Seguranca em infraestrutura cloud: guia completo para empresas

O que é segurança em infraestrutura cloud e por que ela é diferente

Segurança em infraestrutura cloud é o conjunto de políticas, controles técnicos, processos e ferramentas que protegem ambientes de computação em nuvem — desde máquinas virtuais e containers até bancos de dados gerenciados, APIs, storage e redes virtuais — contra acessos não autorizados, vazamentos de dados, ataques e falhas de configuração. Diferente da segurança tradicional de datacenter on-premises, onde o perímetro era bem definido por firewalls físicos e switches corporativos, a cloud dissolve esse perímetro: recursos são provisionados dinamicamente, endpoints expostos via API pública são a norma, e o controle sobre o hardware subjacente pertence ao provedor.

Esse deslocamento do perímetro criou o chamado modelo de responsabilidade compartilhada. Provedores como Microsoft Azure, AWS e Google Cloud são responsáveis pela segurança da cloud — datacenters físicos, hipervisores, rede backbone, disponibilidade. O cliente é responsável pela segurança na cloud — configuração de recursos, gestão de identidades, criptografia de dados, segmentação de rede virtual, patching de sistemas operacionais em IaaS e governança de aplicações. A maioria dos incidentes em nuvem, segundo o Gartner, não acontece por falha do provedor: até 2025, estima-se que 99% das falhas de segurança em cloud terão origem em erro humano do cliente, especialmente misconfigurations.

Para empresas brasileiras, a questão vai além do técnico. A LGPD trata dados pessoais armazenados em cloud como responsabilidade do controlador — ou seja, sua empresa, mesmo que a infraestrutura seja da Microsoft. Um vazamento no Azure Blob Storage mal configurado é seu problema regulatório, não do provedor. Entender essa divisão é o ponto de partida para qualquer estratégia séria de segurança cloud.

As principais ameaças e vetores de ataque em ambientes cloud

Mapear o que realmente ataca infraestruturas cloud é o primeiro passo para defendê-las. A Cloud Security Alliance publica anualmente o "Top Threats to Cloud Computing", e os padrões se repetem ano após ano. As categorias mais críticas em 2025 incluem:

• Misconfigurations e controle inadequado de mudanças: buckets de storage públicos, security groups permitindo 0.0.0.0/0 em portas administrativas, chaves de API expostas em repositórios Git. É a causa número um de incidentes.
• Gestão fraca de identidades, credenciais e acessos (IAM): contas com privilégios excessivos, ausência de MFA, tokens de longa duração sem rotação, service principals sem segregação.
• APIs inseguras: endpoints sem autenticação adequada, ausência de rate limiting, exposição de dados sensíveis em respostas de erro.
• Hijacking de contas e phishing sofisticado: com frequência usando techniques como consent phishing em aplicações OAuth do Microsoft 365.
• Ameaças internas: colaboradores com acesso legítimo que exfiltram dados, seja por má-fé ou negligência.
• Supply chain attacks: comprometimento de imagens de container, bibliotecas npm/pip maliciosas, ou SaaS integrado com permissões amplas.
• Ransomware em cloud: ataques que criptografam volumes EBS, snapshots ou pastas no OneDrive/SharePoint sincronizado.

Um exemplo didático: em 2023, uma pesquisa da IBM mostrou que o custo médio global de um data breach envolvendo ambiente público cloud chegou a US$ 5,17 milhões — superior à média geral de US$ 4,45 milhões. Em empresas brasileiras, o custo médio por registro vazado ficou em R$ 285, segundo o mesmo relatório adaptado ao Brasil. Não é um risco abstrato: cada bucket aberto é potencialmente um prejuízo de sete dígitos.

