Category: Uncategorized

Acesso ao Athena Spark sem passar pela internet pública

A AWS anunciou que o Amazon Athena Spark agora conta com suporte ao AWS PrivateLink, permitindo que equipes acessem as APIs e endpoints do serviço diretamente a partir de sua Nuvem Privada Virtual da Amazon (VPC — Virtual Private Cloud), sem que o tráfego precise passar pela internet pública.

O que muda na prática

Com essa novidade, é possível criar endpoints de interface do AWS PrivateLink para conectar clientes dentro da sua VPC ao Athena Spark. Todo o tráfego entre a VPC e as APIs e endpoints do Athena Spark passa a ocorrer inteiramente dentro da rede da AWS, estabelecendo um caminho seguro para os dados.

O endpoint de VPC do Athena oferece suporte a todas as APIs e endpoints do Athena Spark, incluindo:

• Spark Connect
• Spark Live UI
• Spark History Server

Por que isso importa para compliance

Um dos benefícios mais relevantes dessa integração é o auxílio no atendimento a requisitos de conformidade (compliance). Ao manter o acesso às APIs e endpoints do Athena Spark completamente dentro da rede da AWS, as organizações conseguem reduzir a exposição de dados sensíveis e reforçar controles de segurança exigidos por regulamentações e políticas internas.

Como começar a usar

Para habilitar essa funcionalidade, basta criar um endpoint de interface de VPC para se conectar ao Amazon Athena Spark. A AWS disponibiliza três formas de fazer isso:

• Console de Gerenciamento da AWS (AWS Management Console)
• Interface de Linha de Comando da AWS (AWS CLI — Command Line Interface)
• AWS CloudFormation

Disponibilidade

O recurso já está disponível em todas as Regiões da AWS onde o Amazon Athena Spark e o AWS PrivateLink estão presentes. Para mais detalhes, a AWS recomenda consultar a documentação do AWS PrivateLink e a documentação do Athena Spark.

Fonte

Amazon Athena Spark adds support for AWS PrivateLink (https://aws.amazon.com/about-aws/whats-new/2026/04/amazon-athena-spark-aws-privatelink/)

O que mudou no AWS IoT Greengrass v2.17

A AWS disponibilizou o AWS IoT Greengrass v2.17, trazendo duas grandes novidades: suporte à instalação como usuário não-root em sistemas Linux e a introdução de componentes mais leves, projetados para consumir muito menos memória na borda.

Para quem não conhece, o AWS IoT Greengrass é um runtime de borda e serviço de nuvem voltado para a Internet das Coisas (IoT — Internet of Things). Ele ajuda equipes a construir, implantar e gerenciar software diretamente nos dispositivos, sem depender de conectividade constante com a nuvem.

Instalação sem root: mais segurança em ambientes regulados

Uma das mudanças mais relevantes desta versão é justamente a possibilidade de instalar e executar o Greengrass sem precisar de privilégios de superusuário (root). Em ambientes corporativos e setores regulados — como saúde, finanças e indústria —, políticas de segurança frequentemente proíbem o uso de root em sistemas de produção. Com essa atualização, a AWS elimina um obstáculo prático que impedia muitas organizações de adotar o serviço nesses contextos.

Ciclo de vida de desinstalação automática

A versão v2.17 também adiciona uma capacidade de ciclo de vida de desinstalação (uninstall lifecycle) que é ativada automaticamente quando um componente é removido de um dispositivo. Isso simplifica o gerenciamento de dependências, evitando que resíduos de componentes antigos causem conflitos ou ocupem recursos desnecessários.

Novos componentes nucleus lite: menos memória, mesma funcionalidade

Outra frente importante desta versão é a expansão das capacidades do nucleus lite, focado em reduzir o consumo de recursos na borda. As novidades incluem:

• Componente Secure Tunneling lite: agora utiliza apenas 4 MB de memória, uma redução expressiva em comparação aos 36 MB do componente padrão — uma queda de mais de 88%.
• Componente Fleet Provisioning atualizado: passa a suportar o Módulo de Plataforma Confiável (TPM — Trusted Platform Module) 2.0, viabilizando operações criptográficas e gerenciamento seguro de identidade dos dispositivos.
• Interface PKCS#11 (Padrão Criptográfico de Chave Pública — Public Key Cryptographic Standard): permite que o componente nucleus lite do Greengrass se autentique com o AWS IoT Core usando chaves e certificados armazenados em um Módulo de Segurança de Hardware (HSM — Hardware Security Module).

Disponibilidade

O AWS IoT Greengrass v2.17 já está disponível em todas as regiões da AWS onde o serviço é oferecido. Para conhecer todos os detalhes das novidades, a AWS disponibiliza a documentação oficial do AWS IoT Greengrass. Quem quiser dar os primeiros passos com o serviço pode acessar o guia de introdução.

Fonte

AWS IoT Greengrass v2.17 now supports non-root installation and introduces new light weight components (https://aws.amazon.com/about-aws/whats-new/2026/04/aws-iot-greengrass-v217/)

Por que clonar um cluster CloudHSM entre Regiões?

O AWS CloudHSM é o serviço da AWS para geração, armazenamento, importação, exportação e gerenciamento de chaves criptográficas em hardware dedicado. Ele também suporta funções de hash para cálculo de resumos de mensagens e Códigos de Autenticação de Mensagens Baseados em Hash (HMACs), além de assinatura e verificação de dados.

Para garantir redundância e simplificar a recuperação de desastres, a AWS recomenda clonar o cluster CloudHSM para uma Região diferente. Esse processo permite sincronizar chaves entre Regiões — incluindo as chamadas chaves não exportáveis, que nunca saem do dispositivo HSM em texto simples e só podem ser sincronizadas para clusters clonados.

Neste guia, a AWS descreve como usar o recurso CopyBackupToRegion para clonar um cluster da Região 1 para uma Nuvem Privada Virtual (VPC) na Região 2. O processo é feito em dois passos: copiar um backup para a Região de destino e criar um novo cluster a partir desse backup.

Atenção: A partir de 1º de janeiro de 2025, as ferramentas do Client SDK 3 (CMU e KMU) não têm mais suporte. Todo este guia usa exclusivamente comandos do Client SDK 5 (versão 5.17 ou superior).

Como funciona o processo

O CloudHSM cria um backup do cluster e o armazena em um bucket do Amazon Simple Storage Service (Amazon S3) pertencente ao próprio serviço. Em seguida, você usa a Interface de Linha de Comando da AWS (AWS CLI) para copiar esse backup para outra Região. Com o backup disponível na Região de destino, você cria um novo cluster e os módulos de segurança de hardware (HSMs) a partir dele.

Vale destacar alguns pontos importantes sobre os backups:

• Backups não podem ser copiados entre partições distintas, como as Regiões AWS GovCloud, Região da China e AWS European Sovereign Cloud.
• O backup em ambas as Regiões fica armazenado em um bucket S3 gerenciado pelo CloudHSM, com durabilidade de 99,999999999%.
• A criptografia e a segurança do backup na Região 2 são idênticas às da Região 1. Mais detalhes em AWS CloudHSM cluster backups.
• Qualquer HSM criado no cluster clonado terá os mesmos usuários e chaves do cluster original no momento do backup.
• A partir do momento da clonagem, a sincronização precisa ser feita manualmente.

Pré-requisitos

Antes de começar, certifique-se de ter em mãos:

• VPC na Região 1 com pelo menos 1 sub-rede pública e 1 privada
• VPC na Região 2 com pelo menos 1 sub-rede pública e 1 privada
• Cross-Region VPC habilitada entre as duas Regiões
• AWS CLI instalada
• Permissões de Gerenciamento de Identidade e Acesso da AWS (IAM) para as APIs do CloudHSM em ambas as Regiões
• Client SDK 5 instalado na instância de gerenciamento (versão 5.17 ou superior recomendada)

Observação importante: A sincronização de chaves entre clusters em mais de uma Região só funciona se todos os clusters forem criados a partir do mesmo backup. Isso ocorre porque a sincronização exige a presença da mesma chave secreta — chamada de masking key — no HSM de origem e no de destino. Essa chave é específica de cada cluster, não pode ser exportada e serve exclusivamente para sincronizar chaves entre HSMs de um mesmo cluster.

Passo 1: Criar o primeiro cluster na Região 1

Criar o cluster

Substitua <SUBNET_ID_1> por uma das suas sub-redes privadas e anote o ID do cluster retornado:

aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium --subnet-ids <SUBNET_ID_1>

Lançar a instância EC2 cliente

Lance uma instância do Amazon Elastic Compute Cloud (Amazon EC2) na sub-rede pública. Consulte o Passo 1 do guia de início do Amazon EC2 para instruções detalhadas.

Criar o primeiro HSM

Substitua <CLUSTER_ID> pelo ID anotado anteriormente e <AVAILABILITY_ZONE> pela Zona de Disponibilidade correspondente à sua sub-rede privada (por exemplo, us-east-1a):

aws cloudhsmv2 create-hsm --cluster-id <CLUSTER_ID> --availability-zone <AVAILABILITY_ZONE>

Inicializar o cluster

Antes de inicializar o cluster, crie um certificado autoassinado e use-o para assinar a Requisição de Assinatura de Certificado (CSR) do cluster. Com o certificado assinado em mãos, inicialize o cluster:

aws cloudhsmv2 initialize-cluster \
  --cluster-id <CLUSTER_ID> \
  --signed-cert file://<CLUSTER_ID>_CustomerHsmCertificate.crt \
  --trust-anchor file://customerCA.crt

Após o comando, o cluster entra no estado Initialized. Copie os certificados para que o cliente CloudHSM possa verificar a identidade do cluster:

sudo cp _CustomerHsmCertificate.crt /opt/cloudhsm/etc/
sudo cp customerCA.crt /opt/cloudhsm/etc/

Instalar e configurar o Client SDK 5

Baixe e instale o CloudHSM Client SDK 5 mais recente (versão 5.17 ou superior). Exemplo para Amazon Linux 2023:

wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-cli-latest.amzn2023.x86_64.rpm
sudo yum install -y ./cloudhsm-cli-latest.amzn2023.x86_64.rpm

Configure o cliente com o endereço IP da Interface de Rede Elástica (ENI) do seu HSM:

configure-cli -a <HSM_IP>

Ativar o cluster

Para ativar o cluster, execute o CloudHSM CLI em modo interativo:

cloudhsm-cli interactive

Execute user list para ver o usuário admin ainda não ativado. Em seguida, use cluster activate para definir a senha inicial:

aws-cloudhsm > cluster activate
Enter password:<NewPassword>
Confirm password:<NewPassword>
{
  "error_code": 0,
  "data": "Cluster activation successful"
}

Após ativar, saia com quit e faça login novamente com a nova senha usando login --username admin --role admin. Em seguida, crie o primeiro usuário criptográfico (CU) com o comando abaixo. Para mais informações sobre tipos de usuário, consulte os tipos de usuário HSM para o CloudHSM CLI.

user create --username <USERNAME> --role crypto-user

Passo 2: Criar chaves na Região 1

Crie uma chave AES-256 não exportável:

aws-cloudhsm > key generate-symmetric aes \
  --label aes-example \
  --key-length-bytes 32 \
  --attributes extractable=false

Anote a referência da chave retornada no output — você precisará dela para a sincronização mais adiante.

Passo 3: Acionar o backup do cluster

Para gerar um backup destinado à Região 2, adicione um segundo HSM ao cluster na Região 1 (via Console AWS ou AWS CLI). O backup gerado conterá:

• Todos os usuários (Oficiais de Criptografia (COs), Usuários de Criptografia (CUs) e Usuários de Dispositivo)
• Todo o material de chaves dos HSMs
• Todas as configurações e políticas

Anote o ID do backup. Você pode encontrá-lo no console do CloudHSM em Backups ou usando o comando:

aws cloudhsmv2 describe-backups --cluster-id <CLUSTER_ID>

Para evitar cobranças desnecessárias, o HSM adicional pode ser excluído após a criação do backup.

Passo 4: Copiar o backup entre Regiões

Permissões IAM necessárias

Certifique-se de que sua função ou usuário IAM possui os privilégios de administrador do CloudHSM. Veja um exemplo de política de permissões:

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "cloudhsm:*",
      "ec2:CreateNetworkInterface",
      "ec2:DescribeNetworkInterfaces",
      "ec2:DescribeNetworkInterfaceAttribute",
      "ec2:DetachNetworkInterface",
      "ec2:DeleteNetworkInterface",
      "ec2:CreateSecurityGroup",
      "ec2:AuthorizeSecurityGroupIngress",
      "ec2:AuthorizeSecurityGroupEgress",
      "ec2:RevokeSecurityGroupEgress",
      "ec2:DescribeSecurityGroups",
      "ec2:DeleteSecurityGroup",
      "ec2:CreateTags",
      "ec2:DescribeVpcs",
      "ec2:DescribeSubnets",
      "iam:CreateServiceLinkedRole"
    ],
    "Resource": "*"
  }
}

Executar a cópia do backup

Para copiar o backup da Região 1 para a Região 2, você precisa da Região de destino e do ID do cluster ou do backup. Se informar apenas o ID do cluster, o backup mais recente será utilizado. Para um backup específico, use o ID do backup:

aws cloudhsmv2 copy-backup-to-region \
  --destination-region <DESTINATION_REGION> \
  --backup-id <BACKUP_ID>

Exemplo de resposta:

{
  "DestinationBackup": {
    "SourceBackup": "backup-4kuraxsqetz",
    "SourceCluster": "cluster-kzlczlspnho",
    "CreateTimestamp": 1531742400,
    "SourceRegion": "us-east-1"
  }
}

Com o novo ID de backup disponível na Região 2, crie o cluster clonado:

aws cloudhsmv2 create-cluster \
  --hsm-type hsm2m.medium \
  --subnet-ids <SUBNET_ID_REGION_2> \
  --source-backup-id <BACKUP_ID_REGION_2>

Transferência de certificado e configuração do grupo de segurança

Copie o conteúdo do certificado do cluster original para um novo arquivo no cluster da Região 2. O certificado é necessário para conexões criptografadas entre o cliente e as instâncias HSM.

