Neste artigo
Modelo de Responsabilidade Compartilhada
O conceito mais importante em cloud security e o modelo de responsabilidade compartilhada. Muitos breaches em cloud ocorrem porque organizações assumem que o provedor cuida de tudo - quando na verdade a seguranca dos dados e configuracoes e responsabilidade do cliente.
| Responsabilidade | Provedor (AWS/Azure/GCP) | Cliente |
|---|---|---|
| Infraestrutura fisica | Data centers, rede, hardware | - |
| Virtualizacao | Hypervisor, isolamento | - |
| Sistema operacional | Somente em PaaS/SaaS | IaaS: patches, hardening |
| Rede | Backbone, DDoS basico | Security groups, NACLs, WAF |
| Identidade | Servico IAM disponivel | Configuracao, MFA, politicas |
| Dados | Durabilidade do storage | Criptografia, classificacao, acesso |
| Aplicacoes | - | Codigo, vulnerabilidades, configuracao |
Erros de Configuracao Mais Comuns
A maioria dos incidentes em cloud nao envolve exploracao sofisticada - sao erros de configuracao basicos:
Storage Publico
Buckets S3 (AWS), Blob Storage (Azure) ou Cloud Storage (GCP) expostos publicamente. Causa de vazamentos massivos de dados. Configure Block Public Access por padrao.
Security Groups Permissivos
Regras com 0.0.0.0/0 permitindo acesso de qualquer IP. Especialmente perigoso em SSH (22), RDP (3389) e bancos de dados. Use IPs especificos ou bastion hosts.
Credenciais em Codigo
Access keys e secrets commitados em repositorios. Bots escaneiam GitHub em segundos. Use IAM roles, secrets managers (AWS Secrets Manager, Azure Key Vault, GCP Secret Manager).
IAM com Privilegios Excessivos
Politicas com "*" em actions/resources. Usuarios com AdministratorAccess desnecessario. Aplique principio do minimo privilegio.
Logging Desabilitado
CloudTrail (AWS), Azure Monitor ou GCP Cloud Audit Logs desativados. Sem logs, nao ha visibilidade de atividades maliciosas. Habilite logging para todos os servicos.
IAM e Gestao de Identidades
Identity and Access Management (IAM) e o fundamento da seguranca em cloud. Controle quem pode fazer o que em quais recursos.
Principios de IAM
- Minimo privilegio: Apenas permissoes necessarias para a funcao
- Separacao de funcoes: Evite que uma pessoa controle todo o processo
- MFA obrigatorio: Especialmente para contas root/admin
- Roles vs Users: Prefira roles para workloads, evite access keys longevas
- Revisao periodica: Audite permissoes regularmente
IAM por Provedor
AWS IAM
- Nunca use conta root - crie usuario admin separado
- Use IAM Roles para EC2, Lambda, ECS (nao access keys)
- Implemente SCPs em AWS Organizations
- Use IAM Access Analyzer para detectar recursos expostos
- Habilite IAM Identity Center (SSO) para acesso centralizado
Azure IAM (Entra ID)
- Use Managed Identities para Azure resources
- Implemente Privileged Identity Management (PIM)
- Configure Conditional Access Policies
- Habilite Azure AD Identity Protection
- Use Azure Policy para governanca
GCP IAM
- Use Service Accounts com permissoes minimas
- Evite chaves de service account - use Workload Identity
- Implemente Organization Policies
- Use IAM Recommender para otimizar permissoes
- Configure VPC Service Controls para dados sensiveis
Seguranca por Provedor
AWS Security
- GuardDuty: Deteccao de ameacas ML-based
- Security Hub: Agregacao de findings, CIS benchmarks
- CloudTrail: Auditoria de todas as chamadas API
- Config: Compliance continuo de recursos
- WAF: Protecao de aplicacoes web
- KMS: Gerenciamento de chaves de criptografia
Azure Security
- Defender for Cloud: CSPM e protecao de workloads
- Sentinel: SIEM cloud-native
- Key Vault: Gestao de secrets e chaves
- Network Security Groups: Firewall de camada 4
- Application Gateway + WAF: Protecao web
- Defender for Identity: Protecao de AD
GCP Security
- Security Command Center: Visibilidade e deteccao
- Chronicle: SIEM de alta escala
- Cloud Armor: WAF e DDoS protection
- VPC Service Controls: Perimetro de dados
- Binary Authorization: Controle de deploy
- Cloud KMS: Criptografia e chaves
Melhores Praticas de Seguranca Cloud
Checklist Essencial
- MFA em todas as contas, especialmente root/admin
- Block Public Access em storage por padrao
- Logging habilitado em todos os servicos
- Criptografia em repouso e transito
- Security groups/NSGs com regras minimas
- IAM com minimo privilegio, revisao periodica
- Secrets em secrets manager, nunca em codigo
- Backups automatizados e testados
- Patching automatizado de VMs
- Monitoramento de custos anomalos (pode indicar cryptomining)
Ferramentas e CSPM
Cloud Security Posture Management (CSPM) automatiza deteccao de misconfiguration:
- Nativos: AWS Security Hub, Azure Defender, GCP Security Command Center
- Multi-cloud: Prisma Cloud (Palo Alto), Wiz, Orca, Lacework
- Open source: Prowler (AWS), ScoutSuite, CloudSploit
- Infrastructure as Code: Checkov, tfsec, Terrascan
Precisa de Assessment de Seguranca Cloud?
Realizamos auditoria de ambientes AWS, Azure e GCP com ferramentas automatizadas e revisao manual.
Solicitar AssessmentPerguntas Frequentes
Depende. Provedores cloud investem bilhoes em seguranca que a maioria das empresas nao consegue replicar on-premises. Porem, a facilidade de criar recursos em cloud tambem facilita misconfiguration. Com as práticas certas, cloud pode ser mais seguro - mas requer conhecimento especifico.
Multi-cloud aumenta complexidade e superfície de ataque, não necessariamente segurança. A maioria das organizações se beneficia mais de dominar um provedor bem do que usar varios de forma superficial. Multi-cloud faz sentido por outros motivos (vendor lock-in, requisitos especificos), mas raramente por segurança.
Use ferramentas nativas: AWS IAM Access Analyzer, Azure Defender External Attack Surface Management, GCP Security Command Center. Ferramentas third-party como Prowler, ScoutSuite ou CSPM comerciais tambem identificam recursos publicos. Configure alertas para criacao de recursos com acesso publico.
