Visão Geral

API Security and Governance with Kong for Regulated Environments. Este curso aprofunda a segurança e governança de APIs com Kong em ambientes regulados, abordando requisitos técnicos e operacionais exigidos por normas como LGPD, Open Banking, PCI-DSS e ISO 27001. Os participantes aprenderão a projetar, implementar e operar APIs seguras, auditáveis e governadas, aplicando controles de acesso, criptografia, rastreabilidade, segregação de responsabilidades e políticas de compliance utilizando o Kong API Gateway em ambientes on-premises, cloud e Kubernetes.

Objetivo

Após realizar este curso API Security and Governance with Kong for Regulated Environments, você será capaz de:

• Implementar controles de segurança alinhados a normas regulatórias
• Configurar autenticação forte e autorização granular
• Aplicar criptografia e proteção de dados sensíveis
• Implementar governança e políticas de API lifecycle
• Configurar auditoria, rastreabilidade e compliance
• Integrar práticas DevSecOps ao Kong
• Operar APIs de forma segura em ambientes regulados

Publico Alvo

• Arquitetos de APIs
• Especialistas em segurança da informação
• DevSecOps Engineers
• Platform Engineers
• Administradores de middleware
• SREs atuando em ambientes regulados

Pre-Requisitos

• Conhecimentos sólidos de APIs REST e HTTP
• Noções de segurança da informação e compliance
• Experiência básica com Kong ou API Gateways
• Familiaridade com Linux e containers

Materiais

Conteúdo Programatico

Module 1: Regulatory and Compliance Foundations

1. LGPD, PCI-DSS, and Open Banking overview
2. Regulatory requirements for APIs
3. Data classification and protection
4. Shared responsibility model

Module 2: Secure API Architecture with Kong

1. Secure API design principles
2. Zero Trust architecture
3. Control plane and data plane security
4. Multi-tenant architecture considerations

Module 3: Strong Authentication and Authorization

1. OAuth 2.0 and OpenID Connect flows
2. Mutual TLS (mTLS) implementation
3. JWT validation and claims enforcement
4. Fine-grained access control

Module 4: Data Protection and Cryptography

1. TLS configuration and hardening
2. Certificate lifecycle management
3. Encryption in transit and at rest
4. Protecting sensitive payloads

Module 5: Traffic Control and Abuse Protection

1. Rate limiting for regulated APIs
2. Quotas and consumer segmentation
3. Anti-abuse and threat mitigation
4. API firewall concepts

Module 6: Governance and Policy Enforcement

1. API standards and lifecycle governance
2. Versioning and deprecation policies
3. Policy enforcement using plugins
4. Organizational governance models

Module 7: Auditing, Logging, and Traceability

1. Audit trails and compliance logs
2. Request and response logging strategies
3. Correlation IDs and traceability
4. Evidence generation for audits

Module 8: Security and Compliance on Kubernetes

1. Kong security in Kubernetes environments
2. Secrets management and RBAC
3. Network policies and isolation
4. Secure ingress patterns

Module 9: DevSecOps and Continuous Compliance

1. Security as code concepts
2. CI/CD security checks
3. Automated policy validation
4. Continuous compliance monitoring

Module 10: Incident Response and Best Practices

1. Security incident scenarios
2. API breach response workflows
3. Post-incident analysis
4. Production security best practices