Ir para o conteúdo

O Alicerce da Confiança: Uma Introdução Prática à Segurança

O que "segurança" realmente significa? Não se trata apenas de firewalls e antivírus. Segurança da informação é sobre fazer e manter três promessas fundamentais sobre os dados que você protege.

Para entender essas promessas, pense na segurança de um banco. Quando você guarda seu dinheiro e seus dados em um banco, você espera que ele cumpra três coisas. Essas três coisas formam a Tríade CIA: Confidencialidade, Integridade e Disponibilidade (Confidentiality, Integrity, and Availability).

Este guia vai te mostrar cada uma dessas promessas e o que acontece quando elas são quebradas.

A Tríade CIA: As 3 Promessas da Segurança

1. Confidencialidade (O Segredo)

  • A Promessa: "Apenas pessoas autorizadas terão acesso aos seus dados."
  • Analogia (O Banco): O "Cofre do Banco". Apenas você e as pessoas que você autoriza (como o gerente, com a sua permissão) podem ver o que está dentro do seu cofre. A informação é mantida em segredo.
  • A Dor que Resolve: Impede o acesso não autorizado e o vazamento de informações sensíveis.
  • No Dia a Dia da AWS:
    • AWS IAM: É o serviço que gerencia "quem tem a chave do cofre". Você cria políticas para definir exatamente quem pode acessar o quê.
    • Criptografia: Usamos serviços como o AWS KMS para "embaralhar" os dados em um bucket S3, de modo que, mesmo que alguém consiga acessar o arquivo, não consiga lê-lo sem a chave de criptografia.

2. Integridade (A Precisão)

  • A Promessa: "Seus dados não serão alterados ou corrompidos sem autorização. Eles são autênticos e corretos."
  • Analogia (O Banco): O "Selo de Lacre no Malote de Dinheiro". Ele garante que o valor que saiu do ponto A é exatamente o mesmo que chegou ao ponto B, sem que ninguém tenha adicionado ou removido uma nota no caminho.
  • A Dor que Resolve: Garante a confiabilidade e a autenticidade dos dados, prevenindo adulterações.
  • No Dia a Dia da AWS:
    • Checksums: Ao fazer upload de um arquivo para o S3, a AWS calcula uma "impressão digital" (um checksum) do arquivo. Se um único bit for corrompido na transferência, a impressão digital não bate, e o upload falha, garantindo a integridade.
    • AWS CloudTrail: Registra todas as ações e alterações feitas na sua conta. Se um arquivo foi modificado, o CloudTrail te diz quem o modificou e quando, garantindo a rastreabilidade.

3. Disponibilidade (O Acesso)

  • A Promessa: "Você poderá acessar seus dados e serviços sempre que precisar."
  • Analogia (O Banco): O "Caixa Eletrônico 24 Horas". O serviço deve estar sempre funcionando para que os usuários autorizados possam acessar seus recursos.
  • A Dor que Resolve: Previne a interrupção dos negócios e garante que os sistemas estejam operacionais para os clientes.
  • No Dia a Dia da AWS:
    • Múltiplas Zonas de Disponibilidade (AZs): A prática de arquitetura mais fundamental. Ao distribuir suas instâncias EC2 em mais de uma AZ, você garante que, se um "prédio" inteiro da AWS cair, sua aplicação continuará rodando no outro.
    • Elastic Load Balancing e Auto Scaling: Serviços que distribuem o tráfego e adicionam mais servidores automaticamente para lidar com picos de acesso, evitando que seu site saia do ar por sobrecarga.

Quando as Promessas são Quebradas: Os Riscos de Negócio

A segurança é importante porque a falha em cumprir qualquer uma dessas três promessas leva a consequências desastrosas para o negócio.

  • Se a CONFIDENCIALIDADE falha...

    • Risco: Roubo de Identidade e de Dados. Ladrões acessam o "cofre". Dados de clientes (PII) ou segredos industriais da empresa são roubados, podendo ser vendidos ou usados para pedir resgate (ransomware).

  • Se a INTEGRIDADE falha...

    • Risco: Sabotagem e Espionagem. Um concorrente ou um funcionário mal-intencionado pode adulterar dados financeiros, apagar registros importantes ou corromper o software da empresa, destruindo a confiança nos seus sistemas.

  • Se a DISPONIBILIDADE falha...

    • Risco: Perda de Serviços e Danos à Reputação. O "caixa eletrônico" está sempre fora do ar. Seu e-commerce não consegue processar vendas, seus clientes não conseguem acessar o serviço pelo qual pagam e, frustrados, migram para o concorrente.

HACK PARA CERTIFICAÇÃO: A Tríade CIA (Confidencialidade, Integridade, Disponibilidade) é o conceito mais fundamental da segurança da informação. Para a prova, você precisa saber o que cada pilar significa e ser capaz de associar um cenário de risco (ex: "um ataque de negação de serviço") ao pilar que ele afeta (neste caso, a Disponibilidade).

Este guia é a base para todo o nosso módulo de Segurança. Cada serviço e boa prática que veremos a seguir existe para nos ajudar a cumprir uma ou mais dessas três promessas essenciais.

Conheça seu Inimigo: Um Guia Prático sobre Ameaças de Segurança

Proteger sua infraestrutura na nuvem é como proteger um banco. Não basta construir um cofre forte; você precisa entender as diferentes táticas que os ladrões podem usar para tentar invadi-lo.

Cada ameaça tem um objetivo diferente e explora uma fraqueza diferente. Este guia é o seu manual de "táticas de ladrões", mostrando como eles agem e qual é a sua principal linha de defesa na AWS para cada cenário.

Malware

  • O Ataque: Um software malicioso (vírus, spyware, ransomware) é instalado em seu sistema sem o seu conhecimento.
  • Analogia (O Banco): Um "espião ou sabotador infiltrado". Um funcionário clica em um link de e-mail suspeito e, sem saber, instala um programa que começa a copiar documentos secretos ou a trancar os cofres.
  • Alvo Principal: Confidencialidade, Integridade e Disponibilidade (todos!).
  • Sua Defesa na AWS:
    • Prevenção: Mantenha suas instâncias EC2 sempre atualizadas usando o AWS Systems Manager Patch Manager.
    • Detecção: O Amazon GuardDuty é um serviço de detecção de ameaças que monitora sua conta em busca de atividades maliciosas, como uma instância EC2 se comunicando com um servidor de malware conhecido.

Ataques de Senha

  • O Ataque: Tentativas de adivinhar ou "quebrar" as senhas dos seus usuários para obter acesso.
  • Analogia (O Banco): O "arrombador de cofres". Ele pode tentar todas as combinações possíveis (força bruta) ou usar uma lista de "chaves mestras" roubadas de outros lugares (vazamento de senhas).
  • Alvo Principal: Confidencialidade.
  • Sua Defesa na AWS:
    • Configure políticas de senha fortes no AWS IAM, exigindo senhas complexas e rotação periódica.
    • A defesa mais importante: Habilite a Autenticação Multi-Fator (MFA) para todos os usuários. Mesmo que o ladrão roube a senha, ele não terá o segundo fator (seu celular).

Negação de Serviço Distribuída (DDoS)

  • O Ataque: O atacante usa um exército de computadores "zumbis" para enviar milhões de solicitações falsas ao seu servidor, sobrecarregando-o até que ele não consiga mais atender clientes legítimos.
  • Analogia (O Banco): "Milhares de pessoas falsas contratadas para formar uma fila gigantesca na porta do banco". O objetivo não é entrar no cofre, mas sim paralisar as operações, impedindo que clientes reais consigam entrar.
  • Alvo Principal: Disponibilidade.
  • Sua Defesa na AWS:
    • O AWS Shield Standard é um serviço gratuito e ativado por padrão para todos os clientes, que protege contra os ataques DDoS mais comuns.
    • Para uma proteção ainda mais robusta, o AWS Shield Advanced e o AWS WAF (Web Application Firewall) atuam como uma "equipe de segurança de elite" que detecta e bloqueia o tráfego malicioso.

