11/05/2022
Por Flávio Rescia
Todos os dias a AWS lança uma série novidades e atualizações em seus produtos que visam melhorar a vida de seus usuários. Reunimos algumas delas que fazem mais sentido para nosso mercado e que certamente aplicaremos em nosso dia a dia. Confira as últimas novidades sobre Segurança!
Authentication, Authorization, e Accounting
Amazon FSX/AWS Batch/Amazon Connect Wisdom – Suporte a conexões privadas
Assim como todos os meses, a AWS adicionou o suporte ao PrivateLink em alguns serviços, dessa foi a vez do Amazon FSX, Amazon Connect Wisdom e o AWS Batch. Para o FSX em particular, é uma excelente notícia, afinal acessar servidores de arquivos de forma sempre privada é pré-requisito de muitos projetos e departamentos de compliance. É importante lembrar que os serviços que não possuem PrivateLink a autenticação, autorização e confidencialidade é garantida por outros métodos.
AWS SSO – Novo recurso de configuração do Active Directory no AWS SSO
Abr 14, 2022
O AWS SSO é um serviço gratuito e altamente recomendado. Com ele é possível configurar uma base de autenticação externa centralizada via SAML, além de evitar usuários duplicados em diversos locais. O SSO é totalmente compatível com estratégia Multi-Account, o que evita duplicação de roles e policies entre as contas. A integração mais popular do SSO é com o Microsoft Active Directory, e a novidade é que agora é possível definir o que deseja sincronizar, fazendo isso por exemplo apenas com um grupo de usuários ou OU. Outra novidade é que é possível definir quando será sincronizado, assim você pode fazer sincronizações diárias por exemplo.
AWS Shield Advanced – Suporte a ALB para mitigação de DDoS via WAF
Abr 8, 2022
O AWS Shield Advanced é um serviço da AWS pouco utilizado, devido ao seu custo mínimo/fixo que não é baixo, o custo é de $3k por conta. Porém ele traz diversos controles adicionais como o reembolso em caso de custos causados por DDoS, além da retaguarda do time de engenharia da AWS para configuração de serviços e recursos de segurança AWS. Dentre as novas funcionalidades, o Shield permite a configuração um política DDoS que interagi automaticamente com o AWS WAF, mitigando assim ataques DDoS que afetam a aplicação apenas e não a infraestrutura como um todo (esse recurso já existia no ALB para quem usa Shield Advanced). Esse recurso só existia no CloudFront, agora ele é também suportado diretamente no ALB, para em não utiliza o serviço de CDN da AWS.
AWS KMS – Novas features para uso de HMAC via API
Abr 20, 2022
Agora o AWS KMS traz uma nova funcionalidade com a possibilidade de encriptar HMAC via chamada API. Assim é possível garantir que segredos utilizados por sua aplicação não transitem em texto puro. Essa é uma forma de você proteger os tokens (como JWT) utilizados para encriptar dados como: informações, pessoas, cartões de crédito, e de nticação.
AWS IAM – Novo recurso que permite criar condições para dar mais granularidade das permissões do Serviço Neptune
Abr 20, 2022
O Amazon Neptune, serviço de gráficos gerenciado da AWS, ganhou uma nova forma de parametrizar permissões, e o AWS IAM agora suporta condições, o que possibilita dar acessos em condições especificas, como IP de Origem ou se o usuário está usando HTTPs.
AWS Audit Manager – Criação de regras personalizadas por meio do AWS Config
Abr 29, 2022
Uma nova integração entre o AWS Audit Manager, ferramenta para apoio a auditorias no ambiente em Cloud, e o AWS Config agora permite, além dos controles pré-existentes a criação de regras customização. A forma que a AWS encontrou foi usando as custom rules, já existente no AWS Config, e que agora serve de item de auditoria, assim não é preciso customizar a regras em dois lugares diferentes.
AWS Firewall Manager – Novos grupos/listas de ameaças gerenciadas
Abr 28, 2022
O AWS Firewall Manager, o firewall gerenciado e serverless da AWS, apesar de ser um serviço novo, tem recebido constantes atualizações. A novidade dessa vez são liaras de ameaças gerenciadas as “Threat signature rule groups”. Se trata de regras prontas, que a própria AWS gerência e você apenas usa, exemplos desses grupos são “botnet”, “DoS”, “Scannera”. Como sabemos, o Firewall Manager usa o projeto OpenSource Suricata como base para o IPS/IDS do Firewall Manager, esses grupos são apenas grupos de assinaturas mantidas pelo time da AWS para simplificar nossa vida. Recurso similar é encontrado nos “managed rules” do AWS WAF, mas é importante lembrar que o WAF opera apenas protocolos HTTP e HTTPS, enquanto o Firewall Manager opera em qualquer protocolo. Foram anunciados 11 grupos de assinaturas, mas já encontramos 15 no link: https://docs.aws.amazon.com/network-firewall/latest/developerguide/aws-managed-rule-groups-threat-signature.html
Upgrades
Amazon RDS Proxy – Suporte a Postgres versão 13
Abr 4, 2022
Se você utiliza o Amazon RDS Posgres versão 13, agora pode utilizar no RDS Proxy, a feature do RDS que permite ter um controlador de conexões, que traz diversos benefícios, como reduzir o número de conexões no banco e reduzir o tempo de failover em estratégias multi-AZ.
