SEGURANÇA OPERACIONAL NA CLOUD
- Definir os princípios de governação aplicáveis a um ambiente de Cloud híbrida.
- Identificar os principais riscos de segurança associados a ambientes híbridos e multi-cloud.
- Analisar as implicações jurídicas e contratuais de um projeto Cloud.
- Implementar as melhores práticas para proteger infraestruturas Cloud.
- Configurar dispositivos de segurança de rede num ambiente virtualizado.
- Implementar uma estratégia de IAM (Identity and Access Management – Gestão de Identidades e Acessos) adaptada ao Cloud.
- Integrar a segurança em pipelines DevOps (DevSecOps).
FUNDAMENTOS DE SEGURANÇA NO CLOUD
Desafios e especificidades da segurança no Cloud
• Sistemas de informação Cloud versus sistemas tradicionais: como evoluem os perímetros de segurança?
• Confidencialidade, integridade, disponibilidade, rastreabilidade… que nível de confiança operacional se pode esperar no Cloud Computing?
• Modelos de responsabilidade partilhada entre Cloud Provider e Cloud Consumer
• Desafios de segurança ligados ao Cloud Computing
Quais são as normas de segurança e os enquadramentos regulamentares em vigor?
• Normas ISO 27001, 27005, 27017, 27018…
• Referenciais de segurança: CSA CCM, ENISA CSF, ISAE3402, SOC 2/3, NIST SP 800-XXX, NIS2, DORA…
• O que diz a ANSSI sobre o SecNumCloud?
• E quanto ao EUCS (European Union Cybersecurity Certification Scheme for Cloud Services)? Objetivos e impactos
Introdução à segurança de rede no Cloud
• Um modelo legado em camadas a adaptar ao Cloud Computing (proteções em profundidade)
• Uma superfície de exposição alargada que exige monitorização reforçada.
• Virtualização de rede e microsegmentação
• O conceito de “Zero Trust Network Architecture” no Cloud
Exemplos de exercícios práticos
• Caso de estudo: análise de uma arquitetura Cloud baseada no modelo partilhado, mapeamento das responsabilidades e avaliação das zonas críticas de segurança.
• Analisar as principais ameaças e vulnerabilidades no Cloud Computing.
ANÁLISE DE RISCOS E SEGURANÇA AVANÇADA DAS REDES
Mapeamento e tipologia dos riscos no Cloud
• Qual é o mapa de riscos do Cloud Computing?
• Riscos técnicos e tecnológicos: falhas e vulnerabilidades, erros de configuração…
• Riscos organizacionais e jurídicos: dependência, não conformidade, questões jurisdicionais…
• Quais são os riscos associados ao Shadow IT?
• Alguns exemplos de ameaças: hypervisor, API, lateralização…
Gestão dos fluxos e interconexão das redes no Cloud
• Os desafios da proteção dos fluxos de rede no Cloud Computing.
• Tipos de interconexões e riscos associados (Cloud-to-Cloud e Cloud-to-OnPremise)
• VPNs, firewalls nativos Cloud e distribuídos, microsegmentação e SASE (Secure Access Service Edge).
• Conceitos de hibridização e de segurança dos fluxos entre aplicações, em particular para aplicações Cloud Native e arquiteturas orientadas a microsserviços.
Exemplos de exercícios práticos
• Avaliação das ameaças a um sistema híbrido e mapeamento dos fluxos sensíveis, matriz de risco associada
• Analisar intrusões que exploram ameaças e vulnerabilidades ligadas ao Cloud Computing.
ASPETOS JURÍDICOS E GESTÃO DE IDENTIDADES E ACESSOS (IAM)
Contratos Cloud e conformidade jurídica
• Contratos SaaS / IaaS / PaaS versus serviços geridos
• Cláusulas: SLA, segurança, reversibilidade, auditabilidade, penalizações, custos, enquadramento regulamentar…
• Ferramentas contratuais: Cloud Auditor, grelhas de conformidade…
• Quais são os requisitos de segurança para as aplicações SaaS?
IAM (Identity and Access Management – Gestão de Identidades e Acessos) no Cloud
• Fundamentos do IAM no Cloud Computing
• RBAC, ABAC, gestão do ciclo de vida da identidade
• Federação de identidades: SAML, OIDC, ADFS, Entra ID (por exemplo, Azure AD)
• Gestão e ferramentas de acesso multi-cloud: Okta, Ping Identity, OneLogin…
Exemplos de exercícios práticos
• Analisar criticamente os contratos de aplicações SaaS.
