Definição

O que é CSPM (sem buzzword)

CSPM (Cloud Security Posture Management) é uma plataforma que audita continuamente a configuração das suas contas cloud (AWS, Azure, GCP, OCI) contra benchmarks de segurança, encontra misconfigurations e prioriza o que corrigir primeiro.

Na prática: "esse bucket S3 está público? Esse security group tem porta 22 aberta pra internet? O RDS está criptografado? O CloudTrail está ativo em todas regiões?" Multiplique por 12k+ recursos de um ambiente típico e você entende por que ninguém checa na mão.

Não é: EDR, WAF, SIEM, DLP nem code scanner. CSPM só olha a configuração do plano de controle cloud. Para onde começa o workload.

Onde entra

CSPM vs CWPP vs CNAPP

CSPM

Plano de controle

Configuração da conta cloud. Encontra: buckets públicos, portas abertas, chaves sem rotação, MFA ausente, drift de benchmark.

Lê: CloudTrail, Config, Azure Activity, GCP Audit

CWPP

Plano de workload

Conteúdo do workload. Encontra: vulnerabilidades em contêineres, malware em VM, runtime não-conforme, processos perigosos.

Lê: imagens de contêiner, processos de VM, pods Kubernetes

CNAPP

Unificado

Consolidação de CSPM + CWPP + CIEM + IaC scanning + Kubernetes security em plataforma única. Tendência desde 2024.

Exemplos: Orca, Wiz, Prisma Cloud, Defender CSPM

Recomendação pragmática para ambiente médio-grande: comece por CSPM, some CWPP em 6 meses, consolide em CNAPP no ano 2 se orçamento permitir.

O que monitorar

8 controles CSPM que importam (acima do ruído)

1. Exposição pública de dados

Buckets S3/Blob/GCS públicos, snapshots RDS públicos, acesso anônimo a storage, dashboards Kubernetes públicos.

2. Rede exposta

Security groups com 0.0.0.0/0 em portas sensíveis (22, 3389, 3306, 5432, 6379, 27017, 9200).

3. IAM/CIEM

Root account sem MFA, access keys com mais de 90 dias, permissões excessivas, wildcards amplos, service accounts de longa duração.

4. Criptografia em repouso / trânsito

EBS, RDS, S3, Blob sem criptografia, TLS < 1.2, chaves KMS sem rotação, tráfego interno inseguro.

5. Logging de auditoria

CloudTrail / Activity Log / Audit Log desligado ou enviando a destino sem proteção, retenção abaixo do compliance.

6. Kubernetes

API Server exposto, sem Pod Security Admission, Tiller aberto, privileged pods, Secrets como env vars em texto puro.

7. Drift de benchmark

Distanciamento do CIS AWS Foundations, Azure CIS, GCP CIS, NIST SP 800-53, PCI-DSS, LGPD, ISO 27001.

8. IaC

Scan pré-deploy de Terraform / CloudFormation / ARM / Bicep / Pulumi com Checkov, tfsec, Terrascan para impedir misconfig de nascer.

Combatendo o ruído

Como priorizar 5.000 findings

Todo CSPM moderno retorna milhares de findings no dia 1. O erro é abrir todos como ticket. A abordagem Evernow é um filtro tridimensional:

  • Dim 1 — Raio de explosão: A misconfiguração permite chegar a dado pessoal (LGPD), a dinheiro (sistemas de pagamento) ou ao plano de controle (root)? Sim → crítico independente de CVSS.
  • Dim 2 — Explorável hoje: Está alcançável da internet e o exploit é público? Sim → prioridade máxima.
  • Dim 3 — Esforço: A correção é um PR de IaC de 3 linhas ou uma migração de dado? Agrupe correções similares no mesmo sprint para otimizar esforço.
  • Resultado: 5.000 findings viram ~120 tickets acionáveis na semana 1, 40 na semana 3, < 20 na semana 6. Auto-supressão de findings em ambientes não-produtivos.
Tooling

Plataformas que a Evernow implanta em produção

Orca Security

CNAPP agentless com SideScanning: CSPM + CWPP + CIEM + IaC em um deploy.

AWS Security Hub

CSPM nativo só AWS, ROI rápido para ambientes all-AWS.

Qualys VMDR

VM + CSPM unificado, forte em ambientes híbridos.

→ CSPM gerenciado

A Evernow implanta, tuna e opera o seu CSPM.

FAQ

Perguntas frequentes sobre CSPM

CSPM nativo (AWS Security Hub) ou terceiro (Orca, Wiz, Prisma)?

Nativo serve para single-cloud e orçamento apertado. Terceiro é obrigatório em multi-cloud e quando precisa de CIEM, CNAPP ou correlação cross-account. Nativos não conversam entre si entre clouds.

Quanto custa um CSPM para engenharia de 200 pessoas?

Licenças cobradas por número de contas cloud ou workloads. Ambiente típico (20-40 contas, 3-5k workloads) fica em USD 90-250k/ano. Operação gerenciada pela Evernow adiciona R$ 25-60k/mês conforme escopo.

Vai quebrar nosso CI/CD ou workflow DevOps?

Só se ativar enforce-mode na semana 1. A abordagem Evernow é: mês 1 só observabilidade, mês 2 gating em PR com override, mês 3 hard gating em regras IaC críticas. Sem atrito com entrega.

CSPM substitui pentest do ambiente cloud?

Não. CSPM checa misconfigurações conhecidas contra benchmark. Pentest encadeia achados, explora lógica de negócio, ataca limites de CIEM/IAM, valida o que é de fato explorável. Se complementam.

Aprofunde

Conteúdos relacionados

DevSecOps 2026

Onde CSPM entra no pipeline CI/CD shift-left/shift-right.

CSPM gerenciado

Escopo técnico, entregáveis e KPIs.

SOC como Serviço

O SOC consome alertas CSPM e transforma em incidentes resolvidos.

Pronto para transformar cloud em superfície controlada?

30 min gratuitos de diagnóstico cloud — mostramos os 5 riscos críticos mais altos no seu ambiente hoje.

Fale com um especialista
Solicitar diagnóstico
Evernow

Consultoria especializada em cibersegurança: AppSec, proteção de dados, compliance e operações de segurança.

Soluções

Indústrias

Recursos

Empresa

Contato

Copyright Evernow © 2026. Todos os direitos reservados.