uma ação padrão para a web ACL que 
 
 
 
 
 
 
 
20 
indica se deseja bloquear ou permitir através das solicitações que passam as 
inspeções de regras. 
• Regras— Cada regra contém uma instrução que define os critérios de inspeção 
e uma ação a ser executada se uma solicitação da Web atender aos critérios. 
Quando uma solicitação da web atende aos critérios, isso é uma 
correspondência. Você pode usar regras para bloquear solicitações 
correspondentes ou para permitir solicitações correspondentes. Você também 
pode usar regras apenas para contar solicitações correspondentes. 
• Grupos de regras— Você pode usar regras individualmente ou em grupos de 
regras reutilizáveis. AWS Regras gerenciadas e AWS Marketplace fornecem 
grupos de regras gerenciadas para seu uso. Você também pode definir seus 
próprios grupos de regras. 
Depois de criar a ACL da web, você pode associá-la a um ou mais AWS recursos 
da AWS. Os tipos de recursos que você pode proteger usando o AWS WAFAs ACLs da 
web são uma distribuição do Amazon CloudFront, uma API REST do Amazon API 
Gateway, um Application Load Balancer e uma AWS AppSyncAPI GraphQL. 
AWS Shield 
A AWS fornece o AWS Shield Standard e o AWS Shield Advanced para a 
proteção contra ataques DDoS. O AWS Shield Standard é automaticamente incluído, 
sem custo adicional além do que você já paga pelo AWS WAF e pelos outros serviços da 
AWS. Para maior proteção contra ataques DDoS, a AWS oferta o AWS Shield Advanced 
que oferece proteção contra ataques de DDoS expandida para seus recursos. 
Você pode adicionar proteção a qualquer um dos seguintes tipos de recurso: 
• Distribuições do Amazon CloudFront. 
 
 
 
 
 
 
 
21 
• Zona hospedada do Amazon Route 53. 
• Aceleradoras do AWS Global Accelerator. 
• Application Load Balancers. 
• Load balancers de balanceamento elástico (ELB). 
• Endereços IP elástico do Amazon Elastic Compute Cloud (Amazon EC2). 
 
 
 
 
 
 
 
22 
Capítulo 5. Resposta a incidente de segurança na AWS 
Serviços de segurança da AWS, como Amazon GuardDuty, Amazon Macie e 
AWS Security Hub, bem como produtos de segurança de parceiros, podem ser usados 
para identificar possíveis problemas ou descobertas de segurança. Esses serviços são 
realmente úteis para alertar quando algo está errado e apontar o caminho para a 
correção. Porém, algumas vezes pode haver uma descoberta de segurança em que você 
precisa se aprofundar mais e analisar mais informações para isolar a causa raiz e tomar 
uma medida. 
Determinar a causa raiz das descobertas de segurança pode ser um processo 
complexo que geralmente envolve a coleta e a combinação de logs de muitas fontes de 
dados separadas, usando ferramentas de extração, transformação e carregamento (ETL) 
ou scripts personalizados para organizar os dados. Em seguida, os analistas de segurança 
precisam analisar os dados e conduzir longas investigações. 
O Amazon Detective simplifica esse processo, permitindo que suas equipes de 
segurança investiguem facilmente e cheguem rapidamente à causa raiz de uma 
descoberta. O Amazon Detective pode analisar trilhões de eventos de várias fontes de 
dados, como Virtual Private Cloud (VPC) Flow Logs, AWS CloudTrail e Amazon 
GuardDuty, e criar automaticamente uma visualização interativa e unificada de seus 
recursos, usuários e interações entre eles ao longo do tempo. Com essa visão unificada, 
você pode visualizar todos os detalhes e o contexto em um único local para identificar 
os motivos subjacentes das descobertas, detalhar as atividades históricas relevantes e 
determinar rapidamente a causa raiz. 
Amazon Detective 
O Amazon Detective facilita a análise, a investigação e a identificação rápida da 
causa raiz das descobertas de segurança ou atividades suspeitas. Ele recolhe 
 
 
 
 
 
 
 
23 
automaticamente dados de registo, depois usa machine learning, análise estatística e 
teoria de gráficos para ajudá-lo a visualizar e realizar investigações de segurança mais 
rápidas e eficientes. 
As agregações de dados pré-criadas pelo Detective, os resumos e o contexto 
ajudam a analisar e determinar rapidamente a natureza e a extensão de possíveis 
problemas de segurança. O Detective mantém até um ano de dados históricos do 
evento. Esses dados ficam facilmente disponíveis por meio de um conjunto de 
visualizações que mostram alterações no tipo e no volume de atividade em uma janela 
de tempo selecionada. Ele liga essas alterações às descobertas da GuardDuty. 
O Detective extrai automaticamente eventos baseados em tempo, como 
tentativas de início de sessão, chamadas de API e tráfego de rede do AWS CloudTrail. Os 
logs de fluxo da Amazon VPC. Ele também ingere descobertas detectadas pela 
GuardDuty. 
A partir desses eventos, Detective usa aprendizado de máquina e visualização 
para criar uma visão unificada e interativa de seus comportamentos de recursos e as 
interações entre eles ao longo do tempo. Você pode explorar esse gráfico de 
comportamento para examinar ações diferentes, como tentativas de logon com falha 
ou chamadas de API suspeitas. Você também pode ver como essas ações afetam 
recursos como AWS Contas e instâncias do Amazon EC2. Você pode ajustar o escopo e 
a linha de tempo do gráfico de comportamento para várias tarefas: 
• Investigue rapidamente qualquer atividade que esteja fora da norma. 
• Identifique padrões que possam indicar um problema de segurança. 
• Compreender todos os recursos afetados por um achado. 
 
