Como a NuageIT ajudou a Mackenzie a transformar seus ambientes, trazendo mais segurança para seus serviços educacionais.

Sobre a Mackenzie

A Universidade Presbiteriana Mackenzie é uma renomada instituição de ensino superior privada e confessional no Brasil, mantida pelo Instituto Presbiteriano Mackenzie, uma associação civil de direito privado sem fins lucrativos, com foco na educação. A universidade possui uma forte ligação com a Igreja Presbiteriana do Brasil, que atua como seu associado vitalício.

A Mackenzie fortaleceu a segurança na AWS, com a centralização de autenticação, controles de acesso avançados e monitoramento aprimorado, além de implementação de SSO, acesso JIT, segmentação de rede/contas e IaC. Onde foi possível obter resultados como postura de segurança robusta, eficiência operacional e otimização de custos, preparando para crescimento futuro.

Desafios e Solução

Mackenzie enfrenta desafios críticos de segurança em sua infraestrutura AWS, buscando soluções para fortalecer sua postura de segurança. Os principais objetivos incluem centralizar autenticação e eventos de segurança em um painel central, implementar controles de acesso avançados e melhorar o monitoramento.

A organização visa estabelecer uma base sólida para proteger ativos, garantir conformidade e suportar o crescimento futuro, abordando vulnerabilidades e ineficiências operacionais.

Essa abordagem integrada permitirá uma visão unificada e ações rápidas em resposta a ameaças de segurança. A organização visa estabelecer uma base sólida para proteger ativos, garantir conformidade e suportar o crescimento futuro, abordando vulnerabilidades e ineficiências operacionais.

Centralizar o processo de autenticação e autorização.
Construir uma base sólida no design de segurança, com foco em: rede, desenvolvimento de aplicações, gestão de acessos e segmentação de contas.
Implementar um mecanismo de acesso Just-In-Time (JIT), utilizando chaves e tokens de curta duração.
Estabelecer um mecanismo eficiente de rastreamento de acessos aos serviços AWS.
Implementar um sistema de alertas para notificar sobre mudanças críticas na infraestrutura.
Definir uma estratégia robusta de segmentação de rede para aumentar o nível de segurança nesta camada.
Implementação de segmentação de contas por tipo de serviço e responsabilidades.

Conheça as etapas

Como a solução foi implantada para atender ao desafio

Gestão de Acesso e Organização: O gerenciamento de acesso ao console AWS é realizado através do serviço SSO integrado ao Azure AD, proporcionando autenticação segura e facilitando o acesso dos usuários por meio de tokens de curta duração. As contas são criadas e gerenciadas dentro do serviço AWS Organizations, com OU definidas para cada time de necessidade, como Security, DevOps, Infraestrutura. A infraestrutura é implantada usando Infraestrutura como Código (IaC) com Terraform, garantindo consistência e reprodutibilidade.
Just-In-Time: Com a utilização do portal de SSO da AWS, conseguimos criar chaves de acesso self-service de curto prazo, simplificando o processo de acesso e garantindo a segurança do ambiente.
Rede e Conectividade: A conta “network-services” é responsável pela conectividade entre VPCs, Direct Connect e VPN. Todas as VPCs têm pelo menos duas ou três Zonas de Disponibilidade (AZs) e três tipos de sub-redes, proporcionando alta disponibilidade e resiliência. A saída para a internet é realizada através da conta “network-services”, centralizando o controle e a segurança.
Segurança e Monitoramento: A segurança é uma prioridade absoluta. Uma conta dedicada, chamada “security-services”, é responsável pelos processos de segurança. Serviços como GuardDuty, Inspector e Security Hub são utilizados para monitoramento e detecção de ameaças. No caso desse cliente, o WAF utilizado para realizar a segurança de borda é o Cloudflare.
Controle de Custos: Para otimizar os custos, são adotadas estratégias como o uso de instâncias spot para o serviço EC2, a compra de Savings Plans para EC2 e a reserva de instâncias para o Amazon RDS. Essas medidas permitem uma utilização eficiente dos recursos e uma redução significativa nos custos operacionais.

A solução

Resultados do Projeto:

Implementação bem-sucedida de um sistema centralizado de autenticação e autorização, melhorando significativamente o controle de acesso e a segurança geral.
Estabelecimento de uma arquitetura de segurança robusta, abrangendo rede, desenvolvimento de aplicações e gestão de acessos, resultando em uma postura de segurança mais forte e resiliente.
Adoção de um mecanismo de acesso Just-In-Time (JIT), reduzindo drasticamente os riscos associados a credenciais de longa duração.
Implementação de acesso seguro aos serviços EC2 sem exposição de portas para a internet, eliminando a necessidade de bastions e melhorando a segurança da infraestrutura.
Criação de um sistema eficiente de rastreamento e alerta para acessos e mudanças críticas na infraestrutura AWS, aumentando a visibilidade e a capacidade de resposta a incidentes.
Desenvolvimento e implementação de uma estratégia de segmentação de rede e contas, resultando em um ambiente mais seguro e bem organizado.

Métricas de Sucesso:

Eliminação completa (100%) de bastions e portas expostas diretamente à internet para acesso a serviços EC2.
Aumento de 100% na cobertura de monitoramento de segurança em toda a infraestrutura AWS.
Aumento de 90% na conformidade com políticas de segurança e regulamentações do setor.

A adoção de recursos gerenciados pela AWS proporciona benefícios significativos ao processo, permitindo que a equipe se concentre na evolução da arquitetura para alcançar a maior resiliência possível.

A camada de rede, gerenciada através de uma conta de rede dedicada e o uso do Transit Gateway, simplifica consideravelmente o processo de conectividade entre VPCs, VPNs e Direct Connect. Na camada de autenticação e autorização, a integração do SSO com o Azure AD simplifica o processo, centralizando toda a autenticação em um único ponto, e o AWS IAM Identity Center, aplicando as permissões por grupos, garante que cada usuário tenha a permissão que deveria ter.

A integração do Security Hub com os serviços nativos da AWS traz uma visão centralizada de conformidade e eventos de segurança de forma rápida e efetiva, garantindo assim que o time de operação gaste tempo remediando ou automatizando os processos de remediação.

Arquitetura

Conte com a Nuage para resolver os desafios do seu negócio!

Vamos marcar uma conversa? Entre em contato e deixe nossos especialistas encontrarem as melhores soluções para sua empresa!