Home
Segurança AWS
Disciplina: Segurança em Nuvem  |  Curso: Segurança da Informação
Amazon Web Services
Segurança Digital
Objetivos da Aula
Ao final desta aula, você será capaz de compreender os pilares fundamentais de segurança da AWS e aplicar esses conceitos na proteção de ambientes em nuvem.
1
Mecanismos de Segurança
Compreender os principais serviços e controles de segurança oferecidos pela AWS para proteger aplicações e dados.
2
Responsabilidade Compartilhada
Entender como funciona o modelo de divisão de responsabilidades entre a AWS e o cliente na gestão da segurança.
3
Ferramentas Práticas
Conhecer ferramentas de proteção, monitoramento contínuo e controle de acesso disponíveis no ecossistema AWS.
AWS no Mercado de Cloud
Liderança Global
A AWS detém a maior fatia do mercado mundial de cloud computing, com mais de 30% de participação, à frente de Azure e Google Cloud. Presente em mais de 190 países, é a plataforma de escolha de startups, governos e grandes corporações.
Por que a Segurança Importa?
Ambientes escaláveis em nuvem concentram volumes massivos de dados sensíveis. Qualquer falha de configuração pode expor informações de milhões de usuários. A segurança deixou de ser opcional e tornou-se um requisito estratégico.
  • Empresas Fortune 500 como Netflix, NASA e Samsung
  • Infraestruturas críticas governamentais
  • Startups com crescimento acelerado
Modelo de Responsabilidade Compartilhada
Um dos conceitos mais importantes da AWS: a segurança é uma responsabilidade dividida entre a Amazon e o cliente. Compreender essa fronteira é essencial para evitar lacunas de proteção.
🔒 Segurança da Nuvem — AWS
A AWS é responsável por proteger a infraestrutura física que executa todos os serviços: data centers, hardware, redes e software de virtualização. Inclui segurança física, energia, refrigeração e isolamento de rede.
  • Infraestrutura física global
  • Hypervisor e virtualização
  • Hardware de rede e armazenamento
🛡️ Segurança na Nuvem — Cliente
O cliente é responsável por tudo que está dentro dos serviços provisionados: configuração de permissões, proteção de dados, sistemas operacionais, aplicações e criptografia de conteúdo armazenado.
  • Configuração de IAM e políticas de acesso
  • Criptografia de dados em repouso e em trânsito
  • Configuração de firewalls e grupos de segurança

⚠️ Atenção: A maioria dos incidentes de segurança na AWS ocorre por falhas do lado do cliente — configurações erradas, permissões excessivas e buckets S3 públicos são exemplos clássicos.
IAM — Identity and Access Management
O IAM é o serviço central de controle de identidade e acesso da AWS. Ele define quem pode fazer o quê dentro do ambiente, sendo a primeira linha de defesa contra acessos não autorizados.
Usuários (Users)
Representam indivíduos ou serviços com credenciais próprias. Cada usuário recebe apenas as permissões necessárias para sua função.
Roles (Funções)
Permitem que serviços AWS (como EC2 ou Lambda) assumam permissões temporárias sem necessidade de credenciais estáticas.
Policies (Políticas)
Documentos JSON que definem explicitamente quais ações são permitidas ou negadas sobre quais recursos da AWS.
Menor Privilégio
Princípio fundamental: cada entidade deve receber apenas as permissões mínimas necessárias para executar sua função.
Segurança de Rede na AWS
A AWS oferece múltiplas camadas de proteção de rede, permitindo controlar o tráfego com precisão cirúrgica — desde o nível de instâncias individuais até toda a infraestrutura virtual.
🔥 Security Groups
Firewalls virtuais que controlam o tráfego de entrada e saída em nível de instância EC2. São stateful: respostas de tráfego permitido entram automaticamente. Regras são definidas por protocolo, porta e IP de origem/destino.
📋 Network ACL (NACL)
Listas de controle de acesso que operam no nível de sub-rede. São stateless e processam regras em ordem numérica. Permitem bloqueio explícito de endereços IP suspeitos antes que o tráfego chegue às instâncias.
🌐 VPC (Virtual Private Cloud)
Rede virtual isolada logicamente dentro da AWS. Permite segmentar recursos em sub-redes públicas e privadas, controlar tabelas de roteamento e criar conexões seguras com redes on-premises via VPN ou Direct Connect.
Monitoramento e Auditoria na AWS
A visibilidade é indispensável para a segurança. Sem monitoramento, incidentes passam despercebidos por dias ou semanas. A AWS oferece serviços nativos poderosos para rastreamento e observabilidade completa.
1
AWS CloudTrail
Registra todas as chamadas de API feitas na conta AWS — quem fez, quando, de onde e o quê. Essencial para auditorias e investigações forenses.
2
AWS CloudWatch
Coleta métricas, logs e eventos em tempo real. Permite criar alarmes automáticos que notificam equipes ou disparam ações corretivas diante de comportamentos anômalos.
Serviços de Segurança Avançados da AWS
Além dos controles básicos, a AWS oferece um portfólio robusto de serviços especializados em detecção de ameaças, proteção contra ataques e visibilidade centralizada de segurança.
Amazon GuardDuty
Serviço de detecção de ameaças com IA que analisa logs de VPC, DNS e CloudTrail continuamente para identificar comportamentos suspeitos e atividades maliciosas automaticamente.
AWS Shield
Proteção gerenciada contra ataques DDoS. A versão Standard é gratuita e automática; a versão Advanced oferece proteção sofisticada com suporte 24/7 do time de resposta da AWS.
AWS WAF
Web Application Firewall que filtra requisições HTTP/HTTPS maliciosas. Bloqueia injeções SQL, cross-site scripting (XSS) e outros ataques antes que alcancem a aplicação.
AWS Security Hub
Painel centralizado que agrega e prioriza alertas de segurança de múltiplos serviços AWS e ferramentas de terceiros, facilitando a visão unificada da postura de segurança.
Proteção de Dados na AWS
Proteger dados em repouso e em trânsito é obrigação de qualquer ambiente seguro. A AWS fornece ferramentas robustas de criptografia e controles granulares de acesso a dados armazenados.
🔐 Criptografia em Repouso
Dados armazenados em serviços como S3, RDS e EBS podem ser criptografados automaticamente. A criptografia garante que, mesmo em caso de acesso físico não autorizado, os dados permaneçam ilegíveis.
🗝️ AWS KMS
Key Management Service — serviço gerenciado para criação, rotação e controle de chaves criptográficas. Integra-se nativamente com dezenas de serviços AWS, auditando cada uso de chave via CloudTrail.
🪣 Proteção de Buckets S3
Buckets S3 expostos publicamente são uma das causas mais comuns de vazamentos. Boas práticas incluem: bloquear acesso público, habilitar versionamento, ativar criptografia SSE-S3 ou SSE-KMS e usar políticas de bucket restritivas.
📂 Estudo de Caso: Vazamento por Bucket S3 Público
O Cenário
Uma empresa de e-commerce armazenava backups de banco de dados com informações de clientes (nome, CPF, endereço, dados de cartão) em um bucket S3. Durante uma migração, a equipe acidentalmente configurou o bucket como público.
O bucket ficou exposto por 72 horas antes de ser detectado — tempo suficiente para robôs automatizados de reconhecimento indexarem os dados e disponibilizá-los em fóruns criminosos.
O Que Falhou?
  • Ausência de bloqueio de acesso público no nível da conta AWS
  • Nenhum alerta configurado no CloudWatch para mudanças de ACL
  • Falta de revisão periódica das configurações de buckets
  • Ausência de criptografia — dados legíveis sem autenticação
Como Prevenir?
  • Ativar S3 Block Public Access em toda a conta
  • Usar AWS Config para detectar buckets públicos automaticamente
  • Habilitar GuardDuty e alertas do Security Hub
  • Aplicar criptografia SSE-KMS obrigatória por política

💡 Lição: Este tipo de incidente é completamente evitável com configurações corretas e monitoramento ativo. Erros de configuração são a principal causa de vazamentos em nuvem.
Boas Práticas de Segurança na AWS
Fundação: Menor Privilégio
Comece com políticas IAM restritivas. Nunca use a conta root para tarefas rotineiras. Crie usuários individuais com permissões mínimas e revise regularmente.
MFA Obrigatório
Ative a autenticação multifator para todos os usuários, especialmente para a conta root e usuários com privilégios administrativos. Use aplicativos autenticadores ou tokens de hardware.
Monitoramento Contínuo
Configure CloudTrail em todas as regiões, habilite GuardDuty e crie alarmes no CloudWatch para atividades suspeitas. A detecção rápida minimiza o impacto de incidentes.
Atividade em Sala
Investigando um Incidente Real
Um analista de segurança detectou que um Security Group de uma instância EC2 de produção está com a porta 22 (SSH) aberta para 0.0.0.0/0 — ou seja, acessível por qualquer IP do mundo.
🔍 Fase 1 — Identificação
  • Como identificar esse Security Group no console AWS?
  • Como verificar se já houve tentativas de acesso via SSH?
  • Quais logs analisar no CloudTrail?
🛠️ Fase 2 — Contenção
  • Quais regras do Security Group devem ser modificadas imediatamente?
  • Como restringir o acesso SSH apenas a IPs corporativos?
  • Considere alternativas: AWS Systems Manager Session Manager
📋 Fase 3 — Documentação
  • Como registrar formalmente o incidente?
  • Quais controles implementar para evitar recorrência?
  • Como auditar todos os Security Groups da conta?

🎯 Missão: Em grupos de 3 a 4 pessoas, desenvolva um plano de resposta para este incidente em 15 minutos. Apresente suas conclusões para a turma.
🎮 Exercício
Quiz e Simulados: Segurança na AWS
Desafie seus conhecimentos e pratique as melhores configurações de segurança na AWS através do pages do GitHub

Quiz e simulado AWS:
Quiz — Segurança na AWS
🛡️ Simulado — AWS Certified Security – Specialty (SCS-C02)
💬 Perguntas para Discussão
Reflita criticamente sobre o incidente do Security Group com porta 22 aberta. Estas perguntas guiam uma análise técnica e estratégica do problema.
Quais controles poderiam evitar esse incidente?
Pense em políticas preventivas: SCPs no AWS Organizations, AWS Config Rules para detectar Security Groups permissivos, revisões periódicas de IAM e automação de remediação com AWS Lambda. Como a cultura de segurança da equipe influencia?
Como detectar essa falha rapidamente?
Considere: alertas do AWS Config, notificações do Security Hub, alarmes do CloudWatch para mudanças em Security Groups, integração com SIEM. Qual seria o tempo aceitável entre a abertura da porta e a detecção? Qual o impacto de cada hora de exposição?
Quem é responsável por essa falha?
Sob o modelo de responsabilidade compartilhada: é a AWS ou o cliente? Como definir accountability interno? Discuta o papel dos processos de change management e revisão de código de infraestrutura (IaC).
Conclusão: Governança de Segurança em Cloud
Segurança em nuvem não é um produto que se compra — é uma disciplina contínua que exige processos, ferramentas e cultura organizacional alinhados.
Responsabilidade é Compartilhada
A AWS protege a infraestrutura. Você protege tudo o que está dentro dela. Conhecer essa fronteira é o primeiro passo.
Defesa em Profundidade
Combine IAM, VPC, criptografia, monitoramento e serviços especializados. Múltiplas camadas reduzem drasticamente a superfície de ataque.
Monitoramento é Permanente
Ambientes em nuvem mudam constantemente. Automatize verificações, implemente alertas e revise configurações periodicamente sem exceções.
Cultura de Segurança
As melhores ferramentas falham sem processos e pessoas capacitadas. Invista em treinamento, documentação e revisões colaborativas de segurança.
Próxima Aula
Segurança na Microsoft Azure
Na próxima aula, exploraremos como a Microsoft Azure aborda segurança em nuvem — comparando ferramentas, modelos e boas práticas com o que aprendemos na AWS hoje.
🔵 Azure Active Directory
Controle de identidade e acesso no ecossistema Microsoft
🔵 Azure Security Center
Visibilidade e proteção unificada de cargas de trabalho
🔵 Compliance e LGPD
Como a Azure suporta conformidade com regulamentações brasileiras

📚 Para a próxima aula: Revise os conceitos de IAM e responsabilidade compartilhada vistos hoje — eles têm equivalentes diretos na Azure e facilitarão a compreensão comparativa.