CSPM para PMEs: Cloud Security Posture Management no Azure com Microsoft Defender for Cloud
✎ Duarte Spínola | 2026-07-10
Cerca de 80% dos incidentes cloud resultam de misconfigurations — não de ataques sofisticados. Storage accounts públicas, NSGs com portas abertas para a Internet, keys guardadas em texto plano, RBAC mal configurado. O Cloud Security Posture Management (CSPM) detecta estes problemas automaticamente. Este guia mostra como implementar CSPM no Azure com Microsoft Defender for Cloud, com base na documentação oficial Microsoft e no Gartner CSPM glossary.
O plano Foundry CSPM do Defender for Cloud é gratuito e inclui Secure Score, recomendações básicas e inventário. O Defender CSPM Plan 2 (~$15/resource/mês) adiciona regulatory compliance dashboards, threat protection e workload protections.
Conteúdos
- 1. O Que é CSPM
- 2. Por Que é Relevante para PMEs
- 3. Misconfigurations Comuns no Azure
- 4. Microsoft Defender for Cloud: Visão Geral
- 5. Planos e Preços
- 6. Configurar Defender for Cloud Passo-a-Passo
- 7. Secure Score: Como Funciona
- 8. Regulatory Compliance Dashboards
- 9. Workload Protections
- 10. CLI e Automação
- 11. Integração com Microsoft Sentinel
- 12. Comparação com Wiz e Prisma Cloud
- 13. Recomendações Práticas para PMEs
1. O Que é CSPM
CSPM (Cloud Security Posture Management) é uma categoria de ferramentas definida pelo Gartner em 2018 que detecta misconfigurations, drift de políticas e fornece continuous compliance checking em ambientes cloud. As três funções core do CSPM são:
- Descoberta e inventário — mapear todos os recursos cloud, incluindo shadow IT
- Detecção de misconfigurations — comparar configurações contra benchmarks (CIS, NIST, ISO)
- Remediação guiada — recomendar ou executar fixes para cada problema detectado
Diferente de SIEM (que analisa logs e detecta ataques em tempo real), CSPM foca-se em configuração — garante que os recursos cloud estão configurados correctamente antes que um ataque aconteça.
2. Por Que é Relevante para PMEs
PMEs que migram para Azure frequentemente não têm uma equipa de security dedicada. O resultado: recursos criados sem revisão de segurança, configurações default perigosas e drift ao longo do tempo. CSPM é especialmente valioso para PMEs porque:
- Automatiza a revisão — não precisas de um security engineer a auditar manualmente
- Prioriza recomendações — mostra o que tem maior impacto no Secure Score
- Compliance pronto-a-usar — dashboards para ISO 27001, NIST, CIS sem configuração adicional
- Plano gratuito — Foundry CSPM cobre o essencial sem custo
3. Misconfigurations Comuns no Azure
| Misconfiguration | Impacto | Detecção CSPM |
|---|---|---|
| Storage Account com public access | Crítico — dados expostos | ✅ Automática |
| NSG com RDP (3389) aberto a 0.0.0.0/0 | Crítico — brute force | ✅ Automática |
| Key Vault sem soft delete | Alto — perda de keys | ✅ Automática |
| RBAC com Owner atribuído a todos | Alto — privilege creep | ✅ Automática |
| SQL Server sem auditing | Médio — sem rasto | ✅ Automática |
| VM sem disk encryption | Médio — data at risk | ✅ Automática |
| Subnet sem NSG | Alto — tráfego sem filtro | ✅ Automática |
4. Microsoft Defender for Cloud: Visão Geral
O Microsoft Defender for Cloud é a solução de CSPM da Microsoft para Azure. Também suporta AWS e GCP (multi-cloud), permitindo gerir a postura de segurança de todos os clouds num único painel. As funcionalidades principais incluem:
- Secure Score — pontuação de 0-100 que mede a postura de segurança global
- Recomendações — lista priorizada de acções para melhorar a segurança
- Regulatory compliance — dashboards para ISO 27001, NIST CSF, CIS, PCI DSS, SOC 2
- Workload protections — proteção para VMs, SQL, Storage, Containers, Key Vault
- Threat protection — detecção de ataques via Microsoft Threat Intelligence
