Com a solução de desenvolvimento nativo para a nuvem, alinhada a uma estratégia de segurança, a NuageIT ajudou a ClearTech a transformar o mercado brasileiro de telecomunicações.

Sobre a ClearTech

A Cleartech é uma integradora de sistemas brasileira especializada em soluções para telecomunicações, sediada em São Paulo. A empresa oferece design de redes, otimização de data centers, gerenciamento de redes, segurança e serviços profissionais para operadoras de telefonia fixa e móvel, provedores de internet e empresas de TV a cabo em todo o Brasil.

Foi executado o projeto para fortalecer a sua segurança na AWS, trazendo centralização de autenticação, controles de acesso avançados e monitoramento aprimorado, além de implementação de SSO, acesso JIT, segmentação de rede/contas e IaC. Onde foi possível alcançarmos resultados como postura de segurança robusta, eficiência operacional e otimização de custos, preparando para crescimento futuro.

Desafios e Solução

A Cleartech enfrentava desafios críticos de segurança em sua infraestrutura AWS, buscando soluções para fortalecer sua postura de segurança. Os principais objetivos incluem centralizar autenticação e eventos de segurança em um painel central, implementar controles de acesso avançados e melhorar o monitoramento. A organização visa estabelecer uma base sólida para proteger ativos, garantir conformidade e suportar o crescimento futuro, abordando vulnerabilidades e ineficiências operacionais. Essa abordagem integrada permitirá uma visão unificada e ações rápidas em resposta a ameaças de segurança

A organização visa estabelecer uma base sólida para proteger ativos, garantir conformidade e suportar o crescimento futuro, abordando vulnerabilidades e ineficiências operacionais.

Centralizar o processo de autenticação e autorização.
Construir uma base sólida no design de segurança, com foco em: rede, desenvolvimento de aplicações, gestão de acessos e segmentação de contas.
Implementar um mecanismo de acesso Just-In-Time (JIT), utilizando chaves e tokens de curta duração.
Disponibilizar acesso aos serviços EC2 sem a necessidade de bastions e sem exposição de portas para a internet.
Estabelecer um mecanismo eficiente de rastreamento de acessos aos serviços AWS.
Implementar um sistema de alertas para notificar sobre mudanças críticas na infraestrutura.
Definir uma estratégia robusta de segmentação de rede para aumentar o nível de segurança nesta camada.
Implementação de segmentação de contas por tipo de serviço e responsabilidades.

Conheça as etapas

Como a solução foi implantada para atender ao desafio:

Gestão de Acesso e Organização: O gerenciamento de acesso ao console AWS é realizado através do serviço SSO integrado ao Azure AD, proporcionando autenticação segura e facilitando o acesso dos usuários por meio de tokens de curta duração. As contas são criadas e gerenciadas dentro do serviço AWS Organizations, com uma conta dedicada para o processo DevOps, chamada “devops-services”. A infraestrutura é implantada usando Infraestrutura como Código (IaC) com Terraform, garantindo consistência e reprodutibilidade.
Just-In-Time: Com a utilização do portal de SSO da AWS, conseguimos criar chaves de acesso self-service de curto prazo, simplificando o processo de acesso e garantindo a segurança do ambiente.
Rede e Conectividade: A conta “network-services” é responsável pela conectividade entre VPCs e Direct Connect, com todo o tráfego passando por um firewall de rede para garantir a segurança. Todas as VPCs têm pelo menos três Zonas de Disponibilidade (AZs) e quatro tipos de sub-redes, proporcionando alta disponibilidade e resiliência. A saída para a internet é realizada através da conta “network-services”, centralizando o controle e a segurança.
Segurança e Monitoramento: A segurança é uma prioridade absoluta. Uma conta dedicada, chamada “security-services”, é responsável pelos processos de segurança. Serviços como GuardDuty, Inspector e Security Hub são utilizados para monitoramento e detecção de ameaças. O AWS WAF é empregado para controlar a entrega de requisições HTTPS, adicionando uma camada extra de proteção.
Controle de Custos: Para otimizar os custos, são adotadas estratégias como o uso de instâncias spot para o serviço EC2, a compra de Savings Plans para EC2 e a reserva de instâncias para o Amazon RDS. Essas medidas permitem uma utilização eficiente dos recursos e uma redução significativa nos custos operacionais.

A solução

A adoção de recursos gerenciados pela AWS proporciona benefícios significativos ao processo, permitindo que a equipe se concentre na evolução da arquitetura para alcançar a maior resiliência possível.

A camada de rede, gerenciada através de uma conta de rede dedicada e o uso do Transit Gateway, simplifica consideravelmente o processo de conectividade entre VPCs, VPNs e Direct Connect.

Na camada de autenticação e autorização, a integração do SSO com o Azure AD simplifica o processo, centralizando toda a autenticação em um único ponto, e o AWS IAM Identity Center, aplicando as permissões por grupos, garante que cada usuário tenha a permissão que deveria ter.

A integração do Security Hub com os serviços nativos da AWS traz uma visão centralizada de conformidade e eventos de segurança de forma rápida e efetiva, garantindo assim que o time de operação gaste tempo remediando ou automatizando os processos de remediação.

Arquitetura

Conte com a Nuage para resolver os desafios do seu negócio!

Vamos marcar uma conversa? Entre em contato e deixe nossos especialistas encontrarem as melhores soluções para sua empresa!

Fale com a Nuage