A transformação digital das organizações trouxe consigo uma nova camada de complexidade: a proliferação de identidades não humanas ou NHI- Non-Human Identities, em ambientes de nuvem
Essas identidades — que incluem workloads, contêineres, scripts automatizados, funções serverless, dispositivos IoT e contas de serviço — operam silenciosamente, executando tarefas críticas sem qualquer interação humana direta. Elas são, em essência, os “usuários invisíveis” da infraestrutura digital moderna. E como qualquer identidade, precisam ser autenticadas, autorizadas e protegidas.
O Crescimento Silencioso das Superfícies de Ataque
O problema é que, diferentemente dos usuários humanos, essas entidades não seguem os mesmos protocolos de segurança. Muitas vezes são criadas por desenvolvedores ou arquitetos de sistemas sem uma política clara de governança, recebem permissões excessivas por conveniência e permanecem ativas indefinidamente, mesmo após mudanças na arquitetura ou na equipe. O resultado é uma superfície de ataque crescente, difícil de mapear e ainda mais difícil de controlar.
Em ambientes cloud-native, onde a escalabilidade e a automação são imperativos, essas identidades não humanas se multiplicam rapidamente.
Cada microserviço, cada pipeline de CI/CD1, cada função em execução pode representar uma identidade com acesso a dados sensíveis, sistemas críticos e recursos computacionais.
E quando essas identidades são mal gerenciadas — com credenciais expostas, tokens sem rotação ou certificados vencidos — tornam-se alvos preferenciais para agentes maliciosos.
O Estudo da Tenable e o Impacto da Governança Unificada
Segundo o estudo The Value of Data Security Integrated into a Unified Cloud Security Strategy, publicado pela Tenable, organizações que adotam uma abordagem unificada de segurança na nuvem conseguem reduzir em até 70% o risco de exposição de dados sensíveis. O estudo destaca que a integração entre proteção de dados, gerenciamento de identidade e visibilidade de workloads é essencial para mitigar os riscos associados às identidades automatizadas. O infográfico completo está disponível em tenable.com.
A Autenticação Segura com Certificados X.509
Nesse contexto, a autenticação segura dessas entidades torna-se um pilar fundamental. E é aqui que entram os certificados digitais X.509 — X.509 Public Key Certificate (Certificado de Chave Pública X.509) — e a infraestrutura de chave pública, conhecida como PKI — Public Key Infrastructure (Infraestrutura de Chave Pública).
Os certificados X.509 são documentos digitais que vinculam uma chave pública criptográfica à identidade de uma entidade — seja ela um servidor, um dispositivo, uma aplicação ou um serviço automatizado. Eles seguem o padrão definido pela ITU-T e são amplamente utilizados em protocolos como SSL/TLS, S/MIME, autenticação de cliente e assinatura de código. O certificado X.509, permite extensões que tornam esses certificados altamente versáteis, capazes de representar múltiplas identidades e funções em ambientes complexos.
O protocolo SSL/TLS garante comunicação segura entre sistemas, e para isso utiliza certificados digitais X.509 durante o processo de handshake. Esse handshake é uma troca inicial de informações entre cliente e servidor, onde o certificado X.509 é apresentado para autenticar a identidade do servidor. Com isso, as partes estabelecem uma conexão criptografada e confiável. Sem o certificado X.509, o SSL/TLS não teria como verificar quem é quem.
Complementando, a chave pública contida no certificado é usada para criptografar dados e verificar assinaturas digitais, enquanto a chave privada correspondente — que nunca deve ser exposta — é armazenada com segurança pelo titular da identidade. Essa separação é o que garante a integridade da comunicação e a autenticidade das transações.
O Papel da PKI na Confiança Digital
Para que esse modelo funcione, é necessário um ecossistema confiável de emissão, validação e revogação de certificados: a PKI. A PKI é composta por autoridades certificadoras (ACs), repositórios de certificados, listas de revogação (CRLs) e mecanismos de validação. Ela é responsável por garantir que cada certificado emitido seja legítimo, que sua chave pública corresponda à identidade declarada e que ele esteja dentro do período de validade. Em ambientes corporativos, a PKI pode ser integrada a sistemas de IAM — Identity and Access Management (Gerenciamento de Identidade e Acesso) — permitindo que identidades não humanas sejam autenticadas com o mesmo rigor que usuários humanos.
Luis Eduardo Viegas, diretor comercial da Soluti Digital, uma das principais autoridades certificadoras do Brasil, destaca que…
“A adoção de certificados X.509 para workloads e aplicações automatizadas é uma tendência irreversível.
As organizações estão percebendo que não basta proteger o acesso humano — é preciso garantir que cada processo, cada serviço, cada contêiner tenha uma identidade verificável e segura. E isso só é possível com uma PKI bem estruturada, integrada aos fluxos de autenticação e autorização da nuvem.”
A Segurança das Chaves Privadas com HSMs
Mas a segurança dos certificados não termina na emissão. A chave privada associada a cada certificado precisa ser armazenada com extremo cuidado. Se essa chave for comprometida, todo o modelo de confiança da PKI desmorona. É por isso que fabricantes de HSMs — Hardware Security Modules (Módulos de Segurança em Hardware) — desempenham um papel estratégico nesse ecossistema.
