Resumo de Segurança AWS: Maio de 2026

O que aconteceu na segurança AWS em maio de 2026

Todo mês a AWS publica um digest consolidando as principais novidades de segurança: posts técnicos, recursos novos, repositórios de código e boletins de vulnerabilidades. O de maio de 2026 chegou com um tema central bem claro: a segurança de IA deixou de ser algo pontual e passou a exigir proteção em toda a pilha — do modelo ao fluxo agêntico, passando por políticas de autorização e conformidade regulatória.

A seguir, a CloudTroop comenta cada bloco de conteúdo publicado pela AWS neste mês.

Posts do Blog de Segurança AWS

Segurança de IA

Quatro posts abordaram o tema de segurança em ambientes de inteligência artificial, cobrindo desde fundamentos até frameworks estruturados.

• Melhoria de postura de segurança na era da IA — Explica como usar o Programa de Melhoria da Saúde de Segurança (SHIP) para fortalecer fundamentos de segurança em 10 casos de uso centrais, com foco em adoção confiante de IA.
• Habilitando soberania de IA na AWS — Aborda como a AWS entrega controle e escolha em toda a pilha de IA para ajudar organizações a atender requisitos de soberania digital e de IA.
• O AWS AI Security Framework: protegendo IA com os controles certos, nas camadas certas, nas fases certas — Um framework estruturado que ajuda líderes de segurança a alinhar controles ao caso de uso de IA correto, na camada certa e na fase de implantação adequada.
• Por que o Policy no Amazon Bedrock AgentCore escolheu o Cedar para proteger fluxos agênticos — Detalha como as capacidades de autorização determinística, raciocínio automatizado e verificação formal do Cedar protegem invocações de ferramentas agênticas por meio do Amazon Bedrock AgentCore Gateway.

Segurança de Infraestrutura

Quatro posts cobriram proteção de rede, análise de tráfego e migração de arquitetura de firewall.

• Protegendo proxies abertos no seu ambiente AWS — Ensina a identificar e proteger proxies abertos para evitar abuso, proteger a reputação de IP e controlar custos.
• Apresentando dashboards de análise de tráfego de IA para o AWS WAF — Um novo painel que oferece visibilidade sobre atividade de bots e agentes de IA, incluindo identificação de bots, classificação de intenção e análise de padrões de acesso.
• Simplificando o gerenciamento de políticas com filtragem por categoria de URL e domínio no AWS Network Firewall — Mostra como usar a filtragem por categoria de URL e domínio do AWS Network Firewall para controlar acesso a categorias de sites como serviços de IA, gerenciar exceções para domínios aprovados e monitorar padrões de tráfego com o Amazon CloudWatch Logs Insights.
• Por que e como migrar para um AWS Network Firewall conectado ao Transit Gateway — Explica como migrar a implantação centralizada do AWS Network Firewall para um modelo conectado ao AWS Transit Gateway, eliminando o Amazon VPC de inspeção e viabilizando alocação de custos mais flexível.

Gerenciamento de Identidade

Dois posts abordaram roteamento regional e automação do ciclo de vida de identidades.

• Roteamento regional para portais de acesso AWS: implementando domínios personalizados para o IAM Identity Center — Ensina a construir um domínio personalizado com roteamento baseado em latência e failover automatizado para portais de acesso multi-região do IAM Identity Center.
• Automatizando o ciclo de vida de identidades e segurança com as APIs do AWS Directory Service — Demonstra como usar as novas APIs de AWS Directory Service Data com o Amazon GuardDuty e o AWS Step Functions para automatizar o gerenciamento do ciclo de vida de identidades e responder a ameaças de segurança.

Governança e Conformidade

Cinco posts cobriram novos guias de conformidade, governança de infraestrutura como código e importação de dados históricos de auditoria.

