● 55 entries
Segurança em nuvem
- Admission Controller do KubernetesUm admission controller e um plugin do API server do Kubernetes que interceta pedidos autenticados antes da persistencia para validar, mutar ou rejeitar objetos de acordo com politicas.
- Ambiente de Execução Confiável (TEE)Contexto de execução seguro e isolado dentro do processador onde código e dados são protegidos em confidencialidade e integridade, mesmo face ao SO host e ao hipervisor.
- Ataque a AWS IMDSv1Roubo de credenciais do papel de instancia EC2 atraves de pedidos GET nao autenticados ao endpoint antigo IMDSv1, normalmente via SSRF.
- Ataque a cluster KubernetesIntrusao contra um cluster Kubernetes (K8s) que abusa de APIs expostas, RBAC fraco ou cargas vulneraveis para controlar o plano de controlo ou os nos de trabalho.
- Bring Your Own Key (BYOK)Modelo de gestão de chaves em que o cliente gera ou importa as suas próprias chaves de cifragem para o KMS do fornecedor cloud, em vez de usar chaves criadas por este.
- CASB (Cloud Access Security Broker)Ponto de aplicação de políticas situado entre os utilizadores e as aplicações cloud/SaaS para garantir visibilidade, proteção de dados e controlo de ameaças.
- CIEM (Cloud Infrastructure Entitlement Management)Disciplina e categoria de ferramentas que descobre, analisa e ajusta as identidades e permissões existentes em ambientes de nuvem.
- Cifragem na nuvemPrática de cifrar dados armazenados, processados ou transmitidos em serviços cloud para que apenas as partes autorizadas com as chaves corretas os possam ler.
- CiliumContainer Network Interface baseado em eBPF que oferece rede, observabilidade e seguranca a workloads Kubernetes a velocidade de kernel.
- CNAPP (Cloud-Native Application Protection)Plataforma de segurança integrada que combina CSPM, CWPP, CIEM, scan de IaC e deteção em runtime para proteger aplicações cloud-native do build à produção.
- Computação confidencialProteger os dados durante o processamento, executando as cargas dentro de Ambientes de Execução Confiáveis baseados em hardware, isolando-as do host e do operador cloud.
- Container EscapeExploracao que quebra o isolamento entre um contentor e o seu host, permitindo ao atacante executar codigo no no subjacente ou no kernel.
- Cryptojacking na nuvemUso nao autorizado dos recursos de computacao na nuvem da vitima para minerar criptomoedas, gerando faturas elevadas enquanto o atacante recebe as recompensas.
- CSPM (Cloud Security Posture Management)Categoria de ferramentas que avaliam continuamente contas de nuvem face a boas práticas e referenciais de conformidade para detetar e corrigir configurações incorretas.
- CWPP (Cloud Workload Protection Platform)Plataforma que protege workloads de nuvem — máquinas virtuais, contentores e funções serverless — em todo o seu ciclo de vida, do build ao runtime.
- Enclave seguroRegião de um processador ou SoC isolada por hardware e protegida em integridade, que executa código sensível e guarda chaves fora do alcance do sistema operativo principal.
- Escalonamento de privilegios IAMAbuso de permissoes IAM existentes na nuvem para obter privilegios superiores, normalmente por edicao de politica, assuncao de papel ou auto-concessao de direitos administrativos.
- Exfiltracao de dados na nuvemCopia ou transferencia nao autorizada de dados para fora de uma conta cloud, normalmente via APIs de armazenamento, snapshots, replicacao ou contas controladas pelo atacante.
- Finding CSPMAlerta produzido por uma ferramenta de Cloud Security Posture Management quando um recurso na nuvem viola um benchmark, politica ou regra de conformidade.
- Fuga de chaves cloudExposicao acidental de chaves de acesso cloud de longa duracao em repositorios publicos, imagens de contentor, logs ou codigo cliente, normalmente abusada em minutos.
- Função como Serviço (FaaS)Modelo cloud serverless em que funções efémeras correm sob procura em resposta a eventos, com o fornecedor a gerir servidores, escala e runtime.
- gVisorgVisor e um kernel de aplicacao open source da Google que interceta as syscalls dos contentores em espaco de utilizador, reduzindo a superficie de ataque do kernel do host exposta a workloads nao confiaveis.
- Hold Your Own Key (HYOK)Modelo de gestão de chaves em que as chaves nunca saem do HSM ou cofre do cliente; o fornecedor cloud tem de invocar esse sistema para usar a chave.
- Identidade de WorkloadIdentidade criptográfica atribuída a um serviço, contentor ou função para se autenticar perante outros sistemas sem segredos partilhados de longa duração.
- Infraestrutura como Serviço (IaaS)Modelo de serviço de nuvem em que o fornecedor entrega computação, armazenamento e rede virtualizados, e o cliente gere o SO, middleware e aplicações por cima.
- Isolamento entre inquilinosConjunto de controlos que assegura que, numa plataforma cloud ou SaaS partilhada, os dados, identidades e cargas de um cliente não podem ser acedidos nem afetados por outro.
- Kata ContainersKata Containers e um runtime open source que envolve cada contentor ou pod do Kubernetes numa maquina virtual leve para fornecer isolamento ao nivel do hardware.