• Implementar uma federação de identidades entre aplicações e definir a lista dos protocolos e conectores necessários.
SEGURANÇA OPERACIONAL E GOVERNAÇÃO TÉCNICA
Exploração segura de um ambiente Cloud
• Separação dos ambientes de produção / desenvolvimento / teste / sandbox…
• Registo, alertas e rastreabilidade
• Continuidade de negócio e recuperação de desastres (BCP / DRP) e backups, replicação e redundância.
• Governação do ciclo de vida, auditoria e gestão da obsolescência: tags, CMDB, SAM…
Observabilidade técnica e governação
• Observabilidade no Cloud: gestão da monitorização, tracing e logs…
• Cloud Management Platforms (CMPs): gestão multi-cloud, configuração, custos e segurança.
• Painéis de controlo: segurança e indicadores-chave
• Gestão de incidentes Cloud e integração com ferramentas ITSM.
• Governação dos papéis e responsabilidades (papel do CIO, DevOps, SecOps…): importância de uma matriz RACI clara e partilhada.
Exemplos de exercícios práticos
• Implementar um ambiente IaaS seguro com mecanismos de monitorização, configuração de backup e um painel de controlo de segurança.
• Definir as ferramentas a utilizar numa landing zone segura para uma aplicação alojada num fornecedor de Cloud pública.
PROTEGER APLICAÇÕES CLOUD NATIVE: CONSTRUIR E IMPLEMENTAR
Construir – Integrar a segurança desde as fases de desenvolvimento e de construção
• O que é DevSecOps? Porquê adotar uma postura de “shift-left”?
• Segurança no código: SAST, análise de dependências, políticas de codificação segura
• Criação de imagens de contentores: minificação, hardening, gestão de UID, boas práticas do Dockerfile
• SBOM (Software Bill of Materials – Lista de Materiais de Software): benefícios, ferramentas (Syft, CycloneDX), automação
• CNAPP e scanners de build (Trivy, Grype, Checkov…): verificações iniciais realizadas imediatamente após o commit.
Implementar – Proteger a Infrastructure as Code e os deployments CI / CD
• Riscos ligados à IaC: quais são as vulnerabilidades comuns nos ficheiros Terraform, Ansible…?
• Scanners IaC: tfsec, Checkov, KICS, integração nos pipelines
• Proteção dos segredos e configurações (Vault, SOPs, Sealed Secrets)
• GitOps seguro: auditabilidade, controlo de merge, GitOps pull vs push
• CI / CD seguro: assinatura de imagens, scanning automático, exigências de conformidade
• Controladores de admissão Kubernetes (OPA / Gatekeeper, Kyverno): bloqueio de deployments não conformes.
Exemplos de exercícios práticos
• Realizar uma análise de segurança numa imagem Docker com o Trivy e construir um pipeline CI / CD que integre scanners IaC e um controlador de admissão.
PROTEGER APLICAÇÕES CLOUD NATIVE: EXECUTAR E RESPONDER
Executar – Reforçar e monitorizar a plataforma de execução
• Segurança dos contentores: runtime containerd / CRI-O, isolamento, execução sem privilégios root, sistema de ficheiros read-only.
• Segurança do nó: sistema operativo mínimo (Talos, Bottlerocket, Flatcar), seccomp, AppArmor e SELinux ativados.
• Segurança nativa Kubernetes: RBAC e Network Policies, Security Contexts e Pod Security Standards (PSS)
• Gestão de segredos, registos e audit logs…
• Integração de uma service mesh (Istio, Linkerd) para comunicações seguras
Responder – Observar, detetar e reagir em caso de incidente
• Que rastos e sinais monitorizar: logs, métricas, eventos de runtime?
• Ferramentas de deteção e resposta: Falco (eBPF), Kubernetes Audit Logs, Prometheus, Loki
• Integrar um CNAPP ou um SIEM Cloud Native para correlacionar e gerar alertas.
• Boas práticas de resposta: rollback GitOps, rotação de segredos, suspensão de workloads.
• Chaos Engineering para validar a resiliência da segurança
Exemplos de exercícios práticos
• Implementação de uma aplicação em Kubernetes com RBAC, PSS e NetworkPolicy, e deteção de comportamentos anómalos com Falco e rollback GitOps.
Facilitador que combina know-how com experiência empresarial e competências pedagógicas, para dar resposta a necessidades operacionais e potenciar a aprendizagem.
Objetivos da formação
- Definir os princípios de governação aplicáveis a um ambiente de Cloud híbrida.
