Untitled Publication

AWS Cloud Adoption Framework

Allan Diego — Mon, 22 Dec 2025 17:43:02 GMT

Neste artigo vamos abordar o Cloud Adoption Framework (CAF) que a AWS disponibiliza para aderir a nuvem em empresas on-promises, nele será abordado os 6 pilares em que o CAF é composto.

O que é?

O Cloud Adoption Framework (CAF) é um framework de boas práticas criado pela AWS com o objetivo de orientar empresas que pretendem migrar para a nuvem AWS. Ele é dividido em seis perspectivas: Governança, Negócios, Pessoas, Plataforma, Segurança e Operações. A seguir, cada uma dessas perspectivas será abordada, destacando suas principais características, a fim de fornecer uma visão macro que auxilie na preparação para o exame CLF-C02.

Governança

A perspectiva de Governança garante que a adoração da AWS aconteça de forma controlada, segura, em conformidade e financeiramente viável.

Características principais:

Controlar riscos;
Garantir compliance;
Evitar custos fora de controle;
Definir regras claras para uso da nuvem.

Principais áreas da governança:

Área	Descrição	Exemplo	Ferramentas
Gestão financeira	Controle e previsibilidade de custos	Criar alertas quando o gasto mensal ultrapassar o orçamento	AWS Budgets, Cost Explorer, Cost & Usage Report, Billing Dashboard, Tags de custo
Gerenciamento de riscos	Identificação e mitigação de riscos organizacionais	Impedir criação de recursos fora de padrões definidos	AWS organizations, Service Control Policies (SCPs), AWS control tower
Conformidade (Compliance)	Atendimento a leis e normas	Consultar relatórios de conformidade (ISO, SOC, PCI)	AWS Artifact, AWS Config, AWS Audit Manager
Políticas e Controles	Regras de uso da nuvem	Restringir serviços disponíveis para determinadas contas	IAM, SCPs, AWS Organizations
Accountability & Decisão	Responsabilidade e aprovação de uso	Definir quem pode criar recursos e quem paga por eles	IAM, AWS Organizations, Tags

Principais stackholders:

Stackholder	Papel na governança
Executivos (C-Level)	Definem estratégia, orçamento e apetite a risco
Finanças / Controladoria	Controle de custos, orçamento e previsibilidade financeira
Jurídico / Compliance	Garantir aderência a leis, normas e regulações
Gestores de TI / Liderança Técnica	Definir padrões técnicos e políticas de uso
Segurança da Informação	Apoiar políticas de risco e conformidade
Auditoria (interna/externa)	Verificar se regras e controles estão sendo seguidos
Product Owners / Negócio	Priorizar demandas respeitando orçamento e regras

Negócios

A perspectiva de negócios garante que a adoção da nuvem esteja alinhada aos objetivos estratégicos da empresa, focando em valor, resultados e retorno sobre investimento (ROI).

Características principais:

Foco em valor para o negócio;
Alinhamento com a estratégia da empresa;
Análise de custo-benefício (TCO e ROI);
Justificativa do investimento (Business case);
Agilidade e Inovação.

Principais áreas da Perspectiva de Negócios:

Área	Descrição	Exemplo	Ferramentas
Business Value	Valor gerado pela nuvem	Comparar custo on-promises vs AWS	TCO Calculator, AWS Pricing Calculator
Busines Case	Justifica da migração	Aprovar projeto de migração	TCO, ROI, estudos de viabilidade
Financial Management	Impacto financeiro no negócio	Entender Economia gerada	Cost Explorer
Strategic Alignment	Alinhamento com estratégia	Mirgrar para escalar o negócio	CAF + Well-Architected
Innovation Enablement	Inovação e Agilidade	Criar novos produtos mais rápido	Serviços gerenciados, serverless

Principais stackholders

Stakeholder	Papel principal
Executivos / Diretoria	Definir estratégia e aprovar investimentos
Gestores de Negócio	Alinhar objetivos de negócio com a nuvem
Product Owner / Product Manager	Priorizar iniciativas com base em valor
Financeiro	Avaliar custos, ROI e TCO
Marketing / Comercial	Direcionar demandas focadas em crescimento e clientes

Pessoas

A perspectiva de Pessoas garante que a organização tenha as habilidades, pepéis e cultura certos para adorar e operar a nuvem com sucesso.

Características principais:

Capacitação e treinamento em nuvem
Definição de papéis e responsabilidades
Mudança cultural e mindset ágil
Gestão de talentos e evolução de carreira
Colaboração entre times

Principais áreas da Perspectiva de Pessoas:

Área	O que trata
Capacitação e Treinamento	Desenvolvimento de habilidades em nuvem
Papéis e Responsabilidades	Definição clara de funções e ownership
Gestão de Talentos	Evolução de carreira e retenção
Mudança Cultural	Adoção de mindset ágil e colaborativo
Colaboração e Comunicação	Integração entre times de negócio e TI

Principais stackholders:

Stakeholder	Papel principal
RH / People Ops	Planejar capacitação, carreira e mudança cultural
Liderança Técnica	Definir competências técnicas e boas práticas
Gestores de Equipe	Acompanhar desenvolvimento e performance
Times de TI e Desenvolvimento	Aplicar habilidades de nuvem no dia a dia
Treinamento / Enablement	Oferecer cursos, workshops e certificações

Plataforma

A perspectiva de plataforma trata de como a infraestrutura e os serviços da AWS são projetados, construídos e gerenciados para suportar as aplicações na nuvem.

Principais características:

Base técnica padronizada na nuvem;
Uso de serviços de computação, rede e armazenamento;
Alta disponibilidade e escalabilidade;
Provisionamento automatizado de infraestrutura;
Suporte às aplicações e cargas de trabalho.

Principais áreas da Perspectiva de Plataforma:

Área	Descrição	Exemplo	Ferramentas AWS
Arquitetura de Infraestrutura	Design da base técnica na nuvem	Definir ambientes de produção e teste	AWS Well-Architected, AWS Organizations
Provisionamento de Recursos	Criação e gestão de recursos	Criar infraestrutura de forma padronizada	AWS CloudFormation, AWS CDK
Redes e Conectividade	Comunicação entre serviços e redes	Criar VPCs, subnets e rotas	Amazon VPC, Route Tables, Security Groups
Computação	Execução das aplicações	Rodar APIs e serviços	Amazon EC2, AWS Lambda, Amazon ECS
Armazenamento e Bancos de Dados	Persistência de dados	Armazenar arquivos e dados	Amazon S3, Amazon RDS, Amazon DynamoDB

Principais stackholders:

Stakeholder	Papel principal
Arquitetos de Solução	Definir a arquitetura técnica na AWS
Engenheiros de Infraestrutura / Cloud	Implementar e manter a infraestrutura
Times de Desenvolvimento	Consumir e integrar serviços da plataforma
DevOps / Platform Engineering	Automatizar provisionamento e deploy
Liderança Técnica	Definir padrões e boas práticas técnicas

Segurança

A perspectiva de Segurança garante que os dados, sistemas e aplicações estejam protegidos contra acesso não autorizados, ameaças e vazamentos, respeitando o modelo de responsabilidade compartilhada.

Principais características:

Controle de identidade e acesso (IAM);
Proteção e criptografia de dados;
Segurança de rede e infraestrutura;
Monitoramento e detecção de ameaças;
Resposta a incidentes de segurança.

Principais áreas da Perspectiva de Segurança:

Área	Descrição	Exemplo	Ferramentas AWS
Identidade e Acesso	Controle de quem pode acessar recursos	Criar permissões por função	AWS IAM, IAM Roles
Proteção de Dados	Criptografia e proteção de informações	Criptografar dados em repouso	AWS KMS, Amazon S3 Encryption
Segurança de Rede	Proteção da infraestrutura de rede	Restringir tráfego de rede	Security Groups, NACLs
Detecção e Monitoramento	Identificação de atividades suspeitas	Detectar comportamento anômalo	Amazon GuardDuty, AWS CloudTrail
Resposta a Incidentes	Ações para conter e corrigir incidentes	Isolar recurso comprometido	AWS Shield, AWS WAF

Principais stackholders:

Stakeholder	Papel principal
CISO / Chief Security Officer	Definir estratégia e políticas de segurança
Equipe de Segurança da Informação	Implementar controles e monitoramento
Engenheiros de Rede / Infraestrutura	Proteger redes e infraestrutura
Equipe de Compliance	Garantir aderência a normas e regulamentações
DevOps / SRE	Aplicar práticas de segurança em pipelines e deploys

Operações

A perspectiva de operações garante que os serviços e aplicações na nuvem sejam executados de forma confiável, eficiente e monitorada, mantendo a continuidade do negócio.

Principais características:

Monitoramento e métricas de desempenho;
Automação de tarefas operacionais;
Gerenciamento de incidentes e continuidade;
Gerenciamento de configuração;
Suporte à evolução e escalabilidade de sistemas.

Principais áreas da perspectiva de Operações:

Área	Descrição	Exemplo	Ferramentas AWS
Monitoramento e Observabilidade	Acompanhar saúde e desempenho dos sistemas	Monitorar CPU, erros e latência	Amazon CloudWatch, AWS X-Ray
Gerenciamento de Incidentes	Detectar e resolver falhas rapidamente	Responder a indisponibilidade de serviço	Amazon CloudWatch Alarms, AWS Systems Manager
Automação Operacional	Automatizar tarefas repetitivas	Automatizar correções e rotinas	AWS Systems Manager, AWS Lambda
Gerenciamento de Configuração	Manter ambientes padronizados	Aplicar configurações consistentes	AWS Config, AWS Systems Manager
Continuidade e Recuperação	Garantir disponibilidade e recuperação	Recuperar sistema após falha	Amazon Backup, AWS Elastic Disaster Recovery

Principais stackholders:

Stakeholder	Papel principal
Equipe de Operações / NOC	Monitorar sistemas e responder a incidentes
SRE / DevOps	Automatizar operações e garantir confiabilidade
Engenheiros de Infraestrutura	Manter ambientes estáveis e disponíveis
Suporte Técnico	Atender e escalar incidentes
Gestores de TI	Garantir continuidade do serviço

Conclusão

Este artigo trouxe uma visão clara do que é o CAF, como usa-lo e quem são os envolvidos durante o processo.

Well-Architected Framework

Allan Diego — Mon, 08 Dec 2025 23:34:01 GMT

O Well-Architected Framework é um conjunto de boas práticas recomendadas pela a AWS para criar e projetar arquiteturas que contenham excelência operacional, segurança, confiabilidade, eficiência de performace, otimização de custos e sustentabilidade. Este framework é utilizado depois que a empresa já passou pelo o processo de adoção da nuvem na empresa, ou seja, já foi definido que vão utilizar os serviços AWS, agora basta usar das melhores práticas para fazer essa implementação da maneira mais correta possível. Neste artigo, será apresentado os 6 pilares do Well-Architected de maneira resumida como forma de conhecimento para o exame CLF-C02.

Excelência operacional

A excelência operacional define como operar, monitorar, automatizar e melhorar uma aplicação depois que está em produção. De modo geral, este pilar foca em garantir que as operações do sistema seja organizada, observável, automatizada e capaz de lidar com problemas sem causar impacto grande no negócio.

Operar

Está parte serve para garantir que uma aplicação continue saudável e estável. Operar a sua aplicação inclui também todo o conceito de monitorar, automatizar, detectar problemas, fazer deploys seguros e previsíveis, responder a incidentes e gerenciar mudanças com segurança. Ou seja, de modo geral é tudo que você faz na excelência operacional para manter a sua aplicação em pé.

Monitorar

O monitoramento dentro da excelência operacional ajuda a entender tudo que está acontecendo dentro de uma aplicação. É nesta etapa que será coletado os logs, métricas e traces para entender o comportamento do sistema, identificar gargalos, acompanhar desempenho e perceber qualquer problema antes do usuário.

Automatizar

A automação é tirar o trabalho manual da operação. É substituir tarefas repetitivas e demoradas por processos automáticos. Isto inclui backups, rotinas de limpeza, escalonamento automático, correções automáticas, patching, verificações de saúde e várias outras atividades.

Melhorar uma aplicação depois que está em produção

Está etapa é melhorar a aplicação depois que ela está em produção e analisar o que aconteceu, aprender com problemas e ajudar a operação para deixar tudo mais fluído no momento de fazer atualizações.

Segurança

A segurança garante que uma aplicação, os dados e o acesso estejam protegidos contra o uso indevido, ataques e erros humanos sem atrapalhar o funcionamento do sistema. Este pilar funciona em torno de seis bases:

Fundamentos	Significado	Exemplo
Fundamentos de Identidade e acesso	Controla quem pode fazer o quê na AWS	IAM Roles e Policies, MFA, IAM Identity Center, acesso mínimo necessário (least privilege)
Rastreabilidade	Registrar atividades, eventos e tudo o que acontece no ambiente	CloudTrail, AWS Config, Cloud Watch Logs, Event Bridge para alertas
Proteção de infraestrutura	Protege a camada de rede e os recursos que rodam nela	Security Groups, NACLs, VPC, AWS Shield, WAF e segmentação de rede.
Proteção de Dados	Garantir privacidade, integridade e disponibilidade dos dados	KMS para criptografia, Secrets Manager, S3 Encryption, RDS snapshots
Gerenciamento de Incidentes	Preparar, Detectar e responder rapidamente a incidentes de segurança	Playbooks, AWS GuardDuty, Security Hub, automações de resposta com Lambda
Melhoria contínua	Revisar e evoluir constantemente as práticas de segurança	Auditorias periódicas, simulações com o IAM Access Analyzer e atualizações.

Confiabilidade

A confiabilidade garante que o sistema funcione corretamente, tolere falhas e se recupere rapidamente quando algo dá errado. Este pilar é composto de três sub-pilares sendo eles:

Parte da Confiabilidade	O que significa	Exemplos
Fundamentos da Confiabilidade	São pré-requisitos para que o ambiente seja resiliente e não quebre por limites, má configuração ou falta de planejamento.	Gerenciar quotas, planejar CIDR da VPC, Service Quotas, Systems Manager Change Manager, AWS Organizations, IAM bem estruturado.
Arquitetura Resiliente	É construir workloads que continuem funcionando mesmo quando alguma parte falhar. Evita pontos únicos de falha e utiliza redundância.	Multi-AZ, Auto Scaling, Load Balancer, RDS Multi-AZ, DynamoDB com replicação, arquitetura sem servidor (Lambda), SQS para desacoplar.
Recuperação (Recovery/DR)	Estratégias para restaurar o sistema rápido quando ocorre falha, desastre ou perda de dados.	Backup & Restore, Snapshots, AWS Backup, S3 CRR, Aurora Global Database, Route 53 failover, Pilot Light, Warm Standby, Multi-Site

Eficiência de performace

Este pilar foca no uso de recursos corretos, de forma que uma aplicação consiga performar bem conforme cresce, sem disperdício ou gargalos. Este é composto por quatro sub-pilares:

Fundamento	O que significa	Exemplo
Selection (Escolha de recursos)	Escolher os melhores serviços, tipos de instância e soluções para maximizar a performance desde o design.	EC2 Graviton, tipos de instância otimizados (CPU/Mem/GPU), Aurora vs RDS, DynamoDB, Lambda, EBS gp3, S3 Standard vs Glacier.
Review (Revisão constante)	Reavaliar periodicamente se os recursos usados ainda são os melhores conforme a AWS lança novidades.	Migrar para instâncias mais novas, adotar Graviton, trocar gp2→gp3, migrar para Aurora, usar serviços mais eficientes lançados recentemente.
Monitoring (Monitoramento de performance)	Acompanhar métricas e detectar gargalos antes que afetem o usuário.	CloudWatch Metrics, X-Ray, métricas de CPU/Memória/IOPS/Latência, alarmes, logs e dashboards.
Tradeoffs (Trocas para performance)	Fazer ajustes que aumentam a performance mesmo que custem mais ou adicionem complexidade.	ElastiCache/CloudFront para cache, aumentar memória da Lambda, read replicas no RDS, instâncias maiores, paralelização com SQS/Kinesis.

Otimização de custos

A otmização de custos é sobre gastar apenas o necessário para rodar uma aplicação, eliminando disperdícios e escolhendo recursos que entregam o melhor custo-benefício. Este pilar é composto por cinco fundamentos:

Parte da Otimização de Custos	O que significa	Exemplo
Cost-Effective Resources	Escolher os recursos mais baratos que ainda entregam a performance necessária.	EC2 Graviton, EC2 Spot, Aurora Serverless, EBS gp3, S3 Intelligent-Tiering, DynamoDB On-Demand.
Expenditure Awareness (Visibilidade dos custos)	Ter clareza total sobre quem está gastando e onde.	Cost Explorer, AWS Budgets, CUR, Tags de custo, dashboards.
Cost Management (Controle ativo)	Tomar ações práticas para limitar e gerenciar gastos.	Budgets com alertas, quotas, SCP bloqueando serviços caros, desligar ambientes de dev, bloquear regiões.
Elasticity (Elasticidade)	Escalar automaticamente para não pagar por capacidade ociosa.	Auto Scaling, Lambda pay-per-use, Aurora Serverless, DynamoDB On-Demand, Kinesis On-Demand.
Optimizing Over Time (Melhoria contínua)	Revisar periodicamente o ambiente para remover desperdícios e ajustar recursos.	Rightsizing, apagar EBS órfãos, limpar snapshots antigos, Compute Optimizer, reduzir tamanho de RDS, revisar S3 Storage Classes.

