July 30, 2025 • 44 mins
“A Nuvem é o Limite”, exploramos o equilíbrio entre segurança e custos na computação em nuvem. Discutimos os principais riscos, práticas recomendadas para proteger dados e aplicações, e como tomar decisões estratégicas que mantenham o ambiente seguro sem estourar o orçamento. Uma conversa prática e objetiva para quem quer extrair o máximo da nuvem com responsabilidade e eficiência. Com um convidado super especial, o bom filho, a casa torna!
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Mark as Played
Transcript
Episode Transcript
Available transcripts are automatically generated. Complete accuracy is not guaranteed.
(00:23):
Olá pessoal, bem com vocês?
Sejam muito bem-vindos ao mais um DevSecOps Podcast.
Eu sou o Casio Pereira.
sou Marco Santos.
E hoje estamos...
Bem, eu o vagabundo, cara?
O vagabundo, salário em dia, deu aumento esses dias aí que pediu aumento do salário e nãotá aí, não vem gravar, cara.
(00:44):
É difícil, É difícil.
o cara saiu de férias.
Tá vendo?
Foi isso.
salário dele e ele volta a aparecer e gravar.
Mas o Bayer nem respondeu.
A não sabe que com a agenda, né?
Porque provavelmente a marca pra gravar com ele na próxima.
Inclusive a agenda é sempre complicado pra gente.
Mas hoje temos um convidado ilustre.
(01:05):
Sabe por que ele é convidado ilustre, Marcos?
Porque este podcast que vos fala começou com ele, exato.
Ele e o nosso grandissíssimo, que também jamais poderemos esquecer.
Rodrigo Balbino, era o elenco, aquela história da formação oficial da banda, Começoucomigo, com o Rodrigo e com ele que a ia falar já já quem é, quem tá no YouTube, a gente
(01:28):
já tá vendo a carinha dele, mas quem tá vendo só no áudio ainda não tá vendo.
Antes da gente falar pouco do nosso convidado do tema de hoje, vale lembrar que o DevCells Podcast tem o apoio o suporte da Nova 8, da Sneak, que é distribuidor oficial do
Sneak no Brasil e da...
Purple Word Security, que eu sempre esqueço, hoje eu não estou com a minha colinha aqui,então não consigo lembrar todo mundo na ordem.
(01:49):
A Gold Security, a DigitalWoke também são os nossos parceiros, estão sempre ajudando agente aqui a suportar todos vocês com o AppSec e soluções de cibersegurança.
Pessoal, é episódio bacana hoje, porque a vai falar pouquinho sobre cloud, vamos falarpouquinho de segurança cloud, custos, uma série de questões abordando esse tema.
Mas é legal convidar de hoje, daqui a pouco ele vai se apresentar para vocês, sereapresentar para vocês, na verdade, porque, como eu falei,
(02:12):
o Vini que está aqui com a gente hoje começou o podcast, então o elenco original era eu, oRodrigo e ele e a gente começou o podcast, se eu não me engano o Vini gravou a primeira
temporada inteira, não lembro se a produção puder puxar aí pra gente, a gente vai saberdisso, mas eu acho que o Vini ainda gravou a segunda temporada ou parte da segunda
temporada, ou só a primeira, enfim, importante que está aqui de novo, Vini, obrigado aípelo tempo, a sabe que a agenda sempre é corrida, se reapresente aí pra galera, a gente já
(02:39):
te conhece, mas se reapresente aí pra galera, fala pouquinho de você.
Bom dia pessoal, olha aqui de novo.
Um dia o filho bom a casa entorta.
Então, a gente volta aí.
Comitido do Cássio aí, a gente tava conversando, relembrando os bons tempos aí, Muitacoisa passou desde que a gente criou esse podcast lá atrás.
(02:59):
Bem legal a evolução dele.
Acompanho os episódios aí sempre que é possível.
Bom...
Cloud, né?
Sempre foi minha vida já, naquela época a já falava muito sobre Cloud, sobre DevOps, né?
Então continuo nessa base, a infraestrutura, nunca esqueci, sistemas operacionais é aminha vida, né?
(03:20):
Mas sempre a gente tem que colocar a cabeça nas nuvens e aonde a gente está hoje.
Não é mais tão a hype do momento, né?
Hoje a gente fala muito sobre IA, mas a nuvem ainda continua muito forte aí.
Então, prazer imenso estar aqui de volta.
Boa boa e a pergunta já para começar é Linux ou Windows o que é melhor?
(03:41):
Só para aquecer
Bom, eu vim da época das janelas, né?
E nas janelas trabalhei muitos anos, foi meu ganho a pau durante muitos anos.
Mas hoje muito mais software livre, até por questões de custos, questão de usabilidadetambém.
O Windows tem seus fortes, né?
Muito forte ali na parte de iniciador de arquivos, acho que é muito melhor.
(04:03):
A parte de sistema de audap dele é muito melhor, tá muito mais avançada.
A parte meio deles, cara...
Acho que não tem serviço igual o TIN, o antigo exchange, hoje o ops 365, mas o Link semmuitas vantagens ali parte de segurança, a parte de gestão mesmo de pacotes para você
subir software, microserviço nuvem, acho que está muito mais à frente nesse sentido.
(04:30):
Então pouquinho de carão.
Boa, O Vini não esquivou da pergunta, Marc, tá vendo?
Você que fica aí com treta Linux, Windows, Java, C Sharp, tá vendo?
Assim que responde, Prioridade, Vamos começar o tema de hoje, eu queria já começar a fazeruma pergunta, Vini.
A gente sabe que quando a gente fala, inclusive segurança, É aspecto importante do Linux,Querendo ou não, Windows por ser mais popular, talvez, aí minha visão, né?
(04:57):
Windows talvez por ser mais popular também chame mais atenção.
O atacante quer causar impacto maior e ter ganho maior.
Quanto mais gente usa Windows, não acaba tendo um pouco de foco maior ali.
Mas voltando para Cloud ou começando na Cloud, eu vejo que muita gente tem uma preocupaçãohoje, o pessoal fala de Cloud High Genie, que o que a falava de Hardening, de On-Premise,
(05:22):
o que dá na mesma, mas que Cloud, você perde pouco desse controle.
Você sabe que você tem servidor ali, uma máquina?
Você sabe o teu escopo, quando você fala de Cloud, você fala, caralho, é muita coisa queeu tenho lá, monte de assets, monte de coisa aberta, muita gente que tem acesso.
Como é que eu olho para tudo isso?
Antes a gente falava de enxergar o parque, hoje a Cloud não mais o parque, é a Disneyinteira.
(05:46):
Como é que gente, do ponto de vista de segurança, olha para uma Cloud para falar, cara, étudo isso aqui que nem o Rei Leão, olha, tudo aquilo ali, tudo que o sol toca.
Como é que isso CloudMan?
Cara, é pouco mais complexo, você tem que ter alguns conhecimentos muito além do que sóaquela questão básica ali, colocar um Fire ou colocar, né, algumas...
(06:12):
Alguns bar de rails ali na sua própria rede, né?
Cara, eu que sou dinossauro, a gente controlava o boot da Magna pra não botar pordiskette, pra não botar por USB, né?
Então era mais fácil.
Agora, com o cloud, você tem que ter controles, diversas delas fornecem o que a gentechama de control tower, controle completo ali.
(06:37):
Você tem protocolos que você pode bloquear, você tem níveis, Obviamente, tudo isso envolvecusto, porque dependendo de como você for contratar, quero contratar algum serviço, sei
lá, Fire ou da Palo Alto.
Isso tem custo extra porque você tem o licenciamento desse produto.
Quando você está no data center, compra a caixa, ele já vem para o licenciamento e ali.
(06:59):
Quando você está na nuvem, você contrata isso como serviço.
Então, a maneira de olhar para a nuvem na parte de segurança é você contratar muita coisacomo o SAS mesmo.
O SAS ganhou uma notoriedade muito maior hoje dia do que tinha há alguns anos atrás e nãoprecisa nem ir muito longe.
Em 2008, quando gente começou esse podcast...
(07:21):
não era tão forte o SaaS.
O SaaS a via como pacote de offices, com pouca coisa.
Hoje você tem software de segurança, a própria SYNC, a Palo Alto, outras ferramentas desegurança, todos fornecendo serviços SaaS voltados para nuvem.
Isso falando em...
Quando a fala em estratégias de fronteiras de nuvem, em boundaries ali.
(07:44):
E internamente na nuvem você tem que ter IAM muito bem colocado.
Você tem que ter uma...
as funções determinadas sempre com o menor privilégio possível.
Nem sempre a consegue alcançar o menor privilégio possível, mas você tendo algumasmetodologias como Zero Trust, entre outras, você consegue chegar a nível de segurança
legal e economizando, tendo um equilíbrio entre a segurança e os custos.
(08:10):
Basta ser criativo que tudo é possível.
aí marcos é só ser criativo cara tá vendo só você que fala que não dá então na nuvem opessoal cria ativos ó e se é louco começar eu vou começar eu vou começar para aí eu vou
(08:32):
dar aqui ó
Eeeeeh...
começar a cobrar por cada episódio, que é muita filosofia, Porque na cloud, e foijustamente essa pergunta, O pessoal...
E é onde a trabalhou junto, né, Vini?
Era pouco sem controle, né?
Então, o pessoal, literalmente, criava muitos ativos na cloud e a gente não tinha maisrastreabilidade.
(08:53):
Eu lembro que eu criei lá uma época um source, um pythonzinho, pra ficar batendo na API daAWS, vendo se tinha máquina EC2 exposta, aí tinha, reportava pro cara e tal.
Era trabalho reativo.
O que dá pra fazer com políticas hoje, você bloqueia o cara de criar, é muito mais fácil,mas tem que ter uma estruturação inicial, um setup inicial bem definido do que pode e o
(09:16):
que não pode ser feito.
Fala aí, Marcos.
que assim, eu vejo que a cloud facilitou muito a escalabilidade, Antigamente, pô, faltavaespaço, que ir lá comprar o UHD, formatar aquela porra, colocar na macas.
Hoje dia a escalabilidade ficou muito mais fácil, muito mais ampla, só que a tem oproblema de custo, né?
(09:38):
Isso aí vai custando a mais ali do serviço e a gente tem o sistema de bunch ali que vocêcontrola na AWS, na Azure, só que muitas vezes estrapola.
Como que o...
com que vocês fazem essa gestão, né?
Pra controlar o curso, mas tem uma escalabilidade legal.
Você puxou uma palavra interessante, Marcos, que é uma coisa que eu defendo há muitosanos.
(09:58):
A nuvem não é barata, ela é escalável.
Primeiro ponto, é isso.
Núvem, quando você usa ela de verdade, você consegue cintar ganhos, redução de custos, sóque para isso você precisa, literalmente, de trabalho, conjunto de desenvolvimento, de
operações e de segurança falarem a mesma língua, porque se cada puxar para si próprio...
(10:23):
É uma questão que a discute há muito tempo.
O nosso time de desenvolvimento de Delivery, ele sabe o quanto que a aplicação delerealmente suporta.
Ele desenvolveu o código voltado, por exemplo, para microserviço, que é muito falado hojedia.
gente criar todas as nossas aplicações com microserviço, rodando gerenciador de containerque seja, Docker, Swarn, Kubernetes, qualquer gerenciador de container por aí.
(10:52):
e principalmente ele conseguiu testar a aplicação de forma que a gente possa escalar elade acordo com a real necessidade, porque muitas vezes a gente escreve aplicações que não
têm limites, né?
