Apresentação
A Darede implementou uma governança de segurança abrangente no ambiente AWS do Hiperbanco, focando em controles preventivos e detectivos, com suporte contínuo para garantir conformidade com o framework CIS e escalabilidade operacional.
Sobre o Hiperbanco
O Hiperbanco é uma plataforma de Banking as a Service (BaaS) que permite a criação, gestão e escalabilidade de fintechs de maneira inovadora e competitiva. Oferecendo soluções personalizadas e plataformas white label, o Hiperbanco ajuda empresas de diversos segmentos a explorar novos mercados e gerar novas receitas através de serviços financeiros digitais. Em um ambiente de BaaS, controles e governança robustos são essenciais para garantir a segurança e a conformidade regulatória. O Hiperbanco se destaca por sua busca contínua por excelência em governança, implementando rigorosas políticas de segurança e compliance para proteger as transações financeiras e assegurar a integridade dos dados dos clientes.
O Desafio
O Hiperbanco, servindo dezenas de outros bancos, enfrentava o desafio de implementar melhorias de segurança sem interromper suas operações nem por um segundo. Escolheu-se assim o framework CIS (Center for Internet Security) de maneira estratégica, pois oferece um conjunto de controles de segurança reconhecidos globalmente, essenciais para proteger contra ameaças cibernéticas e garantir a conformidade regulatória. O framework CIS é composto por 18 controles críticos que abrangem áreas como inventário e controle de ativos, proteção de dados, gerenciamento de acesso, monitoramento contínuo de vulnerabilidades, e resposta a incidentes [3]. A meta de atingir 70% de conformidade foi estabelecida como um nível aceitável, pois cobre as medidas de segurança mais críticas, proporcionando uma base sólida para a proteção dos dados e operações. Esse nível de conformidade permite que o Hiperbanco mantenha a continuidade dos serviços enquanto realiza ajustes e melhorias contínuas, sem comprometer a segurança geral.
A governança desempenha um papel vital nesse processo, assegurando que todas as políticas e procedimentos de segurança sejam rigorosamente seguidos. O framework CIS inclui controles específicos como o gerenciamento de configuração segura, auditoria de logs, e proteção contra malware, que são essenciais para manter a integridade e a segurança dos dados. A implementação desses controles ajudaria a criar uma postura de segurança robusta, alinhada com as melhores práticas do setor.
Por que a Darede e a AWS?
A AWS é crucial para o Hiperbanco devido à sua capacidade de oferecer uma infraestrutura escalável, segura e altamente disponível, essencial para suportar o rápido crescimento e as demandas dinâmicas do mercado financeiro. Além disso, a AWS proporciona um conjunto abrangente de ferramentas de segurança e conformidade que ajudam a proteger os dados sensíveis dos clientes e a manter a conformidade com as regulamentações financeiras.
Enquanto isso, a Darede, como parceira Premier da AWS, trouxe sua expertise em gestão de ambientes desafiadores na nuvem. Com uma equipe dedicada à segurança e à conformidade, a Darede assegurou que o Hiperbanco pudesse fortalecer sua postura de segurança sem comprometer a eficiência operacional, mantendo a confiança de seus clientes e parceiros, oferecendo um ambiente seguro e confiável para suas operações financeiras.
Os serviços AWS utilizados são:
1. AWS Security Hub
2. Amazon Guard Duty
3. Amazon CloudWatch
4. AWS CloudTrail
5. AWS WAF
6. AWS VPC (Virtual Private Clouds)
7. Control Tower
Serviços Darede utilizados
Consultoria de Segurança (SECaaS) – Neste serviço ajudamos os clientes da AWS a adotar, desenvolver e implantar projetos de segurança complexos. Nossa solução é customizada e flexível ao negócio do cliente.
Solução
A Darede implementou a governança e os controles do CIS Framework no Hiperbanco sem interromper o ambiente uma única vez, utilizando uma abordagem meticulosa e bem planejada. Primeiro, reestruturaram as camadas de redes pública e privada com AWS VPCs, permitindo uma segmentação eficiente do tráfego. O AWS WAF foi configurado com regras gerenciadas e personalizadas para proteger as aplicações web contra ameaças comuns, como injeção de SQL e cross-site scripting (XSS). O AWS Security Hub foi habilitado para fornecer uma visão centralizada da postura de segurança, integrando-se com Amazon GuardDuty para monitorar e detectar atividades maliciosas em tempo real. Esses serviços, combinados com o uso de MFA (autenticação multifator), garantiram que a implementação dos controles de segurança fosse contínua e sem interrupções.
Os TAM da Darede ofereceram um suporte proativo na infraestrutura, recomendando a utilização de subnets públicas e privadas para segmentação de tráfego e a criação de contas de estabilização para otimizar o gerenciamento e a segurança do ambiente. Também auxiliaram nas questões de billing, orientando sobre otimizações de custo e monitorando alertas de orçamento para manter a eficiência econômica do ambiente. Além disso, os TAM trabalharam em conjunto com a equipe de segurança do Hiperbanco para identificar e responder a possíveis ameaças. Utilizando o Security Hub e o GuardDuty, os TAM apoiaram a equipe de segurança na identificação de atividades suspeitas e no reforço das práticas de segurança para reduzir riscos de forma eficaz.