Em seguida, adicione o Grupo de Segurança do cluster clonado à sua instância EC2 cliente: selecione o Grupo de Segurança da instância EC2 no console, escolha “Adicionar regras” e adicione uma regra que permita tráfego do ID do Grupo de Segurança do cluster na porta 2225.

Recupere o endereço IP da ENI do HSM na Região 2 — você precisará dele no próximo passo:

aws cloudhsmv2 describe-clusters \
  --filters clusterIds=<cluster_ID_region_2> \
  --region <region_2> \
  --query 'Clusters.Hsms.EniIp' \
  --output text

Passo 5: Configurar a conectividade entre Regiões

Para que o CloudHSM CLI se comunique simultaneamente com os dois clusters, adicione o cluster da Região 2 à configuração do cliente usando o endereço IP da ENI obtido anteriormente:

configure-cli add-cluster \
  --cluster-id <cluster_ID_region_2> \
  --endpoint <hsm_eni_ip_region_2> \
  --region <region_2>

A partir desse ponto, o CloudHSM CLI se comunicará com ambos os clusters simultaneamente, usando os certificados já configurados e a masking key compartilhada entre os clusters clonados.

Passo 6: Sincronizar chaves entre os clusters

Listar usuários e chaves

Antes de replicar, verifique quais usuários e chaves existem:

# Listar todos os usuários
cloudhsm-cli user list

# Listar chaves de um usuário específico
cloudhsm-cli key list --username <username>

Replicar chaves

Para replicar uma chave da Região 1 para a Região 2:

cloudhsm-cli key replicate \
  --filter key-reference=<key_ref> \
  --source-cluster-id <source_cluster_ID> \
  --destination-cluster-id <destination_cluster_ID>

Verifique a replicação listando as chaves novamente. O output deve mostrar referências de chaves idênticas em ambos os clusters. Repita o processo para cada chave adicional que precisar sincronizar.

Pontos de atenção após a clonagem

• Usuários criados após o backup inicial precisam ser criados manualmente nos dois clusters.
• Alterações de senha em um cluster precisam ser replicadas manualmente para o outro.
• Chaves criadas após o backup inicial precisam ser sincronizadas com pelo menos um HSM do cluster clonado — depois disso, a sincronização automática do CloudHSM cuida do restante dentro do segundo cluster.
• Mantenha as ferramentas do Client SDK 5 atualizadas para ter acesso aos recursos mais recentes e melhorias de segurança.
• O Client SDK 5 oferece suporte à arquitetura ARM64 nas seguintes distribuições Linux: Amazon Linux 2023, Amazon Linux 2, Red Hat Enterprise Linux (RHEL) 8 (8.3+), RHEL 9 (9.2+), RHEL 10 (10.0+), Ubuntu 22.04 LTS, Ubuntu 24.04 LTS, Debian 12 e SUSE Linux Enterprise Server 15.

Conclusão

Seguindo esse processo, é possível configurar um ambiente AWS CloudHSM tolerante a falhas, com chaves sincronizadas entre Regiões usando as ferramentas e práticas recomendadas mais recentes. A configuração de clusters entre Regiões traz melhorias na recuperação de desastres, reduz o risco de perda de dados e garante a continuidade das operações criptográficas — assegurando que as chaves críticas permaneçam disponíveis mesmo diante de uma falha regional. Dúvidas ou comentários podem ser enviados ao AWS re:Post.

Fonte

How to clone an AWS CloudHSM cluster across Regions (https://aws.amazon.com/blogs/security/how-to-clone-an-aws-cloudhsm-cluster-across-regions-2/)

O que mudou no Amazon ECR

A AWS anunciou uma expansão importante na funcionalidade do Amazon Elastic Container Registry (Amazon ECR), especificamente no recurso de Pull Through Cache. A partir de agora, o serviço é capaz de descobrir e sincronizar automaticamente referenciadores OCI (Open Container Initiative) a partir de registros anteriores para seus repositórios privados do Amazon ECR.

Os referenciadores incluem artefatos críticos como assinaturas de imagens, SBOMs (Software Bill of Materials — Lista de Materiais de Software) e atestações. Esses elementos são fundamentais para fluxos de trabalho de segurança, rastreabilidade e conformidade em ambientes cloud nativos.

O problema que era enfrentado antes

Anteriormente, quando você tentava listar referenciadores em um repositório que possuía uma regra de Pull Through Cache configurada, o Amazon ECR não retornava nem sincronizava os referenciadores do repositório anterior. Isso significava que era necessário executar processos manuais para localizar e buscar esses artefatos de forma separada, criando uma desconexão no fluxo de trabalho e aumentando a complexidade operacional.

Essa limitação impedia que workflows inteligentes de verificação de assinatura de imagem, descoberta de SBOM e recuperação de atestações funcionassem sem contornos adicionais no lado do cliente.

Como o Amazon ECR resolveu isso

Com esta atualização, o Pull Through Cache do Amazon ECR agora faz o seguinte automaticamente:

• Alcança o registro anterior durante requisições de API de referenciadores
• Descobre os referenciadores disponíveis no repositório de origem
• Sincroniza e cach os artefatos de referenciador relacionados no seu repositório privado do Amazon ECR

Este comportamento automático elimina a necessidade de intervenção manual e permite que fluxos de trabalho complexos funcionem de forma transparente e integrada.

Implicações práticas para seu ambiente

A mudança torna possível que você implemente workflows end-to-end completos sem necessidade de adaptações ou workarounds no código cliente:

• Verificação de assinatura de imagem: valide a integridade e a autenticidade das imagens de container automaticamente
• Descoberta de SBOM: acesse listas completas de dependências e componentes das imagens
• Recuperação de atestação: obtenha evidências de políticas, scans de segurança e outras comprovações associadas às imagens

Todos esses processos agora funcionam de forma nativa com repositórios que usam Pull Through Cache, sem que você precise implementar soluções alternativas.

Disponibilidade

Este recurso está disponível a partir de hoje em todas as regiões AWS onde o Amazon ECR Pull Through Cache é suportado.

Para compreender melhor como configurar e utilizar este recurso em seu ambiente, consulte a documentação do Amazon ECR.

Fonte

Amazon ECR Pull Through Cache Now Supports Referrer Discovery and Sync (https://aws.amazon.com/about-aws/whats-new/2026/04/amazon-ecr-pull-through-cache-referrers/)

O desafio da padronização de logs de segurança

Os logs de segurança são fundamentais para operações de defesa. Eles registram atividades essenciais como autenticações de usuários, acessos a arquivos, tráfego de rede e uso de aplicações. Essas informações permitem detectar e responder a incidentes de segurança.

Porém, existe um problema crítico: cada sistema gera seus logs em formatos diferentes. Firewalls, sistemas de detecção de intrusão, antivírus e outras ferramentas utilizam suas próprias estruturas de dados. Essa fragmentação dificulta a análise centralizada, compromete a detecção de ameaças e complica a conformidade com regulamentações.

O OCSF (Esquema Aberto de Cibersegurança) foi desenvolvido como resposta a este desafio. Trata-se de um framework padronizado que oferece um formato consistente para representar eventos de segurança, independentemente da origem dos dados. Sua adoção traz benefícios imediatos: melhora a interoperabilidade entre ferramentas, simplifica a análise de dados, reduz a complexidade da conformidade e diminui o risco de aprisionamento por fornecedor.

Como o Amazon Security Lake simplifica a centralização

A AWS anunciou o Amazon Security Lake, um serviço que automatiza a centralização de dados de segurança em formato OCSF. O Security Lake conecta-se nativamente com diversos serviços AWS como CloudTrail (eventos de gerenciamento e dados), Amazon EKS (logs de auditoria), Amazon Route 53 (queries de resolução), AWS Security Hub, Amazon VPC Flow Logs e AWS WAF.

O serviço também integra logs de provedores SaaS, ambientes locais e outras plataformas em nuvem, consolidando tudo em um data lake proprietário com segurança aprimorada. Todos os dados são automaticamente normalizados para o formato OCSF, garantindo consistência.

Essa centralização transforma a operação de segurança. Ao integrar com ferramentas analíticas como Amazon Athena e Amazon QuickSight, o Security Lake permite detecção de ameaças mais eficiente, monitoramento contínuo da postura de segurança e relatórios de conformidade simplificados.

O acelerador de ETL dos Serviços Profissionais da AWS

Apesar dos benefícios, clientes que desejam usar fontes customizadas de logs no Security Lake enfrentam um desafio: precisam converter seus logs proprietários para o formato OCSF manualmente.

Para resolver isso, a equipe de Serviços Profissionais (ProServe) da AWS desenvolveu um acelerador de solução ETL (Extração, Transformação e Carregamento) em código aberto. Esta ferramenta automatiza a conversão de logs de segurança customizados para o padrão OCSF 1.1, facilitando a integração com o Security Lake ou outros data lakes de segurança. A solução oferece abordagem orientada por configuração, eliminando a necessidade de modificar código para diferentes tipos de log.

Pré-requisitos e configuração inicial

Para implementar a solução, você precisará ter instalado:

• AWS CLI (Interface de Linha de Comando da AWS)
• AWS CDK CLI
• Python (versão 3.9.6 ou posterior)

A arquitetura serverless utiliza diversos serviços: Amazon S3, AWS Lambda, Amazon DynamoDB, AWS Step Functions, AWS Glue ou Amazon EMR Serverless para ETL, além de AWS Secrets Manager, Amazon RDS, Amazon CloudWatch, Amazon SNS e Amazon EventBridge.

Os custos dependem do volume de dados e frequência de processamento. As principais despesas envolvem armazenamento (S3 e DynamoDB), computação (Lambda, Glue e EMR) e orquestração. A arquitetura é otimizada para custo através de componentes serverless com pagamento conforme uso. Use o Calculador de Preços da AWS para estimar custos específicos ao seu volume de logs e necessidades de retenção.

Arquitetura e fluxo de dados

A solução funciona com dois arquivos de entrada: um arquivo de mapeamento e um arquivo de configuração. Esses arquivos guiam a transformação de logs de origem para formato OCSF em Parquet, que é então particionado por localização e conta, armazenado em uma localização S3 fornecida pelo Security Lake.

O fluxo segue estas etapas principais:

Etapa de pré-processamento

O usuário prepara dois arquivos CSV. O primeiro contém o mapeamento de campos customizados para classes OCSF. O segundo arquivo contém metadados de configuração que orientam a transformação. Quando esses arquivos são enviados para um bucket S3 de artefatos, uma notificação de evento S3 dispara uma função Lambda que armazena os metadados em tabelas DynamoDB. Funções Lambda adicionais processam os arquivos de configuração e armazenam as informações necessárias nas tabelas de mapeamento e referência.

Enriquecimento opcional

A solução pode ler dados de um banco de enriquecimento armazenado em Amazon RDS ou acessível via conexão JDBC a partir do EMR ou Glue. As credenciais são gerenciadas pelo AWS Secrets Manager.

Processamento de logs de origem

Os arquivos de log de origem são entregues a um bucket S3 por um processo externo. Uma agenda do EventBridge ou invocação manual inicia o workflow Step Functions, responsável pela conversão dos logs. O workflow Step Functions executa as tarefas de transformação, convertendo os arquivos de log para formato OCSF-Parquet usando bibliotecas Python customizadas. Os dados convertidos são armazenados em um bucket S3 de destino. Se falhas ocorrem durante o processamento, um tópico SNS notifica os usuários.

Mapeando seus logs para o formato OCSF

Antes de começar, verifique se já existem mapeamentos disponíveis no repositório GitHub de mapeamentos OCSF. Se não, você precisará criar um.

O processo envolve várias etapas: primeiro, familiarize-se com o esquema OCSF, que define a estrutura e formato para organizar dados de log em classes de evento e atributos. Cada classe de evento contém um conjunto de atributos projetados para oferecer semântica abrangente do evento.

Identifique suas fontes de log (firewalls, sistemas de detecção de intrusão, antivírus) e seus formatos nativos (CSV, JSON, etc.). Analise o conteúdo dos logs e localize as categorias e classes OCSF apropriadas. Mapeie cada campo de dados de origem para o campo correspondente no esquema OCSF. Se um campo não possui equivalente em OCSF, considere mapeá-lo para o objeto “unmapped”.

O enriquecimento de dados adiciona contexto, como padronização de timestamps, conversão de endereços IP para formato comum ou adição de dados complementares para melhor análise. Cada categoria em OCSF possui uma coluna de enriquecimento opcional que fornece mais informações. Por exemplo, a categoria de Autenticação OCSF contém uma coluna que oferece mais detalhes sobre endereços IP.

Valide os dados mapeados contra o esquema OCSF para garantir conformidade e precisão. Teste o mapeamento com amostras de dados de diferentes fontes. Use o utilitário de código aberto para validar sua saída OCSF 1.1 gerada.

Finalmente, considere contribuir seu mapeamento para a comunidade OCSF submetendo um pull request ao repositório. A AWS ProServe auxiliou muitos clientes a mapear seus logs de segurança para OCSF. Se precisar orientação para mapear e transformar seus logs, entre em contato com seu executivo de conta.

Criando e transformando arquivos de mapeamento

A solução ETL requer um arquivo CSV de mapeamento que associe atributos de log de segurança customizados aos atributos OCSF padronizados. Para instruções detalhadas sobre como gerar este arquivo, consulte o repositório de código.

Se você está seguindo um exemplo, pode habilitar o log de acesso do servidor S3 para publicar logs de origem no S3. Um exemplo de registro de log de acesso S3 seria processado pelo código Python fornecido, que normaliza os atributos e envolve cada um em aspas adequadamente.

