Weitere ähnliche Inhalte Ähnlich wie Palestra Daniel Peres - Modelo de Responsabilidade compartilhada AWS e as implicações de segurança (20) Mehr von BHack Conference (10) Palestra Daniel Peres - Modelo de Responsabilidade compartilhada AWS e as implicações de segurança2. • 2006 Lançamento oficial
• 2007 180,000
desenvolvedores
• 2010 Mudança da
Amazon.com para AWS
• 2015 faturamento de
1.57 bilhões primeiro
quadrimestre
Oque é AWS
5. Um modelo para todos os
serviços ?
• Serviços de infra estrutura
• Serviços Tipo containers
• Serviços Abstratos
17. Caso de uma Fintech nacional
• Sugestão de correção
–Chaves de acesso AWS para cada conta
cliente
–ID sequencial por UUID
23. Construindo uma infraestrutura
AWS segura
• Use o IAM em vez da sua conta root
• Diferentes usuários para diferentes
tarefas
• Usar perfis de instância
• Auditoria de usuários e grupos
• Use Parameter Store em suas
instancias EC2
26. Referencias
• https://www.threatstack.com/blog/73-of-companies-have-critical-aws-
security-misconfigurations/
• https://andresriancho.github.io/nimbostratus/pivoting-in-amazon-clouds.pdf
• artigos
• https://cloudacademy.com/blog/aws-shared-responsibility-model-security/
• http://www.datacenterknowledge.com/archives/2017/07/06/surviving-fallout-
deep-root-leak-best-practices-aws
• https://nakedsecurity.sophos.com/pt/2017/06/22/deep-root-what-can-we-
learn-from-the-gops-data-leak/
• https://itforum365.com.br/seguranca/ameacas/acesso-a-dados-dos-
servidores-amazon-expoe-falhas-de-seguranca
• http://www.luizguarino.com.br/site/seguranca_informacao/02%20-
%20A6%20-%20Exposicao%20de%20Dados%20Sensiveis.pdf
• https://www.darkreading.com/cloud/amazon-tackles-security-of-data-in-s3-
storage-/d/d-id/1329628?piddl_msgid=329422
• https://rhinosecuritylabs.com/penetration-testing/aws-security-
vulnerabilities-and-the-attackers-perspective/