Pular para o conteúdo

Segurança na AWS para a Certificação AWS Cloud Practitioner

    segurança na AWS é um dos pilares mais importantes da prova AWS Certified Cloud Practitioner. Ela aparece em diversas questões e está diretamente ligada a conceitos como governança, identidade, proteção contra ataques, criptografia e compliance.

    Neste artigo, você vai entender os principais serviços e conceitos de segurança da AWS, exatamente no nível cobrado na certificação.

    Modelo de Responsabilidade Compartilhada

    Modelo de Responsabilidade Compartilhada define claramente o papel da AWS e do cliente:

    • AWS é responsável pela segurança da nuvem (security of the cloud):
      • Infraestrutura física
      • Data centers
      • Hardware, software de base e rede global
    • O cliente é responsável pela segurança na nuvem (security in the cloud):
      • Configuração de acesso
      • Proteção dos dados
      • Criptografia
      • Segurança do sistema operacional (em serviços como EC2)
      • Regras de firewall e permissões

    Quanto mais gerenciado o serviço, menor a responsabilidade do cliente, mas dados e acessos sempre são responsabilidade do cliente — ponto clássico de prova.

    Identity and Access Management (IAM)

    IAM é o serviço central para controle de acesso na AWS. Ele define quem pode acessar o quê, quando e como.

    Usuário Root

    • Entidade mais privilegiada da conta
    • Acesso total a todos os serviços
    • Não deve ser usado no dia a dia
    • Deve ter MFA habilitado

    Usuários e Grupos

    • Usuários IAM representam pessoas ou sistemas
    • Grupos facilitam a administração de permissões
    • Boas práticas recomendam conceder permissões a grupos, não diretamente a usuários

    Políticas (IAM Policies)

    • Definem permissões usando documentos JSON
    • Seguem o princípio do menor privilégio
    • Podem permitir ou negar ações sobre recursos específicos

    Roles

    • Fornecem credenciais temporárias
    • Muito usadas por:
      • EC2
      • Lambda
      • Acesso entre contas
    • São mais seguras do que usuários com chaves estáticas

    Na prova: preferir roles a usuários com credenciais permanentes.

    AWS Organizations

    AWS Organizations permite gerenciar múltiplas contas AWS de forma centralizada.

    Principais benefícios:

    • Estrutura hierárquica com Organizational Units (OUs)
    • Consolidated Billing (faturamento unificado)
    • Aplicação de políticas globais

    Service Control Policies (SCPs)

    • Definem limites máximos de permissões
    • Funcionam como guardrails
    • Muito usadas em ambientes corporativos

    Se a pergunta falar em governança multiaccount, pense em AWS Organizations.

    AWS Control Tower

    AWS Control Tower é um serviço que simplifica a criação e a governança de ambientes multiaccount na AWS, seguindo automaticamente as boas práticas recomendadas pela própria AWS.

    Enquanto o AWS Organizations fornece os recursos “básicos” para gerenciar múltiplas contas, o Control Tower vai além, entregando uma landing zone pronta, com automações de segurança e governança já configuradas.

    Principais funcionalidades do AWS Control Tower

    • Criação automatizada de contas AWS padronizadas
    • Configuração de uma Landing Zone segura
    • Aplicação automática de guardrails
    • Integração nativa com:
      • AWS Organizations
      • IAM
      • AWS Config
      • CloudTrail
    • Monitoramento contínuo de conformidade

    Para o exame Cloud Practitioner, pense no Control Tower como uma camada de automação e governança sobre o AWS Organizations.

    Guardrails: controles preventivos e detectivos

    Um conceito importante introduzido pelo Control Tower são os guardrails, que são regras de governança aplicadas automaticamente às contas.

    Eles podem ser:

    • Preventivos: impedem ações não permitidas (normalmente implementados com SCPs)
    • Detectivos: identificam desvios de conformidade (baseados em AWS Config)

    Exemplos de guardrails:

    • Impedir que recursos sejam criados em regiões não autorizadas
    • Detectar buckets S3 públicos
    • Garantir que o CloudTrail esteja sempre habilitado

    Control Tower vs AWS Organizations

    Na certificação AWS Cloud Practitioner, o entendimento esperado é conceitual:

    • AWS Organizations: Serviço para gerenciar múltiplas contas AWS.
    • AWS Control Tower: Serviço para criar e governar ambientes multiaccount de forma automatizada, segura e padronizada.

    Para a certificação AWS Cloud Practitioner, segurança e governança não são cobradas de forma isolada. A prova avalia se você entende qual serviço usar em cada cenárioquem é responsável por cada camada e como a AWS ajuda a proteger ambientes em escala.

    AWS Artifact e Compliance

    AWS Artifact é o portal de compliance e conformidade da AWS.

    Ele permite:

    • Acesso a relatórios como ISO, SOC, PCI
    • Consulta de certificações de segurança da AWS
    • Aceitação de acordos legais

    A AWS comprova a conformidade da infraestrutura, mas o cliente continua responsável pela conformidade da sua aplicação e dados.

    Ataques DoS e DDoS

    Ataques de negação de serviço visam comprometer a disponibilidade.

    • DoS: ataque de uma única origem
    • DDoS: ataque distribuído, de múltiplas origens

    Eles podem ocorrer em:

    • Camada de rede
    • Camada de transporte
    • Camada de aplicação (HTTP/HTTPS)

    A AWS oferece serviços específicos para mitigar esses ataques.

    AWS Shield: Standard e Advanced

    AWS Shield é o serviço gerenciado de proteção contra DDoS.

