Depois de mais de uma d\u00e9cada mexendo com infraestrutura de cloud, a gente j\u00e1 viu de tudo. E quando o assunto \u00e9 seguran\u00e7a, alguns erros aparecem com uma frequ\u00eancia que chega a dar arrepio.<\/p>\n
Quer saber a parte mais frustrante? A maioria desses problemas \u00e9 super f\u00e1cil de resolver. Mas quando n\u00e3o s\u00e3o tratados, podem virar dor de cabe\u00e7a gigante.<\/p>\n
Vou te mostrar os 5 erros que mais encontramos por a\u00ed e como resolver cada um deles.<\/p>\n
Esse aqui \u00e9 campe\u00e3o disparado. Bucket S3 configurado como p\u00fablico sem necessidade real.<\/p>\n
A gente j\u00e1 chegou em cliente que tinha backup de banco de dados dispon\u00edvel na internet. Qualquer um podia baixar um dump completo com dados de cliente. Imagina a confus\u00e3o.<\/p>\n
O pior \u00e9 que a AWS facilita demais criar bucket p\u00fablico. Basta marcar uma caixinha e pronto, t\u00e1 tudo aberto.<\/p>\n
Como resolver:<\/strong><\/p>\n Primeiro, audita todos os buckets. Usa o comando da CLI pra listar as permiss\u00f5es:<\/p>\n Se n\u00e3o precisar de acesso p\u00fablico, bloqueia tudo:<\/p>\n E configura alertas no CloudTrail pra ser avisado quando algu\u00e9m mexer nas permiss\u00f5es dos buckets.<\/p>\n Esse erro \u00e9 cl\u00e1ssico mas ainda acontece toda hora. Desenvolvedor coloca chave da AWS direto no c\u00f3digo e sobe pro reposit\u00f3rio.<\/p>\n J\u00e1 vimos caso de startup que teve a conta da AWS hackeada em 2 horas depois de fazer push pra reposit\u00f3rio p\u00fablico no GitHub. O atacante usou as chaves pra subir inst\u00e2ncias de minera\u00e7\u00e3o de crypto.<\/p>\n Como resolver:<\/strong><\/p>\n Nunca, jamais, coloque chaves no c\u00f3digo. Use sempre vari\u00e1veis de ambiente ou servi\u00e7os como AWS Secrets Manager.<\/p>\n Pro Terraform, configure assim:<\/p>\n E instala ferramentas como Security Group com regra 0.0.0.0\/0 na porta 22 ou 3389. Isso \u00e9 pedir pra ser invadido.<\/p>\n A gente v\u00ea muito isso em ambiente de desenvolvimento que depois vira produ\u00e7\u00e3o. Ningu\u00e9m lembra de ajustar as regras.<\/p>\n Como resolver:<\/strong><\/p>\n Audita todos os Security Groups. Procura por regras muito abertas:<\/p>\n Pra SSH e RDP, usa bastion host ou VPN. Nunca libera direto da internet.<\/p>\n E automatiza isso no Terraform:<\/p>\n Conta root da AWS sem MFA \u00e9 suic\u00eddio. Mesmo IAM users com permiss\u00f5es altas sem MFA j\u00e1 \u00e9 arriscado demais.<\/p>\n Teve um caso que a gente acompanhou de empresa que perdeu controle da conta AWS porque um funcion\u00e1rio reutilizou senha que vazou em outro servi\u00e7o. Se tivesse MFA, n\u00e3o teria dado problema.<\/p>\n Como resolver:<\/strong><\/p>\n MFA obrigat\u00f3rio pra tudo que \u00e9 cr\u00edtico. Configura policy que for\u00e7a MFA:<\/p>\n E usa ferramentas como CloudTrail desabilitado \u00e9 como dirigir de olhos fechados. Quando acontece alguma coisa, n\u00e3o tem como investigar.<\/p>\n A gente j\u00e1 atendeu cliente que teve inst\u00e2ncias comprometidas e n\u00e3o conseguia entender como aconteceu porque n\u00e3o tinha nenhum log configurado.