Em um mundo em que aplicações, dados e usuários estão cada vez mais distribuídos, o velho modelo de segurança baseado em perímetro (firewall, rede interna “confiável” etc.) deixou de ser suficiente. A “nova fronteira” da segurança é a identidade. É a partir de quem o usuário é, de qual dispositivo usa, de onde está acessando e do risco envolvido que as decisões de acesso passam a ser tomadas.

O que é Zero Trust e por que ele mudou a forma de pensar segurança

O modelo Zero Trust (Confiança Zero) parte de três princípios fundamentais:

1. Verificação explícita
   Nunca assumir confiança apenas porque o usuário está “dentro da rede” ou usando um dispositivo corporativo. Cada acesso deve ser validado o tempo todo, considerando identidade, dispositivo, localização, risco, sensibilidade do recurso e outros sinais.
2. Privilégio mínimo
   Cada identidade (usuário, aplicação, serviço) recebe somente o acesso estritamente necessário para executar suas tarefas. Nada de permissões amplas “por via das dúvidas”. Isso reduz a superfície de ataque e limita o impacto de uma eventual violação.
3. Pressupor a violação
   A mentalidade passa a ser: “e se já estivermos comprometidos?”. A arquitetura é desenhada partindo do princípio de que o invasor pode, em algum momento, atravessar uma barreira. Por isso, é necessário segmentar, monitorar, registrar e sempre revalidar acessos.

Na prática, Zero Trust é a base moderna da segurança em nuvem e, na Microsoft, se concretiza de forma integrada em torno de um grande “cérebro”: o Acesso Condicional do Microsoft Entra ID (antigo Azure AD).

Microsoft Entra e o papel do Acesso Condicional

O Acesso Condicional é o mecanismo que toma decisões dinâmicas sobre permitir, bloquear ou exigir etapas adicionais (como MFA) em um acesso. Ele faz isso avaliando diferentes sinais:

– Identidade: quem está tentando acessar?
– Dispositivo: é um dispositivo gerenciado, corporativo, saudável?
– Localização: de qual país, região, IP ou rede está vindo o acesso?
– Aplicação ou recurso: o que está sendo acessado?
– Risco: há comportamento suspeito, anomalias ou sinalização de risco?

Essas decisões se apoiam em um ecossistema de soluções da Microsoft, todas conectadas:

Identidades – Microsoft Entra ID
Responsável por autenticar usuários e serviços. Trabalha com:

– MFA (multifator de autenticação): algo que você sabe (senha), algo que você é (biometria), algo que você tem (token, app, SMS).
– Federação e SSO: integração com outros provedores de identidade para login único.
– Políticas de autenticação fortes que aumentam o nível de garantia de que aquela identidade é legítima.

Dispositivos – Microsoft Intune / Endpoint Manager
Aqui são avaliadas a saúde e a conformidade do dispositivo:

– O dispositivo está registrado?
– Está em conformidade com as políticas da empresa (antivírus, criptografia, atualizações)?
– É um dispositivo confiável (corporativo) ou pessoal (BYOD)?

O Acesso Condicional pode, por exemplo, exigir que somente dispositivos gerenciados e em conformidade acessem dados sensíveis.

Dados – Microsoft Purview (Proteção de Informações)
A proteção passa a acompanhar a informação, não apenas a rede:

– Classificação de dados (público, interno, confidencial, altamente confidencial).
– Rotulagem e criptografia automática com base na sensibilidade.
– Controles que impedem cópia, impressão ou compartilhamento não autorizado de documentos.

Aplicações – Microsoft Defender for Cloud Apps (CASB)
Funciona como um intermediário e controlador do uso de aplicações SaaS:

– Monitoramento do uso de apps em nuvem (Microsoft 365, Google Workspace, Dropbox etc.).
– Aplicação de políticas como: bloquear upload de arquivos confidenciais ou restringir funcionalidades em acessos não confiáveis.

Infraestrutura e Rede – Azure
Na camada de infraestrutura, o foco é proteger:

– Máquinas virtuais, bancos de dados, storages e outros recursos IaaS/PaaS.
– Tráfego de rede, segmentação, inspeção, detecção de comportamento anômalo.

Inteligência e automação – Microsoft Sentinel e Defender XDR
Essas soluções atuam como um “SOC em nuvem”:

– Coletam telemetria de identidades, dispositivos, dados, aplicações, infraestrutura e rede.
– Correlacionam eventos usando Machine Learning e regras avançadas para detectar ameaças.
– Podem disparar ações automáticas, como atualizar a avaliação de risco de um usuário ou acionar políticas mais rígidas de Acesso Condicional.

Arquiteturas de nuvem: onde a identidade entra no desenho da solução

A Microsoft estrutura suas boas práticas de nuvem em frameworks que aparecem com frequência em provas como a SC-300 – e, mais importante, no dia a dia de quem projeta soluções seguras.