Ela simplesmente vai consumindo CPU, vai consumindo memória, não sabe onde estáconsumindo, é uma query balfeita no banco, isso escala, então...
(11:17):
tendo uma base de monitoramento muito bem fundamentada...
que vai inclusive olhar para os guardrails de hardware, Ah, essa aplicação está escalandoX vezes.
Por que ela está escalando tanto?
Se a métrica dela normal, sei lá, é ficar com duas instâncias.
Vamos falar de máquinas virtuais, Não nem falar de microserviços.
(11:37):
Vamos colocar máquinas virtuais.
São duas EC2, são duas VMs lá no Azure, enfim.
E de repente ela começa a escalar para 3, 4, 5.
em alguns picos, porque que ela está escalando?
Está tendo realmente essa quantidade?
Então a única forma de gente saber se realmente gente está utilizando a cloud da maneiraadequada é tendo monitoramento proativo muito forte, principalmente questão de medir as
(12:05):
métricas de request versus o que a máquina está demandando de verdade.
Senão não tem como.
Marcos.
e acho que o caso deu uma travadinha aí mas é interessante top porque muitas vezes eu vejoos desenvolvedores ali que eles criam ali eles não têm noção dos request cria aplicação
ali tá API para chamar, lá, mil requests por dia e tá chamando começou a chamar dois mil,três mil, quatro mil só que não sabe nenhum comportamento normal e isso começa a afetar a
(12:36):
escalabilidade eu vejo ali só o gráfico de custo subindo né
Pelo menos eu recebo email, estourou o budget, o nego vai lá e reajusta, vai estourando obudget.
E é uma preocupação aí, bem grande, eu vejo esse...
Principalmente com o meu gestor aqui, Com o pessoal de segurança, mas eu vejo esse pessoalde cloud ali sofrendo ali, brigando muito com os devs.
A gente começou um processo de educação de desenvolvimento, principalmente nesse tópico.
(13:04):
Começar a explicar para eles, por exemplo, aí já voltando para o microserviço, saindo maisde VMs, Quanto que seu microserviço faz?
A gente tem políticas de stress test que podem complementar isso e ajudar a entender qualque é a escalabilidade de cada serviço.
E aí nesse conceito você consegue...
(13:24):
você consegue medir a quantidade adequada de recursos.
É boa.
Aproveitando que o Cássio deu probleminha, eu queria também perguntar pra você qual queessa diferença grande de multi cloud e de cloud híbrida, sei lá.
É algo que veio na minha cabeça por quê?
(13:44):
A gente fala muito de multi cloud ali com o Google, o Azure e a AWS, mas a também fala alida cloud híbrida utilizando vários serviços dentro da mesma cloud, né?
Não sei se o termo tá correto, me desculpe, não sou especialista.
Eu queria mais saber de você como funciona essa questão e o quanto isso ajuda as empresas,somente a questão do multi cloud.
(14:06):
Claro, excelente pergunta.
Primeiro, vamos definir os dois tópicos.
Cloud Híbrida é uma cloud que você tem um data center local e ele está linkado diretamentecom a cloud.
E aí pode ser por...
Hoje todas elas fornecem links ali dedicados para cada uma das...
(14:29):
sistemas.
E conseguimos...
Alcácio voltou aí.
voltei mano os caras me tocam o alarme do estamos ouvindo né os caras me tocam o alarme doprédio aqui aí não era só teste do alarme que sai nego correndo ainda por tá aqui pariu
velho bom tô de volta
(14:50):
aí de Multicloud vs Cloud Hibida aí Cassio, pelo amor de Deus.
E já caiu novo, vamos seguir aí.
Bom, retomando o raciocínio, a cloud híbrida é uma cloud quando você tem o seu data centeruma extensão da cloud.
Ferramentas como o VMware fornece isso, apesar do VMware estar numa polêmica aí sobrequestão de licenciamento, mas diversos hypervisors você consegue estender a sua
(15:22):
infraestrutura para nuvem, mas isso é pouco perigoso quando você pensa do prisma doseguinte.
entrar na nuvem é fácil, sair dela é extremamente complexo.
O interesse de todos os provedores de nuvem é que você entre para dentro deles.
Sair é mais complexo.
Agora, quando a fala conceito de multi-cloud, aí você pode utilizar...
(15:45):
E aí depende a estratégia que você vai ter e tudo mais.
Você pode utilizar, por exemplo, sazonalidades.
Eu tenho o meu workload principal na AWS e quero utilizar como backup GCP, por exemplo.
Se eu tiver uma sazonalidade, pro Varejo tem muito disso, Black Friday, Dia dos Namorados,Natal.
Então, eu vou ter uma gama muito grande de acesso.
(16:06):
Então, eu consigo separar isso e colocar como uma extensão do meu próprio workloadprincipal, tendo ali DNS Load Balancers, entre outras coisas, para eu poder fazer esse
balanceamento entre as nuvens.
E eu consigo trabalhar multi nuvens.
Tem alguns produtos, por exemplo, de SaaS, que gente estava falando, como, por exemplo,alguns bancos de dados como SaaS.
(16:29):
A Mongo já faz isso hoje, a Mongo Atlas.
Você consegue linkar o seu banco de dados Mongo em qualquer uma das nuvens e trabalharhíbridamente entre elas, com dados entre elas, sendo uma dificuldade.
Então, esse seria o conceito de você estar multi-cloud.
Você tem mais de provedor de cloud com você.
é assim que faz?
(17:13):
um prejuízo financeiro vamos dizer assim e a gente largou o multi cloud acho que mais pornão saber como utilizar do que por qualquer outra coisa
Perfeito.
Você tem algumas formas nesse sentido, como eu falei.
Uma é você utilizar sazonalidades.
A vantagem de multi-cloud, por exemplo, a gente teve um problema algumas semanas atrás, eunão lembro exatamente quando, que o GCP deu uma pane e parou o GCP.
(17:43):
Se parou GCP, vamos lá, pararam o quê?
Eu e o Caso passamos por isso na empresa que a trabalhou.
lá alguns anos atrás, justamente em que parou o console de gerenciamento da nuvem quegente trabalhava.
Só que os workloads continuaram trabalhando, O acesso a ele gente não perdeu acesso aoworkload, a perdeu acesso ao gerenciamento, gente não conseguia fazer deploy, não
(18:09):
conseguia alterar alguma coisa, mas ele estava acessível.
Então, num conceito desse não é tão prejudicial.
Agora, por exemplo,
a própria AWS teve um caso, acho que 2021, 22, não lembro, em que deu uma falha no consolede Kainizes dela.
(18:31):
O Kainizes é exatamente uma ferramenta que ela gerencia toda a parte de enfileiramentodela da nuvem.
E aí travou no planeta inteiro.
A AWS ficou fora por algumas horas durante esse período.
Quem está simplesmente...
Quem está totalmente logado na AWS e não tem nenhum workload em outra nuvem, simplesmentevai parar.
(18:52):
Então, se eu por exemplo, tenho workload backup na Azure, por exemplo, ou no GCP, se a AWSpara, eu posso subir lá e continuar o meu trabalho com DNS, failover, eu jogo para lá
desde que meu DNS não tenha sido afetado.
Se meu DNS estiver na própria nuvem que deu problema, eu também vou ter esse impacto.
(19:14):
Por isso até que, por exemplo, a NICBR coloca lá, você coloca dois endereços pra você, umcada local diferente, que é pra se morrer o outro responde.
Mas a nuvem é muito estável, é difícil a gente ter um desastre nesse sentido.
E a principal desvantagem de você ser multi cloud é o quê?
(19:37):
É a quantidade de coisas que você está alocando uma nuvem, você ganha descontos por usoali.
Então, quanto mais recursos você consome de uma única nuvem, mais ela vai te dar dedesconto.
Seja ela qual for.
Égeri, AWS, GCP, Alibaba.
Não importa qual seja aí.
E quanto mais você usar ela, mais ela vai te dar desconto.
(19:58):
Então, nesse quesito acaba sendo muito mais vantajoso você consolidar do ponto de vistaeconômico.
Todos num único local.
Vou colocar todos os ovos numa única cesta.
não boa pra caramba e interessante, eu perguntei a gente e tinha dúvida agora uma outradúvida aqui também é o quanto o profissional de cloud deve se especializar para criar
(20:21):
arquivos de IAC né que é o arquivo do momento hoje tem scanner para isso tudo mais famosoterraform cloud formation por aí vai aquele bandido
está aí, né, porque já tem alguns outros surgindo.
Assim, especialização, toda a área precisa, isso não tem jeito.
(20:42):
E o profissional de infraestrutura, isso já é uma discussão muito antiga que a gente játeve inclusive um episódio falando sobre isso lá atrás, que é justamente, todos têm que
saber desenvolver, todo mundo precisa saber, o cara de segurança precisa saberdesenvolver, o desenvolvedor obviamente, e o cara de infraestrutura, ele tem que saber
desenvolver.
e os providers de InfraScode, eles fornecem diversas funcionalidades ali que envolvemlógica de programação, loopings, entre outras coisas, para facilitar para você escrever
(21:14):
menos código e ele interpretar de uma forma que seja legível e consiga provisionar aqueleworkload.
E dessa forma você consegue administrar muito mais fácil, principalmente quando vocêcoloca uma plataforma de IDP.
para a gestão das suas aplicações, para entregar aplicações muito mais rápido.
(21:36):
A tem exemplos aí no mercado.
A gente tem o Caravelas ali com a Stone, a gente tem o Fury com o Mercado Livre, sãoplataformas de EDP, tem o próprio backstage da Spotify, que foi desenvolvido em trégue
para a comunidade.
Tem muita gente desenvolvendo cima do backstage.
Então, por baixo disso, se você não tiver uma lógica muito bem feita de ir a ser ali...
(21:58):
Não adianta nada se tem uma plataforma de GDP.
Você não vai conseguir entregar a velocidade necessária para entrar novos workloads.
Hum, boa!
Voltou, Cássio!
Está estável, parou de cair.
cara.
aqui parecendo, eu preciso de outro caso porque quando cai o outro assume, entendeu?
vocês estavam falando de backup e multi cloud, não precisa de multi host também agora né.
(22:23):
caralho, é...
simulou aqui exatamente isso.
Nosso host, nosso principal local, alguém falhou.
E nós continuamos trabalhando enquanto ele estava se desestabilizando.
gente estava mais ao vivo.
aí com menos potencial ali ó, tá subiu por enquanto.
sou Alibabá nesse exemplo aí, olha, pode chamar de Alibabá nesse exemplo.
(22:47):
Essa discussão é boa, eu queria entrar agora em uma outra seara, que é a seara de custos.
Porque, por exemplo, eu lembro de ataque, ataque entre aspas, mas eu lembro de ataque queeu fiz na época, que eu fiz impacta, fiz curso da impacta tecnologia, tinha cara lá no
curso que eu não ia com a cara dele, sabe quando você não vai com a cara de alguém assim?
(23:08):
Eu não fui com cara desse maluco.
E ele tinha site que era hospedado na local web.
Ele tinha sitezinho lá que ele fazia, vendia café, sei lá o que, hospedado na local web.
E eu lembro que na época o tráfego da local...
Acho que ainda tem algumas coisas assim, muita coisa assim.
O pagamento era por tráfego.
E o site dele deveria ter, lá o que, 100 pessoas no mês.
(23:28):
Aí eu fui lá, meti um botzinho lá, cronólogozinho, para arrebentar de request.
Então ele teve, sei lá, milhões de requests no dia.
E eu lembro que no outro dia no curso ele falando para cara lá no curso, putz estou naminha conta da localweb porque eu tive muito acesso no site e eu não sei de onde veio, não
(23:49):
sei o que lá, na época não tinha login, tinha nada assim, não tinha se preocupado comisso, o site estava no ar, estava funcionando.
Então assim, eu lembro que eu consegui causar esse impacto no bolso, fiz o cara, fiz decerto o modo de ele gastar, ele tinha dinheiro, fiz de certo ele gastar uma grana ali, mas
esse é o ponto agora, até que ponto
a nossa escalabilidade tem que ser automática.
(24:12):
É lógico, talvez o negócio vai drivar pouco disso, olha, eu trabalhando numainfraestrutura crítica, então tem que ter multi cloud, tem que ter backup, tem que plano
de contingência, plano de continuidade de negócio.
Mas, putz, eu tenho e-commerce aqui, até onde eu escalar, até milhão de máquina, atéinfinito, até explorar o cartão de crédito, ou eu vou botar limite, porque eu posso ter, e
não é incomum isso acontecer, hackers que querem causar, ele quer causar dano à empresa,ele nunca quer
(24:35):
roubar dados, não quer fazer fraude, ele quer danificar aquela marca, então ele vai tentarcasar a disponibilidade ou aumentar os custos, atacar recursos e esse é recurso muito
poderoso de conseguir fazer.
Como é que isso aí Vini?
A gente tem que olhar para isso, é uma responsabilidade do provider, eu uso o Microsoft,então Azure, então Microsoft que resolve isso.
(24:57):
Eu tenho que configurar os meus serviços para não ter problema desses.
Claro, isso é que é chamado em nuvem de responsabilidade dividida.
Tem uma escala da nuvem, que eu não lembro exatamente de cabeça como é que ela funciona,que determina se você está utilizando a nuvem como um IAAS, então a nuvem tem
(25:20):
responsabilidade de chegar até a disponibilidade do hardware, do software para cima,gerenção de pads, segurança, é responsabilidade...
do próprio cliente.
Se você está utilizando um pass, que é plataforma e asaservice, então a responsabilidadefica mais dividida.
A nuvem se preocupa com o software, se preocupa com licenciamento, se preocupa com updatese você só se preocupa com os seus dados que estão ali colocados.
(25:49):
Isso é muito utilizado para banco de dados, principalmente.
É melhor forma de exemplificar um plataforma e asaservice.
E quando a gente fala em SaaS, quer dizer que eu como cliente eu só quero usar.
E aí toda responsabilidade é da nuvem.
E aí inclusive nesse sentido.
Quando você colocou sobre custos de acesso, todos os proveedores de cloud eles cobram poracesso.
(26:11):
Todos eles.
Independente.
Porque é justamente onde eles vão...
É a entrada.
Então assim, até o que eu estava falando com Marcos, para entrar na nuvem, ele nem tecobra.
Para sair dele, ele te cobra.
E
a saída é justamente esse conceito de acesso externo, quem está batendo no seu workload esaindo provendo ali uma página web, uma aplicação web, seja lá o que for.
(26:40):
Então, a escalabilidade tem que ser muito bem dosada para que isso não estore o custo.
Você não pode escalar o infinito e além.
A nuvem é o seu limite, como é o tema desse episódio.
Então, você tem que ter um plano ali
justamente de análise de quanto seu workload tem consumido para você escalar até aqueleali.
(27:02):
Você sabe, o meu budget chega até aqui, então eu vou escalar até aqui.
Ah, e se não der para escalar mais?
Não deu.
Parou o meu workload ali porque se não o negócio fica insustentável e eu não vou terdinheiro para pagar.
A grande verdade é essa.
E aí como que eu me protejo, por exemplo?
de uma época que eu não tô numa sazonalidade, não tô numa Black Friday, não tô num Natal,Dia dos Namorados, seja lá qual for, uma pandemia, que é o meu caso, trabalho na área de
(27:27):
saúde, minha sazonalidade é uma pandemia.
É engraçado, as pessoas perguntaram, mas que tipo de sazonalidade que vocês têm?
Geralmente é de segunda-feira, das nove e meio-dia, aumenta 15 % o meu workload.
E uma sazonalidade de verdade, cara, só se tiver uma pandemia, a área da saúde, grandeverdade é essa.
(27:48):
Hum?
bem estável nesse sentido.
Mas se você não tiver alguns guardeirreios, AWS fornece o AWS Shield, ou Azure fornece oAmazon Fire, ou alguma coisa nesse sentido, justamente para bloquear ataques, que seria
DDoS, a gente pode chamar de DDoS nesse caso, que é aumentar o request sem muitos motivosali.
(28:12):
E aí você tem alguns guardeirreios que te protegem nesse sentido.
Então por isso que é uma bola dividida.
Você tem que ter acesso, você tem que colocar esse tipo de produto, vai pagar pouco mais,mas vai te trazer a segurança de você não ter, por exemplo, ataque nesse sentido, cássio
da vida querendo espancar a sua aplicação só porque ele achou, não foi com a sua cara.
A não foi com a tua cara.
(28:34):
Inclusive, a maioria dessas ferramentas anti-DDoS ou DDoS protection e tal, eles tambémcobram por tráfego, mas o tráfico bloqueado, porque obviamente o tráfico está passando
ali, mas quando ela precisou agir, vai bloquear ali.
assim, às vezes o pessoal não tem muita ideia o que é um ataque de DDoS.
Cara, para exemplificar, o ataque de DDoS...
(28:59):
pra quem é de São Paulo é mais fácil entender é todo menino pra praia no ano novo isso éataque DDoS, nem imigrantes, nem enxieta ali tipo assim, a estrada tá preparada...
é não, a estrada tá preparada pra, sei lá, mil carros por hora e aí no fim de ano é 10 milcarros por hora, tá ligado?
DDoS é literalmente uma escala muito grande o que eu fiz lá no site do cara foi umcrawling
(29:23):
não é o DDoS, Até que o DDoS tem que ser distribuído de vários IPs, de várias localidades,tem toda uma técnica ali por trás.
Então tem ferramentas exclusivas, específicas que vão ajudar com relação a isso, além daspróprias Clouds, além dos próprios provedores.
A Cloudflare talvez seja um grande player que faça isso, a KMAI, enfim, pelo menos.
Todo mundo que faz WAF, de certo modo, faz CDN, de certo modo também faz DOS Protection.
(29:49):
é boa, que esse tema de custo é tema importante porque às vezes, para pra pensar pouquinhoné Marcos, do ponto de vista do atacante, o atacante ele vai ter algumas motivações, então
ou ele quer roubar a sua informação pra vender essa informação, ou ele quer uma fraudedireta no seu business, é o seu dinheiro, é o seu ponto, alguma coisa nesse contexto, ou
(30:10):
ele quer a tua marca, ou ele vai direto na disponibilidade, então eu quero só deixar issofora do ar, eu quero pichar o site, então
sempre vai ter uma motivação.
Então, às vezes, olhar o teu negócio desse ponto de vista, ótica, Olha, tá, quem é o meuinimigo?
Quem seriam os meus potenciais atacantes e tudo mais?
Inclusive, curiosidade, Tá tendo a Netflix expandindo aqui na Polônia e eles estãoabrindo, vai ser o segundo maior polo fora dos Estados Unidos de tecnologia da Netflix
(30:39):
aqui na Polônia.
Estão contratando e tal, enfim, conheço uma galera lá já.
E ficam pensando, cara, imagina trabalhar na Netflix que é do entretenimento.
Quem é o inimigo da Netflix?
Quem vai atacar a Netflix?
Aí você pensa, tem muita galera...
Fala aí, fala aí, HBO, o concorrente.
Então, você vai ter concorrência.
É porque você não pensa só na plataforma aplicativo, o aplicativo da televisão.
(31:02):
Você vai pensar, cara, os caras estão produzindo série, então tem informação ali donegócio que vai ser um episódio que vai lançar uma série X que não pode vazar o roteiro,
quanto custa, então tem uma série de coisas ali por trás.
Mas é entretenimento, sepálio, quem é o inimigo?
Aí você começa a pensar pouco mais a fundo, você vê que tem uma discussão assim, a Netflixé meio woke, cultura mais esquerda.
(31:23):
já está claro que o inimigo é a galera da direita?
quem vai atacar o governo?
É alguém que quer fazer uma fraude roubar dados ou é alguém que só está descontente com ogoverno, exemplo?
Quer causar a disponibilidade de serviço?
Que aí, lá, é lado direito, esquerdo tanto faz.
Então quando você parar para pensar dessa ótica?
quem é o teu atacante, quais as motivações dele, isso de certo modo drive a tua segurança.
(31:50):
Quando eu trabalhei na Serasa muito tempo, a Serasa só protege dados financeiros.
Qualquer fraudador quer atacar a Serasa, qualquer crime organizado passa a ser alvo ali.
Quando a trabalha na CVC, quem quer atacar a CVC?
Fraude.
(32:12):
específico do atacante ser uma fraude, não é o cara que quer causar uma indisponibilidadeou coisa do tipo, até por conta do mercado.
Então o meu ponto aqui acho que isso, é olhar o nosso ponto de vista de segurança, o nossobusiness ele tem certos inimigos por padrão, por definição, quem vai atacar hospital?
Cara, hospital é o ativismo, o vídeo que na área da saúde agora, ninguém vai lá atacarhospital porque quer fazer uma fraude, quer fazer uma fraude, cara, que fraude, um ou
(32:40):
outro assim né.
Temo.
reconhecido
entende?
Não, aqui tem fraude, tem que pagar, tem dinheiro, né?
principal atacante de hospital quer invadir para coletar dados.
Dados de saúde são extremamente sigilosos e isso vale.
A gente teve em 2018...
você pegar o dado de alguém famoso ou importante e as pessoas têm uma doença crônica quenão foi divulgada.
(33:05):
Quantas informações vale?
21 um mega vazamento dos dados de saúde que saiu lá, os dados de saúde do presidente darepública na época.
Vazou os dados de do presidente da república de diversas pessoas.
Vini está trabalhando, se você quiser falar o nome pode falar, mas onde o Vini trabalha,acaba que muita gente famosa usa.
(33:29):
Então o Marco falou agora, as vezes pode ser uma coisa nesse contexto.
Mas no meu ver, talvez não seja o foco principal, tipo cara vai falar, eu preciso dedinheiro, vou atacar o hospital, vou atacar banco, vou atacar fintech.
Você entende?
Então o primeiro target não acaba sendo hospital pra esse cara que quer atacar.
Então esse é o meu ponto, porque as vezes o business vai, de modo, direcionar o teuapetite, essa palavra que é legal, o teu apetite de segurança pra sua produção e o que
(33:55):
você tem que fazer nesse contexto.
E nem o Marcos, o Marcos...
pra falar, pra falar, pra falar...
de ataques que sofrem na área da saúde.
Eu não tinha essa noção antes de vir trabalhar na área da saúde, o quanto que é sensívelessa área.
Então tem um investimento muito grande, pelo menos aqui, com a área de segurança.
(34:21):
A gente trabalha muito forte na área de segurança para que a gente possa impedir que dadosvazem.
Tem monitoramentos de diversas formas aqui para aqui, porque esses são dados extremamentesensíveis, como colocou.
Tem muitas pessoas importantes, os notórios que utilizam o hospital, que não querem seusdados expostos de qualquer forma.
(34:43):
Marcos, você ia falar alguma coisa?
Criptografa tudo né Marcos?
é...
eu desenhei o log, faz alguma coisa aí, já era
Desligo o log Você sabe dessa, Vinny?
Sabe dessa, Vinny?
Só os ouvintes assíduos aqui sabem dessa história Conta aí, Marco, de novo
O que aconteceu?
(35:03):
Eu trabalhei numa empresa, essa empresa é gigante ali, pensava em serviço de limpezaempresarial ali e segurança patrimonial também, e era grupo de 40 empresas, é gigante.
A tinha mais de 50 mil funcionários, Só que a gente não tinha segurança, literalmente, nãotinha time de segurança, o gerente só estava preocupado reduzir custo, eu cuidava do
(35:27):
sistema na época de gestão de RH da empresa.
e a gente tava ficando sem espaço de armazenamento era a data center interna, não tinhacomeçado a migração para nuvem ainda e começou a ficar sem espaço e grande ideia do
gerente foi desligar o log para economizar espaço os logs estão ocupando muito espaço agente tá sem armazenamento de tudo isso foi feito ali com autorização depois de chorar
(35:53):
muito e explicar os motivos mas desligamos os logs houve vazamento de dados interno ondealguém
capturou os dados ali de outro empregado que estava processo judicial entregou esses dadospara pessoa e a pergunta foi busca no log aí para ver quem foi que fez isso
chefe dele pediu pra ele buscar nos logs.
(36:15):
E log.
no log aí foi explicado então o senhor pediu para desligar os logs não temos como capturarnão temos como fazer nada
Esse é outro gargalo que a tem nuvem também, é armazenamento, logs.
Hoje a gente tem diversas formas de você armazenar logs em nuvem de uma forma mais barata.
(36:39):
Eles já provêm esse tipo de coisa.
E aí, obviamente, nesse quesito, puxando já pro nosso pavo que gente tava tendo aqui, vocêter políticas de expurgo, porque o log não precisa ser eterno, mas ele tem que ter tempo
ali pra você validar.
para o mercado de saúde a tem que reter por dez anos informações.
(37:02):
Então a gente tem um...
é cinco anos, dependendo da data financeira são cinco anos, é uma série de regrinhas.
É, lá na empresa tava no começo do Marco Civil, então gente não tinha ainda ali o...
o iridesato Só que assim, foi cagada do cara ali, dava pra ter feito outra coisa, a gentenem tinha política de analisar logs, se tu me der Então os logs estavam ali e só tinha
(37:23):
enfeite Não tinha mais time de segurança Tentei contratar o Cassio uma vez lá pra fazerpenteste pra gente Foi negado e era um...
valor risório
eu só lembro do Jacama naquele episódio lá, não tem como, não tem como.
vergonha da profissão
(37:47):
É o conceito da gente usar a nuvem ela é muito amiga desde que você saiba realmente comoutilizá-la, né?
E aí cê tendo guarde-reis, conhecimento profundo sobre cada uma delas, cê consegueliteralmente usar tudo que você precisa com o custo adequado, não vou dizer custo baixo
porque não é o custo adequado e assim você pode seguir realmente eh sua vida feliz nocaminho das nuvens.
(38:14):
Boa.
Cassius, eu tinha mais perguntas, só que acho que o tempo hoje tá bem escasso.
está escasso, eu caí, morri, a nuvem de contingência aqui deixa eu só rodar negócio aquique eu vejo, não sei se o Vinny sabe disso
Ai...
Ah...
Mano, esse engreninho do final é horrível!
(38:36):
quadro aqui, Vinic, que o Dev May Cry.
Desenvolvedores devem chorar.
E a gente sempre fala alguma coisa do dia a dia, alguma prática, o que é que seja que fazo Dev chorar, coisas que o Dev não gosta.
É para arrumar treta mesmo, O que você acha que na tua área de Cloud Infra...
que vocês fazem no dia a dia que o Deve não gosta, que o Deve chora ou algo que vocêgostaria de fazer e não, vocês devem estar me irritando, eu vou...
(39:03):
simplesmente hora que eu limito o workload dele que não vai escalar e pronto.
Acabou.
Eu corto, escala e acabou.
Vai ser isso.
Não, vai ser demais.
Não, refaça sua aplicação, volta.
Você tá loop infinito aqui.
Tira.
Eu diria que é tirar o acesso de criação na nuvem, não pode criar mais nada, ele só usa oque tem lá.
(39:28):
Ah não, tem lugar que os caras...
Ô meu amigo, tem lugar que os caras fazem tudo né.
um dos momentos que o nosso host estava fora, a estava falando sobre a plataforma de IDP.
O IDP serve justamente para isso.
Hoje dia, muito forte isso.
Estava dando um exemplo de algumas empresas construindo sua própria IDP.
(39:48):
O Caravelas com a Stone, o Fury com o Mercado Libre.
São exemplos que gente vê no mercado de construir IDP.
A gente está construindo o nosso também, baseado igual todo mundo no backstage do Spotify.
que fornece ali todo um guarde-rei, uma maneira do desenvolvedor solicitar seus workloads,uma maneira segura, com autenticação, com validações, já com documentação viva.
(40:17):
E com isso a gente consegue entregar uma maneira e ele não precisa mais ter acesso.
Para quem precisa ter acesso.
Ele já tem plataforma de monitoramento, já tem IDP, ele já tem a URL para quem precisa deacesso à nuvem.
E você Marcos, tem algum Death May Cry para você hoje?
Tem cara, e foi bagulho que me deixou com raiva também, fez eu chorar.
(40:40):
Não, fazer o desenvolvedor criar readme bem feito com uma boa justificativa pra rodaraquela aplicação.
Nossa...
Cara, eu vou te falar que o IDP ajuda com isso.
Por isso que a gente está investindo muito nisso.
Cara, vai fazer o readme aqui, manualzinho com Markdown, vai tomar no coro...
com o IA todos os caras não tem que reclamar mais com isso aí cara, agora faz, fala prochat GPT, gera aí pra mim
(41:05):
Mas nem toda empresa dá acesso, né, Cass?
Tira pra você que não precisa com o pé colar aí.
Ele vai fazer casa, né?
cara.
não consegue copiar e colar, imagina o Dave fazendo aí.
acho que eu usei o backstage na empresa que eu estava antes, o pessoal usava lá, é beminteressante, mas tinha que customizar, ele puro, ele era meio esquisitinho, tinha que
customizar, mas foi bem, era bem bacana, acho que essa questão, talvez volta 15 passosatrás, o princípio de segurança de least privilege, menor privilégio, menor acesso, acho
(41:38):
que tudo isso se aplica em qualquer contexto e a cloud mostra muito isso que com ocontrole de
devidamente implementadas, políticas devidamente implementadas, você está, vou usar apalavra que o Vinny mais usou no podcast, eu tô quase que uma IAQ analisando tempo real,
você cria guardrail pro cara não fazer essas besteiras.
(41:59):
Eu tinha chefe que ele falava assim, é gado, bota cercadinho, o gado não vai passar docercadinho, tem que criar cercadinho, você dá volta pros devs.
Bom, Dev May Cry de hoje, vocês vão chamar de gado.
Para quem assiste o Rasta News lá, chamam o pessoal de gato demais.
Enfim.
Pessoal, acho que era isso.
(42:20):
O tempo é corrido.
Vini, obrigado por mais uma participação.
Uma temporada inteira, mais episódio.
Está convidado de novo.
Sempre que a gente puder achar agenda e tópicos, a gente vai...
Vamos sempre trocar e compartilhar informação com a galera, que acho que é muitoimportante.
Deixe a mensagem final para a galera e a gente se despede.
Claro, usem a nuvem.
(42:41):
Ou, como diz, né?
Dead Wolf beba água, usem a nuvem.
Tenham cuidado ao utilizar certos produtos que a Nuvem oferece.
Às vezes ela só quer colocar lá.
E muitas vezes é produto que você não tem necessidade de utilizar.
(43:04):
Tem algumas coisas que eles fornecem que não tem tanta necessidade.
Vou dar exemplo claro aqui, por exemplo.
Você tem alguns produtos na própria AWS
que não fazem muito sentido para o seu workload.
Para que eu vou usar um cognito para poder fazer a autenticação do meu usuário interno daempresa?
(43:26):
Se você tem activo da Eletric, você já tem isso.
Não precisa criar uma camada extra com cognito, por exemplo.
Agora, exemplo, não, vou utilizar porque todo o acesso de cadastros, de clientes que vãoentrar, cara, eu não quero guardar isso no meu banco.
Beleza, aí faz sentido de utilizar.
Então, tem produtos que fazem sentido.
Analisem de verdade o produto antes de você realmente sair usando.
(43:49):
Façam Pox, construam ferramentas antes de sair utilizando, porque depois a conta chega.
E como eu falei, entrar na nuvem é fácil, sair dela é muito complexo.
Caraca!
Foi bonito!
a entrada é fácil, mas a saída é dolorosa.
(44:13):
É com essa que a gente encerra o episódio de hoje.
177 episódios a partir deste episódio.
Então 177 episódios aí já para você acompanhar o WCW Podcast.
Sempre lembrando da Nova 8, Gold Security, DigitalWalk e Purple Bird, nossos parceiros queestão sempre aqui com a gente.
A gente vê na semana que vem.
Eu sou o Casper Pereira.
(44:34):
Isso é o Mark Sands.
e aqui foi o Bini Cavalheiro, mais uma vez
ainda lembra, ele ainda lembra.
Fechou pessoal, isso, tchau tchau
Beijo de luz!
Olá pessoal, bem com vocês?
Sejam muito bem-vindos ao mais um DevSecOps Podcast.
Eu sou o Casio Pereira.
sou Marco Santos.
E hoje estamos...
Bem, eu o vagabundo, cara?
O vagabundo, salário em dia, deu aumento esses dias aí que pediu aumento do salário e nãotá aí, não vem gravar, cara.
(00:44):
É difícil, É difícil.
o cara saiu de férias.
Tá vendo?
Foi isso.
salário dele e ele volta a aparecer e gravar.
Mas o Bayer nem respondeu.
A não sabe que com a agenda, né?
Porque provavelmente a marca pra gravar com ele na próxima.
Inclusive a agenda é sempre complicado pra gente.
Mas hoje temos um convidado ilustre.
(01:05):
Sabe por que ele é convidado ilustre, Marcos?
Porque este podcast que vos fala começou com ele, exato.
Ele e o nosso grandissíssimo, que também jamais poderemos esquecer.
Rodrigo Balbino, era o elenco, aquela história da formação oficial da banda, Começoucomigo, com o Rodrigo e com ele que a ia falar já já quem é, quem tá no YouTube, a gente
(01:28):
já tá vendo a carinha dele, mas quem tá vendo só no áudio ainda não tá vendo.
Antes da gente falar pouco do nosso convidado do tema de hoje, vale lembrar que o DevCells Podcast tem o apoio o suporte da Nova 8, da Sneak, que é distribuidor oficial do
Sneak no Brasil e da...
Purple Word Security, que eu sempre esqueço, hoje eu não estou com a minha colinha aqui,então não consigo lembrar todo mundo na ordem.
(01:49):
A Gold Security, a DigitalWoke também são os nossos parceiros, estão sempre ajudando agente aqui a suportar todos vocês com o AppSec e soluções de cibersegurança.
Pessoal, é episódio bacana hoje, porque a vai falar pouquinho sobre cloud, vamos falarpouquinho de segurança cloud, custos, uma série de questões abordando esse tema.
Mas é legal convidar de hoje, daqui a pouco ele vai se apresentar para vocês, sereapresentar para vocês, na verdade, porque, como eu falei,
(02:12):
o Vini que está aqui com a gente hoje começou o podcast, então o elenco original era eu, oRodrigo e ele e a gente começou o podcast, se eu não me engano o Vini gravou a primeira
temporada inteira, não lembro se a produção puder puxar aí pra gente, a gente vai saberdisso, mas eu acho que o Vini ainda gravou a segunda temporada ou parte da segunda
temporada, ou só a primeira, enfim, importante que está aqui de novo, Vini, obrigado aípelo tempo, a sabe que a agenda sempre é corrida, se reapresente aí pra galera, a gente já
(02:39):
te conhece, mas se reapresente aí pra galera, fala pouquinho de você.
Bom dia pessoal, olha aqui de novo.
Um dia o filho bom a casa entorta.
Então, a gente volta aí.
Comitido do Cássio aí, a gente tava conversando, relembrando os bons tempos aí, Muitacoisa passou desde que a gente criou esse podcast lá atrás.
(02:59):
Bem legal a evolução dele.
Acompanho os episódios aí sempre que é possível.
Bom...
Cloud, né?
Sempre foi minha vida já, naquela época a já falava muito sobre Cloud, sobre DevOps, né?
Então continuo nessa base, a infraestrutura, nunca esqueci, sistemas operacionais é aminha vida, né?
(03:20):
Mas sempre a gente tem que colocar a cabeça nas nuvens e aonde a gente está hoje.
Não é mais tão a hype do momento, né?
Hoje a gente fala muito sobre IA, mas a nuvem ainda continua muito forte aí.
Então, prazer imenso estar aqui de volta.
Boa boa e a pergunta já para começar é Linux ou Windows o que é melhor?
(03:41):
Só para aquecer
Bom, eu vim da época das janelas, né?
E nas janelas trabalhei muitos anos, foi meu ganho a pau durante muitos anos.
Mas hoje muito mais software livre, até por questões de custos, questão de usabilidadetambém.
O Windows tem seus fortes, né?
Muito forte ali na parte de iniciador de arquivos, acho que é muito melhor.
(04:03):
A parte de sistema de audap dele é muito melhor, tá muito mais avançada.
A parte meio deles, cara...
Acho que não tem serviço igual o TIN, o antigo exchange, hoje o ops 365, mas o Link semmuitas vantagens ali parte de segurança, a parte de gestão mesmo de pacotes para você
subir software, microserviço nuvem, acho que está muito mais à frente nesse sentido.
(04:30):
Então pouquinho de carão.
Boa, O Vini não esquivou da pergunta, Marc, tá vendo?
Você que fica aí com treta Linux, Windows, Java, C Sharp, tá vendo?
Assim que responde, Prioridade, Vamos começar o tema de hoje, eu queria já começar a fazeruma pergunta, Vini.
A gente sabe que quando a gente fala, inclusive segurança, É aspecto importante do Linux,Querendo ou não, Windows por ser mais popular, talvez, aí minha visão, né?
(04:57):
Windows talvez por ser mais popular também chame mais atenção.
O atacante quer causar impacto maior e ter ganho maior.
Quanto mais gente usa Windows, não acaba tendo um pouco de foco maior ali.
Mas voltando para Cloud ou começando na Cloud, eu vejo que muita gente tem uma preocupaçãohoje, o pessoal fala de Cloud High Genie, que o que a falava de Hardening, de On-Premise,
(05:22):
o que dá na mesma, mas que Cloud, você perde pouco desse controle.
Você sabe que você tem servidor ali, uma máquina?
Você sabe o teu escopo, quando você fala de Cloud, você fala, caralho, é muita coisa queeu tenho lá, monte de assets, monte de coisa aberta, muita gente que tem acesso.
Como é que eu olho para tudo isso?
Antes a gente falava de enxergar o parque, hoje a Cloud não mais o parque, é a Disneyinteira.
(05:46):
Como é que gente, do ponto de vista de segurança, olha para uma Cloud para falar, cara, étudo isso aqui que nem o Rei Leão, olha, tudo aquilo ali, tudo que o sol toca.
Como é que isso CloudMan?
Cara, é pouco mais complexo, você tem que ter alguns conhecimentos muito além do que sóaquela questão básica ali, colocar um Fire ou colocar, né, algumas...
(06:12):
Alguns bar de rails ali na sua própria rede, né?
Cara, eu que sou dinossauro, a gente controlava o boot da Magna pra não botar pordiskette, pra não botar por USB, né?
Então era mais fácil.
Agora, com o cloud, você tem que ter controles, diversas delas fornecem o que a gentechama de control tower, controle completo ali.
(06:37):
Você tem protocolos que você pode bloquear, você tem níveis, Obviamente, tudo isso envolvecusto, porque dependendo de como você for contratar, quero contratar algum serviço, sei
lá, Fire ou da Palo Alto.
Isso tem custo extra porque você tem o licenciamento desse produto.
Quando você está no data center, compra a caixa, ele já vem para o licenciamento e ali.
(06:59):
Quando você está na nuvem, você contrata isso como serviço.
Então, a maneira de olhar para a nuvem na parte de segurança é você contratar muita coisacomo o SAS mesmo.
O SAS ganhou uma notoriedade muito maior hoje dia do que tinha há alguns anos atrás e nãoprecisa nem ir muito longe.
Em 2008, quando gente começou esse podcast...
(07:21):
não era tão forte o SaaS.
O SaaS a via como pacote de offices, com pouca coisa.
Hoje você tem software de segurança, a própria SYNC, a Palo Alto, outras ferramentas desegurança, todos fornecendo serviços SaaS voltados para nuvem.
Isso falando em...
Quando a fala em estratégias de fronteiras de nuvem, em boundaries ali.
(07:44):
E internamente na nuvem você tem que ter IAM muito bem colocado.
Você tem que ter uma...
as funções determinadas sempre com o menor privilégio possível.
Nem sempre a consegue alcançar o menor privilégio possível, mas você tendo algumasmetodologias como Zero Trust, entre outras, você consegue chegar a nível de segurança
legal e economizando, tendo um equilíbrio entre a segurança e os custos.
(08:10):
Basta ser criativo que tudo é possível.
aí marcos é só ser criativo cara tá vendo só você que fala que não dá então na nuvem opessoal cria ativos ó e se é louco começar eu vou começar eu vou começar para aí eu vou
(08:32):
dar aqui ó
Eeeeeh...
começar a cobrar por cada episódio, que é muita filosofia, Porque na cloud, e foijustamente essa pergunta, O pessoal...
E é onde a trabalhou junto, né, Vini?
Era pouco sem controle, né?
Então, o pessoal, literalmente, criava muitos ativos na cloud e a gente não tinha maisrastreabilidade.
(08:53):
Eu lembro que eu criei lá uma época um source, um pythonzinho, pra ficar batendo na API daAWS, vendo se tinha máquina EC2 exposta, aí tinha, reportava pro cara e tal.
Era trabalho reativo.
O que dá pra fazer com políticas hoje, você bloqueia o cara de criar, é muito mais fácil,mas tem que ter uma estruturação inicial, um setup inicial bem definido do que pode e o
(09:16):
que não pode ser feito.
Fala aí, Marcos.
que assim, eu vejo que a cloud facilitou muito a escalabilidade, Antigamente, pô, faltavaespaço, que ir lá comprar o UHD, formatar aquela porra, colocar na macas.
Hoje dia a escalabilidade ficou muito mais fácil, muito mais ampla, só que a tem oproblema de custo, né?
(09:38):
Isso aí vai custando a mais ali do serviço e a gente tem o sistema de bunch ali que vocêcontrola na AWS, na Azure, só que muitas vezes estrapola.
Como que o...
com que vocês fazem essa gestão, né?
Pra controlar o curso, mas tem uma escalabilidade legal.
Você puxou uma palavra interessante, Marcos, que é uma coisa que eu defendo há muitosanos.
(09:58):
A nuvem não é barata, ela é escalável.
Primeiro ponto, é isso.
Núvem, quando você usa ela de verdade, você consegue cintar ganhos, redução de custos, sóque para isso você precisa, literalmente, de trabalho, conjunto de desenvolvimento, de
operações e de segurança falarem a mesma língua, porque se cada puxar para si próprio...
(10:23):
É uma questão que a discute há muito tempo.
O nosso time de desenvolvimento de Delivery, ele sabe o quanto que a aplicação delerealmente suporta.
Ele desenvolveu o código voltado, por exemplo, para microserviço, que é muito falado hojedia.
gente criar todas as nossas aplicações com microserviço, rodando gerenciador de containerque seja, Docker, Swarn, Kubernetes, qualquer gerenciador de container por aí.
(10:52):
e principalmente ele conseguiu testar a aplicação de forma que a gente possa escalar elade acordo com a real necessidade, porque muitas vezes a gente escreve aplicações que não
têm limites, né?
Ela simplesmente vai consumindo CPU, vai consumindo memória, não sabe onde estáconsumindo, é uma query balfeita no banco, isso escala, então...
(11:17):
tendo uma base de monitoramento muito bem fundamentada...
que vai inclusive olhar para os guardrails de hardware, Ah, essa aplicação está escalandoX vezes.
Por que ela está escalando tanto?
Se a métrica dela normal, sei lá, é ficar com duas instâncias.
Vamos falar de máquinas virtuais, Não nem falar de microserviços.
(11:37):
Vamos colocar máquinas virtuais.
São duas EC2, são duas VMs lá no Azure, enfim.
E de repente ela começa a escalar para 3, 4, 5.
em alguns picos, porque que ela está escalando?
Está tendo realmente essa quantidade?
Então a única forma de gente saber se realmente gente está utilizando a cloud da maneiraadequada é tendo monitoramento proativo muito forte, principalmente questão de medir as
(12:05):
métricas de request versus o que a máquina está demandando de verdade.
Senão não tem como.
Marcos.
e acho que o caso deu uma travadinha aí mas é interessante top porque muitas vezes eu vejoos desenvolvedores ali que eles criam ali eles não têm noção dos request cria aplicação
ali tá API para chamar, lá, mil requests por dia e tá chamando começou a chamar dois mil,três mil, quatro mil só que não sabe nenhum comportamento normal e isso começa a afetar a
(12:36):
escalabilidade eu vejo ali só o gráfico de custo subindo né
Pelo menos eu recebo email, estourou o budget, o nego vai lá e reajusta, vai estourando obudget.
E é uma preocupação aí, bem grande, eu vejo esse...
Principalmente com o meu gestor aqui, Com o pessoal de segurança, mas eu vejo esse pessoalde cloud ali sofrendo ali, brigando muito com os devs.
A gente começou um processo de educação de desenvolvimento, principalmente nesse tópico.
(13:04):
Começar a explicar para eles, por exemplo, aí já voltando para o microserviço, saindo maisde VMs, Quanto que seu microserviço faz?
A gente tem políticas de stress test que podem complementar isso e ajudar a entender qualque é a escalabilidade de cada serviço.
E aí nesse conceito você consegue...
(13:24):
você consegue medir a quantidade adequada de recursos.
É boa.
Aproveitando que o Cássio deu probleminha, eu queria também perguntar pra você qual queessa diferença grande de multi cloud e de cloud híbrida, sei lá.
É algo que veio na minha cabeça por quê?
