🛡️

Segurança AWS: KMS, GuardDuty, Shield, WAF

⏱ 11 min de leitura·+60 XP

A AWS tem um catálogo extenso de serviços de segurança, cada um com um propósito específico. O CLF-C02 não exige que você configure nenhum deles na mão — mas espera que você saiba qual serviço resolve qual problema. Confundir KMS com Secrets Manager, ou Shield com WAF, é erro comum em prova.

Onde isso entra no exame

📘 Domain 2 — Security and Compliance· 30%

Segurança é 30% do CLF-C02 — o maior peso. Depois de IAM e do modelo de responsabilidade compartilhada, este é o terceiro pilar: conhecer o catálogo. Espera-se que você reconheça, para cada cenário descrito, qual serviço AWS se aplica.

Mapa mental: o catálogo de segurança

🗺️ Serviços de segurança agrupados por função


┌─────────────────────────────────────────────────────────────┐
│                    SEGURANÇA NA AWS                         │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  🔑 Identidade          🔒 Criptografia    👀 Detecção      │
│  ├─ IAM                 ├─ KMS              ├─ GuardDuty    │
│  ├─ Identity Center     ├─ CloudHSM         ├─ Inspector    │
│  ├─ Cognito             ├─ Secrets Manager  ├─ Macie        │
│  ├─ Directory Service   ├─ ACM              ├─ Detective    │
│                         ├─ Parameter Store  ├─ Security Hub │
│                                                             │
│  🌐 Rede / App          📋 Compliance       📜 Governança   │
│  ├─ Shield (DDoS)       ├─ Artifact         ├─ Config       │
│  ├─ WAF                 ├─ Audit Manager    ├─ CloudTrail   │
│  ├─ Network Firewall    ├─ Compliance reps. ├─ Trusted Adv. │
│  ├─ Firewall Manager                        ├─ Control Tower│
│                                             ├─ Organizations│
└─────────────────────────────────────────────────────────────┘

Criptografia: KMS, CloudHSM, ACM

Serviço	O que faz	Uso típico
AWS KMS	Gerencia chaves simétricas e assimétricas com HSM multi-tenant	Criptografar S3, EBS, RDS, Lambda env vars
AWS CloudHSM	HSM dedicado single-tenant (FIPS 140-2 Level 3)	Compliance que exige HSM próprio, PKI
ACM (Certificate Manager)	Emite e renova certificados SSL/TLS gratuitos	HTTPS em ALB, CloudFront, API Gateway

Customer Master Keys (CMKs) no KMS — 3 tipos:

• AWS managed — criada e rotacionada pela AWS (ex: aws/s3)
• Customer managed — você cria, controla policies, rotação automática anual
• AWS owned — invisível para você (usada internamente pelos serviços AWS)

Secrets Manager vs Parameter Store

Aspecto	Secrets Manager	Parameter Store (SSM)
Preço	$0,40/segredo/mês + API calls	Grátis (standard) / $0,05/10k API calls (advanced)
Rotação automática	Sim (com Lambda rotator)	Não
Integração RDS/Redshift	Nativa	Manual
Tamanho max	64 KB	4 KB (standard) / 8 KB (advanced)
Uso típico	Senhas DB com rotação, API keys críticas	Config values, feature flags, endpoints

Detecção: GuardDuty, Inspector, Macie

Serviço	O que detecta	Fontes de dados
GuardDuty	Ameaças ativas (mineração cripto, malware, recon)	CloudTrail, VPC Flow Logs, DNS Logs, EKS audit
Inspector	Vulnerabilidades (CVEs) em EC2 e containers (ECR)	Agent + scan automatizado
Macie	Dados sensíveis (PII, PHI) em S3	Scan ML do conteúdo dos objetos
Detective	Investigação de ameaça (root cause)	Consolida GuardDuty, CloudTrail, VPC Flow

Proteção: Shield, WAF, Network Firewall

Serviço	Camada	Protege contra
Shield Standard	L3/L4	DDoS volumétrico (grátis, automático)
Shield Advanced	L3/L4/L7	DDoS sofisticado + SLA + equipe DRT ($3k/mês)
AWS WAF	L7 (HTTP/S)	OWASP Top 10, SQL injection, XSS, bots
Network Firewall	L3/L4/L7 em VPC	Firewall stateful/stateless na borda da VPC
Firewall Manager	Meta	Administra WAF/Shield/Network Firewall em Organization

Governança e compliance

Serviço	O que faz
AWS CloudTrail	Audita chamadas de API (quem, quando, de onde, o quê)
AWS Config	Avalia configurações de recursos vs regras (drift, compliance)
AWS Organizations	Multi-conta com Service Control Policies (SCPs)
AWS Control Tower	Landing zone automatizada com guardrails
AWS Trusted Advisor	Recomendações em 5 áreas (custo, segurança, perf, HA, limites)
AWS Security Hub	Dashboard único agregando findings de múltiplos serviços
AWS Artifact	Portal de compliance reports (SOC, ISO, PCI)
AWS Audit Manager	Automatiza coleta de evidências para auditorias
Amazon Detective	Investigação de incidentes (root cause)

Identidades além do IAM

Serviço	Para quem
Amazon Cognito	Usuários finais de aplicações (login social, MFA, JWT)
AWS Directory Service	Active Directory gerenciado / AD Connector
IAM Identity Center	SSO corporativo multi-account (antes AWS SSO)

Cenários de decisão

📋 Armazenar senha de RDS com rotação automática a cada 30 dias

✓ AWS Secrets Manager

Rotação automática via Lambda integrada com RDS, integração nativa, auditoria via CloudTrail.

Alt: Parameter Store — Mais barato mas sem rotação automática nativa

📋 E-commerce sofreu ataque DDoS de 500 Gbps

✓ AWS Shield Advanced + CloudFront + WAF

Shield Advanced tem mitigação dedicada para ataques grandes, acesso 24/7 à DRT (DDoS Response Team), cobertura de custos de scaling emergencial. Combinado com WAF para camada 7.

📋 Compliance LGPD — identificar CPFs armazenados indevidamente em buckets S3

✓ Amazon Macie

Macie usa ML para identificar PII/PHI em objetos S3. Gera alertas e relatórios. Nativamente integrado com S3.

📋 Usuários finais de um app mobile precisam fazer login social (Google, Apple)

✓ Amazon Cognito User Pools

Cognito é purpose-built para identidades de aplicação. Suporta login social, MFA, JWT tokens. IAM é para credenciais AWS, não para usuários finais.

📋 Auditoria exige que toda chave de criptografia seja gerada em HSM dedicado certificado FIPS 140-2 Level 3

✓ AWS CloudHSM

HSM single-tenant exclusivamente seu. KMS é multi-tenant (compartilhado com outros clientes). Use CloudHSM quando a compliance exige controle absoluto do material criptográfico.

⚠️

Pegadinha clássica: Shield ≠ WAF. Shield protege contra DDoS (volume, protocolo). WAF protege contra ataques de aplicação (SQL injection, XSS). Shield Standard é grátis em todas as contas; Shield Advanced é $3k/mês com benefícios extra.

Perguntas típicas (Q&A)

❓ Qual serviço permite baixar relatórios SOC 2 da AWS?

AWS Artifact. Portal self-service de compliance docs (SOC 1/2/3, ISO 27001, PCI-DSS AOC, HIPAA BAA). Alguns exigem clique em NDA antes do download.

❓ Diferença entre CloudTrail e Config?

CloudTrail = API calls ("quem fez o quê"). Config = estado dos recursos e mudanças ("o que mudou em 15/abr às 14:32?"). Use os dois em combinação.

❓ Serviço que consolida findings de GuardDuty, Inspector, Macie em um único dashboard?

AWS Security Hub. Agrega, prioriza e correlaciona findings. Também avalia postura contra frameworks (CIS AWS Benchmark, PCI-DSS).

❓ Trusted Advisor — quais são as 5 categorias de checks?

Cost Optimization, Security, Fault Tolerance, Performance, Service Limits. Planos Basic/Developer recebem subset; Business/Enterprise recebem todos.

✅

Take-aways: KMS (chaves) ≠ Secrets Manager (senhas/tokens) ≠ ACM (certificados TLS). GuardDuty (threat detection) ≠ Inspector (CVEs) ≠ Macie (PII em S3). Shield (DDoS L3/L4) ≠ WAF (L7 OWASP). CloudTrail (API audit) + Config (state drift) + Security Hub (dashboard). Organizations + Control Tower = governance multi-account. Artifact = compliance reports. Decore o "qual serviço resolve X" — é o padrão das questões.

🧩

Quiz rápido

3 perguntas · Acerte tudo e ganhe o badge 🎯 Gabarito