Já estamos mais do que cientes que o mundo cloud veio pra ficar... as empresas estão cada vez mais migrando sua infraestrutura on-premises para a nuvem, e com isso a abordagem de segurança também deve acompanhar essa evolução. Basicamente os controles de segurança que precisamos fazer em infraestrutura baseada em nuvem são diferentes daqueles para um datacenter tradicional. Há também ameaças específicas para um ambiente de nuvem...como por exemplo o guia da Owasp: OWASP API Security - Top 10 | OWASP e também OWASP Cloud-Native Application Security Top 10.

Ta beleza mas eai? qual certificação voltada pra segurança devo fazer? bom...baseado em um levantamento das principais vagas e clouds mais usadas, elenquei as seguintes certs a seguir...

Azure Security Engineer Associate

Lógico que eu iria começar por ela né heheh...recentemente fui aprovado, depois de 2 longos meses estudando (certificação mais difícil que fiz até o momento). Essa certificação visa validar sua experiência na implementação de controles de segurança e proteção contra ameaças na plataforma Azure da Microsoft, bem como as habilidades para gerenciar identidade e acesso e proteger dados, aplicativos e redes. Como acontece com muitas das certs desta lista, não há pré-requisitos formais, mas isso não é para novatos: espera-se que você não só já seja um administrador especialista do Azure, mas também tenha habilidades sólidas de scripting e automação, e uma compreensão de redes, virtualização e arquiteturas baseadas em nuvem.

Oferecido por: Microsoft

Pré-requisitos: Nenhum, embora a Microsoft tenha treinamento, ela recomenda que você conclua.

Formato do teste: 40-60 questões de múltipla escolha.

Custo: $ 165

Site oficial: https://docs.microsoft.com/en-us/learn/certifications/azure-security-engineer/

CompTIA Cloud+

Cloud+ é uma certificação geral de administração de nuvem em vez de um cert de segurança, mas inclui um amplo conteúdo de segurança na nuvem e muitos profissionais da área mencionaram ela como uma boa cert intermediaria, na qual demonstra tanto conhecimento em segurança quanto em cloud. É um sucessor do comptia cloud essentials+ ela é bem técnica; embora não haja pré-requisitos formais, recomenda-se dois a três anos de experiência sysadmin.

Oferecido por: CompTIA

Pré-requisitos: Nenhum

Formato do teste: 90 questões baseadas em desempenho e de múltipla escolha

Custo: $ 338

Site oficial: https://www.comptia.org/certifications/cloud

AWS Certified Security — Specialty

O AWS da Amazon é provavelmente a plataforma de nuvem pública mais usada e, portanto, obter certificação de segurança para isso pode aumentar suas perspectivas de emprego. Um AWS Certified Security — Specialty — demonstra um entendimento das classificações especializadas de dados e medidas de proteção da AWS, como a AWS implementa criptografia e os serviços e recursos de segurança incorporados na plataforma.

Oferecido por: AWS

Pré-requisitos: Nenhum

formato de teste: 65 perguntas de múltipla escolha.

Custo: $300 (você pode comprar um exame de prática por $40)

Site oficial: https://aws.amazon.com/certification/certified-security-specialty/

Professional Cloud Security Engineer

O título deste cert pode parecer genérico, mas é especificamente orientado para o Google Cloud, arredondando os provedores de plataformas de nuvem Big Three. Um titular da certificação Professional Cloud Security Engineer deve ser capaz de projetar e implementar uma infraestrutura segura na nuvem do Google.

Oferecido por: Google

Pré-requisitos do Google: Nenhum

formato de teste: 50 perguntas de múltipla escolha e várias seleções

Custo:$200

Site oficial: https://cloud.google.com/certification/cloud-security-engineer

Certified Kubernetes Security Specialist (CKS)

Kubernetes é a plataforma dominante para orquestrar aplicativos baseados em contêineres, que na prática quase sempre funcionam na nuvem. A certificação CKS é para profissionais de alto nível da Kubernetes que querem demonstrar que entendem as melhores práticas para proteger aplicativos baseados em contêineres desde a construção até a implantação até o tempo de execução.

Oferecido por: Cloud Native Computing Foundation

Pré-requisitos: Os candidatos devem possuir um certificado de Administrador do Kubernetes

Formato de teste: teste baseado em desempenho em que os participantes resolvem várias tarefas em uma linha de comando executando Kubernetes.

