CSPM para PMEs: Cloud Security Posture Management no Azure com Microsoft Defender for Cloud

Duarte Spínola  |  2026-07-10

Cerca de 80% dos incidentes cloud resultam de misconfigurations — não de ataques sofisticados. Storage accounts públicas, NSGs com portas abertas para a Internet, keys guardadas em texto plano, RBAC mal configurado. O Cloud Security Posture Management (CSPM) detecta estes problemas automaticamente. Este guia mostra como implementar CSPM no Azure com Microsoft Defender for Cloud, com base na documentação oficial Microsoft e no Gartner CSPM glossary.

ℹ️ Informação

O plano Foundry CSPM do Defender for Cloud é gratuito e inclui Secure Score, recomendações básicas e inventário. O Defender CSPM Plan 2 (~$15/resource/mês) adiciona regulatory compliance dashboards, threat protection e workload protections.

Conteúdos

1. O Que é CSPM

CSPM (Cloud Security Posture Management) é uma categoria de ferramentas definida pelo Gartner em 2018 que detecta misconfigurations, drift de políticas e fornece continuous compliance checking em ambientes cloud. As três funções core do CSPM são:

  • Descoberta e inventário — mapear todos os recursos cloud, incluindo shadow IT
  • Detecção de misconfigurations — comparar configurações contra benchmarks (CIS, NIST, ISO)
  • Remediação guiada — recomendar ou executar fixes para cada problema detectado

Diferente de SIEM (que analisa logs e detecta ataques em tempo real), CSPM foca-se em configuração — garante que os recursos cloud estão configurados correctamente antes que um ataque aconteça.

2. Por Que é Relevante para PMEs

PMEs que migram para Azure frequentemente não têm uma equipa de security dedicada. O resultado: recursos criados sem revisão de segurança, configurações default perigosas e drift ao longo do tempo. CSPM é especialmente valioso para PMEs porque:

  • Automatiza a revisão — não precisas de um security engineer a auditar manualmente
  • Prioriza recomendações — mostra o que tem maior impacto no Secure Score
  • Compliance pronto-a-usar — dashboards para ISO 27001, NIST, CIS sem configuração adicional
  • Plano gratuito — Foundry CSPM cobre o essencial sem custo

3. Misconfigurations Comuns no Azure

Misconfiguration Impacto Detecção CSPM
Storage Account com public access Crítico — dados expostos ✅ Automática
NSG com RDP (3389) aberto a 0.0.0.0/0 Crítico — brute force ✅ Automática
Key Vault sem soft delete Alto — perda de keys ✅ Automática
RBAC com Owner atribuído a todos Alto — privilege creep ✅ Automática
SQL Server sem auditing Médio — sem rasto ✅ Automática
VM sem disk encryption Médio — data at risk ✅ Automática
Subnet sem NSG Alto — tráfego sem filtro ✅ Automática

4. Microsoft Defender for Cloud: Visão Geral

O Microsoft Defender for Cloud é a solução de CSPM da Microsoft para Azure. Também suporta AWS e GCP (multi-cloud), permitindo gerir a postura de segurança de todos os clouds num único painel. As funcionalidades principais incluem:

  • Secure Score — pontuação de 0-100 que mede a postura de segurança global
  • Recomendações — lista priorizada de acções para melhorar a segurança
  • Regulatory compliance — dashboards para ISO 27001, NIST CSF, CIS, PCI DSS, SOC 2
  • Workload protections — proteção para VMs, SQL, Storage, Containers, Key Vault
  • Threat protection — detecção de ataques via Microsoft Threat Intelligence
  • Multi-cloud — conecta AWS e GCP accounts para visão unificada

