Características do AWS Secrets Manager e AWS Systems Manager Parameter Store

 

 

 

Gerenciar a segurança de seus aplicativos é parte integrante de qualquer organização, especialmente para infraestruturas implantadas na nuvem. Um aspecto da segurança do aplicativo é como os parâmetros, como variáveis ​​de ambiente, senhas de banco de dados, chaves de API, chaves de produto, etc., são armazenados e recuperados. Como prática recomendada, as informações secretas não devem ser armazenadas em texto simples e nem incorporadas ao seu código-fonte. Também é recomendável configurar um sistema automatizado para alternar senhas ou chaves regularmente (o que é fácil de esquecer quando você gerencia chaves manualmente).

Gerenciar e proteger esses tipos de dados pode ser problemático, por isso a Amazon fornece os serviços AWS Systems Manager Parameter Store e AWS Secrets Manager para essa finalidade. Parameter Store e Secrets Manager são dois serviços distintos, mas oferecem funcionalidades semelhantes que permitem gerenciar e proteger centralmente suas informações secretas. 

 

 

AWS Secrets Manager

 

O AWS Secrets Manager permite alternar, gerenciar e recuperar credenciais de banco de dados, chaves de API e outros segredos durante todo o ciclo de vida. Também torna muito fácil seguir as práticas recomendadas de segurança, como criptografar segredos e alterná-los regularmente.

Se você for um administrador de segurança responsável por armazenar e gerenciar segredos e garantir que sua organização siga os requisitos regulatórios e de conformidade, poderá usar o Secrets Manager para executar essas tarefas em um local central. O Secrets Manager pode descarregar o gerenciamento de segredos dos desenvolvedores, como senhas de banco de dados ou chaves de API, para que eles não precisem se preocupar com onde armazenar essas credenciais.

O AWS Secret Manager também segue o mesmo fluxo de processo do Parameter Store que mostraremos abaixo. 

 

AWS Systems Manager Parameter Store

 

O Parameter Store faz parte das ferramentas de gerenciamento de aplicativos oferecidas pelo serviço AWS Systems Manager (SSM). O Parameter Store permite criar parâmetros de valor-chave para salvar configurações de aplicativos, variáveis ​​de ambiente personalizadas, chaves de produto e credenciais em uma única interface.

O Parameter Store permite proteger seus dados por meio de criptografia integrada ao AWS KMS. 

Depois de criar seus parâmetros no Parameter Store, você poderá recuperá-los pelo SSM Run Command, SSM State Manager ou referenciá-los em seu aplicativo em execução no EC2, ECS e Lambda ou até mesmo em aplicativos que executam seu data center local . Isso elimina a necessidade de codificar variáveis ​​ou incorporar credenciais de texto simples em seu código. O Parameter Store facilita a atualização dessas variáveis ​​sem modificar seu código-fonte, além de eliminar a necessidade de incorporar informações confidenciais, como senhas de banco de dados, em seu código.

Esta é uma visão geral de como os aplicativos podem recuperar informações no Parameter Store.

 

Seu aplicativo (servidores locais, EC2, ECS, Lambda etc.) envia uma solicitação de parâmetro ao SSM Parameter Store. 

 

Se esta for uma solicitação de parâmetro de texto simples, o Parameter Store verificará com o IAM se o usuário/função tem permissão para recuperar o parâmetro. 

 

Se esta for uma solicitação de parâmetro criptografado, o Parameter Store verificará com o IAM se o usuário/função tem permissão para recuperar e descriptografar o parâmetro com o AWS KMS. A descriptografia requer que o IAM tenha permissão de descriptografia KMS.

 

Se a verificação do IAM for bem-sucedida, o Parameter Store enviará de volta o valor do parâmetro ao aplicativo.

Semelhanças

Criptografia

Tanto o Secrets Manager quanto o Parameter Store podem aproveitar o AWS KMS para criptografar valores. Ao usar o KMS, as políticas do IAM podem ser configuradas para controlar as permissões nas quais os usuários e funções do IAM têm permissão para descriptografar o valor. Embora o acesso aos valores possa ser restringido através do IAM, a criptografia fornece uma camada adicional de segurança e às vezes é necessária para conformidade.
 

