🛡️

Segurança Avançada: KMS, Secrets, WAF, Shield

⏱ 15 min de leitura·+80 XP

Segurança é o maior domíniodo SAA-C03 (30%). Não é “só IAM”: envolve criptografia de dados (KMS), gestão de segredos (Secrets Manager/Parameter Store), proteção de borda (WAF/Shield/CloudFront), detecção (GuardDuty/Macie/Inspector/CloudTrail), compliance (Config, Audit Manager) e governança (Organizations SCPs). Vamos focar nos que o exame cobra mais.

📘 Secure· 30%

KMS — o coração da criptografia

KMS gera, armazena e controla chaves criptográficas. A chave mestre (CMK ou KMS Key) nunca sai do KMS em claro. Aplicações usam envelope encryption: KMS gera uma data key para a operação, retorna versão em claro (usada para criptografar dados) e versão encrypted (armazenada junto com os dados).

🗺️ Envelope encryption

   ┌──── App ────┐                              ┌──── KMS ────┐
   │ encrypt 1GB │                              │     CMK     │
   └──────┬──────┘                              └──────┬──────┘
          │                                            │
          │ 1. GenerateDataKey(CMK, 256)                │
          │───────────────────────────────────────────▶ │
          │                                            │
          │ 2. DataKeyPlaintext + DataKeyEncrypted     │
          │◀─────────────────────────────────────────── │
          │                                            │
          │ 3. AES-256 (data, DataKeyPlaintext)        │
          │ 4. armazena [Ciphertext, DataKeyEncrypted] │
          │ 5. zera DataKeyPlaintext da memória        │

   Para descriptografar:
   1. ler [Ciphertext, DataKeyEncrypted]
   2. Decrypt(DataKeyEncrypted) → KMS retorna DataKeyPlaintext
   3. AES-256 decrypt local

Tipo de CMK	Gestão	Rotação	Cross-account?	Caso
AWS Owned	AWS (não visível)	AWS	Não	Default de alguns serviços
AWS Managed (aws/s3 etc)	AWS	Automática anual	Não	Serviços AWS que criptografam sem config
Customer Managed (symmetric)	Cliente	Opcional anual (automática) ou on-demand	Sim via key policy	Quando você precisa de controle/auditoria
Customer Managed (asymmetric)	Cliente	Manual (assinar binário ou criptografar fora da AWS)	Sim	Assinatura digital, cripto com clientes sem AWS
Imported Key Material	Você importa	Manual	Sim	BYOK — compliance exige origem externa
CloudHSM-backed	HSM dedicado	Manual	Sim	FIPS 140-2 Level 3, chave nunca sai do HSM

Key PolicyPrincipal policy da CMK — quem pode usar/administrar. Se não permitir IAM, IAM não funciona.

GrantsDelegação temporária para principal usar a chave sem alterar policy. Comum entre serviços AWS.

AliasesNome amigável (alias/my-app) para a chave. Permite rotacionar backing key sem mudar código.

Key RotationAutomática anual (só symmetric customer-managed). Cria novo backing material; aliases continuam apontando igual.

Multi-Region KeysReplica a CMK para outras regiões mantendo mesmo Key ID. Essencial para cross-region encryption consistente.

DeletionMínimo 7 dias de waiting period. Você cancela antes se mudou de ideia — não existe delete imediato.

Secrets Manager vs Parameter Store

Feature	Secrets Manager	SSM Parameter Store
Custo	$0,40/segredo/mês + $0,05 por 10k API	Gratuito (Standard) / $0,05/10k (Advanced)
Rotação automática	Sim (via Lambda, templates RDS/Aurora/etc)	Não (você implementa)
Tamanho máx	64KB	4KB (Standard) / 8KB (Advanced)
Criptografia	KMS obrigatório	Opcional (SecureString = KMS)
Versioning	Sim (labels AWSCURRENT, AWSPREVIOUS, AWSPENDING)	Sim (histórico)
Cross-account	Sim via resource policy	Sim via resource policy (Advanced)
Replicação multi-region	Sim (replicate secret)	Manual
Hierarquia de paths	Não nativo	Sim (/prod/db/password)
Caso ideal	Credenciais de banco com rotation	Configs, feature flags, endpoints

💡

Decisão simples: precisa de rotation automática? Secrets Manager. Caso contrário, Parameter Store com SecureString é mais barato e suficiente para 90% dos casos.

bash

# Secrets Manager — buscar segredo em app
aws secretsmanager get-secret-value --secret-id prod/db/credentials

# Parameter Store — hierárquico
aws ssm get-parameters-by-path --path /prod/api/ --with-decryption --recursive

WAF — Web Application Firewall

WAF roda na frente de CloudFront, ALB, API Gateway, AppSync ou App Runner. Inspeciona requests HTTP(S) e aplica regras.

Web ACLContainer de regras. Anexa ao ALB/CloudFront/etc.

Managed Rule GroupsRegras pré-prontas da AWS e parceiros (OWASP Top 10, bot control, anonymous IP, known bad inputs).

Custom RulesMatch em IP, país, header, URI, body, query string + operadores (contains, regex, size).

Rate-based rulesBloqueia IP que excede N requests em 5min. Base para mitigação de L7 DDoS.

