O desafio do gerenciamento de AMIs em escala
Conforme as organizações expandem suas infraestruturas na nuvem, o gerenciamento adequado do ciclo de vida das Amazon Machine Images (AMIs) torna-se um componente crítico para segurança e gestão de riscos. As AMIs fornecem informações essenciais para lançar instâncias do Amazon Elastic Compute Cloud (Amazon EC2), mas apresentam desafios significativos de segurança e conformidade quando não são rastreadas e gerenciadas adequadamente ao longo de seu ciclo de vida.
O principal desafio reside em manter visibilidade sobre as vulnerabilidades potenciais distribuídas pelas AMIs em todo o ambiente AWS. Sem uma forma clara de rastrear a origem e as derivações das imagens, as equipes de segurança enfrentam dificuldades para responder perguntas críticas: qual é o impacto de uma vulnerabilidade específica? Quais instâncias precisam de atualização urgente? As AMIs em uso são provenientes de fontes aprovadas?
O anúncio do suporte a linhagem de AMIs
No final de 2024, a AWS anunciou suporte a rastreamento de linhagem para Amazon EC2, disponibilizando detalhes sobre a origem das AMIs. Com essa informação de linhagem, é possível rastrear AMIs copiadas ou derivadas até sua fonte original.
Os dados de origem estão disponíveis para AMIs criadas usando comandos API específicos como CreateImage, CopyImage e CreateRestoreImageTask. Porém, quando uma AMI é criada através de um comando API diferente, o ID e a região AWS da AMI de origem não aparecem, criando lacunas de visibilidade que podem impactar os esforços de segurança e conformidade.
Uma solução integrada de governança
Para preencher essas lacunas e oferecer governança abrangente de AMIs, as organizações precisam construir capacidades adicionais. Uma solução bem projetada deve rastrear a origem das AMIs, validar que recursos implantados provêm de imagens douradas aprovadas, responder a investigações de auditoria com uma cadeia de custódia clara, e fazer cumprir padrões aprovados de criação de AMIs em todas as contas e regiões da AWS.
A solução apresentada utiliza Amazon Neptune, um banco de dados em grafo de alta performance, juntamente com serviços de segurança nativos da AWS para manter uma visão abrangente das relações entre AMIs e permitir monitoramento proativo de segurança. Com essa solução, é possível implementar controles sobre a origem de AMIs, validar imagens do marketplace por meio de políticas de controle de serviço, e manter conformidade com requisitos organizacionais e regulatórios.
Componentes principais da arquitetura
A solução de governança de AMI Lineage integra serviços essenciais da AWS em uma arquitetura de múltiplas contas. O Neptune funciona como banco de dados em grafo especializado, armazenando e gerenciando os dados de relacionamentos entre AMIs de forma segura.
Funções do AWS Lambda atuam como motor de processamento, captando eventos do ciclo de vida das AMIs (como CreateImage, CopyImage e DeregisterImage), avaliando-os contra regras de conformidade e atualizando o banco de dados em grafo. Essas funções são configuradas com permissões de AWS Identity and Access Management (IAM) com privilégios mínimos para aumentar a segurança.
O Amazon API Gateway oferece endpoints REST seguros para consultas de linhagem e avaliações de segurança. A autenticação combina chaves de API e papéis de IAM para garantir que apenas usuários e sistemas autorizados possam acessar os dados.
Arquitetura multi-conta e fluxo de trabalho
A solução segue as melhores práticas de segurança da AWS com uma arquitetura de múltiplas contas dividida em três tipos principais: conta de gerenciamento da organização, conta centralizada de ferramentas de segurança e múltiplas contas membros.
A abordagem trabalha da seguinte forma: a AWS Organizations é usada para fazer cumprir políticas de controle de serviço que previnem ações não conformes em AMIs. Quando um evento de ciclo de vida de AMI ocorre em uma conta membro, uma regra local do Amazon EventBridge o captura e encaminha com segurança para o EventBridge central na conta de ferramentas de segurança.