 

Armazenamento de chave/valor

Ambos os serviços permitem armazenar valores sob um nome ou chave.
Ambos permitem que as chaves tenham prefixos. Por exemplo, parâmetros ou segredos podem ser colocados no seguinte esquema de prefixo application/environment/parametername ou qualquer outra combinação de prefixos que atenda à necessidade do aplicativo. Isso é útil porque a implantação do aplicativo pode fazer referência a diferentes parâmetros/segredos com base no ambiente de implantação.
Integração 

 

 

CloudFormation

CloudFormation é usado como um modelo de infraestrutura como código (IaC), e armazenar segredos no CloudFormation é uma prática de segurança ruim. Você pode armazenar os segredos (por exemplo, nome de usuário e senha do banco de dados) no Parameter Store ou no Secrets Manager, que podem ser referenciados no modelo CloudFormation para que você tenha apenas um ponteiro para o valor em seu modelo, em vez de conter os segredos em texto simples.
 

 

Versionamento

Ambos os serviços suportam versionamento de valores secretos. Isso permite que você visualize versões anteriores de seus parâmetros secretos caso precise deles. Você pode optar por restaurar a versão mais antiga dos parâmetros.
O Parameter Store permite que apenas uma versão do parâmetro esteja ativa a qualquer momento.
O Secrets Manager permite que várias versões existam ao mesmo tempo quando você executa uma rotação secreta usando os rótulos de preparação.

Principais diferenças

Custo
 

Secrets Manager: É pago. O custo de armazenamento é de US$ 0,40 por segredo por mês e o custo de interações de API é de US$ 0,05 por 10.000 chamadas de API.
 

Parameter Store: Para parâmetros padrão, sem custo adicional para armazenamento e taxa de transferência padrão. Para maior rendimento, o custo das interações de API é de US$ 0,05 por 10.000 chamadas de API.
Para parâmetros avançados, o custo de armazenamento é de US$ 0,05 por parâmetro avançado por mês e o custo de interações de API é de US$ 0,05 por 10.000 chamadas de API.

 

Rotação de segredos
 

Secrets Manager: Oferece a capacidade de trocar segredos a qualquer momento e pode ser configurado para alternar regularmente dependendo de seus requisitos. Ele fornece integração completa de rotação de chaves com alguns serviços AWS, como RDS, Redshift, DocumentDB. Para outros serviços, a AWS permite escrever uma lógica de rotação de chave personalizada usando uma função AWS Lambda.

Parameter Store: Você pode escrever sua própria função que atualiza credenciais gerenciadas pelo Parameter Store e invocá-las por meio de um evento agendado do CloudWatch ou Eventbridge.

 

 

Acesso entre contas

Secrets Manager: Os segredos podem ser acessados ​​de outra conta da AWS. É mais fácil compartilhar os segredos entre contas. Isso é útil se os segredos forem gerenciados centralmente a partir de outra conta da AWS ou benéfico para casos de uso em que um cliente precisa compartilhar um segredo específico com um parceiro.
 

Parameter Store: Não suportado.

 

 

Tamanho secreto

Secrets Manager: Pode armazenar até 10 KB de tamanho secreto.

Parameter Store: Os parâmetros padrão podem armazenar até 4.096 caracteres (tamanho de 4 KB) para cada entrada, e os parâmetros avançados podem armazenar até 8 KB de entradas.

 

 

Limites

Secrets Manager: Possui limitação de armazenamento de 500.000 segredos por região por conta.
 

Parameter Store: Possui limitação de armazenamento de 10.000 parâmetros padrão por região por conta.

 

 

Replicação de múltiplas regiões

Secrets Manager: Permite replicar facilmente seus segredos em várias regiões da AWS para oferecer suporte a aplicativos espalhados por essas regiões, bem como a cenários de recuperação de desastres.

