E aí galera, vamos falar um pouquinho sobre segurança agora. Quando a gente está falando sobre o uso das peças da AWS, a gente vai ter que pensar sempre no quesito de segurança, porque poxa, é como se você estivesse lá com o seu rack na sua sala refrigerada aqui, cuidando do seu servidor, você não vai deixar isso sem ter nenhuma segurança de rede, camada de proteção e assim por diante. Então a gente tem que pensar muito sobre como que a gente vai cuidar disso. Como eu falei, no Brasil ainda mais, a gente está tendo cada vez mais incidência de cyber-ataque, então a gente tem que olhar para isso com muito cuidado, muita cautela, porque é um assunto muito importante e tem que estar na nossa cabeça o tempo todo. Tratem com bastante seriedade. Muita gente acaba tendo problemas, tanto quando está falando dos seus próprios servidores lá on-premises, quanto está falando de usar algum provedor cloud, as pessoas não ligam tanto para a segurança e por isso que a gente tem tanta incidência de ataque. Vamos resolver isso, vamos trabalhar bastante Cyber Security para a gente não sofrer tanto no futuro. Então vamos lá. Quando a gente está falando dos EC2 aqui, vamos pensar algumas coisas que são importantes para a gente garantir a segurança dele. Eu vou falar basicamente de três principais. São os grupos de segurança, os pares de chave e o IAM, que é o Identity and Access Management, tá? Esses três, eu acho que são os principais itens que a gente tem que falar de segurança quando a gente vai falando de EC2. E a gente vai aprofundar em cada um deles agora na sequência. Vamos lá. Primeiro, quando a gente está falando de grupo de segurança, é como se fossem os firewalls que a gente tem, só que são firewalls virtuais ali, que eles vão gerenciar o tráfego de entrada e saída de informação nas suas instâncias EC2. Você precisa ter regras específicas para eles, para você poder trabalhar como é que vai funcionar essa entrada, essa saída, quem pode acessar ou quem não pode acessar as suas instâncias EC2. Normalmente, os provedores cloud, eles nascem com um privilégio mínimo de segurança, ou seja, tudo que você criar normalmente vai estar lá com privilégio mínimo. Então você vai notar que quando você estiver começando a brincar com o cloud, você vai tomar alguns erros, inclusive, de esquecer de liberar o acesso a outras peças, a gente vai falar sobre isso, sobre como que a gente entende ali na hora da criação, se aquela entidade, aquele serviço que você subiu, se ele está com acesso ou não e como é que a gente libera os acessos e assim por diante. Mas, depois de liberado, legal você pensar em como você vai deixar isso seguro, beleza? E daí a gente vai falar um pouco dos grupos de segurança. Primeiro, quando a gente está falando de grupo de segurança, tem um negócio que se chama tráfego de entrada, o inbound. Então, talvez a gente fale aqui durante o treinamento, vocês ouvirem a gente falando sobre inbound, é isso que a gente está falando, beleza? Para esse tráfego de entrada, a gente precisa pensar basicamente em três níveis também de segurança. O primeiro dele, o que são os critérios de protocolo tem outros são os de porta e IP e tenho de IP de origem perdão então tem o protocolo porta IP de origem é quando a gente tá falando de protocolo que a gente tá falando basicamente é TCP é o DP e CMP então tudo que você tá falando de protocolo vai estar nesse conjunto de coisas aqui, beleza? Você vai ter que definir esses seus protocolos de rede. Quando a gente está falando de porta, poxa, como é que você vai liberar acesso, sei lá, vou dar um exemplo aqui. A porta 80, acesso HTTP. Você vai ter um acesso, talvez a porta 22 ali para um SSH. Então você vai definir para a porta qual o acesso que você vai ter ali naquela porta, beleza? Então também tem esse ponto que a gente precisa trabalhar e configurar, tá bom? Quando a gente está falando de IP, você consegue configurar quem vai ter acesso, ou seja, quem vai conseguir entrar e buscar informação da sua peça, do seu serviço e assim por diante, no nosso caso aqui do EC2, você vai conseguir configurar se você pode liberar só para um IP, ou seja, só aquele IP pode, ou para um range de IPs. Isso a gente acaba usando bastante no dia a dia, quando você precisa fazer comunicação entre várias clouds, assim por diante. É legal você pensar em ter uma configuração por range de IPs para proteger a sua rede também ou sei lá por subnet você pode configurar por subnet ou se você quiser deixar aberto que algumas vezes a gente tem que deixar aberto para qualquer IP conseguir bater e