Custo: $375

Site oficial: https://www.cncf.io/certification/cks/

Com isso podemos concluir.... Todas essas certificações são uma boa forma de você conseguir chamar atenção das empresas e recrutadores, além daquela moralzinha básica pra falar de determinada tecnologia e ser bem visto no mercado, potencializando muito as chances de conseguir um bom trabalho, seja com emprego fixo ou consultorias. Porém vale lembrar que não é tudo, certificação é apenas um titulo e o que vale é o que você consegue entregar, gerar valor pra empresa... sempre digo que tirar certificação é um "fardo" que você carrega...a responsabilidade de ter o título! (lembra dos grandes poderes grandes responsabilidades né? então hehehe). Estudem e pratiquem! valeu.

Neste artigo explico como funciona uma VPN de forma rápida e direta!

Atualmente as ameaças à segurança e privacidade se tornaram cada vez mais perigosas e avançadas, o que amplia a necessidade de um meio protegido modernizado para proteger os dados na internet. Neste artigo, a Rede Privada Virtual (VPN) é uma ótima maneira (talvez uma das melhores) de proteger dispositivos e informações de criminoso virtuais vulgo (cibercriminosos) ou de agencias reguladoras...rsrsrs. VPN é uma rede privada que opera sob uma rede pública e transita as informações de forma criptografada, com isso os invasores não conseguem ver (de forma legível) o que esta "passando" agora segue o fio abaixo para melhor entendimento com base em um grande acontecimento na história da computação.

Contexto histórico: considerado o start inicial da criptografia moderna, a tão famosa maquina enigma, em que os nazistas a utilizavam como forma de comunicação "segura"... segura entre aspas porque os aliados (graças ao pai da computação Alan Turing) quebraram o código certo tempo depois...rsrsrsr. Então, a mesma embaralhava as informações previamente para que fossem transmitidas via rádio, quem capturasse essa informação não iria entender. Obs: a interceptação ocorria, apesar da criptografia, as mensagens podiam ser capturadas por qualquer pessoa com um receptor de rádio. O desafio era decodificá-las!

Voltando aos dias atuais, o objetivo da VPN é fornecer os diferentes elementos de segurança, como autenticidade, confidencialidade e integridade de dados, e é por isso que eles estão se tornando modernos, baratos e fáceis de usar. Os serviços VPN estão disponíveis para smartphones, computadores e tablets. Este artigo também trata dos protocolos, tunelamento e segurança da VPN, é uma tecnologia ainda em ascensão que desempenha um papel importante na internet, fornecendo transmissão segura de dados pela Internet.

VPN é uma estrutura de rede que tem efeito em uma rede pública para proteger dados confidenciais compartilhados na rede pública. Surgiu como uma solução econômica e correta em diferentes organizações de rede e telecomunicações. A Rede Privada Virtual (VPN) é a parte mais útil de qualquer empresa de TI porque economiza o enorme custo de infraestrutura usando a Internet aberta para criar um meio de comunicação altamente protegido do escritório corporativo para sites e usuários isolados.

Como funciona a VPN?

Geralmente, VPN é um modelo baseado em assinaturas (para usuários finais...já no caso de empresas é necessário aplicação/equipamento específicos, explicação abaixo). Isso significa que o usuário deve baixar um aplicativo de seu provedor e se inscrever por um período de tempo concedido para usar sua rede privada para proteger os diferentes dispositivos. O preço varia entre os provedores, mas geralmente é um pagamento mensal que diminuirá constantemente com base na duração do período de assinatura (mensal ou anual). Os aplicativos VPN gratuitos também estão disponíveis na App Store/playstore ou windows store para vários sistemas operacionais. Antes de usar VPN, lembre-se de que seu provedor VPN pode manter um registro de suas atividades online que podem muito bem ser compartilhadas com as autoridades, caso elas perguntem. A comunicação da rede privada do usuário existe pela Internet e a conexão é segura e privada. A Rede Virtual de Acesso Remoto é útil para usuários domésticos e empresariais.

Já no caso de VPN corporativa, é criado uma conexão segura e criptografada entre os dispositivos dos funcionários e a rede da empresa, permitindo o acesso remoto seguro a recursos como servidores e arquivos, independentemente da localização (como se eles estivessem conectados localmente lá). Essa criptografia protege informações confidenciais, como senhas e emails, especialmente em redes Wi-Fi públicas. Além de segurança, as VPNs empresariais facilitam o trabalho remoto, ajudam na conformidade com regulamentações de segurança de dados e oferecem aos administradores de TI controle sobre o acesso à rede.

Vantagens

• As VPNs se livram das restrições geográficas.

• A privacidade online não está mais em risco.

• Protege de cibercriminosos.

• A transferência de dados é criptografada.

• Internet tradicional ou mesmo redes a cabo são tudo o que você precisa para se conectar à internet e usar a rede pública para tunelar uma conexão privada com VPN.

