● 55 entries

Segurança em nuvem

Admission Controller do KubernetesUm admission controller e um plugin do API server do Kubernetes que interceta pedidos autenticados antes da persistencia para validar, mutar ou rejeitar objetos de acordo com politicas.
Ambiente de Execução Confiável (TEE)Contexto de execução seguro e isolado dentro do processador onde código e dados são protegidos em confidencialidade e integridade, mesmo face ao SO host e ao hipervisor.
Ataque a AWS IMDSv1Roubo de credenciais do papel de instancia EC2 atraves de pedidos GET nao autenticados ao endpoint antigo IMDSv1, normalmente via SSRF.
Ataque a cluster KubernetesIntrusao contra um cluster Kubernetes (K8s) que abusa de APIs expostas, RBAC fraco ou cargas vulneraveis para controlar o plano de controlo ou os nos de trabalho.
Bring Your Own Key (BYOK)Modelo de gestão de chaves em que o cliente gera ou importa as suas próprias chaves de cifragem para o KMS do fornecedor cloud, em vez de usar chaves criadas por este.
CASB (Cloud Access Security Broker)Ponto de aplicação de políticas situado entre os utilizadores e as aplicações cloud/SaaS para garantir visibilidade, proteção de dados e controlo de ameaças.
CIEM (Cloud Infrastructure Entitlement Management)Disciplina e categoria de ferramentas que descobre, analisa e ajusta as identidades e permissões existentes em ambientes de nuvem.
Cifragem na nuvemPrática de cifrar dados armazenados, processados ou transmitidos em serviços cloud para que apenas as partes autorizadas com as chaves corretas os possam ler.
CiliumContainer Network Interface baseado em eBPF que oferece rede, observabilidade e seguranca a workloads Kubernetes a velocidade de kernel.
CNAPP (Cloud-Native Application Protection)Plataforma de segurança integrada que combina CSPM, CWPP, CIEM, scan de IaC e deteção em runtime para proteger aplicações cloud-native do build à produção.
Computação confidencialProteger os dados durante o processamento, executando as cargas dentro de Ambientes de Execução Confiáveis baseados em hardware, isolando-as do host e do operador cloud.
Container EscapeExploracao que quebra o isolamento entre um contentor e o seu host, permitindo ao atacante executar codigo no no subjacente ou no kernel.
Cryptojacking na nuvemUso nao autorizado dos recursos de computacao na nuvem da vitima para minerar criptomoedas, gerando faturas elevadas enquanto o atacante recebe as recompensas.
CSPM (Cloud Security Posture Management)Categoria de ferramentas que avaliam continuamente contas de nuvem face a boas práticas e referenciais de conformidade para detetar e corrigir configurações incorretas.
CWPP (Cloud Workload Protection Platform)Plataforma que protege workloads de nuvem — máquinas virtuais, contentores e funções serverless — em todo o seu ciclo de vida, do build ao runtime.
Enclave seguroRegião de um processador ou SoC isolada por hardware e protegida em integridade, que executa código sensível e guarda chaves fora do alcance do sistema operativo principal.
Escalonamento de privilegios IAMAbuso de permissoes IAM existentes na nuvem para obter privilegios superiores, normalmente por edicao de politica, assuncao de papel ou auto-concessao de direitos administrativos.
Exfiltracao de dados na nuvemCopia ou transferencia nao autorizada de dados para fora de uma conta cloud, normalmente via APIs de armazenamento, snapshots, replicacao ou contas controladas pelo atacante.
Finding CSPMAlerta produzido por uma ferramenta de Cloud Security Posture Management quando um recurso na nuvem viola um benchmark, politica ou regra de conformidade.
Fuga de chaves cloudExposicao acidental de chaves de acesso cloud de longa duracao em repositorios publicos, imagens de contentor, logs ou codigo cliente, normalmente abusada em minutos.
Função como Serviço (FaaS)Modelo cloud serverless em que funções efémeras correm sob procura em resposta a eventos, com o fornecedor a gerir servidores, escala e runtime.
gVisorgVisor e um kernel de aplicacao open source da Google que interceta as syscalls dos contentores em espaco de utilizador, reduzindo a superficie de ataque do kernel do host exposta a workloads nao confiaveis.
Hold Your Own Key (HYOK)Modelo de gestão de chaves em que as chaves nunca saem do HSM ou cofre do cliente; o fornecedor cloud tem de invocar esse sistema para usar a chave.
Identidade de WorkloadIdentidade criptográfica atribuída a um serviço, contentor ou função para se autenticar perante outros sistemas sem segredos partilhados de longa duração.
Infraestrutura como Serviço (IaaS)Modelo de serviço de nuvem em que o fornecedor entrega computação, armazenamento e rede virtualizados, e o cliente gere o SO, middleware e aplicações por cima.
Isolamento entre inquilinosConjunto de controlos que assegura que, numa plataforma cloud ou SaaS partilhada, os dados, identidades e cargas de um cliente não podem ser acedidos nem afetados por outro.
Kata ContainersKata Containers e um runtime open source que envolve cada contentor ou pod do Kubernetes numa maquina virtual leve para fornecer isolamento ao nivel do hardware.
kube-benchFerramenta open source da Aqua Security que verifica automaticamente a configuracao de um cluster Kubernetes face ao CIS Kubernetes Benchmark.
KubescapePlataforma open source de seguranca Kubernetes da ARMO que analisa clusters, manifestos e imagens em busca de ma configuracao, vulnerabilidades e desvios de politica.
KyvernoO Kyverno e um motor de politicas Kubernetes da CNCF que valida, muta e gera recursos a partir de politicas escritas em YAML nativo, em vez de uma nova DSL.
Má configuração de bucket S3Erro de configuração num bucket Amazon S3 (ou armazenamento de objetos equivalente) que expõe objetos, permite escritas indevidas ou concede acessos amplos entre contas.
Má configuração de IAM (cloud)Definições de IAM na cloud inseguras ou demasiado permissivas que permitem a utilizadores, papéis ou serviços executar mais ações do que realmente precisam.
Má configuração na nuvemFalha de segurança causada por configurações incorretas ou inseguras de serviços cloud, como armazenamento exposto, políticas IAM fracas ou portas de gestão abertas.
Modelo de responsabilidade partilhadaQuadro de segurança na nuvem que divide as tarefas entre o fornecedor (segurança da nuvem) e o cliente (segurança na nuvem).
NetworkPolicy do KubernetesNetworkPolicy do Kubernetes e um recurso por namespace que controla quais pods podem ligar-se a outros pods ou endpoints externos por IP, porta e protocolo.
OPA (Open Policy Agent)Motor de políticas generalista, graduado pela CNCF, que desacopla decisões de autorização das aplicações e do controlo de admissão do Kubernetes usando a linguagem Rego.
OPA GatekeeperOPA Gatekeeper e um controlador de politicas da CNCF que usa o Open Policy Agent e a linguagem Rego para aplicar politicas de admissao e auditoria a recursos do Kubernetes.
Plataforma como Serviço (PaaS)Modelo de nuvem em que o fornecedor gere runtime, middleware, SO e infraestrutura, ficando o cliente focado no código aplicacional e nos dados.
Pod Security StandardsOs Pod Security Standards (PSS) sao perfis de seguranca definidos pelo Kubernetes — Privileged, Baseline e Restricted — que codificam configuracoes seguras de pods e substituem o obsoleto PodSecurityPolicy.
Política como CódigoPrática de definir regras de segurança, conformidade e governança em código legível por máquina para que sejam versionadas, testadas, revistas e aplicadas automaticamente.
Roubo de tokens na nuvemRoubo de tokens OAuth, SAML ou de assinatura a um servico de identidade cloud e respetiva repeticao para se fazer passar por utilizadores ou servicos sem senhas.
Runtime SPIREImplementação de referência open source do SPIFFE: um sistema servidor-agente que atesta workloads e emite SVIDs X.509 ou JWT de curta duração.
Segurança como CódigoPrática de exprimir controlos, testes e infraestrutura de segurança como código-fonte para que sejam versionados, revistos, automatizados e entregues continuamente com as aplicações.
Segurança de contentoresPrática de proteger imagens de contentor, registos, orquestradores e o runtime onde os contentores são executados.
Segurança de Service MeshConjunto de controlos de identidade, cifragem e autorização que um service mesh fornece para proteger tráfego serviço-a-serviço em ambientes cloud-native.
Segurança do IstioConjunto de funcionalidades de segurança do Istio: identidade de workload via SPIFFE, mTLS automático e AuthorizationPolicy/RequestAuthentication para controlo de acesso fino.
Segurança do KubernetesProteção de um cluster Kubernetes — API server, plano de controlo, nós, workloads e rede — contra configurações incorretas, comprometimento e movimentação lateral.
Segurança na nuvemConjunto de políticas, controlos e tecnologias que protegem dados, aplicações e infraestrutura alojados em ambientes de nuvem pública, privada ou híbrida.
Segurança serverlessPrática de proteger cargas baseadas em eventos e funções, como AWS Lambda, Azure Functions e Google Cloud Functions, em que os servidores subjacentes são geridos pelo fornecedor.
Software como Serviço (SaaS)Modelo de entrega na nuvem em que um fornecedor hospeda e opera uma aplicação acedida pelos clientes via Internet por assinatura.
SPIFFEPadrão aberto para atribuir identidades criptográficas portáveis a workloads usando SPIFFE IDs baseados em URI e SVIDs X.509 ou JWT de curta duração.
SSPM (SaaS Security Posture Management)Categoria de ferramentas que monitoriza continuamente configurações, identidades e integrações de aplicações SaaS para detetar configurações incorretas e comportamentos de risco.
SSRF de metadados na nuvemAtaque SSRF que abusa de uma aplicacao vulneravel para consultar o servico de metadados de instancia do provedor de nuvem e roubar credenciais temporarias.
TetragonFerramenta de seguranca em runtime para Kubernetes, baseada em eBPF, do projeto Cilium, que observa e aplica politicas de forma sincrona em processos, ficheiros e rede.
Token de ServiceAccount (Kubernetes)Credencial JWT montada num pod Kubernetes que autentica o workload junto do API server e de outros servicos que confiam no fornecedor de identidade do cluster.