    Shield Standard

    • Ativado automaticamente
    • Sem custo adicional
    • Protege contra ataques comuns de rede e transporte

    Shield Advanced

    • Proteção aprimorada
    • Monitoramento avançado
    • Indicado para aplicações críticas e públicas

    Na prova:
    Shield Standard = básico e automático
    Shield Advanced = proteção extra para workloads críticos

    AWS WAF (Web Application Firewall)

    AWS WAF protege aplicações web contra ataques na camada 7.

    Funcionalidades:

    • Bloquear ou permitir tráfego HTTP/HTTPS
    • Criar regras baseadas em:
      • IP
      • Headers
      • Padrões de requisição
      • Rate limit

    Integra-se com:

    • CloudFront
    • Application Load Balancer
    • API Gateway

    Shield protege contra DDoS, WAF filtra requisições web.

    AWS Firewall Manager

    AWS Firewall Manager centraliza políticas de segurança em múltiplas contas AWS.

    Ele permite:

    • Gerenciar WAF, Shield Advanced e regras de rede
    • Aplicar políticas automaticamente a novas contas
    • Operar integrado ao AWS Organizations

    Pense em Firewall Manager quando o cenário envolver segurança padronizada em escala.

    Criptografia em Trânsito – HTTPS e ACM

    criptografia em trânsito protege dados enquanto eles trafegam pela rede.

    AWS Certificate Manager (ACM):

    • Gerencia certificados SSL/TLS
    • Habilita HTTPS com facilidade
    • Realiza renovação automática de certificados elegíveis
    • Integra-se com ELB, CloudFront e API Gateway

    Na prova: ACM = HTTPS simplificado e gerenciado.

    Criptografia em Repouso – AWS KMS

    criptografia em repouso protege dados armazenados.

    AWS Key Management Service (KMS):

    • Gerencia chaves criptográficas
    • Integra-se automaticamente com:
      • EC2
      • EBS
      • S3
      • RDS
    • Usa HSMs validados por padrões de segurança

    Se a questão falar em criptografar dados armazenados, pense em KMS.

    Chaves Dedicadas – AWS CloudHSM

    AWS CloudHSM fornece HSMs dedicados (single‑tenant).

    Indicados para:

    • Requisitos regulatórios rígidos
    • Controle total sobre o hardware criptográfico
    • Integração com KMS via custom key store

    Para a maioria dos cenários, o KMS é suficiente — CloudHSM é para casos especiais.

    AWS Secrets Manager

    AWS Secrets Manager é usado para armazenar e gerenciar segredos de forma segura.

    Exemplos de segredos:

    • Senhas de banco de dados
    • Tokens de API
    • Credenciais de serviços externos

    Principais benefícios:

    • Criptografia automática
    • Integração com KMS
    • Rotação automática de segredos
    • Elimina senhas hardcoded no código

    Secrets Manager = armazenar e rotacionar segredos com segurança.

    Conclusão

    A certificação AWS Cloud Practitioner cobra uma visão conceitual, não operacional, da segurança na AWS. Entender o papel de cada serviço e quando utilizá‑lo é o segredo para acertar as questões.

    Mapa mental para a prova:

    • IAM → identidade e acesso
    • Organizations → governança
    • Artifact → compliance
    • Shield / WAF → proteção contra ataques
    • ACM → HTTPS
    • KMS / CloudHSM → criptografia
    • Secrets Manager → segredos

    Referências Oficiais AWS

    Modelo de Responsabilidade Compartilhada

    • AWS Shared Responsibility Model
      https://aws.amazon.com/compliance/shared-responsibility-model/
    • Shared Responsibility Model – Whitepaper
      https://docs.aws.amazon.com/whitepapers/latest/aws-risk-and-compliance/shared-responsibility-model.html

    Identity and Access Management (IAM)

    • AWS IAM – Documentação Oficial
      https://docs.aws.amazon.com/iam/
    • IAM Best Practices
      https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html
    • Root User – Best Practices
      https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html

    AWS Organizations

    • What is AWS Organizations
      https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html
    • Service Control Policies (SCPs)
      https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html

    AWS Artifact e Compliance

    • AWS Artifact – Overview
      https://docs.aws.amazon.com/artifact/
    • AWS Compliance Programs
      https://aws.amazon.com/compliance/programs/

    Ataques DoS e DDoS

    • AWS Best Practices for DDoS Resiliency (Whitepaper)
      https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/aws-best-practices-ddos-resiliency.html

    AWS Shield

    • AWS Shield – Overview
      https://docs.aws.amazon.com/shield/
    • AWS Shield Standard vs Advanced
      https://docs.aws.amazon.com/waf/latest/developerguide/ddos-standard-summary.html

    AWS WAF

    • What is AWS WAF
      https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html

    AWS Firewall Manager

    • AWS Firewall Manager – Overview
      https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html

    Criptografia em Trânsito – HTTPS e ACM

    • AWS Certificate Manager (ACM)
      https://docs.aws.amazon.com/acm/
    • Managed Certificate Renewal – ACM
      https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html

    Criptografia em Repouso – AWS KMS

    • AWS Key Management Service (KMS)
      https://docs.aws.amazon.com/kms/latest/developerguide/overview.html
    • Encryption at Rest – AWS
      https://aws.amazon.com/security/encryption/

    AWS CloudHSM

    • AWS CloudHSM – Overview
      https://docs.aws.amazon.com/cloudhsm/
    • Custom Key Store (KMS + CloudHSM)
      https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html

    AWS Secrets Manager

    • AWS Secrets Manager – Overview
      https://docs.aws.amazon.com/secretsmanager/
    • Rotating Secrets Automatically
      https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html

    Certificação AWS Cloud Practitioner

    • AWS Certified Cloud Practitioner (CLF‑C02) – Exam Guide
      https://d1.awsstatic.com/training-and-certification/docs-cloud-practitioner/AWS-Certified-Cloud-Practitioner_Exam-Guide.pdf

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *