“É preciso acertar com o essencial. O resto é a proverbial cereja no topo do bolo”

Com mais de 20 anos na Amazon e desde 2017 na equipa de identidade da AWS, Karen Haberkorn tem uma perspetiva única sobre a evolução da segurança da identidade na cloud. Durante o AWS Re:Inforce 2025, a IT Security entrevistou Hakerorn sobre os principais desafios que as organizações enfrentam na gestão de identidade e as estratégias que podem adotar para se manterem seguras. A IT Security viajou até Filadélfia, nos Estados Unidos, a convite da AWS.

Erros na migração

“Sou super apaixonada por segurança por design e segurança por defeito”, começa por partilhar Haberkorn. Questionada sobre os erros mais críticos que vê nas migrações para a cloud, neste caso específico para AWS, a Diretora de Gestão de Produto da AWS Identity prefere fazer a pergunta ao contrário: “como é que prevenimos que as pessoas cometam erros?”

A resposta da AWS tem sido implementar controlos de segurança obrigatórios. O exemplo mais significativo é a autenticação multifator (MFA) para credenciais root. “Começámos a impor, a exigir MFA para as credenciais mais poderosas numa conta – as credenciais root – porque anteriormente os clientes nem sempre colocavam MFA nestas credenciais”, deixando o seu ambiente exposto.

Esta mudança não foi, no entanto, fácil de implementar. “Na verdade, esta foi uma mudança muito debatida. Passámos de uma postura de ‘a escolha é do cliente usar ou não o controlo de segurança’ para esta postura mais opinativa onde dissemos ‘não, devemos fazer isto. Devemos insistir e exigir a configuração’” da autenticação multifator nas credenciais mais importantes. Desde o início do ano, partilha Haberkorn, “temos 100% das contas AWS obrigadas a ter MFA para iniciar sessão com as credenciais mais poderosas”.

Filosofia de segurança por defeito

A abordagem da AWS tem evoluído significativamente ao longo dos anos e Haberkorn explica esta mudança de mentalidade: “Temos mais de 300 serviços e isso não é por acaso. É porque é possível montar tantos serviços diferentes numa determinada solução. Creio que, durante algum tempo, isso nos impediu de pensar que fazia sentido sermos opinativos”, diz.

O exemplo mais claro desta evolução são os buckets S3. “A pior coisa que podia acontecer se fosses um cliente AWS seria ter, sem intenção, os teus dados definidos para acesso público”. A solução, no entanto, foi simples: “mudámos a nossa abordagem e definimos os buckets S3 para que, por defeito, nenhum dado pudesse ser público”.

Esta filosofia estendeu-se a outros serviços, como por exemplo no DynamoDB; quando o serviço lançou um novo mecanismo de partilha, “não só desligámos o acesso público por defeito, como na verdade tornámos impossível ligá-lo. Não conseguimos encontrar nenhum cliente que nos desse um exemplo de porque é que algo no DynamoDB precisava de ter acesso público”.

IA e gestão de identidade

Contrariamente ao que podia ser de esperar, Haberkorn revela que a Inteligência Artificial (IA) não trouxe novos desafios no que à gestão de identidade diz respeito: “é uma resposta aborrecida, mas não estamos a ver uma tonelada de novos desafios. Estamos a ver padrões que vimos no passado”.

Os agentes de IA são tratados como cargas de trabalho e, como tal, “não são assim tão diferentes de um processo automatizado, como um trabalho automatizado que se possa ter tido muitos anos antes da IA ser algo, no sentido de que precisa de uma identidade”.

No entanto, diz, há uma diferença crucial: “é mais importante do que nunca pensar sobre privilégio mínimo com os agentes de IA e a razão pela qual digo isto é porque as pessoas, se lhes deres demasiadas permissões, são curiosas o suficiente para ver o que têm”.

“Os agentes de IA vão simplesmente aprender a usar o que lhes derem, quer as pessoas tenham intenção disso ou não. Por isso, se não as organizações não forem cuidadosas sobre que permissões permitiram ter, é possível descobrir que estão a tomar ações além da intenção”, explica.

Fazer o básico

Haberkorn partilhou o que considera ser o conselho mais importante: “penso que os diretores de segurança compreendem, mas simplesmente não se devem esquecer de fazer as coisas mais simples, mais básicas”.

A diretora da AWS acrescenta, ainda, que “é muito valioso livrarem-se das credenciais de longo prazo, para que não se tenham de preocupar em as proteger e rodá-las, e utilizar credenciais de curto prazo”. A mensagem final é clara: “é preciso acertar com o essencial. O resto é a proverbial cereja no topo do bolo”.