Segurança em nuvem é o conjunto de controles técnicos, processos e políticas que protege dados, cargas de trabalho e infraestrutura hospedados em provedores como AWS, Azure e GCP. A premissa fundamental é que a nuvem não é inerentemente mais segura nem mais insegura do que o data center local — ela é diferente, e os ataques exploram exatamente quem não entende essa diferença.
Modelo de Responsabilidade Compartilhada
Todo provedor de nuvem opera sob um contrato implícito chamado modelo de responsabilidade compartilhada. O provedor garante a segurança da nuvem: hardware físico, hipervisores, rede global, zonas de disponibilidade e serviços gerenciados. O cliente é responsável pela segurança na nuvem: configuração dos serviços, identidades e permissões, dados armazenados, criptografia, código das aplicações e, no modelo IaaS, o sistema operacional e as dependências instaladas.
Na prática, esse limite muda conforme o modelo de serviço:
| Modelo | Responsabilidade do Provedor | Responsabilidade do Cliente |
|---|---|---|
| IaaS (EC2, Azure VM) | Infraestrutura física, hipervisor, rede | SO, runtime, aplicação, dados, IAM, rede virtual |
| PaaS (RDS, App Service) | + SO e runtime gerenciado | Aplicação, dados, IAM, configuração do serviço |
| SaaS (Microsoft 365, Salesforce) | Quase tudo técnico | Configuração, acesso de usuários, dados inseridos |
A maioria dos incidentes ocorre na camada do cliente. Segundo o Cloud Security Alliance (CSA) Top Threats to Cloud Computing 2023, as categorias que mais geraram brechas foram misconfiguration, controle inadequado de identidades e interfaces de API inseguras — todas responsabilidade exclusiva do cliente.
Principais Riscos em Ambientes de Nuvem
1. Misconfiguration
Buckets de armazenamento públicos, grupos de segurança com acesso irrestrito (0.0.0.0/0 em portas sensíveis), instâncias de banco de dados sem autenticação e funções Lambda com permissões de administrador são erros de configuração que expõem dados antes mesmo de qualquer ataque sofisticado. O custo médio de uma brecha por misconfiguration, segundo o IBM Cost of a Data Breach Report 2024, foi de US$ 4,5 milhões.
2. IAM Excessivo e Credenciais Comprometidas
Ambientes cloud acumulam permissões ao longo do tempo. Uma conta de serviço criada para uma tarefa pontual retém acesso de administrador por anos. Chaves de acesso programático (access keys) são expostas em repositórios Git, variáveis de ambiente de CI/CD ou logs de depuração. O conceito de excessive permissions é central: em ambientes auditados pela Decripte, mais de 70% das permissões IAM efetivas nunca são exercidas — cada uma é uma superfície de ataque latente.
3. Dados Expostos Sem Criptografia
Bancos de dados sem criptografia em repouso, snapshots públicos e backups armazenados em buckets sem SSE representam risco direto de exfiltração silenciosa. A criptografia precisa ser aplicada em três camadas: em repouso (SSE/CMK), em trânsito (TLS 1.2+) e, quando aplicável, em uso (computação confidencial com Intel TDX ou AMD SEV-SNP em cargas PCI/saúde).
4. Shadow Cloud e Sprawl de Contas
Shadow cloud ocorre quando equipes criam contas, projetos ou subscrições fora da governança central de TI — seja por agilidade, seja por desconhecimento de políticas. Essas contas não passam por revisões de segurança, não têm logging ativado e frequentemente ficam abandonadas com credenciais válidas. O inventário completo de ativos cloud é pré-requisito para qualquer programa de segurança.
5. APIs Inseguras e Superfície de Ataque Serverless
Funções serverless (AWS Lambda, Azure Functions) e APIs expostas sem autenticação adequada, sem rate limiting e sem validação de entrada são vetores crescentes. A natureza efêmera das funções dificulta forensics pós-incidente se não houver logging estruturado desde o início.
Pilares Técnicos da Segurança em Nuvem
IAM e Menor Privilégio
Implemente o princípio do menor privilégio (least privilege) de forma sistemática: toda identidade — humana ou de máquina — recebe apenas as permissões necessárias para a função específica, revisadas periodicamente. Na AWS, use o IAM Access Analyzer para detectar permissões que atravessam fronteiras de contas. No Azure, o Privileged Identity Management (PIM) oferece acesso just-in-time com aprovação. No GCP, o IAM Recommender sugere downscope baseado em uso real dos últimos 90 dias.
MFA é obrigatório para todas as identidades humanas. Para resistência a phishing, priorize FIDO2/passkeys sobre TOTP. Nunca use a conta root/Owner sem MFA e nunca crie credenciais programáticas para ela.
Criptografia
Habilite criptografia em repouso em todos os serviços de armazenamento com chaves gerenciadas pelo cliente (CMK) no AWS KMS, Azure Key Vault ou Google Cloud KMS. Defina política de rotação automática (mínimo anual). Remova segredos hardcoded com ferramentas de análise de repositório (Gitleaks, Trufflehog). Gerencie credenciais dinâmicas com AWS Secrets Manager ou HashiCorp Vault — rotação automática elimina a janela de exposição de credenciais estáticas.
Segmentação de Rede
VPCs são o piso, não o teto. Segmente sub-redes por camada (pública, aplicação, dados), aplique Security Groups restritivos (deny-all por padrão, allow explícito), ative VPC Flow Logs para análise forense e use Network Firewall ou Azure Firewall para inspeção de tráfego Leste-Oeste. Para cargas que precisam de acesso à internet, prefira NAT Gateway à exposição direta. Private Endpoints/PrivateLink eliminam o tráfego de serviços gerenciados pela internet pública.
Logging, Monitoramento e Resposta
Sem logs, não há detecção nem forensics. A trilogia mínima: CloudTrail (ações de API), Config (mudanças de configuração) e VPC Flow Logs (tráfego de rede) na AWS — equivalentes no Azure e GCP. Centralize logs em um SIEM externo à conta comprometida (S3 com Object Lock ou Log Analytics Workspace com retenção imutável). Configure alertas para criação de usuários IAM, desativação de CloudTrail, mudanças em políticas de bucket e logins de regiões atípicas. O tempo médio de detecção (MTTD) sem alertas automatizados chega a 197 dias — inaceitável.
Backup e Recuperação
Backups precisam ser testados. Ative AWS Backup com cofre imutável (vault lock), teste restores trimestralmente, mantenha cópias fora da conta principal (cross-account ou cross-region) e valide que a Política de Prevenção de Deleção impede que ransomware apague snapshots via API comprometida.
CSPM, CNAPP e CIEM
CSPM (Cloud Security Posture Management) varre continuamente suas contas em busca de desvios de configuração em relação a benchmarks como CIS AWS Foundations, NIST 800-53 e PCI-DSS. Ferramentas nativas como AWS Security Hub, Microsoft Defender for Cloud e Google Security Command Center oferecem pontuação de postura sem custo adicional relevante — não há desculpa para não habilitá-las.
CNAPP (Cloud-Native Application Protection Platform) converge CSPM, CWPP (proteção de cargas de trabalho), CIEM e análise de código de infraestrutura (IaC scanning) em uma única plataforma. Wiz, Orca Security e Prisma Cloud são os líderes de mercado; detectam riscos em contexto — uma misconfiguration em um bucket só é crítica se estiver conectada a uma identidade superexposta e a dados sensíveis.
CIEM (Cloud Infrastructure Entitlement Management) foca especificamente no problema de permissões excessivas: mapeia todas as permissões efetivas (não apenas as concedidas), identifica toxic combinations (ex.: ListBuckets + GetObject + DeleteObject em uma mesma role de aplicação) e recomenda ou aplica downsizing automático. Em ambientes multi-cloud, o CIEM é essencial porque cada provedor tem modelos de permissão distintos e impossíveis de gerenciar manualmente em escala.
Containers e Kubernetes
A segurança de containers começa na imagem: use base images mínimas (distroless ou Alpine), escaneie com Trivy ou Grype em cada build, nunca execute como root e assine imagens com Cosign (supply chain). No Kubernetes:
- Desative o ServiceAccount token automático em Pods que não precisam acessar a API do cluster.
