Dentro da AWS, assim como nas outras empresas que atuam com a oferta de computação em nuvem, existe a necessidade de se estabelecer as responsabilidades a quem são endereçadas. Para a AWS, este processo recebe o nome de Modelo de Responsabilidade Compartilhada.O modelo é dividido em duas partes: a primeira descreve quais são as responsabilidades da nuvem e, portanto, são relativas a deveres e responsabilidades da própria AWS como provedor de computação em nuvem. O consumidor, ou seja, o cliente AWS tem suas responsabilidades descritas na segunda porção, representada pelos quadros de cor laranja e relacionados como sendo responsabilidades na nuvem.
Figura 1: Modelo de Responsabilidade Compartilhada AWS
Fonte: https://aws.amazon.com/pt/compliance/shared-responsibility-model/ (Acesso em 04/08/2022)
O estabelecimento das responsabilidades é algo inerente à computação em nuvem e tem por objetivo tornar a plataforma mais segura para provedor e cliente, além de salvaguardar ambos os lados. No que diz respeito ao provedor, existem detalhes do uso do serviço que devem ser observados pelo cliente e que, quando negligenciados, tornam seu próprio ambiente vulnerável.
Situações como compartilhamento de senhas indiscriminado ou até mesmo quando existe a hospedagem de conteúdo protegido sob direitos autorais enaltecem a importância deste modelo e fazem com que tanto o provedor quanto a empresa devam construir uma relação de apreciação, de tal forma que o modelo passe a ser a operação padrão em ambos os lados. Assim, o Modelo de Responsabilidade Compartilhada auxilia a reduzir problemas e encargos operacionais.
Vale ressaltar que as responsabilidades elencadas pelo modelo não dizem respeito apenas ao seu uso dentro do que se tem como legal, legítimo e envolve também quais processos estão nas competências do usuário e da AWS. Desta forma, o usuário dos serviços em nuvem da AWS deve compreender que cada sistema utilizado poderá apresentar especificidades em relação às suas responsabilidades. Podemos compreender melhor a divisão de responsabilidades a seguir:
A segurança online é um tema que vem preocupando muitas empresas e movimentando o setor de desenvolvimento de sistemas. Além disso, existe um fator, dentro deste tema, que ainda é extremamente difícil de se contornar: o fator humano e seu impacto na segurança. O comportamento humano tende a oferecer casos e situações de falha de segurança em sistemas na nuvem e é por este motivo que o modelo de responsabilidade compartilhada vem a ser tão importante.
Sendo o modelo de responsabilidade compartilhada uma espécie de contrato onde cliente e provedor estabelecem suas competências na busca por um ambiente virtual seguro, podemos dizer que é apenas um dos diversos sistemas de segurança. Complementando este modelo temos o IAM, o Gerenciador de Identidade e Acesso que, dentre outras funcionalidades, oferece o recurso da Autenticação Multifator (MFA).
Dentro do IAM é possível habilitar o recurso para qualquer usuário, inclusive o usuário raiz. Com isso, temos a criação de uma autenticação específica, o que aumenta a segurança de toda a conta. A Autenticação Multifator apresenta como componentes os dispositivos MFA virtuais, as chaves de segurança U2F, o hardware MFA e o MFA baseado em mensagem de texto SMS.
Dispositivos de MFA Virtuais são aplicativos que simulam dispositivos físicos. Em seu funcionamento, o dispositivo emite um código numérico de 6 dígitos criado por um algoritmo. Para o acesso com este recurso ao gerenciador AWS, o usuário usa seu código validado por seu dispositivo em uma página da web. Os códigos MFA são atribuídos a apenas um único usuário cada.
Sobre as chaves de segurança U2F, temos um dispositivo, que deve ser conectado a uma porta USB e que usa um padrão FIXO de código aberto. O login é feito com o uso da chave de segurança U2F fisicamente conectada. A autenticação multifator pode ser realizada com o uso de hardware específico. Quando inserido o hardware multifator é gerado um código numérico com 6 dígitos que deve ser digitado pelo usuário no campo de autenticação de sua página de login. Em um processo de login multifator, um usuário não pode usar o código de 6 dígitos do dispositivo de outro usuário, pois os dispositivos são atribuídos de forma exclusiva ao usuário AWS.
Em conjunto com o modelo de responsabilidade compartilhada, a AWS oferece um sistema de controle de acesso e identidade de alta disponibilidade denominado IAM (Identity and Access Management). Com este sistema o usuário raiz pode criar outros usuários e lhes conceder acesso a todos os serviços AWS ou apenas a serviços específicos.
Dentro da gestão de identidades, o IAM oferece ao gestor da conta raiz a possibilidade de criar diferentes níveis de acesso a determinado sistema, por exemplo, uma identidade pode ser criada para dar acesso somente a leitura a instâncias do EC2, enquanto outra identidade pode oferecer a possibilidade de alterar dados e informações de um bucket do S3 sem permitir que tal bucket seja excluído.
Até mesmo para um serviço de segurança existem melhores práticas de segurança oferecidas pela AWS e que, no caso do IAM, uma das principais é relativa aos cuidados com o usuário raiz. Nesta orientação de segurança, a AWS recomenda que o usuário raiz seja utilizado o mínimo possível. Contas de usuário administrativas podem ser criadas, mas para o uso diário é recomendado que sejam criados usuários com somente os sistemas e atribuições que serão utilizados. O quadro a seguir sintetiza alguns dos recursos do IAM: