Com Leandro Venâncio

Segurança em nuvem não é uma caixa que a gente liga: é um conjunto de decisões diárias — técnicas, culturais e de processo — que, quando bem orquestradas, reduzem risco sem engessar o time.

Neste episódio do Kubicast, recebemos o Leandro Venâncio para destrinchar como ir além do “checklist de compliance” e construir um programa de segurança que acompanha a velocidade do produto. Conversamos sobre identidade e redes, políticas em Kubernetes, esteiras com segurança embutida e, claro, como priorizar o que realmente importa quando os alertas não param de chegar. Abaixo, condensamos as melhores ideias do papo num guia prático.

Por que “mais que” segurança em nuvem?

Porque nuvem por si só não resolve segurança; ela muda o modelo de responsabilidade. Provedores cuidam do hardware e de parte do software, mas configuração, identidade, dados e aplicações continuam sendo nossos. E quando levamos Kubernetes para o centro da arquitetura, multiplicamos a superfície de ataque e a velocidade de mudança. O resultado: segurança deixa de ser só ferramenta e vira disciplina operacional.

Três pilares que sustentam o resto

1. Identidade primeiro
   Tudo começa com who can do what. No plano de controle da nuvem, use contas/roles dedicadas, least privilege e rotação de credenciais. No cluster, alinhe RBAC com responsabilidades reais e aplique service accounts por workload (nada de default onipotente!).

2. Rede enxuta e intencional
   Segmentar é barato na nuvem. Combine VPCs/VNets bem pensadas, NetworkPolicies no K8s e, quando fizer sentido, service mesh para mTLS e autorização entre serviços. Exposição pública só quando inevitável — e sempre por trás de gateways e WAF.

3. Criptografia e segredos sob controle
   Chaves em KMS e segredos geridos por External Secrets ou equivalente. Nada de ConfigMap com senha. Em trânsito, TLS por padrão; em repouso, chaves por ambiente com rotação regular.

Do “shift left” ao “shift right” (sem perder o meio)

A gente costuma amar o shift left, mas o episódio deixa claro: sem operação madura, é meia solução. O fluxo saudável é:

• Código: SAST + revisão humana focada em threats prováveis.

• Build: SCA para dependências, criação de SBOM e image signing.

• Deploy: Admission controllers (Kyverno/Gatekeeper) para impedir o que não deveria existir — privileged, hostPath, latest, no resource limits, etc.

• Run: Telemetria útil (logs, métricas, traces), políticas de runtime e resposta a incidentes testada.

Essa sequência cria feedback loops curtos e mensuráveis.

CNAPP, CSPM, “siglas” e o que usar quando

• CSPM mostra configurações inseguras no provedor. Ótimo para basear backlog e medir higiene de contas.

• KSPM/Kubernetes posture foca no cluster (RBAC, políticas, versões, workloads).

• CNAPP costura visão de risco do código ao runtime (dependências, imagens, permissões, exposição).

O segredo é orquestrar sinais: usar a ferramenta para priorizar e a automação para corrigir (IaC, policies as code). Dashboard sem dono não puxa merge request.

Observabilidade orientada a segurança

Logar tudo é fácil; encontrar o que interessa é a arte. No episódio, defendemos:

• Métricas de controle (quantos deploys bloqueados por política? quantos segredos rotacionados?).

• Traces para flagrar lateral movement e latency anomalies.

• Alertas com contexto acionável: quem, o quê, onde, com qual commit e qual owner.

Crie playbooks curtos e teste-os (jogo do caos de segurança). Nada substitui dry run de incidente.

Checklist de 30/60/90 dias

Em 30 dias

• Mapear contas, papéis e acessos. Remover permissões zumbi.

• Habilitar baseline de NetworkPolicies.

• Introduzir Kyverno/Gatekeeper em audit.

• Gerenciar segredos via KMS + External Secrets.

Em 60 dias

• Assinar imagens e exigir digest em produção.

• Pipeline com SCA, SBOM e vuln gates adequados ao risco.

• Políticas críticas em enforce (privileged, hostPath, no-limits).

• Métricas e alertas mínimos de segurança.

Em 90 dias

• Inventário de superfícies expostas (ingress/WAF) e redução de ataque.

• Exercício de resposta a incidentes com postmortem público interno.

• Integração de CSPM/CNAPP ao backlog de IaC (correção automática onde fizer sentido).

Perguntas que ajudam a priorizar

1. Se um token vazar hoje, conseguimos revogar e rotacionar em minutos?

2. Qual a menor permissão de produção que um pipeline precisa para fazer deploy?

3. Conseguimos provar que toda imagem em produção veio da nossa build chain?

4. Quais alertas nos acordam de madrugada — e por quê?

5. O que é aceitável quebrar se apertarmos uma política agora?

Para levar do episódio

• Segurança eficaz é fricção bem posicionada.

• Políticas simples, visíveis e automatizadas pagam o investimento mais rápido.

• Shift left sem shift operate vira teatro; precisamos do ciclo completo.

• Métrica boa é a que reduz risco ou acelera time — o resto é barulho.

• Leandro Venâncio - https://www.linkedin.com/in/leandro-venancio/

• LowOps cast com Rafael Ferreira - https://www.youtube.com/live/SC6a11HClX4

• João Brito - https://www.linkedin.com/in/juniorjbn/

• Assista ao FilmeTEArapia - https://youtu.be/M4QFmW_HZh0?si=HIXBDWZJ8yPbpflM

  
  

Este artigo é um resumo expandido do Kubicast #188 — Mais que segurança em nuvem, com participação de Leandro Venâncio. Ouça o episódio completo para os exemplos e histórias de campo que não cabem aqui -> Spotify 🎧