Man-in-the-Middle (Homem no Meio)

  • O Ataque: Um atacante se posiciona secretamente entre você e o servidor, interceptando, lendo e, potencialmente, alterando toda a comunicação.
  • Analogia (O Banco): O "carteiro falso" que intercepta as correspondências entre você e seu gerente. Ele lê suas instruções, pode alterá-las e depois as reenvia. Nem você nem o banco sabem que estão sendo espionados.
  • Alvo Principal: Confidencialidade e Integridade.
  • Sua Defesa na AWS:
    • Use HTTPS (com SSL/TLS) para TUDO. A criptografia transforma sua "carta" em um código que o carteiro falso não consegue ler.
    • Utilize o AWS Certificate Manager (ACM) para provisionar e gerenciar certificados SSL/TLS gratuitamente.

Phishing e Engenharia Social

  • O Ataque: Estes são ataques que exploram a psicologia humana, não falhas de tecnologia.
  • Analogia (O Banco):
    • Phishing: O ladrão te envia uma "carta falsa, idêntica à do banco", com um link para um site falso que pede sua senha para "atualização de segurança".
    • Engenharia Social: O ladrão "se veste como um técnico da companhia elétrica" e te convence a dar a ele a chave da sala dos geradores para "fazer uma inspeção".
  • Alvo Principal: Confidencialidade.
  • Sua Defesa na AWS:
    • Treinamento de Pessoas: A principal defesa é a conscientização.
    • Princípio do Menor Privilégio: Use o AWS IAM para garantir que, mesmo que as credenciais de um funcionário sejam roubadas, o dano seja limitado. O "técnico" pode até entrar na sala dos geradores, mas o crachá dele não abre a porta do cofre.

HACK PARA CERTIFICAÇÃO: A prova adora cenários. Saiba associar a ameaça à sua defesa na AWS: * Ameaça de DDoS? A resposta é AWS Shield. * Ameaça de tráfego web malicioso (como SQL Injection)? A resposta é AWS WAF. * Ameaça de atividade suspeita na conta (malware, mineração de criptomoedas)? A resposta é Amazon GuardDuty. * Ameaça de credenciais roubadas? A resposta é MFA e políticas de IAM.

O Plano Mestre: Desvendando a Estratégia de Segurança na Nuvem

Segurança não é um produto que você compra. É uma estratégia contínua. Não basta reagir a ataques; é preciso criar um ambiente que seja, por design, resiliente a eles.

Pense no "Plano Diretor de Segurança" de um banco. Ele não cobre apenas o cofre. Ele cobre tudo: as câmeras, os guardas, as portas blindadas, o treinamento dos funcionários e o que fazer quando o alarme dispara.

Uma boa estratégia de segurança na nuvem também é construída em camadas, cobrindo diferentes domínios como a segurança da infraestrutura, dos dados e, o mais importante, o gerenciamento de acesso.

INSIGHT PODEROSO (O Foco na Nuvem): A grande vantagem da AWS é que ela já cuida da camada mais cara e complexa: a Segurança Física. Você não precisa se preocupar com guardas ou portas blindadas para os data centers. Isso te libera para focar 100% na segurança lógica da sua aplicação e dos seus dados, que é a sua parte no Modelo de Responsabilidade Compartilhada.

O Arsenal do Protetor: Tipos de Controles de Segurança

Toda medida que você toma para proteger seu ambiente é chamada de "Controle de Segurança". Eles são classificados em três tipos, que funcionam em conjunto para criar uma defesa completa.

1. Controles Preventivos (As Muralhas)

  • Objetivo: Impedir que um incidente de segurança aconteça.
  • Analogia (O Banco): O cofre, as portas blindadas e as senhas. São barreiras projetadas para parar o ladrão antes que ele entre.
  • Exemplos na AWS:
    • AWS IAM: A sua principal muralha. Com políticas de senha forte e MFA, você impede o acesso não autorizado.
    • Security Groups / NACLs: Impedem que tráfego de rede malicioso chegue às suas instâncias EC2.
    • Criptografia (AWS KMS): Impede que, mesmo que um dado seja roubado, ele possa ser lido.

