Por Vanessa Rodrigues Fernandes, Arquiteta de soluções do setor público na AWS.

Introdução

A migração para a nuvem trouxe agilidade e escalabilidade sem precedentes para as organizações. Porém, com essa transformação, surgem novos desafios de segurança que muitas empresas só descobrem após um incidente crítico. Credenciais vazadas, acessos não autorizados e falta de monitoramento são problemas recorrentes que podem comprometer toda a infraestrutura em questão de horas.
Este artigo reúne falhas de configuração comuns observadas em ambientes AWS e apresenta recomendações práticas para fortalecer sua infraestrutura e antecipar-se a possíveis ataques.

O Modelo de Responsabilidade Compartilhada:

Antes de implementar qualquer medida de segurança, é fundamental entender onde começa e termina a sua responsabilidade. A AWS protege a segurança DA nuvem: Infraestrutura física, rede, hipervisor e serviços gerenciados. O cliente é responsável pela segurança NA nuvem: Dados, identidades, aplicações, configurações de rede e criptografia.

Na prática, pontos como o ajuste fino de Security Groups, a privacidade de buckets S3 e a gestão de credenciais são pilares que exigem atenção contínua. A complexidade das configurações pode gerar dúvidas sobre os limites dessa responsabilidade e é exatamente aí que surgem as exposições involuntárias.

As vulnerabilidades mais comuns (e mais perigosas)

1. Credenciais fixadas no código fonte

Incluir chaves de acesso diretamente no código e enviá-las para repositórios públicos como o GitHub é uma das falhas mais críticas. Bots automatizados varrem esses repositórios constantemente em busca desse padrão e quando encontram, as credenciais podem ser exploradas em minutos para mineração de criptomoedas, vazamento de dados ou outro tipo de ataque.

# Evite isso:

aws_access_key = “XXXXXXXXEXAMPLE”

aws_secret_key = “xxxxxxxxxx/EXAMPLEKEY”

# Prefira isso:

import boto3

s3_client = boto3.client(‘s3’) #boto3 busca credenciais automaticamente via IAM Role

A solução é usar IAM Roles para recursos executados na AWS (EC2, Lambda, ECS) e AWS CLI Profiles para desenvolvimento local. Ferramentas como git-secrets ou TruffleHog ajudam a detectar dados sensíveis que possam ter sido incluídos acidentalmente antes do envio ao repositório.

2. Chaves de longa duração

Muitas organizações ainda utilizam IAM Users com chaves de longa duração. Esse modelo exige rotação manual rigorosa, pois as chaves não possuem expiração automática e a equipe precisa localizar e atualizar manualmente cada serviço ou aplicação que as utiliza. Além disso, não integram nativamente autenticação multifator (MFA) em todas as interações.

A recomendação é migrar para o AWS IAM Identity Center, que oferece credenciais temporárias com expiração automática, MFA obrigatório, integração com provedores corporativos (Azure AD, Okta, Google Workspace) e acesso centralizado a múltiplas contas AWS.

3. Backups vulneráveis

Ter rotinas de backup não é suficiente se esses registros não possuem camadas adicionais de proteção. Backups desprotegidos são vulneráveis à ataques de ransomware, exclusões acidentais após comprometimento de credenciais e corrupções que inviabilizam a recuperação.

A solução é implementar o AWS Backup com Vault Lock, que cria uma proteção WORM (Write Once, Read Many), impedindo a exclusão de backups até mesmo por usuários com altos privilégios. Complemente com Backup Plans automatizados para EC2, RDS, DynamoDB e EFS, e adote uma estratégia cross-region e cross-account para proteção contra incidentes geográficos.

4. Falta de monitoramento contínuo

Em ambientes dinâmicos, identificar atividades atípicas manualmente é inviável. Sem monitoramento automatizado, comportamentos como mineração de criptomoedas, exfiltração de dados ou varreduras de rede podem passar despercebidos por horas ou dias.

Ative o Amazon GuardDuty globalmente, que se utiliza machine learning e inteligência de ameaças para detectar comportamentos anômalos em instâncias EC2, acessos suspeitos a buckets S3 e uso incomum de credenciais IAM. Integre ao AWS Security Hub para uma visão centralizada e configure notificações via Amazon SNS/EventBridge para resposta imediata.

Outras práticas essenciais

Menor privilégio: Evite permissões administrativas por padrão. Use políticas IAM granulares, IAM Access Analyzer para identificar acessos não intencionais e Service Control Policies (SCPs) via AWS Organizations para estabelecer perímetros de segurança em todas as contas.

