Imagine o seguinte cenário: uma startup em rápido crescimento decide migrar toda a sua infraestrutura para o Azure. A equipe está empolgada com a escalabilidade, a redução de custos e a promessa de um ambiente seguro e moderno. Afinal, estamos falando da Microsoft, uma das maiores empresas de tecnologia do mundo, com data centers espalhados pelo planeta, criptografia de ponta a ponta e um exército de especialistas em cibersegurança.

E de fato, toda essa estrutura está lá. Mas mesmo assim, poucas semanas após a migração, um incidente ocorre: dados sensíveis são expostos, acessos não autorizados aparecem nos registros e a confiança dos clientes é abalada.

O que deu errado?

Não foi uma falha na nuvem da Microsoft. O problema esteve na forma como os recursos foram configurados, nos acessos concedidos sem critério, na falta de visão clara sobre quem é responsável por cada camada da segurança.

Esse tipo de situação está se tornando cada vez mais comum. Empresas de todos os tamanhos estão migrando para a nuvem sem compreender um dos conceitos mais importantes para operar nesse novo modelo: a responsabilidade compartilhada.

Shared Responsibility in the Cloud: o que você precisa entender

Ao adotar uma plataforma como o Microsoft Azure, muitas empresas acreditam que a segurança está totalmente garantida pelo provedor. Mas essa é apenas meia verdade.

A Microsoft é responsável por proteger a infraestrutura global que suporta os serviços da nuvem: servidores, data centers, redes físicas, controle de acesso aos sistemas operacionais básicos (dependendo do modelo), entre outros. Essa é a parte que eles fazem com excelência.

Porém, tudo o que você constrói sobre essa infraestrutura — suas aplicações, dados, configurações de acesso, governança e identidades — é de responsabilidade da sua empresa.

O modelo varia de acordo com o tipo de serviço contratado:

• IaaS (Infraestrutura como Serviço): maior parte da responsabilidade é sua (configuração, sistema operacional, dados, acessos).
• PaaS (Plataforma como Serviço): a Microsoft gerencia mais componentes, mas você ainda cuida de dados e lógica de aplicação.
• SaaS (Software como Serviço): a gestão é mais leve, mas você é responsável por identidades e segurança de uso.

Fatos que impressionam sobre segurança na nuvem

O que está em jogo aqui não é teoria. Os dados deixam claro o impacto de não compreender esse modelo:

• Mais de 275 ataques a ambientes de nuvem ocorrem todos os dias no mundo.
• O relatório State of Cloud Security mostrou que 58% das empresas carregam pelo menos uma vulnerabilidade com mais de 20 anos sem correção em seus ativos na nuvem.
• Segundo o Cloud Security Risk Report 2025, aproximadamente 9% de todos os serviços de armazenamento em nuvem públicos contêm dados sensíveis acessíveis publicamente, e 97% desses dados são classificados como confidenciais ou restritos
• 80% dos incidentes estão ligados a falhas em identidade e acesso, não a malware.
• 80% das organizações já sofreram algum incidente de segurança em cloud, sendo 27% em infraestrutura pública.

Esses números mostram que não adianta contar apenas com a estrutura do provedor. A maneira como você configura, acessa, monitora e protege seu ambiente é decisiva.

Boas práticas para reforçar sua postura de segurança

A boa notícia é que, com algumas medidas básicas, já é possível reduzir consideravelmente o risco:

• Configure acessos com base no princípio do menor privilégio. Dê apenas o acesso necessário a cada perfil.
• Habilite autenticação multifator (MFA) para todos os usuários.
• Audite logs regularmente. Não adianta ter log se ninguém olha.
• Use criptografia para dados em trânsito e em repouso.
• Crie políticas claras de retenção, backup e remoção segura.
• Treine sua equipe. Muitos incidentes começam com um clique em um e-mail errado.

Essas boas práticas funcionam como trancas em um prédio. Mas e se algumas portas estiverem destrancadas sem que você saiba?

Conclusão: A infraestrutura da nuvem é segura. O que você provisiona nela fica sob sua responsabilidade.

A Microsoft oferece uma das plataformas mais seguras do mundo. Mas, como todo ecossistema compartilhado, ela depende do bom uso e da boa administração por parte de quem a utiliza.

Entender o modelo de responsabilidade compartilhada não é um detalhe técnico, é uma mudança de mentalidade. É reconhecer que a segurança é uma construção conjunta entre a infraestrutura que você contrata e as decisões que você toma sobre como usá-la.

Se você está na nuvem, ou pensando em migrar, fale com quem entende do assunto. A AzureBrasil está aqui para ser mais que um fornecedor: queremos ser o seu parceiro de segurança e confiança na nuvem.

E lembre-se: a verdadeira segurança na nuvem começa quando sua empresa entende que o provedor fornece a base, mas você define como ela será protegida.

Links úteis:

Shared responsibility in the cloud - Microsoft Azure

Understand the shared responsibility model and which security tasks are handled by the cloud provider and which tasks are handled by you.

Microsoft Learnmsmbaldwin