CAPTCHA / ChallengeIntercepta request suspeito e exige CAPTCHA silencioso ou visível.

ScopesCLOUDFRONT (global) vs REGIONAL (ALB/APIGW/AppSync).

IP Sets / Regex Pattern SetsListas reutilizáveis. Útil para whitelists corporativas ou blocklists dinâmicas.

Shield — proteção DDoS

Feature	Shield Standard	Shield Advanced
Custo	Grátis	$3.000/mês por organization
Proteção L3/L4	Automática (CloudFront, Route 53, Global Accelerator)	Expandida + ALB, EC2, EIP
Proteção L7	Não	Sim (via WAF integrado)
Shield Response Team (SRT)	Não	24/7
Cost Protection	Não	Reembolso de surto de EC2/ELB/CloudFront devido a DDoS
Visibility	Nenhuma	Métricas e relatórios detalhados

⚠️

SAA cobra: Shield Standard já vem ativo em tudo, de graça. Shield Advanced só quando exposição a ataques é crítica (financeiro, e-commerce em pico, gov). Não recomenda em workloads pequenos.

Detecção e compliance — o que cada um faz

Serviço	O que detecta	Fonte de dados
GuardDuty	Anomalias de comportamento, malware, exfiltração, mineração	CloudTrail, VPC Flow Logs, DNS logs, S3 events, EKS audit
Macie	Dados sensíveis (PII, PCI, PHI) em S3	Object scanning
Inspector	Vulnerabilidades em EC2, ECR, Lambda (CVEs, network reachability)	Agent SSM + container scanning
Detective	Investigação forense cross-service	GuardDuty, CloudTrail, VPC Flow
Security Hub	Agregador central de findings + CIS/PCI benchmarks	GuardDuty, Macie, Inspector, Config, third-party
Config	Conformidade de recursos com regras (ex: "bucket S3 não-público")	Config snapshots + change events
CloudTrail	Log de todas as API calls na conta	Management events + Data events
Audit Manager	Geração de evidências para auditorias (SOC2, PCI, HIPAA)	Todos os acima

📋 Precisa de visão única de postura de segurança da organização inteira

✓ Security Hub + delegação em Organizations

Security Hub agrega findings de todos os serviços em todas as contas com 1 dashboard. Aplica benchmarks (CIS, AWS FSBP).

Alt: Detective — investigação após o fato, não visão de postura.

Cenários arquiteturais

📋 RDS contém dados financeiros — regulação exige criptografia, auditoria de acesso à chave, rotação anual

✓ RDS encrypted com Customer Managed CMK + key rotation + CloudTrail

CMK customer-managed dá controle, rotation automática atende regulação, CloudTrail loga cada Encrypt/Decrypt.

📋 Aplicação lambda precisa acessar senha de DB sem hardcode

✓ Secrets Manager + IAM execution role com secretsmanager:GetSecretValue

Zero credenciais no código/env. Rotation automática. Lambda lê em runtime.

Alt: Parameter Store SecureString — alternativa se rotation não necessária.

📋 API pública global sofre ataque de bots preenchendo formulário de cadastro

✓ CloudFront + WAF com Managed Rule Group 'Bot Control' + rate-based rule

Bot Control ML-based. Rate-based bloqueia IPs que excedem threshold. CloudFront absorve tráfego na borda.

Q&A estilo exame

❓ Uso SSE-KMS e percebo throttling em alta carga. Fix?

Ative S3 Bucket Keys — reduz chamadas KMS em ~99%. Se isso não bastar, pedir aumento de cota KMS via Service Quotas ou usar KMS-managed key separada para cada carga.

❓ Como auditar quem usou uma CMK específica e quando?

CloudTrail registra cada chamada KMS (Encrypt, Decrypt, GenerateDataKey) com principal, timestamp, recurso criptografado. Queries com Athena ou CloudWatch Insights.

❓ Shield Standard ou Advanced para um SaaS B2B pequeno?

Standard é suficiente — já protege CloudFront/Route 53/GA contra DDoS L3/L4 automaticamente, de graça. Advanced só em casos de ataques frequentes ou SLA crítico com clientes.

❓ IAM Database Authentication vs credencial no Secrets Manager?

IAM DB Auth usa token IAM (15min) em vez de senha. Ideal para aplicações dentro da AWS. Sem rotation necessária. Limita a ~200 conexões/s por instância. Secrets Manager com rotation é mais comum em apps legacy.

⚠️

Armadilhas:(1) KMS CMK é region-scoped exceto Multi-Region Keys; (2) Key Policy precede IAM — se a policy não dá acesso, IAM não compensa; (3) deletion tem waiting period mínimo 7d (não “delete agora”); (4) Secrets Manager cobra por segredo, então não crie um por ambiente se pode ser um com paths; (5) WAF em CloudFront escopo CLOUDFRONT; em ALB escopo REGIONAL — não se misturam.

✅

Take-aways: KMS = chaves + envelope encryption; Secrets Manager = credenciais com rotation; Parameter Store = config barato; WAF = L7 rules; Shield = DDoS; GuardDuty/Macie/Inspector = detecção; Security Hub = agregador; CloudTrail = log de API calls; Config = compliance contínuo.

🧩

Quiz rápido

3 perguntas · Acerte tudo e ganhe o badge 🎯 Gabarito