Auditoria com CloudTrail: Mantenha o AWS CloudTrail ativo em todas as regiões, armazene logs em buckets S3 com Object Lock e integre ao Amazon CloudWatch Logs para alertas em tempo real sobre eventos críticos.

Criptografia: Centralize o controle de chaves no AWS KMS, habilite criptografia em S3, EBS, RDS e DynamoDB, e priorize HTTPS/TLS em todo o tráfego. O AWS Certificate Manager simplifica a gestão e renovação de certificados SSL/TLS.

Segmentação de rede: Use Amazon VPC distintas para separar ambientes de desenvolvimento, homologação e produção. Ajuste Security Groups e NACLs para permitir apenas o tráfego essencial, adote o AWS Network Firewall para inspeção de tráfego e utilize VPC Flow Logs para análise de comportamentos atípicos.

Proteção de aplicações web: Implemente o AWS WAF para proteção contra as vulnerabilidades do OWASP Top 10, AWS Shield Standard para resiliência contra DDoS (e considere a versão Advanced para aplicações críticas) e configure Rate Limiting para proteger APIs contra abusos.

Conformidade automatizada: Use o AWS Config para monitoramento contínuo da conformidade dos recursos, Config Rules para automatizar correções simples e realize testes de invasão periódicos para validar suas defesas (sempre seguindo as diretrizes de notificação da AWS).

AWS Well-Architected Tool: seu caminho para a excelência

É natural que, na velocidade do dia a dia, algumas configurações não sigam todas as recomendações de segurança. Sem uma revisão estruturada, surgem lacunas silenciosas que afetam a escalabilidade, os custos e a segurança da operação, muitas vezes sem que a equipe perceba.

O AWS Well-Architected Tool é uma ferramenta gratuita que funciona como um consultor virtual, permitindo avaliar suas cargas de trabalho sob a ótica dos 6 pilares que com compões o Framework Well-Architected da AWS:

• Segurança: nosso foco principal neste blogpost.
• Excelência Operacional: processos e automação.
• Confiabilidade: recuperação e resiliência.
• Eficiência de Performance: uso otimizado de recursos.
• Otimização de Custos: eliminar desperdícios.
• Sustentabilidade: redução de impacto ambiental.

Através de um questionário guiado, a ferramenta identifica pontos de atenção e gera um plano de ação personalizado com as recomendações oficiais da AWS, permitindo acompanhar a evolução da arquitetura ao longo do tempo.

Como usar de forma eficaz

1. Estabeleça uma rotina de avaliação.

Não trate a revisão como uma tarefa única, mas como um ciclo de melhoria contínua:

• Novos projetos: realize a avaliação antes do go-live.
• Ambientes ativos: reavalie a cada 6 ou 12 meses.
• Pós-mudanças: sempre que houver alteração significativa na arquitetura.

Você pode iniciar diretamente pelo Console ou via CLI conforme exemplo abaixo. Lembre-se de inserir antes suas credencias via aws configure.

aws wellarchitected create-workload \

–workload-name “E-commerce-producao” \

–description “Workload de producao do e-commerce” \

–environment PRODUCTION \

–lenses “wellarchitected” \

–review-owner “seuemail@suaempresa.com” \

–aws-regions “sua-regiao”

2. Explore o Pilar de Segurança em profundidade

Use a ferramenta como guia para fazer as perguntas certas ao seu time, veja alguns exemplos de perguntas:

• Como você opera sua carga de trabalho com segurança?
• Como você gerencia as permissões para pessoas e máquinas?
• Como você detecta e investiga incidentes de segurança?
• Como você antecipa, responde e se recupera de incidentes?

3. Priorize com inteligência

A ferramenta classifica os achados para facilitar a tomada de decisão:

• Riscos de Alto Impacto (High Risk): atenção prioritária, ex: chaves expostas ou backups desprotegidos.
• Riscos de Médio Impacto (Medium Risk): melhorias importantes para o curto praz, ex: refinar políticas de MFA.
• Seguindo as práticas recomendadas: seu ambiente está alinhado com o que há de mais moderno.

4. Utilize lenses e automação

Se você trabalha com Serverless ou SaaS, utilize as lenses específicas para esses cenários. As lenses são extensões que aplicam os pilares do framework a domínios específicos, como generative AI, DevOps, data analytics, entre outros, além dos citados acima, oferecendo um conjunto especializado de perguntas e boas práticas para essas tecnologias.

Complemente sua análise com o AWS Trusted Advisor, que monitora a execução técnica em tempo real, verificando, por exemplo, buckets S3 abertos ou portas vulneráveis. Enquanto o Well-Architected Tool foca na estratégia e nos processos, o Trusted Advisor cuida da execução técnica no dia a dia.