Após preparar seu arquivo de mapeamento CSV, faça upload dele para a localização de artefatos S3 em s3://secure-datalake-artifacts-<account_number>-<aws_region>/config/mapping/. A função Lambda asl-etl-framework_update-mapping-ddb processa este arquivo e o converte para o formato DynamoDB necessário, armazenando o resultado na tabela de mapeamento de atributos OCSF.

Configurando metadados para transformação

Para criar um arquivo de metadados de configuração, prepare um arquivo CSV seguindo as orientações na documentação do repositório. Faça upload do arquivo CSV de mapeamento completo para a localização de artefatos S3 em s3://secure-datalake-artifacts-<account_number>-<aws_region>/config/metadata/.

Quando o arquivo de metadados é enviado para o S3, dispara automaticamente a função Lambda asl-etl-framework_insert_metadata_ddb, que armazena a configuração na tabela DynamoDB. A função Lambda subsequente asl-etl-framework_update-mapping-ddb lê o arquivo de mapeamento CSV e insere os mapeamentos na tabela de mapeamento de atributos OCSF correspondente.

Recursos avançados da solução

Carga histórica

A solução oferece capacidade de carga histórica que processa logs de intervalos de datas ou anos especificados baseado nas entradas do arquivo de metadados. Após conversão para formato OCSF em Parquet, esses logs podem ser integrados ao Amazon Security Lake ou usados para criar um data lake customizado.

A solução inclui funcionalidade de checkpoint para lidar com potenciais falhas durante processamento histórico de dados. Este recurso fornece resiliência ao rastrear o progresso de conversão. Se um processo falha durante processamento histórico de múltiplos anos, a solução retoma a partir do ponto de falha, preservando os dados já convertidos com sucesso.

Enriquecimento de dados

Empresas frequentemente possuem dados contextuais valiosos que podem enriquecer seus logs de segurança. Ao correlacionar dados existentes com logs de segurança e anexar informações relevantes, você cria conjuntos de dados mais abrangentes para análise avançada e insights de segurança mais profundos.

Por exemplo, se você deseja obter informações adicionais como geolocalização de cada endereço IP nos logs, pode fornecer informações do banco de dados de origem no arquivo CSV de metadados. A solução conecta ao banco de dados através de conexão JDBC, extrai as informações solicitadas e adiciona as informações extraídas como novas colunas aos logs OCSF convertidos.

Escolhendo o mecanismo de transformação

Você pode selecionar seu mecanismo de transformação preferido: AWS Glue ou Amazon EMR Serverless. Forneça o nome do mecanismo durante a implantação. Para cargas históricas grandes, recomenda-se EMR Serverless; AWS Glue é adequado para cargas históricas menores que 100 GB.

O processo segue estas etapas: o usuário insere as informações de metadados e mapeamento nos arquivos CSV respectivos e faz upload para S3. Uma função Lambda converte os arquivos para esquema DynamoDB. Uma função preprocessadora é invocada, pegando os metadados da tabela DynamoDB e gerando argumentos de entrada para o trabalho de transformação. O trabalho de transformação (Glue ou EMR, conforme sua escolha) lê as tabelas de metadados e mapeamento, convertendo os dados para formato OCSF. Os arquivos de log OCSF convertidos são armazenados em localização S3 especificada em formato Parquet, que pode ser integrada ao Security Lake.

Orquestração com Step Functions

A solução é orquestrada usando AWS Step Functions e oferece duas opções de mecanismo de execução: AWS Glue ou EMR Serverless, dependendo dos serviços permitidos em sua empresa.

Para invocar o workflow Step Functions, especifique o mecanismo de execução como emr-serverless ou glue nos parâmetros de entrada passados via EventBridge.

Os parâmetros de entrada para o workflow são:

{
  "source_log_type": "s3-access-log",
  "load_type": "historical",
  "full_load": "false",
  "ddb_lookup_table": "asl-etl-framework-ddb-table-details",
  "ddb_mapping_table": "asl-etl-framework-ocsf-attribute-mapping",
  "ddb_metadata_table": "asl-etl-framework-source-ocsf-metadata",
  "ddb_reference_table": "asl-etl-framework-ocsf-reference",
  "asl_status_table": "asl-etl-framework-run-status",
  "execution_engine": "glue",
  "asl_job_name": "asl-etl-framework-init-ocsf-conversion"
}

Validando os dados convertidos

Uma prática recomendada é garantir que os arquivos Parquet gerados mapeiem corretamente às definições de esquema especificadas dentro do OCSF (Esquema Aberto de Cibersegurança). Validar o mapeamento mantém a integridade de dados e permite que dados de segurança sejam efetivamente analisados por aplicações e ferramentas downstream, como o Security Lake.

Use o validador de esquema OCSF para fornecer validação complementar. Esta etapa de validação ajuda a detectar desalinhamentos de esquema ou problemas de qualidade de dados cedo no processo, levando a análise de segurança mais confiável.

Se a validação do esquema OCSF transformado falhar, primeiro valide se seus mapeamentos estão alinhados com a categoria OCSF respectiva. Ajuste seus mapeamentos, execute a solução novamente e valide os logs OCSF transformados usando o validador até obter um esquema OCSF válido.

Quando descobrir mapeamentos OCSF incorretos ou inconsistências de formato em logs convertidos, comece realizando validação minuciosa contra especificações de esquema OCSF para identificar discrepâncias específicas. Atualize os mapeamentos com mapeamentos de campo corretos, garantindo que conversões de tipo de dados e requisitos de campo obrigatório sejam atendidos. Teste essas correções usando dados de amostra para verificar conformidade OCSF antes de implementar em produção.

Próximas etapas

A solução está disponível como um projeto de código aberto, porém envolver a AWS ProServe oferece vantagens significativas, incluindo experiência comprovada de implementação, orientação de melhores práticas e cronogramas de implantação acelerados. A equipe ProServe traz experiência extensiva em padronização de logs de segurança e pode ajudar a customizar a solução para seus requisitos específicos, garantindo integração ideal com o Security Lake.

Para começar sua jornada rumo a análise de segurança padronizada usando OCSF, entre em contato com sua equipe de conta AWS para discutir como a AWS ProServe pode ajudar a implementar esta solução em seu ambiente.

Fonte

Transform security logs into OCSF format using a configuration-driven ETL solution (https://aws.amazon.com/blogs/security/transform-security-logs-into-ocsf-format-using-a-configuration-driven-etl-solution/)

Por que rastreamento de custos de inferência importa

À medida que modelos de linguagem grande e ferramentas de IA generativa se tornam parte essencial da infraestrutura corporativa, os gastos com inferência passaram a ocupar uma fatia significativa dos orçamentos de nuvem. Para organizações que desejam implementar modelos de chargeback entre equipes, otimizar despesas ou fazer planejamento financeiro preciso, é fundamental saber quem está usando os modelos de IA e quanto cada usuário, aplicação ou projeto está gastando.

A AWS respondeu a essa demanda anunciando um recurso de atribuição granular de custos para o Amazon Bedrock. Agora é possível rastrear automaticamente cada chamada de inferência até o principal da IAM que a originou — seja um usuário individual, uma aplicação com função de acesso, ou uma identidade federada de um provedor externo como Okta ou Entra ID.

