Recomendações de segurança – um guia de referência

Este artigo lista as recomendações que você pode ver no Microsoft Defender para Nuvem. As recomendações mostradas em seu ambiente dependem dos recursos que você está protegendo e a configuração personalizada.

As recomendações do Defender para Nuvem se baseiam no Microsoft Cloud Security Benchmark. O Microsoft Cloud Security Benchmark é composto pelo conjunto de diretrizes específicas da Microsoft para as melhores práticas de segurança e conformidade baseadas em estruturas de conformidade comuns. Esse parâmetro de comparação amplamente respeitado se baseia nos controles do CIS (Center for Internet Security) e do NIST (National Institute of Standards and Technology) com foco na segurança centrada na nuvem.

Para saber mais sobre como responder a essas recomendações, confira Recomendações de correção no Defender para Nuvem.

A classificação de segurança é baseada no número de recomendações de segurança que você concluiu. Examine a gravidade e o possível impacto de cada recomendação em sua classificação de segurança para decidir qual delas usar primeiro.

Dica

Se a descrição de uma recomendação disser "Nenhuma política relacionada", isso geralmente ocorrerá porque essa recomendação depende de uma recomendação diferente e sua política. Por exemplo, a recomendação "As falhas de integridade de Endpoint protection devem ser corrigidas...", depende da recomendação que verifica se uma solução de proteção de ponto de extremidade ainda está instalada ("A solução de Endpoint protection deve estar instalada..."). A recomendação subjacente tem uma política. Limitar as políticas a apenas a recomendação básica simplifica o gerenciamento de políticas.

Recomendações de AppServices

31 recomendações nesta categoria.

Recomendação Descrição Severidade
O aplicativo de API só deve estar acessível via HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede.
(Política relacionada: O aplicativo de API só deve estar acessível via HTTPS)
Médio
O CORS não deve permitir que todos os recursos acessem Aplicativos de API O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de API. Permitir que apenas os domínios necessários interajam com seu aplicativo de API.
(Política relacionada: O CORS não deve permitir que todos os recursos tenham acesso ao seu Aplicativo de API)
Baixo
O CORS não deve permitir que todos os recursos acessem Aplicativos de Funções O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções.
(Política relacionada: O CORS não deve permitir o acesso a todos os recursos ao seu aplicativo de funções)
Baixo
O CORS não deve permitir que todos os recursos acessem aplicativos Web O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo Web. Permitir que apenas os domínios necessários interajam com seu aplicativo Web.
(Política relacionada: O CORS não deve permitir que todos os recursos acessem seus aplicativos Web)
Baixo
Os logs de diagnóstico no Serviço de Aplicativo devem ser habilitados Auditoria de ativação de logs de diagnóstico no aplicativo.
Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida
(Não há política relacionada)
Médio
Garantir que o aplicativo da API tenha a opção de Certificados de Cliente (Certificados de cliente de entrada) definida como Ativado Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo.
(Política relacionada: Garantir que o aplicativo de API esteja com a opção 'Certificados de Cliente (Certificados de cliente de entrada)' definida como 'Ativado')
Médio
O FTPS deve ser necessário em aplicativos de API Habilitar a imposição de FTPS para reforçar a segurança
(Política relacionada: O FTPS deve ser exigido somente no aplicativo de API)
Alto
O FTPS deve ser necessário em aplicativos de funções Habilitar a imposição de FTPS para reforçar a segurança
(Política relacionada: O FTPS deve ser exigido somente no aplicativo de funções)
Alto
O FTPS deve ser necessário em aplicativos Web Habilitar a imposição de FTPS para reforçar a segurança
(Política relacionada: O FTPS deve ser exigido no aplicativo Web)
Alto
O aplicativo de funções deve ser acessível apenas por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede.
(Política relacionada: O Aplicativo de Funções deve ser acessível apenas por HTTPS)
Médio
Os aplicativos de funções devem ter a opção Certificados do Cliente (Certificados do cliente de entrada) habilitada Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes com certificados válidos poderão acessar o aplicativo.
(Política relacionada: os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada)
Médio
O Java deve ser atualizado para a última versão nos aplicativos de API Periodicamente, versões mais recentes são lançadas para Java devido a falhas de segurança ou para incluir funcionalidades adicionais.
Recomendamos o uso da última versão do Python para aplicativos de API, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente.
(Política relacionada: Verificar se a "versão do Java" é a última, se usada como parte do aplicativo de API)
Médio
O Java deve ser atualizado para a última versão nos aplicativos de funções Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais.
Recomendamos o uso da última versão do Java para aplicativos de funções, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente.
(Política relacionada: Garantir que a "versão do Java" seja a mais recente, se usada como parte do aplicativo de funções)
Médio
O Java deve ser atualizado para a última versão nos aplicativos Web Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais.
Recomendamos o uso da última versão do Java para aplicativos Web, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente.
(Política relacionada: Garantir que a "versão do Java" seja a última, se usada como parte do aplicativo Web)
Médio
A identidade gerenciada deve ser usada em aplicativos de API Para uma segurança de autenticação aprimorada, use uma identidade gerenciada.
No Azure, as identidades gerenciadas eliminam a necessidade de os desenvolvedores precisarem gerenciar credenciais fornecendo uma identidade para o recurso do Azure no Azure AD e a usando para obter tokens do Azure AD (Azure Active Directory).
(Política relacionada: A identidade gerenciada deve ser usada no aplicativo de API)
Médio
A identidade gerenciada deve ser usada em aplicativos de funções Para uma segurança de autenticação aprimorada, use uma identidade gerenciada.
No Azure, as identidades gerenciadas eliminam a necessidade de os desenvolvedores precisarem gerenciar credenciais fornecendo uma identidade para o recurso do Azure no Azure AD e a usando para obter tokens do Azure AD (Azure Active Directory).
(Política relacionada: A identidade gerenciada deve ser usada no aplicativo de funções)
Médio
A identidade gerenciada deve ser usada em aplicativos Web Para uma segurança de autenticação aprimorada, use uma identidade gerenciada.
No Azure, as identidades gerenciadas eliminam a necessidade de os desenvolvedores precisarem gerenciar credenciais fornecendo uma identidade para o recurso do Azure no Azure AD e a usando para obter tokens do Azure AD (Azure Active Directory).
(Política relacionada: A identidade gerenciada deve ser usada no aplicativo Web)
Médio
O Microsoft Defender para o Serviço de Aplicativo deve estar habilitado O Microsoft Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web.
O Microsoft Defender para o Serviço de Aplicativo pode descobrir ataques nos seus aplicativos e identificar ataques emergentes.

Importante: a correção dessa recomendação resultará em custos para proteger os Planos do Serviço de Aplicativo. Se você não tiver nenhum Plano do Serviço de Aplicativo nessa assinatura, nenhum custo será gerado.
Se você criar Planos do Serviço de Aplicativo nessa assinatura no futuro, eles serão automaticamente protegidos e os custos serão iniciados nesse momento.
Saiba mais em Proteger os aplicativos Web e APIs.
(Política relacionada: O Azure Defender para o Serviço de Aplicativo deve estar habilitado)
Alto
O PHP deve ser atualizado para a última versão nos aplicativos de API Periodicamente, versões mais recentes são lançadas para o software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais.
Recomendamos o uso da última versão do PHP para aplicativos de API, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente.
(Política relacionada: Verificar se a "versão do PHP" é a última, se usada como parte do aplicativo de API)
Médio
O PHP deve ser atualizado para a última versão nos aplicativos Web Periodicamente, versões mais recentes são lançadas para o software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais.
Recomendamos o uso da última versão do PHP para aplicativos Web, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente.
(Política relacionada: Garantir que a "versão do PHP" seja a última, se usada como parte do aplicativo Web)
Médio
O Python deve ser atualizado para a última versão nos aplicativos de API Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais.
Recomendamos o uso da última versão do Python para aplicativos de API, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente.
(Política relacionada: Verificar se a "versão do Python" é a última, se usada como parte do aplicativo de API)
Médio
O Python deve ser atualizado para a última versão nos aplicativos de funções Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais.
Recomendamos o uso da última versão do Python para aplicativos de funções, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente.
(Política relacionada: Garantir que a "versão do Python" seja a última, se usada como parte do aplicativo de funções)
Médio
O Python deve ser atualizado para a última versão nos aplicativos Web Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais.
Recomendamos o uso da última versão do Python para aplicativos Web, a fim de se beneficiar das correções de segurança, se houver, e/ou das novas funcionalidades da versão mais recente.
(Política relacionada: Garantir que a "versão do Python" seja a última, se usada como parte do aplicativo Web)
Médio
A depuração remota deve ser desligada para o aplicativo de API A depuração remota exige que as portas de entrada estejam abertas em um aplicativo de API. A depuração remota deve ser desligada.
(Política relacionada: A depuração remota deve ser desligada para Aplicativos de API)
Baixo
A depuração remota deve ser desativada para o aplicativo de funções A depuração remota exige que as portas de entrada estejam abertas em um aplicativo de funções do Azure. A depuração remota deve ser desligada.
(Política relacionada: A depuração remota deve ser desativada para os aplicativos de funções)
Baixo
A depuração remota deve ser desativada para aplicativos Web A depuração remota exige que as portas de entrada estejam abertas em um aplicativo Web. A depuração remota está habilitada no momento. Se você não precisar mais usar a depuração remota, ela deverá ser desativada.
(Política relacionada: A depuração remota deve ser desativada para aplicativos Web)
Baixo
O TLS deve ser atualizado para a última versão nos aplicativos de API Atualizar a versão do TLS para a mais recente
(Política relacionada: A última versão do TLS deve ser usada no aplicativo de API)
Alto
O TLS deve ser atualizado para a última versão nos aplicativos de funções Atualizar a versão do TLS para a mais recente
(Política relacionada: A última versão do TLS deve ser usada no aplicativo de funções)
Alto
O TLS deve ser atualizado para a última versão nos aplicativos Web Atualizar a versão do TLS para a mais recente
(Política relacionada: A última versão do TLS deve ser usada no aplicativo Web)
Alto
Aplicativo Web deve ser acessível somente por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede.
(Política relacionada: O Aplicativo Web deve ser acessível somente por HTTPS)
Médio
Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações de entrada Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas.
Somente clientes que possuem um certificado válido poderão acessar o aplicativo.
(Política relacionada: Garantir que o aplicativo Web tenha a opção 'Certificados de Cliente (Certificados de cliente de entrada)' definida como 'Ativado')
Médio

