#004 | Beyond the Cloud – Spin-Off | Cloud Security | C02-09 - Identity and Access Security
Gustavo Magella, MSc. Cybersecurity
MSc. in Cybersecurity | Cybersecurity Architect @IBM | #borapranuvem ☁️
Also available at: https://blog.gustavomagella.com
[en-us] ⚠️ Important Disclaimer
1️⃣ Some time ago, I recorded a course on cloud security in Microsoft environments for a Brazilian university called IGTI. This course was part of a Cloud Computing boot camp and helped many students who were just starting their careers in the field. (After the institution shut down, the content became unavailable.)
🎯 So, I decided to remaster, sanitize, and re-release this content for free on YouTube, to continue supporting those who are beginning their journey in Cloud and Cloud Security.
2️⃣ The original course is in Portuguese (pt-BR), but throughout the series, I’ll also publish articles in English (en-US) so the content can reach more people — at least until the new courses in English are recorded and ready.
3️⃣ Important: this series is not certification prep and not a silver bullet. The goal here is to share structured knowledge with a hands-on, accessible approach focused on Cloud beginners, Security enthusiasts and Anyone looking to better understand how Azure actually handles security.
4️⃣ Microsoft has rebranded some of its products — for example, Azure Security Center is now Defender for Cloud, and Azure Active Directory is now Entra ID. Some lessons may still refer to the old names, but don’t worry — the core concepts, technical foundations, and functionalities remain the same. Focus on the architecture and principles being taught.
Hope you enjoy it! Big hug!
Gustavo Magella
🎬 Watch Episode #02 of 09 Now
🔗 Click here to watch on YouTube – Episode 02 of 09. (And yes, hit that subscribe button. I’m watching… 👀)
[EN-US] Beyond The Cloud – Spin-Off | Chapter 02: Access & Identity Security in Azure
Hey, what’s up folks!? Back for another chapter? Niiiiice!!
Today, we’re unlocking one of the most crucial layers of cloud security: Identity and Access on Azure. And if you’re still thinking passwords are enough — this post might just save your environment.
Let’s be honest: it doesn’t matter how many firewalls you’ve set up if attackers can bypass your identity controls. Identity is the new perimeter. And that’s where we begin.
🔐 Auth vs. Authz: Know the Difference
Let me paint a scenario for you:
Imagine Cristóvão Colombo (our brave test user) logs into your Azure tenant. He enters his credentials and gets in. Boom! He’s authenticated.
But wait — can he view resources? Can he create a VM? Can he delete a storage account?
That’s authorization.
Don’t confuse the two. They walk together, but have different purposes.
🪑 Azure Active Directory (Now Microsoft Entra ID)
We all remember the classic AD from on-prem days. Microsoft Entra ID is that — evolved, modernized, cloud-native, and powerful.
Some features you should be leveraging:
In practice: You can bulk create users, manage groups, assign roles, invite guest users, and fine-tune their access.
And here’s a pro tip:
Directory roles are different from RBAC roles. Keep that separation clear.
Colombo as a basic user? He can log in and read some details. Colombo as a Global Administrator? That man can light the whole place on fire.
🧱 MFA: Multi-Factor Authentication, The Right Way
Still running single-factor logins in your cloud environment? That’s like leaving your front door open with a sign that says “Please knock.”
Azure gives you free MFA, no P1 or P2 license required. And here’s how it works:
I always recommend using the Microsoft Authenticator App — QR code, setup, push notifications. Done.
But don’t stop there. Configure fallback options: SMS, phone call, and backup admins. Losing access to MFA shouldn’t mean panic.
🕵️ RBAC: Role-Based Access Control
Now let’s talk power and permissions.
RBAC in Azure is surgical. It lets you grant exactly the right access at exactly the right scope. But if you mess up? You either give too much (disaster) or too little (frustration).
RBAC =
Give Colombo Reader access to a VNet if all he needs is visibility. Giving him Owner at the subscription level? You’re giving him the nuclear codes.
You want fine control? Use Access Control (IAM) on each resource. Assign, audit, adjust.
Remember: roles cascade downward. If you assign at the subscription level, every child resource inherits it.
👁️ Real-World Chaos: Colombo Goes Wild
Let’s say you made Colombo an Owner at subscription level “just for a test.”
He now sees everything. All three resource groups, all the networks, all the VMs.
He clicks “delete” on a VNet. No prompt. No warning. Gone.
Next time you look, half your infra is gone. And Colombo? He just wanted to see how things worked.
✨ Naming Policies & Group Management
Want to stop users from creating groups called “Test123” or “Cool Admins”?
