O que é o Princípio do Menor Privilégio (PoLP) e como o AWS IAM Access Analyzer ajuda nisso?
O que é: O Princípio do Menor Privilégio (Least Privilege) dita que um usuário, sistema ou processo deve ter apenas as permissões estritamente necessárias para realizar sua tarefa, e nada mais [web:46].
Como o IAM Access Analyzer funciona: É uma ferramenta da AWS que usa aprendizado de máquina e análise matemática para revisar os logs do AWS CloudTrail. Com base nas ações que o usuário ou a role realmente executou no passado (ex: nos últimos 30 dias), ele gera automaticamente uma política IAM customizada e fina (fine-grained) que reflete exatamente aquele uso [web:46][web:50].
Quando usar: Quando você tem uma política provisória ampla (como ‘AdministratorAccess’ ou ‘AmazonS3FullAccess’) usada durante o desenvolvimento, e quer reduzi-la para ir para a produção com segurança.
Exemplo de uso: Um Engenheiro de Dados recebe acesso total ao S3. Após uma semana de trabalho, o Access Analyzer verifica que ele só usou ‘s3:GetObject’ e ‘s3:PutObject’ no bucket ‘dados-raw’. A ferramenta gera a política contendo apenas essas duas permissões para esse bucket específico [web:50].
Vantagens vs Desvantagens (Comparado a escrever políticas IAM manualmente):
- Vantagem: Elimina o ‘achismo’ e o erro humano na criação de políticas, garantindo alta segurança de forma rápida e automatizada baseada no uso real [web:46][web:50].
- Desvantagem: Requer que as ações tenham ocorrido previamente e estejam registradas no CloudTrail para que ele saiba o que deve ser permitido.
O que é Masking (Mascaramento) de dados na AWS e onde está disponível?
O que é: É a técnica de ocultar total ou parcialmente dados confidenciais (PII - Personally Identifiable Information) sem alterar o formato geral ou a utilidade analítica básica daquele registro.
Como funciona: Ele substitui caracteres reais por símbolos como ‘X’ ou ‘*’.
Disponibilidade na AWS:
- AWS Glue DataBrew: Possui receitas de transformação visuais em que você pode mascarar colunas (ex: SSN, CPF) substituindo os primeiros dígitos [web:54][web:60].
- Amazon Redshift: Possui a funcionalidade de Dynamic Data Masking (DDM), que permite definir políticas onde certos usuários vêm os dados mascarados e outros usuários (com privilégios superiores) vêm os dados originais.
Quando usar: Quando você precisa compartilhar tabelas de dados de clientes com analistas de negócio ou cientistas de dados, mas não quer expor informações pessoais (como número de cartão de crédito) que eles não precisam para gerar relatórios [web:60].
Exemplo de uso: Você aplica uma regra no Redshift onde a coluna ‘Cartão de Crédito’ exiba ‘XXXX-XXXX-XXXX-1234’ para os analistas juniores.
Vantagens vs Desvantagens (Comparado a criptografia reversível):
- Vantagem: É computacionalmente leve, não precisa gerenciar chaves de criptografia e o dado continua visível em parte para análises de padrão.
- Desvantagem: Não pode ser revertido pelo usuário para encontrar o dado original (se a máscara for definitiva e gravada no arquivo).
O que é Anonymization (Anonimização) e quais são as suas técnicas?
O que é: É o processo de remover ou modificar informações que identificam pessoalmente um indivíduo dentro de um conjunto de dados de modo que ele nunca mais possa ser re-identificado [web:52][web:55].
Técnicas Comuns (Como funcionam):
- Random (Substituição Aleatória): Substitui nomes verdadeiros por nomes gerados aleatoriamente (ex: ‘João’ vira ‘Cliente_859’).
- Shuffle (Embaralhamento / Swapping): Troca os valores de uma coluna entre linhas aleatórias. Se você embaralhar as idades, a distribuição estatística (média/mediana) se mantém perfeita para análise de Machine Learning, mas a idade na linha 1 não pertence mais à pessoa da linha 1 [web:52][web:55].
- Encryptação: Transforma dados em um formato ilegível usando chaves (pode não ser estritamente anonimização se a chave vazar, mas protege o dado em repouso) [web:52].
- Hashing: Converte um dado (como um e-mail) em uma string de tamanho fixo irreconhecível [web:52][web:58].
Quando usar: Antes de liberar datasets sensíveis (como prontuários médicos ou dados de RH) para times externos, cientistas de dados ou para treinamentos de Inteligência Artificial [web:52].
