Parte da nossa série Security & Cybersecurity
Leia o guia completoGerenciamento de postura de segurança na nuvem: práticas recomendadas AWS, Azure e GCP
A configuração incorreta é a principal causa de violações de segurança na nuvem. Não explorações sofisticadas de dia zero ou ameaças persistentes avançadas – configurações incorretas simples, como buckets S3 públicos, políticas IAM excessivamente permissivas e bancos de dados não criptografados. O Gartner estima que até 2027, 99% das falhas de segurança na nuvem serão culpa do cliente, decorrentes de erros de configuração evitáveis.
O desafio é a escala. Uma conta corporativa típica da AWS contém milhares de recursos, centenas de políticas IAM e dezenas de configurações de rede. Cada um deles é uma configuração incorreta em potencial esperando para se tornar uma violação. Multiplique isso em implantações multinuvem, abrangendo AWS, Azure e GCP, e o gerenciamento manual da segurança se tornará impossível. O Cloud Security Posture Management (CSPM) automatiza a avaliação e correção contínuas dessas configurações.
Principais conclusões
- O modelo de responsabilidade compartilhada significa que os provedores de nuvem protegem a infraestrutura, mas você é responsável pela configuração, controle de acesso e proteção de dados
- A configuração incorreta do IAM é o risco de segurança na nuvem mais perigoso: uma única política excessivamente permissiva pode expor todo o seu ambiente
- A criptografia em repouso e em trânsito deve ser explicitamente habilitada e verificada para cada armazenamento de dados e canal de comunicação
- As ferramentas CSPM fornecem monitoramento contínuo de conformidade em ambientes multinuvem, reduzindo o esforço de auditoria manual em 80%
O modelo de responsabilidade compartilhada
Toda discussão sobre segurança na nuvem começa com o modelo de responsabilidade compartilhada. Compreender onde termina a responsabilidade do provedor de nuvem e começa a sua é essencial para evitar as lacunas de suposições que levam a violações.
Distribuição de responsabilidades por modelo de serviço
| Domínio de Segurança | IaaS (EC2, VMs) | PaaS (RDS, serviço de aplicativo) | SaaS (S3, Cosmos DB) |
|---|---|---|---|
| Segurança física | Provedor | Provedor | Provedor |
| Infraestrutura de rede | Provedor | Provedor | Provedor |
| Sistema operacional hipervisor/host | Provedor | Provedor | Provedor |
| Patch de sistema operacional convidado | Cliente | Provedor | Provedor |
| Segurança de aplicativos | Cliente | Cliente | Provedor |
| Criptografia de dados | Cliente | Cliente | Cliente |
| Configuração IAM | Cliente | Cliente | Cliente |
| Configuração de rede | Cliente | Cliente | Cliente |
| Registro e monitoramento | Cliente | Cliente | Cliente |
| Validação de conformidade | Cliente | Cliente | Cliente |
O padrão é claro: independentemente do modelo de serviço, o cliente é sempre responsável pelo IAM, proteção de dados, configuração de rede e monitoramento. Estas são as áreas onde o CSPM oferece mais valor.
Políticas IAM e controle de acesso
A configuração incorreta do IAM é consistentemente o risco de segurança na nuvem mais perigoso. Uma política de IAM excessivamente permissiva pode conceder aos invasores acesso a todos os recursos do seu ambiente de nuvem. O Cloud IAM também é a área mais complexa para gerenciar corretamente, com cada provedor usando diferentes linguagens de políticas e modelos de herança.
Práticas recomendadas de IAM em provedores de nuvem
| Prática | AWS | Azul | GCP |
|---|---|---|---|
| Privilégio mínimo | Analisador de acesso IAM, escopo de política | Gerenciamento de identidade privilegiada (PIM) | Recomendador IAM, solucionador de problemas de política |
| Sem uso de administrador raiz/global | Conta root segura com MFA, nunca use para tarefas diárias | Apenas administrador global break-glass | Administrador seguro da organização, use funções em nível de projeto |
| Contas de serviço | Funções IAM para EC2 (perfis de instância) | Identidades gerenciadas para recursos do Azure | Contas de serviço com rotação de chaves |
| Aplicação da AMF | Política IAM que exige MFA, chave de hardware para root | Políticas de acesso condicional MFA | Aplicação da verificação em duas etapas |
| Revisão de acesso | Acesso não utilizado do IAM Access Analyzer | Acessar avaliações no Entra ID | Analisador de políticas, registros de auditoria |
| Limites políticos | Limites de permissão, SCPs | Grupos de gerenciamento, Azure Policy | Políticas da organização, políticas de negação do IAM |
Antipadrões críticos de IAM
Permissões curinga. As políticas que concedem "Action": "*" ou "Resource": "*" são o equivalente na nuvem a deixar a porta da frente aberta. Cada política deve especificar ações e recursos exatos.
Chaves de acesso de longa duração. Chaves de acesso estáticas para usuários do IAM (AWS) ou chaves de conta de serviço (GCP) são alvos de alto valor. Use credenciais temporárias por meio de suposição de função (AWS STS), identidades gerenciadas (Azure) ou federação de identidade de carga de trabalho (GCP).
Confiança entre contas sem condições. Políticas de confiança que permitem que qualquer principal de outra conta assuma uma função criam caminhos de movimento laterais. Sempre inclua condições (ID externo, IP de origem, requisito de MFA).
Permissões não utilizadas. Com o tempo, as políticas do IAM acumulam permissões que foram concedidas para tarefas únicas e nunca revogadas. Execute revisões de acesso mensalmente usando o IAM Access Analyzer (AWS), o Access Reviews (Azure) ou o IAM Recommender (GCP).
Criptografia em repouso e em trânsito
A criptografia protege os dados contra acesso não autorizado, mesmo quando outros controles falham. Em ambientes de nuvem, a criptografia deve ser explicitamente configurada e verificada para cada armazenamento de dados e canal de comunicação.
Criptografia em repouso
| Categoria de serviço | AWS | Azul | GCP |
|---|---|---|---|
| Armazenamento de objetos | S3 SSE-S3 (padrão), SSE-KMS, SSE-C | Criptografia do serviço de armazenamento (padrão), CMK | Criptografia padrão do Cloud Storage, CMEK |
| Armazenamento em bloco | Criptografia EBS (por volume, padrão possível) | Criptografia de disco gerenciado (padrão) | Criptografia de disco permanente (padrão) |
| Bancos de dados | Criptografia RDS (habilitar na criação), DynamoDB (padrão) | Banco de dados SQL TDE (padrão), Cosmos DB (padrão) | Criptografia Cloud SQL (padrão), Firestore (padrão) |
| Gerenciamento de chaves | KMS (gerenciado pela AWS ou CMK) | Cofre de chaves | Nuvem KMS |
| Segredos | Gerenciador de segredos, armazenamento de parâmetros SSM | Segredos do Cofre de Chaves | Gerenciador de segredos |
Práticas recomendadas:
- Ativar criptografia padrão para todos os serviços de armazenamento no nível de conta/assinatura/projeto
- Use chaves gerenciadas pelo cliente (CMK) para dados confidenciais para manter o controle sobre o ciclo de vida e a rotação das chaves
- Automatizar a rotação de chaves em uma programação de 90 a 365 dias, dependendo da sensibilidade dos dados
- Separar o acesso à chave do acesso aos dados --- os usuários que podem ler dados não devem ser capazes de gerenciar chaves de criptografia
- Ativar proteção contra exclusão nas chaves e exigir autorização de várias partes para destruição de chaves
Criptografia em trânsito
- TLS 1.2 mínimo para todos os endpoints externos. TLS 1.3 preferido para desempenho e segurança.
- Aplicar HTTPS no balanceador de carga, CDN e nível de aplicativo. Redirecione HTTP para HTTPS.
- Criptografia interna entre camadas de aplicativos usando TLS ou TLS mútuo (mTLS). Não presuma que o tráfego da rede interna é seguro.
- Conexões de banco de dados devem usar TLS. Habilite
require_ssl(PostgreSQL),require_secure_transport(MySQL) ou equivalente para todos os serviços de banco de dados. - Gerenciamento de certificados por meio do AWS Certificate Manager, Azure Key Vault ou certificados gerenciados pelo Google. Automatize a renovação para evitar interrupções de expiração.