• Anunciando o guia de conformidade ISO 31000:2018 de Gestão de Riscos na AWS — Orientações práticas para estabelecer um programa de gestão de riscos usando os princípios da ISO 31000:2018 em ambientes AWS.
• Novo guia de conformidade disponível: ISO/IEC 42001:2023 na AWS — Orientações práticas para projetar e operar um Sistema de Gestão de Inteligência Artificial (AIMS) usando serviços AWS.
• Apresentando o guia atualizado de Governança, Risco e Conformidade para Adoção Responsável de IA — Um guia atualizado que oferece considerações práticas para clientes do setor financeiro sobre adoção responsável de IA, cobrindo governança, gestão de riscos, conformidade, gestão de dados e gerenciamento de agentes de IA.
• Governando infraestrutura como código usando política como código baseada em padrões — Explica como usar o Open Policy Agent (OPA) em pipelines de CI/CD para validar mudanças de infraestrutura AWS antes da implantação, usando padrões de controle recorrentes.
• Importando dados históricos do AWS CloudTrail Lake para o Amazon CloudWatch — Mostra como importar dados históricos do AWS CloudTrail Lake para o Amazon CloudWatch para análise centralizada de logs.

Proteção de Dados

• Automatizando a prontidão para criptografia pós-quântica usando o AWS Config — Ensina a usar o PQC Readiness Scanner para inventariar endpoints de ALB, NLB e Amazon API Gateway, monitorando continuamente suas configurações de TLS para prontidão em criptografia pós-quântica.

Detecção e Resposta a Ameaças

Três posts cobriram mineração de criptomoedas, segurança da cadeia de suprimentos de software e o AWS Security Hub Extended.

• Detectando e prevenindo mineração de criptomoedas no seu ambiente AWS — Mostra como usar o Amazon GuardDuty para identificar e mitigar ameaças de mineração de criptomoedas com uma estratégia de defesa em múltiplas camadas.
• Melhores práticas Well-Architected para segurança da cadeia de suprimentos de software — Ensina a aplicar as melhores práticas de segurança do AWS Well-Architected Framework para se defender contra ataques à cadeia de suprimentos de software usando credenciais temporárias, gerenciamento centralizado de dependências, assinatura de artefatos e varredura contínua.
• AWS Security Hub Extended: por que produtos de segurança corporativa devem se vender sozinhos — Um artigo de liderança de pensamento sobre como o AWS Security Hub Extended viabiliza a adoção sem atrito, no modelo pay-as-you-go, de soluções de segurança de parceiros curados junto com serviços nativos AWS.

Segurança de Aplicações

• Cinco formas de usar o Kiro e o Amazon Q para fortalecer sua postura de segurança — Demonstra como usar o Kiro e o Amazon Q Developer para triagem de findings de segurança, remediação de infraestrutura, revisões de segurança e desenvolvimento de Políticas de Controle de Serviço (SCP).
• Recurso de varredura completa de repositório do AWS Security Agent agora disponível em preview — Explica como usar a revisão de código de repositório completo do AWS Security Agent para realizar análises de segurança profundas e contextuais de toda a base de código.

Treinamento e Capacitação

• Treinamento virtual gratuito: prática hands-on com serviços de segurança AWS — Os Security Activation Days são workshops virtuais gratuitos de 3 a 6 horas com prática hands-on em serviços de segurança AWS, guiados por especialistas.

Boletins de Segurança de Maio

A AWS publicou investigações sobre vulnerabilidades de segurança reportadas em serviços, softwares e produtos Amazon e AWS. Abaixo estão os boletins do mês:

• Atualizações contínuas sobre Copy.fail e variantes
• CVE-2026-7791 – Escalada local de privilégios via condição de corrida TOCTOU no Amazon WorkSpaces Skylight Agent
• CVE-2026-8178 – Execução remota de código via carregamento inseguro de classes no Amazon Redshift JDBC Driver
• CVE-2026-8596 e CVE-2026-8597 – Problemas de verificação de integridade de artefatos de modelo no Amazon SageMaker Python SDK
• CVE-2026-8686 – Leitura fora dos limites do heap no parsing de propriedades MQTT5 do coreMQTT
• CVE-2026-8838 – Execução remota de código no amazon-redshift-python-driver
• CVE-2026-9133 – Leitura arbitrária de arquivos no plugin rabbitmq-aws
• CVE-2026-9255 – Execução de ferramentas sem autorização via Piped Stdin no Kiro CLI
• CVE-2026-9291 – Desserialização insegura no processamento de resultados de jobs do Amazon Braket SDK
• CVE-2026-10591 – Restrições insuficientes de escrita de arquivos em caminhos sensíveis à execução no Kiro IDE
• CVE-2026-10584 – Fallback de HTTPS para HTTP no Graph Explorer

AWS Samples: novos repositórios do mês

Maio trouxe 8 novos repositórios no AWS Samples, cobrindo segurança de aplicações, proteção de dados, segurança de infraestrutura, governança e segurança de IA.