- Multi-cloud — conecta AWS e GCP accounts para visão unificada
5. Planos e Preços
| Plano | Custo | Inclui |
|---|---|---|
| Foundry CSPM (free) | €0 | Secure Score, recomendações básicas, inventário |
| Defender CSPM Plan 2 | ~$15/resource/mês | Compliance dashboards, threat protection, attack path analysis |
| Defender for Servers | ~$5/VM/mês (Plan 1) / $15 (Plan 2) | EDR via Defender for Endpoint, vulnerability scanning |
| Defender for Storage | ~$0.02/10k transactions | Scan de blobs para malware, anomalia detection |
| Defender for SQL | ~$15/SQL instance/mês | Vulnerability assessment, threat detection para SQL |
| Defender for Containers | ~$2/vCPU/mês | AKS/ACS cluster security, image scanning |
Para uma PME com 10 VMs Azure, o plano gratuito (Foundry CSPM) já oferece Secure Score e recomendações. O Defender for Servers Plan 1 (~$50/mês) adiciona EDR integrado — excelente valor para PME sem Endpoint Protection dedicado.
6. Configurar Defender for Cloud Passo-a-Passo
Passo 1 — Activar no portal Azure:
# Activar Defender for Cloud via Azure CLI
az security pricing create --name VirtualMachines \
--tier Standard # Defender for Servers Plan 1
# Activar CSPM (Plan 2 — pago)
az security pricing create --name CloudPosture \
--tier Standard
# Verificar planos activos
az security pricing list --output table
Passo 2 — Configurar auto-provisioning do agente AMA:
# Activar auto-provisioning do Azure Monitor Agent (AMA)
az security auto-provisioning-setting update \
--name default \
--auto-provision "On"
# Verificar
az security auto-provisioning-setting list --output table
Passo 3 — Configurar Log Analytics workspace:
# Criar workspace dedicado para security data
az monitor log-analytics workspace create \
--resource-group "rg-security" \
--workspace-name "law-security-pme" \
--location "westeurope"
# Configurar Defender for Cloud para usar este workspace
az security workspace-automation create \
--name default \
--resource-group "rg-security" \
--workspace "/subscriptions/{sub}/resourcegroups/rg-security/providers/microsoft.operationalinsights/workspaces/law-security-pme"
7. Secure Score: Como Funciona
O Secure Score é uma métrica de 0-100 que quantifica a postura de segurança. Cada recomendação tem um peso — resolver recomendações de maior peso aumenta mais o score:
# Obter Secure Score actual
az security score list --output table
# Listar recomendações ordenadas por impacto no score
az security assessment list --output table
# Filtrar recomendações críticas
az security assessment list --query "[?status.code=='Unhealthy']" --output table
| Score | Estado | Acção |
|---|---|---|
| 0-30 | Crítico | Resolver imediatamente as top 5 recomendações |
| 31-60 | Moderado | Plano de melhoria trimestral |
| 61-80 | Bom | Otimização contínua |
| 81-100 | Excelente | Manter e monitorizar drift |
8. Regulatory Compliance Dashboards
O regulatory compliance dashboard mapeia as recomendações do Defender for Cloud contra standards conhecidos:
- ISO 27001:2022 — standard internacional de informação security
- NIST CSF — Cybersecurity Framework do NIST
- CIS Microsoft Azure Foundations Benchmark — benchmarks de configuração segura
- PCI DSS 4.0 — Payment Card Industry Data Security Standard
- SOC 2 Type II — Service Organization Control
- GDPR — Regulamento Geral de Proteção de Dados (incluindo NIS2)
# Listar standards disponíveis
az security regulatory-compliance-standards list --output table
# Adicionar standard ISO 27001
az security regulatory-compliance-standards create --name "27001"
# Ver compliance status
az security regulatory-compliance-assessments list \
--standard-name "27001" --output table
9. Workload Protections
As workload protections do Defender for Cloud vão além de CSPM — oferecem threat protection activa para tipos específicos de recursos:
