The document discusses best practices for security in cloud adoption and the AWS Well-Architected Framework. It covers defining a security strategy as part of cloud adoption, delivering a security program, operating robust security, controlling identity and access, enabling traceability, protecting the network layer, applying security across layers, and automating security checks and management. Specific AWS services referenced include AWS Organizations, IAM, GuardDuty, VPC, WAF, Config, and automation tools.
Se você não tem um check list de controle de segurança, escolha algum, como por exemplo o ISO ou o NIST, ou Central for Internet Security, Security Controls…
Pensando em metodologia ágil, temos sprints semanais…
IAM: não esquecer de falar Federação
Infra: WAF, SG, Route Tables, ACLs,
Data protection: Encryption in transit and at rest
Response plans e procedures: alarmes, monitoramento, notificações
Monitoramento de credenciais -> veja se estão usando
Se você está usando roles, você já está usando credenciais temporárias via STS (security token service)
GuardDuty: free-tier; VPC Flow logs, DNS logs, Cloud Trail logs
Cloudwatch logs and alerts
SIEM: Security Information and Event Management
Marketplace
Inspector
OWASP (open source): Open Web Application Security Project