Segurança Empresarial para Claude: Um Guia Prático de Governança para Equipes de Engenharia

Introdução

Oito em cada dez empresas da Fortune 10 agora usam o Claude, e mais de 300.000 empresas o executam em produção. Duas CVEs no ano passado provaram que um repositório clonado é tudo o que é preciso para exfiltrar chaves de API ou executar código antes mesmo que uma caixa de diálogo de confiança apareça.

O Claude é distribuído em três interfaces — web, desktop e CLI — e cada uma tem uma superfície de ataque diferente. A versão web é executada em um sandbox de navegador, o aplicativo desktop se conecta a ferramentas locais, e o Claude Code fica nos terminais dos seus desenvolvedores com as mesmas permissões de suas contas de usuário. Ele pode ler arquivos, executar comandos bash e conectar-se a serviços externos.

A maioria dos guias de segurança corporativa trata essas interfaces como uma coisa só, mas não são. Governar o Claude bem significa aplicar os controles certos a cada superfície, em vez de políticas abrangentes que restringem demais os desenvolvedores ou deixam lacunas. As seções abaixo explicam como fazer isso.

Configuração de Identidade e Acesso

O SSO deve estar ativo antes de você entregar o Claude a um único desenvolvedor — não depois, e certamente não "em breve".

O Claude suporta SAML 2.0 e OIDC com Okta, Azure AD (Entra ID), Auth0 e Google Workspace, e você pode gerenciar tudo isso a partir do Console de Administração do Claude (veja o guia de configuração). Três configurações são as mais importantes nesta fase.

Etapas Críticas de Configuração de SSO

• Habilite Exigir SSO para Console e Exigir SSO para Claude. Ambas as configurações impõem autenticação baseada em SSO e herdam MFA do seu provedor de identidade.
• Reivindique seus domínios de e-mail corporativos através da captura de domínio. Uma vez ativo, qualquer tentativa de login com um endereço de empresa é automaticamente direcionada para o espaço de trabalho corporativo, impedindo que os funcionários voltem a usar contas pessoais em qualquer interface.
• Mapeie seus grupos do Provedor de Identidade (IdP) para as funções do Claude. O Proprietário Principal obtém acesso administrativo total, incluindo faturamento. O Administrador gerencia usuários, políticas e logs de auditoria, mas não pode mexer no faturamento, e o Membro usa o Claude dentro das políticas definidas pelo administrador.

Revogar alguém no seu IdP interrompe o acesso dessa pessoa em web, desktop e CLI instantaneamente.

Gerenciamento de Chaves de API

O SSO lida com logins interativos, enquanto as chaves de API lidam com todo o resto — sessões do Claude Code, pipelines de CI/CD e qualquer automação que acesse a API fora de um navegador.

Você deve emitir chaves através do Console de Administração porque os desenvolvedores nunca devem usar chaves pessoais em um contexto corporativo. Armazene-as no AWS Secrets Manager, HashiCorp Vault ou Azure Key Vault, gire-as trimestralmente e revogue-as imediatamente em caso de suspeita de comprometimento ou quando alguém sair da equipe.

Acesso ao Modelo e Roteamento de Tráfego

Após a identidade, a próxima camada é o acesso ao modelo e o roteamento de tráfego. Você precisa de respostas para duas perguntas: quais modelos os desenvolvedores podem usar, e para onde o tráfego do Claude deles realmente flui?

Restringindo o Conjunto de Modelos

Uma lista de permissões simples no Console de Administração impede que os desenvolvedores mudem para modelos mais caros ou não aprovados:

{
  "allowedModels": ["claude-sonnet-4-5", "claude-haiku-4-5"]
}

Roteamento de Tráfego Através de um Gateway

Roteamento do tráfego do Claude através do seu próprio gateway de LLM permite inspecionar, registrar e governar solicitações na camada de rede. Você pode definir estas variáveis de ambiente nas máquinas dos desenvolvedores para começar:

export ANTHROPIC_BASE_URL=https://your-gateway.internal.corp
export HTTPS_PROXY=https://proxy.your-company.com:8080

Um detalhe importante é que essas variáveis se aplicam apenas ao Claude Code e ao Claude Desktop. O roteamento web é controlado no nível da organização através do Console de Administração.

Impondo Políticas de Roteamento Em Máquinas de Desenvolvedores

Definir variáveis em uma máquina é fácil, mas fazer isso em 100 máquinas e garantir que ninguém as altere é o verdadeiro desafio.

Você pode impor políticas de roteamento nas máquinas dos desenvolvedores de três maneiras:

1. Configurações Gerenciadas por MDM / Endpoint envie um managed-settings.json arquivo para cada máquina via Jamf, Kandji ou Intune. O Claude Code lê o arquivo na inicialização sem dependência de rede, e as configurações são resistentes a adulterações no nível do SO. A desvantagem é que o MDM só funciona em dispositivos de propriedade corporativa.
2. Configurações Gerenciadas por Servidor (Beta) entrega a configuração dos servidores da Anthropic quando os desenvolvedores se autenticam. Nenhuma implantação de arquivo é necessária, e a abordagem funciona em dispositivos BYOD. O problema é que a aplicação é apenas do lado do cliente, então um desenvolvedor com sudo pode adulterá-la. A abordagem também é incompatível com um ANTHROPIC_BASE_URL personalizado, portanto, se você rotear através de um gateway, esta opção está fora de questão.
3. Provedor de Nuvem Direto roteia o Claude Code para sua conta AWS Bedrock ou Google Vertex. O tráfego permanece em sua VPC com registro de auditoria nativo da nuvem, mas a desvantagem é o bloqueio de provedor único e a configuração complexa de IAM.

Usando um Gateway Centralizado para Roteamento Multi-Provedor

Em vez de configurar cada provedor um por um, TrueFoundry AI Gateway oferece uma única camada de proxy entre o Claude Code e todos os seus provedores de modelo. Você pode apontar o Claude Code para ele com uma única variável:

export ANTHROPIC_BASE_URL=https://<your-truefoundry-gateway-url>

A partir daí, você adiciona contas de provedor no painel do Gateway, e o Claude Code os alcança todos — Anthropic, Bedrock, Vertex — através de um único endpoint. Modelos Virtuais permitem criar um único identificador de modelo que roteia entre provedores com lógica baseada em peso ou latência, e você pode trocar de provedor sem alterar nenhuma configuração do cliente.

O Gateway também impõe limites de taxa, limites de orçamento, e controle de acesso em cada solicitação antes que ela chegue ao provedor.

Acesso a Ferramentas Locais e Sandboxing

O erro que a maioria das equipes comete é tratar todas as três interfaces da mesma forma, mesmo que sejam fundamentalmente diferentes no que podem acessar.

Claude.ai (Web)

A interface web não possui execução de código local, portanto, os riscos principais são a exfiltração de dados através de prompts e a TI sombra de contas pessoais. A captura de domínio resolve o segundo problema. 

Para o primeiro, classifique Claude.ai como uma ferramenta SaaS de terceiros em suas ferramentas de prevenção de perda de dados (DLP) e segurança de IA e aplique os mesmos controles que aplicaria ao Google Docs ou Notion. O Console de Administração também permite restringir o upload de arquivos, desativar Artefatos e controlar a retenção de conversas.

Claude Desktop

O aplicativo de desktop não executa comandos de shell arbitrários por padrão, mas as integrações de ferramentas locais permitem que os desenvolvedores conectem o Claude a scripts, sistemas de arquivos e outros recursos. Você deve revisar cada ferramenta antes da aprovação e exigir confirmação humana explícita antes da execução para qualquer coisa com acesso de gravação. Manter o aplicativo atualizado por meio de atualizações automáticas impostas por MDM também é essencial.

Claude Code (CLI)

Claude Code possui a maior superfície de ataque das três interfaces. Ele pode ler arquivos .env, chaves SSH e credenciais, executar comandos bash arbitrários no contexto de usuário do desenvolvedor e enviar código e contexto para os servidores da Anthropic para processamento.