Sustentabilidade

Este pilar visa reduzir o impacto ambiental da aplicação, usando a nuvem de forma mais eficiente, com menos desperdício e promovendo práticas que economizam energia e recursos.

Fundamento	O que significa	Exemplos
Region Selection (Escolha da região)	Escolher regiões com maior uso de energia renovável e menor impacto ambiental.	Regiões com energia limpa, dados de carbono da AWS, regiões com resfriamento natural.
Software Efficiency (Eficiência do software)	Otimizar o código para consumir menos CPU, memória e operações desnecessárias.	Queries otimizadas, payloads menores, algoritmos mais eficientes, reduzir chamadas redundantes.
Hardware Efficiency (Eficiência do hardware)	Usar hardware mais eficiente energeticamente e arquiteturas otimizadas.	EC2 Graviton, Lambda, Aurora, instâncias modernas com melhor performance por watt.
Data Management (Gerenciamento de dados)	Reduzir, otimizar e mover dados para camadas mais eficientes.	S3 Intelligent-Tiering, expiração de logs, compressão, deduplicação, classes de storage eficientes.
Workload Efficiency (Eficiência da carga)	Evitar recursos ociosos e usar arquiteturas elásticas e sob demanda.	Serverless, Auto Scaling, jobs sob demanda, paralelização eficiente.
Development & Deployment (Ciclo sustentável)	Reduzir desperdício no ciclo de desenvolvimento e evitar retrabalho.	Pipelines otimizados, testes eficientes, ambientes temporários, IaC bem estruturado.

Conclusão

Neste artigo foi abordado os 6 pilares do AWS Well-Architected de uma forma bem abrangente, a ideia é ter uma base sólida para se preparar para o exame do CLF-C02. Caso tenha o ajudado, considere compartilhar com alguém que esteja com a ideia de se certificar com o exame.

Observabilidade na AWS

Allan Diego — Sun, 07 Dec 2025 19:34:50 GMT

A observabilidade é um conceito muito importante para quando os softwares estão em produção, ela é composta por três pilares sendo eles: logs, métricas e tracing. Cada pilar tem a sua própria funcionalidade e objetivo, os logs servem para rastrear os erros que são gerados por uma aplicação, as métricas são utilizadas para análisar tráfego de rede, gerar dashboard e saber a necessidade de alocar recursos, entre outras funcionalidades. Por fim, o tracing é responsável por monitorar a comunicação entre os serviços e, é implementado para que os arquitetos de soluções identifiquem problemas de comunicação com serviços externos e internos. Neste artigo, será apresentado as ferramentas que a Amazon Web Service (AWS) disponibiliza para que seus clientes possam fazer essa implementação de maneira simples, rápida e fácil.

AWS CloudWatch

O CloudWatch é uma ferramenta completa para o monitoramento e observabilidade, ele coleta métricas, logs, eventos, cria alarmes e dashboards. Ele deverá ser utilizado sempre que é necessário monitorar, analisar ou reagir ao comportamento de recursos de uma aplicação AWS.

AWS CloudTrail

Este serviço permite que usuários com acesso privilegiado monitorem todas as chamadas de APIs feitas pelos serviços, ele ajudará a descobrir quem fez o que com um serviço. Ele deverá ser utilizado quando houver a necessidade de auditar alguma ação na AWS, por exemplo: Um dos devs desligou uma VPS e diz que não foi ele; Neste caso, o gestor poderia utilizar o CloudTrail e saber quem realmente efetuou essa operação. A partir deste resumo, é importante saber que ele se encaixa na categoria de auditoria, governança e segurança.

X-Ray

Já o X-Ray está categorizado como um serviço de tracing dentro entre os serviços da AWS, ele ajudará os arquitetos a identificar problemas de comunicação, latência, processamento entre outros problemas que podem acontecer na comunicação dos serviços. Ele é ideal para que os desenvolvedores identificam problemas de componentes externos, por exemplo: O banco de dados do Aurora RDS está demorando para responder; Neste caso o X-Ray ajudaria a identificar este problema no tempo de resposta.

AWS Config

O AWS Config é responsável por guardar as alterações de recursos, estados de antes e depois e o relacionamento estre os recursos. Por exempo: Quando você altera um Elatic block store de 5GB para 10GB, este evento será registrado através do AWS Config; Ele deverá ser utilizado para guardar um histórico de modificações sobre os recursos da AWS.

Serviços complementares

Junto com os serviços de observabilidade também pode ser integrado alguns serviços complementares para ajudar de maneira em gera, sendo eles:

Serviço	Descrição
AWS Personal Health Dashboard	Este serviço mostra eventos sobre os problemas nos serviços da AWS.
AWS Health Dashboard	Este é um painel que mostra incidentes, interrupções, manutenções e disponibilidade dos serviços AWS.
AWS Trusted Advisor	Este é um agente que fica sugerindo a melhora constante nos serviços que estão usando muito ou poucos recursos.
AWS Cost Explorer	O Cost Explorer é utilizado para analisar, visualizar e projetar o uso de recursos da AWS.

Conclusão

Neste artigo foi abordado os 4 principais serviços de observabilidade da AWS, também existem diversos outros serviços auxiliares para que possa ser implementado. Está foi uma apresentação geral sobre os serviços da AWS que permitem adicionar um recurso tão importante sobre as aplicações.

Tipos de cloud na AWS

Allan Diego — Mon, 01 Dec 2025 08:44:50 GMT

Neste artigo será abordado de forma resumida um tema muito relevante dentro da AWS, tratando-se dos tipos de cloud que a empresa fornece para os seus clientes.

Introdução

Uma cloud (computação em nuvem) trata-se da disponibilização de recursos computacionais através da internet, ao invés da empresa manter servidores de serviços locais, ela opta por comprar de uma empresa que fornece este servidor. Atualmente a AWS fornece três tipos de cloud, sendo elas: pública, privada e híbrida. Este modelo permite que as empresas escolham a abordagem mais adequada às suas necessidades de segurança, controle e escalabilidade.

Nuvem pública

A nuvem pública é o padrão utilizado dentro da AWS, ela é implementada por padrão dentro dos serviços de EC2 e permitem que qualquer usuário fora da rede AWS se conectem ao serviço disponibilizado. De modo geral, o serviço ficará exposto a toda internet permitindo que qualquer um possa acessa-lo desde que siga as regras colocadas sobre eles.

Características principais:

Maior controle sobre a infraestrutura e configurações;
Facilidade de configuração;
Alta escalabilidade e disponibilidade global;
Modelo pay-as-you-go (pague somente o que você utilizada).

Nuvem privada

Uma rede privada é utilizada quando os serviços precisam ser dedicados a uma única organização, ou seja, toda a infraestrutura de servidores, rede, armazenamento e serviços é isolada e não é compartilhada com os outros clientes. Este tipo de uso geralmente é utilizado em setores altamente regulados no caso do setor financeiro, saúde e governo. A rede privada só poderá ser acessada através de algum serviço de conexão privada e nunca através da rede convencional.

Características principais:

Maior controle sobre a infraestrutura e configurações;
Aumento de segurança com o isolamento completo;
Rigidez no gerenciamento dos servidores.

Nuvem híbrida

Está é uma junção da nuvem pública e privada ao mesmo tempo, alguns dos componentes só poderão ser acessados dentro da rede privada, já outros poderão ser acessados através da rede pública. Um exemplo prático na rede privada seria você isolar um banco de dados dentro de uma EC2 em uma VPC e só conseguir acessa-lo através de uma VPN, ou através do mesmo serviço de uma EC2 que conecta na mesma rede VPC e por dentro da rede AWS estabelece uma conexão com o banco de forma privada.

Características principais:

Maior controle e segurança;
Escalabilidade sob demanda;
Conectividade dedicada e segura.

Conclusão

Obrigado por ler até aqui. Neste artigo foi abordado de forma resumida os três tipos de cloud que a AWS fornece para os seus clientes.

Como se preparar para o exame AWS Cloud Practioner

Allan Diego — Thu, 28 Aug 2025 23:23:49 GMT

Se você está lendo este artigo, é porque você tomou uma boa decisão de tirar uma certificação AWS, seja para aumentar o seu salário ou aumentar seu currículo na forma de conhecimento. Mas para isso é necessário se preparar bem. Neste guia, você vai ver a forma que utilizei para me preparar para o exame do Cloud Practioner com materiais oficiais, guias oficiais, cursos que fiz e recomendo.

Afinal, o que é o exame AWS Cloud practioner?

Esta é a certificação de mais baixo nível da AWS, ela pode ser utilizada para comprovar o seu conhecimento sobre os serviços, conceitos e gerenciamento de usuários e custos dentro do universo cloud. Praticamente, você não fará nada prático, apenas será introduzido ao essencial para o gerenciamento em nuvem.

O que o exame aborta?

De maneira geral, o exame irá abordar todos os serviços AWS de uma maneira rasa, em que o candidato só precisa saber a finalidade do serviço e como ele pode ser utilizado. Além dos serviços, também é considerado em algumas provas a necessidade de saber os pilares do AWS Well-Architected Framework e do AWS Cloud Adoption Framework (CAF), o último não trata de um serviço, mas sim de um conceito de como planejar e gerenciar uma solução em nuvem de uma organização.

Por que eu devo estudar para este exame se ele é o mais básico?

Estudar para o exame mais básico da AWS poderá abrir portas para as certificações mais avançadas que a empresa fornece, por exemplo, para obter a certificação AWS Solutions Architect que é muito comum ser obtida após a Cloud Essentials, você precisará dominar os conceitos de cada serviço AWS para poder aplicar as soluções necessárias na Solutions Architect, já que se trata de uma certificação mais prática do que conceitual. Outro ponto é se você é um pioneiro no mundo de certificações profissionais, com essa certificação você pode ter a sua primeira experiência de como se preparar, estudar e realizar simulados. No final de tudo, a certificação é só o resultado do conjunto de experiências que você ganhou se preparando para este exame, e a experiência muitas vezes pode abrir oportunidades para novas experiências.

Então por onde começar a estudar?

Para começar os primeiros passos de estudo para o exame, você terá duas maneiras simples e complementares: materiais oficiais e não oficiais; Os materiais oficiais poderão ser encontrados no próprio site da AWS Skill Builder, que trata de um site desenvolvido por eles para oferecer os treinamentos sob os seus produtos, nele poderá se cadastrar e se inscrever no curso desta certificação. No site oficial, também é possível encontrar simulados da Cloud Essentials. Como alternativa complementar, também é possível encontrar materiais não oficiais de alta qualidade em plataformas como a Udemy, YouTube e Twitch. Durante o preparatório acredito que combinar somente os materiais oficiais e algum curso da Udemy seja o suficiente. Abaixo há uma lista completa dos materiais:

Material	Material oficial?	Descrição	Plataforma
AWS Skill Builder	Sim	Material oficial disponibilizado pela própria AWS	Website
AWS Certified Cloud Practioner	Não	Material criado pelo o instrututor André Lacono, um conteúdo objetivo ao que é abordado na prova	Udemy
Cloud Treinamentos	Não	Um canal que ensina sobre cloud de maneira geral, nele você encontrará vídeos resolvendo as questões do exame	YouTube

Já estudei tudo, já posso fazer o exame?