você vai deixar sei lá 0.0.0.0 barra 0 você deixar tudo zerado eu acho que eu acertei os números 0 são 0 0 0 0 bar, 0, barra 0, isso. Deixar tudo zerado, você vai deixar qualquer IP de origem entrar ali também e acessar, tá bom? Mas é interessante você olhar pra esses três níveis, então, qual que é o protocolo, um TCP da vida ali por diante, porta, se você vai abrir a porta 80 pra internet e assim por diante e IP de origem que tá vindo buscar a sua informação. Fechou? Assim você consegue fechar uma camada de segurança de entrada de inbound. Depois a gente vai falar mais disso com o hands-on, vocês vão ver como é que isso vai funcionar. E quando a gente está falando de outbound, poxa, vamos ser muito honestos, é a mesma coisa, só que para a saída. A diferença é que você vai estar configurando tudo que a sua aplicação vai poder levar para fora de informação. a sua aplicação vai poder levar para fora de informação. Então, como é que ela vai ter acesso a outros recursos da internet ali, ou até mesmo na mesma rede que você está falando ali da AWS, o que você vai liberar de acesso para ela. E daí você tem que configurar as mesmas coisas, só que para a saída, beleza? Outra coisa que a gente tem que... que é bem fundamental, e muita gente não sabe lidar muito bem, então já vou dar aqui a dica para vocês prestarem bastante atenção são as chaves de acesso quando você cria alguma coisa na aws normalmente a cria duas chaves é ea gente vai falar um pouco sobre essas chaves como é que ela funciona então pra ter acesso à sua instância e c2 nesse caso aqui você vai ter duas chaves criptografadas para você poder usar esse acesso. Então, quando a gente está falando da criação de chaves, você tem a chave pública e a chave privada. Esse par de chaves é criado automaticamente quando você sobe um EC2. E aqui a diferença é como você faz a gestão dessas chaves. Então, quando a gente está falando da chave pública, ela é instalada automaticamente na sua instância EC2. Então Então você subiu a sua EC2 e ela vai instalar ali. Lembra quando você está escolhendo a EC2, você escolhe se você quer o Windows, se você quer Linux e assim por diante? Então por exemplo, cada um deles vai estar com a sua chave pública instalada em um diretório ali. No UNIX, por exemplo, é ssh-authorized-underline-keys ssh-authorized-keys vai estar no Unix se você estiver em outro sistema vai estar em outro diretório assim por diante então saber onde está guardado isso é interessante também quando vocês estiverem fazendo a configuração ali e a sua chave privada essa é a mais importante você não pode armazenar ela é e nada na aws ea aws nunca vai retirar essa chave de você é sua é privada não é pra você deixar é contra as pessoas baixar ela então se baixa a chave privada pra pra sua máquina e depois você vê o que vai fazer com ela pra guard E aí a gente vai falar um pouco sobre a segurança dessa chave privada, beleza? O uso das chaves é o seguinte. A chave pública vai ser usada para criptografar as informações que só podem ser descriptografadas pela chave privada. Então você precisa dessas duas chaves, uma para criptografar e a outra descriptografar. Então se você não tiver a sua chave privada, ninguém vai conseguir descriptografar. A chave privada ninguém vai conseguir criptografar a chave privada ela vai ter que ser mantida por você e você vai guardar ela em um lugar que seja seguro um diretório seguro por exemplo e não vai compartilhar essa chave ela vai ser usada para criptografar depois a comunicação foi criptografada em cima é só que você tem que pensar bastante como é que você vai guardar essa chave privada eu vou dar algumas dicas aqui de guarda, tá? Primeira coisa, armazenamento seguro. Você não vai pegar essa chave e colocar na pastinha, sendo muito honesto. Você tem que colocar ela em algum gerenciador de chave lá, de KISS, com senha e protegido, com algum tipo de mídia criptografada, alguma coisa assim. Você não vai deixar ela largada em qualquer canto, tá bom? Outra coisa também, permissões desse arquivo. Se você tiver guardando essa chave privada, você tem que lembrar de tirar as permissões de acesso de outros usuários do seu grupo, por exemplo. Imagina que você está usando uma rede ou um computador, você tem que diminuir os privilégios também, então você tem que saber fazer a gestão de privilégios do seu computador aí, para você diminuir e deixar restrita só o seu usuário, porque senão outras pessoas podem ter acesso também e tem falha de segurança quando você faz isso, ainda mais quando a gente está falando de empresa, beleza?