Recomendações de computação

58 recomendações nessa categoria.

Recomendação Descrição Severidade
Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores Permita que os controles de aplicativos definam a lista de aplicativos considerados seguros em execução nos seus computadores e alertem você quando outros aplicativos forem executados. Isso ajuda a proteger seus computadores contra malware. Para simplificar o processo de configuração e manutenção de suas regras, o Defender para Nuvem usa o machine learning para analisar os aplicativos em execução em cada computador e sugerir a lista de aplicativos considerados seguros.
(Política relacionada: Os controles de aplicativos adaptáveis para definir aplicativos seguros deverão estar habilitados em seus computadores)
Alto
As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas Monitore as alterações no comportamento dos grupos de computadores configurados para auditoria pelos controles de aplicativos adaptáveis do Defender para Nuvem. O Defender para Nuvem usa o machine learning para analisar os processos em execução em seus computadores e sugerir uma lista de aplicativos considerados seguros. Eles são apresentados como aplicativos recomendados para permitir as políticas de controle de aplicativos adaptáveis.
(Política relacionada: As regras da lista de permitidos na política de controles de aplicativos adaptáveis devem ser atualizadas)
Alto
A autenticação para computadores Linux deve exigir chaves SSH Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais em Etapas detalhadas: criar e gerenciar chaves SSH para autenticação para uma VM do Linux no Azure.
(Política relacionada: Auditar computadores Linux que não estão usando a chave SSH para autenticação)
Médio
As variáveis da conta de automação devem ser criptografadas É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais.
(Política relacionada: As variáveis da conta de automação devem ser criptografadas)
Alto
O Backup do Azure deve ser habilitado para máquinas virtuais Proteja os dados em suas máquinas virtuais do Azure com o Backup do Azure.
O Backup do Azure é uma solução de proteção de dados econômica e nativa do Azure.
Ele cria pontos de recuperação que são armazenados em cofres de recuperação com redundância geográfica.
Ao restaurar de um ponto de recuperação, você pode restaurar a VM inteira ou arquivos específicos.
(Política relacionada: O Backup do Azure deve ser habilitado para máquinas virtuais)
Baixo
Os hosts de contêiner devem ser configurados com segurança Corrigir vulnerabilidades na configuração de segurança em computadores com o Docker instalado para protegê-los contra ataques.
(Política relacionada: As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas)
Alto
Os logs de diagnóstico no Azure Stream Analytics devem ser habilitados Habilite os logs e retenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida.
(Política relacionada: Os logs de diagnóstico no Azure Stream Analytics devem ser habilitados)
Baixo
Os logs de diagnóstico em contas do Lote devem ser habilitados Habilite os logs e retenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida.
(Política relacionada: Os logs de diagnóstico em contas do Lote devem ser habilitados)
Baixo
Os logs de diagnóstico no Hub de Eventos devem ser habilitados Habilite os logs e retenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida.
(Política relacionada: Os logs de diagnóstico no Hub de Eventos devem ser habilitados)
Baixo
Os logs de diagnóstico nos serviços Kubernetes devem ser habilitados Habilite os logs de diagnóstico nos serviços do Kubernetes e mantenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança.
(Não há política relacionada)
Baixo
Os logs de diagnóstico nos Aplicativos Lógicos devem ser habilitados Para garantir que você possa recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando a sua rede é comprometida, habilite o registro em log. Se os logs de diagnóstico não estiverem sendo enviados para um workspace do Log Analytics, uma conta de Armazenamento do Azure ou um Hub de Eventos do Azure, verifique se você definiu as configurações de diagnóstico para enviar métricas de plataforma e logs de plataforma para os destinos relevantes. Saiba mais em Criar configurações de diagnóstico para enviar logs e métricas de plataforma para destinos diferentes.
(Política relacionada: Os logs de diagnóstico nos Aplicativos Lógicos devem ser habilitados)
Baixo
Os logs de diagnóstico nos serviços Pesquisa devem ser habilitados Habilite os logs e retenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida.
(Política relacionada: Os logs de diagnóstico nos serviços Pesquisa devem ser habilitados)
Baixo
Os logs de diagnóstico no Barramento de Serviço devem ser habilitados Habilite os logs e retenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida.
(Política relacionada: Os logs de diagnóstico no Barramento de Serviço devem ser habilitados)
Baixo
Os logs de diagnóstico nos Conjuntos de Dimensionamento de Máquinas Virtuais devem ser habilitados Habilite os logs e retenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida.
(Política relacionada: Os logs de diagnóstico nos Conjuntos de Dimensionamento de Máquinas Virtuais devem ser habilitados)
Baixo
Problemas de integridade do Endpoint Protection em computadores devem ser resolvidos Resolva problemas de integridade da proteção de ponto de extremidade em suas máquinas virtuais para protegê-las contra ameaças e vulnerabilidades mais recentes. Confira a documentação para obter as soluções de proteção de ponto de extremidade com suporte no Defender para Nuvem e as avaliações de proteção de ponto de extremidade.
(Não há política relacionada)
Médio
Problemas de integridade do Endpoint Protection em computadores devem ser resolvidos Para obter a proteção completa do Defender para Nuvem, resolva os problemas do agente de monitoramento em suas máquinas seguindo as instruções no guia de solução de problemas.
(Política relacionada: Monitorar a Endpoint Protection ausente na Central de Segurança do Azure)
Médio
Problemas de integridade do Endpoint Protection em conjuntos de dimensionamento de máquinas virtuais devem ser resolvidos Corrija as falhas de integridade da proteção do ponto de extremidade nos conjuntos de dimensionamento de máquinas virtuais para protegê-los contra ameaças e vulnerabilidades.
(Política relacionada: A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais)
Baixo
O Endpoint Protection deve ser instalado em computadores Para proteger os computadores contra ameaças e vulnerabilidades, instale uma solução de proteção de ponto de extremidade com suporte.
Saiba mais sobre como a proteção de ponto de extremidade para computadores é determinada na Avaliação e recomendações da proteção de ponto de extremidade no Microsoft Defender para Nuvem.
(Não há política relacionada)
Alto
O Endpoint Protection deve ser instalado em computadores Instale uma solução de endpoint protection em suas máquinas com Windows e Linux para protegê-las contra ameaças e vulnerabilidades.
(Não há política relacionada)
Médio
O Endpoint Protection deve ser instalado em conjuntos de dimensionamento de máquinas virtuais Instale uma solução de proteção de ponto de extremidade em conjuntos de dimensionamento de suas máquinas virtuais, para protegê-los contra ameaças e vulnerabilidades.
(Política relacionada: A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais)
Alto
O monitoramento de integridade de arquivos deve estar habilitado nos computadores O Defender para Nuvem identificou computadores que não têm uma solução de monitoramento de integridade de arquivos. Para monitorar alterações a arquivos críticos, chaves do registro e muito mais em seus servidores, habilite o monitoramento de integridade de arquivos.
Quando a solução de monitoramento de integridade de arquivos estiver habilitada, crie regras de coleta de dados para definir os arquivos a serem monitorados. Para definir regras ou ver os arquivos alterados em computadores com regras existentes, acesse a página de gerenciamento de monitoramento de integridade de arquivos >
(Não há política relacionada)
Alto
A extensão Atestado de convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais compatíveis do Linux Instale a extensão Atestado de Convidado nos conjuntos de dimensionamento de máquinas virtuais compatíveis do Linux para permitir que o Defender para Nuvem ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação só se aplica aos conjuntos de dimensionamento de máquinas virtuais do Linux habilitadas para o início confiável.

