[en-gb] ⚠️ Important Disclaimer

1️⃣ Some time ago, I recorded a course on cloud security in Microsoft environments for a Brazilian university called IGTI. This course was part of a Cloud Computing bootcamp and helped many students who were just starting their careers in the field. (After the institution shut down, the content became unavailable.)

🎯 So, I decided to remaster, sanitize, and re-release this content for free on YouTube, with the goal of continuing to support those who are beginning their journey in Cloud and Cloud Security.

2️⃣ The original course is in Portuguese (pt-BR), but throughout the series I’ll also publish articles in English (en-US) so the content can reach more people — at least until the new courses in English are recorded and ready.

3️⃣ Important: this series is not certification prep and not a silver bullet.
The goal here is to share structured knowledge, with a hands-on, accessible approach focused on:

  • Cloud beginners,
  • Security enthusiasts, and
  • Anyone looking to better understand how Azure actually handles security.

4️⃣ Microsoft has rebranded some of its products — for example, Azure Security Center is now Defender for Cloud, and Azure Active Directory is now Entra ID. Some lessons may still refer to the old names, but don’t worry — the core concepts, technical foundations, and functionalities remain the same. Focus on the architecture and principles being taught.

Hope you enjoy it! Big hug!

Gustavo Magella

🎬 Watch Episode #01of09 Now

🔗 Click here to watch on YouTube – Episode 01 of 09.
(And yes, hit that subscribe button. I’m watching… 👀)

Hey, What’s up folks!? 🌹❤️🚀

Welcome to the very first post of a new series here on the blog: Beyond The Cloud – Spin-Off. The idea is simple — shorter, focused, real-world content that’s not tied to any certification or framework. It’s straight talk from the trenches.

In this first episode, I’m sharing Episode 01 from my new YouTube series on Microsoft Cloud security. And to kick things off properly, we’re talking about two essential pillars:

  • Defense in Depth;
  • Shared Responsibility;

If you master these two concepts, you’re already ahead of the game. Because security in the cloud isn’t a feature — it’s a mindset.

🏰 Defense in Depth: Medieval Strategy, Cloud Edition

Ever watched Game of Thrones, Lord of the Rings, or any medieval battle scene with castles and sieges? That’s Defense in Depth at its finest. And yes, I use that exact analogy in the video.

Castles were protected by:

  • Moats with alligators (external barriers)
  • Reinforced gates
  • Archer walls
  • Drawbridges
  • Inner guards
  • And the treasure vault deep inside

In Azure, the logic is the same. Your “castle” is your cloud environment, and your crown jewels are your data. Your defenses must be layered:

🔐 Azure Security Layers:

  1. Physical Security: 100% handled by Microsoft. Controlled access, surveillance, facilities. That’s their job.
  2. Identity & Access: This one’s on you. AAD, RBAC, PIM, MFA — it needs to be airtight.
  3. Network Perimeter: NSGs, Azure Firewall, DDoS Protection (Basic is enabled by default, but Standard is worth considering).
  4. Compute Security: Keep VMs patched, use antimalware, enforce backups. What’s inside the OS is your responsibility.
  5. Application Layer: Azure-native WAF, HTTPS enforcement, API Gateway, and protections against OWASP threats.
  6. Data at Rest & In Transit: Encryption is available — but you must enable and configure it properly.

Each layer is a defense ring. Attackers only need one opening. You must ensure none exist.

🧠 Shared Responsibility: The “Cloud Is Automatically Secure” Myth

Here’s the truth: just because you’re on Azure doesn’t mean you’re automatically secure. That myth needs to die — fast.

📊 What Microsoft is responsible for:

  • Physical datacenter security
  • Global backbone and infrastructure
  • Hypervisor and physical host protection
  • Uptime and service-level availability

🔍 What you are responsible for:

  • Operating systems and patching (in IaaS)
  • Network security rules and access control
  • Endpoint protection (AV, EDR, hardening)
  • Data protection (classification, encryption, retention)
  • Access and identity configurations
  • Exposure of PaaS services (e.g., firewall misconfigurations)

If you expose an Azure SQL database to 0.0.0.0/0 just to make life easier — guess what? That’s on you.

🧪 Real Case: Secure Score in the Field

A recent client engagement had a Secure Score below 40%. Issues included:

  • No MFA
  • Poor or missing NSGs
  • RDP exposed to the internet

After enabling Conditional Access and fixing NSGs, we bumped the score to 71% in 2 days.
No magic. Just fundamentals done right.
Defender for Cloud helped us track progress in real time.

And that’s the point of this whole series.

🧭 Final Thoughts

Beyond The Cloud – Spin-Off exists to simplify security, not oversimplify it.
This is about cutting through the noise and giving you what matters.

Defense in Depth and Shared Responsibility are not buzzwords — they are the core of cloud security maturity.

If you understand them on Azure, you’ve already mastered 70% of what it takes to secure any cloud.

That’s all, folks; next week, we dive into Chapter 02!

Much love and stay safe out there! 🌹❤️
Gustavo Magella

[pt-br] ⚠️ Um aviso importante:

1️⃣ Há um tempo, eu gravei um curso de segurança em nuvem focado em ambientes Microsoft para uma universidade brasileira chamada IGTI. Esse curso fazia parte de um bootcamp de Cloud Computing e, na época, ajudou muitos alunos que estavam começando suas jornadas na área. (Com o fechamento da instituição, o conteúdo acabou ficando indisponível.)

🎯 Sendo assim, resolvi remasterizar, sanitizar e re-lançar esse conteúdo gratuitamente no YouTube, com o objetivo de continuar ajudando quem está começando na área de Cloud e Cloud Security.

2️⃣ O curso original está em português (pt-BR), mas ao longo da série vou publicar também artigos em inglês (en-US), para que o conteúdo possa alcançar mais pessoas até que os novos cursos em inglês estejam gravados e disponíveis.

3️⃣ Importante: essa série não é preparatória para certificações e não é uma bala de prata.
A proposta aqui é compartilhar conhecimento de forma estruturada, com uma pegada prática e acessível, voltada para:

  • Iniciantes em Cloud,
  • Entusiastas de segurança, e
  • quem busca entender melhor como o Azure trata segurança de verdade.

4️⃣ A Microsoft renomeou alguns de seus produtos — por exemplo, o Azure Security Center agora se chama Defender for Cloud, e o Azure Active Directory virou Entra ID. Em algumas aulas, os nomes antigos ainda aparecem, mas foquem nos conceitos e fundamentos técnicos, que continuam válidos e extremamente relevantes.

Espero que vocês gostem! Um forte Abraço!

Gustavo Magella

E aí seus trens bonitows, tudo certo com vocês!? 🌹❤️🚀

Seja bem-vindo ao Beyond The Cloud – Spin-Off, um novo ciclo aqui no blog onde trago reflexões práticas, experiências reais e dicas de campo que não estão atreladas a nenhuma certificação ou framework específico. É papo direto, baseado na vivência de quem tá no front — com clientes, projetos, ambientes críticos e café quente no teclado.

Nesse primeiro episódio, trago os bastidores do Capítulo 01 da série de vídeos sobre segurança no Microsoft Cloud, já disponível no YouTube. Vamos falar de dois pilares que, se você domina, já sai muito na frente:

  • Defense in Depth (Defesa em Profundidade)
  • Responsabilidade Compartilhada

Se prepara. Aqui a ideia é provocar, ensinar e te deixar com uma pulga atrás da orelha. Porque segurança em nuvem não é feature, é cultura.

🏰 Defense in Depth: Segurança em Camadas, Estilo Feudal

Se você já assistiu Game of Thrones, O Senhor dos Anéis ou qualquer outra série medieval onde um castelo precisa ser defendido, você já viu Defense in Depth em ação. A metáfora é perfeita — e foi exatamente ela que eu usei no vídeo.

Castelos eram protegidos por:

  • Fossos com jacarés (barreiras físicas externas)
  • Portões reforçados
  • Muralhas com arqueiros
  • Pontes levadiças
  • Guardas internos
  • E a sala do tesouro, bem no centro

Na nuvem, a lógica é a mesma. Só que o castelo é seu ambiente Azure, e o tesouro são os dados da sua organização. As camadas de defesa incluem:

🔐 Camadas de Defesa no Azure:

  1. Segurança Física: responsabilidade 100% da Microsoft. Acesso restrito, câmeras, controle de ambiente. Isso não é seu problema.
  2. Identidade e Acesso: aqui já é contigo. AAD, RBAC, PIM, MFA. Tudo isso precisa estar bem configurado.
  3. Perímetro de Rede: NSGs, Azure Firewall, DDoS Protection (Basic habilitado por default, mas o Standard vale o investimento).
  4. Segurança de Computação: VMs atualizadas, antimalware, backup. Você é responsável pelo que roda dentro do seu guest OS.
  5. Aplicações: WAF nativo do Azure, HTTPS enforcement, DDoS na camada 7, API Management.
  6. Dados em Repouso e em Trânsito: criptografia simétrica e TLS habilitados. Isso é default? Não. Você configura.

Cada camada é uma trincheira. E o atacante só precisa de uma brecha. Você precisa garantir que todas resistam.

🧠 Responsabilidade Compartilhada: A Falácia da “Segurança Automática”

Tem gente que ainda acha que só por estar no Azure, já está seguro. Esse é o mito clássico que tento desconstruir em todos os projetos, workshops e agora também nessa série.

📊 O que é responsabilidade da Microsoft:

  • Segurança física do datacenter
  • Infraestrutura de rede global
  • Hypervisor e isolamento físico
  • Garantia de uptime e SLA de disponibilidade

🔍 O que é SUA responsabilidade:

  • Sistema operacional e patches (IaaS)
  • Configuração correta de NSG, Firewall, WAF, etc.
  • Proteção de endpoints (AV, EDR)
  • Dados (classificação, criptografia, retenção)
  • Acesso, identidade, autenticação e autorização
  • Uso correto dos serviços PaaS e sua exposição à internet

Se você roda um SQL PaaS e abre o firewall com 0.0.0.0/0 por preguiça… adivinha? O erro é seu. Não da Microsoft.

🧪 Exemplo Real: Secure Score em produção

Em um cliente recente, o Secure Score estava abaixo de 40%. Basicamente:

  • Nenhum MFA habilitado
  • NSGs ausentes ou configuradas “na tora”
  • VMs expostas com RDP 3389 aberto direto na internet

Só de implementar MFA via Conditional Access e revisar os NSGs, subimos o score para 71% em dois dias. Nada mirabolante, só o arroz com feijão bem feito. E o Defender for Cloud mostrou isso em tempo real.

Esse tipo de insight é ouro. E é sobre isso que vamos falar ao longo da série.

🎬 Assista o Episódio #01

🔗 Assista agora no YouTube – Capítulo 01 de 09
(E se inscreve no canal, senão vou saber que você pulou essa parte… rs)

🧭 Conclusão

A série Beyond The Cloud – Spin-Off nasceu pra isso:

Descomplicar segurança na nuvem, mostrar o que importa e fazer você refletir.

Defense in Depth e Responsabilidade Compartilhada não são buzzwords — são a base da sua maturidade em Cloud Security.

E se você domina isso no Azure, você já entendeu 70% do que precisa pra proteger qualquer ambiente.

Semana que vem tem mais.

Um bjo no coração e se cuidem! 🌹❤️
Gustavo Magella

Categorized in:

Cloud Certifications, My Tech Two Cents,

Tagged in:

,