5. Planos e Preços

Plano Custo Inclui
Foundry CSPM (free) €0 Secure Score, recomendações básicas, inventário
Defender CSPM Plan 2 ~$15/resource/mês Compliance dashboards, threat protection, attack path analysis
Defender for Servers ~$5/VM/mês (Plan 1) / $15 (Plan 2) EDR via Defender for Endpoint, vulnerability scanning
Defender for Storage ~$0.02/10k transactions Scan de blobs para malware, anomalia detection
Defender for SQL ~$15/SQL instance/mês Vulnerability assessment, threat detection para SQL
Defender for Containers ~$2/vCPU/mês AKS/ACS cluster security, image scanning
💡 Dica

Para uma PME com 10 VMs Azure, o plano gratuito (Foundry CSPM) já oferece Secure Score e recomendações. O Defender for Servers Plan 1 (~$50/mês) adiciona EDR integrado — excelente valor para PME sem Endpoint Protection dedicado.

6. Configurar Defender for Cloud Passo-a-Passo

Passo 1 — Activar no portal Azure:

# Activar Defender for Cloud via Azure CLI
az security pricing create --name VirtualMachines \
  --tier Standard  # Defender for Servers Plan 1

# Activar CSPM (Plan 2 — pago)
az security pricing create --name CloudPosture \
  --tier Standard

# Verificar planos activos
az security pricing list --output table

Passo 2 — Configurar auto-provisioning do agente AMA:

# Activar auto-provisioning do Azure Monitor Agent (AMA)
az security auto-provisioning-setting update \
  --name default \
  --auto-provision "On"

# Verificar
az security auto-provisioning-setting list --output table

Passo 3 — Configurar Log Analytics workspace:

# Criar workspace dedicado para security data
az monitor log-analytics workspace create \
  --resource-group "rg-security" \
  --workspace-name "law-security-pme" \
  --location "westeurope"

# Configurar Defender for Cloud para usar este workspace
az security workspace-automation create \
  --name default \
  --resource-group "rg-security" \
  --workspace "/subscriptions/{sub}/resourcegroups/rg-security/providers/microsoft.operationalinsights/workspaces/law-security-pme"

7. Secure Score: Como Funciona

O Secure Score é uma métrica de 0-100 que quantifica a postura de segurança. Cada recomendação tem um peso — resolver recomendações de maior peso aumenta mais o score:

# Obter Secure Score actual
az security score list --output table

# Listar recomendações ordenadas por impacto no score
az security assessment list --output table

# Filtrar recomendações críticas
az security assessment list --query "[?status.code=='Unhealthy']" --output table
Score Estado Acção
0-30 Crítico Resolver imediatamente as top 5 recomendações
31-60 Moderado Plano de melhoria trimestral
61-80 Bom Otimização contínua
81-100 Excelente Manter e monitorizar drift

8. Regulatory Compliance Dashboards

O regulatory compliance dashboard mapeia as recomendações do Defender for Cloud contra standards conhecidos:

  • ISO 27001:2022 — standard internacional de informação security
  • NIST CSF — Cybersecurity Framework do NIST
  • CIS Microsoft Azure Foundations Benchmark — benchmarks de configuração segura
  • PCI DSS 4.0 — Payment Card Industry Data Security Standard
  • SOC 2 Type II — Service Organization Control
  • GDPR — Regulamento Geral de Proteção de Dados (incluindo NIS2)
# Listar standards disponíveis
az security regulatory-compliance-standards list --output table

# Adicionar standard ISO 27001
az security regulatory-compliance-standards create --name "27001"

# Ver compliance status
az security regulatory-compliance-assessments list \
  --standard-name "27001" --output table

9. Workload Protections

As workload protections do Defender for Cloud vão além de CSPM — oferecem threat protection activa para tipos específicos de recursos:

  • Defender for Servers — integra Microsoft Defender for Endpoint (EDR), vulnerability scanning via Tenable, alertas de ataque
  • Defender for Storage — scan de blobs em busca de malware (upload detection), anomalia detection em access patterns
  • Defender for SQL — vulnerability assessment, SQL injection detection, anomalia detection em queries
  • Defender for Containers — AKS cluster hardening, image scanning, Kubernetes workload protection
  • Defender for Key Vault — detecção de access anomalous a keys/secrets
  • Defender for DNS — detecção de DNS tunneling e data exfiltration