Importante:
O início confiável requer a criação de novas máquinas virtuais.
Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.
Saiba mais sobre Início confiável para máquinas virtuais do Azure.
(Não há política relacionada)
Baixo
A extensão Atestado de convidado deve ser instalada nas máquinas virtuais compatíveis do Linux Instale a extensão Atestado de Convidado nas máquinas virtuais compatíveis do Linux para permitir que o Defender para Nuvem ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação só se aplica às máquinas virtuais do Linux habilitadas para o início confiável.

Importante:
O início confiável requer a criação de novas máquinas virtuais.
Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.
Saiba mais sobre Início confiável para máquinas virtuais do Azure.
(Não há política relacionada)
Baixo
A extensão Atestado de convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais compatíveis do Windows Instale a extensão Atestado de Convidado nos conjuntos de dimensionamento de máquinas virtuais compatíveis para permitir que o Defender para Nuvem ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação só se aplica aos conjuntos de dimensionamento de máquinas virtuais habilitadas para o início confiável.

Importante:
O início confiável requer a criação de novas máquinas virtuais.
Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.
Saiba mais sobre Início confiável para máquinas virtuais do Azure.
(Não há política relacionada)
Baixo
A extensão de Atestado de Convidado deve ser instalada nas máquinas virtuais do Windows compatíveis Instale a extensão Atestado de Convidado nas máquinas virtuais compatíveis para permitir que o Defender para Nuvem ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação só se aplica a máquinas virtuais habilitadas para início confiável.

Importante:
O início confiável requer a criação de novas máquinas virtuais.
Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.
Saiba mais sobre Início confiável para máquinas virtuais do Azure.
(Não há política relacionada)
Baixo
A extensão de Configuração de Convidado deve ser instalada nos computadores Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais.
(Política relacionada: As máquinas virtuais devem ter a extensão de Configuração de Convidado)
Médio
Instalar a solução endpoint protection em máquinas virtuais Instale uma solução de proteção de ponto de extremidade em suas máquinas virtuais para protegê-las contra ameaças e vulnerabilidades.
(Política relacionada: Monitorar a Endpoint Protection ausente na Central de Segurança do Azure)
Alto
As máquinas virtuais do Linux devem exigir a validação de assinatura do módulo kernel Para ajudar a mitigar a execução de código mal-intencionado ou não autorizado no modo kernel, aplique a validação de assinatura do módulo kernel nas máquinas virtuais compatíveis do Linux. A validação de assinatura do módulo kernel garante que somente módulos kernel confiáveis tenham permissão para serem executados. Essa avaliação só se aplica a máquinas virtuais do Linux com o Agente do Azure Monitor instalado.
(Não há política relacionada)
Baixo
As máquinas virtuais do Linux devem usar somente componentes de inicialização confiáveis e assinados Com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers de kernel) devem ser assinados por fornecedores confiáveis. O Defender para Nuvem identificou componentes de inicialização de sistema operacional não confiáveis em um ou mais de seus computadores Linux. Para proteger seus computadores contra componentes potencialmente mal-intencionados, adicione-os à lista de permissão ou remova os componentes identificados.
(Não há política relacionada)
Baixo
As máquinas virtuais do Linux devem usar Inicialização segura Para proteger contra a instalação de rootkits baseados em malware e kits de inicialização, habilite a Inicialização segura nas máquinas virtuais compatíveis do Linux. A Inicialização segura garante que somente os drivers e sistemas operacionais assinados tenham permissão para serem executados. Essa avaliação só se aplica a máquinas virtuais do Linux com o Agente do Azure Monitor instalado.
(Não há política relacionada)
Baixo
O agente do Log Analytics deve ser instalado nos computadores habilitados para Azure Arc baseados no Linux O Defender para Nuvem usa o agente do Log Analytics (também conhecido como OMS) para coletar eventos de segurança dos computadores do Azure Arc. Para implantar o agente em todos os seus computadores do Azure Arc, siga as etapas de correção.
(Não há política relacionada)
Alto
O agente do Log Analytics deve ser instalado em conjuntos de dimensionamento de máquinas virtuais O Defender para Nuvem coleta dados de suas VMs (máquinas virtuais) do Azure a fim de monitorar as vulnerabilidades e ameaças à segurança. Os dados são coletados por meio do agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace para análise. Você também precisará seguir esse procedimento se as VMs forem usadas por um serviço gerenciado do Azure, como o Serviço de Kubernetes do Azure ou o Azure Service Fabric. Não é possível configurar o provisionamento automático do agente para conjuntos de dimensionamento de máquinas virtuais do Azure. Para implantar o agente em conjuntos de dimensionamento de máquinas virtuais (incluindo aqueles usados por serviços gerenciados do Azure, como o Serviço de Kubernetes do Azure e o Azure Service Fabric), siga o procedimento nas etapas de correção.
(Política relacionada: O agente do Log Analytics deve ser instalado em seus conjuntos de dimensionamento de máquinas virtuais para o monitoramento da Central de Segurança do Azure)
Alto
O agente do Log Analytics deve ser instalado em máquinas virtuais O Defender para Nuvem coleta dados de suas VMs (máquinas virtuais) do Azure a fim de monitorar as vulnerabilidades e ameaças à segurança. Os dados são coletados por meio do agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace do Log Analytics para análise. Esse agente também será necessário se as VMs forem usadas por um serviço gerenciado do Azure, como o Serviço de Kubernetes do Azure ou o Azure Service Fabric. Recomendamos configurar o provisionamento automático para implantar automaticamente o agente. Se você optar por não usar o provisionamento automático, implante manualmente o agente nas VMs usando as instruções descritas nas etapas de correção.
(Política relacionada: O agente do Log Analytics deve ser instalado na máquina virtual para o monitoramento da Central de Segurança do Azure)
Alto
O agente do Log Analytics deve ser instalado em computadores habilitados para Azure Arc baseados no Windows O Defender para Nuvem usa o agente do Log Analytics (também conhecido como MMA) para coletar eventos de segurança dos computadores do Azure Arc. Para implantar o agente em todos os seus computadores do Azure Arc, siga as etapas de correção.
(Não há política relacionada)
Alto
Os computadores devem ser configurados com segurança Corrigir vulnerabilidades na configuração de segurança em suas máquinas para protegê-las contra ataques.
(Política relacionada: As vulnerabilidades na configuração de segurança nas máquinas devem ser corrigidas)
Baixo
Os computadores devem ser reiniciados para aplicar atualizações de configuração de segurança Reinicie os computadores para aplicar as atualizações de configuração de segurança e assim protegê-los contra vulnerabilidades. Essa avaliação só se aplica a máquinas virtuais do Linux com o Agente do Azure Monitor instalado.
(Não há política relacionada)
Baixo
Os computadores devem ter uma solução de avaliação de vulnerabilidade O Defender para Nuvem verifica regularmente seus computadores conectados para garantir que eles estejam executando ferramentas de avaliação de vulnerabilidade. Use esta recomendação para implantar uma solução de avaliação de vulnerabilidades.
(Política relacionada: Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais)
Médio
Os computadores devem ter as conclusões de vulnerabilidades resolvidas Resolva as descobertas das soluções de avaliação de vulnerabilidades nas máquinas virtuais.
(Política relacionada: Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais)
Baixo
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time O Defender para Nuvem identificou algumas regras de entrada excessivamente permissivas para portas de gerenciamento em seu grupo de segurança de rede. Habilite o controle de acesso Just-In-Time para proteger sua VM contra ataques de força bruta baseados na Internet. Saiba mais em Noções básicas sobre acesso à VM JIT (just-in-time).
(Política relacionada: As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede Just-In-Time)
Alto
O Microsoft Defender para servidores deve estar habilitado O Microsoft Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas.
É possível usar essas informações para corrigir os problemas rapidamente e aumentar a segurança de seus servidores.

Importante: a correção dessa recomendação resultará em custos para proteger seus servidores. Se você não tiver nenhum servidor nessa assinatura, nenhum custo será gerado.
Se você criar servidores nessa assinatura no futuro, eles serão automaticamente protegidos e os custos serão iniciados nesse momento.
Saiba mais em Introdução ao Microsoft Defender para servidores.
(Política relacionada: O Azure Defender para servidores deve estar habilitado)
Alto
O Microsoft Defender para Servidores deve estar habilitado nos workspaces O Microsoft Defender para servidores adiciona proteções avançadas e detecção contra ameaças aos computadores Windows e Linux.
Com esse plano do Defender habilitado em suas assinaturas, mas não em seus workspaces, você está pagando pela capacidade total do Microsoft Defender para servidores, mas perdendo alguns dos benefícios.
Quando você habilita o Microsoft Defender para servidores em um workspace, todos os computadores que fornecem relatórios a esse workspace serão cobrados quanto ao Microsoft Defender para servidores, mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender para servidores na assinatura, esses computadores não poderão aproveitar o acesso JIT (just-in-time) à VM, os controles de aplicativos adaptáveis e as detecções de rede para recursos do Azure.
Saiba mais em Introdução ao Microsoft Defender para servidores.
(Não há política relacionada)
Médio
A execução de imagens de contêiner deve ter descobertas de vulnerabilidade resolvidas A avaliação de vulnerabilidade de imagem de contêiner examina as imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques.
(Não há política relacionada)
Alto
A Inicialização segura deve estar habilitada em máquinas virtuais compatíveis do Windows Habilite a Inicialização Segura nas máquinas virtuais do Windows compatíveis para atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. Essa avaliação só se aplica às máquinas virtuais do Windows habilitadas para o início confiável.

Importante:
O início confiável requer a criação de novas máquinas virtuais.
Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.
Saiba mais sobre Início confiável para máquinas virtuais do Azure.
(Não há política relacionada)
Baixo
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente.
(Política relacionada: A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign)
Alto
Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente Realize a autenticação do cliente somente através do Azure Active Directory no Service Fabric
(Política relacionada: Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente)
Alto
As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas Instale a segurança do sistema ausente e as atualizações críticas para proteger os conjuntos de dimensionamento de máquinas virtuais do Windows e Linux.
(Política relacionada: As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas)
Alto
As atualizações do sistema devem ser instaladas em suas máquinas Instale a segurança do sistema ausente e atualizações críticas para proteger suas máquinas virtuais Windows e Linux e computadores
(Política relacionada: As atualizações do sistema devem ser instaladas em suas máquinas)
Alto
As atualizações do sistema devem ser instaladas em seus computadores (da plataforma de atualização) As atualizações de sistema, segurança e críticas estão ausentes em seus computadores. As atualizações de software geralmente incluem patches críticos para brechas de segurança. Essas brechas costumam ser exploradas em ataques de malware, portanto, é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger seus computadores, siga as etapas de correção.
(Não há política relacionada)
Alto
Os conjuntos de dimensionamento de máquinas virtuais devem ser configurados com segurança Corrija as vulnerabilidades na configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais para protegê-los contra ataques.
(Política relacionada: As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas)
Alto
O status do Atestado de convidado de máquinas virtuais deve ser íntegro O Atestado de convidado é executado no envio de um TCGLog (log confiável) para um servidor de atestado. O servidor usa esses logs para determinar se os componentes de inicialização são confiáveis. Essa avaliação destina-se a detectar comprometimentos na cadeia de inicialização, que podem ser o resultado de uma infecção do kit de inicialização ou do rootkit.
Essa avaliação se aplica somente a máquinas virtuais habilitadas para Início confiável que têm a extensão de Atestado de convidado instalada.
(Não há política relacionada)
Médio
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais
(Política relacionada: A extensão de Configuração de Convidado deve ser implantada em máquinas virtuais do Azure com identidade gerenciada atribuída ao sistema)
Médio
As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager As máquinas virtuais (clássicas) foram preteridas e essas VMs devem ser migradas para o Azure Resource Manager.
Como o Azure Resource Manager agora tem recursos completos de IaaS e outros avanços, preterimos o gerenciamento de VMs (máquinas virtuais) IaaS por meio do ASM (Azure Service Manager) em 28 de fevereiro de 2020. Essa funcionalidade será totalmente desativada em 1º de março de 2023.

Para exibir todas as VMs clássicas afetadas, selecione todas as suas assinaturas do Azure na guia 'diretórios + assinaturas'.

Recursos e informações disponíveis sobre esta ferramenta & migração:
Visão geral da substituição de máquinas virtuais (clássicas), processo passo a passo para a migração & recursos da Microsoft disponíveis.
Detalhes sobre a ferramenta de migração Migrar para o Azure Resource Manager.
Ferramenta de migração Migrar para o Azure Resource Manager usando o PowerShell.
(Política relacionada: As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager)
Alto
As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento Por padrão, os discos de SO e de dados de uma máquina virtual são criptografados em repouso por meio de chaves gerenciadas pela plataforma;
os discos temporários e os caches de dados não são criptografados e os dados não são criptografados durante o fluxo entre os recursos de computação e de armazenamento.
Para ver uma comparação de diferentes tecnologias de criptografia de disco no Azure, confira https://aka.ms/diskencryptioncomparison.
Use o Azure Disk Encryption para criptografar todos esses dados.
Desconsidere essa recomendação se:
1. Você estiver usando o recurso de criptografia no host ou 2. A criptografia do lado do servidor no Managed Disks atende aos requisitos de segurança.
Saiba mais em Criptografia do lado do servidor do Armazenamento em Disco do Azure.
(Política relacionada: A criptografia de disco deve ser aplicada em máquinas virtuais)
Alto
O vTPM deve estar habilitado em máquinas virtuais compatíveis Habilite o dispositivo TPM virtual em máquinas virtuais compatíveis para facilitar Inicialização Medida e outros recursos de segurança do sistema operacional que exigem um TPM. Depois que ele for habilitado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para início confiável.

Importante:
O início confiável requer a criação de novas máquinas virtuais.
Você não pode habilitar este serviço em máquinas já existentes que foram inicialmente criadas sem ele.
Saiba mais sobre Início confiável para máquinas virtuais do Azure.
(Não há política relacionada)
Baixo
É preciso corrigir as vulnerabilidades da configuração de segurança dos computadores Linux (com auxílio da Configuração de Convidado) Corrija vulnerabilidades na configuração de segurança de computadores Linux para protegê-los contra ataques.
(Política relacionada: Computadores Linux devem atender aos requisitos da linha de base de segurança do Azure)
Baixo
É preciso corrigir as vulnerabilidades da configuração de segurança dos computadores Windows (com auxílio da Configuração de Convidado) Corrija as vulnerabilidades na configuração de segurança dos computadores Windows para protegê-los contra ataques.
(Não há política relacionada)
Baixo
O Microsoft Defender Exploit Guard deve ser habilitado nos computadores O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows).
(Política relacionada: Auditar os computadores Windows nos quais o Microsoft Defender Exploit Guard não está habilitado)
Médio
Os servidores Web do Windows devem ser configurados para usar protocolos de comunicação segura Para proteger a privacidade das informações comunicadas pela Internet, seus servidores Web devem usar a versão mais recente do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede usando certificados de segurança para criptografar uma conexão entre computadores.
(Política relacionada: Auditar os servidores Web do Windows que não estão usando protocolos de comunicação segura)
Alto

Recomendações do contêiner

27 recomendações nesta categoria.

Recomendação Descrição Severidade
[Habilitar se necessário] Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente) As recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados inativos não são avaliadas por padrão, mas estão disponíveis para serem habilitadas para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos.
Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança.
Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as CMK (chaves gerenciada pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em https://aka.ms/acr/CMK.
(Política relacionada: os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente))
Baixo
Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada O extensão do Azure Policy para Kubernetes estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent), para aplicar as garantias e imposições em escala aos seus clusters de maneira centralizada e consistente.
(Não há política relacionada)
Alto
Os clusters do Kubernetes habilitados para o Azure Arc devem ter a extensão do Defender instalada A extensão do Defender para o Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós (mestre) do painel de controle no cluster e os envia para o back-end do Microsoft Defender para Kubernetes na nuvem para análise posterior. Saiba mais.
(Não há política relacionada)
Alto
Os clusters do Serviço de Kubernetes do Azure devem ter o complemento do Azure Policy para Kubernetes instalado O complemento do Azure Policy para Kubernetes estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent), para aplicar as garantias e imposições em escala aos seus clusters de maneira centralizada e consistente.

O Defender para Nuvem exige o complemento para fazer auditoria e impor funcionalidades de segurança e conformidade nos clusters. Saiba mais.

Requer o Kubernetes v1.14.0 ou posterior.


(Política relacionada: O Complemento do Azure Policy para o AKS (Serviço de Kubernetes) deve estar instalado e habilitado nos clusters)
Alto
Deverão ser aplicados limites de memória e CPU ao contêiner A imposição dos limites de CPU e de memória impede ataques de esgotamento de recursos (uma forma de ataque de negação de serviço).

Recomendamos definir limites para os contêineres a fim de garantir que o runtime impeça o contêiner de usar mais do que o limite de recursos configurado.