Parameter Store: Não oferece suporte à replicação entre regiões pronta para uso.

 

 

Casos de uso

Escolha Secrets Manager se:
 

Você deseja armazenar apenas valores criptografados e uma maneira super fácil de gerenciar a rotação dos segredos. Por exemplo, para organizações que precisam ser compatíveis com PCI, onde a obrigação é alternar suas senhas a cada 90 dias, o AWS Secrets Manager torna esse processo muito fácil e contínuo.

Escolha Parameter Store se:
 

Você deseja uma opção mais barata para armazenar segredos criptografados ou não criptografados.

 

 

     Diferenças entre AWS AppStream e AWS WorkSpaces

 

 

Se você está pensando em usar Amazon Web Services (AWS) para fornecer aplicativos de desktop aos seus usuários, você deve estar se perguntando qual serviço escolher entre AWS AppStream e AWS WorkSpaces. Embora ambos os serviços ofereçam funcionalidades semelhantes, eles têm algumas diferenças importantes que podem torná-los mais adequados para seu caso de uso específico. Neste artigo, compararemos o AWS AppStream e o AWS WorkSpaces para ajudá-lo a determinar qual deles é a escolha certa para você.

 

 

Amazon AppStream 2.0

 

AppStream 2.0, como o nome indica, é usado para transmitir aplicativos. Seus aplicativos legados são gerenciados centralmente no AppStream 2.0 e entregues com segurança a qualquer computador ou usuário em todo o mundo. A escalabilidade do AppStream 2.0 significa que você nunca terá problemas de infraestrutura, como aquisição, provisionamento ou operação de hardware legado à medida que adiciona novos usuários.

O AppStream 2.0 permite que seus aplicativos legados sejam transmitidos para qualquer navegador HTML5 sem a necessidade de plug-ins. Por exemplo, as instituições educacionais podem fornecer a cada aluno as inscrições necessárias para qualquer aula ou programa de estudo. Os fornecedores de software podem aproveitar o AppStream 2.0 para enviar demonstrações de aplicativos, avaliações ou informações de treinamento, tudo sem downloads ou instalações por parte do usuário final.

O Amazon AppStream 2.0 é mais flexível que o Amazon WorkSpaces no que diz respeito à configuração, tornando-o uma opção melhor para quem deseja simplesmente transmitir aplicativos legados em vez de iniciar um ambiente de desktop virtual completo. Ele também fornece uma experiência de usuário mais simplificada do que o ambiente DaaS completo. 

Amazon WorkSpaces

 

Amazon WorkSpaces é uma solução de desktop como serviço (DaaS) totalmente gerenciada executada na AWS. O Amazon WorkSpaces pode ser provisionado em desktops Windows ou Linux muito rapidamente e oferece escalabilidade para configurar equipes em todo o mundo com o software, os aplicativos e o acesso aos dados necessários para realizar o trabalho.  

O Amazon WorkSpaces pode ajudar suas equipes a realizar qualquer coisa, desde tarefas simples de entrada de dados e processamento de texto até tarefas muito mais complicadas e complexas que exigem software especializado e poder computacional significativo. Praticamente tudo que uma empresa precisa pode ser provisionado nos desktops remotos de suas equipes para fácil acesso de qualquer lugar do mundo.

Uma das vantagens do Amazon WorkSpaces em relação à configuração interna de área de trabalho remota é que você não pagará muito dinheiro extra por licenças desnecessárias para determinados usuários. Cada usuário pode ter acesso apenas às ferramentas que atendem às necessidades de sua função e grupo. Esse acesso focado melhora os fluxos de trabalho e economiza dinheiro.

Com a incerteza sobre como será o futuro do trabalho e muitas equipes trabalhando remotamente no futuro próximo, o Amazon WorkSpaces é uma ótima solução para tornar seu escritório verdadeiramente acessível remotamente. É a solução que você precisa para manter as equipes trabalhando juntas, mesmo quando estão separadas.

