9 guias de apoio para quem trabalha com AWS Security
Nos últimos dias eu comecei a organizar uma série de guias técnicos sobre segurança AWS que cobrem desde detecção até ataque, resposta, governança e threat modeling.
A ideia nunca foi criar conteúdo "copiado da documentação".
Queria algo mais próximo da realidade:
o que acontece de verdade em ambiente cloud, como os ataques funcionam, como detectar, como automatizar resposta e principalmente entender o porquê das coisas.
Então organizei o inicio em 9 guias:
Guia 1 — GuardDuty em profundidade: finding types + multi-conta
Um mergulho real no GuardDuty.
Não só "como ativar", mas:
- tipos de findings
- diferença entre comportamento suspeito e comprometimento
- integração multi-account
- delegated administrator
- centralização de segurança em AWS Organizations
- EventBridge para automação
Porque ativar GuardDuty sem entender os findings é quase usar antivírus sem olhar alerta.
Guia 2 — Security Hub: ASFF + agregação cross-conta + EventBridge
Esse guia entra na parte que muita gente ignora:
o formato ASFF (AWS Security Finding Format).
Também cobre:
- agregação cross-account
- automação com EventBridge
- normalização de findings
- integração entre serviços de segurança
Na prática, é onde segurança começa a virar plataforma.
Guia 3 — Segurança ofensiva: escalação de privilégios IAM
Provavelmente um dos temas mais críticos em AWS.
Esse guia mostra:
- caminhos de privilege escalation
- PassRole abuse
- políticas perigosas
- trust policies mal configuradas
- persistência via IAM
E principalmente:
como pequenos erros viram comprometimento total da conta.
Guia 4 — Amazon Inspector v2: scanning agentless + ECR + Lambda
Muita gente ainda acha que Inspector é só EC2 scanning.
Nesse guia eu explorei:
- scanning agentless
- análise de containers no ECR
- scanning de Lambda
- correlação de vulnerabilidades
- priorização baseada em exposição
A parte interessante é entender o quanto a AWS evoluiu o Inspector nos últimos anos.
Guia 5 — AWS Config + Conformance Packs: Custom Rule + Remediation Automática
Aqui o foco foi governança e automação.
Incluindo:
- Config Rules
- Conformance Packs
- regras customizadas
- auto-remediation com SSM Automation
- compliance contínuo
Porque segurança manual não escala.
Guia 6 — Exfiltração via S3 + flaws2.cloud
Esse guia ficou bem legal porque mistura ataque e defesa.
Explorando:
- exfiltração de dados via S3
- erros clássicos de permissões
- enumeração
- caminhos de abuso
- laboratório usando flaws2.cloud
É o tipo de conteúdo que ajuda a enxergar riscos além do "bucket público".
Guia 7 — CloudTrail Avançado: Organization Trail, Log Integrity e Lake SQL
CloudTrail é um dos serviços mais subestimados da AWS.
Nesse guia eu explorei:
- Organization Trail
- Log File Integrity
- CloudTrail Lake
- consultas SQL
- investigação
- auditoria centralizada
Porque incident response sem trilha confiável vira adivinhação.
Guia 8 — Amazon Macie: Sensitive Data Discovery + Suppression Rules
Esse guia entra muito em proteção de dados.
Cobrindo:
- descoberta de dados sensíveis
- classificação automática
- PII
- suppression rules
- tuning de findings
- integração com segurança e compliance
Especialmente útil para ambientes que precisam lidar com LGPD.
Guia 9 — Threat Modeling em Workloads AWS: STRIDE + IAM Lateral Movement
Talvez o guia mais estratégico de todos.
A ideia foi mostrar como pensar segurança antes do incidente acontecer.
Incluindo:
- STRIDE
- modelagem de ameaças
- movimentação lateral em IAM
- trust boundaries
- abuso entre serviços
- visão ofensiva aplicada à arquitetura
Porque muitas falhas nascem no desenho e não na implementação.
O objetivo dos 9 guias:
No fim das contas, meu objetivo foi criar algo que eu realmente usaria no dia a dia em ambientes AWS.
Sem conteúdo superficial.
Sem "copiar e colar arquitetura pronta".
Só segurança cloud do jeito que ela acontece na prática.
Os guias estão públicos no GitHub: