AWS Landing Zone Cloud, o que é?
Quando o assunto é computação na nuvem, uma das primeiras empresas que vem a mente dos usuários e empresas é a AWS. Esta é uma vertente da Amazon, nada menos do que a maior empresa em capital do mundo, superando inclusive a Microsoft e Apple, outras gigantes da tecnologia.
Mas como a AWS Cloud é uma tecnologia que ainda conta com algumas dúvidas por parte das empresas e usuários, houve a necessidade de criar uma área específica chamada de AWS Landing Zone, onde os clientes aprendem a configurar corretamente e de forma rápida os ambientes AWS.
Os serviços AWS são bem variados e o grande número de opções e configurações de ambientes, exigem um conhecimento significativo por parte dos usuários para que sigam as práticas recomendadas.
O AWS Landing Zone ajuda a economizar seu tempo e também a automatizar as configurações de um ambiente. Todo o processo é feito para que a execução de trabalho seja feita de forma segura e totalmente escalável. A Landing Zone implementa uma linha de segurança inicial nas contas e recursos principais da mesma, oferecendo suporte para diferentes contas, um gerenciamento maior das identidades, acessos, maior segurança de dados, a criação de logs e todo o design da rede de trabalho.
AWS Landing Zone e implementações
Esta solução da AWS é responsável por implantar uma vertente chamada AWS Account Vending Machine (AVM), que configura automaticamente as novas contas dos usuários. O AVM funciona aproveitando o Single Sing On, o logon principal, gerenciando o acesso à conte de usuário.
Todo o ambiente desta solução é personalizável e permite que os clientes possam implementar as suas próprias linhas de base através de um pipeline de configuração e atualização da Landing Zone.
A última versão do AWS Landing Zone foi lançado no mês de janeiro de 2019, chegando a versão 2.0.
AWS Security baseline
O AWS Landing Zone conta com uma security baseline, ou seja uma base de segurança inicial, que é usada como um ponto de partida para a implementação de uma conta personalizada em sua organização.
Por padrão esta base de segurança conta com as seguintes configurações:
- AWS CloudTrail;
- AWS Config;
- AWS Config Rules;
- AWS Identity and Access Management;
- Cross-Account Access;
- Amazon Virtual Private Cloud (VPC);
- AWS Landing Zone Notifications;
- Amazon GuardDuty.
AWS CloudTrail
Uma trilha é criada em cada conta e configurada para enviar logs para um bucket gerenciado centralmente do Amazon Simple Storage Service (Amazon S3). O processo é voltado também para as contas do AWS CloudWatch Logs com uma política de retenção de grupos de log de 14 dias.
AWS Config
No Landing Zone o AWS Config é ativado e os arquivos de log de configuração da conta são armazenados em uma área do Amazon S3 gerenciado centralmente na conta do log de arquivos.
AWS Config Rules – Regras de configuração da AWS
O AWS Config é habilitado para monitorar a criptografia de armazenamento (Amazon Elastic Block Store, Amazon S3 e Amazon Relational Database Service), através de senha IAM (AWS Identity and Access Management), e uma autenticação múltipla na conta raiz (MFA), tudo é feito através de uma leitura e gravação pública do Amazon S3 de acordo com regras do grupo de segurança, informando quando as mesmas possam estar inseguras.
Gerenciamento de identidade e acesso da AWS
O AWS Identity and Access Management é usado para configurar uma senha com base na política do IAM.
Cross-Account Access – Acesso entre contas
É possível através do Landing Zone ter acesso entre contas. Esta opção serve para configurar o acesso administrativo de segurança de auditoria e emergência a partir de uma conta de segurança.
Amazon Virtual Private Cloud (VPC)
A Nuvem virtual privada da Amazon (VPC) é uma solução presente no Landing Zone, onde tem a função de configurar a rede inicial de uma conta, excluindo o padrão de todas as regiões, implementando uma rede conforme a solicitação do AVM. Ela aplica também o emparelhamento da rede com o VPC quando possível.
AWS Langing Zone Notifications
Sempre que ocorre um evento em sua conta como um novo login, falhas no console, falhas de autenticação de API em uma conta e outros que podem ser configurados pelo usuário, um alarme é enviado para a conta principal, que pode ser configurado para exibição no mobile, inclusive.
Amazon GuardDuty
Outra vertente da solução Landing Zone AWS e que faz parte da base de segurança é o Amazon GuardDuty. Ele vem configurado para exibir e gerenciar descobertas suspeitas na conta de cada membro existente em uma conta principal.
Esta é uma pequena introdução a esta solução do AWS Cloud, para conferir mais, acesse:
Cloud Computing é na Encript Curitiba
Quer migrar a sua empresa para o cloud mas está com dificuldades? Conheça a Encript! Contamos com a melhor assistência em cloud para empresas de Curitiba e Região Metropolitana.
Entre em contato através do telefone:
- (41) 99630-4873
Ou através de nosso email:
- contato@encript.com.br
