 |
| Bellacosa Mainframe fala sobre RACF e Zero Trust sobrevivendo na cloud |
🔐🏛️ Do RACF ao Zero Trust: o Manual Secreto do Padawan para Sobreviver na Selva Cloud
“Na dúvida, negue o acesso.” — provavelmente um sábio administrador de RACF em 1987
Se você vem do mundo mainframe… parabéns.
Você já foi treinado na ordem Jedi da segurança corporativa.
Se você é novo… prepare-se.
A cloud é menos “datacenter climatizado” e mais Mad Max com APIs.
Este guia é um mapa completo — estilo Bellacosa — para entender Cloud Security de verdade, conectando:
🏛️ Mainframe
☁️ Cloud
🔐 Zero Trust
👤 IAM
🛡️ Criptografia
🚧 CASB, CSPM, RBAC e companhia
Tudo com exemplos práticos, curiosidades e alguns easter eggs 😄
🧠 Capítulo 1 — O maior mito da segurança antiga
Antigamente:
“Se está dentro da rede, pode confiar.”
Modelo 🏰 Castle & Moat
- Firewall na borda
- Rede interna confiável
- Usuários conhecidos
- Sistemas centralizados
Funcionava… até aparecer:
💣 Internet
💣 Mobilidade
💣 SaaS
💣 Trabalho remoto
💣 Phishing
💥 Problema fatal
Se o invasor entrasse…
➡️ Tinha acesso lateral quase ilimitado
➡️ Movimentação interna fácil
➡️ Detecção tardia
🧠 Capítulo 2 — Zero Trust: paranoia como arquitetura
🔐 “Never trust. Always verify.”
Zero Trust assume:
👉 O atacante pode já estar dentro
👉 Nenhum dispositivo é confiável
👉 Nenhum usuário é confiável
👉 Nem a rede interna é confiável
🧩 O que o Zero Trust protege
- 👤 Usuários
- 💻 Dispositivos
- 📦 Workloads
- 🌐 Tráfego
- 💾 Dados
💡 Easter egg mainframe
Se você conhece RACF:
👉 Zero Trust não é tão novo assim…
Mainframe já fazia:
✔ Least privilege
✔ Auditoria rigorosa
✔ Controle centralizado
✔ Autorização explícita
👤 Capítulo 3 — IAM: o novo perímetro
Na cloud:
🔑 Identidade = Firewall humano
IAM decide:
✔ Quem pode acessar
✔ O quê
✔ Como
✔ Quando
✔ Em quais condições
🔐 Trio sagrado da identidade
👤 IdP — armazena identidades
🚀 SSO — login único
🛡️ MFA — prova reforçada
💣 Exemplo real
Senha vazada:
❌ Sem MFA → invasão
✅ Com MFA → bloqueado
🎭 Capítulo 4 — RBAC: o acesso segue o cargo
RBAC = Role-Based Access Control
Permissões baseadas na função, não na pessoa.
🏢 Exemplo clássico
👩💼 RH → Folha de pagamento
🧑💻 Help Desk → Contas de login
👩💻 Dev → Código
⚠️ O erro mortal
Dar acesso demais.
Muitos incidentes começam com:
“Esse usuário não deveria ter acesso a isso…”
☁️ Capítulo 5 — Shared Responsibility: a armadilha da cloud
Muita gente acha:
“Está na cloud, então está seguro.”
❌ Errado.
Modelo correto:
🤝 Responsabilidade Compartilhada
☁️ Provedor protege
🏢 Datacenter
🧱 Hardware
🌐 Infraestrutura física
🧑💼 Cliente protege
👤 Usuários
💾 Dados
⚙️ Configurações
🔐 Permissões
💣 A maioria dos vazamentos ocorre por erro do cliente.
🔐 Capítulo 6 — Criptografia: dados que se protegem sozinhos
Cloud é distribuída.
Dados viajam.
Sem criptografia:
👉 Dados legíveis para qualquer interceptador.
🔒 Estados do dado
💾 At rest — armazenado
🚚 In transit — em movimento
🧠 In use — em processamento
🔑 Dois métodos fundamentais
🔒 Simétrica (AES)
- Rápida
- Grandes volumes
- Discos, bancos, storage
🔐 Assimétrica (RSA, ECC)
- Troca segura de chaves
- Certificados
- Identidade
🌐 TLS na prática
Quando você vê 🔒 no navegador:
1️⃣ Servidor apresenta certificado
2️⃣ Cliente verifica CA
3️⃣ Negociam chave
4️⃣ Comunicação segura
🏛️ Curiosidade poderosa — Mainframe novamente
IBM Z possui:
👉 Pervasive Encryption
Criptografa praticamente tudo por padrão:
- Disco
- Banco
- Rede
- Backup
- Dados exportados
Mainframe sendo futurista desde o século passado 😎
🚀 Capítulo 7 — FHE: criptografia nível ficção científica
Fully Homomorphic Encryption permite:
🧠 Processar dados SEM descriptografar
Imagine:
🏥 Hospital analisando dados médicos na cloud
🏦 Banco processando dados financeiros confidenciais
Sem revelar os dados.
Ainda emergente — mas revolucionário.
🌐 Capítulo 8 — CASB: o guarda da nuvem
Cloud Access Security Broker
Fica entre usuários e serviços cloud.
🔎 Detecta
✔ Uploads suspeitos
✔ Compartilhamento indevido
✔ Uso de apps não autorizados
✔ Vazamento de dados
💣 Combate Shadow IT
Funcionário usando ferramentas pessoais com dados corporativos.
Sem CASB → invisível
Com CASB → monitorado ou bloqueado
🔧 Capítulo 9 — CSPM: detector de erros humanos
Maior risco da cloud:
❌ Configuração incorreta
CSPM monitora:
- Storage público
- Permissões excessivas
- Falta de criptografia
- Serviços expostos
💥 Caso clássico
Bucket público com dados sensíveis.
Acontece mais do que você imagina.
📦 Capítulo 10 — CWPP e CNAPP: proteção total
📦 CWPP
Protege workloads:
- VMs
- Containers
- Apps
🚀 CNAPP
Combina:
✔ CSPM
✔ CWPP
✔ Segurança de apps
✔ Proteção em runtime
🧠 Capítulo 11 — Framework NIST: ciclo completo
Identify → Protect → Detect → Respond → Recover
Segurança não é um estado.
É um processo contínuo.
🏁 Conclusão — O verdadeiro segredo
🔐 Segurança moderna não protege apenas sistemas.
👤 Protege identidades.
💾 Protege dados.
🌐 Protege o negócio digital inteiro.
🏆 Mensagem final ao Padawan
Se você domina:
✔ Identidade
✔ Privilégio mínimo
✔ Criptografia
✔ Visibilidade
✔ Configuração correta
👉 Você domina a segurança na cloud.
☕ Easter Egg final (nível Bellacosa)
Se um administrador mainframe viajasse no tempo para hoje, ele provavelmente diria:
“Vocês reinventaram o RACF… só que distribuído e com marketing.”