Exemplo de uso: Um banco precisa que o time de dados crie um modelo de risco, mas não pode enviar a renda vinculada ao nome. A equipe aplica a técnica de ‘shuffle’ na coluna ‘salário’.
Vantagens vs Desvantagens:
- Vantagem: Protege a privacidade, isenta a empresa de pesadas multas da LGPD/GDPR e permite o uso massivo dos dados estatísticos [web:55].
- Desvantagem: Destrói permanentemente o nível de identificação na tabela (se feito em tabelas finais sem backup), impedindo ações transacionais como enviar um e-mail para o cliente.
O que é Key Salting (Salting de Senhas) em proteção de dados e como funciona?
O que é: ‘Salting’ (Adição de Sal) é uma técnica de criptografia onde uma string aleatória de caracteres (o ‘Salt’) é adicionada ao início ou ao final de uma senha/dado sensível antes de ele passar por uma função de Hashing [web:58].
Como funciona: Funções Hash normais (como SHA-256) sempre geram o mesmo resultado se a entrada for a mesma. Para evitar isso:
1. Você gera um ‘salt’ único (ex: ‘XyZ9’) para o Usuário A.
2. Anexa à senha dele: ‘Senha123’ + ‘XyZ9’.
3. Aplica o Hash na junção, obtendo um código único a ser salvo no banco.
Isso garante que, mesmo que o Usuário B também tenha a senha ‘Senha123’, ele terá um salt diferente (ex: ‘AbC1’), gerando um Hash totalmente diferente no final.
Quando usar: Sempre que precisar salvar senhas de usuários em bancos de dados (como Amazon RDS, DynamoDB ou Cognito) ou quando for anonimizar identificadores sensíveis muito comuns (como datas de nascimento).
Exemplo de uso: Durante a criação de um login, o sistema de back-end cria um salt de 16 caracteres únicos, o une com a senha digitada pelo cliente, realiza o Hash e salva tanto o Hash quanto o Salt no DynamoDB.
Vantagens vs Desvantagens (Comparado ao Hashing simples sem Salt):
- Vantagem: Protege completamente contra ataques de ‘Rainbow Tables’ (onde os hackers possuem listas pré-computadas de hashes de senhas comuns) e esconde quando duas pessoas usam a mesma senha fraca [web:58].
- Desvantagem: Exige o armazenamento adicional da string do ‘Salt’ para cada usuário junto do dado hasheado para permitir a futura verificação da senha no login.
O que são IAM Roles e como funcionam?
O que são: IAM Roles (Funções) são identidades do AWS IAM com políticas de permissão acopladas. Diferente de um Usuário IAM, uma Role não possui senhas ou chaves de acesso de longo prazo associadas a ela [web:61].
Como funciona: Qualquer entidade confiável (como um serviço AWS ou um usuário de outra conta) pode ‘assumir’ (assume) temporariamente essa Role. Ao fazer isso, a AWS fornece credenciais de segurança temporárias para a entidade [web:62].
Quando usar: Para conceder permissões temporárias a humanos ou, mais comumente, permitir que serviços da AWS acessem outros serviços da AWS sem a necessidade de codificar (hardcode) chaves dentro da aplicação [web:62][web:68].
Exemplo de uso: Você cria uma IAM Role com permissão de leitura no Amazon S3 e a anexa a uma instância do Amazon EC2. Assim, a aplicação rodando no EC2 pode baixar arquivos do S3 de forma segura e automática [web:62].
Vantagens vs Desvantagens:
- Vantagem (vs IAM Users): Elimina o risco de vazamento de credenciais fixas de longo prazo, já que a Role gera chaves rotativas temporárias.
- Desvantagem: Não foi feita para o controle e auditoria individual e diário de pessoas da sua equipe (para isso, usa-se IAM Identity Center ou Usuários IAM atrelados a pessoas físicas).
O que é criptografia em trânsito (TLS/SSL) e como funciona?
O que é: É a proteção dos dados enquanto eles trafegam através de uma rede (como a internet ou dentro da própria VPC da AWS), garantindo que não sejam interceptados.
Como funciona: Os dados são criptografados na origem usando um protocolo seguro (TLS - Transport Layer Security, sucessor do SSL) antes do envio. Quando o pacote chega ao destino seguro, ele é decriptografado [web:66]. Esse processo se baseia no uso de certificados TLS instalados no servidor/balanceador.
Quando usar: Sempre que houver comunicação de dados sensíveis entre o cliente e o servidor, ou entre microsserviços na nuvem.