VPC e segurança de rede
A configuração de rede na nuvem cria os limites de isolamento que contêm o raio de explosão quando (e não se) um recurso estiver comprometido.
Melhores práticas de arquitetura de rede
Design de VPC/VNet. Crie VPCs separadas para ambientes de produção, preparação e desenvolvimento. Nunca compartilhe uma VPC entre ambientes com requisitos de segurança diferentes.
Isolamento de sub-rede. Use sub-redes públicas apenas para recursos que devem ser acessíveis pela Internet (balanceadores de carga, gateways NAT). Coloque servidores de aplicativos, bancos de dados e serviços internos em sub-redes privadas sem acesso direto à Internet.
Grupos de segurança/NSGs. Aplique o princípio do menor privilégio às regras de rede:
- Permitir apenas portas e protocolos necessários
- Restringir IPs de origem a intervalos conhecidos (não 0.0.0.0/0)
- Use referências de grupos de segurança (fonte = outro grupo de segurança) em vez de intervalos de IP para comunicação interna
- Revise e remova regras não utilizadas trimestralmente
Segmentação de rede para plataformas de negócios. Para organizações que executam plataformas de ERP e comércio eletrônico:
| Nível | Recursos | Acesso à rede |
|---|---|---|
| Público | Balanceador de carga, CDN | Entrada 443 da Internet |
| Aplicação | Servidores Web, servidores API | Entrada somente do balanceador de carga |
| Dados | Bancos de dados, caches, pesquisa | Entrada somente da camada de aplicativo |
| Gestão | Bastião, CI/CD, monitoramento | Restrito a IPs administrativos via VPN/IAP |
| Integração | Conectores de mercado, webhooks | Saída apenas para endpoints de API específicos |
Recursos de segurança de rede do provedor de nuvem
| Recurso | AWS | Azul | GCP |
|---|---|---|---|
| Rede virtual | VPC | Rede virtual | VPC |
| Firewall de rede | Firewall de rede, WAF | Firewall do Azure, WAF | Armadura de nuvem, firewall de nuvem |
| Proteção DDoS | Shield Standard (grátis), Shield Advanced | Proteção DDoS Básica (gratuita), Padrão | Armadura de Nuvem |
| Conectividade privada | PrivateLink, endpoints VPC | Link privado, terminais de serviço | Conexão de serviço privado |
| Segurança DNS | Rota 53 DNSSEC | DNS do Azure DNSSEC | Nuvem DNS DNSSEC |
| Registro de fluxo | Registros de fluxo de VPC | Registros de fluxo NSG | Registros de fluxo de VPC |
Registro, monitoramento e detecção
Você não pode proteger o que não pode ver. O registro e o monitoramento na nuvem fornecem a visibilidade necessária para detectar ameaças, investigar incidentes e manter a conformidade.
Registro essencial na nuvem
| Tipo de registro | AWS | Azul | GCP | Por que é importante |
|---|---|---|---|---|
| Auditoria de API | CloudTrail | Registro de atividades | Registros de auditoria em nuvem | Cada chamada de API (quem fez o quê, quando) |
| Fluxo de rede | Registros de fluxo de VPC | Registros de fluxo NSG | Registros de fluxo de VPC | Padrões de tráfego de rede, anomalias |
| Registros de acesso | Logs de acesso S3/ALB/CloudFront | Análise de armazenamento, gateway de aplicativos | Registros de acesso do Cloud Storage | Padrões de acesso a recursos |
| Consultas DNS | Registro de consulta do Route 53 | Análise de DNS | Registro de DNS na nuvem | Detecção C2, exfiltração de dados |
| Alterações na configuração | Configuração AWS | Política do Azure, acompanhamento de alterações | Inventário de ativos em nuvem | Detecção de desvios, conformidade |
| Detecção de ameaças | GuardaDever | Microsoft Defender para nuvem | Centro de Comando de Segurança | Identificação automatizada de ameaças |
Práticas recomendadas de registro
Ative o CloudTrail/Log de atividades/Logs de auditoria em todas as regiões. Os invasores operam deliberadamente em regiões que você não está monitorando. O registro multirregional elimina pontos cegos.