Segurança de Aplicações

• Agendamento de testes de penetração com o AWS Security Agent — Implanta um template do AWS CloudFormation que usa o Amazon EventBridge e o AWS Step Functions para agendar testes de penetração recorrentes com notificações via Amazon Simple Notification Service (SNS) ao término.
• Assistente de revisão de segurança — Implanta um sistema multi-agente no Amazon Bedrock AgentCore que automatiza revisões de segurança de entregas combinando análise de arquitetura, revisão de código de IaC (Infraestrutura como Código), varredura de vulnerabilidades com ASH e avaliação de conformidade em um único pipeline.
• AWS Security Agent Recorder — Uma extensão cross-browser que registra os domínios únicos que seu aplicativo web acessa e os preenche automaticamente na configuração de teste de penetração do AWS Security Agent.

Proteção de Dados

• Auditoria de acesso ao KMS — Resolve e reporta quem pode usar suas chaves do AWS Key Management Service (KMS) em políticas do IAM, políticas de chave e concessões, com resolução do IAM Identity Center para identificar as pessoas por trás de roles de SSO.

Segurança de Infraestrutura

• Construindo um agente de IA conversacional para análise do AWS WAF com o AgentCore — Implanta um agente alimentado por IA usando o Amazon Bedrock AgentCore e o Strands SDK para investigar incidentes de segurança do AWS WAF, detectar bypasses e gerar relatórios de segurança por linguagem natural.

Governança

• Monitoramento centralizado de IC do AWS Config com o Amazon CloudWatch — Monitora centralmente o registro de Itens de Configuração do AWS Config em todas as contas de uma AWS Organization usando o CloudWatch Cross-Account Observability, com dashboards mostrando os principais tipos de recursos, volume por conta e conformidade de pacotes.
• Analisador de segurança do CloudFormation Guard — Implanta um agente de IA alimentado pelo Amazon Bedrock AgentCore que varre documentação de recursos do CloudFormation, identifica propriedades críticas de segurança com níveis de risco e gera regras prontas para uso no cfn-guard 3.x para pipelines de CI/CD.

Segurança de IA

• Implantação de runtime atestada e controlada pelo usuário com proteção (Guardian Platform) — Implanta modelos de LLM com segurança em contas AWS de consumidores, protegendo os pesos do modelo com atestação do AWS Nitro TPM, criptografia envelope com KMS e Acesso Zero ao Operador com AMIs imutáveis.

AWS Labs: novo repositório de governança

Maio trouxe também 1 novo repositório no AWS Labs, focado em governança para instituições de pesquisa.

• ResearchStack na AWS — Permite implantar infraestrutura de computação para pesquisa na AWS em minutos — Amazon EC2, S3, EFS, Amazon SageMaker AI e ParallelCluster — com segurança integrada, rastreamento de custos e governança usando templates do CloudFormation e o opcional AWS Service Catalog.

O que maio de 2026 sinaliza

O digest de maio mostra que a segurança de IA está amadurecendo: saiu do nível de controles de modelo e avançou para proteção de pilha completa em fluxos agênticos. Os posts e amostras trazem padrões para autorização baseada em políticas com Cedar, filtragem de tráfego de rede por categoria e monitoramento de conformidade entre contas. Os boletins de segurança endereçam vulnerabilidades em SDKs, drivers e ferramentas para desenvolvedores. Cada recurso inclui passos de implantação ou código executável para que as equipes possam validar em seus próprios ambientes antes de adotar.

Para acompanhar as atualizações conforme são publicadas, a AWS disponibiliza o feed RSS do Blog de Segurança AWS.

Fonte

ICYMI: May 2026 @AWS Security (https://aws.amazon.com/blogs/security/icymi-may-2026-aws-security/)