Exemplo de uso: Um usuário acessa um dashboard de BI da sua empresa via navegador. O certificado digital garante que a URL comece com ‘HTTPS’ e que a senha de acesso viaje protegida contra interceptação de rede (sniffing).
Vantagens vs Desvantagens:
- Vantagem: Protege contra ataques do tipo Man-in-the-Middle (MITM).
- Desvantagem: Requer poder computacional extra para criptografar/decriptografar a rede em tempo real, além da necessidade de manutenção, emissão e renovação periódica de certificados (tarefa que o AWS Certificate Manager gerencia facilmente).
O que é Server-side Encryption (SSE) e Client-side Encryption (CSE)?
O que são e Como funcionam:
- Server-side encryption at rest (SSE): O dado viaja até a AWS (ex: até o S3) em texto plano (ou via TLS). O próprio serviço da AWS (o servidor) criptografa o dado segundos antes de gravá-lo no disco físico e o decriptografa automaticamente para o usuário quando este solicita a leitura, desde que tenha permissão.
- Client-side encryption (CSE): O dado é criptografado pelo usuário localmente no seu próprio ambiente (o cliente) antes de ser enviado para a AWS. A AWS recebe e guarda o arquivo já ilegível (cifrado). Para ler, o usuário baixa o arquivo cifrado e o decriptografa localmente [web:66].
Quando usar:
- Use SSE como padrão corporativo para a maioria dos casos de uso visando proteção contra roubo de discos nos datacenters.
- Use CSE apenas se a empresa tiver um rigoroso requisito de segurança (ex: setor bancário ou governamental) onde nem mesmo os administradores da AWS possam, em teoria, ler os dados crus.
Exemplo de uso: No Client-side, você usa o SDK de Criptografia da AWS no seu notebook para transformar uma tabela do Excel em um arquivo ininteligível e só depois faz o upload para o S3.
O que é o AWS KMS e como ele monitora o uso das chaves?
O que é: O AWS Key Management Service (KMS) é um serviço gerenciado de criação, armazenamento rotativo e controle seguro de chaves criptográficas (usadas no Client-side ou Server-side encryption) [web:72].
Como funciona: O KMS é centralizado e altamente integrado com mais de 100 outros serviços da AWS. Sempre que um dado precisa ser encriptado ou decriptografado via KMS, uma requisição de API é feita ao serviço [web:66][web:72].
Monitoramento (CloudTrail): Como toda ação de criptografia chama uma API do KMS, absolutamente todo uso de chave fica registrado no serviço AWS CloudTrail.
Quando usar: Como pilar de segurança em Engenharia de Dados na AWS para proteger arquivos no S3, tabelas no Redshift ou bancos no RDS.
Exemplo de uso: Você audita o CloudTrail e descobre exatamente qual Usuário IAM solicitou a leitura da chave KMS ontem às 15:00 para decriptografar um arquivo financeiro do S3.
Vantagens vs Desvantagens:
- Vantagem (vs Gerenciar próprias chaves em servidores EC2): Totalmente gerenciado, escalável, fisicamente protegido (usa módulos HSM validáveis pelo governo) e já tem integração nativa com os serviços AWS.
- Desvantagem: Possui um custo fixo mensal por chave e custo variável por requisição à API, o que pode encarecer a fatura em arquiteturas com bilhões de pequenas chamadas de criptografia diárias.
Qual é a diferença entre Chaves KMS Simétricas (AES-256) e Assimétricas (RSA/ECC)?
Chaves Simétricas:
- Como funcionam: Usa uma única chave (a mesma matemática) para tanto criptografar quanto decriptografar os dados. O material da chave nunca sai do hardware seguro do KMS, ou seja, para usá-la você sempre precisa fazer uma chamada de API ao AWS KMS [web:66][web:72].
- Uso: É o padrão absoluto para proteger dados em repouso (Data at rest) nos serviços da AWS (S3, EBS, RDS) [web:66].
Chaves Assimétricas:
- Como funcionam: Criam um par de chaves relacionadas matematicamente: uma chave pública e uma chave privada. A chave pública pode ser baixada e usada livremente fora da AWS para criptografar informações [web:66][web:72]. No entanto, a chave privada responsável por decriptografar não sai do KMS [web:66].
- Uso: Ideal para assinaturas digitais ou quando o remetente (cliente externo) não pode ter acesso direto e autenticado às APIs do KMS da sua conta da AWS, mas precisa de uma forma segura de lhe enviar dados encriptados.
