bom pessoal então vamos aqui o nosso próximo conceito nosso próximo pilar que a parte de segurança tá a essa parte toda de segurança ela não só é tão importante como ela abrange segurança em diversas perspectivas isso que a gente tem que entender então vamos lá o pilar da segurança ele descreve como aproveitar as vantagens das tecnologias de nuvem para proteger dados sistemas e ativos de uma forma que possa melhorar sua postura de segurança nesse caso obviamente né a aws ela está sempre aqui enviesada a gente tem que saber disso partindo do princípio que você está sempre utilizando a nuvem. E na maioria das vezes você realmente vai estar. Então a primeira coisa que você tem que entender é o seguinte. Quando a gente está falando em segurança, a gente tem que conseguir garantir que os sistemas estão rodando, que os dados dali não estão vazando e que os sistemas, além de estar funcionando, Sistemas, além de estar funcionando, eles não correm risco, um risco grande, um risco eminente de gerar falta de disponibilidade. Segurança não é só o hacker chegar e invadir alguma coisa. você ter procedimentos para evitar qualquer coisa que vá conseguir a deixar dados ou sistemas vulneráveis de não interessa qual vai ser essa perspectiva tá quais são esses principais princípios é principais princípios sobre segurança implemente uma base de identity forte porque isso significa dois aspectos aqui tanto na cloud quanto sem ser na cloud a sendo mais local em relação aos sistemas o lance é o seguinte galera a toda vez que você vai começar a usar um cloud provider, você vai ter que ter o quê aqui nesse aspecto? Credenciais, pessoas acessando, pessoas com diferentes níveis de autorização. O grande ponto é que normalmente o que a gente faz? A gente cria usuários com muitas permissões e essas permissões vão dando acesso ao que? Por exemplo, a que um usuário possa fazer muita coisa. E às vezes o problema não é do seu funcionário, do funcionário que está trabalhando na empresa. O problema é que às vezes a conta desse funcionário é hackeada, não interessa o motivo e essa conta tem muito privilégio. Então o que vai acontecer você tem que montar um esquema tá de autenticação e autorização no cloud provider cada cloud provider trabalha de uma forma super diferente mas normalmente eles têm uma granularidade sobre quais as funções né quais são os papéis as roles que cada usuário ali pode fazer. Desde usuários que vão ter acesso somente direto à API, quanto usuários que têm acesso a um determinado painel de controle. E essa estrutura, cada vez ela vai ficar mais complexa, conforme o tamanho da sua organização. Legal? Vamos imaginar que a sua organização tenha 10 mil funcionários na área de TI. Imagina o quão bem arquitetado tem que ser todos os procedimentos de identity para que todo mundo que acesse veja apenas aquilo que faça sentido para aquele nível de usuário. Então você tem que conseguir criar grupos muito organizados, você tem que criar toda uma estrutura realmente decente. E obviamente, nunca utilizar a sua conta root. Até o administrador que trabalha com essas coisas, ele não vai usar a sua conta que tem permissão de tudo. Isso nunca pode acontecer. Legal? Agora, ainda sobre a Identity, você vai perceber que, além de você pensar nessa linha da infraestrutura de acessos, você também tem que conseguir partir de sempre tentar enforçar que nos sistemas também que rodam na sua rede, eles tenham também um esquema de autenticação, autorização, processos de segurança que vão conseguir garantir que você tenha cada vez menos vazamentos. Muitas vezes a gente fica pensando que a gente tem vazamento, que a gente tem problema de segurança, porque alguém de fora foi e invadiu, mas muitas vezes tudo isso que acontece é porque veio alguém de dentro. Legal? Então isso aí é muito importante você saber. Um outro ponto importantíssimo. Tudo que você vai fazer, você vai ter que ter rastreabilidade. Uma ação aconteceu, um servidor caiu, um problema aconteceu, ou teve uma falha de segurança, alguém deletou algum bucket, alguém fez qualquer coisa desse tipo. A gente tem que ter uma forma totalmente ativada para você conseguir ver log de tudo que aconteceu lembrando pessoal log são eventos legal e eventos aconteceram e qualquer tipo de evento deixa um rastro legal ea rastreabilidade exatamente isso você conseguir auditar o que está acontecendo caso né alguma ação indesejada aconteça e na sua aplicação legal então poxa vou começar ali com claudio vou começar a organizar como que eu consigo organizar muito bem a autenticação autorização de todo mundo como eu consigo rastrear caso alguma coisa aconteça legal você já sabe fazer isso? Aconteceu esse problema. Eu sei chegar e rastrear essa coisa? Legal? Outro ponto. Ative todos os layers de segurança. Layers de segurança, eles podem ser desde a base de identity, desde a parte de autenticação, autenticação de dois fatores, todos esses tipos de coisa, até, legal, a sua máquina rodando, a sua aplicação estando rodando, por exemplo, não estando pública totalmente, numa rede pública, legal, o seu banco de dados nunca está também disponível para web, ou seja seja cada vez que você cria uma subnet privada cada vez que você evita né que o usuário final por exemplo ele consiga chegar e rodar alguma coisa diretamente do lado de fora a gente está falando que