Segurança Avançada: KMS, Secrets Manager e WAF
Segurança é o maior domínio do SAA-C03 (30%). Não é “só IAM”: envolve criptografia de dados (KMS), gestão de segredos (Secrets Manager/Parameter Store), proteção de borda (WAF/Shield/CloudFront), detecção (GuardDuty/Macie/Inspector/CloudTrail), compliance (Config, Audit Manager) e governança (Organizations SCPs). Vamos focar nos que o exame cobra mais.
KMS — o coração da criptografia
KMS gera, armazena e controla chaves criptográficas. A chave mestre (CMK ou KMS Key) nunca sai do KMS em claro. Aplicações usam envelope encryption: KMS gera uma data key para a operação, retorna versão em claro (usada para criptografar dados) e versão encrypted (armazenada junto com os dados).
| Tipo de CMK | Gestão | Rotação | Cross-account? | Caso |
|---|---|---|---|---|
| AWS Owned | AWS (não visível) | AWS | Não | Default de alguns serviços |
| AWS Managed (aws/s3 etc) | AWS | Automática anual | Não | Serviços AWS que criptografam sem config |
| Customer Managed (symmetric) | Cliente | Opcional anual (automática) ou on-demand | Sim via key policy | Quando você precisa de controle/auditoria |
| Customer Managed (asymmetric) | Cliente | Manual (assinar binário ou criptografar fora da AWS) | Sim | Assinatura digital, cripto com clientes sem AWS |
| Imported Key Material | Você importa | Manual | Sim | BYOK — compliance exige origem externa |
| CloudHSM-backed | HSM dedicado | Manual | Sim | FIPS 140-2 Level 3, chave nunca sai do HSM |
Secrets Manager vs Parameter Store
| Feature | Secrets Manager | SSM Parameter Store |
|---|---|---|
| Custo | $0,40/segredo/mês + $0,05 por 10k API | Gratuito (Standard) / $0,05/10k (Advanced) |
| Rotação automática | Sim (via Lambda, templates RDS/Aurora/etc) | Não (você implementa) |
| Tamanho máx | 64KB | 4KB (Standard) / 8KB (Advanced) |
| Criptografia | KMS obrigatório | Opcional (SecureString = KMS) |
| Versioning | Sim (labels AWSCURRENT, AWSPREVIOUS, AWSPENDING) | Sim (histórico) |
| Cross-account | Sim via resource policy | Sim via resource policy (Advanced) |
| Replicação multi-region | Sim (replicate secret) | Manual |
| Hierarquia de paths | Não nativo | Sim (/prod/db/password) |
| Caso ideal | Credenciais de banco com rotation | Configs, feature flags, endpoints |
Decisão simples: precisa de rotation automática? Secrets Manager. Caso contrário, Parameter Store com SecureString é mais barato e suficiente para 90% dos casos.
# Secrets Manager — buscar segredo em app
aws secretsmanager get-secret-value --secret-id prod/db/credentials
# Parameter Store — hierárquico
aws ssm get-parameters-by-path --path /prod/api/ --with-decryption --recursiveWAF — Web Application Firewall
WAF roda na frente de CloudFront, ALB, API Gateway, AppSync ou App Runner. Inspeciona requests HTTP(S) e aplica regras.
Shield — proteção DDoS
| Feature | Shield Standard | Shield Advanced |
|---|---|---|
| Custo | Grátis | $3.000/mês por organization |
| Proteção L3/L4 | Automática (CloudFront, Route 53, Global Accelerator) | Expandida + ALB, EC2, EIP |
| Proteção L7 | Não | Sim (via WAF integrado) |
| Shield Response Team (SRT) | Não | 24/7 |
| Cost Protection | Não | Reembolso de surto de EC2/ELB/CloudFront devido a DDoS |
| Visibility | Nenhuma | Métricas e relatórios detalhados |
SAA cobra: Shield Standard já vem ativo em tudo, de graça. Shield Advanced só quando exposição a ataques é crítica (financeiro, e-commerce em pico, gov). Não recomenda em workloads pequenos.
Detecção e compliance — o que cada um faz
| Serviço | O que detecta | Fonte de dados |
|---|---|---|
| GuardDuty | Anomalias de comportamento, malware, exfiltração, mineração | CloudTrail, VPC Flow Logs, DNS logs, S3 events, EKS audit |
| Macie | Dados sensíveis (PII, PCI, PHI) em S3 | Object scanning |
| Inspector | Vulnerabilidades em EC2, ECR, Lambda (CVEs, network reachability) | Agent SSM + container scanning |
| Detective | Investigação forense cross-service | GuardDuty, CloudTrail, VPC Flow |
| Security Hub | Agregador central de findings + CIS/PCI benchmarks | GuardDuty, Macie, Inspector, Config, third-party |
| Config | Conformidade de recursos com regras (ex: "bucket S3 não-público") | Config snapshots + change events |
| CloudTrail | Log de todas as API calls na conta | Management events + Data events |
| Audit Manager | Geração de evidências para auditorias (SOC2, PCI, HIPAA) | Todos os acima |
📋 Precisa de visão única de postura de segurança da organização inteira
Security Hub agrega findings de todos os serviços em todas as contas com 1 dashboard. Aplica benchmarks (CIS, AWS FSBP).
Alt: Detective —
Cenários arquiteturais
📋 RDS contém dados financeiros — regulação exige criptografia, auditoria de acesso à chave, rotação anual
CMK customer-managed dá controle, rotation automática atende regulação, CloudTrail loga cada Encrypt/Decrypt.
📋 Aplicação lambda precisa acessar senha de DB sem hardcode
Zero credenciais no código/env. Rotation automática. Lambda lê em runtime.
Alt: Parameter Store SecureString —
📋 API pública global sofre ataque de bots preenchendo formulário de cadastro
Bot Control ML-based. Rate-based bloqueia IPs que excedem threshold. CloudFront absorve tráfego na borda.
Q&A estilo exame
❓ Uso SSE-KMS e percebo throttling em alta carga. Fix?
❓ Como auditar quem usou uma CMK específica e quando?
❓ Shield Standard ou Advanced para um SaaS B2B pequeno?
❓ IAM Database Authentication vs credencial no Secrets Manager?
Armadilhas: (1) KMS CMK é region-scoped exceto Multi-Region Keys; (2) Key Policy precede IAM — se a policy não dá acesso, IAM não compensa; (3) deletion tem waiting period mínimo 7d (não “delete agora”); (4) Secrets Manager cobra por segredo, então não crie um por ambiente se pode ser um com paths; (5) WAF em CloudFront escopo CLOUDFRONT; em ALB escopo REGIONAL — não se misturam.
Take-aways: KMS = chaves + envelope encryption; Secrets Manager = credenciais com rotation; Parameter Store = config barato; WAF = L7 rules; Shield = DDoS; GuardDuty/Macie/Inspector = detecção; Security Hub = agregador; CloudTrail = log de API calls; Config = compliance contínuo.
Discussão
Carregando…