Túnel

Tunelamento é um método no qual um pacote de rede é agrupado em outro. O pacote encapsulado é chamado de pacote tunelado e o pacote externo é chamado de pacote de transporte, que encapsula. Todas as informações contidas no pacote são criptografadas no nível mais baixo, o nível de link do modelo OSI. Tal como acontece com as VPNs, o conceito de tunelamento está disponível há muitos anos. Ele tem sido usado para fazer a ponte entre porções da internet que foram desunidas de capacidades ou políticas. No topo do protocolo de internet, o túnel atua como um roteador.

Rede Privada Virtual de Acesso Remoto

A VPN de acesso remoto permite que um usuário se conecte a uma rede privada e acesse remotamente todos os seus serviços e recursos.

Rede Privada Virtual Site-a-Site

A VPN site a site cria uma conexão virtual entre as redes em escritórios geograficamente isolados e os conecta pela internet e mantém uma comunicação de rede segura e privada. Neste, um roteador atua como um cliente VPN e outro atua como um servidor VPN, pois está focado na conectividade entre a rede e o usuário. Se apenas a autenticação entre os dois roteadores for verificada, a conexão será iniciada.

• Protocolo de Tunelamento Ponto a Ponto (PPTP)

O PPTP constrói um túnel e envolve o pacote de dados. O Protocolo Ponto a Ponto é usado para criptografar os dados entre os links. O Protocolo de Tunelamento Ponto a Ponto é um dos protocolos VPN mais usados para redes dial-up, originalmente desenvolvido pela Microsoft e está em uso desde o primeiro lançamento do Windows. Além do Windows, o PPTP também é usado no Linux e no Mac.

• Segurança do Protocolo de Internet (IPSec)

O IPSec é usado em uma rede IP para proteger a comunicação pela Internet. Para fornecer criptografia, o IPSec costuma ser combinado com outros protocolos VPN, mas também pode ser usado sozinho. É amplamente usado VPNs de site para site e muitos aplicativos iOS. O IPSec é executado em dois modos: tunelamento e modo de transporte.

• Camada de Soquetes Seguros (SSL) e Segurança da Camada de Transporte (TLS)

SSL e TLS criam uma conexão VPN onde o navegador da web serve como host e o acesso do usuário aos aplicativos é restrito em vez de toda a rede. Portais de compras online costumam usar o protocolo SSL e TLS. Os navegadores da Web podem alternar facilmente para SSL, pois são incorporados a SSL e TLS. As conexões SSL têm "https" no início da URL em vez de "http".

• OpenVPN

OpenVPN é uma VPN de código aberto amplamente utilizada para desenvolvimento de links ponto a ponto e site a site. Ele usa um protocolo de autenticação padrão baseado em SSL e TLS. O OpenVPN permite que os usuários protejam seus dados usando criptografia de chave AES-256 bits virtualmente inquebrável.

PRINCIPAIS SERVIÇOS DE REDE PRIVADA VIRTUAL

Lista de provedores de serviços VPN:

1. Proton

2. NordVPN

3. ExpressVPN

4. CyberGhost

5. Kaspersky VPN

Outros links sobre:

https://cybernews.com/br/melhores-vpns/

https://cybersecuritynews.com/vpn-alternatives/

A Rede Privada Virtual usa várias ferramentas para proteger os dados que fluem pela Internet. Algumas das tecnologias usadas por VPN são as seguintes:

Firewalls

Um firewall de Internet usa essas estratégias para verificar os endereços de rede nas portas ou pacotes solicitados nas conexões de entrada para determinar qual tráfego é permitido em uma rede. Embora a maioria dos serviços VPN não tenham firewalls diretamente por si próprios, eles constituem uma parte integrante de uma VPN. O objetivo do firewall é evitar que tráfego indesejado acesse sua rede enquanto os próprios usuários da VPN podem acessá-la. A filtragem de pacotes é o firewall mais popular que impede o cruzamento do roteador de gateway de especificar o endereço IP. Um exemplo de roteador de suporte VPN é o Cisco Private Internet Exchange (PIX), que oferece suporte à filtragem de pacotes.

Autenticação

A autenticação é a chave para as VPNs, pois garante que as partes de troca compartilhem dados com o cliente ou servidor. É análogo a "fazer logon" em um esquema de nome de usuário e senha. A maior parte da autenticação VPN é totalmente baseada em uma chave compartilhada. As chaves são executadas usando um algoritmo de hash, produzindo um valor de hash. A outra parte que possui as chaves deve gerar seu valor de hash pessoal e compará-lo com o obtido da outra extremidade. O valor de hash enviado a um invasor pela Internet é insignificante, portanto, alguém que espionar a rede não conseguiria coletar uma senha. Exemplo de sistema de autenticação é RSA.

