Boas-vindas às Carreiras da Alura!
As **carreiras são um novo modelo de aprendizado estruturado em nossa plataforma para transformar a jornada de aprendizagem em um roteiro profissional claro e alinhado às demandas reais do mercado de trabalho.
Os conteúdos são organizados em níveis progressivos de profundidade, partindo de uma base sólida até desafios práticos complexos. Cada etapa concluída representa uma evolução real nas suas competências e prepara você para as exigências atuais das empresas.
Preparamos um artigo que detalha a estrutura dos níveis e os novos certificados cumulativos. Ele serve também como um guia para navegar pelo ecossistema da plataforma, explorando recursos essenciais como os checkpoints de autoavaliação, a assistente de IA Luri e **as comunidades de interação. **
A leitura é indispensável para quem deseja otimizar a rotina de estudos com técnicas de produtividade sugeridas e entender com profundidade todos os recursos disponíveis nas Carreiras Alura.
Boa leitura e bons estudos!
Hoje, iniciamos nosso curso na área de Segurança, abordando Fundamentos e Segurança da Informação. Este curso tratará dos principais fundamentos, e esperamos que todos apreciem o conteúdo que preparamos.
Antes de prosseguir, vamos nos apresentar. Meu nome é Michelle Mesquita, sou formada em Engenharia de Computação, com mestrado em Engenharia Biomédica, MBA em Cybersegurança, e especializações em Arquitetura e Cloud Security. Atualmente, atuo na área de DevSecOps. Minha trajetória na TI começou no Desenvolvimento de Software, focando em Automação e Desenvolvimento de Aplicações Web, e posteriormente migrei para a área de Segurança. Essa transição ocorreu ao perceber a oportunidade de integrar conhecimentos adquiridos na faculdade, especialmente em Redes, Sistemas Operacionais e Programação, com a Segurança Ofensiva. Segurança Ofensiva refere-se a testar aplicações antes de serem lançadas ao público, garantindo que estejam protegidas contra vulnerabilidades.
Com o tempo, percebi a possibilidade de unir meu histórico em desenvolvimento com a Segurança Ofensiva, culminando na área de Application Security DevSecOps. Nesta área, atuamos com segurança defensiva, auxiliando arquitetos e desenvolvedores a compreender e aplicar conceitos de segurança, com o objetivo de proteger nossas aplicações. É uma área que me fascina, e espero que todos apreciem o curso.
É importante mencionar que, embora o desenvolvimento possa parecer desafiador, não é motivo de preocupação. Recomendo explorar a cultura maker, que envolve entender o funcionamento de microcontroladores como o Arduino. Com ele, podemos programar e observar sensores em ação, como LEDs ou sensores de temperatura, facilitando a compreensão da lógica de programação.
Agora que nos apresentamos, vamos iniciar nossa aula sobre pilares, segurança e informação. Quando pensamos em pilares, frequentemente ouvimos sobre CIA, que se refere à integridade, disponibilidade e confiabilidade dos dados em nossas aplicações. A quebra de qualquer um desses fatores pode resultar em vulnerabilidades. A segurança visa proteger nossos dados, pois a informação é um ativo valioso para as empresas. A perda de dados, como em um vazamento, pode resultar em prejuízos financeiros.
É crucial entender como proteger essas informações, que são valiosas tanto para empresas quanto para indivíduos. A informação pode ser escrita, digital, armazenada ou até mesmo uma conversa. O dado, como parte essencial da informação, é um ativo que agrega valor à organização. Hoje, dados são fundamentais e podem causar danos quando expostos publicamente.
Um ponto interessante é como os dados estão expostos na internet. Em 2022, em apenas 60 segundos, 29 milhões de mensagens foram enviadas pelo WhatsApp e 500 horas de vídeos foram carregadas no YouTube. Isso demonstra a quantidade de informação trafegada online e a necessidade de proteger esses dados.
Devemos ter controles de segurança para evitar vazamentos e garantir que serviços, como redes sociais ou o Google, não sofram ataques de negação de serviço. Após a pandemia, o uso da internet aumentou, exigindo medidas para proteger informações e garantir sua disponibilidade.