2. Controles Detectivos (Os Alarmes)

  • Objetivo: Identificar e alertar que um incidente de segurança está acontecendo ou já aconteceu.
  • Analogia (O Banco): As câmeras de segurança, os sensores de movimento e o alarme silencioso. Eles não impedem o ladrão de entrar, mas avisam a todos que ele está lá.
  • Exemplos na AWS:
    • AWS CloudTrail: O "diário de bordo" que registra toda e qualquer chamada de API na sua conta. Se alguém tentar apagar um bucket S3, o CloudTrail detecta e registra quem foi.
    • Amazon GuardDuty: Um "serviço de inteligência" que detecta atividades maliciosas ou anômalas, como uma instância EC2 se comunicando com um servidor de malware conhecido.
    • AWS Config: Detecta quando a configuração de um recurso viola suas políticas. Ex: "ALERTA! Alguém abriu a porta 22 para o mundo inteiro no Security Group do servidor principal!".

3. Controles Corretivos (A Equipe de Resposta)

  • Objetivo: Responder a um incidente de segurança para limitar o impacto e restaurar o ambiente.
  • Analogia (O Banco): A equipe de resposta da polícia que chega após o alarme disparar e o plano de recuperação de desastres do banco para restaurar as operações.
  • Exemplos na AWS:
    • Automação com AWS Lambda: Este é o superpoder da nuvem. Você pode criar uma função Lambda que é automaticamente acionada por um alerta do AWS Config. Se o Config detectar que uma porta perigosa foi aberta, a função Lambda pode corrigir a regra do Security Group em segundos, sem intervenção humana.
    • Backups e Snapshots (AWS Backup, S3 Versioning): Se seus dados forem corrompidos ou sequestrados (ransomware), sua principal ação corretiva é restaurá-los a partir de um backup seguro.

O Plano B: Controles Compensatórios

  • O que é? Uma medida de segurança alternativa que você usa quando o controle principal não pode ser aplicado, mas você precisa manter o mesmo nível de segurança.
  • Analogia (O Banco): A porta blindada do cofre quebrou (Controle Primário falhou). O controle compensatório é colocar dois guardas armados na frente da porta 24/7 até que ela seja consertada. A segurança é mantida, mas de uma forma diferente.
  • Cenário Prático na AWS: Sua política exige MFA para todos os usuários (Controle Primário). Um sistema legado antigo, que não suporta MFA, precisa de acesso. O Controle Compensatório seria colocar a instância desse sistema em uma sub-rede privada super restrita, com regras de firewall que só permitem seu acesso a partir de um único IP, e com monitoramento intenso de todas as suas ações via CloudTrail.

HACK PARA CERTIFICAÇÃO: A capacidade de classificar um serviço da AWS em seu tipo de controle é uma habilidade chave para a prova. * IAM é Preventivo. * CloudTrail e GuardDuty são Detectivos. * Uma função Lambda que corrige uma permissão errada é Corretivo. Entender essa lógica te ajudará a responder muitas questões de cenário sobre como construir uma arquitetura segura.

O Alicerce da Confiança: Uma Introdução Prática à Segurança

O que "segurança" realmente significa? Não se trata apenas de firewalls e antivírus. É uma estratégia contínua, baseada em camadas, para proteger seus ativos digitais.

Pense na segurança de um castelo medieval. Não adianta ter apenas um cofre forte; você precisa de muralhas, guardas, pontes levadiças e um plano de ação para cada tipo de ameaça.

Este guia vai te mostrar as camadas de defesa de um castelo digital e as três promessas sagradas (a Tríade CIA) que formam o alicerce da confiança no mundo da nuvem.

As Camadas da Fortaleza: Os Domínios da Segurança

Uma estratégia de segurança robusta cobre diversas áreas. Cada uma é uma camada de defesa do seu castelo.