Não. Depois que foi feito quase todo o percurso do exame, agora é hora de focar na resolução de simulados para a preparação. Uma técnica utilizada é a realização de simulados durante 10 dias consecutivos marcando a quantidade de erros e acertos, também é muito importante marcar as questões que estão erradas e fazer revisões cirúrgicas para fixa-las no entendimento, após atingir uma margem de acertos de 90% nos simulados, já está na hora de realizar o exame. Abaixo tem uma lista onde poderá encontrar alguns exames pagos e gratuitos.

Website	Pago?	Idioma
Kananinirav.com	Não	Inglês
Simulado AWS Cloud Practitioner CLF-C02 (Exame Oficial Português)	Sim	Português
Simulado AWS Certified Cloud Practitioner CLF-C02 Exam Questions (Exame em Inglês)	Sim	Inglês

Como marcar o exame?

Finalmente chegamos à parte mais fácil do exame, o momento de agendar! Para agendar basta acessar o site da AWS e clicar no botão para realizar o agendamento e o pagamento para fazer a prova.

Como a prova é realizada?

No dia da prova você terá duas possibilidades: presencial ou remoto. Para o exame presencial será necessário comparecer 30 minutos antes no local informado com documentos com foto em mãos, já para o exame remoto é necessário está em dia com a webcam, em um lugar silencioso, ter um computador compatível e uma validação do instrutor sob o ambiente antes de iniciar a prova.

Agradecimentos

Chegamos ao fim, espero que este guia possa te ajudar a dar os primeiros passos para conquistar a sua certificação AWS Cloud Practioner.

Deploy ReactJS no CPANEL

Allan Diego — Sat, 14 Jan 2023 20:03:06 GMT

Antes de de começar, estou considerendo que você já saiba o que é uma chave SSH e como utilizar o versionamento de código com Git e GitHub. Também é necessário ter uma conta CPANEL já disponível para realizar a instalação e uma conta no GitHub com um repositório disponível.

Adicionando o controle de versão

Primeiramente é necessário criar o controle de versionamento de código para adicionar o repositório ao cpanel, para realizar isso basta navegar na página inicial da hospedagem e acessar o controler de versionamento.

Após acessar, clique em criar!

Nesta aba é onde será configurado o repositório. Para então adicionar o repositório tem que adicionar uma chave SSH para o CPANEL conseguir se comunicar com o GitHub, em caso de um repositório privado, caso seja um projeto open-source poderá pular a etapa de configuração da chave SSH.

Adicionando uma chave SSH

Para adicionar uma chave SSH, clique em SSH Access dentro da página representada anteriormente. Agora nesta nova aba, clique em Manage SSH Keys.

Depois de realizar essas operações então em Generate a New key para gerar uma nova chave SSH, essa chave será adicionada porteriormente dentro do GitHub.

Com a nova aba aberta, preencha as informações e prossiga clicando em Generate Key.

Depois disso, a chave será criada então volte para a lista de chaves clicando em Go back.

Agora é necessário liberar a chave para uso. Na página inicial do gerênciamento de chave clique em Manage.

E, então clique em Authorize para liberar a sua chave para uso. Feito isso clique em Go Back.

Na página incial do gerenciamento de chaves há 2 chaves que foram geradas. Clique para visualizar a chave pública em View/Download.

Agora tem a sua chave autorizada, copie ela!

Neste passo, então, abra uma nova aba e acesse a sua conta no GitHub e acesse o seu perfil. No menu lateral clique na opção SSH and GPG Keys. Apos fazer isso clique em New SSH Key.

Adicione um título e cole a chave SSH pública que foi copiada nos passos anteriores. Feito isso, clique em Add SSH key.

Agora foi adicionado a chave SSH ao seu GitHub e o CPANEL poderá ter acesso ao seu repositório privado ou público.

Finalizando a configuração do repositório

Se o seu repositório for privado, é importante que antes de começar está etapa você tenha configurado corretamente a chave SSH, conforme demonstrado na etapa anterior*.*

Para começar vá até o repositório que deseja adicionar ao CPANEL copie o link de cópia dele.

Cole o link do seu repositório no campo Clone URL. Logo após, clique em create para criar o versionamento de código do seu repositório.

Configuração do repositório finalizada com sucesso no CPANEL, agora clique em Manage para gerenciar o seu repositório adicionado.

Nesta página poderá realizar algumas configurações, como por exemplo definir qual branch será a padrão do projeto. Neste caso está a branch main como padrão. Mantenha o que está e clique em Pull or Deploy.

Nesta aba é a que será utilizada para realizar o pull e deploy da aplicação.

Entretanto antes de clicar para realizar o pull e deploy da sua aplicação é necessário realizar algumas configurações no seu repositório. Crie um arquivo chamado .cpanel.yml e adicione o seguinte conteúdo:

deployment:
  tasks:
    - export DEPLOYPATH=/home/hsesafetycom/public_html/
    - rm -rf $DEPLOYPATH
    - /bin/cp -R build/. $DEPLOYPATH

Neste conteúdo estamos dizendo que vamos deletar e copiar todos os arquivos de dentro pasta build para a pasta public_html. Para que isso seja obedecido é necessário remover do .gitignore a pasta build.

Agora compile o seu projeto rodando npm run build e então efetue o push para a sua branch remota. Sua branch de deploy terá que conter a pasta build pois ela será movida para a public no momento do deploy.

Se o seu repositório estiver assim na branch de deploy você pode voltar para o Cpanel baixar as atualizações e clicar em deploy.