Outro ponto importante é o equilíbrio entre segurança, usabilidade e funcionalidade. Funcionalidade refere-se às operações de uma aplicação, como um e-commerce, que permite compras, edições e checkouts. Usabilidade é a facilidade com que o usuário interage com a aplicação, como visualizar produtos por categoria. Segurança, muitas vezes vista como um obstáculo, é essencial para evitar impactos financeiros. É necessário equilibrar funcionalidade, usabilidade e segurança, como no caso de uma tela de login, onde é preciso decidir como armazenar informações e se utilizar autenticação multifator.
A usabilidade é um ponto crucial, pois pode ser mais fácil utilizar uma tela já existente do que criar uma própria, além de garantir segurança. Com mais de um fator de autenticação, a pessoa usuária pode se identificar e acessar o ambiente de forma segura. Após o login, é importante não deixar a sessão ativa por muito tempo. Para isso, utilizamos um refresh token para manter a sessão sem precisar refazer o login. É necessário definir o tempo de sessão, pois, se outra pessoa acessar o computador ou capturar a sessão, poderá se autenticar indevidamente.
Esses cenários destacam a importância de integrar a segurança desde o desenvolvimento da aplicação, equilibrando segurança e usabilidade. Focar apenas em segurança pode afastar usuários devido à complexidade. A segurança deve ser uma aliada, não um obstáculo à experiência do usuário. Durante o curso, é importante entender esse equilíbrio, especialmente para quem está ingressando na área de segurança. A segurança deve facilitar, não dificultar, a vida de quem desenvolve ou utiliza o sistema.
Os pilares da segurança da informação incluem confidencialidade, integridade e disponibilidade. Confidencialidade garante acesso restrito à informação; integridade assegura que os dados não foram alterados; e disponibilidade garante acesso à informação quando necessário. Perder esses princípios pode resultar em vulnerabilidades.
A cibersegurança, parte da segurança da informação, foca na proteção de redes e internet. Nos anos 60 e 70, a segurança era física, com trancas e cadeados. Nos anos 80 e 90, com a internet, surgiu a preocupação com arquivos maliciosos, levando ao uso de antivírus e firewalls para proteger contra sites perigosos.
Nos anos 2000, políticas de cibersegurança foram implementadas, especialmente em ambientes empresariais, com normas como a ISO 27001 para evitar perdas financeiras e vazamento de dados. Na década de 2010, surgiram novas camadas de segurança, como Cloud Security, para provedores como AWS, GCP e Azure. O conceito de BYOD (Bring Your Own Device) trouxe a necessidade de proteger dispositivos pessoais usados no trabalho, com políticas e camadas de proteção, como firewalls, proxies e aplicativos para segmentar ambientes.
O DevSecOps integra segurança ao desenvolvimento e operação de software, garantindo segurança em todas as etapas, desde a análise de código até a produção. O conceito de Zero Trust promove privilégios mínimos para usuários, evitando acessos excessivos. A LGPD protege dados sensíveis no Brasil, semelhante à legislação europeia.
Nos últimos anos, a inteligência artificial (IA) tornou-se mais acessível, exigindo cuidados com segurança para evitar vazamento de dados e execução de comandos indevidos. Isso aumentou as camadas de proteção e ataque em aplicações.
Essa evolução tecnológica e complexidade requerem proteção contínua. Esperamos que tenham gostado e nos vemos na próxima aula. Obrigado!
Olá, pessoal. Vamos continuar nossa aula discutindo sobre confidencialidade. A confidencialidade refere-se à situação em que apenas pessoas autorizadas podem acessar determinadas informações ou dados. Isso significa que o acesso é restrito a indivíduos que possuem permissão, geralmente obtida por meio de um login, para visualizar certos recursos em um ambiente.
A importância da confidencialidade é evidente em ambientes como bancos. Por exemplo, ao acessar sua conta bancária, é necessário fornecer informações como agência, conta e senha, além de um token em algumas situações, para realizar transações. Somente após fornecer esses dados é possível acessar informações como o saldo da conta. Se outra pessoa pudesse visualizar esses dados, como o saldo da sua conta, isso representaria um grave problema de confidencialidade. Isso ocorre porque, mesmo com a inserção de dados corretos, alguém poderia tentar acessar informações indevidamente, utilizando métodos como alteração de URLs, o que comprometeria a confidencialidade.
A confidencialidade é crucial para garantir que apenas pessoas autorizadas possam acessar informações específicas, evitando a exposição indevida de dados. Um problema relacionado é a personificação de usuários, onde alguém poderia se passar por outra pessoa para obter informações. Portanto, é essencial garantir que apenas indivíduos autorizados tenham acesso a essas informações.
Para garantir a confidencialidade, podemos utilizar métodos como autenticação em computadores. Por exemplo, ao acessar o Gmail em uma janela anônima, é necessário inserir o e-mail e a senha para visualizar informações pessoais, como e-mails que podem conter dados confidenciais. A identificação do usuário é a primeira etapa para garantir que apenas a pessoa autorizada possa acessar essas informações. Geralmente, um perfil está associado ao usuário para permitir o acesso.
Quando ocorre uma quebra de confidencialidade, podem surgir problemas relacionados à engenharia social. A exposição excessiva de dados pode permitir que outras pessoas descubram senhas ou acessem URLs sem autorização robusta. A quebra de confidencialidade pode resultar na obtenção de dados de uma pessoa, permitindo que alguém se passe por ela. Por isso, é importante proteger nossos dados, aumentando a complexidade das senhas e utilizando múltiplos fatores de autenticação para evitar que a engenharia social descubra senhas.
Podemos utilizar autenticadores em dispositivos móveis para implementar múltiplos fatores de autenticação. Isso inclui biometria ou reconhecimento facial, que garantem que a pessoa que acessa a conta é realmente quem diz ser. Além disso, o uso de tokens temporários, como os fornecidos por aplicativos de autenticação do Google ou Microsoft, é recomendado para garantir a segurança.
Agora, vamos abordar a questão da integridade. Integridade refere-se à capacidade de manter os dados completos e sem alterações. Um problema de vulnerabilidade ocorre quando alguém consegue modificar informações ou dados, como em um banco de dados. Por exemplo, se uma senha for alterada, o hash dessa senha também será modificado, comprometendo a integridade dos dados.
Em um banco de dados, é comum armazenarmos informações como o usuário e a senha de uma pessoa para que ela possa acessar uma aplicação. A forma ideal de guardar a senha não é em texto simples, mas sim utilizando um hash. Um hash é um algoritmo que converte a senha em um formato que não pode ser revertido ao original. Comparamos o valor armazenado no banco com o que a pessoa forneceu. Se ambos os hashes coincidirem, o acesso é permitido.
Se alguém conseguir alterar diretamente o banco de dados, poderá modificar o hash da senha, gerar um novo hash e tentar se autenticar com essa nova senha. Por isso, é crucial garantir a integridade dos dados, evitando que alguém possa alterá-los e, assim, falsificar documentos ou acessar informações indevidamente.
Na prática, podemos verificar a integridade de arquivos, como uma ISO do Linux, utilizando o SHA-SAN. Ao baixar uma ISO, como a do Ubuntu, podemos usar o terminal para calcular o SHA-SAN e compará-lo com o valor fornecido pelo distribuidor. Se os valores coincidirem, podemos garantir que o arquivo não foi alterado e é seguro para instalação. Esse procedimento pode ser realizado em sistemas Linux, Windows e Mac.
Para verificar a integridade de um arquivo ISO, como o do Ubuntu, primeiro navegamos até o diretório onde o arquivo está localizado. Podemos fazer isso com o seguinte comando:
cd Downloads
Depois de estar no diretório correto, utilizamos o comando shasum para calcular o hash SHA-256 do arquivo ISO:
shasum -a 256 ubuntu-24.10-desktop-amd64.iso
Se o hash calculado coincidir com o valor fornecido pelo distribuidor, podemos garantir que o arquivo não foi alterado e é seguro para instalação.