Vantagens vs Desvantagens:
- Simétrica é extremamente mais rápida e de menor custo computacional, mas exige autorização rigorosa no acesso à API da chave única.
- Assimétrica resolve problemas de compartilhamento de chaves com entidades não confiáveis, mas o volume de dados suportado para encriptação direta é muito menor [web:69].
Quais são os 3 tipos de chaves do AWS KMS baseadas em propriedade (Owned, Managed, Customer Managed)?
Como funcionam e suas categorias:
- AWS Owned Keys (Chaves Propriedade da AWS): São chaves totalmente invisíveis que a própria AWS usa em background. Você não as gerencia e não possui controle nenhum. Custam zero ($0). Exemplo: Se você ativar o SSE-S3 ou o SSE-SQS clássico, você está usando chaves gratuitas da AWS [web:66][web:70].
- AWS Managed Keys (Chaves Gerenciadas pela AWS): São chaves criadas automaticamente na sua conta para uso com serviços específicos. Elas possuem o alias ‘aws/[nome do serviço]’ (ex: aws/s3). Você pode visualizar e auditar o uso no CloudTrail, mas não pode alterar a política de permissões ou rotação (elas rotacionam automaticamente a cada 1 ano). São gratuitas ($0) [web:70].
- Customer Managed Keys - CMK (Chaves Gerenciadas pelo Cliente): São as chaves que você (o usuário) cria e controla 100%. Você define quem pode usar as chaves e sua estratégia de rotação (anual ou customizada).
Quando usar a Customer Managed Key (CMK):
- Quando sua empresa exigir controle fino das permissões de quem criptografa e decriptografa, quando precisar compartilhar o arquivo encriptado com outra conta AWS (Cross-account) ou quando houver uma regulamentação estrita [web:73].
Vantagens vs Desvantagens (CMK vs Managed):
- Vantagem: Única que permite acesso cross-account (entre contas AWS diferentes) e controle total de auditoria e políticas de delegação [web:73].
- Desvantagem: Custa no mínimo $1 por mês por chave, além dos custos de requisições [web:70].
O que é o Amazon Macie e como ele funciona?
O que é: É um serviço de segurança de dados totalmente gerenciado que utiliza aprendizado de máquina (Machine Learning) e correspondência de padrões para descobrir e proteger dados sensíveis armazenados na AWS [web:77].
Como funciona: Ele examina automaticamente e de forma contínua os seus buckets do Amazon S3. Ele usa identificadores nativos da AWS ou expressões regulares (Regex) customizadas para encontrar PII (Informações de Identificação Pessoal), como números de cartão de crédito, CPFs, passaportes e chaves de API ocultas nos arquivos [web:80][web:83].
Quando usar: Quando sua empresa armazena dados de clientes no Data Lake (S3) e precisa cumprir rigorosamente com regulações de privacidade (como LGPD, GDPR ou HIPAA), garantindo que nenhum dado sensível esteja exposto acidentalmente ou sem criptografia [web:79].
Exemplo de uso: Você configura um trabalho (job) no Macie para varrer um bucket S3 de logs do servidor. O Macie detecta que um desenvolvedor acidentalmente logou milhares de e-mails e senhas de usuários em texto plano no arquivo e envia um alerta crítico para o AWS Security Hub [web:79][web:83].
Vantagens vs Desvantagens:
- Vantagem: Automação poderosa e nativa para o S3, não exigindo que você escreva scripts complexos de varredura de dados [web:79].
- Desvantagem: Funciona exclusivamente para o armazenamento no Amazon S3, não varrendo diretamente bancos de dados transacionais como o RDS ou DynamoDB.
O que é o AWS Secrets Manager e como ele lida com a rotação de segredos?
O que é: É um serviço de cofre digital usado para gerenciar, recuperar e rotacionar credenciais de banco de dados, chaves de API e outros segredos durante todo o seu ciclo de vida. Todos os segredos armazenados são obrigatoriamente criptografados em repouso pelo AWS KMS [web:81].
Como funciona a rotação: Você pode configurar o Secrets Manager para trocar a senha do seu banco de dados automaticamente (ex: a cada 30 dias). Ele faz isso acionando uma função do AWS Lambda. O Lambda se conecta ao banco de dados, gera uma nova senha aleatória, atualiza no banco e, em seguida, salva essa nova senha de volta no Secrets Manager [web:81][web:90].
