selo-aws-partner
Os #cloudspecialists da Darede reuniram as principais novidades de Segurança da AWS! Confira quais são elas e como elas podem te ajudar!

11/05/2022
Por Flávio Rescia

Todos os dias a AWS lança uma série novidades e atualizações em seus produtos que visam melhorar a vida de seus usuários. Reunimos algumas delas que fazem mais sentido para nosso mercado e que certamente aplicaremos em nosso dia a dia. Confira as últimas novidades sobre Segurança!

Authentication, Authorization, e Accounting

Amazon FSX/AWS Batch/Amazon Connect Wisdom – Suporte a conexões privadas

Assim como todos os meses, a AWS adicionou o suporte ao PrivateLink em alguns serviços, dessa foi a vez do Amazon FSX, Amazon Connect Wisdom e o AWS Batch. Para o FSX em particular, é uma excelente notícia, afinal acessar servidores de arquivos de forma sempre privada é pré-requisito de muitos projetos e departamentos de compliance. É importante lembrar que os serviços que não possuem PrivateLink a autenticação, autorização e confidencialidade é garantida por outros métodos.

AWS SSO – Novo recurso de configuração do Active Directory no AWS SSO
Abr 14, 2022
O AWS SSO é um serviço gratuito e altamente recomendado. Com ele é possível configurar uma base de autenticação externa centralizada via SAML, além de evitar usuários duplicados em diversos locais. O SSO é totalmente compatível com estratégia Multi-Account, o que evita duplicação de roles e policies entre as contas. A integração mais popular do SSO é com o Microsoft Active Directory, e a novidade é que agora é possível definir o que deseja sincronizar, fazendo isso por exemplo apenas com um grupo de usuários ou OU. Outra novidade é que é possível definir quando será sincronizado, assim você pode fazer sincronizações diárias por exemplo.

AWS Shield Advanced – Suporte a ALB para mitigação de DDoS via WAF
Abr 8, 2022
O AWS Shield Advanced é um serviço da AWS pouco utilizado, devido ao seu custo mínimo/fixo que não é baixo, o custo é de $3k por conta. Porém ele traz diversos controles adicionais como o reembolso em caso de custos causados por DDoS, além da retaguarda do time de engenharia da AWS para configuração de serviços e recursos de segurança AWS. Dentre as novas funcionalidades, o Shield permite a configuração um política DDoS que interagi automaticamente com o AWS WAF, mitigando assim ataques DDoS que afetam a aplicação apenas e não a infraestrutura como um todo (esse recurso já existia no ALB para quem usa Shield Advanced). Esse recurso só existia no CloudFront, agora ele é também suportado diretamente no ALB, para em não utiliza o serviço de CDN da AWS.

AWS KMS – Novas features para uso de HMAC via API
Abr 20, 2022
Agora o AWS KMS traz uma nova funcionalidade com a possibilidade de encriptar HMAC via chamada API. Assim é possível garantir que segredos utilizados por sua aplicação não transitem em texto puro. Essa é uma forma de você proteger os tokens (como JWT) utilizados para encriptar dados como: informações, pessoas, cartões de crédito, e de nticação.

AWS IAM – Novo recurso que permite criar condições para dar mais granularidade das permissões do Serviço Neptune
Abr 20, 2022
O Amazon Neptune, serviço de gráficos gerenciado da AWS, ganhou uma nova forma de parametrizar permissões, e o AWS IAM agora suporta condições, o que possibilita dar acessos em condições especificas, como IP de Origem ou se o usuário está usando HTTPs.

AWS Audit Manager – Criação de regras personalizadas por meio do AWS Config
Abr 29, 2022
Uma nova integração entre o AWS Audit Manager, ferramenta para apoio a auditorias no ambiente em Cloud, e o AWS Config agora permite, além dos controles pré-existentes a criação de regras customização. A forma que a AWS encontrou foi usando as custom rules, já existente no AWS Config, e que agora serve de item de auditoria, assim não é preciso customizar a regras em dois lugares diferentes.

AWS Firewall Manager – Novos grupos/listas de ameaças gerenciadas
Abr 28, 2022
O AWS Firewall Manager, o firewall gerenciado e serverless da AWS, apesar de ser um serviço novo, tem recebido constantes atualizações. A novidade dessa vez são liaras de ameaças gerenciadas as “Threat signature rule groups”. Se trata de regras prontas, que a própria AWS gerência e você apenas usa, exemplos desses grupos são “botnet”, “DoS”, “Scannera”. Como sabemos, o Firewall Manager usa o projeto OpenSource Suricata como base para o IPS/IDS do Firewall Manager, esses grupos são apenas grupos de assinaturas mantidas pelo time da AWS para simplificar nossa vida. Recurso similar é encontrado nos “managed rules” do AWS WAF, mas é importante lembrar que o WAF opera apenas protocolos HTTP e HTTPS, enquanto o Firewall Manager opera em qualquer protocolo. Foram anunciados 11 grupos de assinaturas, mas já encontramos 15 no link: https://docs.aws.amazon.com/network-firewall/latest/developerguide/aws-managed-rule-groups-threat-signature.html

Upgrades

Amazon RDS Proxy – Suporte a Postgres versão 13
Abr 4, 2022
Se você utiliza o Amazon RDS Posgres versão 13, agora pode utilizar no RDS Proxy, a feature do RDS que permite ter um controlador de conexões, que traz diversos benefícios, como reduzir o número de conexões no banco e reduzir o tempo de failover em estratégias multi-AZ.

