search

EBS: Regiões que não estão aplicando criptografia de volumes EBS na criação

Esta regra identifica regiões AWS onde a configuração EBS Encryption by Default está desabilitada.

O objetivo é garantir que todos os novos volumes EBS criados na região sejam automaticamente criptografados.

Contexto da regra e impacto no negócio

Quando o EBS Encryption by Default está desabilitado:

  • Novos volumes podem ser criados sem criptografia

  • Dados sensíveis podem ficar expostos

  • Há risco de não conformidade com políticas de segurança

  • Pode haver violação de requisitos regulatórios

Impacto:

  • Risco de segurança

  • Risco regulatório

  • Risco reputacional

  • Não conformidade com boas práticas de cloud security

Classificação: SEGURANÇA + GOVERNANÇA

Detalhamento técnico da regra

A regra percorre todas as regiões AWS habilitadas na tenancy.

Para cada região:

  1. Consulta a configuração regional de criptografia padrão do EBS.

  2. Verifica o status da flag EbsEncryptionByDefault.

  3. Sinaliza quando o valor for False.

Como a regra é executada

  1. Autenticação por região.

  2. Execução da API:

  1. Campo analisado:

  1. Região é sinalizada quando:

Lógica aplicada

Uma região será sinalizada quando:

Caso esteja True, a região é considerada em conformidade.

Campos analisados

Configuração regional EC2:

  • EbsEncryptionByDefault

  • Region

  • ARN lógico da configuração

Campos reportados:

  • setting_name

  • status (Enabled / Disabled)

  • is_encrypted

Parâmetros considerados na busca

API utilizada:

Não há filtros adicionais.

Período Avaliado (Filtro Temporal)

Não aplicável.

A regra avalia a configuração atual da região.

Intervalo de Análise

Execução padrão: a cada 8 horas.

Impacto Financeiro

Esta regra não possui savings direto.

O objetivo é:

  • Garantir proteção de dados

  • Evitar risco de incidentes

  • Garantir conformidade regulatória

Impacto financeiro indireto pode ocorrer em caso de vazamento de dados ou não conformidade.

Exemplo de Impacto

Cenário:

  • Região us-east-1

  • EbsEncryptionByDefault = False

Resultado:

Região sinalizada como risco.

Dicas de uso e boas práticas para o usuário

Recomendações:

  • Habilitar EBS Encryption by Default em todas as regiões.

  • Definir KMS CMK padrão corporativa.

  • Monitorar volumes não criptografados existentes.

  • Implementar SCP para forçar criptografia.

Boas práticas:

  • Padronizar criptografia como requisito obrigatório.

  • Integrar controle ao processo de onboarding de contas.

  • Revisar configurações após criação de novas regiões.

PreviousEBS: Migração de EBS IO1 e IO2 para GP3NextEBS: Snapshot de EBS

Last updated