- Identificar os principais riscos de segurança associados a ambientes híbridos e multi-cloud.
- Analisar as implicações jurídicas e contratuais de um projeto Cloud.
- Implementar as melhores práticas para proteger infraestruturas Cloud.
- Configurar dispositivos de segurança de rede num ambiente virtualizado.
- Implementar uma estratégia de IAM (Identity and Access Management – Gestão de Identidades e Acessos) adaptada ao Cloud.
- Integrar a segurança em pipelines DevOps (DevSecOps).
Duração da formação
Programa da formação
FUNDAMENTOS DE SEGURANÇA NO CLOUD
Desafios e especificidades da segurança no Cloud
• Sistemas de informação Cloud versus sistemas tradicionais: como evoluem os perímetros de segurança?
• Confidencialidade, integridade, disponibilidade, rastreabilidade… que nível de confiança operacional se pode esperar no Cloud Computing?
• Modelos de responsabilidade partilhada entre Cloud Provider e Cloud Consumer
• Desafios de segurança ligados ao Cloud Computing
Quais são as normas de segurança e os enquadramentos regulamentares em vigor?
• Normas ISO 27001, 27005, 27017, 27018…
• Referenciais de segurança: CSA CCM, ENISA CSF, ISAE3402, SOC 2/3, NIST SP 800-XXX, NIS2, DORA…
• O que diz a ANSSI sobre o SecNumCloud?
• E quanto ao EUCS (European Union Cybersecurity Certification Scheme for Cloud Services)? Objetivos e impactos
Introdução à segurança de rede no Cloud
• Um modelo legado em camadas a adaptar ao Cloud Computing (proteções em profundidade)
• Uma superfície de exposição alargada que exige monitorização reforçada.
• Virtualização de rede e microsegmentação
• O conceito de “Zero Trust Network Architecture” no Cloud
Exemplos de exercícios práticos
• Caso de estudo: análise de uma arquitetura Cloud baseada no modelo partilhado, mapeamento das responsabilidades e avaliação das zonas críticas de segurança.
• Analisar as principais ameaças e vulnerabilidades no Cloud Computing.
ANÁLISE DE RISCOS E SEGURANÇA AVANÇADA DAS REDES
Mapeamento e tipologia dos riscos no Cloud
• Qual é o mapa de riscos do Cloud Computing?
• Riscos técnicos e tecnológicos: falhas e vulnerabilidades, erros de configuração…
• Riscos organizacionais e jurídicos: dependência, não conformidade, questões jurisdicionais…
• Quais são os riscos associados ao Shadow IT?
• Alguns exemplos de ameaças: hypervisor, API, lateralização…
Gestão dos fluxos e interconexão das redes no Cloud
• Os desafios da proteção dos fluxos de rede no Cloud Computing.
• Tipos de interconexões e riscos associados (Cloud-to-Cloud e Cloud-to-OnPremise)
• VPNs, firewalls nativos Cloud e distribuídos, microsegmentação e SASE (Secure Access Service Edge).
• Conceitos de hibridização e de segurança dos fluxos entre aplicações, em particular para aplicações Cloud Native e arquiteturas orientadas a microsserviços.
Exemplos de exercícios práticos
• Avaliação das ameaças a um sistema híbrido e mapeamento dos fluxos sensíveis, matriz de risco associada
• Analisar intrusões que exploram ameaças e vulnerabilidades ligadas ao Cloud Computing.
ASPETOS JURÍDICOS E GESTÃO DE IDENTIDADES E ACESSOS (IAM)
Contratos Cloud e conformidade jurídica
• Contratos SaaS / IaaS / PaaS versus serviços geridos
• Cláusulas: SLA, segurança, reversibilidade, auditabilidade, penalizações, custos, enquadramento regulamentar…
• Ferramentas contratuais: Cloud Auditor, grelhas de conformidade…
• Quais são os requisitos de segurança para as aplicações SaaS?
IAM (Identity and Access Management – Gestão de Identidades e Acessos) no Cloud
• Fundamentos do IAM no Cloud Computing
• RBAC, ABAC, gestão do ciclo de vida da identidade
• Federação de identidades: SAML, OIDC, ADFS, Entra ID (por exemplo, Azure AD)
• Gestão e ferramentas de acesso multi-cloud: Okta, Ping Identity, OneLogin…
Exemplos de exercícios práticos
• Analisar criticamente os contratos de aplicações SaaS.
• Implementar uma federação de identidades entre aplicações e definir a lista dos protocolos e conectores necessários.
SEGURANÇA OPERACIONAL E GOVERNAÇÃO TÉCNICA
Exploração segura de um ambiente Cloud
• Separação dos ambientes de produção / desenvolvimento / teste / sandbox…
• Registo, alertas e rastreabilidade
• Continuidade de negócio e recuperação de desastres (BCP / DRP) e backups, replicação e redundância.
• Governação do ciclo de vida, auditoria e gestão da obsolescência: tags, CMDB, SAM…
Observabilidade técnica e governação
• Observabilidade no Cloud: gestão da monitorização, tracing e logs…
• Cloud Management Platforms (CMPs): gestão multi-cloud, configuração, custos e segurança.
• Painéis de controlo: segurança e indicadores-chave
• Gestão de incidentes Cloud e integração com ferramentas ITSM.
• Governação dos papéis e responsabilidades (papel do CIO, DevOps, SecOps…): importância de uma matriz RACI clara e partilhada.
Exemplos de exercícios práticos
• Implementar um ambiente IaaS seguro com mecanismos de monitorização, configuração de backup e um painel de controlo de segurança.
• Definir as ferramentas a utilizar numa landing zone segura para uma aplicação alojada num fornecedor de Cloud pública.
PROTEGER APLICAÇÕES CLOUD NATIVE: CONSTRUIR E IMPLEMENTAR
Construir – Integrar a segurança desde as fases de desenvolvimento e de construção
• O que é DevSecOps? Porquê adotar uma postura de “shift-left”?
• Segurança no código: SAST, análise de dependências, políticas de codificação segura
• Criação de imagens de contentores: minificação, hardening, gestão de UID, boas práticas do Dockerfile
• SBOM (Software Bill of Materials – Lista de Materiais de Software): benefícios, ferramentas (Syft, CycloneDX), automação
• CNAPP e scanners de build (Trivy, Grype, Checkov…): verificações iniciais realizadas imediatamente após o commit.
Implementar – Proteger a Infrastructure as Code e os deployments CI / CD
• Riscos ligados à IaC: quais são as vulnerabilidades comuns nos ficheiros Terraform, Ansible…?
• Scanners IaC: tfsec, Checkov, KICS, integração nos pipelines
• Proteção dos segredos e configurações (Vault, SOPs, Sealed Secrets)
• GitOps seguro: auditabilidade, controlo de merge, GitOps pull vs push
• CI / CD seguro: assinatura de imagens, scanning automático, exigências de conformidade
• Controladores de admissão Kubernetes (OPA / Gatekeeper, Kyverno): bloqueio de deployments não conformes.
Exemplos de exercícios práticos
• Realizar uma análise de segurança numa imagem Docker com o Trivy e construir um pipeline CI / CD que integre scanners IaC e um controlador de admissão.
PROTEGER APLICAÇÕES CLOUD NATIVE: EXECUTAR E RESPONDER
Executar – Reforçar e monitorizar a plataforma de execução
• Segurança dos contentores: runtime containerd / CRI-O, isolamento, execução sem privilégios root, sistema de ficheiros read-only.
• Segurança do nó: sistema operativo mínimo (Talos, Bottlerocket, Flatcar), seccomp, AppArmor e SELinux ativados.
• Segurança nativa Kubernetes: RBAC e Network Policies, Security Contexts e Pod Security Standards (PSS)
• Gestão de segredos, registos e audit logs…
• Integração de uma service mesh (Istio, Linkerd) para comunicações seguras
Responder – Observar, detetar e reagir em caso de incidente
• Que rastos e sinais monitorizar: logs, métricas, eventos de runtime?
• Ferramentas de deteção e resposta: Falco (eBPF), Kubernetes Audit Logs, Prometheus, Loki
• Integrar um CNAPP ou um SIEM Cloud Native para correlacionar e gerar alertas.
• Boas práticas de resposta: rollback GitOps, rotação de segredos, suspensão de workloads.
• Chaos Engineering para validar a resiliência da segurança
Exemplos de exercícios práticos
• Implementação de uma aplicação em Kubernetes com RBAC, PSS e NetworkPolicy, e deteção de comportamentos anómalos com Falco e rollback GitOps.
Formador
Facilitador que combina know-how com experiência empresarial e competências pedagógicas, para dar resposta a necessidades operacionais e potenciar a aprendizagem.
Clique na imagem para expandir
Os nossos espaços de formação oferecem todas as condições para continuar o seu desenvolvimento pessoal e profissional em absoluta segurança
Não se esqueça de subscrever o blog RhBizz e de nos seguir no LindekIn, Facebook, Instagram e Youtube.