(Política relacionada: Garantir que os limites de CPU e de recursos de memória do contêiner não excedem os limites especificados no cluster do Kubernetes)
Médio
As imagens de contêiner deverão ser implantadas somente se forem de registros confiáveis As imagens em execução no cluster do Kubernetes devem ser provenientes de registros de imagem de contêiner conhecidos e monitorados. Os registros confiáveis reduzem o risco de exposição do cluster, limitando o potencial para a introdução de vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas.
(Política relacionada: Garantir que haja somente imagens de contêiner permitidas no cluster do Kubernetes)
Alto
Os registros de contêiner não devem permitir acesso irrestrito à rede Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de endereços ou intervalos de endereços IP públicos específicos. Se o Registro não tiver uma regra de IP/firewall ou uma rede virtual configurada, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/portal/public-network e aqui https://aka.ms/acr/vnet.
(Política relacionada: os registros de contêiner não devem permitir acesso irrestrito à rede)
Médio
Os registros de contêiner devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link.
(Política relacionada: os registros de contêiner devem usar um link privado)
Médio
As imagens do registro de contêiner devem ter as conclusões de vulnerabilidade resolvidas A avaliação de vulnerabilidade de imagem de contêiner examina o Registro em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques.
(Política relacionada: As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas)
Alto
Os contêineres com elevação de privilégio deverão ser evitados Os contêineres não devem ser executados com a elevação de privilégio na raiz no cluster do Kubernetes.
O atributo AllowPrivilegeEscalation controla se um processo pode obter mais privilégios do que o processo pai.
(Política relacionada: Os clusters do Kubernetes não devem permitir a elevação de privilégio do contêiner)
Médio
Os contêineres que compartilham namespaces de host confidenciais deverão ser evitados Para fornecer proteção contra a elevação de privilégio fora do contêiner, evite o acesso do pod aos namespaces de host confidenciais (ID do processo de host e IPC do host) em um cluster do Kubernetes.
(Política relacionada: Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo de host nem o namespace de IPC do host)
Médio
Os contêineres só devem usar perfis AppArmor permitidos Os contêineres em execução em clusters do Kubernetes devem ser limitados apenas aos perfis do AppArmor permitidos.
O AppArmor (Application Armor) é um módulo de segurança do Linux que protege um sistema operacional e os aplicativos contra ameaças à segurança. Para usá-lo, um administrador do sistema associa um perfil de segurança do AppArmor a cada programa.
(Política relacionada: Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos)
Alto
Um sistema de arquivos raiz imutável (somente leitura) deverá ser aplicado aos contêineres Os contêineres devem ser executados com um sistema de arquivos raiz somente leitura no cluster do Kubernetes. O sistema de arquivos imutável protege os contêineres contra alterações em runtime com a adição de binários mal-intencionados ao caminho.
(Política relacionada: Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura)
Médio
O servidor da API de Kubernetes deve ser configurado com acesso restrito Para que apenas aplicativos de redes, sub-redes ou computadores permitidos possam acessar seu cluster, restrinja o acesso ao seu servidor da API de Kubernetes. Você pode restringir o acesso definindo intervalos de IP autorizados ou configurando seus servidores de API como clusters privados, conforme explicado em Criar um cluster privado do Serviço de Kubernetes do Azure.
(Política relacionada: Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes)
Alto
Os clusters do Kubernetes devem ser acessíveis somente via HTTPS O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Mecanismo AKS e o Azure Arc habilitado para Kubernetes. Para obter mais informações, visite https://aka.ms/kubepolicydoc
(Política relacionada: Impor ingress de HTTPS no cluster do Kubernetes)
Alto
Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática Desabilite as credenciais da API de montagem automática para evitar que um recurso Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.
(Política relacionada: os clusters Kubernetes devem desabilitar as credenciais de API de montagem automática)
Alto
Os clusters Kubernetes devem restringir a implantação de imagens vulneráveis Proteja seus clusters Kubernetes e cargas de trabalho de contêiner contra ameaças potenciais restringindo a implantação de imagens de contêiner com componentes de software vulneráveis. Use a verificação de CI/CD do Defender para Nuvem e o Microsoft Defender para registros de contêiner para identificar e corrigir vulnerabilidades antes da implantação.
Pré-requisito de avaliação: complemento/extensão do Azure Policy e o perfil/extensão do Defender.
Aplicável somente a clientes de versão prévia privada.
(Não há política relacionada)
Alto
Os clusters Kubernetes não devem conceder recursos de segurança CAPSYSADMIN Para reduzir a superfície de ataque dos seus contêineres, restrinja as funcionalidades CAP_SYS_ADMIN do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.
(Não há política relacionada)
Alto
Os clusters do Kubernetes não devem usar o namespace padrão Impeça o uso do namespace padrão em clusters do Kubernetes para proteger contra acesso não autorizado para tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.
(Política relacionada: os clusters Kubernetes não devem usar namespace padrão)
Baixo
Deverão ser aplicadas aos contêineres funcionalidades do Linux com privilégios mínimos Para reduzir a superfície de ataque do contêiner, restrinja as funcionalidades do Linux e conceda privilégios específicos aos contêineres sem conceder todos os privilégios do usuário raiz. Recomendamos remover todas as funcionalidades e adicionar aquelas que são necessárias
(Política relacionada: Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas)
Médio
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens.
É possível usar essas informações para corrigir os problemas rapidamente e aumentar a segurança de seus contêineres.

Importante: a correção dessa recomendação resultará em custos para proteger os clusters do Kubernetes. Se você não tiver nenhum cluster do Kubernetes nessa assinatura, nenhum custo será gerado.
Se você criar clusters do Kubernetes nessa assinatura no futuro, eles serão automaticamente protegidos e os custos serão iniciados nesse momento.
Saiba mais em Introdução ao Microsoft Defender para Contêineres.
(Não há política relacionada)
Alto
Os contêineres com privilégios deverão ser evitados Para evitar o acesso irrestrito ao host, evite o uso de contêineres privilegiados sempre que possível.

Os contêineres privilegiados têm todas as funcionalidades raiz de um computador host. Eles podem ser usados como pontos de entrada para ataques e para distribuir um código mal-intencionado ou malware para redes, aplicativos, hosts comprometidos.


(Política relacionada: Não permitir contêineres privilegiados no cluster do Kubernetes)
Médio
O Controle de Acesso Baseado em Função deve ser usado nos Serviços de Kubernetes Para fornecer filtragem granular das ações que os usuários podem executar, use o RBAC (controle de acesso baseado em função) para gerenciar permissões nos clusters do Serviço de Kubernetes e configurar políticas de autorização relevantes. Para saber mais, confira Controle de acesso baseado em função no Azure.
(Política relacionada: O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes)
Alto
Executar contêineres como usuário raiz deverá ser evitado Os contêineres não devem ser executados como usuários raiz no cluster do Kubernetes. A execução de um processo como o usuário raiz dentro de um contêiner o executa como a raiz no host. Se houver um comprometimento, um invasor terá a raiz no contêiner e qualquer configuração incorreta ficará mais fácil de ser explorada.
(Política relacionada: Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas)
Alto
Os serviços deverão escutar somente em portas permitidas Para reduzir a superfície de ataque do cluster do Kubernetes, restrinja o acesso ao cluster limitando o acesso dos serviços às portas configuradas.
(Política relacionada: Garantir que os serviços só escutem as portas permitidas no cluster do Kubernetes)
Médio
Usar redes e portas do host deverá ser restrito Restrinja o acesso do pod à rede do host e ao intervalo de portas de host permitido em um cluster do Kubernetes. Os pods criados com o atributo hostNetwork habilitado compartilharão o espaço de rede do nó. Para evitar que o contêiner comprometido detecte o tráfego de rede, recomendamos não colocar os pods na rede do host. Se você precisar expor uma porta de contêiner na rede do nó e o uso de uma porta de nó do Serviço de Kubernetes não atender às suas necessidades, outra possibilidade será especificar uma hostPort para o contêiner na especificação do pod.
(Política relacionada: Os pods do cluster do Kubernetes só devem usar a rede do host e o intervalo de portas aprovados)
Médio
O uso de montagens de volume do Pod HostPath deve ser restrito a uma lista conhecida para restringir o acesso ao nó de contêineres comprometidos É recomendável limitar as montagens de volume HostPath de pod no cluster do Kubernetes para os caminhos de host configurados permitidos. Se houver um comprometimento, o acesso do nó de contêiner dos contêineres deve ser restrito.
(Política relacionada: Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos)
Médio

Recomendações de dados

Existem 78 recomendações nesta categoria.

