A seguranca na cloud e uma responsabilidade compartilhada entre o provedor e o cliente. A AWS protege a infraestrutura fisica e os servicos base, mas voce e responsavel pela configuracao segura dos recursos. Erros de configuracao sao a causa numero um de vazamentos de dados na cloud.
Modelo de responsabilidade compartilhada
A AWS e responsavel pela seguranca da cloud: hardware fisico, rede global, data centers, hypervisors e servicos gerenciados. O cliente e responsavel pela seguranca na cloud: configuracao de recursos, gerenciamento de acesso, criptografia de dados, firewalls e atualizacoes de sistema operacional em instancias EC2.
Em servicos gerenciados como RDS, S3 e Lambda, a AWS assume mais responsabilidade mas voce ainda precisa configurar corretamente: permissoes, criptografia e acesso de rede.
IAM: gerenciamento de identidade e acesso
IAM e o servico mais importante da AWS para seguranca. Princípios fundamentais: nunca use a conta root para operacoes do dia a dia. Crie usuarios IAM individuais para cada pessoa. Use grupos para gerenciar permissoes coletivamente. Aplique o principio do menor privilegio para cada role e policy. Habilite MFA (Multi-Factor Authentication) para todos os usuarios.
IAM Policies definem quem pode fazer o que em quais recursos. Componentes: Effect permite ou nega. Action especifica a operacao como s3:GetObject. Resource identifica o recurso especifico por ARN. Condition adiciona restricoes como IP de origem ou horario.
IAM Roles sao identidades sem credenciais permanentes que podem ser assumidas por servicos, aplicacoes ou usuarios. EC2 instances devem usar IAM Roles em vez de access keys. Lambda functions assumem roles com permissoes minimas para suas funcoes. Cross-account roles permitem acesso seguro entre contas AWS.
AWS Organizations e SCPs
AWS Organizations permite gerenciar multiplas contas AWS de forma centralizada. A estrategia multi-account separa ambientes (dev, staging, prod), equipes e workloads em contas diferentes. Vantagens: isolamento de blast radius pois um incidente em uma conta nao afeta outras, billing separado por equipe ou projeto, permissoes granulares por conta.
Service Control Policies (SCPs) sao guardrails que limitam o que pode ser feito em contas da organizacao. Por exemplo, impedir criacao de recursos fora da regiao sa-east-1, bloquear servicos nao aprovados, exigir tags obrigatorias em todos os recursos.
Gerenciamento de segredos
Nunca armazene segredos em codigo, variaveis de ambiente do sistema ou arquivos de configuracao commitados no Git. Use servicos dedicados:
AWS Secrets Manager armazena e rotaciona segredos automaticamente. Suporta rotacao automatica de credenciais de banco de dados. Versionamento de segredos. Auditoria de acesso via CloudTrail. Integracao nativa com RDS, Redshift e DocumentDB.
AWS Systems Manager Parameter Store armazena valores de configuracao e segredos. Mais simples e barato que Secrets Manager. Suporta parametros criptografados com KMS. Hierarquia de parametros com paths como barra app barra prod barra db-password. Free tier cobre ate 10 mil parametros standard.
Para aplicacoes: busque segredos em runtime ao inves de embed em configuracao. Use SDKs da AWS para buscar do Secrets Manager ou Parameter Store. Cache localmente com TTL curto para nao impactar performance. Nunca registre segredos em logs.
Seguranca de rede
VPC Security: crie VPCs com subnets publicas e privadas. Recursos que nao precisam de acesso publico como bancos de dados e cache devem estar em subnets privadas. Use NAT Gateway para que recursos em subnets privadas acessem a internet para updates.
Security Groups: regras de firewall stateful no nivel de instancia. Libere apenas as portas necessarias. Referencie outros security groups em vez de CIDRs quando possivel para manter as regras dinamicas.
VPC Flow Logs registram todo trafego de rede. Habilite para detectar tentativas de acesso nao autorizado, trafego inesperado e anomalias de rede. Envie para CloudWatch Logs ou S3 para analise.
AWS WAF (Web Application Firewall) protege contra ataques web como SQL Injection, XSS e DDoS na camada de aplicacao. Integrado com CloudFront, ALB e API Gateway. Use managed rules da AWS e crie regras customizadas para seu caso de uso.
Compliance e auditoria
CloudTrail registra todas as chamadas de API na sua conta AWS. Quem fez o que, quando e de onde. Habilite CloudTrail em todas as regioes e armazene logs em S3 com protecao contra exclusao. Use para investigacao de incidentes, auditoria de compliance e deteccao de atividades suspeitas.
AWS Config monitora e registra configuracoes de recursos. Regras de Config verificam compliance continuamente: buckets S3 devem ter criptografia, security groups nao devem ter portas abertas para o mundo, EBS volumes devem ser criptografados. Detecta drift de configuracao e notifica ou auto-remedia.
GuardDuty e o servico de deteccao de ameacas que analisa CloudTrail, VPC Flow Logs e DNS Logs para identificar atividades maliciosas como chamadas de API de IPs maliciosos, comunicacao com servidores de C2, acessos anomalos a credenciais e exfiltracao de dados.
Tem um projeto em mente?
Somos especialistas em transformar ideias em produtos digitais. Apps, sites, automações e IA — vamos construir juntos.
