PHGMAC

Introdução

Uma das falhas mais comuns — e perigosas — em ambientes cloud não está na infraestrutura, nem no código.

Está na forma como lidamos com secrets e configurações.

Senhas expostas, strings de conexão hardcoded e variáveis mal gerenciadas não quebram o sistema imediatamente.
Mas quando dão problema, o impacto costuma ser alto.

O erro clássico

Cenário típico:

• Senha de banco direto no código
• Variáveis dentro de arquivos versionados
• Secrets duplicados em vários lugares

Exemplo:

DB_HOST=mysql
DB_USER=admin
DB_PASSWORD=SenhaForte123

Aqui está o artigo completo, pronto para copiar:

````markdown
---
layout: post
title: "Secrets e configuração: o erro silencioso em ambientes cloud"
date: 2026-04-03
categories: [cloud, seguranca, devops]
tags: [secrets, keyvault, docker, azure, configuracao]
author: "WRPD"
---

## Introdução

Uma das falhas mais comuns — e perigosas — em ambientes cloud não está na infraestrutura, nem no código.

Está na forma como lidamos com **secrets e configurações**.

Senhas expostas, strings de conexão hardcoded e variáveis mal gerenciadas não quebram o sistema imediatamente.  
Mas quando dão problema, o impacto costuma ser alto.

---

## O erro clássico

Cenário típico:

- Senha de banco direto no código
- Variáveis dentro de arquivos versionados
- Secrets duplicados em vários lugares

Exemplo:

```env
DB_HOST=mysql
DB_USER=admin
DB_PASSWORD=SenhaForte123

Funciona? Sim. Escala? Não. É seguro? Definitivamente não.

Por que isso acontece?

Principalmente por três motivos:

• Pressa para entregar
• Falta de padronização
• Subestimar risco de exposição

E o problema cresce com o tempo:

• Mais ambientes
• Mais aplicações
• Mais pessoas acessando

O conceito correto

Separar claramente:

• Código
• Configuração
• Secrets

Essa separação é base de qualquer ambiente saudável.

O que é um secret

Secrets são dados sensíveis:

• Senhas
• Tokens
• Chaves de API
• Connection strings

Eles precisam ser:

• Protegidos
• Centralizados
• Auditáveis

Boas práticas fundamentais

1. Nunca versionar secrets

• Nada de colocar senha no Git
• Nem “temporariamente”

2. Usar variáveis de ambiente

Containers devem receber configuração de fora:

-e DB_PASSWORD=...

3. Centralizar secrets

Usar um cofre de segredos:

• Azure Key Vault
• AWS Secrets Manager
• HashiCorp Vault

4. Evitar duplicação

Um mesmo secret não deve existir em:

• Código
• Script
• Pipeline
• Portal

Ele deve existir em um único lugar.

O caso real: Azure Container Apps

No ACA, o padrão saudável é:

1. Secret armazenado no Key Vault
2. Aplicação referencia o secret
3. Container consome via variável de ambiente

Exemplo conceitual:

• mysql-password no Key Vault
• Referenciado no Container App
• Exposto como DB_PASSWORD

O erro mais perigoso

Misturar config com secret.

Exemplo:

• URL de API (ok)
• Senha dentro da mesma variável (erro)

Separação correta:

• API_URL
• API_TOKEN

Rotação de secrets

Outro ponto negligenciado:

• Senhas nunca são trocadas
• Tokens ficam válidos indefinidamente

Boas práticas:

• Rotação periódica
• Uso de identidades gerenciadas quando possível
• Evitar credenciais estáticas

Logs: o vazamento invisível

Um erro comum:

• Aplicação loga variáveis sensíveis
• Logs vão para Log Analytics / arquivos

Resultado:

O secret está exposto… no log.

Um padrão saudável

Uma abordagem simples e segura:

• Secrets no Key Vault
• Aplicação sem dados sensíveis no código
• Variáveis de ambiente para consumo
• Identidade gerenciada quando possível
• Rotação definida

Checklist rápido

Antes de subir qualquer aplicação:

• Existe algum secret no código?
• Secrets estão versionados?
• Existe um cofre central?
• Há controle de acesso?
• Logs expõem informações sensíveis?

Se alguma resposta for “sim”, vale revisar.

Conclusão

Secrets mal gerenciados não causam erro imediato. Eles funcionam… até o dia em que deixam de funcionar — ou pior, vazam.

E nesse momento, o problema já não é técnico. É de segurança.