(13:44):
A gente fala muito de multi cloud ali com o Google, o Azure e a AWS, mas a também fala alida cloud híbrida utilizando vários serviços dentro da mesma cloud, né?
Não sei se o termo tá correto, me desculpe, não sou especialista.
Eu queria mais saber de você como funciona essa questão e o quanto isso ajuda as empresas,somente a questão do multi cloud.
(14:06):
Claro, excelente pergunta.
Primeiro, vamos definir os dois tópicos.
Cloud Híbrida é uma cloud que você tem um data center local e ele está linkado diretamentecom a cloud.
E aí pode ser por...
Hoje todas elas fornecem links ali dedicados para cada uma das...
(14:29):
sistemas.
E conseguimos...
Alcácio voltou aí.
voltei mano os caras me tocam o alarme do estamos ouvindo né os caras me tocam o alarme doprédio aqui aí não era só teste do alarme que sai nego correndo ainda por tá aqui pariu
velho bom tô de volta
(14:50):
aí de Multicloud vs Cloud Hibida aí Cassio, pelo amor de Deus.
E já caiu novo, vamos seguir aí.
Bom, retomando o raciocínio, a cloud híbrida é uma cloud quando você tem o seu data centeruma extensão da cloud.
Ferramentas como o VMware fornece isso, apesar do VMware estar numa polêmica aí sobrequestão de licenciamento, mas diversos hypervisors você consegue estender a sua
(15:22):
infraestrutura para nuvem, mas isso é pouco perigoso quando você pensa do prisma doseguinte.
entrar na nuvem é fácil, sair dela é extremamente complexo.
O interesse de todos os provedores de nuvem é que você entre para dentro deles.
Sair é mais complexo.
Agora, quando a fala conceito de multi-cloud, aí você pode utilizar...
(15:45):
E aí depende a estratégia que você vai ter e tudo mais.
Você pode utilizar, por exemplo, sazonalidades.
Eu tenho o meu workload principal na AWS e quero utilizar como backup GCP, por exemplo.
Se eu tiver uma sazonalidade, pro Varejo tem muito disso, Black Friday, Dia dos Namorados,Natal.
Então, eu vou ter uma gama muito grande de acesso.
(16:06):
Então, eu consigo separar isso e colocar como uma extensão do meu próprio workloadprincipal, tendo ali DNS Load Balancers, entre outras coisas, para eu poder fazer esse
balanceamento entre as nuvens.
E eu consigo trabalhar multi nuvens.
Tem alguns produtos, por exemplo, de SaaS, que gente estava falando, como, por exemplo,alguns bancos de dados como SaaS.
(16:29):
A Mongo já faz isso hoje, a Mongo Atlas.
Você consegue linkar o seu banco de dados Mongo em qualquer uma das nuvens e trabalharhíbridamente entre elas, com dados entre elas, sendo uma dificuldade.
Então, esse seria o conceito de você estar multi-cloud.
Você tem mais de provedor de cloud com você.
é assim que faz?
(17:13):
um prejuízo financeiro vamos dizer assim e a gente largou o multi cloud acho que mais pornão saber como utilizar do que por qualquer outra coisa
Perfeito.
Você tem algumas formas nesse sentido, como eu falei.
Uma é você utilizar sazonalidades.
A vantagem de multi-cloud, por exemplo, a gente teve um problema algumas semanas atrás, eunão lembro exatamente quando, que o GCP deu uma pane e parou o GCP.
(17:43):
Se parou GCP, vamos lá, pararam o quê?
Eu e o Caso passamos por isso na empresa que a trabalhou.
lá alguns anos atrás, justamente em que parou o console de gerenciamento da nuvem quegente trabalhava.
Só que os workloads continuaram trabalhando, O acesso a ele gente não perdeu acesso aoworkload, a perdeu acesso ao gerenciamento, gente não conseguia fazer deploy, não
(18:09):
conseguia alterar alguma coisa, mas ele estava acessível.
Então, num conceito desse não é tão prejudicial.
Agora, por exemplo,
a própria AWS teve um caso, acho que 2021, 22, não lembro, em que deu uma falha no consolede Kainizes dela.
(18:31):
O Kainizes é exatamente uma ferramenta que ela gerencia toda a parte de enfileiramentodela da nuvem.
E aí travou no planeta inteiro.
A AWS ficou fora por algumas horas durante esse período.
Quem está simplesmente...
Quem está totalmente logado na AWS e não tem nenhum workload em outra nuvem, simplesmentevai parar.
(18:52):
Então, se eu por exemplo, tenho workload backup na Azure, por exemplo, ou no GCP, se a AWSpara, eu posso subir lá e continuar o meu trabalho com DNS, failover, eu jogo para lá
desde que meu DNS não tenha sido afetado.
Se meu DNS estiver na própria nuvem que deu problema, eu também vou ter esse impacto.
(19:14):
Por isso até que, por exemplo, a NICBR coloca lá, você coloca dois endereços pra você, umcada local diferente, que é pra se morrer o outro responde.
Mas a nuvem é muito estável, é difícil a gente ter um desastre nesse sentido.
E a principal desvantagem de você ser multi cloud é o quê?
(19:37):
É a quantidade de coisas que você está alocando uma nuvem, você ganha descontos por usoali.
Então, quanto mais recursos você consome de uma única nuvem, mais ela vai te dar dedesconto.
Seja ela qual for.
Égeri, AWS, GCP, Alibaba.
Não importa qual seja aí.
E quanto mais você usar ela, mais ela vai te dar desconto.
(19:58):
Então, nesse quesito acaba sendo muito mais vantajoso você consolidar do ponto de vistaeconômico.
Todos num único local.
Vou colocar todos os ovos numa única cesta.
não boa pra caramba e interessante, eu perguntei a gente e tinha dúvida agora uma outradúvida aqui também é o quanto o profissional de cloud deve se especializar para criar
(20:21):
arquivos de IAC né que é o arquivo do momento hoje tem scanner para isso tudo mais famosoterraform cloud formation por aí vai aquele bandido
está aí, né, porque já tem alguns outros surgindo.
Assim, especialização, toda a área precisa, isso não tem jeito.
(20:42):
E o profissional de infraestrutura, isso já é uma discussão muito antiga que a gente játeve inclusive um episódio falando sobre isso lá atrás, que é justamente, todos têm que
saber desenvolver, todo mundo precisa saber, o cara de segurança precisa saberdesenvolver, o desenvolvedor obviamente, e o cara de infraestrutura, ele tem que saber
desenvolver.
e os providers de InfraScode, eles fornecem diversas funcionalidades ali que envolvemlógica de programação, loopings, entre outras coisas, para facilitar para você escrever
(21:14):
menos código e ele interpretar de uma forma que seja legível e consiga provisionar aqueleworkload.
E dessa forma você consegue administrar muito mais fácil, principalmente quando vocêcoloca uma plataforma de IDP.
para a gestão das suas aplicações, para entregar aplicações muito mais rápido.
(21:36):
A tem exemplos aí no mercado.
A gente tem o Caravelas ali com a Stone, a gente tem o Fury com o Mercado Livre, sãoplataformas de EDP, tem o próprio backstage da Spotify, que foi desenvolvido em trégue
para a comunidade.
Tem muita gente desenvolvendo cima do backstage.
Então, por baixo disso, se você não tiver uma lógica muito bem feita de ir a ser ali...
(21:58):
Não adianta nada se tem uma plataforma de GDP.
Você não vai conseguir entregar a velocidade necessária para entrar novos workloads.
Hum, boa!
Voltou, Cássio!
Está estável, parou de cair.
cara.
aqui parecendo, eu preciso de outro caso porque quando cai o outro assume, entendeu?
vocês estavam falando de backup e multi cloud, não precisa de multi host também agora né.
(22:23):
caralho, é...
simulou aqui exatamente isso.
Nosso host, nosso principal local, alguém falhou.
E nós continuamos trabalhando enquanto ele estava se desestabilizando.
gente estava mais ao vivo.
aí com menos potencial ali ó, tá subiu por enquanto.
sou Alibabá nesse exemplo aí, olha, pode chamar de Alibabá nesse exemplo.
(22:47):
Essa discussão é boa, eu queria entrar agora em uma outra seara, que é a seara de custos.
Porque, por exemplo, eu lembro de ataque, ataque entre aspas, mas eu lembro de ataque queeu fiz na época, que eu fiz impacta, fiz curso da impacta tecnologia, tinha cara lá no
curso que eu não ia com a cara dele, sabe quando você não vai com a cara de alguém assim?
(23:08):
Eu não fui com cara desse maluco.
E ele tinha site que era hospedado na local web.
Ele tinha sitezinho lá que ele fazia, vendia café, sei lá o que, hospedado na local web.
E eu lembro que na época o tráfego da local...
Acho que ainda tem algumas coisas assim, muita coisa assim.
O pagamento era por tráfego.
E o site dele deveria ter, lá o que, 100 pessoas no mês.
(23:28):
Aí eu fui lá, meti um botzinho lá, cronólogozinho, para arrebentar de request.
Então ele teve, sei lá, milhões de requests no dia.
E eu lembro que no outro dia no curso ele falando para cara lá no curso, putz estou naminha conta da localweb porque eu tive muito acesso no site e eu não sei de onde veio, não
(23:49):
sei o que lá, na época não tinha login, tinha nada assim, não tinha se preocupado comisso, o site estava no ar, estava funcionando.
Então assim, eu lembro que eu consegui causar esse impacto no bolso, fiz o cara, fiz decerto o modo de ele gastar, ele tinha dinheiro, fiz de certo ele gastar uma grana ali, mas
esse é o ponto agora, até que ponto
a nossa escalabilidade tem que ser automática.
(24:12):
É lógico, talvez o negócio vai drivar pouco disso, olha, eu trabalhando numainfraestrutura crítica, então tem que ter multi cloud, tem que ter backup, tem que plano
de contingência, plano de continuidade de negócio.
Mas, putz, eu tenho e-commerce aqui, até onde eu escalar, até milhão de máquina, atéinfinito, até explorar o cartão de crédito, ou eu vou botar limite, porque eu posso ter, e
não é incomum isso acontecer, hackers que querem causar, ele quer causar dano à empresa,ele nunca quer
(24:35):
roubar dados, não quer fazer fraude, ele quer danificar aquela marca, então ele vai tentarcasar a disponibilidade ou aumentar os custos, atacar recursos e esse é recurso muito
poderoso de conseguir fazer.
Como é que isso aí Vini?
A gente tem que olhar para isso, é uma responsabilidade do provider, eu uso o Microsoft,então Azure, então Microsoft que resolve isso.
(24:57):
Eu tenho que configurar os meus serviços para não ter problema desses.
Claro, isso é que é chamado em nuvem de responsabilidade dividida.
Tem uma escala da nuvem, que eu não lembro exatamente de cabeça como é que ela funciona,que determina se você está utilizando a nuvem como um IAAS, então a nuvem tem
(25:20):
responsabilidade de chegar até a disponibilidade do hardware, do software para cima,gerenção de pads, segurança, é responsabilidade...
do próprio cliente.
Se você está utilizando um pass, que é plataforma e asaservice, então a responsabilidadefica mais dividida.
A nuvem se preocupa com o software, se preocupa com licenciamento, se preocupa com updatese você só se preocupa com os seus dados que estão ali colocados.
(25:49):
Isso é muito utilizado para banco de dados, principalmente.
É melhor forma de exemplificar um plataforma e asaservice.
E quando a gente fala em SaaS, quer dizer que eu como cliente eu só quero usar.