Recarregue a página e clique Deploy HEAD Commit feito isso seu deploy já está pronto. Agora toda alteração dentro da sua branch main você terá que entrar no CPANEL, baixar as atualizações e realizar o deploy! Para confirmar se está certo você poderá acessar o file manager e clicar em public_html feito isso seus arquivos da pasta build vão estar lá!

OBS: Infelizmente não consegui deixar isso automatizado e essa foi a melhor forma para fugitr do FTP.

Security Misconfiguration

Allan Diego — Sun, 31 Jul 2022 13:58:45 GMT

Previous...

Sorry about any english errors, I'm practicing and learning english.

What is Security Misconfiguration?

A security misconfiguration is a vulnerability that explore the bad configuration in application. This can be included:

Apps with default credentials
Bad configuration on the server like S3 bucket.
Error messages that allow the attacker explore more about the system.
IoT devices with default passowords.

Generally this vulnerability allow the attacker lead to more vulnerabilities like data explosure, XXE Attacks, RCE and others.

Where to find labs to practice?

Labs to practice can be find on some platforms like Try Hack Me and another alternative is practice yourself devices that have default credentials with this your leave more security the house devices and avoid the external attacks while are praticing.

Toxic - Hack the box

Allan Diego — Sat, 25 Jun 2022 17:48:16 GMT

E ai tudo Ok? Hoje será a resolução do challenge Toxic - Hack the Box.

Obs: Para começar o reconhecimento deste desafio é necessário fazer o download dos arquivos do web site dentro da plataforma do hack the box.

Reconhecimento

Depois de fazer o download dos arquivos comecei então a navegar pela página web do site para ver se encontrava algum campo que possibilitasse a exploração de alguma vulnerabilidade, entretanto foi sem sucesso e então comecei a analisar o código em PHP. Logo de cara me deparei que a página principal do site estava sendo serializada dentro do cookie que é gerado ao carregar a página index.

Analisando previamente esse código o que ele está fazendo é:

Ao carregar a página é invocado a função spl_autoload_register que armazena uma função anônima que inclui um arquivo PHP. Após essa inclusão é verificado se existe um cookie na sessão identificado por PHPSESSID, caso não tenha será registrado utilizando a função setcookie onde:

PHPSSEID: é a chave de acesso para o cookie;
base64_encode(serialize($page)): é o conteúdo do cookie;
time()+60\*60\*24: é o tempo que o cookie vai durar;
/: é o local em que o cookie ta indexado.

Mas o mais importante neste caso é o conteúdo do cookie que possui um objeto serializado:

 Utilizando a função serialize($page) para serializar um objeto você obterá a seguinte saída: 

O:9:"PageModel":1:{s:4:"file";s:15:"/www/index.html";}

Onde: 
   O:9:"PageModel": representa o objeto serializado; 
   s:4:"file"; Representa o atributo da classe que está sendo utilizado; 
   s:15:"/www/index.html"; Representa o conteúdo do atributo file e também o arquivo que será incluído na página ao ser carregada;

E por final temos a função base64_encode que codifica em base64 a string retornada pelo serialize(). 
Representando a seguinte saída: 

Tzo5OiJQYWdlTW9kZWwiOjE6e3M6NDoiZmlsZSI7czoxNToiL3d3dy9pbmRleC5odG1sIjt9

Agora que o código está explicado fica fácil de continuar a exploração, significa então que podemos alterar essa string codificada em base64 apontando o arquivo que queremos encontrar na raiz do sistema e incluí-lo na página. Então utilizando o burp suite Community utilizei o recurso de proxy para interceptar a requisição e mandar para o repeater para conseguir enviar payloads ao servidor de uma forma mais fácil.

Dentro do repeater podemos então modificar o cabeçalho da requisição, mas antes de começarmos a injetar payloads vamos dar uma analisada no arquivo de configuração do servidor que é o nginx.conf, esse arquivo é responsável por toda a configuração do servidor.

Neste arquivo temos:

O mais interessante deste arquivo é que temos o caminho completo do arquivo de log do servidor, com isso sabemos que todo o header da requisição é registrada neste arquivo. Sabendo disso podemos visualizar o arquivo de log seguindo a mesma lógica que é codificar o objeto serializable e colocar no PHPSESSID.

Depois de codificado em base64 é necessário colocar essa string no header da aplicação e enviá-lo para o servidor nos retornando assim o arquivo de logs.

Bom, agora que sabemos que todo o header é registrado neste arquivo de log e que podemos acessar este arquivo através do payload, vamos evoluir essa exploração para execução de código remoto enviando um código em PHP através do body.

Note que o payload foi executado com sucesso e que temos um arquivo de flag no diretório raiz do sistema, podemos então usar a mesma lógica que é usada para acessar o arquivo de log para acessar o arquivo de flag!

E agora é só substituir o novo valor do PHPSESSID e pontuar!!!

Machine Late - Hack the box

Allan Diego — Thu, 16 Jun 2022 18:01:36 GMT

Antes de tudo...
Fala galera eai? Esse é meu primeiro Writeup que escrevo… espero que fique bem claro de como foi o processo que eu segui para resolver esta máquina.

Vamos lá!

Reconhecimento: Para iniciar o reconhecimento da máquina comecei com uma varredura utilizando o nmap.

sudo nmap -sV -sC 10.10.11.156

Enumeração: Note que há 2 serviços rodando nesta máquina, um fornecendo um acesso ao site através do protocolo HTTP e o outro um acesso SSH.

