ESTÁ REALMENTE SEGURA. Nesta palestra, vou citar as 10 verificações que sempre analiso ao acessar a AWS. Uma abordagem simples, direta e baseada em experiências reais.
com foco em segurança, com mais de +12 anos de experiência na área. Curto escrever, sou Líder de comunidade reconhecido pela (AWS, & HashiCorp). Gosto de IA/ML, adoro ferramentas de automação, hacking ético e Linux. Especialista em AWS, Kubernetes e Infraestrutura como Código, ajudando times a construir ambientes seguros sem perder velocidade. Líder do HashiCorp User Group Campinas e palestrante em eventos nacionais e internacionais.
de Comunidade oficial da AWS • Reconhecimento por contribuições à comunidade técnica (Posts, eventos, ferramentas) • Você é selecionado pela AWS com base no conteúdo e trabalho na comunidade • Foco no compartilhamento de conhecimento e educação • Se inscreva aqui abaixo: builder.aws.com/community/community- builders
Insights e dados do mercado para segurança • Porque DevSecOps também é importante • Os Principais Serviços de Segurança AWS • Kiro CLI como Aliado • Recomendações de Segurança AWS • Conclusão
ataque cibernético envolvendo as operações do Pix • Aproximadamente R$ 100 milhões envolvidos em transações suspeitas • Ataque detectado por meio de atividade anormal • Demonstra a importância crítica da segurança do sistema
• Ao ataque começou com credenciais válidas, não com exploit • houve falha de controle de acesso • Faltou monitoramento e segregação • Foi um problema de identity / access / trust / insider / social engineering
os componentes, desde o sistema operacional do host e a camada de Você, como cliente, assume a responsabilidade e o gerenciamento do sistema operacional convidado (incluindo atualizações e patches de segurança). AWS
com *:* • Uso abusivo de AdministratorAccess • Usuários humanos com access keys permanentes • Roles sem escopo restrito Over-permission é a vulnerabilidade padrão da nuvem.
assinar digitalmente as chamadas de API feitas aos serviços da AWS. Cada credencial de chave de acesso é composta por um ID de chave de acesso e uma chave secreta. Uma medida de segurança é quando você precisa rotacionar as chaves de acesso do usuário ou revogar permissões.c
de defesa em profundidade para seus recursos. Você pode isolar seus recursos da AWS na nuvem. Usando uma VPC, você pode executar recursos em uma rede virtual que você definiu.
Network ACL como camada adicional de rede • IAM Roles sem uso de chaves estáticas • EBS criptografado com KMS • Hardening do sistema operacional (SSH, patches, firewall) • Monitoramento com CloudWatch e CloudTrail • Detecção de ameaças com GuardDuty
segurança para infraestrutura AWS. • Identificação de S3 públicos sem proteção • Detecção de Security Groups expostos à internet • Validação de tags obrigatórias e padrões • Verificação de criptografia em recursos
e credenciais temporárias. Use roles e short-lived credentials em vez de Access Keys permanentes. 3 GUARDDUTY, SECURITY HUB, INSPECTOR Detecção contínua de ameaças e vulnerabilidades. Monitore atividades suspeitas, exposição e problemas de segurança. 2 IAM + STS Use IAM com roles e STS para acesso temporário. Evite usuários com credenciais estáticas sempre que possível. 4 HABILITE DETECÇÃO DE AMEAÇAS NA ORGANIZAÇÃO Ative GuardDuty, Security Hub e Inspector no nível da Organization. Centralize a detecção de ameaças em todas as contas AWS. 6 MONITORAMENTO E LOGS SEMPRE ATIVADOS. Ative CloudTrail, Config, GuardDuty e VPC Flow Logs. Sem logs, não há visibilidade nem resposta a incidentes. 5 ESTABELEÇA UMA ESTRATÉGIA DE RESPOSTA Tenha um plano de resposta a incidentes. Use automação, playbooks e notificações para reagir rapidamente.
Networks). Permite análise de IaC em Terraform, CloudFormation, integrando-se a pipelines CI/CD. 3 Ferramenta leve e 100% focada em Terraform, identifica configurações inseguras e recomendações de boas práticas. 2 Criado pela Checkmarx, o KICS é um scanner que busca más configurações e vulnerabilidades em arquivos IaC. KICS TFSec FERRAMENTAS IAC SCANNERS
• Infraestrutura definida como código (Terraform) • Versionamento em Git • Revisões via Pull Requests • Segurança validada no pipeline • Histórico auditável das mudanças
Segurança na AWS hoje não é só console: • é config + drift + mudança rápida • Integração com Pipeline • Scanners IaC (Checkov) como “gate” É uma ferramenta popular de IaC da HashiCorp para definir, provisionar e gerenciar infraestrutura com segurança e eficiência. Ela utiliza uma sintaxe declarativa para definir dependências de recursos, permitindo que a infraestrutura seja facilmente provisionada e alterada.
• Permissões: Usar o princípio do mínimo privilégio • Grupos: gerenciar permissões com grupos • Condições: Restrinja acessos privilegiados usando conditions • Senha: Configure uma política de senha forte • Rotação: Faça rotação periódica de credenciais • MFA: Habilite MFA para usuários privilegiados • Compartilhamento – Use roles para compartilhar acesso • Roles – Use IAM Roles para instâncias EC2 • Root – Reduza ou elimine o uso da conta root
cada conta. Gerencie acessos de forma centralizada usando IAM Identity Center e roles temporárias. 3 APROVEITE A AUTOMAÇÃO NA AWS Automatize a criação da infraestrutura com Terraform ou CloudFormation. Infraestrutura como código permite auditoria, controle de mudanças e segurança consistente. 2 PROTEJA SUA APIs Use IAM com princípio de menor privilégio. Evite permissões *:* e utilize roles temporárias sempre que possível para aplicações e serviços. 4 HABILITE DETECÇÃO DE AMEAÇAS NA ORGANIZAÇÃO Use GuardDuty e Security Hub em nível organizacional. Monitore todas as contas com visibilidade centralizada. 6 MONITORAMENTO E LOGS SEMPRE ATIVADOS. Ative CloudTrail, Config e GuardDuty. Sem logs não é possível investigar incidentes ou detectar comportamentos suspeitos na conta. 5 ESTABELEÇA UMA ESTRATÉGIA DE RESPOSTA Tenha um plano para incidentes. Use Security Hub, alertas e automações para responder rapidamente a acessos suspeitos ou recursos inseguros.
inteligentes: scanners que aprendem com os incidentes e ajustam políticas dinamicamente. • SBOM + Supply Chain Security: rastreabilidade completa de dependências e imagens em pipelines • DevSecOps & Platform Engineering: segurança integrada ao ciclo de desenvolvimento com guardrails e golden paths • Identity & Access as perimeter: IAM, roles e secrets como principal camada de defesa na cloud
amaurybsouza
0air
ryoaccount
.png){kind=avatar}
r_miura
shibuiwilliam
kintotechdev
estie
sansan33
you
fullkaiten
sengtor
nishihira
speakerdeck
mayunak
baasie
tammyeverts
scottboms
chriscoyier
rkendrick25
jacobtomlinson
tamaranovitovic
akosma
chikuwait