Define naming conventions, restrict keywords, and enforce structure. Also:
Assign Cabral as part of the “Navegadores” group, report to Colombo, and you’ve got a neat, auditable structure.
🪖 Practical Checklist
📊 My Tech Two Cents
If identity is your front door, MFA is the lock, and RBAC is your house key distribution system.
No point in using biometric locks if everyone gets the master key.
Train your team. Document everything. And never — ever — give subscription-level Owner access casually.
📆 Coming Up Next…
In Chapter 03, we’ll tackle Network Security in Azure:
You’re gonna love it.
Much love, and secure that identity perimeter! 🌹❤️
Gustavo Magella
[pt-br] 🚨 Aviso Importante
1️⃣ Há um tempo, eu gravei um curso de segurança em nuvem focado em ambientes Microsoft para uma universidade brasileira chamada IGTI. Esse curso fazia parte de um bootcamp de Cloud Computing e, na época, ajudou muitos alunos. (Com o fechamento da instituição, o conteúdo ficou indisponível.)
🎯 Sendo assim, resolvi remasterizar, sanitizar e relançar esse conteúdo gratuitamente no YouTube, com o objetivo de ajudar quem está começando na área de Cloud e Cloud Security.
2️⃣ O curso está em português (pt-BR), mas ao longo da série vou publicar também artigos em inglês (en-US) para alcançar mais pessoas, até os novos cursos em inglês estarem prontos.
3️⃣ Importante: essa série não é preparatória para certificações e não é uma bala de prata. A proposta é compartilhar conhecimento estruturado, com uma abordagem prática e acessível voltada para: Iniciantes em Cloud; Entusiastas de segurança; Quem quer entender como o Azure trata segurança de verdade;
4️⃣ A Microsoft renomeou alguns de seus produtos — por exemplo, o Azure Security Center agora se chama Defender for Cloud, e o Azure Active Directory virou Entra ID. Em algumas aulas, os nomes antigos ainda aparecem, mas foquem nos conceitos e fundamentos técnicos, que continuam válidos e extremamente relevantes.
Espero que vocês gostem! Um forte Abraço!
Gustavo Magella
[PT-BR] Beyond The Cloud – Spin-Off | Capítulo 02: Segurança de Acesso e Identidades no Azure
E aí, seus trens bonitows!? Se preparem que hoje o trem é sério.
Vamos falar sobre o alicerce da segurança em nuvem: a identidade.
Sim, aquele velho ditado mudou: Identidade é o novo perímetro.
Esse tipo de insight é ouro. E é sobre isso que vamos falar ao longo da série.
🎬 Assista o Capítulo 02
🔗 Assista agora no YouTube – Capítulo 02 de 09 (E se inscreve no canal, senão vou saber que você pulou essa parte… rs)
🔐 Autenticação vs Autorização
Autenticação: você é você mesmo? Digitou sua senha?
Autorização: beleza, agora que você entrou, o que você pode fazer aqui dentro?
Não adianta autenticar se você libera acesso total pra quem não deveria.
🪑 Azure AD virou Entra ID — e tá cada vez mais robusto
Com o Microsoft Entra ID, você pode:
Colombo como user normal? Vê o que precisa. Colombo como Global Admin? Sai de perto.
🧱 MFA: o novo mínimo
Senha sozinha não segura mais nada.
Com o MFA gratuito da Microsoft, você já consegue proteger todo seu tenant.
Use os 3 pilares:
Configure o Microsoft Authenticator, escaneia o QR code, escolhe as opções. E crie alternativas: SMS, chamada, etc.
🕵️ RBAC: acesso na medida certa
No Azure, a autorização é feita via RBAC. Ela é composta por:
Exemplo clássico:
Lembre-se: roles herdadas viram uma dor de cabeça rápido.
👁️ Colombo invadiu tudo? Deu mole
Se você der permissão de Owner na subscription, ele consegue ver tudo. E deletar tudo. Sem aviso!!
Você precisa de controle granular. RBAC é poderoso, mas perigoso.
✨ Nomeação e Grupos
Crie padrões de nomeação. Evite grupos chamados “admin geral” ou “teste”.
🪖 Checklist Rápido
📊 Minha Tech Two Cents
⭐ Segurança começa na identidade.
⭐ MFA é o cadeado. RBAC é quem tem chave de cada porta.
⭐ Não adianta usar biometria se você dá a chave-mestra pra todo mundo.
📆 Próximo Capítulo
Capítulo 03: Segurança de Rede no Azure
Vai ser insano!!!!! lol #borapranuvem
Um bjo no coração e se cuidem! 🌹❤️
Gustavo Magella