Recomendação Descrição Severidade
[Habilitar se necessário] As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos As recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados inativos não são avaliadas por padrão, mas estão disponíveis para serem habilitadas para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos.
Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança.
Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as CMK (chaves gerenciada pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em https://aka.ms/cosmosdb-cmk.
(Política relacionada: as contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos)
Baixo
[Habilitar se necessário] Os workspaces do Azure Machine Learning devem ser criptografados com uma CMK (chave gerenciada pelo cliente) As recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados inativos não são avaliadas por padrão, mas estão disponíveis para serem habilitadas para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos.
Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança.
Gerencie a criptografia em repouso dos dados do seu workspace do Azure Machine Learning com CMK (chaves gerenciadas pelo cliente). Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as CMK normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em https://aka.ms/azureml-workspaces-cmk.
(Política relacionada: os workspaces do Azure Machine Learning devem ser criptografados com uma CMK (chave gerenciada pelo cliente))
Baixo
[Habilitar se necessário] As contas dos Serviços Cognitivos devem habilitar a criptografia de dados com uma CMK (chave gerenciada pelo cliente) As recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados inativos não são avaliadas por padrão, mas estão disponíveis para serem habilitadas para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos.
Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança.
As CMKs (chaves gerenciadas pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. As CMKs permitem que os dados armazenados em Serviços Cognitivos sejam criptografados com uma chave do Azure Key Vault criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em https://aka.ms/cosmosdb-cmk.
(Política relacionada: as contas dos Serviços Cognitivos devem habilitar a criptografia de dados com uma CMK (chave gerenciada pelo cliente)?)
Baixo
[Habilitar se necessário] Os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos As recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados inativos não são avaliadas por padrão, mas estão disponíveis para serem habilitadas para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos.
Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança.
Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores MySQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as CMK (chaves gerenciada pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento.
(Política relacionada: a proteção de dados do Bring Your Own Key será habilitada para servidores MySQL)
Baixo
[Habilitar se necessário] Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos As recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados inativos não são avaliadas por padrão, mas estão disponíveis para serem habilitadas para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos.
Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança.
Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as CMK (chaves gerenciada pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento.
(Política relacionada: a proteção de dados do Bring Your Own Key será habilitada para servidores PostgreSQL)
Baixo
[Habilitar se necessário] As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos As recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados inativos não são avaliadas por padrão, mas estão disponíveis para serem habilitadas para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos.
Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança.
Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado.
(Política relacionada: As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos)
Baixo
[Habilitar se necessário] Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos As recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados inativos não são avaliadas por padrão, mas estão disponíveis para serem habilitadas para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos.
Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança.
Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado.
(Política relacionada: os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos)
Baixo
[Habilitar se necessário] As contas de armazenamento devem usar uma CMK (chave gerenciada pelo cliente) para criptografia As recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados inativos não são avaliadas por padrão, mas estão disponíveis para serem habilitadas para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando for obrigatório por conformidade ou requisitos de política restritivos.
Para habilitar essa recomendação, navegue até a Política de segurança para o escopo aplicável e atualize o parâmetro de Efeito para a política correspondente para auditar ou exigir o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerenciar políticas de segurança.
Proteja sua conta de armazenamento com maior flexibilidade usando CMKs (chaves gerenciadas pelo cliente). Quando você especifica uma CMK, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. Usar CMKs fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente.
(Política relacionada: as contas de armazenamento devem usar uma CMK (chave gerenciada pelo cliente) para criptografia)
Baixo
Todos os tipos de proteção avançada contra ameaças devem ser habilitados nas configurações de segurança de dados avançada da instância gerenciada do SQL É recomendável habilitar todos os tipos de proteção avançada contra ameaças em suas instâncias gerenciadas do SQL. Habilite todos os tipos de proteção para proteger contra injeção de SQL, vulnerabilidades de banco de dados e qualquer outra atividade anômala.
(Não há política relacionada)
Médio
Todos os tipos de proteção avançada contra ameaças devem ser habilitados nas configurações de segurança de dados avançada do SQL Server É recomendável habilitar todos os tipos de proteção avançada contra ameaças em seus servidores SQL. Habilite todos os tipos de proteção para proteger contra injeção de SQL, vulnerabilidades de banco de dados e qualquer outra atividade anômala.
(Não há política relacionada)
Médio
Os serviços do Gerenciamento de API devem usar uma rede virtual A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual.
(Política relacionada: Os serviços de Gerenciamento de API devem usar uma rede virtual)
Médio
A Configuração de Aplicativos deve usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint.
(Política relacionada: a Configuração de Aplicativos deve usar um link privado)
Médio
A retenção de auditoria para servidores SQL deve ser definida em pelo menos 90 dias Audite os servidores SQL configurados com um período de retenção de auditoria menor que 90 dias.
(Política relacionada: Servidores SQL devem ser configurados com 90 dias ou mais de retenção de auditoria.)
Baixo
A auditoria no SQL Server deve ser habilitada Habilite a auditoria no seu SQL Server para acompanhar atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria.
(Política relacionada: A auditoria no SQL Server deve ser habilitada)
Baixo
O provisionamento automático do agente do Log Analytics deve ser habilitado em assinaturas Para monitorar as vulnerabilidades e ameaças à segurança, o Microsoft Defender para Nuvem coleta dados das máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace do Log Analytics para análise. É recomendável habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e nas VMs que forem criadas.
(Política relacionada: o provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura)
Baixo
O Cache do Azure para Redis deve residir em uma rede virtual A implantação de VNet (Rede Virtual do Microsoft Azure) fornece segurança e isolamento aprimorados para o Cache do Azure para Redis, bem como para sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Quando uma instância do Cache do Azure para Redis é configurada com uma rede virtual, ela não é endereçável publicamente e somente pode ser acessada de máquinas virtuais e aplicativos dentro da rede virtual.
(Política relacionada: o Cache do Azure para Redis deve residir em uma rede virtual)
Médio
As contas do Azure Cosmos DB devem ter regras de firewall As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para evitar o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra de IP definida com o filtro de rede virtual habilitado são consideradas em conformidade. As contas que desabilitam o acesso público também são consideradas em conformidade.
(Política relacionada: As contas do Azure Cosmos DB devem ter regras de firewall)
Médio
Os domínios da Grade de Eventos do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para os seus domínios de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints.
(Política relacionada: os domínios da Grade de Eventos do Azure devem usar um link privado)
Médio
Os tópicos da Grade de Eventos do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus tópicos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints.
(Política relacionada: os tópicos da Grade de Eventos do Azure devem usar um link privado)
Médio
Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado O Microsoft Defender para Contêineres fornece recursos de segurança para Kubernetes nativos de nuvem incluindo proteção de ambiente, proteção de cargas de trabalho e de tempo de execução.
Quando você habilita o perfil do SecurityProfile.AzureDefender no cluster do Serviço de Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança.
Saiba mais em Introdução ao Microsoft Defender para Contêineres.
(Não há política relacionada)
Alto
Os workspaces do Azure Machine Learning devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus workspaces do Azure Machine Learning, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/azureml-workspaces-privatelink.
(Política relacionada: os workspaces do Azure Machine Learning devem usar um link privado)
Médio
O Serviço do Azure SignalR deve usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus recursos do SignalR, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/asrs/privatelink.
(Política relacionada: o Serviço do Azure SignalR deve usar o link privado)
Médio
O Azure Spring Cloud deve usar injeção de rede As instâncias do Azure Spring Cloud devem usar injeção de rede virtual para as seguintes finalidades: 1. Isole o Azure Spring Cloud da Internet. 2. Habilite a interação do Azure Spring Cloud com sistemas em data centers locais ou no serviço do Azure em outras redes virtuais. 3. Capacite os clientes a controlar comunicações de rede de entrada e saída para o Azure Spring Cloud.
(Política relacionada: o Azure Spring Cloud deve usar uma injeção de rede)
Médio
As descobertas de verificação de código dos repositórios de código devem ser resolvidas O Defender para DevOps encontrou vulnerabilidades em repositórios de código. Para aprimorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades.
(Não há política relacionada)
Médio
As descobertas de verificação de Dependabot dos repositórios de código devem ser resolvidas O Defender para DevOps encontrou vulnerabilidades em repositórios de código. Para aprimorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades.
(Não há política relacionada)
Médio
As descobertas de verificação de infraestrutura como código dos repositórios de código devem ser resolvidas O Defender para DevOps encontrou problemas de configuração de segurança de infraestrutura como código nos repositórios. Os problemas mostrados abaixo foram detectados em arquivos de modelo. Para aprimorar a postura de segurança dos recursos relacionados a nuvem, é altamente recomendável corrigir esses problemas.
(Não há política relacionada)
Médio
As descobertas de verificação de segredo dos repositórios de código devem ser resolvidas O Defender para DevOps encontrou um segredo nos repositórios de código. Isso deve ser corrigido imediatamente para evitar uma violação de segurança. Os segredos encontrados nos repositórios podem ser vazados ou descobertos por adversários, levando a um comprometimento de um aplicativo ou um serviço. Para o Azure DevOps, a ferramenta CredScan do DevOps de Segurança da Microsoft verifica apenas builds nos quais ela foi configurada para ser executada. Portanto, os resultados podem não refletir o status completo dos segredos nos seus repositórios.
(Não há política relacionada)
Alto
As contas dos Serviços Cognitivos devem habilitar a criptografia de dados Esta política audita qualquer conta dos Serviços Cognitivos que não use a criptografia de dados. Para cada conta dos Serviços Cognitivos com armazenamento, deve-se habilitar a criptografia de dados com a chave gerenciada pelo cliente ou a chave gerenciada pela Microsoft.
(Política relacionada: As contas dos Serviços Cognitivos devem habilitar a criptografia de dados)
Baixo
As contas dos Serviços Cognitivos devem restringir o acesso à rede O acesso à rede para contas dos Serviços Cognitivos deve ser restrito. Configure as regras de rede, de modo que somente os aplicativos das redes permitidas possam acessar a conta dos Serviços Cognitivos. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet.
(Política relacionada: As contas dos Serviços Cognitivos devem restringir o acesso da rede)
Médio
As contas dos Serviços Cognitivos devem usar o armazenamento de propriedade do cliente ou habilitar a criptografia de dados Esta política audita qualquer conta dos Serviços Cognitivos que não use o armazenamento de propriedade do cliente nem a criptografia de dados. Para cada conta dos Serviços Cognitivos com armazenamento, use o armazenamento de propriedade do cliente ou habilite a criptografia de dados.
(Política relacionada: As contas dos Serviços Cognitivos devem usar o armazenamento de propriedade do cliente ou habilitar a criptografia de dados.)
Baixo
Os logs de diagnóstico no Azure Data Lake Storage devem ser habilitados Habilite os logs e retenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida.
(Política relacionada: Os logs de diagnóstico no Azure Data Lake Storage devem ser habilitados)
Baixo
Os logs de diagnóstico no Data Lake Analytics devem ser habilitados Habilite os logs e retenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida.
(Política relacionada: Os logs de diagnóstico no Data Lake Analytics devem ser habilitados)
Baixo
A notificação por email para alertas de severidade alta deve ser habilitada Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta no Defender para Nuvem.
(Política relacionada: a notificação por email para alertas de alta severidade deve ser habilitada)
Baixo
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura no Defender para Nuvem.
(Política relacionada: a notificação por email para o proprietário da assinatura para alertas de alta severidade deve ser habilitada)
Médio
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL.
Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo.
Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados.
(Política relacionada: Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL)
Médio
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL.
Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo.
Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados.
(Política relacionada: Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL)
Médio
Os aplicativos de funções devem ter as descobertas de vulnerabilidade resolvidas A verificação de vulnerabilidades de runtime para funções examina seus aplicativos de funções em busca de vulnerabilidades de segurança e expõe descobertas detalhadas. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus aplicativos sem servidor e protegê-los contra ataques.
(Não há política relacionada)
Alto
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados.
Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para dar opções de recuperação em caso de falha de região.
A configuração do armazenamento com redundância geográfica para backup só é permitida ao criar um servidor.
(Política relacionada: O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB)
Baixo
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados.
Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para dar opções de recuperação em caso de falha de região.
A configuração do armazenamento com redundância geográfica para backup só é permitida ao criar um servidor.
(Política relacionada: O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL)
Baixo
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados.
Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para dar opções de recuperação em caso de falha de região.
A configuração do armazenamento com redundância geográfica para backup só é permitida ao criar um servidor.
(Política relacionada: O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL)
Baixo
Os repositórios do GitHub devem ter a verificação de código habilitada O GitHub usa a verificação de código para analisar o código para encontrar vulnerabilidades de segurança e erros no código. A verificação de código pode ser usada para localizar, fazer triagem e priorizar correções para problemas existentes no seu código. A verificação de código também pode impedir que os desenvolvedores introduzam novos problemas. As verificações podem ser programadas para dias e horários específicos ou podem ser acionadas quando ocorre um evento específico no repositório, como, um push. Se a verificação de código localiza uma possível vulnerabilidade ou um possível erro no código, o GitHub mostra um alerta no repositório. Uma vulnerabilidade é um problema no código de um projeto que pode ser explorado para corromper a confidencialidade, a integridade ou a disponibilidade do projeto.
(Não há política relacionada)
Médio
Os repositórios do GitHub devem ter a verificação do Dependabot habilitada O GitHub envia alertas do Dependabot quando detecta vulnerabilidades em dependências de código que afetam repositórios. Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. As vulnerabilidades variam de tipo, gravidade e método de ataque. Quando o código depende de um pacote que tem uma vulnerabilidade de segurança, essa dependência vulnerável pode causar uma série de problemas.
(Não há política relacionada)
Médio
Os repositórios do GitHub devem ter a verificação de segredos habilitada O GitHub examina repositórios em busca de tipos conhecidos de segredos, para evitar o uso fraudulento de segredos que foram confirmados acidentalmente. A verificação de segredos examina automaticamente todo o histórico do Git em todos os branches presentes no seu repositório do GitHub em busca de segredos. Exemplos de segredos são tokens e chaves privadas que um provedor de serviços pode emitir para autenticação. Se um segredo é colocado em um repositório, qualquer pessoa que tenha acesso de leitura ao repositório pode usar o segredo para acessar o serviço externo com esses privilégios. Os segredos devem ser armazenados em um local dedicado e seguro fora do repositório do projeto.
(Não há política relacionada)
Alto
O Microsoft Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado O Microsoft Defender para SQL é um pacote unificado que fornece funcionalidades avançadas de segurança do SQL.
Ela inclui funcionalidades para identificar e atenuar vulnerabilidades potenciais de banco de dados, detectar atividades anormais que podem indicar uma ameaça ao banco de dados e descobrir e classificar dados confidenciais.
Importante: as proteções desse plano são cobradas conforme mostrado na página Planos do Defender. Se você não tiver servidores do Banco de Dados SQL do Azure nessa assinatura, não será cobrado. Se você criar servidores do Banco de Dados SQL do Azure nessa assinatura, eles serão protegidos automaticamente e os encargos serão iniciados. Saiba mais sobre os detalhes de preços por região.
Saiba mais em Introdução ao Microsoft Defender para SQL.
(Política relacionada: O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado)
Alto
O Microsoft Defender para DNS deve estar habilitado O Microsoft Defender para DNS fornece uma camada adicional de proteção para seus recursos de nuvem, monitorando de modo contínuo todas as consultas DNS dos recursos do Azure. O Defender para DNS alertará você sobre atividades suspeitas na camada DNS. Saiba mais em Introdução ao Microsoft Defender para DNS. Habilitar este plano do Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços do Defender para Nuvem: https://azure.microsoft.com/services/defender-for-cloud/#pricing.
(Não há política relacionada)
Alto
O Microsoft Defender para bancos de dados relacionais de código aberto deve estar habilitado O Microsoft Defender para bancos de dados relacionais de código aberto detecta atividades anômalas, indicando tentativas incomuns e possivelmente prejudiciais de acesso ou exploração de bancos de dados. Saiba mais em Introdução ao Microsoft Defender para bancos de dados relacionais de código aberto.

Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Se você não tiver bancos de dados relacionais de código aberto nessa assinatura, os encargos não serão incorridos. Se você criar bancos de dados relacionais nessa assinatura no futuro, eles serão automaticamente protegidos e os encargos serão iniciados nesse momento.
(Não há política relacionada)
Alto
O Microsoft Defender para o Resource Manager deve estar habilitado O Microsoft Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos na organização. O Defender para Nuvem detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais em Introdução ao Microsoft Defender para Resource Manager. Habilitar este plano do Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços do Defender para Nuvem: https://azure.microsoft.com/services/defender-for-cloud/#pricing.
(Não há política relacionada)
Alto
O Microsoft Defender para SQL nos computadores deve estar habilitado nos workspaces O Microsoft Defender para servidores adiciona proteções avançadas e detecção contra ameaças aos computadores Windows e Linux.
Com esse plano do Defender habilitado em suas assinaturas, mas não em seus workspaces, você está pagando pela capacidade total do Microsoft Defender para servidores, mas perdendo alguns dos benefícios.
Quando você habilita o Microsoft Defender para servidores em um workspace, todos os computadores que fornecem relatórios a esse workspace serão cobrados quanto ao Microsoft Defender para servidores, mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender para servidores na assinatura, esses computadores não poderão aproveitar o acesso JIT (just-in-time) à VM, os controles de aplicativos adaptáveis e as detecções de rede para recursos do Azure.
Saiba mais em Introdução ao Microsoft Defender para servidores.
(Não há política relacionada)
Médio
O Microsoft Defender para servidores SQL em computadores deve estar habilitado O Microsoft Defender para SQL é um pacote unificado que fornece funcionalidades avançadas de segurança do SQL.
Ela inclui funcionalidades para identificar e atenuar vulnerabilidades potenciais de banco de dados, detectar atividades anormais que podem indicar uma ameaça ao banco de dados e descobrir e classificar dados confidenciais.