Uma função Lambda na conta de ferramentas de segurança processa o evento, analisa conformidade e atualiza o banco de dados em grafo do Neptune. O AWS Security Hub e o Amazon GuardDuty recebem e analisam descobertas de todas as contas. As equipes de segurança consultam os dados através de um endpoint seguro do API Gateway para visualizar hierarquias de AMI, investigar descobertas de segurança e avaliar o impacto de uma AMI específica.
Capacidades de monitoramento e conformidade
A solução oferece validação abrangente de origem de AMI, garantindo que as imagens provenham de fontes aprovadas, incluindo validação de AMIs do AWS Marketplace em relação a uma lista de fornecedores confiáveis. Capacidades de gerenciamento de ciclo de vida fazem cumprir políticas de retenção de AMIs e processos de descontinuação.
O monitoramento contínuo rastreia conformidade com requisitos organizacionais e regulatórios. Uma trilha de auditoria detalhada mantém um histórico completo de criação, modificação e padrões de uso de AMIs. Quando vulnerabilidades são descobertas, a solução permite avaliação rápida do escopo de impacto, identificando quais recursos foram afetados.
Integrando segurança em toda a solução
O IAM gerencia controle de acesso com privilégios mínimos em todos os componentes. O AWS CloudTrail registra atividades de API para trilhas de auditoria e relatórios de conformidade. O Security Hub centraliza descobertas de segurança e status de conformidade em todo o patrimônio de AMIs. O GuardDuty oferece detecção de ameaças para atividades relacionadas a AMIs.
Políticas de controle de serviço fazem cumprir controles em nível organizacional sobre criação e uso de AMIs. O AWS Config rastreia mudanças de configuração de AMIs e avalia regras de conformidade contínuas.
Preparação para implementação
Antes de implementar a solução, é necessário estabelecer a base apropriada de segurança e governança. A conta de gerenciamento das AWS Organizations requer permissões administrativas e deve estar habilitada com todos os recursos para suportar as políticas utilizadas.
Uma conta dedicada de ferramentas de segurança é necessária para hospedar os componentes principais da solução, com papéis de IAM de múltiplas contas configurados para permitir acesso seguro. Serviços essenciais de segurança devem ser configurados no nível organizacional, incluindo Security Hub, trilhas CloudTrail organizacionais para registros de auditoria, e chaves de criptografia usando o AWS Key Management Service (AWS KMS) para proteção de dados.
Tecnicamente, é necessário ter Python 3.8 ou posterior instalado e a AWS Command Line Interface (AWS CLI) versão 2 configurada com credenciais de segurança apropriadas. Um bucket do Amazon Simple Storage Service (Amazon S3) é necessário para artefatos de implantação, criptografado usando SSE-KMS com uma chave gerenciada pelo cliente.
Fases de implementação
O processo de implantação segue uma abordagem de cinco fases que constrói capacidades de segurança e conformidade progressivamente.
Fase 1 – Estabelecimento de fundações de segurança: Configurar os serviços de segurança do AWS Organizations, habilitando Security Hub com a conta de ferramentas de segurança como administrador delegado, habilitando GuardDuty com a conta de ferramentas de segurança como administrador delegado, e habilitando uma trilha CloudTrail em nível organizacional.
Fase 2 – Controles de segurança: Implantar controles de segurança base através de políticas de controle de serviço em nível organizacional que fazem cumprir controles de governança de AMI.
Fase 3 – Regras de EventBridge: Implantar regras de EventBridge em nível organizacional da conta de gerenciamento para capturar eventos de AMI em contas membros e encaminhá-los à conta de ferramentas de segurança.
Fase 4 – Infraestrutura central: Implantar componentes de processamento e armazenamento na conta de ferramentas de segurança, seguindo as melhores práticas de segurança centralizando operações sensíveis em uma conta dedicada.
Fase 5 – Conformidade e monitoramento: Estabelecer capacidades abrangentes de conformidade e monitoramento em contas membros, com regras do AWS Config para monitoramento contínuo de conformidade de AMIs.
A solução completa está disponível como código aberto no repositório de exemplos da AWS. É possível clonar o repositório e seguir as instruções de implantação, que incluem templates do AWS CloudFormation, funções Lambda e scripts de implantação.