O seguinte managed-settings.json de linha de base bloqueia as operações mais perigosas:

{
  "permissions": {
    "disableBypassPermissionsMode": "disable",
    "deny": [
      "Bash(curl:*)", "Bash(wget:*)",
      "Read(**/.env)", "Read(**/.env.*)",
      "Read(**/secrets/**)", "Read(**/.ssh/**)",
      "Read(**/credentials/**)"
    ],
    "ask": ["Bash(git push:*)", "Write(**)"]
  },
  "allowManagedPermissionRulesOnly": true,
  "allowManagedHooksOnly": true,
  "transcriptRetentionDays": 14
}

Veja o que cada configuração chave faz:

• disableBypassPermissionsMode impede que os desenvolvedores usem --dangerously-skip-permissions para ignorar os controles de segurança.
• allowManagedPermissionRulesOnly bloqueia completamente as substituições de permissão em nível de projeto e de usuário.
• As regras de negação bloqueiam operações diretamente, sem possibilidade de substituição.
• As regras de solicitação exigem aprovação explícita do desenvolvedor antes de cada execução.

Mais uma coisa que vale a pena enfatizar: Claude Code nunca deve ser executado como root sob nenhuma circunstância.

Habilitando o Sandboxing Nativo

O sandbox nativo do Claude Code impõe isolamento de sistema de arquivos e de rede no nível do SO, usando Seatbelt no macOS e bubblewrap no Linux. Os próprios testes internos da Anthropic descobriram que o sandboxing reduz os prompts de permissão em 84% mantendo limites de execução mais fortes. Você deve habilitá-lo para todos os desenvolvedores:

{
  "sandbox": {
    "enabled": true,
    "network": { "httpProxyPort": 8080, "socksProxyPort": 8081 }
  }
}

A sandbox impede a modificação de arquivos de nível de sistema, bloqueia o contato com domínios que você não permitiu e limita o raio de impacto de ataques de injeção de prompt. Você também deve definir "allowUnsandboxedCommands": false para fechar a brecha que, de outra forma, permitiria que comandos fossem executados fora da sandbox.

Governança de Servidores MCP

Servidores MCP conectam o Claude a bancos de dados externos, APIs e ferramentas SaaS, e cada novo servidor que um desenvolvedor adiciona expande a superfície de ataque. Sem controle centralizado, você acaba com a proliferação de credenciais, servidores públicos não verificados sendo executados em máquinas de desenvolvedores e nenhuma trilha de auditoria de quais ferramentas foram chamadas ou quais dados foram retornados.

A solução é rotear todo o acesso MCP através de um gateway centralizado e permitir apenas a URL desse gateway.

O que o TrueFoundry MCP Gateway Oferece

TrueFoundry MCP Gateway gerencia a governança MCP empresarial através de um único painel de controle:

• Registro MCP centralizado que permite registrar e gerenciar todos os servidores aprovados em um só lugar, para que os desenvolvedores se conectem ao Gateway em vez de gerenciar conexões de servidores individuais localmente.
• Autenticação unificada onde os desenvolvedores se autenticam uma vez com uma chave de API TrueFoundry ou token IdP (Okta, Azure AD, Auth0), e o Gateway gerencia a autenticação de saída para cada servidor downstream.
• Controle de acesso baseado em função que governa quais usuários e equipes podem acessar quais servidores e ferramentas, aplicando o princípio do menor privilégio a partir do painel.
• Governança em nível de ferramenta que permite desabilitar ferramentas individuais em um servidor ou agregar ferramentas de vários servidores em um servidor MCP virtual que expõe apenas um subconjunto aprovado por equipe.
• Barreiras de proteção que aplicam verificações pré-execução, bloqueio em tempo real e validação pós-execução em chamadas de ferramentas.
• Completo trilha de auditoria onde cada invocação de ferramenta é rastreada com atribuição de usuário, cargas úteis de solicitação/resposta e dados de latência.

Você pode bloqueá-lo em managed-settings.json:

{
  "allowedMcpServers": [
    { "serverUrl": "https://truefoundry-mcp-gateway.your-company.com/*" }
  ],
  "strictKnownMarketplaces": []
}

O array strictKnownMarketplaces vazio bloqueia todas as instalações de MCP provenientes do marketplace. Em dispositivos gerenciados, você pode implantar um managed-mcp.json via MDM para pré-configurar máquinas com servidores aprovados e, uma vez implantado, os desenvolvedores não podem adicionar servidores além dos definidos no arquivo.