Amazon Coretto – Anúncio de atualizações trimestrais
Abr 19, 2022
A AWS anunciou o pacote de atualizações trimestrais do Amazon Correto, o conjunto de bibliotecas Java OpenJDK mantido pela AWS. As versões trazem atualizações de bugs e segurança além de novas funcionalidades. O Correto agora é compatível com as versões 18.0.1, 17.0.3, 11.0.15, and 8u332 do OpenJDK e estão disponíveis , sem custo, para download em https://aws.amazon.com/corretto/
Amazon Opensearch agora suporta ElasticSearch versão 1.2
Abr 4, 2022
O Amazon Opensearch, o Elasticsearch gerenciado da AWS agora suporta verão 1.2 do Elasticseach, além de diversas funcionalidades novas, como Interface de Observabilidade e Detecção de Anomalia, é importante manter seu cluster sempre atualizar para manter as atualizações de segurança em dia.
Amazon MQ – Suporte a Active MQ versão 5.16.4
Abr 21, 2022
O Amazon MQ, serviço de filas opensource gerenciado na AWS, agora suporta Active MQ versão 5.16.4, mantenha sempre suas aplicações atualizadas para evitar expor vulnerabilidades e bugs.
AWS Control Tower – Suporte a Python 3.9
Abr 27, 2022
Agora é possível usar Python 3.9 nas notificações de mudança no AWS Control Tower. A versão 3.6 continua sendo suportada, mas é importante aproveitar esse período para já atualizar para a nova versão, que será suportada por mais tempo, logo terá atualizações de segurança por mais tempo.
Governança & Custos
AWS Security Hub – Lançamento de 5 novos controles, além de uma nova integração com parceiro
Abr 8, 2022
O AWS Security Hub é um agregador de serviços de segurança da AWS, além de manter controles, que são boas práticas de uso de recursos em nuvem, de modo a apoiar o time de segurança a garantir a aplicação de boas práticas. Os novos controles são:
[CloudFront.9] – Garante que origem do tráfego do Cloudfront esteja encriptado
[ECR.3]- Garantir que lifecycle está configurado no ECR
[ELB.10] – Elastic Loadbalancer Classic está em mais de uma AZ
[S3.11] – Bucket S3 tem notificações configurados
[S3.12] – ACL não está sendo usado em um bucket S3
Além disso o Security Hub agora se integra com o Data Theorem, um serviço terceiro que adiciona 76 novos finds.
AWS Security Hub – Lançamento de funcionalidades multi-region
Abr 20, 2022
Há algum tempo a AWS anunciou a possibilidade de ter todas as regiões sendo geridas pelo AWS Security Hub em uma interface apenas. Agora é possível ter controles agregados em diversas regiões, isso faz com que os controles não fiquem segregados, e sim agregados, de modo a ter avaliação de postura única nas contas e regiões AWS.
AWS Compute Optimizer – Adição de 66 novos tipos de instâncias EC2
Abr 6, 2022
Agora o AWS Compute Optimizer, que avalia e o aumento ou redução de recursos computacionais na nuvem AWS, adicionou 66 novos tipos de instâncias em sua análise, como por exemplo as novas c6i e c6a.
AWS – Anúncio de custo gratuito em diversos serviços de redes
Abr 7, 2022
A AWS anunciou que diversos serviços de transferência de dados (Data Transfer) na AWS que antes eram cobrados, passam a ser gratuitos. Agora tráfego inter-Availability Zone (dentro da mesma AZ) para PrivateLink, Transit Gateway e Client VPN não serão mais cobrados. Esses custos variavam entre 1 e 2 centavos por GB trafegado. É importante ressaltar que tráfego entre AZs continuaram sendo cobrado da mesma forma. A redução acontecerá à partir de 1 Abril de 2022 e acontecerá de forma automática no billing desse mês.