E aí toda responsabilidade é da nuvem.
E aí inclusive nesse sentido.
Quando você colocou sobre custos de acesso, todos os proveedores de cloud eles cobram poracesso.
(26:11):
Todos eles.
Independente.
Porque é justamente onde eles vão...
É a entrada.
Então assim, até o que eu estava falando com Marcos, para entrar na nuvem, ele nem tecobra.
Para sair dele, ele te cobra.
E
a saída é justamente esse conceito de acesso externo, quem está batendo no seu workload esaindo provendo ali uma página web, uma aplicação web, seja lá o que for.
(26:40):
Então, a escalabilidade tem que ser muito bem dosada para que isso não estore o custo.
Você não pode escalar o infinito e além.
A nuvem é o seu limite, como é o tema desse episódio.
Então, você tem que ter um plano ali
justamente de análise de quanto seu workload tem consumido para você escalar até aqueleali.
(27:02):
Você sabe, o meu budget chega até aqui, então eu vou escalar até aqui.
Ah, e se não der para escalar mais?
Não deu.
Parou o meu workload ali porque se não o negócio fica insustentável e eu não vou terdinheiro para pagar.
A grande verdade é essa.
E aí como que eu me protejo, por exemplo?
de uma época que eu não tô numa sazonalidade, não tô numa Black Friday, não tô num Natal,Dia dos Namorados, seja lá qual for, uma pandemia, que é o meu caso, trabalho na área de
(27:27):
saúde, minha sazonalidade é uma pandemia.
É engraçado, as pessoas perguntaram, mas que tipo de sazonalidade que vocês têm?
Geralmente é de segunda-feira, das nove e meio-dia, aumenta 15 % o meu workload.
E uma sazonalidade de verdade, cara, só se tiver uma pandemia, a área da saúde, grandeverdade é essa.
(27:48):
Hum?
bem estável nesse sentido.
Mas se você não tiver alguns guardeirreios, AWS fornece o AWS Shield, ou Azure fornece oAmazon Fire, ou alguma coisa nesse sentido, justamente para bloquear ataques, que seria
DDoS, a gente pode chamar de DDoS nesse caso, que é aumentar o request sem muitos motivosali.
(28:12):
E aí você tem alguns guardeirreios que te protegem nesse sentido.
Então por isso que é uma bola dividida.
Você tem que ter acesso, você tem que colocar esse tipo de produto, vai pagar pouco mais,mas vai te trazer a segurança de você não ter, por exemplo, ataque nesse sentido, cássio
da vida querendo espancar a sua aplicação só porque ele achou, não foi com a sua cara.
A não foi com a tua cara.
(28:34):
Inclusive, a maioria dessas ferramentas anti-DDoS ou DDoS protection e tal, eles tambémcobram por tráfego, mas o tráfico bloqueado, porque obviamente o tráfico está passando
ali, mas quando ela precisou agir, vai bloquear ali.
assim, às vezes o pessoal não tem muita ideia o que é um ataque de DDoS.
Cara, para exemplificar, o ataque de DDoS...
(28:59):
pra quem é de São Paulo é mais fácil entender é todo menino pra praia no ano novo isso éataque DDoS, nem imigrantes, nem enxieta ali tipo assim, a estrada tá preparada...
é não, a estrada tá preparada pra, sei lá, mil carros por hora e aí no fim de ano é 10 milcarros por hora, tá ligado?
DDoS é literalmente uma escala muito grande o que eu fiz lá no site do cara foi umcrawling
(29:23):
não é o DDoS, Até que o DDoS tem que ser distribuído de vários IPs, de várias localidades,tem toda uma técnica ali por trás.
Então tem ferramentas exclusivas, específicas que vão ajudar com relação a isso, além daspróprias Clouds, além dos próprios provedores.
A Cloudflare talvez seja um grande player que faça isso, a KMAI, enfim, pelo menos.
Todo mundo que faz WAF, de certo modo, faz CDN, de certo modo também faz DOS Protection.
(29:49):
é boa, que esse tema de custo é tema importante porque às vezes, para pra pensar pouquinhoné Marcos, do ponto de vista do atacante, o atacante ele vai ter algumas motivações, então
ou ele quer roubar a sua informação pra vender essa informação, ou ele quer uma fraudedireta no seu business, é o seu dinheiro, é o seu ponto, alguma coisa nesse contexto, ou
(30:10):
ele quer a tua marca, ou ele vai direto na disponibilidade, então eu quero só deixar issofora do ar, eu quero pichar o site, então
sempre vai ter uma motivação.
Então, às vezes, olhar o teu negócio desse ponto de vista, ótica, Olha, tá, quem é o meuinimigo?
Quem seriam os meus potenciais atacantes e tudo mais?
Inclusive, curiosidade, Tá tendo a Netflix expandindo aqui na Polônia e eles estãoabrindo, vai ser o segundo maior polo fora dos Estados Unidos de tecnologia da Netflix
(30:39):
aqui na Polônia.
Estão contratando e tal, enfim, conheço uma galera lá já.
E ficam pensando, cara, imagina trabalhar na Netflix que é do entretenimento.
Quem é o inimigo da Netflix?
Quem vai atacar a Netflix?
Aí você pensa, tem muita galera...
Fala aí, fala aí, HBO, o concorrente.
Então, você vai ter concorrência.
É porque você não pensa só na plataforma aplicativo, o aplicativo da televisão.
(31:02):
Você vai pensar, cara, os caras estão produzindo série, então tem informação ali donegócio que vai ser um episódio que vai lançar uma série X que não pode vazar o roteiro,
quanto custa, então tem uma série de coisas ali por trás.
Mas é entretenimento, sepálio, quem é o inimigo?
Aí você começa a pensar pouco mais a fundo, você vê que tem uma discussão assim, a Netflixé meio woke, cultura mais esquerda.
(31:23):
já está claro que o inimigo é a galera da direita?
quem vai atacar o governo?
É alguém que quer fazer uma fraude roubar dados ou é alguém que só está descontente com ogoverno, exemplo?
Quer causar a disponibilidade de serviço?
Que aí, lá, é lado direito, esquerdo tanto faz.
Então quando você parar para pensar dessa ótica?
quem é o teu atacante, quais as motivações dele, isso de certo modo drive a tua segurança.
(31:50):
Quando eu trabalhei na Serasa muito tempo, a Serasa só protege dados financeiros.
Qualquer fraudador quer atacar a Serasa, qualquer crime organizado passa a ser alvo ali.
Quando a trabalha na CVC, quem quer atacar a CVC?
Fraude.
(32:12):
específico do atacante ser uma fraude, não é o cara que quer causar uma indisponibilidadeou coisa do tipo, até por conta do mercado.
Então o meu ponto aqui acho que isso, é olhar o nosso ponto de vista de segurança, o nossobusiness ele tem certos inimigos por padrão, por definição, quem vai atacar hospital?
Cara, hospital é o ativismo, o vídeo que na área da saúde agora, ninguém vai lá atacarhospital porque quer fazer uma fraude, quer fazer uma fraude, cara, que fraude, um ou
(32:40):
outro assim né.
Temo.
reconhecido
entende?
Não, aqui tem fraude, tem que pagar, tem dinheiro, né?
principal atacante de hospital quer invadir para coletar dados.
Dados de saúde são extremamente sigilosos e isso vale.
A gente teve em 2018...
você pegar o dado de alguém famoso ou importante e as pessoas têm uma doença crônica quenão foi divulgada.
(33:05):
Quantas informações vale?
21 um mega vazamento dos dados de saúde que saiu lá, os dados de saúde do presidente darepública na época.
Vazou os dados de do presidente da república de diversas pessoas.
Vini está trabalhando, se você quiser falar o nome pode falar, mas onde o Vini trabalha,acaba que muita gente famosa usa.
(33:29):
Então o Marco falou agora, as vezes pode ser uma coisa nesse contexto.
Mas no meu ver, talvez não seja o foco principal, tipo cara vai falar, eu preciso dedinheiro, vou atacar o hospital, vou atacar banco, vou atacar fintech.
Você entende?
Então o primeiro target não acaba sendo hospital pra esse cara que quer atacar.
Então esse é o meu ponto, porque as vezes o business vai, de modo, direcionar o teuapetite, essa palavra que é legal, o teu apetite de segurança pra sua produção e o que
(33:55):
você tem que fazer nesse contexto.
E nem o Marcos, o Marcos...
pra falar, pra falar, pra falar...
de ataques que sofrem na área da saúde.
Eu não tinha essa noção antes de vir trabalhar na área da saúde, o quanto que é sensívelessa área.
Então tem um investimento muito grande, pelo menos aqui, com a área de segurança.
(34:21):
A gente trabalha muito forte na área de segurança para que a gente possa impedir que dadosvazem.
Tem monitoramentos de diversas formas aqui para aqui, porque esses são dados extremamentesensíveis, como colocou.
Tem muitas pessoas importantes, os notórios que utilizam o hospital, que não querem seusdados expostos de qualquer forma.
(34:43):
Marcos, você ia falar alguma coisa?
Criptografa tudo né Marcos?
é...
eu desenhei o log, faz alguma coisa aí, já era
Desligo o log Você sabe dessa, Vinny?
Sabe dessa, Vinny?
Só os ouvintes assíduos aqui sabem dessa história Conta aí, Marco, de novo
O que aconteceu?
(35:03):
Eu trabalhei numa empresa, essa empresa é gigante ali, pensava em serviço de limpezaempresarial ali e segurança patrimonial também, e era grupo de 40 empresas, é gigante.
A tinha mais de 50 mil funcionários, Só que a gente não tinha segurança, literalmente, nãotinha time de segurança, o gerente só estava preocupado reduzir custo, eu cuidava do
(35:27):
sistema na época de gestão de RH da empresa.
e a gente tava ficando sem espaço de armazenamento era a data center interna, não tinhacomeçado a migração para nuvem ainda e começou a ficar sem espaço e grande ideia do
gerente foi desligar o log para economizar espaço os logs estão ocupando muito espaço agente tá sem armazenamento de tudo isso foi feito ali com autorização depois de chorar
(35:53):
muito e explicar os motivos mas desligamos os logs houve vazamento de dados interno ondealguém
capturou os dados ali de outro empregado que estava processo judicial entregou esses dadospara pessoa e a pergunta foi busca no log aí para ver quem foi que fez isso
chefe dele pediu pra ele buscar nos logs.
(36:15):
E log.
no log aí foi explicado então o senhor pediu para desligar os logs não temos como capturarnão temos como fazer nada
Esse é outro gargalo que a tem nuvem também, é armazenamento, logs.
Hoje a gente tem diversas formas de você armazenar logs em nuvem de uma forma mais barata.
(36:39):
Eles já provêm esse tipo de coisa.
E aí, obviamente, nesse quesito, puxando já pro nosso pavo que gente tava tendo aqui, vocêter políticas de expurgo, porque o log não precisa ser eterno, mas ele tem que ter tempo
ali pra você validar.
para o mercado de saúde a tem que reter por dez anos informações.
(37:02):
Então a gente tem um...
é cinco anos, dependendo da data financeira são cinco anos, é uma série de regrinhas.