Sua empresa também se beneficia da segurança de nível empresarial do Amazon WorkSpaces para dados e aplicações. A escalabilidade, a segurança e a personalização do Amazon WorkSpaces o mantiveram no topo da categoria de DaaS desde o início da plataforma.

Se você está procurando um ambiente de desktop baseado em nuvem para manter equipes remotas produtivas neste mundo difícil, o Amazon WorkSpaces fornecerá exatamente o que você precisa, onde você precisa, sem pagar por extras. Esta é uma ótima opção para empresas que precisam de um ambiente de desktop virtual completo com instâncias que podem ser personalizadas e acessadas de qualquer lugar usando apenas um navegador da web. 

Comparação de AppStream e WorkSpaces:

Para ajudá-lo a determinar qual serviço é ideal para você, vamos comparar o AWS AppStream e o AWS WorkSpaces em termos de seus principais recursos e benefícios:

Opções de personalização: o AppStream oferece mais opções de personalização do que o WorkSpaces, incluindo a capacidade de instalar e executar aplicativos personalizados e de criar imagens personalizadas. O WorkSpaces, por outro lado, oferece opções de personalização limitadas, embora você ainda possa personalizar o papel de parede da área de trabalho, ícones e outras configurações.

Compatibilidade com sistemas operacionais: AppStream oferece suporte a aplicativos Windows e Linux, enquanto WorkSpaces oferece suporte apenas a Windows e Amazon Linux.

Armazenamento persistente: o WorkSpaces oferece suporte ao armazenamento persistente, o que significa que os usuários podem salvar seu trabalho e configurações e acessá-los de qualquer dispositivo. O AppStream, por outro lado, não oferece suporte ao armazenamento persistente, embora você possa usar o Amazon S3 ou o Amazon EFS para armazenar dados do usuário.

Custo: o custo do AppStream e do WorkSpaces depende de fatores como o número de usuários, o tipo de instância e a região. Em geral, o WorkSpaces é mais caro que o AppStream, embora o custo de cada serviço possa variar dependendo do seu caso de uso específico.

 

Casos de uso:

Vamos dar uma olhada em alguns casos de uso específicos de cada serviço para ajudá-lo a determinar qual é o certo para você: 

 

Casos de uso do AWS AppStream:
 

Desenvolvimento de software: o AppStream pode ser usado para fornecer aos desenvolvedores acesso a ferramentas e ambientes de desenvolvimento sem exigir que instalem nada localmente.

 

Trabalho remoto: o AppStream pode ser usado para fornecer aos trabalhadores remotos acesso a aplicativos e ferramentas de desktop a partir de qualquer dispositivo.

 

Educação: o AppStream pode ser usado para fornecer aos alunos acesso a aplicativos e recursos educacionais. 

 

Casos de uso do AWS WorkSpaces:
 

Trabalho remoto: WorkSpaces pode ser usado para fornecer aos trabalhadores remotos desktops virtuais que eles podem acessar de qualquer dispositivo.

 

Assistência médica: os WorkSpaces podem ser usados ​​para fornecer aos profissionais de saúde acesso seguro e em conformidade com a HIPAA aos dados e aplicativos dos pacientes.

 

Educação: WorkSpaces podem ser usados ​​para fornecer aos alunos desktops virtuais que eles podem acessar de qualquer dispositivo.

Conclusão:

Concluindo, o AWS AppStream e o AWS WorkSpaces são ferramentas poderosas para fornecer aplicativos de desktop aos usuários, mas têm algumas diferenças importantes que os tornam mais adequados para diferentes casos de uso. Se você precisa oferecer uma experiência de desktop completa aos seus usuários, incluindo acesso a uma variedade de aplicativos e ferramentas, o AWS AppStream pode ser a escolha certa para você. Por outro lado, se você precisar fornecer desktops virtuais aos seus usuários que eles possam acessar de qualquer dispositivo, o AWS WorkSpaces pode ser a melhor opção. Ao considerar os principais recursos, benefícios e casos de uso de cada serviço e usar a árvore de decisão fornecida neste artigo, você poderá tomar uma decisão informada sobre qual serviço é ideal para você.