Amazon Coretto – Anúncio de atualizações trimestrais
Abr 19, 2022
A AWS anunciou o pacote de atualizações trimestrais do Amazon Correto, o conjunto de bibliotecas Java OpenJDK mantido pela AWS. As versões trazem atualizações de bugs e segurança além de novas funcionalidades. O Correto agora é compatível com as versões 18.0.1, 17.0.3, 11.0.15, and 8u332 do OpenJDK e estão disponíveis , sem custo, para download em https://aws.amazon.com/corretto/

Amazon Opensearch agora suporta ElasticSearch versão 1.2
Abr 4, 2022
O Amazon Opensearch, o Elasticsearch gerenciado da AWS agora suporta verão 1.2 do Elasticseach, além de diversas funcionalidades novas, como Interface de Observabilidade e Detecção de Anomalia, é importante manter seu cluster sempre atualizar para manter as atualizações de segurança em dia.

Amazon MQ – Suporte a Active MQ versão 5.16.4
Abr 21, 2022
O Amazon MQ, serviço de filas opensource gerenciado na AWS, agora suporta Active MQ versão 5.16.4, mantenha sempre suas aplicações atualizadas para evitar expor vulnerabilidades e bugs.

AWS Control Tower – Suporte a Python 3.9
Abr 27, 2022
Agora é possível usar Python 3.9 nas notificações de mudança no AWS Control Tower. A versão 3.6 continua sendo suportada, mas é importante aproveitar esse período para já atualizar para a nova versão, que será suportada por mais tempo, logo terá atualizações de segurança por mais tempo.

Governança & Custos

AWS Security Hub – Lançamento de 5 novos controles, além de uma nova integração com parceiro
Abr 8, 2022
O AWS Security Hub é um agregador de serviços de segurança da AWS, além de manter controles, que são boas práticas de uso de recursos em nuvem, de modo a apoiar o time de segurança a garantir a aplicação de boas práticas. Os novos controles são:
[CloudFront.9] – Garante que origem do tráfego do Cloudfront esteja encriptado
[ECR.3]- Garantir que lifecycle está configurado no ECR
[ELB.10] – Elastic Loadbalancer Classic está em mais de uma AZ
[S3.11] – Bucket S3 tem notificações configurados
[S3.12] – ACL não está sendo usado em um bucket S3

Além disso o Security Hub agora se integra com o Data Theorem, um serviço terceiro que adiciona 76 novos finds.

AWS Security Hub – Lançamento de funcionalidades multi-region
Abr 20, 2022
Há algum tempo a AWS anunciou a possibilidade de ter todas as regiões sendo geridas pelo AWS Security Hub em uma interface apenas. Agora é possível ter controles agregados em diversas regiões, isso faz com que os controles não fiquem segregados, e sim agregados, de modo a ter avaliação de postura única nas contas e regiões AWS.

AWS Compute Optimizer – Adição de 66 novos tipos de instâncias EC2
Abr 6, 2022
Agora o AWS Compute Optimizer, que avalia e o aumento ou redução de recursos computacionais na nuvem AWS, adicionou 66 novos tipos de instâncias em sua análise, como por exemplo as novas c6i e c6a.

AWS – Anúncio de custo gratuito em diversos serviços de redes
Abr 7, 2022
A AWS anunciou que diversos serviços de transferência de dados (Data Transfer) na AWS que antes eram cobrados, passam a ser gratuitos. Agora tráfego inter-Availability Zone (dentro da mesma AZ) para PrivateLink, Transit Gateway e Client VPN não serão mais cobrados. Esses custos variavam entre 1 e 2 centavos por GB trafegado. É importante ressaltar que tráfego entre AZs continuaram sendo cobrado da mesma forma. A redução acontecerá à partir de 1 Abril de 2022 e acontecerá de forma automática no billing desse mês.

AWS SSO – Elegível a HIPAA compliance
Abr 11, 2022
O AWS SSO é mais um serviço Amazon que atende aos requisitos necessários para atender a certificação HIPAA (Health Insurance Portability and Accountability Act), apesar de utilizado para empresas do setor de saúde, a nova “patente” do AWS SSO demonstra mais controles, o que deixa todos que usam mais seguros do cumprimento de boas práticas de segurança.

AWS Marketplace – Novas funcionalidades de billing
Abr 19, 2022
Recentemente os serviços do Marketplace da AWS passaram suportar upfront (pagamento adiantado), o que pode trazer benefícios, principalmente para departamentos empresas que possuem budget anual. Agora a AWS anunciou que é possível fazer upgrade ou habilitar renovação automática para produtos que suportam upfront.