Centralize logs. Envie todos os logs para um SIEM central ou plataforma de gerenciamento de logs (Splunk, Elastic, Datadog ou opções nativas da nuvem, como AWS Security Lake, Azure Sentinel ou Google Chronicle). A correlação entre fontes é essencial para detectar ataques em vários estágios.
Proteja a integridade dos logs. Armazene os logs em uma conta separada e imutável. Habilite a validação do arquivo de log (arquivos de resumo do CloudTrail). Se um invasor puder excluir logs, ele poderá encobrir seus rastros.
Defina períodos de retenção. Mínimo de 90 dias para logs operacionais. Mínimo de 1 ano para registros de segurança e auditoria. Os requisitos regulamentares (PCI DSS, SOX) podem exigir uma retenção mais longa.
Alerta sobre eventos críticos. Defina alertas para atividades de alto risco:
- Login de administrador raiz/global
- Mudanças na política do IAM
- Modificações no grupo de segurança abrindo acesso
- Criação de recursos em regiões incomuns
- Exclusão ou modificação da chave de criptografia
- Chamadas de API não autorizadas (padrões de acesso negado)
Ferramentas e implementação de CSPM
As ferramentas CSPM automatizam a avaliação contínua das configurações da nuvem em relação às melhores práticas de segurança, estruturas de conformidade e políticas personalizadas.
Comparação de ferramentas CSPM
| Ferramenta | Multinuvem | Pontos fortes | Modelo de preços |
|---|---|---|---|
| Hub de segurança da AWS | Somente AWS | Integração nativa, benchmarks CIS/NIST | Pagamento por cheque |
| Microsoft Defender para Nuvem | AWS, Azure, GCP | Forte integração com Azure, CSPM + CWPP | Camadas por recurso |
| Centro de comando de segurança do Google | GCP (AWS/Azure limitado) | GCP nativo, detecção de ameaças integrada | Padrão (grátis) + Premium |
| Nuvem Prisma (Palo Alto) | AWS, Azure, GCP, OCI | Abrangente, CSPM + CWPP + CNAPP | Por recurso, por mês |
| Wiz | AWS, Azure, GCP, OCI | Análise de risco baseada em gráficos e sem agente | Por carga de trabalho |
| Segurança Orca | AWS, Azure, GCP, Alibaba | Tecnologia SideScanning sem agente | Por ativo |
| Rendas | AWS, Azure, GCP | Detecção de anomalias comportamentais | Por carga de trabalho |
| Checkov (código aberto) | Todos (varredura IaC) | Verificação gratuita de infraestrutura como código | Grátis |
Implementando CSPM
Fase 1: Visibilidade. Conecte o CSPM a todas as contas e assinaturas na nuvem. Faça uma avaliação inicial para estabelecer a postura inicial. Espere centenas a milhares de descobertas na primeira varredura.
Fase 2: Priorização. Nem todas as descobertas são iguais. Priorize com base em:
- Explorabilidade (a configuração incorreta está voltada para a Internet?)
- Sensibilidade de dados (o recurso contém dados confidenciais?)
- Raio de explosão (o que um invasor pode alcançar com este recurso?)
- Impacto na conformidade (essa descoberta afeta a conformidade regulatória?)
Fase 3: Remediação. Aborde primeiro as descobertas críticas e elevadas. Use a correção automática do CSPM para correções seguras (habilitando a criptografia, fechando o acesso público). Correção manual para mudanças complexas (reestruturação de políticas de IAM, redesenho de rede).
Fase 4: Prevenção. Integre o CSPM em pipelines de CI/CD usando varredura de infraestrutura como código (Checkov, tfsec) para evitar que configurações incorretas cheguem à produção. Implemente práticas seguras de SDLC para código de infraestrutura.
Fase 5: Conformidade contínua. Mapeie regras CSPM para estruturas de conformidade (CIS Benchmarks, NIST 800-53, PCI DSS, SOC 2). Gere relatórios de conformidade automatizados. Acompanhe a pontuação da postura ao longo do tempo.