Domínio da Segurança Analogia (Defesa do Castelo) Pergunta-Chave que Resolve Exemplo de Serviço/Recurso AWS
Segurança Física O fosso, as muralhas e os guardas no portão. O data center está fisicamente seguro? Responsabilidade da AWS.
Segurança de Infraestrutura/Rede As muralhas internas e pontes levadiças entre os pátios. Minha rede está isolada de acessos externos? Amazon VPC, Sub-redes, NACLs.
Segurança do Sistema Reforçar as portas e janelas de cada torre. O sistema operacional das minhas instâncias está atualizado e seguro? AWS Systems Manager Patch Manager.
Gerenciamento de Identidade O "Mestre das Chaves", que define quem é quem no castelo. Eu sei quem são meus usuários e quais são suas identidades? AWS IAM, AWS Directory Service.
Gerenciamento de Acesso O sistema que define qual chave abre qual porta. O usuário "João" pode acessar a "sala do tesouro"? Políticas do IAM, Security Groups.
Segurança de Dados Escrever os pergaminhos reais em código secreto. Meus dados estão protegidos contra leitura, mesmo se forem roubados? Criptografia com AWS KMS, S3 Versioning.
Segurança de Software Garantir que o "cozinheiro do rei" não envenene a comida. Meu código de aplicação está protegido contra falhas como SQL Injection? AWS WAF, Amazon Inspector.

INSIGHT PODEROSO: Entender esses domínios te ajuda a aplicar o Modelo de Responsabilidade Compartilhada. A AWS te entrega um castelo com as melhores muralhas físicas do mundo. Sua responsabilidade é gerenciar as chaves, os guardas internos e garantir que os segredos dentro do castelo estejam criptografados.

O Ciclo Infinito: O Guia Prático do Ciclo de Vida da Segurança

Segurança não é um muro que você constrói uma vez e esquece. É um processo vivo, um ciclo contínuo de preparação, vigilância, ação e aprendizado. Os atacantes (os "ladrões") estão sempre evoluindo suas táticas, então sua equipe de segurança precisa estar em um ciclo constante de aprimoramento.

Pense nisso como o "Manual de Operações da Equipe de Segurança de um Banco". Ele descreve as quatro fases que se repetem infinitamente para manter o banco seguro.

Fase 1: Prevenção (Projetando e Construindo o Cofre)

  • O Objetivo: Impedir que incidentes de segurança aconteçam em primeiro lugar. É a fase de planejamento e construção das suas defesas.
  • Analogia (O Banco): A equipe de engenharia projeta o cofre, instala portas blindadas, define as senhas e posiciona os guardas.
  • Ações-Chave:
    • Identificar seus ativos mais valiosos (seus dados, suas aplicações).
    • Avaliar os riscos (quais são as ameaças?).
    • Implementar controles preventivos para mitigar esses riscos.
  • Ferramentas e Serviços na AWS:
    • AWS IAM: Aplica o princípio do menor privilégio.
    • Security Groups e NACLs: Constroem as "muralhas" da sua rede.
    • Criptografia com AWS KMS: Torna os dados ilegíveis para quem não tem autorização.
    • Teste de Penetração: A ação de contratar um "ladrão do bem" para testar suas defesas e encontrar falhas antes dos ladrões de verdade.

Fase 2: Detecção (Monitorando as Câmeras)

  • O Objetivo: Assumindo que nenhuma prevenção é 100% perfeita, esta fase se concentra em identificar que uma tentativa de invasão ou uma atividade suspeita está acontecendo.
  • Analogia (O Banco): A equipe na "sala de monitoramento", assistindo às câmeras de segurança 24/7 e esperando por um alarme.
  • Ações-Chave:
    • Monitorar logs de acesso e de rede.
    • Analisar o comportamento do sistema em busca de anomalias.
    • Verificar continuamente se as configurações estão de acordo com as políticas de segurança.
  • Ferramentas e Serviços na AWS:
    • AWS CloudTrail: A "câmera de segurança" que grava toda e qualquer ação feita na sua conta.
    • Amazon GuardDuty: O "sistema de inteligência artificial" que assiste às gravações e te alerta sobre atividades suspeitas.
    • AWS Config: O "sensor de alarme" que dispara se alguém modificar uma configuração de segurança importante (ex: abrir uma porta perigosa no firewall).