Outra forma de garantir a integridade é através de serviços como o DocSign, que asseguram que o dado é autêntico e não foi alterado, utilizando assinaturas digitais.
A disponibilidade refere-se à capacidade de acessar informações quando autorizado. Quando um serviço não está disponível, podemos enfrentar problemas como negação de serviço, onde múltiplas requisições impedem o acesso ao serviço. Para mitigar isso, utilizamos réplicas de servidores e balanceadores de carga, distribuindo as requisições entre vários servidores.
Os principais pilares da segurança da informação são a confidencialidade, integridade e disponibilidade (CIA). Utilizamos métodos como MFA (autenticação multifator) para garantir que apenas pessoas autorizadas tenham acesso às informações. O mascaramento de dados, como asteriscos em senhas, protege a confidencialidade. A integridade é mantida através de hashes e logs, enquanto a disponibilidade é assegurada por redundância e balanceamento de carga.
Esperamos que tenham gostado da aula. Até a próxima!
O curso Cibersegurança: Fundamentos e práticas integradas possui 216 minutos de vídeos, em um total de 47 atividades. Gostou? Conheça nossos outros cursos de Segurança em DevOps, ou leia nossos artigos de DevOps.
Matricule-se e comece a estudar com a gente hoje! Conheça outros tópicos abordados durante o curso:
Impulsione a sua carreira com os melhores cursos e faça parte da maior comunidade tech.
1 ano de Alura
Matricule-se no plano PLUS e garanta:
Jornada de estudos progressiva que te guia desde os fundamentos até a atuação prática. Você acompanha sua evolução, entende os próximos passos e se aprofunda nos conteúdos com quem é referência no mercado.
Mobile, Programação, Front-end, DevOps, UX & Design, Marketing Digital, Data Science, Inovação & Gestão, Inteligência Artificial
Formações com mais de 1500 cursos atualizados e novos lançamentos semanais, em Programação, Inteligência Artificial, Front-end, UX & Design, Data Science, Mobile, DevOps e Inovação & Gestão.
A cada curso ou formação concluído, um novo certificado para turbinar seu currículo e LinkedIn.
No Discord, você participa de eventos exclusivos, pode tirar dúvidas em estudos colaborativos e ainda conta com mentorias em grupo com especialistas de diversas áreas.
Faça parte da maior comunidade Dev do país e crie conexões com mais de 120 mil pessoas no Discord.
Acesso ilimitado ao catálogo de Imersões da Alura para praticar conhecimentos em diferentes áreas.
Explore um universo de possibilidades na palma da sua mão. Baixe as aulas para assistir offline, onde e quando quiser.
Acelere o seu aprendizado com a IA da Alura e prepare-se para o mercado internacional.
1 ano de Alura
Todos os benefícios do PLUS e mais vantagens exclusivas:
Luri é nossa inteligência artificial que tira dúvidas, dá exemplos práticos, corrige exercícios e ajuda a mergulhar ainda mais durante as aulas. Você pode conversar com a Luri até 100 mensagens por semana.
Aprenda um novo idioma e expanda seus horizontes profissionais. Cursos de Inglês, Espanhol e Inglês para Devs, 100% focado em tecnologia.
Para estudantes ultra comprometidos atingirem seu objetivo mais rápido.
1 ano de Alura
Todos os benefícios do PRO e mais vantagens exclusivas:
Mensagens ilimitadas para estudar com a Luri, a IA da Alura, disponível 24hs para tirar suas dúvidas, dar exemplos práticos, corrigir exercícios e impulsionar seus estudos.
Envie imagens para a Luri e ela te ajuda a solucionar problemas, identificar erros, esclarecer gráficos, analisar design e muito mais.
Escolha os ebooks da Casa do Código, a editora da Alura, que apoiarão a sua jornada de aprendizado para sempre.
Conecte-se ao mercado com mentoria individual personalizada, vagas exclusivas e networking estratégico que impulsionam sua carreira tech para o próximo nível.
