1) Defesa em profundidade para serviços e APIs
quando usar

Implemento uma filosofia de camadas, não depender de uma única ferramenta. Abaixo está o que priorizo na prática, com foco em tráfego público vs. tráfego interno.

• Obrigatoriedade de TLS 1.2+ em todas as bordas; use mTLS para comunicação entre serviços críticos.
• Autenticação e autorização modernas: OAuth 2.0 com PKCE para clientes públicos e OIDC para identidade; tokens curtos com refresh seguro.
• Rotina de rotação de chaves e gestão de certificados (ACME/Let’s Encrypt, automação de renovação, pinning quando aplicável).
• Gestão de segredos por eliminação de credenciais estáticas; utilize vaults seguros e políticas de acesso com o mínimo privilégio.

Quando aplicar:

• APIs públicas com usuários finais: TLS obrigatório, OAuth/OIDC para autorização e identidade.
• Serviços internos entre equipes: mTLS para validação mútua, rotação de segredos automatizada.

2) Proteção de conteúdo e integridade: CSP, SRI, HSTS
quando usar

A integridade do conteúdo é tão importante quanto a confidencialidade. Adoto políticas estritas de origem e validação de recursos, junto a controles de carregamento de código.

• Content Security Policy (CSP) para limitar fontes de script, estilos e conteúdo externo.
• Subresource Integrity (SRI) para garantir a integridade de ativos carregados de terceiros.
• HSTS para evitar downgrade de protocolo; configuração adequada evita ataques de downgrade e cookies expostos.
• Validação de conteúdo estático com checksum ou hash para builds release-only.

Exemplo típico de CSP básico:

Content-Security-Policy:
  default-src 'self';
  script-src 'self' 'nonce-';
  style-src 'self' 'unsafe-inline';
  img-src 'self' data:;
  connect-src 'self';
  font-src 'self';
  object-src 'none';
  base-uri 'self';
  frame-ancestors 'none';

Observação: utilize nonce dinâmico por página para inline scripts ou opte por hashes para recursos estáticos. Combine CSP com HSTS para uma proteção mais robusta.

3) Bordas e runtime: WAF, RASP e Zero Trust
quando usar

A segurança não fica apenas no código; a borda e o runtime devem impedir, detectar e mitigar ataques com eficiência.

• WAF (Web Application Firewall) para bloqueio de padrões comuns de ataque e políticas baseadas em regras.
• RASP (Runtime Application Self-Protection) embutido na aplicação para detectar comportamentos anômalos em tempo real.
• Zero Trust: verificação contínua, autenticação forte e segmentação de rede entre serviços; trate cada chamada como potencial risco.
• CDN com regras de segurança na borda para reduzir superfície de ataque e reduzir latência de inspeção.

4) Observabilidade e resposta a incidentes
quando usar

Segurança eficaz depende de visibilidade: monitoramento, logs e respostas rápidas a sinais de comprometimento.

• Centralize logs de aplicações, rede e identidade; padronize formatos (ex: JSON) para facilitar correlação.
• Observabilidade com traces distribuídos, métricas de tempo de resposta e alertas bem calibrados.
• Runbooks de resposta a incidentes claros, com pessoas, processos e comunicações bem definidos.
• Práticas de melhoria contínua: revisão pós-incidente, lições aprendidas e atualização de políticas.