Plataforma · Segurança

Confiança não se presume. Verifica-se.

Zero-trust como modelo padrão: cada request, cada serviço, cada usuário é autenticado, autorizado e cifrado — independente de origem. mTLS no service-mesh, OAuth2/OIDC para identidade, TLS 1.3 no perímetro, tokenização para dados sensíveis e API gateway com WAF embutido. Defesa em profundidade, não em camadas opcionais.

Ver o perímetro Modelo de identidade
ZERO-TRUST · ATIVO DENY-BY-DEFAULT
CIPHERS · TLS 1.3 ONLY 4 layers de defesa
Edge Gateway Mesh Vault
01 · Primitivas de segurança

Quatro pilares,
todos obrigatórios.

Segurança moderna não é uma feature — é a soma de primitivas que se reforçam. Identidade verificável, canais cifrados, dados protegidos no repouso e perímetro instrumentado. Falhar em um quebra os outros.

Identidade

Quem está pedindo

OAuth2 e OpenID Connect para humanos e máquinas. PKCE no flow de aplicativos públicos, client-credentials para serviços, MFA obrigatório em escopos privilegiados.

  • OIDC · JWT assinado
  • PKCE · device flow
  • FIDO2 / passkeys
Canais

Cifragem em trânsito

TLS 1.3 obrigatório no perímetro, mTLS no service-mesh. HSTS preload, certificate pinning em mobile, rotação automática de certificados via SPIFFE/SPIRE.

  • TLS 1.3 · HSTS preload
  • mTLS via mesh (Istio · Linkerd)
  • SPIFFE workload identity
Dados

Cifragem em repouso

AES-256-GCM no banco e nos buckets, envelope encryption com KMS, chaves customer-managed (CMK) opcionais. Tokenização para PII e PCI-DSS — o dado real nunca sai do vault.

  • AES-256-GCM · envelope
  • KMS · HSM-backed
  • Tokenização determinística
Perímetro

Tráfego controlado

API gateway centraliza autenticação, rate limiting, circuit breaking e WAF. OWASP Top-10 bloqueado em assinatura + heurística, bot detection, DDoS scrubbing no edge.

  • Gateway · WAF managed
  • Rate limit · quota por client
  • DDoS · L3/L4/L7
02 · OAuth2 · OpenID Connect

Cada token
é um contrato curto.

Authorization Code com PKCE para apps públicos, Client Credentials para serviços, refresh-token rotation, audience binding e short-lived access tokens. Identidade é o novo perímetro — cada chamada carrega prova de quem é, do que pode e por quanto tempo.

Etapa
Ator
O que acontece
Artefato
01
ClienteSPA · mobile · serviço
Gera code_verifier + code_challenge (PKCE), redireciona o usuário ao provider de identidade com client_id, scopes e state assinado.
code_challenge · S256
02
Identity ProviderAuth0 · Keycloak · Entra ID
Autentica usuário (senha + MFA + passkey), valida consentimento de scopes, devolve authorization_code ao redirect_uri pré-registrado.
authorization_code
03
Token EndpointTroca code → tokens
Cliente envia code + code_verifier; servidor valida PKCE e emite access_token (≤ 15min), id_token (JWT com claims) e refresh_token rotacionado.
access · id · refresh
04
API GatewayVerificação local
Valida assinatura JWT contra JWKS cacheado, checa exp/aud/iss, propaga claims ao serviço destino via header assinado. Sem round-trip ao IdP.
JWT · RS256 / ES256
05
ServiçoAutorização fina
Aplica RBAC/ABAC sobre scopes + claims do token. Audit log estruturado de cada decisão. Negar é o default; permitir exige policy explícita.
OPA · Cedar · policy
03 · Criptografia

SSL/TLS, mTLS
e além.

Cifragem em camadas: do cliente ao gateway via TLS 1.3, entre serviços via mTLS automático, dados em repouso com envelope encryption e segredos no vault. Forward secrecy, ciphers modernos e rotação programada.

L7 · Cliente
HTTPS públicobrowser, mobile, parceiros
TLS 1.3 · AES-256-GCM
L7 · Borda
CDN · WAF · Gatewayterminação TLS gerenciada
TLS 1.3 · ECDHE · X25519
Mesh
Service-to-servicemTLS automático no sidecar
mTLS · SPIFFE · auto-rotate
Dados
Banco · objeto · cacheat-rest, envelope encryption
AES-256-GCM · KMS
Segredos
Credenciais · chaves APIvault, dynamic secrets
HashiCorp Vault · KMS HSM
Backup
Snapshots · réplicascross-region, immutable
AES-256-GCM · object-lock
Forward secrecy

Quebra de chave hoje, vazamento amanhã.

ECDHE em todas as conexões. Mesmo que a chave privada do servidor vaze no futuro, sessões antigas permanecem cifradas — cada handshake gera material efêmero.

Rotação automática

Certificados de 24h, não 24 meses.

SPIFFE/SPIRE emite identidade workload com TTL curto. Comprometimento de chave tem janela de minutos, não anos. Operação humana zero — automação assina, distribui, revoga.

Pós-quântico

Pronto para o próximo paradigma.

Híbrido X25519 + ML-KEM (Kyber) avaliado em piloto. Crypto-agility no design — algoritmos são plugáveis, não soldados ao código de aplicação.

04 · Tokenização

Dado sensível
nunca sai do vault.

PII, PAN, CPF, dados clínicos — tudo trocado por um token de mesmo formato, sem valor fora do vault. Aplicações trabalham com o substituto; o original permanece num cofre auditável, acessível só por serviços com autorização explícita. Reduz drasticamente o blast radius de qualquer vazamento.

4532 1488 0343 6467
tokenize
tok_pan_8f3a2b9d
user@empresa.com.br
tokenize
tok_email_c4e1f7a2
123.456.789-00
tokenize
tok_cpf_a91b3d8e

Tokens preservam formato.

FPE (Format-Preserving Encryption) e tokenização determinística mantêm validações, joins e analytics — sem nunca expor o dado real. Detokenização exige autorização explícita, é registrada no audit-log e pode ser revogada por chave.

FormatoPreservado · regex e checksum continuam válidos
ReversívelDetokenização sob policy · audit obrigatório
EscopoPor aplicação · segregação de domínios
ConformidadePCI-DSS · LGPD · GDPR · HIPAA
PerformanceLatência adicional ≤ 4ms p95
05 · API Gateway

Um único portal,
seis verificações.

Toda chamada externa passa pelo gateway antes de tocar uma aplicação. Identidade, quota, schema, throttling, observabilidade e WAF aplicados como políticas declarativas — versionadas em git, revisáveis em pull-request.

01 · TLS

Terminação cifrada

TLS 1.3 com SNI, OCSP stapling, ALPN para HTTP/2 e HTTP/3. Ciphers fracos rejeitados na negociação.

TLS 1.3
02 · WAF

Bloqueio de payload

OWASP Top-10 + regras customizadas. Inspeção de body, query, header. Bot detection com fingerprint.

Managed rules
03 · AuthN

Validação de token

Verificação JWT contra JWKS, audience e issuer matching. mTLS para parceiros B2B.

JWT · mTLS
04 · Rate limit

Quota por dimensão

Limite por client_id, IP, endpoint, tier. Token bucket com burst, sliding window. Resposta 429 com Retry-After.

Token bucket
05 · Schema

Validação de contrato

OpenAPI/JSON Schema validado no gateway. Request com payload inesperado morre antes da app.

OpenAPI 3.1
06 · Observe

Trace + audit

Cada request gera trace W3C, log estruturado e métricas RED. Decisões de bloqueio auditáveis.

OTel · audit
06 · WAF · Web Application Firewall

O que bloqueamos
antes da aplicação ver.

WAF não substitui código seguro — é a rede de proteção. Conjuntos OWASP gerenciados, regras customizadas por aplicação e ML para anomalia. Cada bloqueio é log estruturado; falsos positivos viram regra refinada, não exceção permanente.

SQL Injection

BLOCK

Payloads que tentam quebrar parsing SQL — UNION, comentários truncados, encoding anômalo. Detecção por assinatura + parser semântico.

' OR 1=1; DROP TABLE users--

Cross-Site Scripting

BLOCK

Tags script, event handlers inline, javascript: URIs em query e body. Inspeção contextual de header Content-Type.

<script>fetch('/exfil?'+document.cookie)</script>

SSRF · Path Traversal

BLOCK

URLs apontando para metadata IMDS, ranges privados, ../ encoding em path. Bloqueia ataques contra cloud-metadata.

http://169.254.169.254/latest/meta-data/

Credential stuffing

RATE-LIMIT

Bursts de login com listas vazadas. Throttle por IP, fingerprint de bot, CAPTCHA adaptativo, leaked-password check via HIBP.

5xx /auth/login from 1 ASN · 4k req/min

DDoS · L3/L4/L7

SCRUB

SYN flood absorvido no edge, amplificação UDP descartada upstream, flood HTTP mitigado por challenge JS + tarpit em camada 7.

SYN flood · 480 Gbps absorvido em 2024

Zero-day & CVE

VIRTUAL-PATCH

CVEs críticos viram regra WAF em horas — virtual patching enquanto o time aplica fix definitivo no código. Janela de exposição mínima.

CVE-2024-XXXX · ${jndi:ldap://...}
07 · Conformidade

Auditável
por design.

Frameworks que organizam a operação. Não buscamos selos por marketing — usamos os controles porque são checklist consolidado de boas práticas. Evidências geradas pelo próprio sistema, não por planilha manual.

SOC 2 Type II
aligned
ISO 27001
aligned
LGPD
data subject rights
GDPR
DPA · DPIA
PCI-DSS
tokenization scope
HIPAA
healthcare ready
OWASP ASVS L2
verified
CIS Benchmarks
CIS-1.7+
NIST CSF 2.0
framework
“Segurança não é feature opcional. É o contrato silencioso entre cada request e a confiança do cliente.
— Posicionamento técnico TecLimit

Sua plataforma merece zero-trust real.

Conte-nos sobre a superfície de ataque atual, dados sensíveis em jogo e exigências regulatórias. Em uma conversa devolvemos um plano de hardening concreto.

Falar com a operação Ver arquitetura completa