- Defender for Servers — integra Microsoft Defender for Endpoint (EDR), vulnerability scanning via Tenable, alertas de ataque
- Defender for Storage — scan de blobs em busca de malware (upload detection), anomalia detection em access patterns
- Defender for SQL — vulnerability assessment, SQL injection detection, anomalia detection em queries
- Defender for Containers — AKS cluster hardening, image scanning, Kubernetes workload protection
- Defender for Key Vault — detecção de access anomalous a keys/secrets
- Defender for DNS — detecção de DNS tunneling e data exfiltration
10. CLI e Automação
# Listar todas as recomendações activas
az security assessment list \
--query "[?status.code=='Unhealthy'].{Name:displayName, Severity:metadata.severity, Resource:resourceDetails.Id}" \
--output table
# Exportar relatório de compliance para CSV
az security assessment list --output csv > defender-compliance.csv
# Remediar uma recomendação específica (Quick Fix)
az security assessment update \
--name "enable-disk-encryption" \
--status-code "Healthy"
# Configurar notificações por email
az security contact create \
--name "default" \
--email "[email protected]" \
--alert-notifications true \
--alerts-admins true
O Defender for Cloud também suporta Azure Policy integration — podes criar policies que bloqueiam criação de recursos non-compliant (ex: bloquear Storage Accounts com public access). Isto previne misconfigurations antes que aconteçam, em vez de apenas detectá-las depois.
11. Integração com Microsoft Sentinel
Para PMEs que usam Microsoft Sentinel como SIEM, o Defender for Cloud integra nativamente:
- Forward automático de alertas — alertas do Defender for Cloud aparecem como incidents no Sentinel
- Correlação com outras fontes — Sentinel correlaciona alertas cloud com logs on-prem, Entra ID, etc.
- Playbooks automatizados — quando Defender detecta anomalia, Sentinel pode executar response automática
# Configurar connector do Defender for Cloud no Sentinel
# Via portal: Sentinel > Data connectors > Microsoft Defender for Cloud
# Via ARM template:
az deployment group create \
--resource-group "rg-sentinel" \
--template-file sentinel-defender-connector.json \
--parameters workspaceName="law-sentinel-pme" \
--parameters subscriptionId="{sub-id}"
12. Comparação com Wiz e Prisma Cloud
| Feature | Defender for Cloud | Wiz | Prisma Cloud |
|---|---|---|---|
| Multi-cloud | Azure, AWS, GCP | Azure, AWS, GCP | Azure, AWS, GCP |
| CSPM gratuito | ✅ Sim (Foundry) | ❌ Não | ❌ Não |
| Attack path analysis | ✅ (Plan 2) | ✅ (superior) | ✅ |
| EDR integrado | ✅ (Defender for Endpoint) | ❌ (parcerias) | ❌ (parcerias) |
| Custo PME (10 VMs) | €0-50/mês | €200-500/mês | €150-400/mês |
13. Recomendações Práticas para PMEs
- Começar pelo gratuito: activa Foundry CSPM — não custa nada e dá Secure Score + recomendações essenciais.
- Resolver top 5 primeiro: o Secure Score mostra quais recomendações têm maior impacto. Resolve as top 5 para subir 20-30 pontos rapidamente.
- Activar Defender for Servers Plan 1 — a €5/VM/mês, inclui EDR (Defender for Endpoint) que custaria €10+/endpoint/mês separadamente.
- Configurar Azure Policy — bloqueia criação de recursos non-compliant (ex: Storage com public access, NSG com RDP aberto). Previne em vez de detectar.
- Revisão semanal do Secure Score — dedica 30 minutos/semana para rever novas recomendações. O score baixa se novos recursos forem criados sem best practices.
- Compliance dashboard para ISO 27001 — se a PME precisa de certificação, o dashboard dá-te o mapeamento pronto. Mostra onde estás conforme e onde tens gaps.
- Integrar com Sentinel — se já tens Sentinel, conecta Defender for Cloud para correlação de alertas. Se não tens Sentinel, o Defender for Cloud sozinho já é uma boa primeira camada.