"Na cloud, a pergunta não é se você será alvo, mas se seus controles vão detectar e conter o ataque antes que ele se torne um incidente reportável. Prevenção sem detecção é incompleta." — Cloud Security Alliance, Top Threats Report

Pilares técnicos: como construir uma infraestrutura cloud realmente segura

Proteger cloud exige disciplina em camadas. Não existe uma única ferramenta que resolva tudo — existe um stack coerente de controles que se reforçam mutuamente. Os pilares que recomendamos para ambientes Azure, AWS ou GCP de clientes corporativos são:

1. Identidade como novo perímetro: implemente Zero Trust real. MFA resistente a phishing (FIDO2, Windows Hello for Business, não SMS) para 100% dos usuários. Conditional Access no Azure AD / Entra ID baseado em risco, localização e compliance do dispositivo. Privileged Identity Management (PIM) para acessos Just-in-Time a roles administrativos — ninguém deveria ter Global Admin permanente.
2. Segmentação de rede virtual: VNets/VPCs segmentadas por ambiente (prod, hml, dev) e por camada (web, app, dados). Network Security Groups com regras mínimas necessárias. Private Endpoints para serviços PaaS (Storage, SQL, Key Vault) eliminando exposição pública. Azure Firewall ou NVA de terceiros para inspeção de tráfego leste-oeste.
3. Criptografia em trânsito e em repouso: TLS 1.2+ obrigatório, certificados gerenciados via Key Vault, rotação automática. Customer-managed keys (CMK) para dados regulados. Double Encryption em storage para dados sensíveis.
4. Gestão de segredos e chaves: nada de credenciais em código ou variáveis de ambiente em texto claro. Azure Key Vault, AWS Secrets Manager, HashiCorp Vault. Rotação automática de chaves e auditoria de acesso.
5. Postura contínua (CSPM) e workload protection (CWPP): Microsoft Defender for Cloud, Prisma Cloud ou Wiz para detectar misconfigurations em tempo real, calcular secure score e priorizar remediação por risco exploitável. Defender for Servers/Containers/Databases para proteção de workloads específicos.
6. Observabilidade e SIEM: centralize logs de Azure Activity, Entra ID, NSG flow logs, Defender alerts em um SIEM como Microsoft Sentinel. Correlação automática, playbooks de resposta (SOAR) e retenção mínima de 12 meses para investigação forense.
7. Backup imutável e DR testado: snapshots com imutabilidade (WORM) e retenção legal, cópias geograficamente separadas, e — crítico — testes periódicos de restore. Backup que nunca foi testado não é backup.

Cada pilar parece óbvio isoladamente; o desafio real é integração. Uma conta com MFA mas que usa uma VM com porta 3389 aberta no Security Group está protegida pela metade. Uma VNet segmentada mas com service principal tendo Contributor no nível de assinatura anula a segmentação. Segurança cloud é um sistema — falha no elo mais fraco.

Governança, compliance e o lado não-técnico da segurança cloud

Tecnologia sem governança produz "security by luck". As organizações maduras tratam segurança cloud como disciplina contínua de gestão, não como projeto pontual. Isso se materializa em três frentes:

Frameworks de referência: adotar um modelo reconhecido economiza tempo e dá linguagem comum com auditores. CIS Benchmarks (para Azure, AWS, GCP especificamente) dão controles acionáveis. NIST Cybersecurity Framework 2.0 estrutura as funções Identify-Protect-Detect-Respond-Recover-Govern. ISO 27001 e SOC 2 Type II são comuns em exigências de clientes enterprise. Para Brasil, a LGPD impõe obrigações específicas — avaliação de impacto (RIPD), registro de operações, notificação de incidentes à ANPD em prazo razoável.

Policy as Code: deixe de depender de checklists em planilha. Use Azure Policy, AWS Config Rules ou Open Policy Agent para bloquear na origem recursos não-conformes. Se a política diz "storage não pode ser público", o provisionamento falha em vez de gerar um alerta depois. Integre isso no pipeline de Terraform/Bicep — shift-left de segurança.

Processos humanos: treinamento recorrente (não apenas onboarding), simulações de phishing, tabletop exercises anuais de resposta a incidentes, revisão trimestral de acessos privilegiados, e um Plano de Resposta a Incidentes escrito, testado e com papéis claros de quem aciona quem às 3h da manhã. Segurança não é projeto — é operação.

