Segurança em nuvem: boas práticas e controles para gestão segura de credenciais.

Abstract

O presente trabalho apresenta uma análise sobre a falta ou incorreta gestão de credenciais como a causa-raiz de incidentes de segurança em ambientes de computação em nuvem, ressaltando a urgência de controles proativos para garantir a Confidencialidade e a Integridade dos dados. O trabalho visa propor um roteiro de práticas defensivas com base na análise de falhas reais e na fundamentação de padrões de governança. Assim, discorre sobre conceitos essenciais de segurança, como o Modelo de Responsabilidade Compartilhada e as diretrizes do IAM, KMS e Princípio do Menor Privilégio (Least Privilege). O estudo realiza uma análise comparativa de vazamentos notórios em ambientes AWS (Uber, Capital One e Tesla) para demonstrar como a negligência no uso de MFA, a exposição de credenciais hardcoded e o privilégio excessivo transformam vulnerabilidades em crises de grande escala. Conclui-se que a adoção estrita desses controles de IAM, alinhados aos frameworks NIST e CIS, é a chave para a mitigação de riscos e para o atendimento das obrigações legais impostas pela LGPD, promovendo a segurança na nuvem de forma robusta e preventiva.

The present work provides an analysis of how the lack of or incorrect credential management is the root cause of security incidents in cloud computing environments, highlighting the urgency of proactive controls to ensure data Confidentiality and Integrity. The study aims to propose a roadmap of defensive practices based on the analysis of real failures and on established governance standards. It therefore discusses essential security concepts such as the Shared Responsibility Model and the guidelines of IAM, KMS, and the Principle of Least Privilege. The study presents a comparative analysis of well-known breaches in AWS environments (Uber, Capital One, and Tesla) to demonstrate how negligence in the use of MFA, the exposure of hardcoded credentials, and excessive privilege can turn vulnerabilities into large-scale crises. It concludes that the strict adoption of these IAM controls, aligned with the NIST and CIS frameworks, is key to risk mitigation and to meeting the legal obligations imposed by the LGPD, promoting robust and preventive cloud security.