Os HSMs são dispositivos físicos projetados para gerar, armazenar e proteger chaves criptográficas. Eles oferecem resistência contra ataques físicos e lógicos, garantem que as chaves nunca sejam exportadas em texto claro e permitem operações criptográficas dentro de um ambiente seguro. Em aplicações críticas, como autenticação de workloads em nuvem, assinatura de código e proteção de dados sensíveis, o uso de HSMs é considerado uma boa prática — e, em muitos casos, uma exigência regulatória.
Marco Zanini, CEO da DINAMO Networks, maior fabricante nacional de HSMs, afirma que…
“A proteção das identidades digitais não humanas depende de uma fundação inegociável: a chave privada, que deve ser protegida por hardware, e não por software. É aí que entram os HSMs (Hardware Security Modules). Eles criam uma raiz de confiança que garante que, mesmo que o sistema operacional, a aplicação ou a rede sejam comprometidos, as chaves permaneçam inacessíveis. Essa camada de segurança é vital, especialmente na nuvem, onde a exposição é global e os ataques são automatizados.
Essa exigência de proteção ultrapassa a mera recomendação técnica e se torna uma política de Estado no Brasil. O Banco Central do Brasil, por meio de portarias, determina que todas as chaves criptográficas utilizadas no sistema financeiro sejam armazenadas exclusivamente em HSMs, e nunca em servidores comuns. Para as empresas que operam em setores críticos, seguir esse padrão não é opcional; é o caminho para garantir a conformidade legal e a segurança operacional.“
CIEM e o Controle de Permissões na Nuvem
Além da autenticação, é preciso controlar o que essas identidades podem fazer. É aqui que entra o CIEM — Cloud Infrastructure Entitlement Management (Gerenciamento de Permissões em Infraestrutura de Nuvem). Essa abordagem permite visualizar, analisar e ajustar as permissões concedidas a cada identidade na nuvem, sejam elas humanas ou não humanas. O CIEM identifica excessos de privilégio, acessos não utilizados e configurações perigosas, permitindo que as equipes de segurança apliquem o princípio do menor privilégio de forma contínua e automatizada.
A integração entre PKI, CIEM e IAM forma o tripé da segurança de identidades não humanas. Com certificados X.509 emitidos por autoridades confiáveis, armazenados em HSMs e gerenciados por sistemas de autorização granular, as organizações conseguem proteger seus workloads, aplicações e serviços automatizados com o mesmo rigor que aplicam aos usuários humanos.
Protegendo o Invisível
Para o leitor não técnico, vale entender que estamos falando de uma nova geração de “usuários digitais” — programas e sistemas que operam sozinhos, mas que precisam provar quem são e o que podem fazer. Assim como uma pessoa precisa de um documento de identidade e uma senha para acessar um sistema, uma aplicação automatizada precisa de um certificado digital e uma chave criptográfica. E assim como guardamos nossas senhas com cuidado, essas chaves precisam ser protegidas por dispositivos especializados, como os HSMs.
No fim das contas, a segurança na nuvem não é apenas sobre proteger dados — é sobre proteger identidades.
E isso inclui aquelas que não têm rosto, não têm voz, mas que operam silenciosamente em nome da organização. Ignorar essas identidades é abrir brechas invisíveis. Controlá-las é garantir que cada processo, cada serviço, cada workload esteja sob vigilância, autenticado e autorizado. É nisso que o Crypto ID acredita — e é isso que este artigo pretende reforçar.
- Pipeline de CI/CD é uma sequência automatizada de etapas que permite que o código de software seja desenvolvido, testado e implantado de forma contínua e eficiente. A sigla CI/CD significa:
CI – Continuous Integration (Integração Contínua): prática de integrar alterações de código feitas por diferentes desenvolvedores em um repositório compartilhado várias vezes ao dia. Cada integração é automaticamente testada para garantir que o novo código não quebre funcionalidades existentes.
CD – Continuous Delivery (Entrega Contínua) ou Continuous Deployment (Implantação Contínua): práticas que automatizam a entrega do código testado para ambientes de produção ou pré-produção. No caso da entrega contínua, o código está sempre pronto para ser implantado manualmente. Na implantação contínua, essa etapa é automática. ↩︎
DINAMO Networks se consolida como referência em segurança digital no Brasil
NHIs: A nova fronteira crítica da segurança cibernética
Soluti se posiciona na vanguarda da computação pós-quântica
Cibersegurança e a explosão das identidades não humanas
IAM Tech Day Europa 2025: Porto se torna epicentro da identidade digital e cibersegurança
Identidade e Cibersegurança: O Que Realmente Importa na Escolha de Soluções IAM
Identidade Digital
Na era da computação quântica gestão de identidade deixa de ser um recurso técnico e passa a ser um ativo estratégico de governança. Leia mais sobre esse tema aqui!
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Inteligência Editorial que Orienta Cenários
Desde 2014, o Crypto ID oferece conteúdo editorial sobre tecnologia, segurança e regulação. Há 11 anos provocamos reflexão que sustentam decisões estratégicas para transformação digital e cibersegurança.