"A LGPD não exige que sua empresa seja invulnerável. Exige que você demonstre medidas técnicas e administrativas razoáveis, proporcionais ao risco. Ter controles documentados e evidências de operação é o que separa uma multa administrativa de uma sanção grave." — síntese dos Guias Orientativos da ANPD

Erros mais comuns que vemos em auditorias de clientes

Depois de mais de uma década trabalhando com infraestrutura Microsoft e cloud no mercado brasileiro, alguns padrões de falha se repetem com uma consistência quase impressionante. Listamos os mais frequentes encontrados em assessments iniciais:

• Conta Global Admin compartilhada pela equipe de TI, sem MFA adequado e com senha antiga conhecida por ex-funcionários.
• Storage Accounts com "Allow public blob access" habilitado por default, herdado de configurações antigas que nunca foram revisadas.
• Azure SQL com firewall permitindo "Allow Azure services and resources to access this server" — o que na prática libera qualquer recurso Azure de qualquer tenant do mundo.
• VMs com RDP/SSH diretamente expostos à internet, sem Bastion, sem Just-in-Time access, sem IP whitelist. Alvo preferido de brute force automatizado.
• Key Vault com access policies amplas e sem logging de acesso ativado — impossível investigar vazamento depois.
• Backups configurados, mas sem retenção adequada, sem imutabilidade e nunca testados em cenário real de restore.
• Service principals criados para integrações antigas, sem dono, sem expiração de segredo, ainda ativos anos depois do projeto ter sido encerrado.
• Microsoft 365 com consentimento de aplicações de terceiros liberado para qualquer usuário, vetor clássico de consent phishing.
• Defender for Cloud habilitado em tier Free, sem os planos pagos que habilitam detecção real em servidores, SQL, containers e storage.
• Logs de Sign-in do Entra ID retidos apenas 30 dias, impossibilitando investigação de incidentes detectados depois de 45 ou 60 dias.

A boa notícia: quase todos são corrigíveis em semanas, não em anos. A má notícia: se sua empresa nunca fez um assessment independente, as chances de ter pelo menos 4 desses problemas simultaneamente são altíssimas.

Como a Duk implementa segurança cloud para empresas brasileiras

Na Duk Informática & Cloud, segurança não é um serviço adicional — é um pré-requisito de qualquer projeto cloud que entregamos. Com mais de 18 anos de experiência, 550+ empresas atendidas e o selo de Microsoft Gold Partner, construímos uma metodologia que combina os frameworks CIS e NIST com as particularidades regulatórias brasileiras (LGPD, resoluções BACEN, ANPD) e o dia a dia real de PMEs e empresas de médio porte.

Nosso trabalho com clientes cloud segue três fases complementares. A primeira é um Cloud Security Assessment em que mapeamos postura atual, levantamos misconfigurations críticas, avaliamos maturidade de IAM e produzimos um plano de remediação priorizado por risco e esforço. A segunda é a implementação gerenciada — deploy de Defender for Cloud nos planos adequados, configuração de Entra ID Conditional Access e PIM, desenho de Azure Policy para governança contínua, integração com Sentinel para SIEM e segmentação de VNets conforme best practices. A terceira é a operação contínua 24/7, com nosso SOC monitorando alertas, aplicando playbooks de resposta, realizando revisões trimestrais de postura e garantindo nosso SLA de 3,7 minutos no primeiro atendimento de incidentes críticos.

Diferente de consultorias que entregam um relatório em PDF e desaparecem, ficamos com o cliente na operação. Seus administradores de TI internos ganham um parceiro que complementa o time, não concorre com ele. E, mais importante, você tem evidência documentada de medidas técnicas e administrativas — exatamente o que a LGPD exige.

Se sua empresa está migrando para a nuvem, já operando em Azure/AWS/GCP sem tranquilidade sobre a postura de segurança, ou precisando de conformidade com LGPD e clientes enterprise, podemos conversar. Faça um diagnóstico inicial gratuito com nosso time: fale com a Duk pelo WhatsApp e agende uma conversa de 30 minutos com um especialista cloud — sem compromisso, apenas para entender se faz sentido avançarmos juntos.