Cloud Adoption Framework (CAF)

O CAF ajuda empresas a migrarem para a nuvem com governança e responsabilidade. Entre as cinco disciplinas de governança da nuvem, a identidade aparece como elemento-chave:

– Gerenciamento de custos
– Linha de base de segurança
– Consistência de recursos
– Linha de base de identidade
– Aceleração da implantação

A mensagem é clara: não se começa um projeto sério em nuvem sem uma estratégia sólida de identidade e acesso. A linha de base de identidade define regras sobre:

– Como usuários são criados, modificados e desativados.
– Como é feito o provisionamento de aplicações e acessos.
– Quais políticas mínimas de autenticação, MFA e grupos de segurança serão usadas.

Well-Architected Framework

Enquanto o CAF fala da adoção da nuvem como um todo, o Well-Architected foca em como projetar soluções específicas com qualidade, resiliência e segurança.

Dentro da perspectiva de segurança, a identidade aparece como pilar:

– Gerenciamento de identidades e acessos
– Proteção contra ameaças
– Segurança na nuvem
– Proteção de informações
– Governança de risco interno
– Conformidade e auditoria

Uma solução bem arquitetada no Azure sempre terá identidade no centro: quem pode acessar, o quê, de onde, em quais condições e com qual nível de privilégio.

Os quatro grandes papéis da identidade: muito além do “login”

O vídeo também organiza o tema identidade em quatro grandes objetivos. Essa visão é extremamente útil tanto para estudar para a prova SC-300 quanto para estruturar um projeto de IAM (Identity and Access Management).

1. Autenticação – provar quem você é

Autenticação é o processo de confirmar a identidade de quem tenta acessar um sistema. Alguns pontos fundamentais:

– Experiência de login: senha, biometria, token, aplicativo autenticador, SMS, FIDO2.
– Fontes confiáveis: de onde vêm as credenciais e como elas são verificadas.
– Protocolos de federação: como identidades de diretórios diferentes são aceitas (ex.: Azure AD, AD local, provedores externos).
– Níveis de garantia: quanto mais sensível o recurso, maior o nível de exigência de autenticação (ex.: exigir MFA, dispositivo gerenciado, localização aprovada).

Sem autenticação forte, qualquer medida de segurança posterior fica fragilizada.

2. Autorização – definir o que você pode fazer

Autorização entra em cena depois que a identidade já foi autenticada:

– Acesso a recursos: este usuário pode acessar esta aplicação, pasta, banco de dados, máquina virtual?
– O que pode ser feito: apenas leitura, gravação, exclusão, administração?
– RBAC (controle de acesso baseado em função): permissões agrupadas por função (ex.: Administrador de Segurança, Leitor, Operador).
– Uso de grupos e funções para simplificar e padronizar permissões.

Identidade sem um modelo de autorização bem feito resulta em excesso de privilégios, risco elevado e dificuldade de auditoria.

3. Administração – gerenciar o ciclo de vida da identidade

A identidade não é estática: ela nasce, muda e, em algum momento, deixa de existir na organização. A administração cuida desse ciclo de vida:

– Criação, alteração e desativação de contas de forma consistente e governada.
– Autoatendimento: redefinição de senha, solicitação de acesso, aprovação de gestores.
– Regras de negócio: quem tem direito a quais perfis e por quanto tempo.
– Gerenciamento de direitos (entitlement management): pacotes de acesso prontos por função, evitando concessões ad hoc.

Uma boa administração reduz erros humanos, melhora a experiência do usuário e aumenta a aderência à governança.

4. Auditoria – registrar e provar o que foi feito

Por fim, tudo isso precisa ser monitorado e registrado:

– Quem acessou o quê, quando, de onde e por qual meio.
– Quem alterou permissões, criou grupos, aprovou acessos.
– Geração de relatórios detalhados e consolidados para auditorias internas e externas.
– Alertas em tempo real sobre comportamentos anômalos ou suspeitos.

A auditoria é essencial para conformidade (LGPD, normas setoriais, requisitos de clientes) e para aprender com incidentes e fortalecê-los continuamente.

Conclusão: identidade como pilar da segurança moderna

O conteúdo do vídeo deixa clara uma mudança de paradigma: em ambientes híbridos e em nuvem, segurança não é mais apenas firewall, VPN e rede interna. A identidade se tornou o eixo em torno do qual gravitam:

– Zero Trust e Acesso Condicional
– Governança de nuvem (CAF, Well-Architected)
– Proteção de dados, dispositivos, aplicações, infraestrutura e rede
– Experiência segura e fluida para o usuário

Para profissionais que buscam certificações como a SC-300 – e, mais importante, para quem é responsável por segurança e governança em ambientes Microsoft – dominar esses conceitos não é opcional. É o ponto de partida para construir ambientes realmente seguros, escaláveis e compatíveis com o cenário atual de ameaças.

Se você já utiliza Microsoft Entra ID, Intune, Purview ou Sentinel, o próximo passo é olhar para sua arquitetura sob a ótica de Zero Trust:
– suas políticas de Acesso Condicional refletem o risco real do negócio?
– existem privilégios excessivos que poderiam ser reduzidos?
– o ciclo de vida das identidades está bem administrado e auditado?

Responder a essas perguntas é um excelente começo para transformar a identidade no verdadeiro perímetro de segurança da sua organização.