Ir para o conteúdo

O Cofre Digital: Um Guia Prático sobre Criptografia na AWS

Na fase de Prevenção, uma das nossas mais poderosas contramedidas é a Segurança de Dados. A ferramenta primária para isso é a Criptografia.

  • O que é Criptografia? É a ciência de criar e usar códigos para proteger informações.
  • O que é Cifragem/Encriptação? É o ato de aplicar um código (um algoritmo) para transformar uma mensagem legível (texto claro) em um embaralhado de caracteres ilegível (texto cifrado).

Pense na criptografia como a ciência de projetar cofres e fechaduras, e na cifragem como o ato de colocar sua carta dentro do cofre e girar a chave.

Protegendo Dados em Dois Estados:

A criptografia é essencial para proteger seus dados em seus dois estados de vida: 1. Dados em Repouso (At-Rest): Dados que estão "parados", armazenados em um disco (volume EBS) ou bucket (S3). 2. Dados em Movimento (In-Transit): Dados que estão viajando pela rede (ex: do seu navegador para um servidor web).

1. O Cofre de Chave Única (Criptografia Simétrica)

  • Analogia: Um cofre com uma fechadura simples e uma única chave. A mesma chave que tranca o cofre é a única chave que o abre.
  • Como Funciona: O remetente e o destinatário usam a mesma chave secreta para cifrar e decifrar a mensagem.
  • Padrão Ouro: AES-256 (Advanced Encryption Standard com chave de 256 bits). É o padrão adotado por governos e empresas no mundo todo para proteger dados sigilosos.
  • Vantagens:
    • Extremamente Rápida: Muito eficiente para cifrar grandes volumes de dados.
  • A Dor que Cria (O Problema):
    • Distribuição da Chave: Como eu entrego a chave secreta para você de forma segura pela internet? Se um espião interceptar a chave, ele pode abrir todos os cofres que eu te enviar.

2. O Cofre de Cadeado Público (Criptografia Assimétrica)

A criptografia assimétrica foi inventada para resolver o problema da distribuição de chaves.

  • Analogia: Um sistema engenhoso com uma caixa de correio com um cadeado aberto e uma chave privada.
    1. Você (o destinatário) tem uma chave privada que guarda no bolso e nunca mostra a ninguém.
    2. Você distribui cópias de um cadeado aberto (sua chave pública) para todos os seus amigos. Qualquer um pode pegar um cadeado e usá-lo para trancar uma caixa.
    3. Seu amigo quer te enviar uma mensagem secreta. Ele a coloca em uma caixa e a tranca com o seu cadeado público.
    4. Agora, a caixa está trancada. A única coisa no universo que pode abri-la é a sua chave privada.
  • Padrão Ouro: RSA, um algoritmo baseado na dificuldade de fatorar números primos muito grandes.
  • Vantagens:
    • Resolve o Problema da Chave: Não há troca de segredos. Você pode publicar seu cadeado em um outdoor.
    • Permite Autenticação e Não-Repúdio: Também pode ser usada para criar assinaturas digitais, provando que foi você quem enviou a mensagem.
  • A Dor que Cria:
    • Muito Lenta: É computacionalmente muito mais "cara" e lenta que a criptografia simétrica.

O Melhor dos Dois Mundos: Como o HTTPS Realmente Funciona

Se a simétrica é rápida mas tem problema de chave, e a assimétrica resolve o problema da chave mas é lenta, como a internet resolve isso? Usando as duas!

HACK PARA CERTIFICAÇÃO (Criptografia Híbrida - SSL/TLS): O Handshake TLS (o que acontece quando você vê o "cadeado" no navegador) é um processo de criptografia híbrida: 1. Seu navegador usa a Criptografia Assimétrica (lenta e segura) para uma única e pequena tarefa: negociar e trocar de forma segura uma chave simétrica temporária com o servidor. 2. Uma vez que ambos os lados têm essa chave simétrica secreta, eles abandonam a criptografia assimétrica. 3. Toda a comunicação pesada (o carregamento do site, o streaming do vídeo) é feita usando a Criptografia Simétrica (rápida e segura) com a chave que acabaram de trocar.

Criptografia na Prática na AWS

A AWS torna a implementação dessa criptografia complexa ridiculamente simples com serviços gerenciados.

Tipo de Proteção A Dor que Resolve Serviço Principal da AWS
Dados em Repouso "O que acontece se alguém roubar o disco físico do data center?" AWS KMS (Key Management Service): O "cofre" que gera e protege suas chaves de criptografia (AES-256). Você simplesmente marca uma caixa para criptografar seus buckets S3, volumes EBS e bancos de dados RDS.
Dados em Movimento "Como impedir que um ataque Man-in-the-Middle espione o tráfego do meu site?" AWS Certificate Manager (ACM): Fornece e gerencia os certificados SSL/TLS (os "cadeados públicos") gratuitamente. Você os anexa a um Elastic Load Balancer ou a uma distribuição CloudFront para ativar o HTTPS.

Dica de Mestre: Para a prova, saiba a finalidade de cada serviço: KMS é para gerenciar as chaves de criptografia (principalmente para dados em repouso). ACM é para gerenciar os certificados SSL/TLS (principalmente para dados em movimento).