Operando a solução de AMI Lineage
Quando implantada, a solução oferece capacidades de operações de segurança e monitoramento de conformidade através de sua API hospedada na conta de ferramentas de segurança. As equipes de segurança podem consultar e receber relacionamentos completos de segurança de AMIs para entender o contexto total das imagens no ambiente.
Durante investigações, a solução fornece contexto de segurança detalhado incluindo informações de validação de origem confirmando se as AMIs provêm de fontes do marketplace ou contas confiáveis, status de conformidade mostrando níveis de patch e conformidade com políticas, status de vulnerabilidade com descobertas de CVE (Vulnerabilidades e Exposições Comuns) e resultados de verificação, e dados completos de linhagem mostrando a cadeia completa de relacionamentos e histórico de aprovação.
Para avaliações de impacto de segurança, quando novas CVEs são descobertas, a solução permite que equipes de segurança determinem rapidamente cada recurso afetado em toda a organização que se originou de uma AMI comprometida ou vulnerável. Com essa informação, é possível compreender o escopo total da exposição e iniciar a remediação.
Monitoramento contínuo e automação
O monitoramento de conformidade opera continuamente através de capacidades automatizadas de avaliação que avaliam o patrimônio de AMIs em relação às políticas organizacionais e requisitos regulatórios. As equipes podem gerar relatórios completos de conformidade mostrando aderência aos padrões de segurança em toda a infraestrutura.
A solução oferece capacidades robustas de automação de políticas que operam continuamente para manter segurança e conformidade. O sistema garante que apenas AMIs aprovadas com histórico de linhagem verificado possam ser usadas para lançar novas instâncias, bloqueando automaticamente tentativas de usar imagens não conformes. Quando violações de políticas são detectadas, o sistema pode disparar respostas automatizadas a eventos de segurança.
O Security Hub, operando em modo de administrador delegado, pode ser configurado para responder automaticamente a descobertas parando instâncias usando AMIs com vulnerabilidades críticas, colocando em quarentena instâncias lançadas de fontes não aprovadas, e enviando notificações imediatas para descobertas de alta severidade.
Visualização, relatórios e auditoria
As capacidades de visualização e relatórios de segurança, centralizadas na conta de ferramentas de segurança, oferecem dashboards em tempo real mostrando status de conformidade em toda a organização, visualização de escopo para tomada rápida de decisões, status do fluxo de trabalho de aprovação de AMI para monitoramento de processo, métricas de conformidade de patch para manutenção de postura de segurança, e logs de atividades de remediação automatizadas para fins de auditoria.
Para investigações de segurança e fins de auditoria, a solução mantém uma trilha de auditoria consultável oferecendo histórico completo de AMIs incluindo eventos de criação e modificação, resultados de verificação de segurança e descobertas, histórico de fluxo de trabalho de aprovação, e mudanças de status de conformidade ao longo do tempo.
Considerações finais
A solução de AMI Lineage transforma a governança de AMI de um processo manual e propenso a erros em uma capacidade de segurança automatizada e abrangente que escala com o crescimento organizacional. Implementando essa solução, as organizações ganham visibilidade, controle e capacidades de resposta automatizadas necessários para manter uma postura de segurança forte, enquanto permitem implantação rápida e segura de infraestrutura em todo o ambiente AWS.
É importante considerar os aspectos operacionais e de custo da solução. Os componentes principais, particularmente o Neptune, têm custos associados que escalarão com o tamanho do patrimônio de AMIs da organização. Recomenda-se implementar monitoramento e alertas de custo como parte da implantação. Além disso, como a solução é orientada por eventos, deve-se planejar um processo único de preenchimento retrospectivo para ingerir o histórico de AMIs existente da organização no banco de dados em grafo. Para organizações que exigem esse nível de controle granular e visibilidade, essas considerações operacionais são compensadas pelos ganhos significativos na postura de segurança e automação de conformidade.
Fonte
How to manage the lifecycle of Amazon Machine Images using AMI Lineage for AWS (https://aws.amazon.com/blogs/security/how-to-manage-the-lifecycle-of-amazon-machine-images-using-ami-lineage-for-aws/)
Leave a Reply