Este projeto implementa uma abordagem de Zero Trust Network Access (ZTNA) combinada com Defense in Depth:

1. Nenhum tráfego é confiável por padrão — todo acesso deve ser explicitamente permitido
2. Múltiplas camadas de proteção — uma falha em uma camada não compromete toda a rede
3. Menor privilégio — regras permitem apenas o mínimo necessário
4. Micro-segmentação — controle a nível de VNIC/interface, não apenas subnet

# Security Groups (stateful — camada de instância)
aws_security_group_rule "ingress" → por regra do security-policy
aws_security_group_rule "egress"  → por regra do security-policy

# NACLs (stateless — camada de subnet)
aws_network_acl → regras fixas de baseline

# NSGs (stateful)
azurerm_network_security_rule → por regra do security-policy (priority dinâmica)
azurerm_network_security_rule "deny_all_inbound" → priority 4096

# Firewall (camada 4/7 — apenas prod)
azurerm_firewall_network_rule_collection → HTTPS + DNS outbound

# Firewall Rules (stateful)
google_compute_firewall "ingress" → por regra (com logging habilitado)
google_compute_firewall "deny_all_ingress" → priority 65534
google_compute_firewall "allow_internal" → comunicação intra-rede

# Security Lists (subnet-level)
oci_core_security_list → regras dinâmicas (dynamic block)

# NSGs (VNIC-level — micro-segmentação)
oci_core_network_security_group_security_rule → por regra do security-policy

1. Restringir egress — Em prod, considere restringir saída para apenas IPs/portas necessários
2. WAF — Adicionar WAF (AWS WAF, Azure WAF, Cloud Armor) na frente de APIs
3. IDS/IPS — Integrar com Falco (K8s) ou soluções como Guardicore
4. Vault — Migrar segredos para HashiCorp Vault
5. SIEM — Centralizar logs em SIEM (Splunk, Sentinel, Chronicle)
6. mTLS — Implementar mutual TLS entre serviços (Istio/Linkerd)

1. Terraform Sentinel — Policy as Code para prevenir deploys inseguros
2. tfsec / Checkov — Scan de segurança em CI/CD
3. Drift Detection — Monitorar alterações fora do Terraform