Fortalecendo a Segurança e a Governança na Nuvem para Serviços Financeiros

Solução

A CloudDog, recomendada à Norte Asset pela AWS, compreendeu a complexidade do contexto e identificou uma oportunidade para aprimorar o modelo de gestão da empresa. A solução proposta foi desenvolvida com base no conceito de infraestrutura como código, utilizando o AWS CloudFormation Control Tower (CfCT). Essa abordagem possibilitou a implementação da arquitetura de Landing Zones, em conjunto com o Transit Gateway, visando uma gestão eficiente do tráfego de rede interno entre os ambientes e integração com parceiros.

Adicionalmente, a solução incorporou diversos Serviços de Segurança da AWS para garantir a proteção dos recursos da Norte Asset. O AWS Security Hub foi adotado para centralizar a gestão de segurança, enquanto o Amazon Inspector foi implementado para identificação antecipada de riscos. O Amazon GuardDuty foi utilizado para a detecção de ameaças, e o Amazon Detective para análise de anomalias .

Todos os componentes da solução, presentes nas contas AWS, geram logs de auditoria que são armazenados em uma conta segregada, garantindo a integridade e imutabilidade desses registros. Adicionalmente, uma conta específica foi criada para os profissionais de auditoria de segurança analisarem a segurança do ambiente sem necessidade de acesso às contas que hospedam as cargas de trabalho.

A infraestrutura de redes e TI foi aprimorada por meio de uma conta dedicada, incluindo uma réplica do Active Directory e o Amazon Workspaces. Essas soluções permitem a virtualização de áreas de trabalho, sendo utilizadas pelos analistas quando estão fora do escritório, proporcionando maior flexibilidade e produtividade.

No desenvolvimento de aplicativos, foi estabelecida uma disciplina através da utilização de uma conta específica para DevOps. Os programadores desenvolvem aplicativos utilizando as ferramentas disponíveis nessa conta, e as automações garantem a entrega da versão final diretamente nos ambientes adequados, de acordo com a estruturação das linhas de desenvolvimento.

A solução, desenvolvida com o conceito de infraestrutura como código utilizando o CfCT, proporcionou à Norte Asset uma arquitetura consistente, escalável e altamente segura em suas contas AWS. Essa abordagem não apenas atendeu às necessidades de segurança e governança, mas também permitiu uma fácil replicação da solução para outros clientes da CloudDog que buscam um nível semelhante de gestão e segurança em suas contas AWS.

Arquitetura

A arquitetura implementada para atender às necessidades da Norte Asset é composta por diferentes contas na AWS, cada uma desempenhando um papel específico. Segue uma descrição detalhada da arquitetura e suas respectivas contas:

• Conta de Gerenciamento: Responsável pelo controle e governança da infraestrutura da Norte Asset. Nessa conta, estão configurados os seguintes serviços: AWS Single Sign-On (SSO) para facilitar o acesso aos recursos da AWS, Amazon Organizations para gerenciar a estrutura de contas e políticas, Amazon CloudTrail para registrar atividades e auditoria, AWS Config para avaliar e rastrear a conformidade das configurações, AWS Control Tower para padronizar e gerenciar as melhores práticas de segurança, e AWS Budgets para monitorar os gastos.
• Conta de Logs: Dedicada ao armazenamento e gerenciamento dos logs gerados pelos serviços da arquitetura. Nela, é utilizado o serviço Amazon S3 para armazenar os logs de forma segura e durável.
• Conta de Auditoria: Focada na segurança e auditoria dos ambientes da Norte Asset. Nessa conta, estão configurados os serviços AWS Security Hub, Amazon Detective, Amazon GuardDuty, Amazon Inspector e Amazon Athena. O AWS Security Hub centraliza as informações de segurança e fornece insights sobre possíveis riscos e violações. O Amazon Detective é utilizado para análise de anomalias e investigação de possíveis ameaças. O Amazon GuardDuty realiza a detecção contínua de ameaças e atividades maliciosas. O Amazon Inspector identifica antecipadamente riscos de segurança e vulnerabilidades. O Amazon Athena é utilizado para consultar os logs armazenados na conta de Logs, permitindo pesquisas e análises eficientes.
• Conta de TI: Responsável pela infraestrutura de redes e tecnologia da informação. Nessa conta, são configurados dois Transit Gateways: um para conectar a região de São Paulo, o escritório local e o ambiente produtivo, e outro para conectar os ambientes de desenvolvimento e homologação na região de Virginia. Esses Transit Gateways facilitam o tráfego seguro e eficiente entre os ambientes, mantendo a segregação adequada. Além disso, inclui o serviço Amazon Workspaces para a virtualização de áreas de trabalho, proporcionando maior flexibilidade e produtividade para os analistas da Norte Asset.
• Contas de Produção, Homologação e Desenvolvimento: Dedicadas aos ambientes relacionados aos produtos da Norte Asset, sendo segregadas de acordo com as etapas no ciclo de vida. Cada conta possui os recursos necessários para suportar o respectivo ambiente, como instâncias de servidor, bancos de dados e outros serviços relevantes.

Com essa arquitetura, a Norte Asset consegue gerenciar de forma eficiente seus recursos na Nuvem, garantindo a segurança, segregação e controle adequados em cada etapa do ciclo de vida de seus produtos. Isso proporciona um ambiente confiável para o desenvolvimento, homologação e produção, atendendo às demandas do mercado financeiro de maneira segura e escalável.

Resultados

A implementação da solução proposta proporcionou à Norte Asset os seguintes resultados:

• Reforço dos Mecanismos de Segurança: A separação adequada dos ambientes de desenvolvimento, homologação e produção em contas AWS distintas fortaleceu significativamente os mecanismos de segurança.
• Controle de Acesso Rigoroso: A aplicação de práticas de controle de acesso em conformidade com as melhores práticas do mercado estabeleceu um nível elevado de segurança.
• Gerenciamento Avançado do Tráfego de Rede Interno: O gerenciamento eficiente do tráfego de rede interno assegurou a segurança e eficiência das comunicações entre ambientes e parceiros.
• Centralização da Gestão de Segurança: A centralização da gestão de segurança facilitou a identificação precoce de riscos, a detecção de ameaças e a análise de anomalias.
• Armazenamento Seguro de Logs de Auditoria: Os logs de auditoria foram armazenados de forma segura, inacessíveis a profissionais internos, fortalecendo a transparência e a capacidade de detecção de problemas de segurança.
• Infraestrutura de Redes e TI Aprimorada: A inclusão de uma réplica do Active Directory e o Amazon Workspaces para a virtualização de áreas de trabalho aprimoraram a infraestrutura de redes e TI, proporcionando maior flexibilidade aos analistas.
• Disciplina no Desenvolvimento de Aplicativos: A introdução de automações eficientes e entrega direta nos ambientes adequados estabeleceu uma disciplina no desenvolvimento de aplicativos, resultando em maior eficiência e qualidade no processo.

Esses resultados não apenas atenderam às necessidades de segurança e governança da Norte Asset, mas também contribuíram para uma operação mais eficiente e transparente em todas as fases do ciclo de vida de seus produtos.