Considerações de segurança multinuvem
As organizações que executam cargas de trabalho em vários provedores de nuvem enfrentam complexidade adicional:
Identidade unificada. Federe a identidade em todos os provedores de nuvem por meio de um único IdP. Use a federação SAML/OIDC para AWS, Azure e GCP a partir de um provedor de identidade centralizado como Authentik ou Okta. Isso fornece gerenciamento de acesso consistente e revogação de ponto único.
Política consistente. Defina políticas de segurança uma vez e aplique-as em todas as nuvens. Use ferramentas de política como código (OPA/Rego, Sentinel, Cloud Custodian) que oferecem suporte a definições de políticas multinuvem.
Registro centralizado. Envie logs de todos os provedores de nuvem para um único SIEM para correlação entre nuvens. Um ataque que gira entre provedores de nuvem é invisível para o monitoramento de nuvem única.
Segurança de interconexão de rede. As conexões nuvem a nuvem (AWS-Azure VPN, interconexão GCP-AWS) devem ser criptografadas e monitoradas. Essas conexões criam possíveis caminhos de movimento lateral entre os provedores.
Etiquetagem consistente. Implemente uma estratégia unificada de etiquetagem de recursos em todas as nuvens para alocação de custos, rastreamento de propriedade e aplicação de políticas de segurança.
Perguntas frequentes
Qual é a configuração incorreta de segurança na nuvem mais comum?
Políticas de IAM excessivamente permissivas. Isto inclui permissões curinga (permitindo todas as ações em todos os recursos), chaves de acesso não utilizadas com permissões amplas e funções que podem ser assumidas sem condições adequadas. As configurações incorretas do IAM são particularmente perigosas porque afetam a conta inteira, e não apenas um único recurso. Use o IAM Access Analyzer (AWS), o Access Reviews (Azure) ou o IAM Recommender (GCP) para identificar e corrigir identidades com privilégios excessivos.
Preciso de uma ferramenta CSPM se usar um único provedor de nuvem?
Sim, até mesmo ambientes de nuvem única se beneficiam do CSPM. Os provedores de nuvem oferecem ferramentas de segurança nativas (Security Hub, Defender for Cloud, Security Command Center) que fornecem recursos de CSPM a um custo mínimo. Essas ferramentas identificam configurações incorretas, comparam-nas com os padrões CIS e fornecem orientação para correção. A questão não é se você precisa do CSPM, mas se você precisa de um CSPM de terceiros (valioso para múltiplas nuvens, análises mais profundas ou relatórios de conformidade além do que as ferramentas nativas fornecem).
Como posso proteger modelos de infraestrutura como código (IaC)?
Digitalize modelos IaC (Terraform, CloudFormation, Bicep, Pulumi) antes da implantação usando ferramentas como Checkov, tfsec ou Bridgecrew. Integre a digitalização às verificações de pull request para que configurações incorretas sejam detectadas antes de chegarem à produção. Defina políticas personalizadas para os padrões de segurança da sua organização. Mantenha uma biblioteca de módulos IaC aprovados e com segurança revisada que as equipes possam reutilizar em vez de escrever do zero.
Qual é a diferença entre CSPM e CWPP?
CSPM (Cloud Security Posture Management) concentra-se na correção da configuração: seus recursos de nuvem estão configurados de forma segura? CWPP (Cloud Workload Protection Platform) concentra-se na proteção em tempo de execução: suas cargas de trabalho em execução estão protegidas contra ameaças? O CSPM evita que configurações incorretas criem vulnerabilidades. O CWPP detecta e responde a ameaças ativas direcionadas a cargas de trabalho. As plataformas modernas de segurança em nuvem (Prisma Cloud, Wiz, Orca) combinam ambos os recursos em uma única plataforma, às vezes chamada de CNAPP (Cloud-Native Application Protection Platform).
Como lidamos com a segurança na nuvem para serviços gerenciados de terceiros?
Quando um provedor de serviços gerenciados (MSP) gerencia seu ambiente de nuvem, delineie claramente as responsabilidades no contrato. Exigir que o MSP mantenha a certificação SOC 2 Tipo II cobrindo suas práticas de gerenciamento de nuvem. Mantenha a propriedade das contas na nuvem (nunca deixe o MSP possuir o administrador raiz/global). Implemente o CSPM com acesso da sua própria equipe para verificação independente. Inclua SLAs de segurança (cadência de patches, tempos de resposta a incidentes) no contrato de serviço.