<\/p>\n Como resolver:<\/strong><\/p>\n CloudTrail habilitado sempre, com logs indo pra bucket S3 criptografado:<\/p>\n E integra com ferramentas como Grafana pra monitorar eventos suspeitos em tempo real.<\/p>\n Esses 5 erros s\u00e3o s\u00f3 a ponta do iceberg. Seguran\u00e7a em cloud n\u00e3o \u00e9 coisa que voc\u00ea configura uma vez e esquece.<\/p>\n A gente recomenda revis\u00e3o mensal das configura\u00e7\u00f5es de seguran\u00e7a. E automa\u00e7\u00e3o sempre que poss\u00edvel. Terraform, scripts, alertas autom\u00e1ticos.<\/p>\n Humano erra. Automa\u00e7\u00e3o n\u00e3o.<\/p>\n Se voc\u00ea t\u00e1 reconhecendo algum desses problemas na sua infraestrutura, n\u00e3o se desespere. A maioria \u00e9 quest\u00e3o de algumas horas pra resolver.<\/p>\n Mas resolve logo. Atacante n\u00e3o vai esperar voc\u00ea ter tempo livre pra arrumar a casa.<\/p>\n","protected":false},"excerpt":{"rendered":" Esses 5 erros de seguran\u00e7a em cloud acontecem mais do que voc\u00ea imagina. Veja como evit\u00e1-los na sua infraestrutura.<\/p>\n","protected":false},"author":0,"featured_media":29,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_sitemap_exclude":false,"_sitemap_priority":"","_sitemap_frequency":"","footnotes":""},"categories":[42],"tags":[21,8,38,44,11],"class_list":["post-30","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguranca","tag-21","tag-8","tag-38","tag-44","tag-11"],"yoast_head":"\naws s3api get-bucket-acl --bucket nome-do-bucket<\/code><\/pre>\naws s3api put-public-access-block --bucket nome-do-bucket --public-access-block-configuration \"BlockPublicAcls=true,IgnorePublicAcls=true,BlockPublicPolicy=true,RestrictPublicBuckets=true\"<\/code><\/pre>\n2. Chaves de API hardcoded no c\u00f3digo<\/h2>\n
resource \"aws_secretsmanager_secret\" \"api_key\" {\n name = \"app\/api-key\"\n}\n\nresource \"aws_secretsmanager_secret_version\" \"api_key\" {\n secret_id = aws_secretsmanager_secret.api_key.id\n secret_string = var.api_key\n}<\/code><\/pre>\ngit-secrets<\/code> pra escanear o c\u00f3digo antes do commit.<\/p>\n3. Security Groups liberais demais<\/h2>\n
aws ec2 describe-security-groups --query 'SecurityGroups[?IpPermissions[?IpRanges[?CidrIp==`0.0.0.0\/0`]]]'<\/code><\/pre>\nresource \"aws_security_group\" \"web\" {\n ingress {\n from_port = 22\n to_port = 22\n protocol = \"tcp\"\n cidr_blocks = [\"10.0.0.0\/8\"] # S\u00f3 rede interna\n }\n}<\/code><\/pre>\n4. N\u00e3o usar MFA pra contas administrativas<\/h2>\n
{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Effect\": \"Deny\",\n \"NotAction\": [\n \"iam:EnableMFADevice\",\n \"iam:GetUser\",\n \"iam:ListMFADevices\"\n ],\n \"Resource\": \"*\",\n \"Condition\": {\n \"BoolIfExists\": {\n \"aws:MultiFactorAuthPresent\": \"false\"\n }\n }\n }\n ]\n}<\/code><\/pre>\naws-mfa<\/code> pra facilitar o uso no dia a dia.<\/p>\n5. Logs desabilitados ou mal configurados<\/h2>\n
resource \"aws_cloudtrail\" \"main\" {\n name = \"main-trail\"\n s3_bucket_name = aws_s3_bucket.trail.bucket\n \n event_selector {\n read_write_type = \"All\"\n include_management_events = true\n data_resource {\n type = \"AWS::S3::Object\"\n values = [\"arn:aws:s3:::*\/*\"]\n }\n }\n}<\/code><\/pre>\nA seguran\u00e7a \u00e9 processo, n\u00e3o produto<\/h2>\n