A implementação de controles preditivos e controles preventivos foi essencial para o sucesso do projeto. Entre os controles preditivos, foram configurados o AWS Config Rules e o Amazon GuardDuty, que monitoram configurações e atividades em busca de variações suspeitas ou não conformes com as políticas. Já entre os controles preventivos, destacaram-se o uso de Service Control Policies (SCPs), que restringiram o uso de serviços e regiões não autorizadas, e políticas de IAM rigorosas, limitando permissões para usuários e funções específicas. O AWS Control Tower também foi implementado para garantir governança centralizada, aplicando as melhores práticas e políticas de segurança em todas as contas e permitindo que o ambiente fosse mantido dentro dos parâmetros de conformidade.
Após a implementação, a gestão do ambiente foi mantida escalável e efetiva em termos de custos através do uso de AWS CloudWatch e AWS CloudTrail. O AWS CloudWatch monitorou recursos e aplicativos, fornecendo dados e insights para otimizar o desempenho operacional e a segurança. O AWS CloudTrail registrou todas as atividades na conta da AWS, criando uma trilha de auditoria que ajudou na investigação de incidentes de segurança e na conformidade regulatória. A combinação desses serviços permitiu ao Hiperbanco ajustar rapidamente suas operações conforme necessário, mantendo a eficiência e controlando os custos.
A elevação do nível de conformidade com o CIS Framework para acima de 70% foi um marco significativo para o Hiperbanco. Isso foi alcançado através da implementação rigorosa de controles críticos, como o gerenciamento seguro de segredos com AWS Secrets Manager e a proteção de dados sensíveis com AWS KMS (Key Management Service). A integração contínua com o AWS Security Hub permitiu a detecção e correção rápida de quaisquer desvios das melhores práticas de segurança, assegurando que o ambiente permanecesse seguro e em conformidade com os padrões estabelecidos. Com esses controles, o Hiperbanco conseguiu melhorar a segurança e a eficiência de transações financeiras e o registro de novas contas, elementos cruciais para um serviço de Banking as a Service.
Imagem 1: Arquitetura padrão de um workload do Hiperbanco após a implementação dos controles.
No dia a dia, o Hiperbanco continua a utilizar boas práticas de governança para verificar a eficácia das medidas implementadas. Auditorias regulares e revisões de conformidade são realizadas utilizando AWS Config, garantindo que todas as configurações permaneçam alinhadas com as políticas de segurança. A governança é reforçada pela utilização do AWS Control Tower, que centraliza e automatiza o cumprimento das melhores práticas de segurança em todas as contas da AWS, facilitando o gerenciamento do ambiente e a prevenção de ameaças.
A equipe de TI participa de treinamentos contínuos para se manter atualizada sobre novas ameaças e melhores práticas de segurança. A governança de dados é reforçada com relatórios detalhados e monitoramento contínuo, assegurando transparência e responsabilidade em todas as operações de segurança. Essas práticas garantem que o Hiperbanco possa continuar a oferecer um serviço confiável e seguro, essencial para a confiança dos clientes em suas transações e no gerenciamento de suas contas.
Resultados
Os resultados foram expressivos, obtendo:
A implementação dos controles de governança e segurança no Hiperbanco trouxe vários resultados numéricos significativos:
1.Aumento da Conformidade: A conformidade com o CIS Framework foi elevada para acima de 70%, garantindo que as medidas de segurança mais críticas foram implementadas e estão operando de forma eficaz.
2. Redução de Incidentes de Segurança: Houve uma redução de aproximadamente 98% nos incidentes de segurança detectados, graças à implementação de serviços como AWS Security Hub e Amazon GuardDuty, que monitoram e detectam atividades maliciosas em tempo real.
3. Melhoria na Eficiência Operacional: O uso de AWS CloudWatch e AWS CloudTrail permitiu uma melhoria de 30% na eficiência operacional, através do monitoramento contínuo e da otimização dos recursos e aplicativos.
4.Tempo de Resposta a Incidentes: O tempo de resposta a incidentes de segurança foi reduzido em 99%, devido à visibilidade centralizada e aos alertas em tempo real fornecidos pelo AWS Security Hub e Amazon GuardDuty.
5.Escalabilidade e Custos: A gestão eficiente do ambiente permitiu uma redução de 20% nos custos operacionais, mantendo a escalabilidade necessária para suportar o crescimento contínuo do Hiperbanco.
Esses resultados demonstram a eficácia da implementação dos controles de governança e segurança, assegurando a proteção dos dados e a continuidade dos serviços financeiros oferecidos pelo Hiperbanco.
Sobre o parceiro
A Darede Serviços de TI, parceira Premier AWS, é localizada em Barueri, Brasil, é uma empresa que se destaca por oferecer um serviço especializado de suporte, sustentação e consultoria especializada em AWS. Com uma equipe altamente qualificada de especialistas (os #cloudspecialists) em serviços gerenciados em nuvem, a Darede demonstra profundo conhecimento técnico e experiência em soluções AWS. Seu compromisso com a excelência no atendimento proporciona um suporte ágil e eficiente, garantindo que todas as necessidades e desafios sejam abordados prontamente.
Referências
[1] https://hiperbanco.com.br/
[2] https://www.darede.com.br/
[3] The 18 CIS Critical Security Controls (cisecurity.org)