Fortalecendo a Segurança e a Governança na Nuvem para Serviços Financeiros

video case
Porte da Empresa
Porte da empresa

Média

Mercado de Atuação
Mercado de Atuação

Mercado Financeiro

País
País

Brasil

Porte da Empresa
Porte da empresa

Média

País
País

Brasil

Mercado de Atuação
Mercado de Atuação

Mercado Financeiro

Banner Sobre

A Norte Asset Management foi fundada em 2020 por uma equipe de sócios com vasta experiência e êxito no mercado financeiro. Com conhecimentos complementares e um objetivo compartilhado de construir uma empresa de gestão de recursos para o longo prazo, eles estabeleceram a Norte Asset.

A empresa realiza operações de negociação de fundos em parceria estratégica com a Bloomberg e Lote 45. Além disso, mantém uma equipe interna de desenvolvimento dedicada à criação de aplicações, integração de parceiros e administração da infraestrutura de TI.

Imagem banner
Imagem banner

O Desafio

Com a consolidação da Norte Asset no mercado, o aumento do número de clientes e a perspectiva de crescimento, surgiu a necessidade premente de fortalecer os mecanismos de segurança da empresa. Tornou-se fundamental separar os ambientes de desenvolvimento, homologação e produção em contas AWS distintas, permitindo um controle refinado no ciclo de vida das soluções desenvolvidas internamente. Além disso, era fundamental estabelecer um controle de acesso rigoroso, alinhado às melhores práticas do mercado financeiro.

Solução

A CloudDog, recomendada à Norte Asset pela AWS, compreendeu a complexidade do contexto e identificou uma oportunidade para aprimorar o modelo de gestão da empresa. A solução proposta foi desenvolvida com base no conceito de infraestrutura como código, utilizando o AWS CloudFormation Control Tower (CfCT). Essa abordagem possibilitou a implementação da arquitetura de Landing Zones, em conjunto com o Transit Gateway, visando uma gestão eficiente do tráfego de rede interno entre os ambientes e integração com parceiros.

Adicionalmente, a solução incorporou diversos Serviços de Segurança da AWS para garantir a proteção dos recursos da Norte Asset. O AWS Security Hub foi adotado para centralizar a gestão de segurança, enquanto o Amazon Inspector foi implementado para identificação antecipada de riscos. O Amazon GuardDuty foi utilizado para a detecção de ameaças, e o Amazon Detective para análise de anomalias .

Todos os componentes da solução, presentes nas contas AWS, geram logs de auditoria que são armazenados em uma conta segregada, garantindo a integridade e imutabilidade desses registros. Adicionalmente, uma conta específica foi criada para os profissionais de auditoria de segurança analisarem a segurança do ambiente sem necessidade de acesso às contas que hospedam as cargas de trabalho.

A infraestrutura de redes e TI foi aprimorada por meio de uma conta dedicada, incluindo uma réplica do Active Directory e o Amazon Workspaces. Essas soluções permitem a virtualização de áreas de trabalho, sendo utilizadas pelos analistas quando estão fora do escritório, proporcionando maior flexibilidade e produtividade.

No desenvolvimento de aplicativos, foi estabelecida uma disciplina através da utilização de uma conta específica para DevOps. Os programadores desenvolvem aplicativos utilizando as ferramentas disponíveis nessa conta, e as automações garantem a entrega da versão final diretamente nos ambientes adequados, de acordo com a estruturação das linhas de desenvolvimento.

A solução, desenvolvida com o conceito de infraestrutura como código utilizando o CfCT, proporcionou à Norte Asset uma arquitetura consistente, escalável e altamente segura em suas contas AWS. Essa abordagem não apenas atendeu às necessidades de segurança e governança, mas também permitiu uma fácil replicação da solução para outros clientes da CloudDog que buscam um nível semelhante de gestão e segurança em suas contas AWS.

Arquitetura

A arquitetura implementada para atender às necessidades da Norte Asset é composta por diferentes contas na AWS, cada uma desempenhando um papel específico. Segue uma descrição detalhada da arquitetura e suas respectivas contas:

  • Conta de Gerenciamento: Responsável pelo controle e governança da infraestrutura da Norte Asset. Nessa conta, estão configurados os seguintes serviços: AWS Single Sign-On (SSO) para facilitar o acesso aos recursos da AWS, Amazon Organizations para gerenciar a estrutura de contas e políticas, Amazon CloudTrail para registrar atividades e auditoria, AWS Config para avaliar e rastrear a conformidade das configurações, AWS Control Tower para padronizar e gerenciar as melhores práticas de segurança, e AWS Budgets para monitorar os gastos.
  • Conta de Logs: Dedicada ao armazenamento e gerenciamento dos logs gerados pelos serviços da arquitetura. Nela, é utilizado o serviço Amazon S3 para armazenar os logs de forma segura e durável.
  • Conta de Auditoria: Focada na segurança e auditoria dos ambientes da Norte Asset. Nessa conta, estão configurados os serviços AWS Security Hub, Amazon Detective, Amazon GuardDuty, Amazon Inspector e Amazon Athena. O AWS Security Hub centraliza as informações de segurança e fornece insights sobre possíveis riscos e violações. O Amazon Detective é utilizado para análise de anomalias e investigação de possíveis ameaças. O Amazon GuardDuty realiza a detecção contínua de ameaças e atividades maliciosas. O Amazon Inspector identifica antecipadamente riscos de segurança e vulnerabilidades. O Amazon Athena é utilizado para consultar os logs armazenados na conta de Logs, permitindo pesquisas e análises eficientes.
  • Conta de TI: Responsável pela infraestrutura de redes e tecnologia da informação. Nessa conta, são configurados dois Transit Gateways: um para conectar a região de São Paulo, o escritório local e o ambiente produtivo, e outro para conectar os ambientes de desenvolvimento e homologação na região de Virginia. Esses Transit Gateways facilitam o tráfego seguro e eficiente entre os ambientes, mantendo a segregação adequada. Além disso, inclui o serviço Amazon Workspaces para a virtualização de áreas de trabalho, proporcionando maior flexibilidade e produtividade para os analistas da Norte Asset.
  • Conta de Produção, Homologação e Desenvolvimento: Dedicadas aos ambientes relacionados aos produtos da Norte Asset, sendo segregadas de acordo com as etapas no ciclo de vida. Cada conta possui os recursos necessários para suportar o respectivo ambiente, como instâncias de servidor, bancos de dados e outros serviços relevantes.

arquitetura_norteasset_1a0b8a9885.png

Com essa arquitetura, a Norte Asset consegue gerenciar de forma eficiente seus recursos na Nuvem, garantindo a segurança, segregação e controle adequados em cada etapa do ciclo de vida de seus produtos. Isso proporciona um ambiente confiável para o desenvolvimento, homologação e produção, atendendo às demandas do mercado financeiro de maneira segura e escalável.

Resultados

A implementação da solução proposta proporcionou à Norte Asset os seguintes resultados:

  • Reforço dos Mecanismos de Segurança: A separação adequada dos ambientes de desenvolvimento, homologação e produção em contas AWS distintas fortaleceu significativamente os mecanismos de segurança.
  • Controle de Acesso Rigoroso: A aplicação de práticas de controle de acesso em conformidade com as melhores práticas do mercado estabeleceu um nível elevado de segurança.
  • Gerenciamento Avançado do Tráfego de Rede Interno: O gerenciamento eficiente do tráfego de rede interno assegurou a segurança e eficiência das comunicações entre ambientes e parceiros.
  • Centralização da Gestão de Segurança: A centralização da gestão de segurança facilitou a identificação precoce de riscos, a detecção de ameaças e a análise de anomalias.
  • Armazenamento Seguro de Logs de Auditoria: Os logs de auditoria foram armazenados de forma segura, inacessíveis a profissionais internos, fortalecendo a transparência e a capacidade de detecção de problemas de segurança.
  • Infraestrutura de Redes e TI Aprimorada: A inclusão de uma réplica do Active Directory e o Amazon Workspaces para a virtualização de áreas de trabalho aprimoraram a infraestrutura de redes e TI, proporcionando maior flexibilidade aos analistas.
  • Disciplina no Desenvolvimento de Aplicativos: A introdução de automações eficientes e entrega direta nos ambientes adequados estabeleceu uma disciplina no desenvolvimento de aplicativos, resultando em maior eficiência e qualidade no processo.

Esses resultados não apenas atenderam às necessidades de segurança e governança da Norte Asset, mas também contribuíram para uma operação mais eficiente e transparente em todas as fases do ciclo de vida de seus produtos.

Tags

#SegurançanaNuvem #GovernançaDeTI #InfraestruturaComoCódigo #AWS #LandingZones #ControleDeAcesso #ServiçosDeSegurança #AWSControlTower #AWSSecurityHub #AmazonInspector #AmazonGuardDuty #AmazonDetective #AWSSingleSignOn #AmazonOrganizations #AmazonCloudTrail #AWSConfig

Fale com nossos
especialistas em Nuvem AWS