nós estamos a deixando o usuário a entrar em camadas cada vez mais profunda sua né você tem que saber o que você quer expor deixar exposto somente o que faz realmente sentido legal o outro ponto importante também é protege os dados em trânsito e os armazenados o que isso significa dados em trânsito e os armazenados. O que isso significa? Dados em trânsito. Está acontecendo uma operação. Como que eu consigo proteger? Uma request chamando um banco de dados. O dado saindo do banco de dados. Uma request chamando a outra. A request do cliente final entrando na sua aplicação. Como que eu protejo os dados em trânsito? Existem diversas técnicas né desde você conseguir organizar sua sub rede não deixando o dado que está chegando ter acesso direto à máquina bater sempre um balanceador de carga que tenha políticas bem estritas até você trabalhar com mtl s multa o tl s que vai fazer com que todos os dados que estejam sendo trafegados ali na sua rede, eles possam ser o quê? Criptografados. Mas não só criptografados. Esses dados, eles rodam com Mutual TLS. Ou seja, o servidor A, para falar com o B, ele tem que ter um certificado. E o B, para falar com o A, tem outro certificado. Um manda uma mensagem para o outro, vê que os dois certificados são válidos. E aí eles começam a trafegar essas informações. Nossa, Wesley, mas eu vou ter que armazenar certificado de tudo, de todos os meus workloads para eles se falarem? Não vai ser super complexo? E por isso que a gente tem aqueles padrões que a gente falou por exemplo a serve se mexe serve se mexe você coloca consegue colocar um site de cá e aí sai de cá ele vai por exemplo falar no formato de multa o tls e você resolve esse tipo de problema por exemplo legal a e os dados que são armazenados, o que vai acontecer no final das contas? Os seus buckets, os seus bancos de dados, esses tipos de coisa, eles não podem estar disponíveis diretamente na internet. Os seus buckets, hoje em dia, você tem muito bucket, os dados que sobem no S3, por exemplo, que eles já ficam armazenados de forma criptografada se você automatizar, automatizar não, ativar esses tipos de opção. Os seus bancos de dados, você tem que, por exemplo, nunca poder acessar diretamente, você tem que criar uma rede, esse cara você fala, você consegue proteger esse workload. Então, todos os dados que são armazenados, você tem que criar uma rede esse cara você fala você consegue proteger esse workload então todos os dados que são armazenados você tem que pensar como esse dado está seguro legal então dados em trânsito e dados armazenados legal e uma das coisas galera que mais acontece no dia a dia? Dados de banco de dados rolando dentro da empresa. Como assim? Ah, o desenvolvedor precisa fazer um teste porque está dando um problema e daí você fala assim, cara, importa aquele banco de dados que está rolando mesmo só para a gente conseguir simular o erro. Esse é o maior problema que você pode encontrar na sua vida tá porque desenvolvedor ele não tem que ter acesso a dados de produção nunca nunca por conta de segurança mesmo de confiabilidade naquele profissional mas nunca também porque esse profissional pode fazer besteira com esse dado pode pode enviar um e-mail sem querer para todo mundo. O desenvolvedor não pode ter dados perto dele, os dados reais. Ninguém pode ficar manipulando, tem que ter políticas para acontecer isso. Vou dar um exemplo para você. Recentemente alguém me contatou pelo LinkedIn falando para eu ignorar um e-mail que eu tinha recebido, porque esse e-mail que eu recebi, tinha o banco de dados dos clientes da empresa do cara, e sem querer, um desenvolvedor na hora de mandar o banco de dados, o dump do banco de dados, para o William legal, ele mandou para o Wesley. E o Wayne nem era da empresa dele. Entende que loucura, galera? E esses tipos de erro, eles não vêm porque a culpa do desenvolvedor mandar por engano. O problema é o desenvolvedor ter acesso a esse dado. E não deveria ter acesso a esse dado. Legal? Pessoas junto com dados de produção cada vez mais a podem dar problema então assim você tem que ter processos pessoas é que vão trabalhar diretamente com esses dados de uma forma mais cautelosa e com processos rodando aí legal então isso aí é um ponto importante e prepare se para eventos de segurança. E eventos de segurança, no final das contas, não é necessariamente você ir em uma conferência. Eventos de segurança é acontecer alguma coisa que envolve segurança na sua aplicação, no seu workload ou em qualquer coisa desse tipo, você tem que estar preparado para conseguir agir. O que acontece se alguém hackear meu cluster? Eu consigo baixar meu cluster? Eu consigo subir de novo? Eu consigo criar políticas para conseguir enforçar com que esses caras não vão conseguir ficar rodando mais esse tipo de informação? E, novamente, deu problema, teve problema de segurança, vazamento de dados, qualquer coisa, vá até o fim, investigue crie uma política pra aquilo não acontecer novamente, beleza? falei pra caramba galera mas segurança a gente sabe que é um assunto extremamente cabeludo um assunto extremamente importante mas eu acho que a coisa legal de tudo isso é não você ser um cara de segurança e conseguir fazer tudo isso, mas você ter ideia de tudo isso para inclusive você chegar para o cara de segurança e dar esses princípios ali para ele. Beleza?