- kube-benchFerramenta open source da Aqua Security que verifica automaticamente a configuracao de um cluster Kubernetes face ao CIS Kubernetes Benchmark.
- KubescapePlataforma open source de seguranca Kubernetes da ARMO que analisa clusters, manifestos e imagens em busca de ma configuracao, vulnerabilidades e desvios de politica.
- KyvernoO Kyverno e um motor de politicas Kubernetes da CNCF que valida, muta e gera recursos a partir de politicas escritas em YAML nativo, em vez de uma nova DSL.
- Má configuração de bucket S3Erro de configuração num bucket Amazon S3 (ou armazenamento de objetos equivalente) que expõe objetos, permite escritas indevidas ou concede acessos amplos entre contas.
- Má configuração de IAM (cloud)Definições de IAM na cloud inseguras ou demasiado permissivas que permitem a utilizadores, papéis ou serviços executar mais ações do que realmente precisam.
- Má configuração na nuvemFalha de segurança causada por configurações incorretas ou inseguras de serviços cloud, como armazenamento exposto, políticas IAM fracas ou portas de gestão abertas.
- Modelo de responsabilidade partilhadaQuadro de segurança na nuvem que divide as tarefas entre o fornecedor (segurança da nuvem) e o cliente (segurança na nuvem).
- NetworkPolicy do KubernetesNetworkPolicy do Kubernetes e um recurso por namespace que controla quais pods podem ligar-se a outros pods ou endpoints externos por IP, porta e protocolo.
- OPA (Open Policy Agent)Motor de políticas generalista, graduado pela CNCF, que desacopla decisões de autorização das aplicações e do controlo de admissão do Kubernetes usando a linguagem Rego.
- OPA GatekeeperOPA Gatekeeper e um controlador de politicas da CNCF que usa o Open Policy Agent e a linguagem Rego para aplicar politicas de admissao e auditoria a recursos do Kubernetes.
- Plataforma como Serviço (PaaS)Modelo de nuvem em que o fornecedor gere runtime, middleware, SO e infraestrutura, ficando o cliente focado no código aplicacional e nos dados.
- Pod Security StandardsOs Pod Security Standards (PSS) sao perfis de seguranca definidos pelo Kubernetes — Privileged, Baseline e Restricted — que codificam configuracoes seguras de pods e substituem o obsoleto PodSecurityPolicy.
- Política como CódigoPrática de definir regras de segurança, conformidade e governança em código legível por máquina para que sejam versionadas, testadas, revistas e aplicadas automaticamente.
- Roubo de tokens na nuvemRoubo de tokens OAuth, SAML ou de assinatura a um servico de identidade cloud e respetiva repeticao para se fazer passar por utilizadores ou servicos sem senhas.
- Runtime SPIREImplementação de referência open source do SPIFFE: um sistema servidor-agente que atesta workloads e emite SVIDs X.509 ou JWT de curta duração.
- Segurança como CódigoPrática de exprimir controlos, testes e infraestrutura de segurança como código-fonte para que sejam versionados, revistos, automatizados e entregues continuamente com as aplicações.
- Segurança de contentoresPrática de proteger imagens de contentor, registos, orquestradores e o runtime onde os contentores são executados.
- Segurança de Service MeshConjunto de controlos de identidade, cifragem e autorização que um service mesh fornece para proteger tráfego serviço-a-serviço em ambientes cloud-native.
- Segurança do IstioConjunto de funcionalidades de segurança do Istio: identidade de workload via SPIFFE, mTLS automático e AuthorizationPolicy/RequestAuthentication para controlo de acesso fino.
- Segurança do KubernetesProteção de um cluster Kubernetes — API server, plano de controlo, nós, workloads e rede — contra configurações incorretas, comprometimento e movimentação lateral.
- Segurança na nuvemConjunto de políticas, controlos e tecnologias que protegem dados, aplicações e infraestrutura alojados em ambientes de nuvem pública, privada ou híbrida.
- Segurança serverlessPrática de proteger cargas baseadas em eventos e funções, como AWS Lambda, Azure Functions e Google Cloud Functions, em que os servidores subjacentes são geridos pelo fornecedor.
- Software como Serviço (SaaS)Modelo de entrega na nuvem em que um fornecedor hospeda e opera uma aplicação acedida pelos clientes via Internet por assinatura.
- SPIFFEPadrão aberto para atribuir identidades criptográficas portáveis a workloads usando SPIFFE IDs baseados em URI e SVIDs X.509 ou JWT de curta duração.
- SSPM (SaaS Security Posture Management)Categoria de ferramentas que monitoriza continuamente configurações, identidades e integrações de aplicações SaaS para detetar configurações incorretas e comportamentos de risco.
- SSRF de metadados na nuvemAtaque SSRF que abusa de uma aplicacao vulneravel para consultar o servico de metadados de instancia do provedor de nuvem e roubar credenciais temporarias.
- TetragonFerramenta de seguranca em runtime para Kubernetes, baseada em eBPF, do projeto Cilium, que observa e aplica politicas de forma sincrona em processos, ficheiros e rede.
- Token de ServiceAccount (Kubernetes)Credencial JWT montada num pod Kubernetes que autentica o workload junto do API server e de outros servicos que confiam no fornecedor de identidade do cluster.