Criptografia

A criptografia costuma ser vista como tão importante quanto a autenticação, porque protege os dados que estão sendo transmitidos. As VPNs usam duas técnicas comuns para criptografia: chave pública e oculta (privada): A criptografia de chave pública requer uma chave privada e pública. Você revela sua chave publica para todos, mas mantém sua chave privada apenas para você. Na criptografia, todas as partes que precisam das informações criptografadas têm uma frase secreta específica ou senha secreta, que é usada para criptografar e descriptografar as informações.

CONCLUSÃO

Em um mundo cada vez mais dependente da internet, a segurança e a privacidade online se tornaram preocupações primordiais. A VPN)surge como uma ferramenta poderosa para proteger os usuários de ameaças cibernéticas e garantir a confidencialidade dos seus dados. Através da criptografia e do tunelamento, a VPN cria um canal seguro para a transmissão de informações, protegendo-as de olhares indiscretos e possíveis ataques.

A crescente demanda por soluções de segurança online impulsiona a constante evolução da tecnologia VPN. Novos protocolos e recursos são desenvolvidos para oferecer maior proteção e desempenho aos usuários.

Resumindo... a VPN desempenha um papel crucial na proteção da privacidade e segurança online, permitindo que os usuários naveguem na internet com liberdade e tranquilidade. Seja para uso pessoal ou profissional, a VPN se tornou uma ferramenta indispensável na era digital.

REFERENCIAS

Kanuga Karuna Jyothi, Dr. B. Indira Reddy “Study on Virtual Private Network (VPN), VPN’s Protocols And Security”, Int © 2018 JSRCSEIT | Volume 3 | Issue 5.

Komalpreet Kaur, Arshdeep Kaur “A Survey of Working on Virtual Private Network” © 2019.

D. Simion, M.F. Ursuleanu, A. Graur, A.D. Potorac, A. Lavric “Efficiency Consideration for Data Packets Encryption with in Wireless Tunneling for Video Streaming” INT J COMPUT COMMUN

Charlie Scotte et al., “Virtual Private Network” Second Edition, O’Reilly, January 1999

No mundo em constante evolução da tecnologia , manter-se atualizado com as últimas tendências é crucial. As certificações de TI tornaram-se um caminho indispensável para profissionais que buscam se destacar e validar suas habilidades em um mercado altamente competitivo.

No entanto, o processo de obter uma certificação de TI pode ser desafiador e exigente. Requer não apenas um domínio do conteúdo, mas também uma abordagem estratégica e uma mentalidade dedicada. Neste artigo, exploraremos as cinco dicas essenciais que o guiarão no caminho para o sucesso na obtenção de certificações de TI.

Avaliação Inicial

Antes de começar, avalie seu nível atual de conhecimento sobre o assunto da certificação, isso o ajudará a identificar as áreas que precisam de mais atenção e também mensurar quanto esforço e tempo você precisa para ser aprovado.

Existem situações na qual a pessoa nunca mexeu em determinada tecnologia, ou nunca trabalhou com ela, Nesse caso, essa pessoa precisará se dedicar mais e fazer mais laboratórios do que alguém que já tem alguma experiência.

Organizar o tempo

Levando em consideração a avaliação inicial, você precisa calcular o tempo e esforço para o tipo de prova que irá fazer, se for uma prova fundamentals por exemplo (Microsoft AZ-900, AWS Cloud Practitioner, CompTIA+, ITIL V4, ISO 27001) são provas relativamente fáceis, mesmo que você nunca tenha trabalhado com isso, acredito que 2 a 3 semanas são suficientes, pensando que você sempre vá estudar no mínimo 6 vezes por semana, de 1 a 3 horas, claro que isso vai de pessoa para pessoa. Agora para provas de nível intermediário para avançado por exemplo: AZ 104 ou AZ 500, CompTIA Security, AWS Certified Solutions Architect, CEH, CCNA, dentre outras) acredito que o tempo já deve ser muito bem calculado, levando ai de 1 mês a 3 meses, algumas mais pesadas tipo OSCP podem levar 6 meses por exemplo.

Plano

Crie um cronograma e siga à risca. Não se desvie do foco. Os métodos que os concurseiros geralmente seguem são bastante eficazes, pois conseguem extrair o máximo de informação em menos tempo, otimizando os estudos. Anote os pontos importantes, foque em estudar por partes e se comprometa a seguir o tempo planejado.