 
 
 
 
 
 
24 
Visualizações personalizadas por Detective fornecem uma linha de base e 
resumem as informações da conta. Essas descobertas podem ajudar a responder 
perguntas como “Esta é uma chamada de API incomum para essa função?” Ou “É 
esperado esse pico no tráfego desta instância?” 
Com Detective, você não precisa organizar dados ou desenvolver, configurar ou 
ajustar suas próprias consultas e algoritmos. Não há custos iniciais e você paga apenas 
pelos eventos analisados, sem software adicional para implantar ou outros feeds para 
assinar. 
 
 
 
 
 
 
 
25 
Capítulo 6. Governança na AWS 
No passado, as organizações precisavam escolher entre inovar com mais 
rapidez e manter o controle sobre os custos, a conformidade e a segurança. Com os 
serviços de Gerenciamento e governança da AWS, os clientes não precisam escolher 
entre inovação e controle: eles podem ter ambos. Com a AWS, os clientes podem 
habilitar, provisionar e operar seus ambientespara obter agilidade de negócios e 
controle de governança. 
AWS Personal Health Dashboard 
O AWS Personal Health Dashboard fornece alertas e orientação para eventos 
da AWS, que podem afetar seu ambiente. Embora o Service Health Dashboard mostre o 
status geral dos produtos da AWS, o Personal Health Dashboard fornece notificações 
proativas e transparentes sobre seu ambiente específico na AWS. 
Todos os clientes da AWS podem acessar o Personal Health Dashboard. O 
Personal Health Dashboard mostra eventos recentes para ajudar no gerenciamento de 
eventos ativos e mostra notificações proativas para possibilitar o planejamento das 
atividades programadas. Use esses alertas para receber notificações sobre mudanças 
que podem afetar seus recursos da AWS e, em seguida, siga as orientações para 
diagnosticar e solucionar problemas. 
AWS CloudWatch 
O Amazon CloudWatch monitora seus recursos do Amazon Web Services (AWS) 
e os aplicativos que você executa na AWS em tempo real. Você pode usar o CloudWatch 
para coletar e rastrear métricas, que são variáveis que você pode medir para seus 
recursos e aplicativos. 
 
 
 
 
 
 
 
26 
A página inicial do CloudWatch exibe automaticamente as métricas sobre cada 
serviço AWS que você usa. Além disso, você pode criar painéis personalizados para exibir 
métricas sobre seus aplicativos personalizados e exibir coleções personalizadas de 
métricas que você escolher. 
Você pode criar alarmes que monitoram as métricas e enviam notificações ou 
fazem alterações automaticamente nos recursos que você está monitorando quando 
um limite é violado. Por exemplo, você pode monitorar o uso da CPU e as leituras e 
gravações do disco de suas instâncias do Amazon EC2 e, em seguida, usar esses dados 
para determinar se deve iniciar instâncias adicionais para lidar com o aumento da carga. 
Você também pode usar esses dados para interromper instâncias subutilizadas para 
economizar dinheiro. 
Com o CloudWatch, você obtém visibilidade de todo o sistema sobre a 
utilização de recursos, desempenho de aplicativos e integridade operacional. 
AWS CloudTrail 
O AWS CloudTrail é um serviço da AWS que ajuda a habilitar a governança, 
conformidade e auditoria operacional e de risco de sua conta da AWS. As ações 
realizadas por um usuário, função ou serviço AWS, são registradas como eventos no 
CloudTrail. Os eventos incluem ações executadas no AWS Management Console, AWS 
Command Line Interface e AWS SDKs e APIs. 
O CloudTrail é habilitado em sua conta AWS quando você o cria. Quando a 
atividade ocorre em sua conta AWS, essa atividade é registrada em um evento 
CloudTrail. Você pode visualizar facilmente os eventos recentes no console do CloudTrail 
acessando o histórico de eventos. Para um registro contínuo de atividades e eventos em 
sua conta AWS, crie uma trilha. Para obter mais informações sobre preços do CloudTrail, 
consulte Preços do AWS CloudTrail. 
 
 
 
 
 
 
 
27 
A visibilidade da atividade da sua conta da AWS é um aspecto fundamental das 
melhores práticas operacionais e de segurança. Você pode usar o CloudTrail para 
visualizar, pesquisar, baixar, arquivar, analisar e responder à atividade da conta em sua 
infraestrutura AWS. Você pode identificar quem ou o que executou qual ação, quais 
recursos foram acionados, quando o evento ocorreu e outros detalhes para ajudá-lo a 
analisar e responder à atividade em sua conta da AWS. Opcionalmente, você pode 
habilitar o AWS CloudTrail Insights em uma trilha para ajudá-lo a identificar e responder 
a atividades incomuns. 
Você pode integrar o CloudTrail aos aplicativos usando a API, automatizar a 
criação de trilhas para sua organização, verificar o status das trilhas que você cria e 
controlar como os usuários veem os eventos do CloudTrail 
AWS Trusted Advisor 
O Trusted Advisor baseia-se nas melhores práticas aprendidas no atendimento 
a centenas de milhares de clientes da AWS. O Trusted Advisor inspeciona seu ambiente 
AWS e, em seguida, faz recomendações quando existem oportunidades para 
economizar dinheiro, melhorar a disponibilidade e o desempenho do sistema ou ajudar 
a fechar brechas de segurança. 
Se você tiver um plano de Suporte Básico ou de Desenvolvedor, poderá usar o 
console do Trusted Advisor para acessar todas as verificações na categoria Limites de 
serviço e seis verificações na categoria Segurança. 
Se você tiver um plano Business ou Enterprise Support, poderá usar o console 
do Trusted Advisor e a API de suporte da AWS para acessar todas as verificações do 
Trusted Advisor. Você também pode usar o Amazon CloudWatch Events para monitorar 
o status das verificações do Trusted Advisor. Para obter mais informações, consulte os 
resultados da verificação do Trusted Advisor com eventos do Amazon CloudWatch. 
 
