NUAGE

Fechar
  • Home
  • A Nuage
    A NUAGE
    • Sobre
    • Carreiras
    • Parceiros
  • Serviços
    MSP
    CLOUD
    • Cloud Ready
    • Support
    PROFESSIONAL SERVICES
    • Outsourcing
    • Serviços
    SMB
    EDUCATION
    DEVOPS
    • Support
    • DevSecOps Ready
    • NextDeploy
    SECURITY
    • Security Ready
    • Pentest
    APPLICATION
    • Smart Modernization
    • Product Ready
    • Support
    DADOS
    • Data Ready
    • Support
    • Design Pattern Service Pack
    • Analytics (Descriptive And Predictive)
    • Data Foundation And Management
    • Data Driven

    MSP

    CLOUD

    • Cloud Ready
    • Support

    PROFESSIONAL SERVICES

    • Outsourcing
    • Serviços

    DEVOPS

    • Support
    • DevSecOps Ready
    • NextDeploy

    SECURITY

    • Security Ready
    • Pentest

    APPLICATION

    • Smart Modernization
    • Product Ready
    • Support

    DADOS

    • Data Ready
    • Support
    • Design Pattern Service Pack
    • Analytics (Descriptive And Predictive)
    • Data Foundation And Management
    • Data Driven
  • ONNuage
  • Blog
  • Cases de Sucesso
  • Contato
  • Home
  • A Nuage
    A NUAGE
    • Sobre
    • Carreiras
    • Parceiros
  • Serviços
    MSP
    CLOUD
    • Cloud Ready
    • Support
    PROFESSIONAL SERVICES
    • Outsourcing
    • Serviços
    SMB
    EDUCATION
    DEVOPS
    • Support
    • DevSecOps Ready
    • NextDeploy
    SECURITY
    • Security Ready
    • Pentest
    APPLICATION
    • Smart Modernization
    • Product Ready
    • Support
    DADOS
    • Data Ready
    • Support
    • Design Pattern Service Pack
    • Analytics (Descriptive And Predictive)
    • Data Foundation And Management
    • Data Driven

    MSP

    CLOUD

    • Cloud Ready
    • Support

    PROFESSIONAL SERVICES

    • Outsourcing
    • Serviços

    DEVOPS

    • Support
    • DevSecOps Ready
    • NextDeploy

    SECURITY

    • Security Ready
    • Pentest

    APPLICATION

    • Smart Modernization
    • Product Ready
    • Support

    DADOS

    • Data Ready
    • Support
    • Design Pattern Service Pack
    • Analytics (Descriptive And Predictive)
    • Data Foundation And Management
    • Data Driven
  • ONNuage
  • Blog
  • Cases de Sucesso
  • Contato
Fechar
Fechar
  • Home
  • A Nuage
    A NUAGE
    • Sobre
    • Carreiras
    • Parceiros
  • Serviços
    MSP
    CLOUD
    • Cloud Ready
    • Support
    PROFESSIONAL SERVICES
    • Outsourcing
    • Serviços
    SMB
    EDUCATION
    DEVOPS
    • Support
    • DevSecOps Ready
    • NextDeploy
    SECURITY
    • Security Ready
    • Pentest
    APPLICATION
    • Smart Modernization
    • Product Ready
    • Support
    DADOS
    • Data Ready
    • Support
    • Design Pattern Service Pack
    • Analytics (Descriptive And Predictive)
    • Data Foundation And Management
    • Data Driven

    MSP

    CLOUD

    • Cloud Ready
    • Support

    PROFESSIONAL SERVICES

    • Outsourcing
    • Serviços

    DEVOPS

    • Support
    • DevSecOps Ready
    • NextDeploy

    SECURITY

    • Security Ready
    • Pentest

    APPLICATION

    • Smart Modernization
    • Product Ready
    • Support

    DADOS

    • Data Ready
    • Support
    • Design Pattern Service Pack
    • Analytics (Descriptive And Predictive)
    • Data Foundation And Management
    • Data Driven
  • ONNuage
  • Blog
  • Cases de Sucesso
  • Contato

Como a NuageIT ajudou a Mackenzie a transformar seus ambientes, trazendo mais segurança para seus serviços educacionais.

Sobre a Mackenzie

A Universidade Presbiteriana Mackenzie é uma renomada instituição de ensino superior privada e confessional no Brasil, mantida pelo Instituto Presbiteriano Mackenzie, uma associação civil de direito privado sem fins lucrativos, com foco na educação. A universidade possui uma forte ligação com a Igreja Presbiteriana do Brasil, que atua como seu associado vitalício.

A Mackenzie fortaleceu a segurança na AWS, com a centralização de autenticação, controles de acesso avançados e monitoramento aprimorado, além de implementação de SSO, acesso JIT, segmentação de rede/contas e IaC. Onde foi possível obter resultados como postura de segurança robusta, eficiência operacional e otimização de custos, preparando para crescimento futuro.

Desafios e Solução

Mackenzie enfrenta desafios críticos de segurança em sua infraestrutura AWS, buscando soluções para fortalecer sua postura de segurança. Os principais objetivos incluem centralizar autenticação e eventos de segurança em um painel central, implementar controles de acesso avançados e melhorar o monitoramento.

A organização visa estabelecer uma base sólida para proteger ativos, garantir conformidade e suportar o crescimento futuro, abordando vulnerabilidades e ineficiências operacionais.

Essa abordagem integrada permitirá uma visão unificada e ações rápidas em resposta a ameaças de segurança. A organização visa estabelecer uma base sólida para proteger ativos, garantir conformidade e suportar o crescimento futuro, abordando vulnerabilidades e ineficiências operacionais.