Tirar uma certificação é algo importante e requer um esforço, não desperdice seu tempo querendo reinventar a roda, o que eu quero dizer, estude com quem entende de verdade e ou já passou na certificação que você quer, isso significa estudar com referências no mercado, porém, bons materiais geralmente são pagos, se você puder compre! o melhor conselho é escolher escolas e institutos renomados que aprovam, por exemplo: Ka Solutions (são feras em Microsoft e AWS), 4 Linux (são os melhores em Linux no Brasil), Acadi TI (referência em certificações de segurança)...aaa mais cara não tenho grana ou....cara consigo estudar por conta própria tranquilamente, tudo bem, se você já trabalha e domina determinada tecnologia, ótimo, seu esforço será menor e realmente talvez não necessite pagar caro em um curso, tem bons materiais gratuitos e também de custos acessíveis (udemy), mas eu sigo aquilo que da certo, não tenho tempo para me debruçar meses e meses, gosto de otimizar meu tempo (que é precioso) por isso eu pago cursos para conseguir ser aprovado mais rápidamente.

Independente do tipo de prova que você irá fazer (tanto prática ou múltipla escolha) você deve ter um contato direto com a tecnologia/metodologia em questão, então para conseguir ir além e ter facilidade na hora de responder as perguntas, deve se ter uma imersão naquilo que está sendo cobrado, não fique apenas lendo ou vendo os vídeos do curso, faça! tome as notas necessárias e parta para a prática, suba laboratórios locais ou utilize labs em cloud, mas não fique jamais sem interagir com o que está sendo cobrado.

Nos últimos meses tive um grande desafio (parceria feita com um amigo) de criar um curso de informática para concurso público no canal do Youtube dele (segue #atualização 2024/2 ele retirou as aulas gratuitas e agora são pagas no site dele rsrsrs, mas tem parte da playlist de sec - Aula 03 - Segurança da informação e Segurança Cibernética - Parte 01 - YouTube) não tenho muito contato com esse mundo de concurso, mas aprendi muito criando o conteúdo e interagindo com os concurseiros, aprendi uma lição importante, sobre a mentalidade e determinação que eles tem, uma garra e força de vontade de passar que beira a loucura, muitos veem o concurso (e com razão) como mudança de vida, estudam horas a fio todo os dias por meses, alguns por anos, e eles acreditam que vão passar! agora imagina essa força voltado para estudar provas de certificação? imagina quantas provas não daria para fazer em 2 anos por exemplo? pensou? então porque não pensar que a certificação vai mudar sua vida também? tenho certeza que uma boa certificação pode ser o passo para isso...

Primeira coisa que eu faço, crio um plano anual, do que estudar e fraciono o tempo por prova/meses, caso tenha conhecimento prévio de já trabalhar com a tecnologia (como foi o caso da ultima Azure az-104 que passei) estudei sozinho com os cursos que já tinha e vi materiais na internet, caso não tenha conhecimento, pesquiso qual melhor instituição e compro o curso deles, logo em seguida eu marco a prova, isso mesmo, eu marco a prova pra depois estudar a fundo, por exemplo, o curso tem 1 mês aulas ao vivo, assisto as aulas em seguida marco a prova para o próximo mês, eu me forço e me cobro pois já marquei a prova (cuidado com isso, marque com uma margem que você tenha confiança).

Segundo ponto, eu calculo o tempo em horas do curso e vejo em quantos dias vou terminar, tento finalizar a parte de vídeo o mais rápido possível (um ponto importante é descobrir sua forma de aprendizado, eu por exemplo sou muito visual, aprendo com os vídeos em segundo leio em terceiro aplico). Tento consumir o máximo de conteúdo (praticamente engulo 4 a 6 horas de conteúdo em 3 horas por dia, colocando os vídeos em x2 ou as vezes x3) então se o curso tem 40 horas por exemplo, termino ele em 1 semana em média, depois na segunda e terceira semana eu leio conteúdos extras e referências e assisto novamente o curso com mais calma, anotando e tendo novos insights (muitas vezes já dividindo a tela e fazendo a parte prática de laboratórios) a quarta semana eu finalizado os laboratórios e parte prática, na quinta semana eu foco em simulados (caso seja prova de questões), a parte de simulados é muito importante, pois nela que você vai avaliar seu progresso. Portanto, um curso de 40 horas de uma prova intermediária por exemplo, marque para 45 dias, pois assim caso você não se saia bem nos simulados, ainda terá mais 1 semana para estudar e aperfeiçoar os pontos fracos.

Então é isso... caso esteja pensando em fazer uma prova, esta com receio ou quiser bater um papo fique a vontade pra me chamar, prazer imenso em conversar e ajudar a comunidade! valeu galera.