AWS Re:Inforce 2025: as novas fronteiras da proteção da cloud

Amy Herzog, Vice-president e Chief Information Security Officer (CISO) da Amazon Web Services (AWS), subiu ao palco do AWS Re:Inforce 2025 – que se realiza em Filadélfia, nos Estados Unidos – para explicar como é que a AWS está a “simplificar a segurança em escala”, para além de procurar mostrar como é que os serviços da AWS permitem contruir aplicações resilientes que conseguem “suportar as organizações frente às ameaças modernas”, até porque, diz Herzog, “não podemos proteger adequadamente a Inteligência Artificial [IA] ou qualquer outra tecnologia sem uma base de segurança sólida”. A IT Security viajou até Filadélfia a convite da AWS.

Herzog foi direta ao abordar os desafios atuais: “o ritmo das mudanças não está a diminuir. Nos próximos anos, vamos assistir a transformações rápidas, inúmeras experiências e, inevitavelmente, alguns erros espetaculares pelo caminho”. Esta realidade exige que as organizações repensem fundamentalmente as suas abordagens de segurança. “Às vezes pode parecer que a IA é como um estagiário rebelde que decide redesenhar todo o esquema da sua base de dados sem que ninguém o peça”, afirmou a CISO da AWS, que espelha a tensão entre a inovação e o controlo que os CISO enfrentam diariamente.

Gestão de Identidades e Acessos: a base

Em todo o mundo, a AWS processa 1,2 mil milhões de pedidos de API por segundo, o que demonstra a escala massiva da gestão de identidades moderna. Herzog enfatizou que “a identidade é sobre confiança; é sobre ter confiança suficiente para dizer que sabemos quem o utilizador é e, portanto, sabemos quem nós somos”.

No evento, a AWS anunciou a disponibilidade geral do Internal Access Findings, uma nova capacidade do IAM Access Analyzer. Esta ferramenta utiliza raciocínio automatizado para mostrar exatamente que utilizadores têm acesso a recursos AWS importantes, como um S3 bucket, por exemplo.

A ferramenta analisa automaticamente vários tipos de políticas – identidade, recursos, políticas de controlo de serviços – e identifica quais as funções e utilizadores que têm acesso a recursos específicos. Ao mesmo tempo, o sistema verifica automaticamente as permissões de acesso todos os dias e pode notificar quando alguém novo obtém acesso a algo crítico.

Soberania e proteção de dados 

A AWS implementou uma estratégia de defesa em profundidade ao nível da rede. Herzog explicou que o tráfego real na rede AWS mostra múltiplas camadas de encriptação. “É invulgar que o tráfego do cliente seja encriptado três ou mesmo mais vezes quando se move através da rede”, partilha.

Outra novidade significativa é a capacidade de exportar certificados públicos emitidos pela ferramenta ACM e as suas chaves privadas para utilização dentro e fora da AWS. Esta funcionalidade permite que as organizações mantenham a gestão centralizada de certificados enquanto têm flexibilidade para usar os certificados onde for necessário.

A AWS também está a expandir as capacidades do AWS Shield com o lançamento do Network Security Director. Esta ferramenta realiza uma análise da rede, construindo uma topologia baseada nos recursos, conexões, serviços de segurança de rede e conjuntos de regras implementados.

Herzog anunciou, ainda, melhorias significativas no GuardDuty Extended Threat Detection, incluindo análises comportamentais avançadas, maior precisão com redução de falsos positivos, e nova cobertura para clusters EKS. Os resultados falam por si: num período de 90 dias, o GuardDuty Extended Threat Detection identificou mais de 13 mil sequências de ataque de alta confiança entre milhões de contas AWS monitorizadas.

Já o Security Hub aprimorado representa uma evolução fundamental na gestão de segurança na cloud. A plataforma combina sinais de segurança amplos e profundos de toda a AWS, correlacionando-os e enriquecendo-os para identificar e priorizar riscos ativos. A demonstração prática mostrou como o Security Hub pode combinar ameaças multiestágio detetadas pelo GuardDuty Extended Threat Detection com outros sinais, como vulnerabilidades, para priorizar questões críticas de segurança.

Modernização, automatização e correção

A AWS introduziu, ainda, uma nova experiência de consola simplificada para o AWS WAF que reduz os passos necessários para configurar a segurança inicial da aplicação em 80%. Esta reimaginação da consola permite que as equipas de segurança protejam as suas aplicações em minutos em vez de horas.

Já a experiência de integração simplificada para o Amazon CloudFront permite que os programadores configurem uma solução abrangente que entrega conteúdo de forma rápida, segura e confiável, independentemente da sua experiência prévia.

Sobre as correções, Herzog afirmou que “o melhor patching é aquele que não se tem de fazer” e enfatizou a importância da modernização. A AWS oferece ferramentas especializadas para cada camada da stack: Amazon ECR scanning para workloads em containers, AWS Code Artifact para repositórios privados e Amazon Inspector para avaliação automática de aplicações.

Herzog concluiu ao dizer que o trabalho da AWS “não é abrandar a inovação; é garantir que todos nós possamos mover-nos ainda mais rapidamente”. Para os CISO e diretores de cibersegurança, a mensagem é clara: a segurança eficaz na era da IA requer uma base sólida, ferramentas inteligentes e uma estratégia que equilibre proteção robusta com agilidade operacional.

O  IT Channel viajou até Filadélfia, nos Estados Unidos, a convite da AWS.