Após acessar o site, resolvi então navegar um pouco no código fonte para ver se encontrava algo de útil para começar a explorar mais a fundo e encontrei o seguinte trecho de código:

Repare que há um link dizendo que podemos utilizar um editor de imagem dentro do site, no entanto para conseguir acessar este subdomínio é necessário configurar o arquivo hosts da sua máquina local ficando da seguinte forma:

Salve o arquivo e agora você poderá acessar o através do dns images.late.htb Repare que nesta página tem várias informações úteis para dar início a uma exploração mais avançada, como com o que foi desenvolvido o conversor de imagem para texto. Antes de sair buscando por vulnerabilidades da tecnologia do Flask resolvi testar um pouco e entender como funciona o conversor de imagem, então subi uma imagem JPG e o conversor me retornou um arquivo results.txt contendo:

Através desse resultado não ficou muito claro o que estava fazendo em si, então resolvi buscar alguns conversores de imagem para texto no GitHub feito em flask e encontrei o seguinte exemplo: Extractor Image Text.

Com esse código ficou mais claro o que o conversor estava fazendo que era: pegar uma imagem e extrair o texto que está nela e não um texto que está como esteganografia; Sabendo disso, então resolvi injetar alguns payloads de Server Side Template Injection (SSTI) como texto das imagens e para isso eu desenvolvi um exploit para facitar a manipulação dos payloads e envio da imagem para ser através do script e não do site.

Exploi: Late Hack the Box - Exploit SSTI

Utilizando o exploit que criei, então fiz um payload simples:

Olhe que há um teste de soma, se o aplicativo estiver vulnerável o exploit deverá retornar o 2 como saída pois foi efetuado a soma, e ao executar o exploit temos a seguinte saída:

Boom! Está vulnerável, agora podemos buscar payloads mais avançados e evoluir a exploração para remote code execution, para isso eu utilizei o repositório Payload All The Things e peguei o seguinte payload:

Veja que eu peguei um payload que me permite fazer a excução de comandos do sistema operacional, e alterei o exploit para que ele receba esse novo payload com os comandos do sistema operacional, ao executar o exploit.py com essa alteração ele retornará a seguinte saída:

O comando ls -l foi executado com sucesso! Agora podemos visualizar os usuários do sistema com o os_command: cat /etc/passwd

Repare que temos um usuário chamado svc_acc e que também podemos visualizar o diretório deste usuário com: ls -la /home/svc_acc

Neste diretório temos um arquivo chamado user.txt que representa a nossa primeira flag!

Mas e agora, Acabou a exploração? Ainda não! Precisamos da segunda flag que é a system e para isso precisamos conseguir acesso ao sistema operacional para elevar nossos níveis de usuário e procurar a próxima flag. Ué, mas já temos acesso ao sistema por command injection não temos? Sim, mas desta forma é muito ruim para manter uma exploração efetiva dentro do sistema, teremos que usar o serviço de ssh para conseguir acesso. Para isso vemos na listagem dos arquivo dos usuário svc_acc que tem um diretório .ssh que geralmente costumam ficar as chaves de acesso ssh.

Temos uma chave ssh para acessar o sistema como o usuário svc_acc, para pega-lá execute: cat /hove/svc_acc/.ssh/id_rsa

Bom, conseguimos a chave id_rsa agora podemos utiliza-lá para conectar através do protocolo ssh como o usuário svc_acc. Copie a chave id_rsa para um arquivo chamado id_rsa e utilize: ssh svc_acc@[machine_ip] -i id_rsa para conectar como o usuário svc_acc.

Provavelmente ao tentar se conectar o seu pode ter dado este erro também, isso se dá porque a chave pode ser lida pelo usuário, grupo e qualquer acesso remoto ao computador e sendo assim é considerada uma chave não segura.

Para resolver basta alterar as permissões de acesso da chave para somente o usuário conseguir acessar/ler/escrever na chave com: chmod 600 id_rsa

Agora que foi alterado a permissão podemos executar novamente: ssh svc_acc@[machine_ip] -i id_rsa para conectar a máquina.

ATENÇÃO: cuidado ao copiar a chave id_rsa, pois qualquer linha a mais mesmo em branco pode resultar na saída que a chave está inválida.

Então já que temos acesso precisamos conseguir acesso root ao sistema. Primeiro vamos olhar o que há no crontab do sistema.

O PATH:/usr/local/sbin/ é o caminho onde fica os scripts de execução do cronjob no sistema, se você der crontab -e não mostrará nenhuma configuração adicionada pois essa configuração foi realizada somente para o usuário root então pode existir X jobs configurados se você não tiver permissão não irá conseguir ver. Agora liste os arquivos do diretório /usr/local/sbin/ e teremos:

Um arquivo executável que provavelmente será executado em algum momento por algum trigger ou agendamento de tarefas, repare também que podemos ler e executar esse arquivo, então iremos ler primeiramente:

Com uma leitura básica do código da para perceber que o script é acionado toda vez que um usuário acessar a máquina via SSH. Sabendo disso vamos ver as propriedades do arquivo através do comando lsattr esse comando permite fazer alguns tipos de alterações no arquivo, caso não conheça pode dar uma olhada em:

Trabalhando com atributos de arquivos

Note que possui o atributo “a” que significa que podemos modificar este arquivo anexando o conteúdo nele, então com isso podemos atribuir um shell-reverso dentro do arquivo ssh-alert.sh

Agora pode conferir se o shell foi atribuído ao arquivo que será executado:

Repare que o comando foi adicionado ao arquivo e assim que o arquivo for executado já poderemos acessar através do shell reverso, para isso ligue uma porta para ouvir uma conexão do alvo:

Agora com o nc ouvindo a conexão podemos executar o trigger do arquivo ssh-alert.sh através de uma nova conexão ssh com o usuário svc_acc.

E então conseguimos acesso root ao sistema!!!!

Agora é só visualizar a sua flag e pontuar!!!

Considerações finais:
Pessoalmente achei esta máquina relativamente difícil pois não estava conseguindo encontrar uma forma de conseguir acesso root, e para isso precisei olhar alguns outros writeups desta máquina. Entretanto de modo geral consegui resolver 85% da máquina conseguindo chegar até ao acesso do usuário svc_acc sozinho.