AWS re:Inforce 2023

A GFT esteve no evento AWS re:Inforce 2023, onde todos compartilharam a visão da direção que a segurança está tomando na Amazon Web Services (AWS).

Já no Keynote de abertura, tivemos grandes novidades. Iniciando com o CJ Moses (CISO na AWS), reforçando que segurança é a maior prioridade.

Para demonstrar segurança em todas as esferas e em diferentes etapas da jornada, diversos anúncios, soluções e temas foram abordados. Destacamos os pontuados abaixo:

• AppSec Review Process, citado no keynote, e depois tivemos uma ótima palestra aprofundando o tema “Empower innovation and agility with security in DevOps” da Maria Ane Dias e do Vinicius Golin, demonstrando segurança no pipeline e na arquitetura de referência de implantação. Você pode assistir no link: AWS re:Inforce 2023 – Empower innovation and agility with security in DevOps (APS401)              

• Infraestrutura global e ataques mitigados:
  

• AWS Security Lake: Para centralizar eventos de segurança, simplificando integrações e acelerando as investigações de segurança.
• Generative AI e Amazon Bedrock. Inclusive o Vinicius Caridá, Ph.D. vai abordar o tema no próximo meetup do User Group SP, se inscrevam no link: 92 AWS UG SO.

• Amazon CodeWhisperer
• Anunciado Amazon CodeGuru Security: Static application security testing (SAST), que usa Machine Learning para ajudar a identificar vulnerabilidades de código e fornecer orientação para usar como parte da correção.

Observação: este serviço está atualmente em pré-visualização

• Anunciado Findings Groups for Amazon Detective: O Amazon Detective expandiu os grupos de descoberta para incluir a acessibilidade de rede do Amazon Inspector e as descobertas de vulnerabilidade de software junto com as descobertas do Amazon GuardDuty. 
• Ainda no keynote, Becky Weiss aprofundou no modelo de responsabilidade compartilhada, falando especificamente do lado do cliente. Abordando pontos de zero trust e mostrando números gigantes, como por exemplo o de 1 bilhão de chamadas por segundo que a AWS recebe no IAM.

Também trouxe muitos anúncios:

• Amazon Verified Access

• Anunciou o AWS Verified Permissions: Este serviço fornece gerenciamento de permissões escalonáveis e autorização refinadas para aplicações. Com isso, os desenvolvedores podem criar aplicativos mais seguros com mais rapidez terceirizando a autorização e centralizando o gerenciamento de políticas. Ele também permite que as equipes de segurança e auditoria analisem e auditem melhor quem tem acesso ao que dentro dos aplicativos.

Simplify how you manage authorization in your applications with amazon verified permissions now generally available

• Anúncio do Amazon EC2 Instance Connect Endpoint: Permite conectar-se a uma instância via SSH ou RDP sem exigir que a instância tenha um endereço IPv4 público.
• Anúncio do Amazon Inspector Code Scan for Lambda: Verifica o código em uma função Lambda em busca de vulnerabilidades de segurança, como vazamentos de dados, criptografia fraca ou falta de criptografia com base nas melhores práticas de segurança da AWS.
• Anúncio do Amazon Inspector SBOM Export: Oferece a capacidade de exportar uma lista de materiais de software (SBOMs) consolidada para todos os recursos monitorados do Amazon Inspector em toda a organização.
• AWS Management Console Private Access
• Além do case de segurança da Delta, apresentado pela Debbie Wheeler.
• Destacamos a matéria do Marcello Zillo Neto falando um pouco mais: CJ Moses: Cibersegurança é mais sobre pessoas do que tecnologia. 

Assista aqui o keynote completo. 

• Ainda falando de temas em alta, o Russell Lewis (Financial Services Compliance Specialist) e Samara Moore (Senior Manager, Security Assurance) explicaram como a AWS pode ajudar a navegar pelas mudanças no cenário regulatório global. Mostrando como a AWS está evoluindo à medida que os regulamentos mudam e ajudando os clientes a atender a esses requisitos.
• Vale destacar também a palestra do Kurt Kufeld (VP, AWS Platform) e Jesse Dougherty (VP, AWS Network Edge Services) “Obtendo segurança de ponta a ponta na AWS”, explicando como as organizações podem implementar cada etapa de sua postura de segurança, desde a identificação de riscos até a correção de problemas.
• Amazon Payment Cryptography: Este serviço simplifica as operações de criptografia em aplicativos de pagamento hospedados na nuvem. Com o AWS Payment Cryptography, as empresas podem eliminar a dependência de módulos de segurança de hardware de pagamento dedicados e reduzir sua carga operacional, ao mesmo tempo em que atendem aos padrões de conformidade.
• Também tivemos temas de diversidade. Como na sessão “Empowering entry-level talent to drive cloud modernization”, mostrando desafios de capacitação na jornada de adoção de nuvem, e como programas de educação da AWS e treinamento podem ajudar.

No mais, diversas palestras foram apresentadas falando de zero trust e zero-day, mitigação efetiva de ataques e ransomware, resposta a incidentes, melhores práticas, criação e gerenciamento de contas, autenticação e autorização, data & analytics, IA, ferramentas que podem te apoiar no dia a dia, entre outros assuntos. E você pode assistir todas as sessões do re:Inforce no canal AWS Events.

A AWS e a GFT continuam liderando o caminho da inovação, fornecendo soluções poderosas que garantem a segurança e a eficiência dos clientes, há sempre o entusiasmo em continuar ajudando os clientes a atingir suas metas, e claro, continuar desenvolvendo as habilidades de segurança na nuvem, lembrando sempre que: Security is “Job Zero”.