Benefícios práticos:

• Visibilidade: identifica lacunas que você não sabia que existiam.
• Priorização: foca esforços nos riscos mais críticos.
• Educação: ensina melhores práticas da AWS com contexto.
• Compliance: demonstra due diligence para auditorias.
• Custo zero: ferramenta completamente gratuita.
• Ação imediata: links diretos para documentação e soluções.

Plano de resposta a incidentes

Mesmo com todas as proteções, incidentes podem ocorrer. Ter um plano estruturado faz toda a diferença entre uma contenção rápida e um impacto prolongado.

Ciclo de resposta:

1. Detecção: GuardDuty, CloudTrail e Config.
2. Contenção: isole recursos comprometidos, revogue credenciais.
3. Erradicação: remova malware, feche vulnerabilidades.
4. Recuperação: restaure backups, valide integridade.
5. Lições Aprendidas: documente e melhore processos.

Recursos AWS para resposta:

• AWS Systems Manager Incident Manager: orquestra a resposta a incidents.
• Amazon Detective: investiga causas raiz de alertas de segurança de forma visual.
• AWS Security Hub: centraliza alertas de múltiplos serviços.

Ações de resposta: mantendo o controle em situações críticas

Se você detectar uma atividade atípica, o mais importante é manter a calma e agir de forma estruturada.

1. Contenção e proteção imediata

Antes de agir, tenha uma visão rápida do cenário:

• CloudTrail: verifique ações recentes (criação de instâncias ou usuários suspeitos).
• EC2: liste recursos ativos em todas as regiões para identificar o que não deveria estar lá.

Se uma chave de acesso foi comprometida, desative-a imediatamente.

Dica: em vez de deletar, mude o status para Inactive, isso interrompe o acesso, mas preserva a chave para auditoria.

Recursos suspeitos devem ser isolados, não excluídos de imediato:

• Isolamento: mova instâncias para um Security Group de quarentena (sem regras de entrada/saída).
• Evidência: crie um Snapshot dos volumes EBS antes de qualquer ação destrutiva para preservar as provas.

2. Investigação: entendendo a origem

Com o ambiente contido, é hora de entender como o acesso ocorreu:

• CloudTrail: filtre ações do usuário suspeito e identifique tentativas de login com erro.
• GuardDuty: verifique findings de severidade alta (≥ 7) que indicam atividades como mineração ou exfiltração.
• Amazon Detective: use para montar a linha do tempo do ataque de forma gráfica e visual.

3. Remediação e prevenção

Com o ambiente limpo, garanta que as portas permaneçam fechadas:

• Remova usuários, roles e instâncias não criados pela sua equipe.
• Force a rotação de senhas e chaves de acesso de todos os usuários envolvidos.
• Torne o MFA obrigatório para todos e revise regras de rede (removendo qualquer acesso 0.0.0.0/0 desnecessário).

4. Checklist pós-incidente

Para sua tranquilidade, verifique se todos os pontos foram cobertos:

• Credenciais suspeitas foram inativadas ou removidas.
• Snapshots forenses foram realizados antes da limpeza.
• MFA está ativo em todas as contas (especialmente na conta Root).
• O suporte da AWS foi notificado (em casos de faturamento alto ou vazamento de dados).

Conclusão

Proteger um ambiente AWS é um compromisso diário com a excelência operacional. Mais do que corrigir falhas, o objetivo é criar uma cultura onde a segurança caminhe junto com a inovação. No Modelo de Responsabilidade Compartilhada, a AWS fornece as ferramentas, mas você detém o controle da estratégia. Fortaleça sua postura preventiva hoje e garanta que sua operação esteja sempre um passo à frente de qualquer desafio.

Recursos Adicionais:

• AWS Security Best Practices
• AWS Well-Architected Framework — Security Pillar
• AWS Well-Architected Tool
• AWS Trusted Advisor
• AWS Security Hub
• AWS IAM Identity Center
• Amazon GuardDuty User Guide

Sobre a autora

Vanessa Rodrigues Fernandes é Arquiteta de soluções do setor público na AWS. Com formação técnica em Redes de Computadores pela UFRGS, graduação em Segurança da Informação pela Universidade do Vale do Rio dos Sinos (RS) e Pós Graduação em Gestão Estratégica em TI pela PUCRS. Com mais de 20 anos de experiência na área de infraestrutura, redes, segurança da informação, trabalhou em diferentes nichos de mercado, ajudando empresas a suportar e construir soluções tecnológicas e estratégicas para seus negócios. É apaixonada por tecnologia, segurança da informação, inteligência artificial e viagens.