Como funciona a atribuição de custos

O recurso funciona de forma transparente, sem necessidade de gerenciar recursos adicionais ou alterar workflows existentes. Os custos de inferência são automaticamente atribuídos através da integração com o AWS Billing e aparecem no CUR 2.0 (Relatório de Custo e Uso versão 2.0).

Ao ativar dados de principal IAM na exportação de dados do CUR 2.0, você verá um novo campo line_item_iam_principal contendo a identidade de quem fez cada chamada, além dos campos de tipo de uso (que indicam qual modelo e se foi processamento de tokens de entrada ou saída) e o custo não faturado. Essa combinação permite responder perguntas como:

• Quanto cada desenvolvedor gastou em tokens de entrada vs. saída?
• Qual modelo (Claude, Llama, Nova) gerou mais custos?
• Quanto a equipe de data science gastou no total?
• Como se distribui o gasto entre diferentes projetos?

Tags para agregação e análise de custos

Além da atribuição automática por identidade IAM, você pode usar tags para agregar custos por dimensões personalizadas como equipe, projeto, centro de custo ou tenant. As tags podem ser aplicadas de duas formas:

• Tags de principal: Anexadas diretamente a usuários ou funções IAM. Uma vez definidas, aplicam-se automaticamente a todas as requisições daquele principal.
• Tags de sessão: Passadas dinamicamente quando um usuário ou aplicação assume uma função IAM para obter credenciais temporárias, ou incorporadas em asserções de provedores de identidade. Para saber mais, consulte a documentação sobre passagem de tags de sessão no AWS STS.

Após ativar essas tags como tags de alocação de custos no AWS Billing, elas aparecem no CUR 2.0 com o prefixo iamPrincipal/ e permitem filtrar e agrupar despesas no AWS Cost Explorer e em relatórios personalizados.

Quatro cenários de implementação

A forma de configurar o rastreamento depende da arquitetura e dos padrões de acesso da sua organização. A AWS detalha quatro cenários principais:

Cenário 1: Rastreamento por usuário com credenciais IAM

Ideal para equipes pequenas, ambientes de desenvolvimento ou prototipagem rápida onde desenvolvedores individuais usam credenciais de usuário IAM ou chaves de API do Amazon Bedrock. Cada membro da equipe tem um usuário IAM dedicado com credenciais de longo prazo. Quando uma chamada ao Amazon Bedrock é feita, a plataforma captura automaticamente a Amazon Resource Name (ARN) do usuário durante a autenticação.

Para agregar custos por equipe ou centro de custo, você anexa tags aos usuários IAM:

aws iam tag-user \
  --user-name user-1 \
  --tags Key=team,Value="BedrockDataScience" Key=cost-center,Value="12345"

aws iam tag-user \
  --user-name user-2 \
  --tags Key=team,Value="BedrockDataScience" Key=cost-center,Value="12345"

No CUR 2.0, você verá a identidade individual do usuário, o modelo utilizado, os tokens processados e as tags associadas. Isso permite filtrar por usuário específico, comparar modelos, agrupar por equipe ou cruzar dimensões para análises como “quanto a equipe de data science gastou em tokens de entrada do Claude Sonnet este mês?”

Cenário 2: Rastreamento por aplicação com funções IAM

Adequado para cargas de trabalho em produção onde aplicações (não humanos) chamam o Amazon Bedrock, e você deseja rastrear custos por projeto ou serviço. Duas aplicações backend — um serviço de processamento de documentos e um serviço de chat — rodam em infraestrutura de computação (Amazon EC2, AWS Lambda, Amazon ECS) e cada uma assume uma função IAM dedicada.

Quando cada aplicação chama o Amazon Bedrock, a ARN da função assumida é capturada automaticamente e flui para o CUR 2.0. Você pode filtrar por função para ver o gasto total por aplicação ou por tipo de uso para comparar modelo utilizado entre serviços. Tags opcionais permitem agregar por projeto, centro de custo ou outra dimensão:

aws iam tag-role \
  --role-name Role-1 \
  --tags Key=project,Value="DocFlow" Key=cost-center,Value="12345"

aws iam tag-role \
  --role-name Role-2 \
  --tags Key=project,Value="ChatBackend" Key=cost-center,Value="12345"

Essa abordagem é ideal para arquiteturas de microsserviços onde cada serviço tem sua própria função IAM — uma prática de segurança recomendada que agora também funciona como mecanismo de atribuição de custos.

Cenário 3: Rastreamento de usuários com autenticação federada

Aplicável em ambientes corporativos onde usuários autenticam através de um provedor de identidade corporativo (Auth0, Okta, Azure AD, Amazon Cognito) e acessam AWS via OpenID Connect (OIDC) ou SAML (Segurança em Linguagem de Asserção de Marcação).

Nesse modelo, usuários autenticam no provedor de identidade e assumem uma função IAM compartilhada. A atribuição por usuário vem de dois mecanismos: o nome da sessão (identidade do usuário incorporada na ARN de função assumida) e tags de sessão (equipe, centro de custo, etc. passadas pelo provedor de identidade). Uma única função IAM serve múltiplos usuários, portanto não há necessidade de gerenciar recursos IAM por usuário.

Para federação OIDC (Auth0, Cognito, Okta OIDC): registre o provedor como provedor OIDC na IAM, crie uma função com política de confiança permitindo sts:AssumeRoleWithWebIdentity e sts:TagSession, e configure o provedor para injetar a declaração https://aws.amazon.com/tags no token de ID. O AWS STS extrai automaticamente as tags de sessão dessa declaração. A aplicação define --role-session-name com o email ou outro identificador do usuário ao chamar AssumeRoleWithWebIdentity.

Para federação SAML (Okta, Azure AD, Ping, ADFS): configure mapeamentos de atributo SAML no provedor para passar RoleSessionName (como email do usuário) e atributos PrincipalTag:* (equipe, centro de custo) na asserção. Ambos ficam criptograficamente assinados dentro da asserção, impedindo que usuários tamperem com sua própria atribuição de custos.

Cenário 4: Rastreamento de usuários através de gateway LLM

Para organizações que rodam um gateway ou proxy de linguagem grande (LiteLLM, gateway de API customizado, Kong, Envoy ou serviço próprio) entre usuários e o Amazon Bedrock. O problema: gateways autenticam usuários em sua própria camada e depois chamam o Amazon Bedrock usando uma única função IAM anexada ao gateway. Sem trabalho adicional, toda chamada ao Bedrock aparece no CUR 2.0 com uma única identidade, sem visibilidade por usuário ou tenant.

A solução é implementar gerenciamento de sessão por usuário. O gateway chama AssumeRole em uma função Bedrock-scoped para cada usuário, passando a identidade do usuário como --role-session-name e seus atributos (equipe, tenant, centro de custo) como --tags. As credenciais resultantes por usuário são cacheadas (válidas até 1 hora) e reutilizadas em requisições subsequentes do mesmo usuário.