Quando usar: Para eliminar credenciais fixas (hardcoded) no código-fonte das aplicações, garantindo que a aplicação faça uma chamada de API ao Secrets Manager em tempo de execução para pegar a senha mais atualizada.
Exemplo de uso: Um job do AWS Glue precisa acessar um banco de dados RDS PostgreSQL. Em vez de colocar a senha no script do Glue, o script chama a API do Secrets Manager, pega a senha e se conecta ao RDS.
Vantagens vs Desvantagens (Comparado ao AWS Systems Manager Parameter Store):
- Vantagem: O Secrets Manager possui a funcionalidade de rotação automática nativa via Lambda e integração profunda com o RDS/Redshift, recursos que o Parameter Store não possui de forma tão simplificada [web:81].
- Desvantagem: Tem um custo mensal fixo por segredo armazenado e um custo por cada 10.000 chamadas de API, enquanto o Parameter Store Standard é gratuito.
O que é o AWS WAF (Web Application Firewall) e como ele funciona?
O que é: É um firewall de aplicação web projetado para proteger suas APIs e sites contra ataques e explorações comuns que acontecem na Camada 7 do modelo OSI (Camada de Aplicação HTTP/HTTPS) [web:82][web:88].
Como funciona: Ele inspeciona o tráfego de entrada e permite que você crie regras granulares baseadas em [web:82][web:88]:
- Range de IPs (Listas de permissão/bloqueio)
- Conteúdo do Header (Cabeçalho), Body (Corpo) ou URI da requisição HTTP
- Geolocalização (bloquear acessos vindos de um país específico)
- Quantidade de requisições (Rate limiting para mitigar ataques de negação de serviço - DDoS na camada 7) [web:85]
Integrações Suportadas: Pode ser anexado diretamente no Application Load Balancer (ALB), Amazon API Gateway, Amazon CloudFront, AWS AppSync e Amazon Cognito User Pools [web:82][web:88].
Exemplo de uso com IP Fixo: Como o ALB possui IPs dinâmicos, para fornecer um IP fixo aos seus usuários enquanto ainda usa o WAF, você posiciona o AWS Global Accelerator na frente da arquitetura. O fluxo fica: Usuários > Global Accelerator (IP Fixo) > ALB (com AWS WAF anexado para inspecionar o tráfego HTTP).
Vantagens vs Desvantagens:
- Vantagem: Controle extremo sobre as requisições HTTP, protegendo contra SQL Injection e Cross-Site Scripting (XSS) [web:88].
- Desvantagem: Não protege recursos que não são HTTP(S) (como conexões diretas TCP a um banco de dados no EC2) ou ataques volumétricos massivos de infraestrutura nas camadas 3 e 4 [web:88].
O que é o AWS Shield e qual a diferença entre as versões Standard e Advanced?
O que é: É um serviço de proteção gerenciada contra ataques de negação de serviço distribuída (DDoS) que salvaguarda aplicações rodando na AWS [web:82][web:88].
Como funciona:
- AWS Shield Standard: É a versão gratuita, ativada automaticamente e por padrão para todos os clientes da AWS. Ela protege a rede contra os ataques DDoS mais comuns e frequentes nas camadas 3 (Rede) e 4 (Transporte), como ataques de inundação SYN e UDP reflection [web:88]. Não requer nenhuma configuração.
- AWS Shield Advanced: É a versão paga e premium. Ela expande a proteção DDoS para a camada 7 (integrando-se ao AWS WAF), oferece mitigação personalizada e automática [web:85], dá acesso à Equipe de Resposta DDoS (DRT) da AWS 24/7, e oferece ‘Cost Protection’ (reembolso por picos na fatura causados pelo tráfego massivo do ataque) [web:88].
Quando usar: A versão Standard sempre estará lá. A versão Advanced deve ser ativada apenas para aplicações web de altíssima criticidade onde ficar offline por alguns minutos resulta em milhões de dólares de prejuízo.
Exemplo de uso: Durante a Black Friday, concorrentes disparam um ataque DDoS de 100 Gbps contra seu e-commerce via CloudFront. O Shield Standard absorve automaticamente o volume na borda da rede AWS, mantendo sua loja online e acessível.
Vantagens vs Desvantagens:
- Vantagem (Advanced): Proteção financeira e assistência humana dedicada de especialistas em segurança cibernética durante um ataque [web:88].
- Desvantagem (Advanced): Custo base extremamente alto (aproximadamente $3.000 por mês apenas para assinar o serviço), o que o torna inviável para pequenas e médias empresas [web:88].