Retenção de Dados e Conformidade

A Anthropic pode reter prompts e saídas por padrão para segurança e melhoria da qualidade, mas você tem três alavancas para controlar a retenção.

Configurações de Retenção por Interface

Para Claude.ai, você pode definir a retenção para um máximo de 30 dias em Configurações da Organização > Dados e Privacidade. Para o Claude Code, use a configuração transcriptRetentionDays em managed-settings.json com um valor de 7 a 14 dias como um padrão sensato.

Retenção Zero de Dados (ZDR)

Para cargas de trabalho regulamentadas, você deve solicitar ZDR através da sua equipe de conta Claude. O ZDR impede que a Anthropic armazene prompts ou saídas além do necessário para atender à solicitação, mas requer um adendo contratual. Você não deve processar PHI ou outros dados regulamentados até que o adendo seja assinado e confirmado como ativo.

Estruturas de Conformidade

• SOC 2 Tipo II A certificação é detida pela Anthropic e está disponível sob NDA. A sua responsabilidade inclui procedimentos documentados de provisionamento/desprovisionamento, retenção de logs por mais de 90 dias e uma avaliação de risco de fornecedor atualizada.
• HIPAA A conformidade exige ZDR mais revisão humana obrigatória de todas as saídas que envolvam dados de pacientes, juntamente com um registo de auditoria completo de cada interação de PHI.
• GDPR a conformidade exige residência de dados (regiões AWS da UE ou Vertex com Private Service Connect), fluxos de trabalho de eliminação documentados via API de Conformidade e regras de negação para bloquear conteúdo que contenha PII.

Registo de Auditoria e Controlo de Custos

Deve exportar os registos de auditoria para o seu SIEM numa base regular e retê-los por um mínimo de 90 dias para SOC 2 ou por mais tempo para indústrias regulamentadas. O que deve ser capturado varia de acordo com a interface:

• Web exige o registo de eventos de início/fim de sessão, uploads de ficheiros e metadados de conversação.
• Desktop exige o registo de ligações de servidor MCP, invocações de ferramentas e chamadas de serviço externas.
• CLI exige o registo de invocações de ferramentas, padrões de acesso a ficheiros, execução de comandos shell e ações negadas.

Quando o tráfego de Claude flui através TrueFoundry AI Gateway, cada pedido é rastreado com atribuição total do utilizador em pedidos LLM e MCP. Um painel unificado fornece métricas em tempo real, e todos os rastreios são exportados para Grafana, Datadog ou Splunk via OpenTelemetry.

Os administradores também podem configurar as configurações do OpenTelemetry nativamente no arquivo de configurações gerenciadas para exportação direta de telemetria do Claude Code.

Para os custos, defina limites mensais rígidos de gastos por usuário e por equipe no Console de Administração. Sem esses limites, um pipeline mal configurado pode esgotar seu orçamento da noite para o dia. Detalhes por usuário e por modelo são úteis para relatórios de rateio de custos, detecção de anomalias e uma maior observabilidade de custos de IA.

Conclusão

Proteger o Claude não é uma única decisão, mas um conjunto delas — identidade, roteamento de modelos, sandboxing, governança de MCP, retenção de dados, registro de auditoria e controles de custos — cada uma aplicada de forma diferente dependendo da interface. A versão web precisa de controles DLP e captura de domínio. O aplicativo de desktop precisa de uma revisão ferramenta por ferramenta. O Claude Code precisa de um arquivo managed-settings.json bloqueado, implantado via MDM com sandboxing nativo ativado.

O ponto em comum entre os três é que você deve rotear o tráfego e o acesso MCP através de um gateway centralizado que você controla. Um único endpoint, um único conjunto de políticas e um único rastro de auditoria. TrueFoundry AI Gateway fornece essa camada tanto para o tráfego de LLM quanto para a governança do servidor MCP, com controle de acesso integrado, limitação de taxa, guardrails e observabilidade.

Comece hoje com SSO e captura de domínio, depois aplique configurações gerenciadas em toda a sua frota e roteie tudo através de um gateway que você controla. As CVEs são reais, e a exposição aumenta a cada desenvolvedor que abre o Claude Code.