Amazon Neptune – Anúncio do Free Tier
Abr 21, 2022
Se você não queria testar o Amazon Neptune, banco de dados de grafos da AWS, pois não tinha dinheiro, seus problemas acabara, rs! Agora o é possível usar 750 horas de uma instância t3.medium por 30 dias. Fique atento pois existem outros limites, como armazenamento de 1GB, backup e número de requisições. Outro ponto de atenção é que, diferente de outros serviços, esse free tier é apenas por 1 mês.

AWS IAM – Novo controle de recursos no IAM baseado em OU, Organização
Abr 27, 2022
Agora é possível configurar um policy do AWS IAM adicionando uma condição baseado nos novos atributos aws:ResourceAccount, aws:ResourceOrgPaths, e aws:ResourceOrgID. Como isso você consegue definir por exemplo, que determinado usuário, grupo ou role só pode acessar um recurso se for de uma conta, OU ou Organization específica. Dessa forma é muito mais fácil fazer controle pela origem do acesso e não fazer sempre pelo destino.

DevSecOps

AWS DevOps Guru – Anúncio do Proactive Insights, feature que antecipa e sugere otimizações na nuvem AWS
Abr 21, 2022
O AWS DevOps é um novo serviço que usa Machine Learning e ajuda a manter e monitorar aplicações modernas na AWS, além de detectar possíveis indisponibilidades. Agora ele também utiliza seus modelos matemáticos para prever falhas e sugerir melhorias em recursos AWS, como reduzir o recurso de uma função Lambda que está sobreutilizada.

Amazon Macie – Detecção automaticamente Tokens, Cookies e HTTP Basic Auth
Abr 21, 2022
O Amazon Macie é uma excelente ferramenta para detectar dados sensíveis e arquivo/objetos, ele varre o bucket s3 procurando por senhas, CPFs, RGs, etc. Agora ele possui um recurso nativo para buscar Tokens em arquivos JSON, arquivos de HTTP Basic Authentication (aquele usado para apache e nginx) e Cookies HTTP. Esses novos tipos são excelentes para testarmos arquivos de sites, e testes em servidores de arquivo. É importante saber que você terá que enviar os dados para o S3 para isso, é bem simples automatizar isso, inclusive existem diversas soluções opensource com isso pronto.

AWS – Parceiros AWS com Competência de DevOps podem ter especialidade em DevSecOps
Abr 15, 2022
AWS anunciou uma nova variação da Competência DevOps para parceiros. A Competência é um dos selos mais importantes de um parceiro AWS, e a Competência DevOps é uma das mais difíceis de se obter (a Darede tem =D). Agora é possível obter uma nova variação dessa competência a de DevSecOps. O intuito é validar a capacidade de um parceiro AWS com o uso de ferramentas e soluções que integrem a cultura DevOps com a cultura de segurança.

Amazon Lightsail – Novo recurso de redirecionamento fácil de HTTP para HTTPS
Abr 26, 2022
Se você tem um site ou uma API simples e precisa redirecionar HTTP para HTTPS, está muito mais fácil. Pois é possível realizar essa ação no próprio Load Balancer do Amazon Lightsail essa opção está disponível com poucos cliques, agora também é possível alterar os parâmetros TLS para se adequar as melhores práticas de uso de HTTPs com TLS.

Quer saber as últimas novidades da AWS? Leia nosso blog!

E acompanhe toda sexta-feira em nosso canal do Youtube nossa live sobre as Novidades da AWS.

foto-flavio-rescia-dias

Flavio Rescia Dias
CTO & Co-Fundador da Darede
flavio.rescia@darede.com.br

Atuando desde 2006 no mercado de tecnologia, Flávio Rescia é um dos fundadores da Darede, empresa de consultoria de serviços de TI, na qual atua como CTO. Ele possui diversas especializações no setor, sendo a última a Certificação AWS Solutions Architect – Professional.

OUTRAS PUBLICAÇÕES

O que é o AWS DMS?

O que é AWS Database Migration Service (DMS)?  O AWS Database Migration Service (AWS DMS) é um serviço gerenciado da Amazon Web Services (AWS) que

On Premises vs Cloud

Por Cassius Oliveira Hoje em dia toda empresa precisa ser de alguma forma uma empresa de tecnologia, independentemente de seu tamanho e do setor de

Precisa de ajuda? Ligue para nossa equipe no telefone +55 11 3900-1010

SOLICITE UM ORÇAMENTO

Nosso objetivo é oferecer inovação sustentada,
aliando resultados e valores.

© Copyright 2024 - Darede
Todos os direitos reservados | By Damidia Marketing & Conteúdo

EMPRESA

SOLUÇÕES

NEWSLETTER

REDES SOCIAIS

Facebook-square Linkedin Instagram Youtube

Nós usamos cookies para garantir e oferecer a melhor experiência de navegação em nosso site! Mais informações

ACEITAR & FECHAR
RECUSAR