É, lá na empresa tava no começo do Marco Civil, então gente não tinha ainda ali o...
o iridesato Só que assim, foi cagada do cara ali, dava pra ter feito outra coisa, a gentenem tinha política de analisar logs, se tu me der Então os logs estavam ali e só tinha
(37:23):
enfeite Não tinha mais time de segurança Tentei contratar o Cassio uma vez lá pra fazerpenteste pra gente Foi negado e era um...
valor risório
eu só lembro do Jacama naquele episódio lá, não tem como, não tem como.
vergonha da profissão
(37:47):
É o conceito da gente usar a nuvem ela é muito amiga desde que você saiba realmente comoutilizá-la, né?
E aí cê tendo guarde-reis, conhecimento profundo sobre cada uma delas, cê consegueliteralmente usar tudo que você precisa com o custo adequado, não vou dizer custo baixo
porque não é o custo adequado e assim você pode seguir realmente eh sua vida feliz nocaminho das nuvens.
(38:14):
Boa.
Cassius, eu tinha mais perguntas, só que acho que o tempo hoje tá bem escasso.
está escasso, eu caí, morri, a nuvem de contingência aqui deixa eu só rodar negócio aquique eu vejo, não sei se o Vinny sabe disso
Ai...
Ah...
Mano, esse engreninho do final é horrível!
(38:36):
quadro aqui, Vinic, que o Dev May Cry.
Desenvolvedores devem chorar.
E a gente sempre fala alguma coisa do dia a dia, alguma prática, o que é que seja que fazo Dev chorar, coisas que o Dev não gosta.
É para arrumar treta mesmo, O que você acha que na tua área de Cloud Infra...
que vocês fazem no dia a dia que o Deve não gosta, que o Deve chora ou algo que vocêgostaria de fazer e não, vocês devem estar me irritando, eu vou...
(39:03):
simplesmente hora que eu limito o workload dele que não vai escalar e pronto.
Acabou.
Eu corto, escala e acabou.
Vai ser isso.
Não, vai ser demais.
Não, refaça sua aplicação, volta.
Você tá loop infinito aqui.
Tira.
Eu diria que é tirar o acesso de criação na nuvem, não pode criar mais nada, ele só usa oque tem lá.
(39:28):
Ah não, tem lugar que os caras...
Ô meu amigo, tem lugar que os caras fazem tudo né.
um dos momentos que o nosso host estava fora, a estava falando sobre a plataforma de IDP.
O IDP serve justamente para isso.
Hoje dia, muito forte isso.
Estava dando um exemplo de algumas empresas construindo sua própria IDP.
(39:48):
O Caravelas com a Stone, o Fury com o Mercado Libre.
São exemplos que gente vê no mercado de construir IDP.
A gente está construindo o nosso também, baseado igual todo mundo no backstage do Spotify.
que fornece ali todo um guarde-rei, uma maneira do desenvolvedor solicitar seus workloads,uma maneira segura, com autenticação, com validações, já com documentação viva.
(40:17):
E com isso a gente consegue entregar uma maneira e ele não precisa mais ter acesso.
Para quem precisa ter acesso.
Ele já tem plataforma de monitoramento, já tem IDP, ele já tem a URL para quem precisa deacesso à nuvem.
E você Marcos, tem algum Death May Cry para você hoje?
Tem cara, e foi bagulho que me deixou com raiva também, fez eu chorar.
(40:40):
Não, fazer o desenvolvedor criar readme bem feito com uma boa justificativa pra rodaraquela aplicação.
Nossa...
Cara, eu vou te falar que o IDP ajuda com isso.
Por isso que a gente está investindo muito nisso.
Cara, vai fazer o readme aqui, manualzinho com Markdown, vai tomar no coro...
com o IA todos os caras não tem que reclamar mais com isso aí cara, agora faz, fala prochat GPT, gera aí pra mim
(41:05):
Mas nem toda empresa dá acesso, né, Cass?
Tira pra você que não precisa com o pé colar aí.
Ele vai fazer casa, né?
cara.
não consegue copiar e colar, imagina o Dave fazendo aí.
acho que eu usei o backstage na empresa que eu estava antes, o pessoal usava lá, é beminteressante, mas tinha que customizar, ele puro, ele era meio esquisitinho, tinha que
customizar, mas foi bem, era bem bacana, acho que essa questão, talvez volta 15 passosatrás, o princípio de segurança de least privilege, menor privilégio, menor acesso, acho
(41:38):
que tudo isso se aplica em qualquer contexto e a cloud mostra muito isso que com ocontrole de
devidamente implementadas, políticas devidamente implementadas, você está, vou usar apalavra que o Vinny mais usou no podcast, eu tô quase que uma IAQ analisando tempo real,
você cria guardrail pro cara não fazer essas besteiras.
(41:59):
Eu tinha chefe que ele falava assim, é gado, bota cercadinho, o gado não vai passar docercadinho, tem que criar cercadinho, você dá volta pros devs.
Bom, Dev May Cry de hoje, vocês vão chamar de gado.
Para quem assiste o Rasta News lá, chamam o pessoal de gato demais.
Enfim.
Pessoal, acho que era isso.
(42:20):
O tempo é corrido.
Vini, obrigado por mais uma participação.
Uma temporada inteira, mais episódio.
Está convidado de novo.
Sempre que a gente puder achar agenda e tópicos, a gente vai...
Vamos sempre trocar e compartilhar informação com a galera, que acho que é muitoimportante.
Deixe a mensagem final para a galera e a gente se despede.
Claro, usem a nuvem.
(42:41):
Ou, como diz, né?
Dead Wolf beba água, usem a nuvem.
Tenham cuidado ao utilizar certos produtos que a Nuvem oferece.
Às vezes ela só quer colocar lá.
E muitas vezes é produto que você não tem necessidade de utilizar.
(43:04):
Tem algumas coisas que eles fornecem que não tem tanta necessidade.
Vou dar exemplo claro aqui, por exemplo.
Você tem alguns produtos na própria AWS
que não fazem muito sentido para o seu workload.
Para que eu vou usar um cognito para poder fazer a autenticação do meu usuário interno daempresa?
(43:26):
Se você tem activo da Eletric, você já tem isso.
Não precisa criar uma camada extra com cognito, por exemplo.
Agora, exemplo, não, vou utilizar porque todo o acesso de cadastros, de clientes que vãoentrar, cara, eu não quero guardar isso no meu banco.
Beleza, aí faz sentido de utilizar.
Então, tem produtos que fazem sentido.
Analisem de verdade o produto antes de você realmente sair usando.
(43:49):
Façam Pox, construam ferramentas antes de sair utilizando, porque depois a conta chega.
E como eu falei, entrar na nuvem é fácil, sair dela é muito complexo.
Caraca!
Foi bonito!
a entrada é fácil, mas a saída é dolorosa.
(44:13):
É com essa que a gente encerra o episódio de hoje.
177 episódios a partir deste episódio.
Então 177 episódios aí já para você acompanhar o WCW Podcast.
Sempre lembrando da Nova 8, Gold Security, DigitalWalk e Purple Bird, nossos parceiros queestão sempre aqui com a gente.
A gente vê na semana que vem.
Eu sou o Casper Pereira.
(44:34):
Isso é o Mark Sands.
e aqui foi o Bini Cavalheiro, mais uma vez
ainda lembra, ele ainda lembra.
Fechou pessoal, isso, tchau tchau
Beijo de luz!
Popular Podcasts
Stuff You Should Know
If you've ever wanted to know about champagne, satanism, the Stonewall Uprising, chaos theory, LSD, El Nino, true crime and Rosa Parks, then look no further. Josh and Chuck have you covered.
Dateline NBC
Current and classic episodes, featuring compelling true-crime mysteries, powerful documentaries and in-depth investigations. Follow now to get the latest episodes of Dateline NBC completely free, or subscribe to Dateline Premium for ad-free listening and exclusive bonus content: DatelinePremium.com
The Burden
The Burden is a documentary series that takes listeners into the hidden places where justice is done (and undone). It dives deep into the lives of heroes and villains. And it focuses a spotlight on those who triumph even when the odds are against them. Season 5 - The Burden: Death & Deceit in Alliance On April Fools Day 1999, 26-year-old Yvonne Layne was found murdered in her Alliance, Ohio home. David Thorne, her ex-boyfriend and father of one of her children, was instantly a suspect. Another young man admitted to the murder, and David breathed a sigh of relief, until the confessed murderer fingered David; “He paid me to do it.” David was sentenced to life without parole. Two decades later, Pulitzer winner and podcast host, Maggie Freleng (Bone Valley Season 3: Graves County, Wrongful Conviction, Suave) launched a “live” investigation into David's conviction alongside Jason Baldwin (himself wrongfully convicted as a member of the West Memphis Three). Maggie had come to believe that the entire investigation of David was botched by the tiny local police department, or worse, covered up the real killer. Was Maggie correct? Was David’s claim of innocence credible? In Death and Deceit in Alliance, Maggie recounts the case that launched her career, and ultimately, “broke” her.” The results will shock the listener and reduce Maggie to tears and self-doubt. This is not your typical wrongful conviction story. In fact, it turns the genre on its head. It asks the question: What if our champions are foolish? Season 4 - The Burden: Get the Money and Run “Trying to murder my father, this was the thing that put me on the path.” That’s Joe Loya and that path was bank robbery. Bank, bank, bank, bank, bank. In season 4 of The Burden: Get the Money and Run, we hear from Joe who was once the most prolific bank robber in Southern California, and beyond. He used disguises, body doubles, proxies. He leaped over counters, grabbed the money and ran. Even as the FBI was closing in. It was a showdown between a daring bank robber, and a patient FBI agent. Joe was no ordinary bank robber. He was bright, articulate, charismatic, and driven by a dark rage that he summoned up at will. In seven episodes, Joe tells all: the what, the how… and the why. Including why he tried to murder his father. Season 3 - The Burden: Avenger Miriam Lewin is one of Argentina’s leading journalists today. At 19 years old, she was kidnapped off the streets of Buenos Aires for her political activism and thrown into a concentration camp. Thousands of her fellow inmates were executed, tossed alive from a cargo plane into the ocean. Miriam, along with a handful of others, will survive the camp. Then as a journalist, she will wage a decades long campaign to bring her tormentors to justice. Avenger is about one woman’s triumphant battle against unbelievable odds to survive torture, claim justice for the crimes done against her and others like her, and change the future of her country. Season 2 - The Burden: Empire on Blood Empire on Blood is set in the Bronx, NY, in the early 90s, when two young drug dealers ruled an intersection known as “The Corner on Blood.” The boss, Calvin Buari, lived large. He and a protege swore they would build an empire on blood. Then the relationship frayed and the protege accused Calvin of a double homicide which he claimed he didn’t do. But did he? Award-winning journalist Steve Fishman spent seven years to answer that question. This is the story of one man’s last chance to overturn his life sentence. He may prevail, but someone’s gotta pay. The Burden: Empire on Blood is the director’s cut of the true crime classic which reached #1 on the charts when it was first released half a dozen years ago. Season 1 - The Burden In the 1990s, Detective Louis N. Scarcella was legendary. In a city overrun by violent crime, he cracked the toughest cases and put away the worst criminals. “The Hulk” was his nickname. Then the story changed. Scarcella ran into a group of convicted murderers who all say they are innocent. They turned themselves into jailhouse-lawyers and in prison founded a lway firm. When they realized Scarcella helped put many of them away, they set their sights on taking him down. And with the help of a NY Times reporter they have a chance. For years, Scarcella insisted he did nothing wrong. But that’s all he’d say. Until we tracked Scarcella to a sauna in a Russian bathhouse, where he started to talk..and talk and talk. “The guilty have gone free,” he whispered. And then agreed to take us into the belly of the beast. Welcome to The Burden.