AWS SSO – Elegível a HIPAA compliance
Abr 11, 2022
O AWS SSO é mais um serviço Amazon que atende aos requisitos necessários para atender a certificação HIPAA (Health Insurance Portability and Accountability Act), apesar de utilizado para empresas do setor de saúde, a nova “patente” do AWS SSO demonstra mais controles, o que deixa todos que usam mais seguros do cumprimento de boas práticas de segurança.
AWS Marketplace – Novas funcionalidades de billing
Abr 19, 2022
Recentemente os serviços do Marketplace da AWS passaram suportar upfront (pagamento adiantado), o que pode trazer benefícios, principalmente para departamentos empresas que possuem budget anual. Agora a AWS anunciou que é possível fazer upgrade ou habilitar renovação automática para produtos que suportam upfront.
Amazon Neptune – Anúncio do Free Tier
Abr 21, 2022
Se você não queria testar o Amazon Neptune, banco de dados de grafos da AWS, pois não tinha dinheiro, seus problemas acabara, rs! Agora o é possível usar 750 horas de uma instância t3.medium por 30 dias. Fique atento pois existem outros limites, como armazenamento de 1GB, backup e número de requisições. Outro ponto de atenção é que, diferente de outros serviços, esse free tier é apenas por 1 mês.
AWS IAM – Novo controle de recursos no IAM baseado em OU, Organização
Abr 27, 2022
Agora é possível configurar um policy do AWS IAM adicionando uma condição baseado nos novos atributos aws:ResourceAccount, aws:ResourceOrgPaths, e aws:ResourceOrgID. Como isso você consegue definir por exemplo, que determinado usuário, grupo ou role só pode acessar um recurso se for de uma conta, OU ou Organization específica. Dessa forma é muito mais fácil fazer controle pela origem do acesso e não fazer sempre pelo destino.
DevSecOps
AWS DevOps Guru – Anúncio do Proactive Insights, feature que antecipa e sugere otimizações na nuvem AWS
Abr 21, 2022
O AWS DevOps é um novo serviço que usa Machine Learning e ajuda a manter e monitorar aplicações modernas na AWS, além de detectar possíveis indisponibilidades. Agora ele também utiliza seus modelos matemáticos para prever falhas e sugerir melhorias em recursos AWS, como reduzir o recurso de uma função Lambda que está sobreutilizada.
Amazon Macie – Detecção automaticamente Tokens, Cookies e HTTP Basic Auth
Abr 21, 2022
O Amazon Macie é uma excelente ferramenta para detectar dados sensíveis e arquivo/objetos, ele varre o bucket s3 procurando por senhas, CPFs, RGs, etc. Agora ele possui um recurso nativo para buscar Tokens em arquivos JSON, arquivos de HTTP Basic Authentication (aquele usado para apache e nginx) e Cookies HTTP. Esses novos tipos são excelentes para testarmos arquivos de sites, e testes em servidores de arquivo. É importante saber que você terá que enviar os dados para o S3 para isso, é bem simples automatizar isso, inclusive existem diversas soluções opensource com isso pronto.
AWS – Parceiros AWS com Competência de DevOps podem ter especialidade em DevSecOps
Abr 15, 2022
AWS anunciou uma nova variação da Competência DevOps para parceiros. A Competência é um dos selos mais importantes de um parceiro AWS, e a Competência DevOps é uma das mais difíceis de se obter (a Darede tem =D). Agora é possível obter uma nova variação dessa competência a de DevSecOps. O intuito é validar a capacidade de um parceiro AWS com o uso de ferramentas e soluções que integrem a cultura DevOps com a cultura de segurança.
Amazon Lightsail – Novo recurso de redirecionamento fácil de HTTP para HTTPS
Abr 26, 2022
Se você tem um site ou uma API simples e precisa redirecionar HTTP para HTTPS, está muito mais fácil. Pois é possível realizar essa ação no próprio Load Balancer do Amazon Lightsail essa opção está disponível com poucos cliques, agora também é possível alterar os parâmetros TLS para se adequar as melhores práticas de uso de HTTPs com TLS.
Quer saber as últimas novidades da AWS? Leia nosso blog!
E acompanhe toda sexta-feira em nosso canal do Youtube nossa live sobre as Novidades da AWS.
Flavio Rescia Dias
CTO & Co-Fundador da Darede
flavio.rescia@darede.com.br
Atuando desde 2006 no mercado de tecnologia, Flávio Rescia é um dos fundadores da Darede, empresa de consultoria de serviços de TI, na qual atua como CTO. Ele possui diversas especializações no setor, sendo a última a Certificação AWS Solutions Architect – Professional.