 
 
 
 
 
 
28 
Você pode acessar o Trusted Advisor no AWS Management Console. Para obter 
mais informações sobre como controlar o acesso ao console do Trusted Advisor, 
consulte Gerenciar o acesso do AWS Trusted Advisor. 
AWS Compute Optimizer 
O AWS Compute Optimizer é um serviço que analisa a configuração e as 
métricas de utilização de seus recursos da AWS. Ele relata se seus recursos são ideais e 
gera recomendações de otimização para reduzir o custo e melhorar o desempenho de 
suas cargas de trabalho. O Compute Optimizer também fornece gráficos que mostram 
dados históricos de métricas de utilização recentes, bem como a utilização projetada 
para recomendações, que você pode usar para avaliar qual recomendação oferece a 
melhor relação preço-desempenho. 
O Compute Optimizer fornece uma experiência de console e um conjunto de 
APIs, que permite visualizar as descobertas da análise e recomendações para seus 
recursos em várias regiões da AWS. Você também pode visualizar descobertas e 
recomendações em várias contas, se optar pela conta de gerenciamento de uma 
organização. As descobertas do serviço também são relatadas nos consoles dos serviços 
com suporte, como o console do Amazon EC2. 
AWS Systems Manager 
O AWS Systems Manager (anteriormente conhecido como SSM) é um serviço 
da AWS que você pode usar para visualizar e controlar sua infraestrutura na AWS. 
Usando o console do Systems Manager, você pode visualizar dados operacionais de 
vários serviços da AWS e automatizar tarefas operacionais em seus recursos da AWS. O 
gerenciador de sistemas ajuda a manter a segurança e a conformidade verificando suas 
instâncias gerenciadas e relatando (ou tomando ações corretivas) quaisquer violações 
de política detectadas. 
 
 
 
 
 
 
 
29 
Uma instância gerenciada é uma máquina configurada para uso com o Systems 
Manager. O gerenciador de sistemas também ajuda a configurar e manter suas 
instâncias gerenciadas. Os tipos de máquinas com suporte incluem instâncias do 
Amazon Elastic Compute Cloud (Amazon EC2), servidores locais e máquinas virtuais 
(VMs), incluindo VMs em outros ambientes de nuvem. Os tipos de sistema operacional 
com suporte incluem Windows Server, macOS, Raspberry Pi OS (anteriormente 
Raspbian) e várias distribuições de Linux. 
Usando o Systems Manager, você pode associar recursos da AWS aplicando a 
mesma tag de identificação de recurso a cada um deles. Você pode então visualizar os 
dados operacionais para esses recursos como um grupo de recursos, para ajudar a 
monitorar e solucionar problemas. 
Por exemplo, você pode atribuir uma tag de recurso "Operation=Standard OS 
Patching" aos seguintes recursos: 
• Um grupo de instâncias do Amazon EC2. 
• Um grupo de servidores locais em suas próprias instalações. 
• Uma linha de base do patch do Systems Manager que especifica quais patches 
aplicar às suas instâncias gerenciadas. 
• Um bucket do Amazon Simple Storage Service (Amazon S3) para armazenar a 
saída do log de operação de patch. 
• Uma janela de manutenção do gerenciador de sistemas, que especifica a 
programação para a operação de patch. 
Depois de marcar os recursos,você pode visualizar um painel consolidado no 
Systems Manager, que relata o status de todos os recursos que fazem parte da operação 
 
 
 
 
 
 
 
30 
de patch em Standard OS. Se surgir um problema com qualquer um desses recursos, 
você pode tomar uma ação corretiva imediatamente. 
AWS CloudFormation 
AWS CloudFormation é um serviço que ajuda a modelar e configurar seus 
recursos AWS, para que você possa gastar menos tempo gerenciando esses recursos e 
mais tempo se concentrando em seus aplicativos executados na AWS. Você cria um 
modelo que descreve todos os recursos da AWS que deseja (como instâncias do Amazon 
EC2 ou instâncias do banco de dados Amazon RDS), e o CloudFormation se encarrega de 
provisionar e configurar esses recursos para você. Você não precisa criar e configurar 
individualmente recursos da AWS e descobrir o que depende de quê; CloudFormation 
lida com isso. 
Ao criar uma pilha, o AWS CloudFormation faz chamadas de serviço subjacentes 
ao AWS para provisionar e configurar seus recursos. O CloudFormation só pode realizar 
ações para as quais você tem permissão. Por exemplo, para criar instâncias EC2 usando 
CloudFormation, você precisa de permissões para criar instâncias. Você precisará de 
permissões semelhantes para encerrar instâncias ao excluir pilhas com instâncias. Você 
usa AWS Identity and Access Management (IAM) para gerenciar permissões. 
As chamadas que o CloudFormation faz são declaradas pelo seu modelo. Por 
exemplo, suponha que você tenha um modelo que descreve uma instância EC2 com um 
t2.microtipo de instância. Quando você usa esse modelo para criar uma pilha, o 
CloudFormation chama a API de criação de instância do Amazon EC2 e especifica o tipo 
de instância como t2.micro. O diagrama a seguir resume o fluxo de trabalho do 
CloudFormation para a criação de pilhas. 
 