10. CLI e Automação

# Listar todas as recomendações activas
az security assessment list \
  --query "[?status.code=='Unhealthy'].{Name:displayName, Severity:metadata.severity, Resource:resourceDetails.Id}" \
  --output table

# Exportar relatório de compliance para CSV
az security assessment list --output csv > defender-compliance.csv

# Remediar uma recomendação específica (Quick Fix)
az security assessment update \
  --name "enable-disk-encryption" \
  --status-code "Healthy"

# Configurar notificações por email
az security contact create \
  --name "default" \
  --email "[email protected]" \
  --alert-notifications true \
  --alerts-admins true
ℹ️ Informação

O Defender for Cloud também suporta Azure Policy integration — podes criar policies que bloqueiam criação de recursos non-compliant (ex: bloquear Storage Accounts com public access). Isto previne misconfigurations antes que aconteçam, em vez de apenas detectá-las depois.

11. Integração com Microsoft Sentinel

Para PMEs que usam Microsoft Sentinel como SIEM, o Defender for Cloud integra nativamente:

  • Forward automático de alertas — alertas do Defender for Cloud aparecem como incidents no Sentinel
  • Correlação com outras fontes — Sentinel correlaciona alertas cloud com logs on-prem, Entra ID, etc.
  • Playbooks automatizados — quando Defender detecta anomalia, Sentinel pode executar response automática
# Configurar connector do Defender for Cloud no Sentinel
# Via portal: Sentinel > Data connectors > Microsoft Defender for Cloud

# Via ARM template:
az deployment group create \
  --resource-group "rg-sentinel" \
  --template-file sentinel-defender-connector.json \
  --parameters workspaceName="law-sentinel-pme" \
  --parameters subscriptionId="{sub-id}"

12. Comparação com Wiz e Prisma Cloud

Feature Defender for Cloud Wiz Prisma Cloud
Multi-cloud Azure, AWS, GCP Azure, AWS, GCP Azure, AWS, GCP
CSPM gratuito ✅ Sim (Foundry) ❌ Não ❌ Não
Attack path analysis ✅ (Plan 2) ✅ (superior)
EDR integrado ✅ (Defender for Endpoint) ❌ (parcerias) ❌ (parcerias)
Custo PME (10 VMs) €0-50/mês €200-500/mês €150-400/mês

13. Recomendações Práticas para PMEs

  • Começar pelo gratuito: activa Foundry CSPM — não custa nada e dá Secure Score + recomendações essenciais.
  • Resolver top 5 primeiro: o Secure Score mostra quais recomendações têm maior impacto. Resolve as top 5 para subir 20-30 pontos rapidamente.
  • Activar Defender for Servers Plan 1 — a €5/VM/mês, inclui EDR (Defender for Endpoint) que custaria €10+/endpoint/mês separadamente.
  • Configurar Azure Policy — bloqueia criação de recursos non-compliant (ex: Storage com public access, NSG com RDP aberto). Previne em vez de detectar.
  • Revisão semanal do Secure Score — dedica 30 minutos/semana para rever novas recomendações. O score baixa se novos recursos forem criados sem best practices.
  • Compliance dashboard para ISO 27001 — se a PME precisa de certificação, o dashboard dá-te o mapeamento pronto. Mostra onde estás conforme e onde tens gaps.
  • Integrar com Sentinel — se já tens Sentinel, conecta Defender for Cloud para correlação de alertas. Se não tens Sentinel, o Defender for Cloud sozinho já é uma boa primeira camada.

Artigos Relacionados

Voltar ao Índice

Este artigo foi útil?

Duarte Spínola

Deixe um Comentário