  • Centralizar o processo de autenticação e autorização.
  • Construir uma base sólida no design de segurança, com foco em: rede, desenvolvimento de aplicações, gestão de acessos e segmentação de contas.
  • Implementar um mecanismo de acesso Just-In-Time (JIT), utilizando chaves e tokens de curta duração.
  • Estabelecer um mecanismo eficiente de rastreamento de acessos aos serviços AWS.
  • Implementar um sistema de alertas para notificar sobre mudanças críticas na infraestrutura.
  • Definir uma estratégia robusta de segmentação de rede para aumentar o nível de segurança nesta camada.
  • Implementação de segmentação de contas por tipo de serviço e responsabilidades.

Conheça as etapas

Como a solução foi implantada para atender ao desafio

  • Gestão de Acesso e Organização: O gerenciamento de acesso ao console AWS é realizado através do serviço SSO integrado ao Azure AD, proporcionando autenticação segura e facilitando o acesso dos usuários por meio de tokens de curta duração. As contas são criadas e gerenciadas dentro do serviço AWS Organizations, com OU definidas para cada time de necessidade, como Security, DevOps, Infraestrutura. A infraestrutura é implantada usando Infraestrutura como Código (IaC) com Terraform, garantindo consistência e reprodutibilidade.
  • Just-In-Time: Com a utilização do portal de SSO da AWS, conseguimos criar chaves de acesso self-service de curto prazo, simplificando o processo de acesso e garantindo a segurança do ambiente.
  • Rede e Conectividade: A conta “network-services” é responsável pela conectividade entre VPCs, Direct Connect e VPN. Todas as VPCs têm pelo menos duas ou três Zonas de Disponibilidade (AZs) e três tipos de sub-redes, proporcionando alta disponibilidade e resiliência. A saída para a internet é realizada através da conta “network-services”, centralizando o controle e a segurança.
  • Segurança e Monitoramento: A segurança é uma prioridade absoluta. Uma conta dedicada, chamada “security-services”, é responsável pelos processos de segurança. Serviços como GuardDuty, Inspector e Security Hub são utilizados para monitoramento e detecção de ameaças. No caso desse cliente, o WAF utilizado para realizar a segurança de borda é o Cloudflare.
  • Controle de Custos: Para otimizar os custos, são adotadas estratégias como o uso de instâncias spot para o serviço EC2, a compra de Savings Plans para EC2 e a reserva de instâncias para o Amazon RDS. Essas medidas permitem uma utilização eficiente dos recursos e uma redução significativa nos custos operacionais.

A solução

Resultados do Projeto:

  • Implementação bem-sucedida de um sistema centralizado de autenticação e autorização, melhorando significativamente o controle de acesso e a segurança geral.
  • Estabelecimento de uma arquitetura de segurança robusta, abrangendo rede, desenvolvimento de aplicações e gestão de acessos, resultando em uma postura de segurança mais forte e resiliente.
  • Adoção de um mecanismo de acesso Just-In-Time (JIT), reduzindo drasticamente os riscos associados a credenciais de longa duração.
  • Implementação de acesso seguro aos serviços EC2 sem exposição de portas para a internet, eliminando a necessidade de bastions e melhorando a segurança da infraestrutura.
  • Criação de um sistema eficiente de rastreamento e alerta para acessos e mudanças críticas na infraestrutura AWS, aumentando a visibilidade e a capacidade de resposta a incidentes.
  • Desenvolvimento e implementação de uma estratégia de segmentação de rede e contas, resultando em um ambiente mais seguro e bem organizado.

Métricas de Sucesso:

  • Eliminação completa (100%) de bastions e portas expostas diretamente à internet para acesso a serviços EC2.
  • Aumento de 100% na cobertura de monitoramento de segurança em toda a infraestrutura AWS.
  • Aumento de 90% na conformidade com políticas de segurança e regulamentações do setor.

 

A adoção de recursos gerenciados pela AWS proporciona benefícios significativos ao processo, permitindo que a equipe se concentre na evolução da arquitetura para alcançar a maior resiliência possível.

A camada de rede, gerenciada através de uma conta de rede dedicada e o uso do Transit Gateway, simplifica consideravelmente o processo de conectividade entre VPCs, VPNs e Direct Connect. Na camada de autenticação e autorização, a integração do SSO com o Azure AD simplifica o processo, centralizando toda a autenticação em um único ponto, e o AWS IAM Identity Center, aplicando as permissões por grupos, garante que cada usuário tenha a permissão que deveria ter.

A integração do Security Hub com os serviços nativos da AWS traz uma visão centralizada de conformidade e eventos de segurança de forma rápida e efetiva, garantindo assim que o time de operação gaste tempo remediando ou automatizando os processos de remediação.

Arquitetura

Conte com a Nuage para resolver os desafios do seu negócio!

Vamos marcar uma conversa? Entre em contato e deixe nossos especialistas encontrarem as melhores soluções para sua empresa!

  • +55 (11) 92000-1100
  • comercial@nuageit.com.br

Cadastre-se em nossa Newsletter! 

A NUAGE

  • Sobre
  • Carreiras
  • Parceiros

CLOUD

  • Cloud Ready
  • Support

PROFESSIONAL SERVICES

  • Outsourcing
  • Serviços

DEVOPS

  • Support
  • DevSecOps Ready
  • Next Deploy

MSP

SECURITY

  • Security Ready
  • Pentest

APPLICATION

  • Smart Modernization
  • Product Ready
  • Support

DADOS

  • Data Ready
  • Support
  • Design Pattern Service Pack
  • Analytics (Descriptive and Predictive)
  • Data Foundation and Management
  • Data Driven
Whatsapp
×