 
 
 
 
 
 
31 
 
AWS Resource Access Manager 
O AWS Resource Access Manager (AWS RAM) permite que você compartilhe 
seus recursos com uma organização ou unidades organizacionais (OUs), em 
Organizações da AWS e contas da AWS. Para os tipos de recursos compatíveis, você 
também pode compartilhar recursos com funções e usuários IAM do IAM. Se você tiver 
várias contas da AWS, pode usar AWS RAM para compartilhar esses recursos com outras 
contas. 
O AWS RAM oferece os seguintes benefícios: 
• Reduz as despesas operacionais – Cria compartilhamentos de recursos e usa 
AWS RAM para compartilhar esses recursos com outras contas. Isso elimina a 
necessidade de provisionar recursos duplicados em todas as contas, o que 
reduz a sobrecarga operacional. 
• Fornece segurança e consistência – Administre o consumo de recursos 
compartilhados usando políticas e permissões existentes para obter segurança 
e controle. AWS RAM oferece uma experiência consistente para compartilhar 
diferentes tipos recursos da AWS. 
 
 
 
 
 
 
 
32 
• Fornece visibilidade e capacidade de auditoria – Exiba detalhes de uso de 
recursos compartilhados por meio da integração com o Amazon CloudWatch 
e AWS CloudTrail. AWS RAM oferece visibilidade abrangente de recursos e 
contas compartilhados. 
AWS Tags 
Você pode atribuir metadados a seus recursos da AWS na forma de tags. Cada 
tag é um rótulo que consiste em uma chave e um valor definidos pelo usuário. As tags 
podem ajudá-lo a gerenciar, identificar, organizar, pesquisar e filtrar recursos. Você 
pode criar tags para categorizar recursos por propósito, proprietário, ambiente ou 
outros critérios. 
Cada tag possui duas partes: 
• Uma chave de marcação (por exemplo, CostCenter, Environment ou Project). 
As chaves de tag diferenciam maiúsculas de minúsculas. 
• Um valor de tag (por exemplo, 111122223333 ou Production). Assim como as 
chaves de tag, os valores de tag diferenciam maiúsculas de minúsculas. 
Você pode usar tags para categorizar recursos por propósito, proprietário, 
ambiente ou outros critérios. Para obter mais informações, consulte AWS Tagging 
Strategies. 
Você pode adicionar, alterar ou remover tags, um recurso por vez, do console 
de serviço de cada recurso, API de serviço ou AWS CLI. 
 
 
 
 
 
 
 
33 
Capítulo 7. Compliance na AWS 
Podermos herdar os controles de conformidade mais abrangentes com a AWS. 
A AWS oferece suporte aos padrões de segurança e certificações de conformidade, 
como PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, FIPS 140-2 e NIST 800-171, ajudando os 
clientes a cumprirem os requisitos de conformidade de praticamente todos os órgãos 
normativos do mundo 
AWS Artifact 
O AWS Artifact é sua primeira opção de recurso para informações relacionadas 
à conformidade que importam para você. Ele oferece acesso sob demanda aos relatórios 
de segurança e conformidade da AWS e acordos on-line específicos. Entre os relatórios 
disponíveis no AWS Artifact, estão o Service Organization Control (SOC – Controle de 
organização de serviço) e o Payment Card Industry (PCI – Setor de cartões de 
pagamento), bem como certificações de órgãos de credenciamento de diversas áreas 
geográficas e setores de conformidade que validam a eficácia da implementação e 
operação dos controles de segurança da AWS. Os acordos disponíveis no AWS Artifact 
incluem o Business Associate Addendum (BAA – Adendo de associado comercial) e o 
Nondisclosure Agreement (NDA – Acordo de confidencialidade). 
Você pode acessar o AWS Artifact diretamente no Console de Gerenciamento 
da AWS. 
 
 
 
 
 
 
 
34 
 
Customer Compliance Center 
A capacitação dos clientes é uma parte essencial do DNA da AWS. O centro de 
conformidade para clientes prioriza a segurança e a conformidade de nossos clientes na 
AWS. Aprenda com as experiências dos outros clientes e descubra como seus colegas 
resolveram os difíceis desafios de conformidade, governança e auditoria existentes no 
ambiente normativo atual. 
Além disso, é possível acessar o nosso primeiro programa de treinamento para 
auditores de nuvem do setor. Os recursos de aprendizado da universidade on-line são 
programas de treinamento lógico criados especificamente para profissionais de 
segurança, conformidade e auditoria. Esses recursos permitem criar as habilitações de 
TI necessárias para que seu ambiente evolua para a próxima geração de auditoria e 
garantia da qualidade. 
 
