Desafio 18: Segurança — Zero Trust, Defesa em Profundidade e Defender
20-30 min | Custo: Gratuito | Domínio: Arquitetura e Serviços Azure (35-40%)
Habilidades do exame cobertas
- Descrever o conceito de Zero Trust
- Descrever o propósito do modelo defense-in-depth
- Descrever o propósito do Microsoft Defender for Cloud
Visão Geral
A segurança no Azure é construída sobre conceitos fundamentais: Zero Trust (nunca confie, sempre verifique), defense-in-depth (múltiplas camadas de segurança) e Microsoft Defender for Cloud (gerenciamento unificado de segurança). Esses conceitos trabalham juntos para proteger seus recursos na nuvem.
Explorar
Tarefa 1: Entender Zero Trust
Zero Trust opera em três princípios:
| Princípio | Descrição | Exemplo |
|---|---|---|
| Verificar explicitamente | Sempre autenticar e autorizar com base em todos os dados disponíveis | Verificar identidade do usuário, localização, saúde do dispositivo |
| Acesso com least privilege | Dar permissões mínimas necessárias | Usar acesso just-in-time e just-enough-access |
| Assumir violação | Minimizar raio de explosão e verificar de ponta a ponta | Segmentar acesso, usar criptografia, verificar tudo |
Segurança tradicional: "Confiar em tudo dentro da rede" Zero Trust: "Não confiar em nada, verificar tudo"
Tarefa 2: Entender defense-in-depth
Defense-in-depth usa múltiplas camadas de segurança. Se uma camada falhar, a próxima camada captura a ameaça:
Layer 1: Physical Security → Datacenter access controls
Layer 2: Identity & Access → Entra ID, MFA, Conditional Access
Layer 3: Perimeter → DDoS protection, firewalls
Layer 4: Network → NSGs, VNets, segmentation
Layer 5: Compute → VM security, patching, endpoint protection
Layer 6: Application → Secure coding, vulnerability scanning
Layer 7: Data → Encryption at rest and in transit
Insight principal: Nenhuma camada única fornece proteção completa. A segurança requer TODAS as camadas trabalhando juntas.
Tarefa 3: Explorar Microsoft Defender for Cloud
- No Azure Portal, pesquise por Microsoft Defender for Cloud
- Explore as seções principais:
- Overview: Pontuação de postura de segurança
- Recommendations: Melhorias de segurança sugeridas
- Security alerts: Ameaças detectadas
- Regulatory compliance: Conformidade com padrões
- Observe o Secure Score — uma classificação percentual da sua postura de segurança
Defender for Cloud fornece:
- Avaliação contínua de segurança
- Recomendações de segurança
- Proteção contra ameaças com alertas
- Rastreamento de conformidade (PCI-DSS, SOC, ISO 27001)
- Acesso just-in-time a VMs
Tarefa 4: Capacidades do Defender for Cloud
| Recurso | Descrição | Custo |
|---|---|---|
| Secure Score | Avaliar sua postura de segurança (0-100%) | Gratuito |
| Recommendations | Correções de segurança priorizadas | Gratuito |
| Enhanced protections | Planos Defender para serviços específicos | Pago (por recurso) |
| Regulatory compliance | Mapear controles para padrões de conformidade | Gratuito (básico) |
Planos Defender (segurança aprimorada para serviços específicos):
- Defender for Servers
- Defender for Storage
- Defender for SQL
- Defender for Containers
- Defender for App Service
- Defender for Key Vault
Tarefa 5: Zero Trust na prática
Como os serviços Azure implementam Zero Trust:
| Controle Zero Trust | Serviço Azure |
|---|---|
| Verificar identidade | Entra ID + MFA |
| Verificar saúde do dispositivo | Intune + Conditional Access |
| Least privilege | RBAC + PIM (Privileged Identity Management) |
| Micro-segmentação | NSGs + VNets + Private endpoints |
| Criptografia | Azure Key Vault + TLS + disk encryption |
| Monitorar e responder | Defender for Cloud + Sentinel |
# Check Defender for Cloud secure score
az security secure-score list --output table 2>/dev/null || echo "Explore Defender for Cloud in the portal"
# List security recommendations
az security assessment list --query "[0:5].{Name:displayName, Status:status.code}" --output table 2>/dev/null || echo "View recommendations in the portal"
Conceitos-Chave
| Conceito | Descrição |
|---|---|
| Zero Trust | Nunca confie, sempre verifique — independentemente da localização na rede |
| Defense-in-depth | Múltiplas camadas de segurança protegendo recursos |
| Microsoft Defender for Cloud | Gerenciamento unificado de segurança e proteção contra ameaças |
| Secure Score | Medida percentual da sua postura de segurança |
| Least privilege | Conceder permissões mínimas necessárias para a tarefa |
| Assume breach | Projetar segurança esperando que atacantes já estão dentro |
Verificação de Conhecimento
1. Qual princípio de segurança afirma que você deve "nunca confiar, sempre verificar"?
2. No modelo defense-in-depth, o que acontece se uma camada de segurança for violada?
3. O que o Secure Score do Microsoft Defender for Cloud mede?
4. Qual camada de defense-in-depth inclui firewalls e proteção DDoS?
5. Um princípio do Zero Trust afirma que usuários devem ter apenas as permissões mínimas necessárias para fazer seu trabalho. Como isso se chama?
Saiba Mais
- 📚 Study Guide AZ-900 — Materiais de estudo selecionados
- Microsoft Learn: Describe Azure identity, access, and security
- Zero Trust documentation
- Microsoft Defender for Cloud