Fase 3: Resposta (O Alarme Disparou!)

  • O Objetivo: Conter o incidente o mais rápido possível para limitar o dano.
  • Analogia (O Banco): O alarme disparou. A equipe de resposta entra em ação: tranca as portas de aço, isola a área do assalto e aciona a polícia.
  • Ações-Chave:
    • Investigar o alerta (é um alarme falso ou real?).
    • Isolar os sistemas comprometidos.
    • Revogar credenciais de acesso que possam ter sido roubadas.
  • Ferramentas e Serviços na AWS:
    • Resposta Automatizada com AWS Lambda: Este é o superpoder da nuvem. Você pode configurar uma função Lambda para, por exemplo, ser acionada por um alerta do GuardDuty e automaticamente isolar uma instância EC2 comprometida, alterando seu Security Group para bloquear todo o acesso.
    • AWS Security Hub: Centraliza todos os alertas de segurança (do GuardDuty, Config, etc.) em um único painel, facilitando a orquestração da resposta.

Fase 4: Remediação e Melhoria (A Análise Pós-Incidente)

  • O Objetivo: Aprender com o incidente e fortalecer as defesas para que ele não aconteça novamente.
  • Analogia (O Banco): Após o incidente ser contido, os especialistas analisam as gravações: "Como o ladrão entrou? Qual porta falhou? Qual procedimento não foi seguido?". Com base nisso, eles consertam a falha e atualizam o manual de segurança.
  • Ações-Chave:
    • Análise forense para entender a causa raiz.
    • Corrigir a vulnerabilidade explorada (ex: aplicar um patch de segurança).
    • Atualizar as políticas e os controles preventivos.
  • Ferramentas e Serviços na AWS:
    • AWS Well-Architected Tool: Permite que você revise sua arquitetura contra as melhores práticas de segurança da AWS e identifique pontos de melhoria.
    • Atualizar Políticas do IAM e Regras de Security Group: Fortalecer suas muralhas (controles preventivos) com base no que foi aprendido.

HACK PARA CERTIFICAÇÃO: Para a prova, entenda a finalidade de cada fase do ciclo. Eles podem te dar um cenário e perguntar em qual fase uma determinada ação ou serviço se encaixa. * Ação: "Aplicar um patch de segurança em uma instância EC2". Fase: Prevenção. * Ação: "Usar o Amazon GuardDuty para encontrar atividade maliciosa". Fase: Detecção. * Ação: "Isolar uma instância comprometida". Fase: Resposta. * Ação: "Atualizar uma política do IAM após um incidente". Fase: Melhoria.

Por que uma empresa não pode simplesmente construir sua aplicação de qualquer jeito? Porque, dependendo do setor em que ela atua e dos países onde seus clientes estão, ela precisa seguir um conjunto de "regras do jogo". Essas regras, criadas por governos e indústrias para proteger os consumidores e garantir a estabilidade, são os Frameworks de Conformidade.

Pense nisso como construir uma casa. Você não pode simplesmente empilhar tijolos. Você precisa seguir o "Código de Obras" da sua cidade e do seu condomínio.

  • Framework de Conformidade (GDPR, HIPAA, etc.): É o "Código de Obras". Um livro de regras que dita como você deve construir sua aplicação para que ela seja considerada segura e legal.
  • Auditores: São os "fiscais da prefeitura" que verificam se sua construção seguiu as regras.
  • AWS: É o seu "fornecedor de materiais de construção certificados". Eles te entregam tijolos, fiação e canos que já vêm com selos de qualidade e aprovação.
  • Você (O Cliente): É a "construtora". Sua responsabilidade é usar esses materiais certificados para construir uma casa que, no final, esteja de acordo com o Código de Obras.

Os "Códigos de Obras" Mais Importantes do Mundo

Embora existam centenas de regulamentos, alguns são tão importantes que moldam como a tecnologia é construída globalmente.