 
 
 
 
 
 
35 
Capítulo 8. Soluções para LGPD na AWS 
A Lei Geral de Proteção de Dados do Brasil ("LGPD") é a principal 
regulamentação do Brasil voltada para a proteção de dados pessoais. A LGPD se aplica 
ao tratamento de dados pessoais (definidos como informações referentes a uma pessoa 
física identificada ou identificável) realizado por pessoas físicas ou jurídicas do setor 
público ou privado, independentemente dos meios utilizados para o tratamento do país 
em que o controlador ou os dados estejam localizados, desde que: 1) o tratamento seja 
realizado no Brasil; 2) o tratamento seja destinado à oferta ou fornecimento de bens ou 
serviços, ou ao tratamento de dados de pessoas localizadas no Brasil, ou; 3) os dados 
pessoais tenham sido coletados no Brasil. 
A LGPD estabelece princípios e regras para o processamento de dados pessoais. 
As organizações devem demonstrar a adoção de medidas capazes de comprovar a 
conformidade com as regras de proteção de dados pessoais, incluindo a eficácia dessas 
medidas, exigindo a criação e a aplicação de políticas compatíveis aplicáveis ao 
processamento de dados pessoais. 
Conformidade da AWS com a LGDP 
A AWS está atenta à privacidade e à segurança dos seus dados. Na AWS, a 
segurança começa na infraestrutura central. Criada especificamente para a nuvem e 
projetada para cumprir os requisitos mais rigorosos de segurança do mundo, nossa 
infraestrutura é monitorada 24 horas por dia, 7 dias por semana para garantir a 
confidencialidade, a integridade e a disponibilidade dos dados dos clientes. Os mesmos 
especialistas de segurança de dados que monitoram essa infraestrutura também criam 
e mantêm nossaampla seleção de serviços de segurança inovadores, os quais podem 
ajudar a simplificar o cumprimento de seus próprios requisitos regulatórios e de 
segurança. Como cliente da AWS, independentemente do seu porte ou da sua 
 
 
 
 
 
 
 
36 
localização, você recebe todos os benefícios da nossa experiência, testados de acordo 
com as mais rigorosas estruturas de garantia de terceiros. 
A AWS implementa e mantém medidas de segurança técnica e organizacional 
aplicáveis aos serviços de infraestrutura da Nuvem AWS em estruturas e certificações 
de garantia de segurança reconhecidas mundialmente, incluindo ISO/IEC 27001, ISO/IEC 
27017, ISO/IEC 27018, PCI DSS Level 1 e SOC 1, 2 e 3. Essas medidas de segurança técnica 
e organizacional são validadas por auditores externos independentes e são projetadas 
para impedir o acesso não autorizado ao conteúdo de clientes ou a divulgação não 
autorizada desse conteúdo. 
Desta forma, podemos confirmar que todos os serviços da AWS podem ser 
usados em conformidade com a LGPD. Isso significa que, além dos benefícios oferecidos 
por todas as medidas já tomadas pela AWS para manter a segurança dos serviços, os 
clientes podem implantar serviços da AWS como parte essencial de seus planos de 
conformidade com a LGPD. 
Recursos de privacidade de produtos da AWS 
A AWS está atenta à sua privacidade e fornece o ambiente de computação em 
nuvem mais flexível e seguro atualmente disponível. Com a AWS, você é o proprietário 
dos seus dados e controla sua localização e quem tem acesso a eles. Somos 
transparentes sobre como os produtos da AWS processam os dados pessoais que você 
carrega na sua conta da AWS (dados de cliente) e fornecemos recursos que permitem 
criptografar, excluir e monitorar o processamento dos seus dados de cliente. 
Você pode usar os produtos da AWS sabendo que seus dados de cliente 
permanecerão na Região da AWS selecionada. Um pequeno número de produtos da 
AWS envolve a transferência de dados de cliente, por exemplo para desenvolver e 
melhorar esses produtos (caso em que você tem a opção de recusar a transferência) ou 
 
 
 
 
 
 
 
37 
porque a transferência é uma parte essencial de um serviço (como em um serviço de 
entrega de conteúdo). Proibimos, e nossos sistemas são projetados para impedir o 
acesso remoto da equipe da AWS aos dados do cliente para qualquer finalidade, 
incluindo manutenção do serviço, a menos que o acesso seja solicitado por você, seja 
necessário para evitar fraude e abuso ou para obedecer à lei. 
Quais serviços a AWS oferece aos clientes para ajudá-los a cumprir os requisitos da LGDP 
A AWS já está disponibilizando recursos e serviços específicos que ajudam os 
clientes a atender aos requisitos da LGPD: 
Controle de acesso a dados: permite que somente administradores, usuários e 
aplicativos autorizados acessem os recursos da AWS. 
• Multi-Factor Authentication (MFA). 
• Acesso granular refinado a objetos nos buckets do Amazon S3/no Amazon 
SQS/no Amazon SNS e mais. 
• Autenticação de solicitação de APIs. 
• Restrições geográficas. 
• Acesso temporário a tokens por meio do AWS Security Token Service. 
Monitoramento e registro em log: obtenha uma visão geral sobre as atividades 
nos seus recursos da AWS. 
• Gerenciamento e configuração de ativos com o AWS Config. 
• Auditoria de conformidade e análise de segurança com o AWS CloudTrail. 
• Identificação de desafios de configuração por meio do AWS Trusted Advisor. 
 
 
 
 
 
 
 
38 
• Registro em log de acesso granular refinado a objetos do Amazon S3. 
• Informações detalhadas sobre fluxos na rede por meio do Amazon VPC Flow 
Logs. 
• Verificações e ações de configuração baseada em regras com o AWS Config 
Rules. 
Filtragem e monitoramento do acesso HTTP a aplicativos com funções do WAF 
no AWS CloudFront. 
• Criptografia: criptografe dados na AWS. 
• Criptografia dos seus dados em repouso com o AES256 (EBS/S3/Glacier/RDS). 
• Gerenciamento centralizado de chaves (por região da AWS). 
• Túneis IPsec na AWS com gateways de VPN. 
• Módulos HSM dedicados na nuvem com o AWS CloudHSM. 
 