Essa abordagem requer duas funções IAM: uma função de execução do gateway com permissões sts:AssumeRole e sts:TagSession, e uma função de invocação do Bedrock confiada pela função do gateway e restrita a APIs do Bedrock.

Considerações práticas de implementação:

• Cache de sessões: AssumeRole adiciona latência mínima. Com TTL de 1 hora, você chama STS uma vez por usuário por hora, não por requisição. O tamanho do cache cresce com usuários concorrentes, não usuários totais (500 concorrentes = ~500 sessões em cache).
• Limites: O limite padrão de STS é 500 chamadas AssumeRole por segundo por conta. Para gateways de alto throughput, você pode solicitar aumento.
• Tags imutáveis: Tags de sessão são imutáveis durante a sessão. Mudanças de tag têm efeito na próxima criação de sessão.

Começando: passo a passo

Independentemente do cenário, o fluxo de ativação é similar:

1. Identifique seu padrão de acesso: Desenvolvedores chamam o Bedrock diretamente com usuários IAM ou chaves de API (Cenário 1)? Aplicações usam funções IAM (Cenário 2)? Usuários autenticam através de provedor de identidade (Cenário 3)? Ou tráfego flui através de um gateway LLM (Cenário 4)?

2. Ative dados de principal IAM no CUR 2.0: Atualize sua configuração de exportação de dados para incluir dados de principal IAM.

3. Adicione tags (opcional): Anexe tags a usuários IAM, funções ou configure seu provedor de identidade para passar nome de sessão e tags. Depois, ative suas tags de alocação de custos no console AWS Billing ou via API UpdateCostAllocationTagsStatus. As tags aparecem no Cost Explorer e CUR 2.0 em 24–48 horas.

4. Analise: Filtre por equipe, agrupe por projeto ou combine dimensões para responder perguntas como “Quanto a equipe de engenharia gastou em Claude Sonnet este mês?” dentro de 24–48 horas após ativação.

Para mais orientação sobre estratégia de tags, consulte Melhores Práticas para Tagging de Recursos AWS.

Ativando tags no AWS Billing

Após aplicar tags, ative-as como tags de alocação de custos. Acesse o console AWS Billing, navegue até “Cost allocation tags” e ative suas tags de alocação de custos selecionando as tags desejadas. As tags aparecem em Cost Explorer dentro de 24–48 horas.

Disponibilidade e custos

O novo recurso de atribuição de custos para Amazon Bedrock está disponível agora em regiões comerciais sem custo adicional. O rastreamento funciona para chaves de API do Bedrock e em todos os modelos disponíveis através da plataforma.

Conclusão

Com os gastos em inferência de IA crescendo rapidamente, entender quem está gastando o quê é essencial para implementar modelos de cobrança interna, otimizar custos e planejar orçamentos com precisão. A atribuição granular de custos do Amazon Bedrock oferece visibilidade completa sem exigir recursos adicionais ou mudanças em workflows existentes, integrando-se perfeitamente ao AWS Billing, AWS Cost Explorer e relatórios de custo e uso. Seja você gerenciando equipes pequenas com usuários IAM individuais ou operando gateways LLM com centenas de usuários, a solução se adapta a cada arquitetura e oferece a granularidade necessária para decisões financeiras informadas.

Fonte

Introducing granular cost attribution for Amazon Bedrock (https://aws.amazon.com/blogs/machine-learning/introducing-granular-cost-attribution-for-amazon-bedrock/)

Gerenciamento centralizado de telemetria em múltiplas regiões

A AWS expandiu as capacidades do Amazon CloudWatch com um novo recurso voltado para organizações que operam em múltiplas regiões geográficas. Agora é possível auditar as configurações de telemetria e habilitar a coleta de dados de serviços como Amazon EC2 (máquinas virtuais), Amazon VPC (redes virtuais) e AWS CloudTrail (rastreamento de atividades) de forma centralizada, sem precisar configurar cada região isoladamente.

Essa funcionalidade é especialmente útil para equipes que gerenciam infraestrutura complexa distribuída globalmente. Em vez de replicar configurações manualmente em cada região, agora é possível estabelecer uma estratégia única de coleta de dados que se aplica de forma consistente em toda a organização.

Regras de habilitação: flexibilidade e consistência

Como funcionam as regras de habilitação

O novo recurso permite criar regras que automaticamente aplicam configurações de telemetria a regiões selecionadas ou a todas as regiões disponíveis. Essas regras oferecem dois níveis de escopo: é possível direcioná-las para regiões específicas ou configurá-las para funcionar globalmente em todas as regiões suportadas.

Um aspecto importante é que as regras configuradas para abranger todas as regiões se expandem automaticamente quando novas regiões são lançadas pela AWS. Isso significa que a configuração permanece consistente mesmo com a evolução da infraestrutura global.

Caso de uso: VPC Flow Logs em escala

Considere uma equipe de segurança centralizada em uma organização com múltiplas contas AWS espalhadas por várias regiões. Anteriormente, essa equipe precisaria criar regras de coleta de VPC Flow Logs (registros de tráfego de rede) separadamente em cada região. Agora, é possível criar uma única regra no nível da organização que habilita automaticamente a coleta de VPC Flow Logs em todas as VPCs, em todas as contas, em todas as regiões. Isso garante visibilidade completa sobre o tráfego de rede sem esforço manual repetitivo.

Disponibilidade e custos

O recurso de auditoria de telemetria entre regiões e as regras de habilitação estão disponíveis em todas as regiões comerciais AWS. A precificação segue o padrão do CloudWatch: você paga apenas pela ingestão dos dados de telemetria coletados.

Para explorar a documentação completa sobre como configurar e usar esse recurso, consulte a documentação do Amazon CloudWatch.

Fonte

Amazon CloudWatch now supports cross-region telemetry auditing and enablement rules (https://aws.amazon.com/about-aws/whats-new/2026/04/amazon-cloudwatch-cross-region-enablement-rules/)

Recuperação de Desastres na Nuvem Soberana Europeia

A AWS Elastic Disaster Recovery (AWS DRS) foi expandida para a Nuvem Soberana Europeia da AWS, abrindo novas possibilidades para organizações que precisam garantir a conformidade com requisitos de soberania de dados. Esse movimento torna possível que empresas européias com cargas de trabalho críticas implementem estratégias robustas de recuperação de desastres, mantendo seus dados dentro de regiões com exigências específicas de residência.

O anúncio representa um passo importante na evolução dos serviços de recuperação de desastres oferecidos pela AWS, reconhecendo as demandas crescentes por soluções que equilibrem proteção de dados com conformidade regulatória. Para organizações que lidam com informações sensíveis e precisam atender a legislações européias rigorosas, essa disponibilidade oferece uma alternativa viável na infraestrutura em nuvem.

Capacidades Principais do Serviço

O serviço de recuperação de desastres da AWS opera com alguns diferenciais técnicos importantes. Primeiramente, minimiza o tempo de inatividade e perda de dados através de recuperação rápida e confiável de aplicações tanto em infraestrutura local quanto baseada em nuvem. A solução utiliza armazenamento acessível, recursos computacionais mínimos e capacidade de recuperação pontual no tempo.