- Implemente Network Policies para isolar namespaces — por padrão, todo Pod se comunica com qualquer outro.
- Use OPA/Gatekeeper ou Kyverno para aplicar políticas de admissão (bloquear imagens não assinadas, containers privilegiados, hostPath mounts).
- Proteja o etcd com TLS e acesso restrito — ele contém todos os segredos do cluster em base64 (não criptografado por padrão).
- Habilite Audit Logs do Kubernetes e integre ao SIEM central.
- Use Falco para detecção de comportamento anômalo em runtime (ex.: shell dentro de container de produção, leitura de /etc/shadow).
Managed Kubernetes (EKS, AKS, GKE) reduz a superfície de ataque do plano de controle, mas não elimina a responsabilidade sobre configuração de nodes, RBAC do cluster e imagens das aplicações.
Segurança Multi-Cloud
Organizações com AWS + Azure + GCP enfrentam três desafios únicos: fragmentação de visibilidade, modelos de IAM incompatíveis e inconsistência de controles. As boas práticas são:
- Inventário unificado: use uma ferramenta CNAPP multi-cloud ou Cloud Asset Inventory de cada provedor exportando para um SIEM central.
- Federação de identidade centralizada: substitua contas locais por SSO federado (Okta, Azure AD/Entra ID, Google Workspace) com políticas de MFA consistentes.
- Benchmarks por provedor: CIS AWS Foundations Benchmark v3.0, CIS Azure Foundations v2.0, CIS GCP Foundations v2.0 — aplicados automaticamente via Security Hub, Defender e SCC respectivamente.
- Política de dados como código: defina onde cada classificação de dado pode residir (região, provedor) e use SCPs (AWS), Azure Policy e Org Policies (GCP) para enforçar automaticamente.
Conformidade: ISO 27017, ISO 27018 e LGPD
A ISO 27017 estende a ISO 27001 com controles específicos para provedores e usuários de nuvem — cobrindo virtualização segura, segregação de ambientes e responsabilidades de segurança em serviços cloud. A ISO 27018 trata especificamente da proteção de dados pessoais (PII) em nuvem pública: proibição de uso de dados para fins de marketing sem consentimento, direito de portabilidade e transparência de subprocessadores.
A LGPD (Lei 13.709/2018) exige medidas técnicas e administrativas proporcionais ao risco (Art. 46), mapeamento das operações de tratamento, notificação de incidentes à ANPD em até 72 horas (Art. 48) e, para transferências internacionais, garantias de nível de proteção equivalente. Na prática, isso significa: criptografia de dados pessoais em repouso e em trânsito, controle de acesso baseado em necessidade, logs de acesso a dados pessoais, processo documentado de resposta a incidentes e revisão de contratos com sub-processadores cloud (DPA — Data Processing Agreement).
O CIS Benchmarks (Center for Internet Security) oferece guias prescritivos de configuração para AWS, Azure e GCP com dois níveis: Level 1 (controles básicos sem impacto operacional) e Level 2 (hardening aprofundado para ambientes de alta segurança). São a referência técnica mais adotada globalmente para auditorias de conformidade cloud.
Tabela de Riscos e Mitigações
| Risco | Vetor Típico | Mitigação Primária | Ferramenta de Referência |
|---|---|---|---|
| Bucket/Blob público | Misconfiguration | Block Public Access + CSPM contínuo | AWS S3 Block Public Access, CSPM |
| Credencial exposta | Git leak, log de CI | Gitleaks no pipeline + rotação automática | AWS Secrets Manager, Vault |
| IAM superexposto | Over-provisioning | CIEM + revisão 90 dias + SCPs | IAM Access Analyzer, Wiz CIEM |
| Dados sem criptografia | Snapshot público | CMK obrigatório + scan de postura | AWS KMS, Azure Key Vault |
| Container vulnerável | Imagem desatualizada | Scan CI/CD + admission policy | Trivy, Kyverno |
| Sem detecção de ameaça | Nenhum log/alerta | CloudTrail + SIEM + alertas automáticos | GuardDuty, Microsoft Sentinel |
| Shadow cloud | Conta não gerenciada | AWS Organizations + Landing Zone | AWS Control Tower, Azure Landing Zone |
Perguntas Frequentes
O que é o modelo de responsabilidade compartilhada na nuvem?
É a divisão formal entre o que o provedor de nuvem (AWS, Azure, GCP) protege — infraestrutura física, hipervisor, rede global — e o que o cliente deve proteger: dados, identidades, configurações, aplicações e o sistema operacional nas cargas IaaS. A maioria dos incidentes reais ocorre na camada do cliente, não na do provedor.
Qual é o risco mais comum em ambientes de nuvem?
Misconfiguration: buckets S3/Blob Storage públicos, grupos de segurança com 0.0.0.0/0, permissões IAM com acesso de administrador distribuídas amplamente e segredos hardcoded em código. O Relatório CSA de 2023 aponta misconfiguration como vetor primário em mais de 60% das brechas em nuvem.
O que é CSPM e por que preciso?
Cloud Security Posture Management (CSPM) é uma categoria de ferramentas que varre continuamente suas contas de nuvem em busca de desvios de configuração em relação a benchmarks como CIS AWS Foundations. Ele detecta, por exemplo, MFA desabilitado em usuários root, CloudTrail desativado ou chaves KMS sem rotação automática — e alerta em tempo real.
Como proteger identidades em ambientes multi-cloud?
Aplique o princípio do menor privilégio via CIEM: enumere todas as permissões efetivas (não apenas as concedidas), revogue permissões não usadas nos últimos 90 dias, implemente MFA resistente a phishing (FIDO2/passkeys) e adote federação de identidade com provedor central em vez de credenciais locais por conta.
Containers e Kubernetes são mais seguros que VMs?
Não intrinsecamente — apenas mudam a superfície de ataque. Riscos específicos incluem imagens com vulnerabilidades conhecidas, permissões excessivas em ServiceAccounts Kubernetes, APIs do etcd ou kubelet expostas, e falta de Network Policies. Ferramentas como Falco (runtime) e Trivy (scan de imagens) são o piso mínimo para ambientes produtivos.
A LGPD impõe requisitos técnicos específicos para nuvem?
A LGPD (Lei 13.709/2018) exige medidas técnicas e administrativas adequadas para proteger dados pessoais (Art. 46), criptografia de dados em repouso e em trânsito, controle de acesso baseado em necessidade, registro de operações de tratamento e, em transferências internacionais, garantias equivalentes de proteção. A ISO 27017 e 27018 são as normas técnicas alinhadas a esses requisitos para ambientes cloud.
Referências
- Cloud Security Alliance — Top Threats to Cloud Computing 2023 (cloudsecurityalliance.org)
- NIST SP 800-144 — Guidelines on Security and Privacy in Public Cloud Computing
- NIST SP 800-190 — Application Container Security Guide
- CIS Benchmarks — AWS Foundations v3.0, Azure Foundations v2.0, GCP Foundations v2.0 (cisecurity.org)
- ISO/IEC 27017:2015 — Code of Practice for Cloud Services Security Controls
- ISO/IEC 27018:2019 — Protection of PII in Public Cloud
- ANPD — Guia Orientativo de Segurança da Informação (gov.br/anpd)
Como a Decripte Atua em Segurança de Nuvem
A Decripte realiza pentest e hardening de ambientes cloud para organizações de todos os portes — do MEI com uma conta AWS ao grupo enterprise com centenas de contas multi-cloud. O trabalho inclui revisão de postura (CSPM manual + automatizado), análise de IAM e permissões efetivas, testes de invasão externos e internos contra a infraestrutura cloud, revisão de configuração de containers e Kubernetes, e adequação a LGPD, ISO 27017/27018 e CIS Benchmarks.
O primeiro diagnóstico é gratuito: em menos de 24 horas, sua conta recebe um relatório de postura com os riscos críticos identificados. Para organizações que precisam de cobertura contínua, os planos da Decripte incluem monitoramento de postura, resposta a incidentes e acesso ao time de especialistas. Acesse /planos ou inicie pelo diagnóstico gratuito em /start.