 
 
 
 
 
 
39 
Capítulo 9. Migração para nuvem AWS 
Podemos migrar qualquer carga de trabalho: aplicações, sites, bancos de 
dados, armazenamento, servidores físicos ou virtuais e até mesmo datacenters inteiros 
de um ambiente on-premises, unidade de hospedagem ou outra nuvem pública para a 
AWS. A cada passo ao longo do caminho, você pode aproveitar os anos de experiência 
da AWS para desenvolver seus recursos organizacionais, operacionais e técnicos, para 
que possa obter benefícios de negócios com mais rapidez. 
AWS Cloud Adoption Framework (AWS CAF) 
O AWS Cloud Adoption Framework oferece estrutura para ajudar as 
organizações a desenvolverem um plano eficiente e efetivo para sua jornada de adoção 
na nuvem. As orientações e as melhores práticas prescritas na estrutura podem ajudá-
lo a construir uma abordagem abrangente para a computação em nuvem em toda a sua 
organização, ao longo do seu ciclo de vida da TI. 
 
São sete perspectivas do CAF: 
• Negócio – Ajuda as partes interessadas a entender como atualizar as 
habilidades da equipe e os processos organizacionais envolvidos nas 
 
 
 
 
 
 
 
40 
capacidades de suporte empresarial, para otimizar o valor do negócio com a 
adoção da nuvem. 
• Plataforma - Ajuda as partes interessadas a compreender como atualizar as 
habilidades da equipe e os processos organizacionais necessários para 
oferecer, manter e otimizar as soluções e serviços em nuvem. 
• Governança – Integra Governança de TI e Governança Organizacional. Ele 
fornece orientação sobre a identificação e implementação de práticas 
recomendadas para governança de TI e sobre o suporte de processos de 
negócios com tecnologia. 
• Pessoas – Fornece orientação para as partes interessadas responsáveis pelo 
desenvolvimento, treinamento e comunicação de pessoas. Ajuda as partes 
interessadas a entenderem como atualizar habilidades de pessoal e processos 
organizacionais com competências baseadas na nuvem. 
• Processos – Fornece orientação para as partes interessadas que suportam 
processos de negócios com tecnologia e quem é responsável por gerenciar e 
medir os resultados comerciais resultantes. Ajuda as partes interessadas a 
entenderem como atualizar as habilidades da equipe e os processos 
organizacionais necessários para garantir a governança empresarial na nuvem. 
• Operações – Ajuda as partes interessadas a entender como atualizar as 
habilidades da equipe e os processos organizacionais necessários para garantir 
a saúde e a confiabilidade do sistema através da mudança para a nuvem e as 
práticas ágeis, contínuas e em computação em nuvem. 
• Segurança – Fornece orientação para as partes interessadas responsáveis 
pelas habilidades de pessoal e processos organizacionais necessários para 
 
 
 
 
 
 
 
41 
garantir que as cargas de trabalho implantadas ou desenvolvidas na nuvem se 
alinhem aos requisitos de segurança, resiliência e conformidade da 
organização 
Cada perspectiva tem seu conjunto de componentes. Componentes identificam 
aspectos que podem requerer ou não atenção na transformação – uma vez que a nuvem 
pode trazer novos benefícios ou mudanças 
Planejamento e Migração para a AWS (Estratégias e Ferramentas) 
O processo de migração em três fases foi projetado para ajudar sua organização 
a lidar com uma migração de dezenas, centenas ou milhares de aplicações. Embora cada 
fase seja um componente comum de uma migração bem-sucedida, elas não são distintas 
e isoladas, mas sim um processo iterativo. À medida que você iterar e migrar mais 
aplicações, poderá gerar repetibilidade e previsibilidade em processos e procedimentos 
e perceberá que o processo de migração está acelerando. Nosso portfólio abrangente 
de ferramentas de migração da AWS e nosso consolidado ecossistema de ferramentas 
de terceiros para migração, oferecem automaçãoe recomendações inteligentes com 
base em machine learning da AWS para simplificar e acelerar cada etapa do processo de 
migração em três fases. 
 
Avaliação: 
 
 
 
 
 
 
 
42 
No início de sua jornada, você avalia a prontidão atual da sua organização para 
operar na nuvem. Mais importante ainda, você precisa identificar os resultados de 
negócios desejados e desenvolver o caso de negócios para a migração. 
Nossas ferramentas ajudam você a avaliar seus recursos on-premises e criar 
uma projeção de custos otimizada e na medida certa para a execução de aplicações na 
AWS. Comece usando o Migration Evaluator, que fornece uma projeção do custo total 
de propriedade (TCO) para a AWS, com base na sua utilização real de recursos e em 
nossos anos de experiência em ajudar os clientes a otimizarem suas licenças de 
computação, armazenamento, banco de dados, redes e software na AWS. Quando você 
apenas precisar gerar recomendações de instâncias do EC2 na medida certa para a 
execução de workloads on-premises na AWS, use o AWS Migration Hub. 
A AWS pode ajudar você a desenvolver esse caso de negócios usando o AWS 
Cloud Economics Center, uma metodologia comprovada com base em centenas de 
envolvimentos com clientes que oferece casos de negócios e justificativas atraentes e a 
nível de diretoria antes de embarcar em uma migração em grande escala. 
Quando tiver seu caso de negócios, reveja os padrões, guias e estratégias de 
modernização e migração fornecidos nas Recomendações da AWS. O conteúdo 
fornecido abrange orientações inovadoras e as práticas recomendadas para entrar no 
cenário da nuvem, planejar sua jornada de migração e acelerar sua transformação. 
Mobilizar: 
Como parte da fase Mobilizar, você cria um plano de migração e refina seu caso 
de negócios. Você fecha lacunas na prontidão da sua organização, que foram 
descobertas na fase de avaliação, com foco em criar seu ambiente de linha de base (a 
“zona de aterrissagem”), impulsionar a prontidão operacional e desenvolver habilidades 
na nuvem. 
 