Os Objetivos de Ponto de Recuperação (RPOs) são medidos em segundos, enquanto os Objetivos de Tempo de Recuperação (RTOs) ficam tipicamente na faixa de minutos. Isso significa que as organizações podem esperar perdas de dados mínimas e períodos de indisponibilidade reduzidos em cenários de desastre.

Plataformas e Aplicações Suportadas

A capacidade de recuperação do AWS DRS abrange um espectro amplo de ambientes de infraestrutura. O serviço é capaz de recuperar aplicações provenientes de infraestrutura física, VMware vSphere, Microsoft Hyper-V e infraestruturas em nuvem. Essa flexibilidade permite que organizações com ambientes heterogêneos implementem uma estratégia unificada de recuperação.

O serviço utiliza um processo unificado para testes, recuperação e reversão para uma variedade extensa de aplicações. Isso inclui bancos de dados críticos como Oracle, MySQL e SQL Server, bem como aplicações empresariais como o SAP. Essa abrangência torna a solução adequada para ambientes corporativos complexos que dependem de múltiplas plataformas tecnológicas.

Disponibilidade e Próximos Passos

O AWS Elastic Disaster Recovery está disponível na Nuvem Soberana Europeia, especificamente na região da Alemanha. Para verificar a disponibilidade mais atualizada em outras regiões e contextos, recomenda-se consultar a lista de serviços regionais da AWS.

Organizações interessadas em conhecer mais detalhes sobre como implementar o AWS DRS podem acessar a página do produto ou consultar a documentação técnica para orientações de implementação e melhores práticas.

Fonte

AWS Elastic Disaster Recovery is now available in the AWS European Sovereign Cloud (https://aws.amazon.com/about-aws/whats-new/2026/04/drs-thf/)

Expansão do AWS Payment Cryptography para a América do Sul

A AWS anunciou a expansão global do AWS Payment Cryptography, que agora está disponível na região de São Paulo. Esta expansão é significativa para clientes na América do Sul que trabalham com aplicações de pagamento sensíveis à latência, permitindo que construam, implantem ou migrem seus sistemas para regiões adicionais da AWS sem necessidade de depender de suporte entre regiões.

O que é o AWS Payment Cryptography

O AWS Payment Cryptography é um serviço completamente gerenciado que simplifica operações criptográficas específicas de pagamento e o gerenciamento de chaves para aplicações de pagamento hospedadas na nuvem. Uma das principais vantagens do serviço é sua capacidade de escalar elasticamente conforme as necessidades do negócio crescem.

O serviço foi avaliado e certificado como em conformidade com os requisitos PCI PIN (Personal Identification Number) e PCI P2PE (Point-to-Point Encryption), eliminando completamente a necessidade de manter instâncias dedicadas de HSM (Módulo de Segurança de Hardware) em data centers locais.

Benefícios para Organizações de Pagamento

Organizações que executam funções de pagamento — incluindo adquirentes, facilitadores de pagamento, redes de pagamento, switches, processadores e instituições bancárias — agora podem posicionar suas operações criptográficas de pagamento mais próximas de suas aplicações. Isso reduz significativamente as dependências de data centers auxiliares que mantêm HSMs dedicados para pagamento.

Cobertura Global da AWS Payment Cryptography

Atualmente, o AWS Payment Cryptography está disponível em um alcance global impressionante: Canadá (Montreal), US Leste (Ohio, Virgínia do Norte), US Oeste (Oregon), Europa (Irlanda, Frankfurt, Londres, Paris), América do Sul (São Paulo), África (Cidade do Cabo) e Ásia Pacífico (Singapura, Tóquio, Osaka, Mumbai, Hyderabad).

Como Começar

Para começar a utilizar o serviço, você pode baixar o AWS CLI/SDK mais recente e consultar a documentação do AWS Payment Cryptography para obter mais informações sobre implementação e configuração.

Fonte

AWS Payment Cryptography now available in South America (São Paulo) (https://aws.amazon.com/about-aws/whats-new/2026/04/aws-payment-cryptography-south/)

Proteção Contra Ameaças Quânticas no Gerenciamento de Segredos

A AWS anunciou que o Secrets Manager agora oferece suporte a troca de chaves pós-quântica híbrida utilizando ML-KEM (Mecanismo de Encapsulamento de Chave Baseado em Módulos Lattice). Esse novo recurso fortalece as conexões TLS usadas para recuperar e gerenciar segredos, combinando a segurança criptográfica clássica com proteção contra ameaças futuras relacionadas à computação quântica.

Ativação Automática e Compatibilidade

O suporte a troca de chaves pós-quântica está automaticamente habilitado nas versões mais recentes dos principais componentes de integração:

• Secrets Manager Agent (versão 2.0.0+)
• AWS Lambda Extension (versão 19+)
• Secrets Manager CSI Driver (versão 2.0.0+)

Para clientes que utilizam bibliotecas de cliente baseadas em SDKs, a troca de chaves pós-quântica está disponível nos seguintes ambientes: Rust, Go, Node.js, Kotlin, Python (com OpenSSL 3.5+) e Java v2 (v2.35.11+).

Proteção Contra Ataques “Harvest Now, Decrypt Later”

As aplicações agora recuperam segredos por meio de conexões TLS que combinam troca de chaves clássica com criptografia pós-quântica. Isso oferece proteção simultânea contra dois cenários de segurança: ataques criptográficos tradicionais e ameaças futuras conhecidas como “harvest now, decrypt later” (HNDL), em que adversários capturam dados criptografados hoje para descriptografá-los após o desenvolvimento de computadores quânticos.

Implementação Sem Mudanças de Código

Um dos diferenciais dessa implementação é a simplicidade de adoção. Para clientes utilizando as versões mais recentes dos componentes de integração, nenhuma alteração de código, atualização de configuração ou esforço de migração são necessários — com exceção de clientes Java v2.

Um exemplo prático: um microsserviço que requer múltiplos segredos durante inicialização agora pode recuperá-los por conexões TLS resistentes a ataques quânticos simplesmente atualizando para a versão mais recente do Secrets Manager Agent.

Verificação e Monitoramento

É possível confirmar que a troca de chaves pós-quântica híbrida está ativa consultando os registros do CloudTrail. Basta verificar a presença do algoritmo de troca de chaves “X25519MLKEM768” no campo tlsDetails das chamadas da API GetSecretValue.

Disponibilidade Regional

A troca de chaves pós-quântica híbrida usando ML-KEM para o Secrets Manager está disponível em todas as regiões da AWS onde o serviço é oferecido.

Próximos Passos

Para aprofundar o conhecimento técnico, é recomendado consultar a documentação do AWS Secrets Manager e a página de migração para criptografia pós-quântica da AWS, que oferecem guias detalhados sobre a implementação e as melhores práticas.

Fonte

AWS Secrets Manager now supports hybrid post-quantum TLS to protect secrets from quantum threats (https://aws.amazon.com/about-aws/whats-new/2026/04/aws-secrets-manager-post-quantum-tls/)