[en-gb] ⚠️ Important Disclaimer

1️⃣ Some time ago, I recorded a course on cloud security in Microsoft environments for a Brazilian university called IGTI. This course was part of a Cloud Computing bootcamp and helped many students who were just starting their careers in the field. (After the institution shut down, the content became unavailable.)

🎯 So, I decided to remaster, sanitize, and re-release this content for free on YouTube, with the goal of continuing to support those who are beginning their journey in Cloud and Cloud Security.

2️⃣ The original course is in Portuguese (pt-BR), but throughout the series I’ll also publish articles in English (en-US) so the content can reach more people — at least until the new courses in English are recorded and ready.

3️⃣ Important: this series is not certification prep and not a silver bullet.
The goal here is to share structured knowledge, with a hands-on, accessible approach focused on:

  • Cloud beginners,
  • Security enthusiasts, and
  • Anyone looking to better understand how Azure actually handles security.

4️⃣ Microsoft has rebranded some of its products — for example, Azure Security Center is now Defender for Cloud, and Azure Active Directory is now Entra ID. Some lessons may still refer to the old names, but don’t worry — the core concepts, technical foundations, and functionalities remain the same. Focus on the architecture and principles being taught.

Hope you enjoy it! Big hug!

Gustavo Magella

🎬 Watch Episode #04 of 09 Now

🔗 Click here to watch on YouTube – Episode 04 of 09.
(And yes, hit that subscribe button. I’m watching… 👀)

[en-us] Beyond The Cloud – Spin-Off | Chapter 04:  Governance, Compliance and Migration

Hey, what’s up folks!?

Welcome to Chapter 04 of the Beyond The Cloud – Spin-Off series.

This time, we’re tackling some of Azure’s most underrated, yet mission-critical security features: Azure Backup, Dedicated Hosts, Azure Key Vault, Defender for Cloud, and Microsoft Sentinel.

No buzzwords. No fluff. Just practical cloud security, the way it should be.

📁 Azure Backup: Snapshots That Save Your Skin

Let’s get real. No backup, no mercy. Azure Backup is your safety net when everything else goes wrong. It supports:

  • VMs (Azure and on-prem);
  • SQL, SAP HANA, PostgreSQL;
  • File shares & blob storage;
  • System state & full machines;

📅 Retention Policies? You bet:

  • Daily, weekly, monthly, and even yearly backups;
  • Up to 99 years (because… why not?);

🔐 Bonus: It supports encryption with your own keys and offers Soft Delete & Recovery Locks to prevent sabotage.

📺 Azure Dedicated Hosts: Physical Isolation, Zero Roommates

Need compliance-level isolation? Meet Dedicated Hosts:

  • Physical servers assigned to your org;
  • Hardware-level isolation;
  • Control over maintenance windows;
  • Bring-your-own-license (save up to 41%);

If your workload is fussy, sensitive, or regulated, this is your bunker.

🔑 Azure Key Vault: No More Passwords in Plain Text

Stop emailing passwords. Stop storing certificates in shared folders. Use Azure Key Vault for:

  • Secrets (passwords, connection strings);
  • Keys (RSA, HSM-backed);
  • Certificates (auto-renew with CA integrations);

Access is double-gated:

  • Azure RBAC and Access Policies;

You can even allow/disallow purge operations. Perfect for high-security needs.

🔎 Defender for Cloud: Unified Visibility & Protection

Too many resources. Too little time? Defender for Cloud is your command center:

  • Secure Score with actionable insights;
  • Regulatory compliance reports (PCI, ISO, SOC…);
  • Threat detection (VMs, containers, SQL, Key Vault, etc.);
  • Protection across Azure, on-prem, AWS & GCP;

It’s your security GPS. It doesn’t just tell you you’re lost — it shows you how to fix it.

⚠️ Microsoft Sentinel: SIEM & SOAR That Actually Work

Sentinel is your security eye in the sky:

  • Aggregates logs from Azure, 365, on-prem, third-party;
  • Visualizes anomalies with dashboards;
  • Correlates events for deeper insights;
  • Automates incident response (Playbooks + Logic Apps);

Want real security maturity? Start hunting with Sentinel.

🪖 Practical Checklist

☁️ Backup:
✅ Vault created in the same region as resources (Azure won’t teleport your backups — keep it close);
✅ Daily + weekly + monthly backup policy set (Don’t wait for chaos to learn about retention);
✅ Backup Now triggered after enabling (don’t wait for 2AM — Murphy’s Law is real);
✅ Soft Delete and Retention Locks enabled (Because “oops” is never a recovery strategy);

🛋️ Dedicated Hosts:
✅ Used for workloads with strict isolation/compliance (Shared tenancy ≠ secure);
✅ Hybrid benefit applied to save $$ (Don’t throw money out the window — use your licenses!);

🔑 Key Vault:
✅ Secrets + certs stored securely (Shared folders are not vaults);
✅ Access policies and RBAC in place (RBAC alone won’t save you — double-check your configs);
✅ Purge protection for critical assets (One bad click shouldn’t erase your crown jewels);

🛡️ Defender for Cloud:
✅ Secure Score reviewed monthly (If it’s stuck at 37, you’re flying blind);
✅ All Defender plans activated where needed (Turn on the damn shield);
✅ Regulatory Compliance reviewed (You can’t fake compliance — it’s audit season);
✅ JIT, Endpoint Protection, Encryption enabled (Security theater ≠ real security);

📡 Sentinel:
✅ Connected to all critical data sources (Logs not connected = threats undetected);
✅ Alerts and Playbooks configured (Manual response is so 2008);
✅ Log Analytics workspace with retention policies (Because logs you don’t store are logs you don’t have);

📊 My Tech Two Cents

  • Azure Backup is your “Undo” button. Use it.
  • Key Vault is the only place secrets belong.
  • Dedicated Hosts are not cheap. But breaches cost more.
  • Defender for Cloud is your tactical map.
  • Sentinel is your surveillance drone.

Layer your security. Document everything. No shortcuts.

Next up: Chapter 05 — Monitoring & Health in Azure:

  • Azure Advisor;
  • Azure Service Health;
  • Azure Monitor;

Stay tuned. Stay sharp. See you soon! 🌹️❤️

Gustavo Magella

[pt-br] ⚠️ Um aviso importante:

1️⃣ Há um tempo, eu gravei um curso de segurança em nuvem focado em ambientes Microsoft para uma universidade brasileira chamada IGTI. Esse curso fazia parte de um bootcamp de Cloud Computing e, na época, ajudou muitos alunos que estavam começando suas jornadas na área. (Com o fechamento da instituição, o conteúdo acabou ficando indisponível.)

🎯 Sendo assim, resolvi remasterizar, sanitizar e re-lançar esse conteúdo gratuitamente no YouTube, com o objetivo de continuar ajudando quem está começando na área de Cloud e Cloud Security.

2️⃣ O curso original está em português (pt-BR), mas ao longo da série vou publicar também artigos em inglês (en-US), para que o conteúdo possa alcançar mais pessoas até que os novos cursos em inglês estejam gravados e disponíveis.

3️⃣ Importante: essa série não é preparatória para certificações e não é uma bala de prata.
A proposta aqui é compartilhar conhecimento de forma estruturada, com uma pegada prática e acessível, voltada para:

  • Iniciantes em Cloud,
  • Entusiastas de segurança, e
  • quem busca entender melhor como o Azure trata segurança de verdade.

4️⃣ A Microsoft renomeou alguns de seus produtos — por exemplo, o Azure Security Center agora se chama Defender for Cloud, e o Azure Active Directory virou Entra ID. Em algumas aulas, os nomes antigos ainda aparecem, mas foquem nos conceitos e fundamentos técnicos, que continuam válidos e extremamente relevantes.

Espero que vocês gostem! Um forte Abraço!