O que vem a seguir
O gerenciamento da postura de segurança na nuvem não é um projeto com data de término: é uma prática contínua que evolui com seu ambiente de nuvem. Comece entendendo o modelo de responsabilidade compartilhada para cada serviço que você usa e, em seguida, implemente controles fundamentais: IAM com privilégios mínimos, criptografia em todos os lugares, segmentação de rede e registro abrangente. Coloque ferramentas CSPM no topo para avaliação contínua e automação de conformidade.
ECOSIRE cria e protege infraestrutura em nuvem para plataformas de negócios executadas em AWS, Azure e GCP. Nossas implantações de ERP Odoo usam configurações de nuvem reforçadas com monitoramento CSPM, e nossa infraestrutura de IA OpenClaw implementa arquitetura de rede de confiança zero em cargas de trabalho de nuvem. Entre em contato com nossa equipe para uma avaliação da postura de segurança na nuvem.
Publicado por ECOSIRE --- ajudando empresas a escalar com soluções baseadas em IA em Odoo ERP, Shopify eCommerce e OpenClaw AI.
Escrito por
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Expanda o seu negócio com ECOSIRE
Soluções empresariais em ERP, comércio eletrônico, IA, análise e automação.
Artigos Relacionados
Guia de implantação do AWS EC2 para aplicativos da Web
Guia completo de implantação do AWS EC2: seleção de instâncias, grupos de segurança, implantação de Node.js, proxy reverso Nginx, SSL, escalonamento automático, monitoramento CloudWatch e otimização de custos.
Hospedagem em nuvem para ERP: AWS vs Azure vs Google Cloud
Uma comparação detalhada de AWS, Azure e Google Cloud para hospedagem de ERP em 2026. Abrange desempenho, custo, disponibilidade regional, serviços gerenciados e recomendações específicas de ERP.
Estratégia multinuvem para empresas: AWS, Azure e GCP
Um guia abrangente para a estratégia empresarial multinuvem em 2026: benefícios, desafios, posicionamento de carga de trabalho, gerenciamento de custos e governança para AWS, Azure e Google Cloud.
Mais de Security & Cybersecurity
API Security 2026: Melhores práticas de autenticação e autorização (alinhado com OWASP)
Guia de segurança de API 2026 alinhado ao OWASP: OAuth 2.1, PASETO/JWT, chaves de acesso, RBAC/ABAC/OPA, limitação de taxa, gerenciamento de segredos, registro de auditoria e os 10 principais erros.
Cibersegurança para comércio eletrônico: proteja sua empresa em 2026
Guia completo de segurança cibernética de comércio eletrônico para 2026. PCI DSS 4.0, configuração WAF, proteção de bot, prevenção de fraudes em pagamentos, cabeçalhos de segurança e resposta a incidentes.
Tendências de segurança cibernética 2026-2027: confiança zero, ameaças de IA e defesa
O guia definitivo para tendências de segurança cibernética para 2026-2027: ataques impulsionados por IA, implementação de confiança zero, segurança da cadeia de suprimentos e construção de programas de segurança resilientes.
Práticas recomendadas de segurança para agentes de IA: protegendo sistemas autônomos
Guia abrangente para proteger agentes de IA, abrangendo defesa de injeção imediata, limites de permissão, proteção de dados, registro de auditoria e segurança operacional.
Práticas recomendadas de segurança na nuvem para pequenas e médias empresas: proteja sua nuvem sem uma equipe de segurança
Proteja sua infraestrutura em nuvem com práticas recomendadas para IAM, proteção de dados, monitoramento e conformidade que as pequenas e médias empresas podem implementar sem uma equipe de segurança dedicada.
Requisitos regulatórios de segurança cibernética por região: um mapa de conformidade para empresas globais
Navegue pelas regulamentações de segurança cibernética nos EUA, UE, Reino Unido, APAC e Oriente Médio. Abrange regras NIS2, DORA, SEC, requisitos de infraestrutura crítica e cronogramas de conformidade.