Proteção de Dados Pessoais

  • GDPR (Regulamento Geral de Proteção de Dados):
    • Onde: União Europeia.
    • O que exige? Dá aos cidadãos da UE controle total sobre seus dados pessoais. Exige consentimento explícito para processamento de dados e impõe multas pesadíssimas em caso de violação. É o "código de obras" mais rigoroso do mundo para privacidade.
  • LGPD (Lei Geral de Proteção de Dados):
    • Onde: Brasil.
    • O que exige? Inspirada na GDPR, é a lei brasileira que regula como as empresas coletam, usam e armazenam dados pessoais de cidadãos brasileiros.
  • HIPAA (Health Insurance Portability and Accountability Act):
    • Onde: Estados Unidos.
    • O que exige? Regras extremamente rígidas sobre como proteger informações de saúde de pacientes.

Setor Financeiro

  • PCI DSS (Payment Card Industry Data Security Standard):
    • Onde: Global.
    • O que exige? Um conjunto de regras de segurança obrigatórias para qualquer empresa que processa, armazena ou transmite dados de cartão de crédito.
  • SOX (Lei Sarbanes-Oxley):
    • Onde: Estados Unidos.
    • O que exige? Regras rígidas de governança e registros financeiros para empresas de capital aberto, para prevenir fraudes.

Conformidade na AWS: Uma Parceria

A conformidade na nuvem é uma Responsabilidade Compartilhada.

O que a AWS faz por você?

  • Analogia: A AWS garante que o "terreno" (os data centers) e os "materiais de construção" (os serviços como EC2, S3, RDS) são de altíssima qualidade e já foram pré-certificados para atender aos "códigos de obras" mais rigorosos do mundo (ISO 27001, SOC 2, PCI DSS, etc.).
  • A Dor que Resolve: A tarefa impossivelmente cara e complexa de certificar um data center físico. A AWS já fez isso por você.

O que VOCÊ precisa fazer?

  • Analogia: Sua responsabilidade é usar esses materiais certificados para construir uma casa que siga as regras.
  • Na prática: Não adianta a AWS te oferecer o melhor serviço de criptografia se você não o habilitar no seu bucket S3. Não adianta a AWS te dar o IAM se você der permissão de administrador para todo mundo. Você é responsável por configurar os serviços da AWS de acordo com as regras do framework de conformidade que se aplica ao seu negócio.

As Ferramentas do Construtor Consciente na AWS

Para te ajudar a provar para os "fiscais" que você construiu tudo corretamente, a AWS oferece ferramentas essenciais:

  • AWS Artifact:

    • Analogia: A "pasta com todos os certificados de qualidade" dos materiais e as licenças do terreno.
    • O que faz? É um portal onde você tem acesso sob demanda a todos os relatórios de conformidade da AWS (PCI, ISO, etc.). Você baixa esses relatórios e os entrega aos seus auditores para provar que a fundação da sua casa é sólida.

  • AWS CloudTrail:

    • Analogia: O "diário de bordo da obra".
    • O que faz? Grava cada ação (cada chamada de API) que acontece na sua conta. "Quem colocou essa janela? A que horas? Com qual autorização?". O CloudTrail tem a resposta. É a sua principal trilha de auditoria.

  • AWS Config:

    • Analogia: O "fiscal de obras automatizado" que trabalha para você 24/7.
    • O que faz? Monitora continuamente suas configurações e te alerta se algo sair do padrão que você definiu. Ex: "ALERTA! Alguém construiu uma parede que não estava na planta (alterou uma regra de Security Group)!".

HACK PARA CERTIFICAÇÃO: Para a prova, você não precisa ser um advogado. Você precisa saber: 1. O que é conformidade (seguir as regras). 2. Que a conformidade na AWS é uma responsabilidade compartilhada. 3. Qual serviço te dá acesso aos relatórios de conformidade da AWS? A resposta é AWS Artifact. 4. Qual serviço audita as ações na sua conta? A resposta é AWS CloudTrail.