Visão Geral

Este curso ensina como projetar, implementar e manter infraestrutura como código (IaC) segura usando Terraform. Os participantes aprenderão boas práticas de segurança, organização de código, modularização, integração com provedores de identidade e segredo, automação de pipelines e auditoria/monitoramento da infraestrutura provisionada.

Objetivo

Após realizar este Curso Infraestrutura Segura com Terraform, você será capaz de:

• Projetar e organizar infraestrutura como código segura usando Terraform.
• Implementar módulos reutilizáveis e padrões de segurança (princípio do menor privilégio, segregação de redes).
• Integrar Terraform com gestores de segredos (Vault, AWS Secrets Manager, Azure Key Vault) e provedores de identidade (OIDC).
• Configurar pipelines CI/CD para execução segura do Terraform (plan/apply aprovados por revisão).
• Auditar, monitorar e aplicar políticas de conformidade (ex.: usando Sentinel, OPA/Gatekeeper, Terraform Cloud/Enterprise).
• Automatizar hardening de recursos (ex.: segurança de buckets, regras de segurança de instâncias, criptografia).

Publico Alvo

Profissionais de infraestrutura, engenheiros DevOps/SRE, arquitetos de nuvem e desenvolvedores que precisam automatizar e securizar infraestrutura em cloud pública ou híbrida.

Pre-Requisitos

• Conhecimentos básicos de Linux/linha de comando.
• Noções de redes e segurança (firewalls, VPN, ACLs).
• Conhecimento básico de algum provedor de nuvem (AWS, Azure ou GCP).
• Familiaridade com conceitos de Git (repositórios, branches, pull requests).

Materiais

Conteúdo Programatico

Módulo 1 — Fundamentos e boas práticas (3 horas)

1. O que é Infrastructure as Code (IaC) e por que segurança importa.
2. Conceitos básicos do Terraform: providers, resources, variables, outputs, state.
3. Boas práticas de estrutura de repositório (mono-repo vs multi-repo), organização em módulos.
4. Convenções de naming, tagging e versionamento de módulos.
5. Hands-on: criar um main.tf simples e rodar terraform init/plan/apply.

Módulo 2 — Gerenciamento de estado com segurança (3 horas)

1. O que é o state do Terraform e riscos associados.
2. Backends remotos seguros: S3 + DynamoDB (locking), Azure Storage, GCS.
3. Criptografia do state em repouso e em trânsito.
4. Políticas de acesso ao state (IAM).
5. Hands-on: configurar backend remoto (ex.: S3 + DynamoDB) com bloqueio e criptografia.

Módulo 3 — Modularização e reutilização segura (3 horas)

1. Criando módulos reutilizáveis: inputs/outputs, versões semânticas.
2. Publicação e consumo de módulos (private registry / Terraform Registry).
3. Evitando segredos em código: variáveis sensíveis e mecanismos de entrada.
4. Hands-on: criar e versionar um módulo de rede segura (VPC/Subnets/NSGs).

Módulo 4 — Gestão de segredos e identidade (4 horas)

1. Evitar secrets em arquivos .tf e no state: melhores práticas.
2. Integração com Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager.
3. Autenticação do Terraform: profiles, assumed roles, OIDC e identidade federada.
4. Hands-on: conectar Terraform a um secret store (ex.: Vault ou AWS Secrets Manager) e usar secrets via data sources.

Módulo 5 — Princípios de rede segura e recursos hardening (3 horas)

1. Modelagem de rede: subnets públicas/privadas, NAT, gateways, ACLs, security groups.
2. Hardening de recursos: storage buckets (políticas e criptografia), bancos gerenciados (TLS, backups), roles/min-privilege.
3. Automatizar políticas de segurança ao provisionar.
4. Hands-on: provisionar VPC com regras restritivas e um bucket com bloqueios públicos e criptografia.

Módulo 6 — Políticas e conformidade (3 horas)

1. Implementando políticas com Sentinel (Terraform Cloud/Enterprise) e alternativas open-source (OPA/Rego, Conftest, Gatekeeper).
2. Exemplo de regras: proibir instâncias públicas, exigir tags, verificar tipos de storage, exigir criptografia.
3. Integração de checks policy-as-code no pipeline.
4. Hands-on: escrever regras OPA/Rego para validar planos Terraform.

Módulo 7 — CI/CD seguro para Terraform (3 horas)

1. Padrões para executar terraform plan em PR e terraform apply somente após aprovação.
2. Gestão de credenciais no CI (secrets store, ephemeral credentials).
3. State locking e concorrência em pipelines.
4. Rollback, drift detection e execução automatizada.
5. Hands-on: configurar pipeline (ex.: GitHub Actions / GitLab CI / Azure Pipelines) com plan e apply protegidos.

Módulo 8 — Auditoria, logging e monitoramento (2 horas)

1. Logs de auditoria do provedor cloud (CloudTrail, Azure Activity Logs, Cloud Audit Logs).
2. Monitoramento de segurança: alertas, detecção de drift e remediation automatizada.
3. Integrar com ferramentas de SIEM e notificações.
4. Hands-on: configurar alertas básicos para mudanças críticas na infraestrutura.

Módulo 9 — Casos avançados e laboratório final (3 horas)

1. Multi-account / multi-tenant strategy (workspaces, backends por ambiente).
2. Patterns avançados: blue/green infra, infra imutável, infra efêmera.
3. Laboratório final: projeto completo — criar infra para aplicação segura (rede, DB, app) com módulos, pipeline, políticas e integração de segredos.
4. Revisão e análise do plano para identificar riscos.