O Guardião dos Dados: Criptografia, Hash e Controle de Acesso

No último guia, estabelecemos as promessas da segurança: Confidencialidade, Integridade e Disponibilidade (CIA). Agora, vamos abrir a caixa de ferramentas e conhecer os instrumentos de precisão que usamos para garantir cada uma dessas promessas.

Este guia é a sua masterclass em como proteger o "tesouro" – seus dados – em todos os seus estados e como controlar exatamente quem pode chegar perto dele.

1. Cumprindo a Confidencialidade: Criptografia na Prática

Já sabemos que a criptografia é o "cofre". Mas existem diferentes tipos de cofres para diferentes situações.

Criptografia de Dados em Repouso (At-Rest)

  • O que é? Proteger os dados que estão "parados", armazenados em um disco.
  • Analogia: Guardar o ouro dentro do cofre-forte do banco.
  • A Dor que Resolve: O que acontece se um ladrão conseguir roubar fisicamente um HD de um data center? Se os dados estiverem criptografados, tudo que ele terá é um monte de caracteres embaralhados e inúteis.
  • Como Fazer na AWS: A AWS torna isso trivial. Você pode habilitar a criptografia com um único clique em:
    • Volumes EBS: Criptografa todo o "HD" da sua instância EC2.
    • Buckets S3: Criptografa cada "arquivo" que você armazena.
    • Bancos de Dados RDS: Criptografa todo o seu banco de dados.
    • O AWS KMS (Key Management Service) gerencia as chaves secretas para você.

Criptografia de Dados em Movimento (In-Transit)

  • O que é? Proteger os dados enquanto eles viajam pela rede (internet).
  • Analogia: Transportar o malote de dinheiro do banco para uma filial usando um carro-forte blindado.
  • A Dor que Resolve: Ataques Man-in-the-Middle, onde um espião tenta interceptar a comunicação no meio do caminho.
  • Como Fazer na AWS:
    • SSL/TLS (HTTPS): É o "carro-forte" padrão da internet. Use o AWS Certificate Manager (ACM) para obter certificados SSL/TLS gratuitos e aplicá-los em seus Load Balancers e CloudFront.
    • VPN / IPsec: Para conectar seu escritório à sua VPC, você usa uma AWS VPN, que cria um "túnel criptografado" (usando o protocolo IPsec) sobre a internet, garantindo que a comunicação seja privada.

2. Cumprindo a Integridade: O Poder do Hash

  • O que é? Uma função de hash pega um arquivo de qualquer tamanho e gera uma "impressão digital" de texto única e de tamanho fixo (chamada de hash ou checksum). Se um único bit do arquivo original mudar, a impressão digital muda completamente.
  • Analogia: O "Selo de Lacre com um número de série único no malote de dinheiro".
  • A Dor que Resolve: "Fiz o download de um instalador de software. Como posso ter certeza de que ele não foi alterado por um hacker no meio do caminho ou corrompido durante o download?"
  • Como Funciona na Prática:
    1. O site do software te fornece o arquivo para download E a sua "impressão digital" (o hash MD5 ou SHA256).
    2. Você baixa o arquivo.
    3. Você usa uma ferramenta local (como md5sum no Linux) para gerar a impressão digital do arquivo que você baixou.
    4. Você compara as duas impressões digitais. Se forem idênticas, o arquivo é 100% íntegro.

Contexto AWS: O Amazon S3 usa hashes extensivamente por baixo dos panos para garantir a integridade dos seus dados. Cada objeto no S3 tem um ETag, que é um hash do objeto. Isso garante que seus dados não se corrompam enquanto estão armazenados.

3. Controlando o Acesso: DAC vs. RBAC

Garantir a confidencialidade e a integridade depende de um bom sistema de permissões. Existem duas filosofias principais para isso:

DAC (Discretionary Access Control)

  • Analogia: O "Dono da Sala".
  • Como Funciona: O proprietário de um recurso (ex: o criador de um arquivo) tem a discrição de conceder acesso a outros usuários. É um modelo descentralizado.
  • Exemplo: As permissões de arquivo padrão do Linux (chmod, chown) são uma forma de DAC.

RBAC (Role-Based Access Control)

  • Analogia: A "Política Central de Crachás do RH".
  • Como Funciona: O acesso não é concedido a pessoas, mas a funções (Roles). O RH define as funções ("Gerente", "Desenvolvedor", "Estagiário") e quais portas cada função pode abrir. Quando um novo funcionário chega, ele simplesmente recebe o crachá da sua função.
  • A Dor que Resolve: O caos de gerenciar permissões individuais para centenas ou milhares de usuários. O RBAC é muito mais escalável e fácil de auditar.

HACK PARA CERTIFICAÇÃO (O JEITO AWS): O AWS IAM foi construído em torno do modelo RBAC. A melhor prática na AWS, e um conceito-chave para a prova, não é anexar permissões diretamente a usuários. O fluxo correto é: 1. Crie Políticas que definem permissões granulares. 2. Crie Funções (Roles) (ex: "AcessoDeLeituraAoMarketing") e anexe as políticas a elas. 3. Coloque seus Usuários em Grupos (ex: "GrupoDeMarketing"). 4. Permita que os Grupos assumam as Funções necessárias para realizar seu trabalho.

Este é o RBAC em sua forma mais pura e a maneira correta de gerenciar permissões na AWS.