Gustavo Magella

🎬 Assista o Capítulo 04

🔗 Assista agora no YouTube – Capítulo 04 de 09
(E se inscreve no canal, senão vou saber que você pulou essa parte… rs)

[pt-br] Beyond The Cloud – Spin-Off | Capítulo 04: Segurança Geral no Azure

🚨 Seja bem-vindo ao Capítulo 04 da série Beyond The Cloud – Spin-Off! Hoje vamos falar de cinco recursos que pouca gente dá atenção — mas que salvam vidas (e ambientes): Azure Backup, Dedicated Hosts, Key Vault, Defender for Cloud e o SIEM da Microsoft, o Azure Sentinel.

Aqui é na prática. Sem enrolação.

☁️ Azure Backup: Snapshot é vida

Nada de backup? Então nada de desculpas. O Azure Backup é sua rede de segurança:

  • VMs (Azure e on-prem);
  • SQL, SAP HANA, PostgreSQL;
  • File shares e blobs;
  • Backup de estado de sistema e máquinas inteiras;

🗓️ Políticas de retenção:

  • Diária, semanal, mensal e até anual
  • Até 99 anos de retenção (só não vale chorar depois)

🔐 Suporta criptografia com sua própria chave, Soft Delete e Locks para evitar sabotagem.

🧱 Dedicated Hosts: Isolamento de verdade

Para workloads sensíveis, com exigência de compliance forte:

  • Servidor físico isolado só para sua empresa;
  • Sem dividir com vizinhos;
  • Controle de janelas de manutenção;
  • Trazer sua própria licença (economia de até 41%);

🔑 Azure Key Vault: Adeus, planilha com senha

  • Armazene senhas, segredos, certificados e chaves (até HSM);
  • Controle duplo: RBAC + Access Policies;
  • Permissões granulares por tipo de objeto;
  • Proteção contra purge (ideal pra segredos críticos);

🔎 Defender for Cloud: Seu painel de guerra!

  • Secure Score com recomendações acionáveis;
  • Relatórios de compliance (PCI, ISO, SOC, etc.);
  • Detecção de ameaças (VMs, containers, SQL…);
  • Proteção para ambientes híbridos e multi-cloud;

Simplesmente essencial.

📡 Azure Sentinel: SIEM & SOAR de verdade

  • Agrega logs de tudo (Azure, 365, on-prem, terceiros);
  • Painéis visuais, correlação de eventos;
  • Automatiza resposta a incidentes (Playbooks);
  • Caça proativa de ameaças com queries prontas;

Quer maturidade em segurança? Comece pelo Sentinel.

🪖 Checklist Rápido

☁️ Backup:
✅ Vault na mesma região dos recursos;
✅ Política de backup diária/semanal/mensal definida;
✅ Executar Backup Now após habilitar (não espera 2h da manhã);
✅ Soft Delete e Locks ativados;

🧱 Dedicated Host:
✅ Usado apenas para workloads com compliance;
✅ Hybrid Benefit ativado (não joga dinheiro fora!);

🔑 Key Vault:
✅ Segredos e certificados salvos (nada de pasta compartilhada);
✅ RBAC e políticas de acesso aplicadas;
✅ Proteção contra purge para ativos críticos;

🛡️ Defender for Cloud:
✅ Secure Score revisto todo mês;
✅ Defender habilitado nos recursos necessários;
✅ Compliance revisado (não basta estar seguro, tem que provar);
✅ JIT, antivírus, criptografia: tudo ligado

📡 Sentinel:
✅ Conectado a todas as fontes críticas
✅ Playbooks e alertas configurados
✅ Log Analytics com política de retenção

📊 Minha Tech Two Cents:

  • Backup é botão de desfazer. Use.
  • Key Vault é onde segredos moram. Mais nada.
  • Dedicated Hosts são caros. Mas breach é mais caro.
  • Defender é seu mapa tático.
  • Sentinel é seu drone de vigilância.

📆 No próximo capítulo (Capítulo 05): Monitoramento e Saúde no Azure

  • Azure Advisor;
  • Azure Service Health;
  • Azure Monitor;

Te vejo lá! 🌹❤️

— Gustavo Magella

Categorized in:

Cloud Certifications, My Tech Two Cents,

Tagged in:

,