 
 
 
 
 
 
43 
Um sólido plano de migração começa com uma compreensão mais profunda 
das interdependências entre aplicações e avalia as estratégias de migração para atender 
aos objetivos do seu caso de negócios. Um aspecto essencial do desenvolvimento da sua 
estratégia de migração é coletar dados do portfólio de aplicações e interpretar essas 
aplicações usando as sete estratégias comuns de migração: realocar, reformular a 
hospedagem, criar uma nova plataforma, refatorar, comprar novamente, retirar ou 
reter. 
Nem todas as decisões em uma migração podem ser automatizadas, mas 
nossas ferramentas ajudam você a tomar decisões melhores e mais fáceis. O AWS 
Application Discovery Service coleta e apresenta automaticamente informações 
detalhadas sobre as dependências e a utilização de aplicações, para ajudar na tomada 
de decisões mais informadas à medida que você planeja a sua migração. Nossas 
Soluções de parceiros de migração, como a RISC Networks, a Cloudamize, a ATADATA 
Deloitte e a Turbonomic, também fornecem ferramentas de descoberta profunda e 
planejamento. O AWS Migration Hub automatiza o planejamento e o acompanhamento 
das migrações de aplicações entre várias ferramentas da AWS e de parceiros, permitindo 
que você escolha aquelas que melhor atendam às suas necessidades. 
Para maximizar os benefícios da migração para a nuvem, você precisa dar às 
suas equipes a liberdade e a agilidade para inovar, mas também aplicar controles para 
proteger sua organização contra riscos. Usando os serviços de Gerenciamento e 
governança da AWS, você pode melhorar a agilidade dos negócios ao mesmo tempo em 
que mantém a governança e o controle sobre os custos, a conformidade e a segurança. 
O AWS Control Tower automatiza a configuração de um ambiente de linha de base, para 
a execução de cargas de trabalho seguras e escaláveis na AWS, com base em práticas 
recomendadas prescritivas que habilitam proteções para segurança, operações e 
conformidade. Quando você precisa criar uma linha de base mais personalizada, o AWS 
 
 
 
 
 
 
 
44 
Landing Zone é uma solução fornecida por Arquitetos de soluções da AWS ou pela AWS 
Professional Services. 
Migrar e Modernizar: 
Durante a fase Migrar e Modernizar, cada aplicação é projetada, migrada e 
validada. 
O Migration Hub permite obter rapidamente atualizações quanto ao 
andamento de todas as migrações, identificar e solucionar facilmente qualquer 
problema, bem como reduzir o tempo e os esforços gerais despendidos em projetos de 
migração. 
Para muitas aplicações, a melhor abordagem é migrar rapidamente para a 
nuvem e, em seguida, re-arquitetar na AWS. Você pode usar o AWS Application 
Migration Service (AWS MGN) para fazer lift and shift (redefinir a hospedagem) 
rapidamente, de um grande número de servidores de infraestrutura física, virtual ou em 
nuvem para a AWS. O AWS MGN converte automaticamente seus servidores de origem 
para execução nativa na AWS e simplifica sua migração, permitindo que você use o 
mesmo processo automatizado para uma grande variedade de aplicações. Existem 
certas ocasiões em que você não pode instalar um serviço de migração baseado em 
agente no seu servidor. O AWS Server Migration Service é um serviço sem agente, que 
facilita e agiliza a migração de milhares de cargas de trabalho on-premises para a AWS 
de um snapshot do servidor existente. Se você tem ambientes baseados no VMware 
Cloud Foundation, o VMware Cloud on AWS permite realocar rapidamente centenas de 
aplicações virtualizadas no vSphere para a Nuvem AWS em apenas alguns dias e, ao 
mesmo tempo, manter operações consistentes com os seus ambientes on-premises. 
Ao migrar de uma origem ou versão de banco de dados para uma nova 
plataforma ou versão de software, o AWS Database Migration Service mantém o banco 
 
 
 
 
 
 
 
45 
de dados de origem totalmente operacional durante a migração, minimizando o tempo 
de inatividade para aplicações que dependem do banco de dados. 
Seu portfólio de software existente representa um investimento significativo a 
ser considerado ao migrar para a nuvem. O AWS Marketplace é um catálogo digital 
selecionado, que ajuda você a reduzir os custos ao evitar compras em excesso com uma 
licença permanente. Você pode encontrar, comprar, implantar e gerenciar mais de 
7.000 ofertas de software e serviços de terceiros de mais de 1.500 ISVs exclusivos para 
criar soluções para a sua empresa. 
Os dados são o alicerce das implantações bem-sucedidas de aplicações em 
nuvem. A AWS tem a maioria das opções para a transferência de dados para a nossa 
nuvem, dependendo da natureza dos dados e da aplicação. O AWS DataSync automatiza 
a movimentação de dados entre o armazenamento on-premises e o Amazon S3, o 
Amazon Elastic File System (Amazon EFS) ou o Amazon FSx for Windows File Server, 
transferindo dados em velocidades até 10 vezes mais rápidas do que as ferramentas de 
código aberto. O AWS Snow Family, formado pelo AWS Snowcone, AWS Snowball e AWS 
Snowmobile, oferece vários dispositivos físicos e pontos de capacidade, a maioria com 
funcionalidades de computação integradas. E, para transferir arquivos diretamente para 
dentro ou fora do Amazon S3 usando os protocolos SFTP, FTPS e FTP, temos o AWS 
Transfer Family. Não importa o caso de uso, temos um método de transferência de 
dados que se adapta às suas necessidades. 
Ao migrar para a AWS, você itera em sua nova base, desativa sistemas antigos 
e evolui constantemente em direção a um modelo operacional moderno. Seu modelo 
operacional se torna um conjunto ágil de pessoas, processos e tecnologias que melhora 
à medida que mais aplicações são migradas. O AWS Managed Services também pode 
ajudar a acelerar a migração, fornecendo gerenciamento contínuo, otimização de custos 
 
 
 
 
 
 
 
46 
e operações da sua infraestrutura da AWS, deixando sua equipe livre para se concentrar 
nasaplicações e desenvolver suas habilidades na nuvem. 
À medida que as suas aplicações são migradas para a nuvem, você usa o Service 
Catalog para criar e gerenciar catálogos de serviços de TI que são aprovados para uso na 
AWS. Esses serviços de TI podem incluir tudo, de imagens de máquinas virtuais, 
servidores, software e bancos de dados, até arquiteturas completas de aplicações 
multicamadas. O AWS Service Catalog permite o gerenciamento central de serviços de 
TI comumente implantados e ajuda você a atingir uma governança consistente e a 
cumprir requisitos de conformidade, além de permitir que usuários implantem 
rapidamente apenas os serviços de TI aprovados de que precisam. 
 
 
 
 
 
 
 
47 
Capítulo 10. Bônus 
Capítulo para descrevermos brevemente dois recursos complementares da 
AWS. 
Overview do AWS Backup 
O AWS Backup é um serviço de proteção de dados totalmente gerenciado, que 
facilita a centralização e a automação dos serviços da AWS, na nuvem e no local. Usando 
este serviço, você pode configurar políticas de backup e monitorar a atividade de seus 
recursos da AWS em um só lugar. Ele permite que você automatize e consolide tarefas 
de backup que antes eram executadas serviço por serviço, e elimina a necessidade de 
criar scripts personalizados e processos manuais. Com alguns cliques no console do AWS 
Backup. 
Ele não controla os backups que você faz em seu ambiente AWS fora do AWS 
Backup. Portanto, se você deseja uma solução centralizada e ponta a ponta para 
requisitos de conformidade regulamentares e de negócios, comece a usar o AWS 
Backup. 
Alguns serviços AWS suportados pelo AWS Backup oferecem seus próprios 
recursos de backup, incluindo instantâneos do Amazon Elastic Block Store (Amazon 
EBS), instantâneos do Amazon Relational Database Service (Amazon RDS), backups do 
Amazon DynamoDB, instantâneos do AWS Storage Gateway e outros. Esses recursos 
estão disponíveis independentemente de você usar o AWS Backup. 
Para configurar o AWS Backup para gerenciar centralmente os backups dos 
serviços suportados, você deve optar por gerenciar esse serviço com o AWS Backup, 
iniciar seus backups usando o AWS Backup e armazenar seus backups em cofres de 
 
 
 
 
 
 
 
48 
backup. No entanto, os backups que outros serviços da AWS criam não estão disponíveis 
para governança central por meio desse mesmo serviço. 
Overview do Amazon EC2 Dedicated Hosts 
Hosts dedicados do Amazon EC2 permitem que você use suas licenças de 
software elegíveis de fornecedores como a Microsoft e a Oracle no Amazon EC2, para 
possibilitar a flexibilidade e a economia de usar suas próprias licenças, mas com a 
resiliência, a simplicidade e a elasticidade da AWS. Um Host dedicado do Amazon EC2 é 
um servidor físico totalmente dedicado ao seu uso, para que você possa ajudar a atender 
aos requisitos de conformidade corporativa. 
O Host dedicado do Amazon EC2 também está integrado ao AWS License 
Manager, um serviço que ajuda a gerenciar suas licenças de software, incluindo licenças 
do Microsoft Windows Server e do Microsoft SQL Server. No License Manager, você 
pode especificar seus termos de licenciamento para controlar o uso de licenças, bem 
como suas preferências de gerenciamento de Hosts dedicados para alocação e utilização 
da capacidade do host. Após a configuração, a AWS cuida dessas tarefas administrativas 
em seu nome, para que você possa executar máquinas virtuais (instâncias) sem 
problemas em Hosts dedicados, da mesma forma que executaria uma instância do EC2 
com as licenças fornecidas pela AWS. 
 
 
 
 
 
 
 
 
 
 
 
 
49 
Referências 
AMAZON WEB SERVICES. AWS Documentation. 2021. Disponível em: 
<https://docs.aws.amazon.com/>. Acesso em: 01 abr. 2022. 
https://docs.aws.amazon.com/