Importante: a correção dessa recomendação resultará em custos para proteger os SQL Servers nos computadores. Se você não tiver nenhum SQL Server nos computadores nessa assinatura, nenhum custo será gerado.
Se você criar SQL Servers nos computadores nessa assinatura no futuro, eles serão automaticamente protegidos e os custos serão iniciados nesse momento.
Saiba mais sobre o Microsoft Defender para SQL Servers em computadores.
(Política relacionada: O Azure Defender para servidores SQL em computadores deve estar habilitado)
Alto
O Microsoft Defender para SQL deve estar habilitado para servidores SQL do Azure desprotegidos O Microsoft Defender para SQL é um pacote unificado que fornece funcionalidades avançadas de segurança do SQL. Ele revela e atenua possíveis vulnerabilidades do banco de dados, além de detectar atividades anômalas que podem indicar uma ameaça ao seu banco de dados. O Microsoft Defender para SQL é cobrado conforme mostrado nos detalhes de preços por região.
(Política relacionada: A Segurança de Dados Avançada deve ser habilitada nos servidores SQL)
Alto
O Microsoft Defender para SQL deve ser habilitado para Instância Gerenciada de SQL não protegidas O Microsoft Defender para SQL é um pacote unificado que fornece funcionalidades avançadas de segurança do SQL. Ele revela e atenua possíveis vulnerabilidades do banco de dados, além de detectar atividades anômalas que podem indicar uma ameaça ao seu banco de dados. O Microsoft Defender para SQL é cobrado conforme mostrado nos detalhes de preços por região.
(Política relacionada: A Segurança de Dados Avançada deverá ser habilitada na Instância Gerenciada de SQL)
Alto
O Microsoft Defender para Armazenamento deve estar habilitado O Microsoft Defender para armazenamento detecta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento.
Importante: as proteções desse plano são cobradas conforme mostrado na página Planos do Defender. Se você não tiver contas do Armazenamento do Azure nessa assinatura, não será cobrado. Se você criar contas de Armazenamento do Azure nessa assinatura, eles serão protegidos automaticamente e os encargos serão iniciados. Saiba mais sobre os detalhes de preços por região.
Saiba mais em Introdução ao Microsoft Defender para Armazenamento.
(Política relacionada: O Azure Defender para Armazenamento deve estar habilitado)
Alto
O Observador de Rede deve ser habilitado O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível de cenário permite que você faça o diagnóstico de problemas em uma exibição de nível de rede de ponta a ponta. As ferramentas de diagnóstico e visualização da rede disponíveis com o Observador de Rede ajudam a entender, diagnosticar e ter informações para sua rede no Azure.
(Política relacionada: O Observador de Rede deve estar habilitado)
Baixo
As identidades provisionadas em excesso em assinaturas devem ser investigadas para reduzir o PCI (Índice de Excesso de Permissões) As identidades provisionadas em excesso na assinatura devem ser investigadas para reduzir o PCI (Índice de Excesso de Permissões) e para proteger a sua infraestrutura. Reduza o PCI removendo as atribuições de permissão de alto risco não utilizadas. O PCI alto reflete o risco associado às identidades com permissões que excedem o uso normal ou necessário
(Não há política relacionada)
Médio
As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure.
(Política relacionada: As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem estar habilitadas)
Médio
O ponto de extremidade privado deve ser habilitado para servidores MariaDB As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MariaDB.
Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure.
(Política relacionada: O ponto de extremidade privado deve ser habilitado para servidores MariaDB)
Médio
O ponto de extremidade privado deve ser habilitado para servidores MySQL As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MySQL.
Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure.
(Política relacionada: O ponto de extremidade privado deve ser habilitado para servidores MySQL)
Médio
O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para PostgreSQL.
Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure.
(Política relacionada: O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL)
Médio
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP.
(Política relacionada: O acesso à rede pública no Banco de Dados SQL do Azure deve estar desabilitado)
Médio
O acesso à rede pública deve ser desabilitado nas contas dos Serviços Cognitivos Essa política audita as contas dos Serviços Cognitivos em seu ambiente com o acesso à rede pública habilitado. O acesso à rede pública deve ser desabilitado para que somente as conexões de pontos de extremidade privados sejam permitidas.
(Política relacionada: O acesso à rede pública deve estar desabilitado nas contas dos Serviços Cognitivos)
Médio
O acesso à rede pública deve ser desabilitado para servidores MariaDB Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual.
(Política relacionada: o acesso à rede pública deve ser desabilitado para servidores MariaDB)
Médio
O acesso à rede pública deve ser desabilitado para servidores MySQL Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MySQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual.
(Política relacionada: o acesso à rede pública deve ser desabilitado para servidores MySQL)
Médio
O acesso à rede pública deve ser desabilitado para servidores PostgreSQL Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para PostgreSQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual.
(Política relacionada: o acesso à rede pública deve ser desabilitado para servidores PostgreSQL)
Médio
O Cache Redis deve permitir o acesso somente por SSL Habilite somente conexões via SSL para o Cache Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão.
(Política relacionada: Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas)
Alto
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas A avaliação de vulnerabilidades do SQL examina o banco de dados em busca de vulnerabilidades de segurança e expõe os desvios das melhores práticas como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança de seu banco de dados. Saiba mais
(Política relacionada: As vulnerabilidades nos bancos de dados SQL devem ser corrigidas)
Alto
As instâncias gerenciadas de SQL devem ter a avaliação de vulnerabilidade configurada A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados.
(Política relacionada: A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL)
Alto
Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas A avaliação de vulnerabilidades do SQL examina o banco de dados em busca de vulnerabilidades de segurança e expõe os desvios das melhores práticas como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança de seu banco de dados. Saiba mais
(Política relacionada: As vulnerabilidades nos servidores SQL no computador devem ser corrigidas)
Alta
Os SQL Servers devem ter um administrador do Azure Active Directory provisionado Provisione um administrador do Microsoft Azure Active Directory para o servidor SQL para habilitar a autenticação do Microsoft Azure Active Directory. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft.
(Política relacionada: Um administrador do Azure Active Directory deve ser provisionado para servidores SQL)
Alto
Os SQL Servers devem ter a avaliação de vulnerabilidade configurada A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados.
(Política relacionada: A avaliação de vulnerabilidades deve ser habilitada nos servidores SQL)
Alto
A conta de armazenamento deve usar uma conexão de link privado Os links privados impõem comunicações seguras, fornecendo conectividade privada à conta de armazenamento
(Política relacionada: a conta de armazenamento deve usar uma conexão de link privado)
Médio
As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager Para aproveitar os novos recursos no Azure Resource Manager, você pode migrar as implantações existentes do modelo de implantação clássico. O Resource Manager habilita aprimoramentos de segurança como: controle de acesso (RBCA) mais forte, melhor auditoria, governança e implantação baseadas no ARM, acesso a identidades gerenciadas, acesso ao cofre de chaves com segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança. Saiba mais
(Política relacionada: As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager)
Baixo
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento.
(Política relacionada: as contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual)
Médio
As assinaturas devem ter um endereço de email de contato para problemas de segurança Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email do Defender para Nuvem.
(Política relacionada: as assinaturas devem ter um endereço de email de contato para problemas de segurança)
Baixo
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada Habilite a Transparent Data Encryption para proteger dados em repouso e atender aos requisitos de conformidade
(Política relacionada: A Transparent Data Encryption em bancos de dados SQL deve ser habilitada)
Baixo
Os modelos do Construtor de Imagens de VM devem usar o link privado Faça auditoria dos modelos do Construtor de Imagens de VM que não têm uma rede virtual configurada. Quando uma rede virtual não está configurada, um IP público é criado e usado, o que pode expor diretamente os recursos à Internet e aumentar a superfície de ataques potencial.
(Política relacionada: os modelos do Construtor de Imagens de VM devem usar um link privado)
Médio
O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas.
(Política relacionada: o WAF (Firewall de Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo)
Baixo
O WAF (Firewall de Aplicativo Web) deve ser habilitado para o serviço do Azure Front Door Service Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas.
(Política relacionada: O WAF (Firewall de Aplicativo Web) deve ser habilitado para o Azure Front Door Service?)
Baixo

Recomendações de DevOps

Recomendação Descrição Severidade
(Versão prévia) As conclusões da verificação de código dos repositórios de código devem ser resolvidas O Defender para DevOps encontrou vulnerabilidades em repositórios de código. Para aprimorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades. (Não há política relacionada) Médio
(Versão prévia) As conclusões de verificação de segredo dos repositórios de código devem ser resolvidas O Defender para DevOps encontrou um segredo nos repositórios de código.  Isso deve ser corrigido imediatamente para evitar uma violação de segurança.  Os segredos encontrados nos repositórios podem ser vazados ou descobertos por adversários, levando a um comprometimento de um aplicativo ou um serviço. Para o Azure DevOps, a ferramenta CredScan do DevOps de Segurança da Microsoft verifica apenas builds nos quais ela foi configurada para ser executada. Portanto, os resultados podem não refletir o status completo dos segredos nos seus repositórios. (Não há política relacionada) Alto
(Versão prévia) As conclusões de verificação do Dependabot dos repositórios de código devem ser resolvidas O Defender para DevOps encontrou vulnerabilidades em repositórios de código. Para aprimorar a postura de segurança dos repositórios, é altamente recomendável corrigir essas vulnerabilidades. (Não há política relacionada) Médio
(Versão prévia) As conclusões de verificação de infraestrutura como código dos repositórios de código devem ser resolvidas O Defender para DevOps encontrou problemas de configuração de segurança de infraestrutura como código nos repositórios. Os problemas mostrados abaixo foram detectados em arquivos de modelo. Para aprimorar a postura de segurança dos recursos relacionados a nuvem, é altamente recomendável corrigir esses problemas. (Não há política relacionada) Médio
(Versão prévia) A verificação de código deve ser habilitada nos repositórios do GitHub O GitHub usa a verificação de código para analisar o código para encontrar vulnerabilidades de segurança e erros no código. A verificação de código pode ser usada para localizar, fazer triagem e priorizar correções para problemas existentes no seu código. A verificação de código também pode impedir que os desenvolvedores introduzam novos problemas. As verificações podem ser programadas para dias e horários específicos ou podem ser acionadas quando ocorre um evento específico no repositório, como, um push. Se a verificação de código localiza uma possível vulnerabilidade ou um possível erro no código, o GitHub mostra um alerta no repositório. Uma vulnerabilidade é um problema no código de um projeto que pode ser explorado para corromper a confidencialidade, a integridade ou a disponibilidade do projeto. (Não há política relacionada) Médio
(Versão prévia) A verificação de segredos deve ser habilitada nos repositórios do GitHub O GitHub examina repositórios em busca de tipos conhecidos de segredos, para evitar o uso fraudulento de segredos que foram confirmados acidentalmente. A verificação de segredos examina automaticamente todo o histórico do Git em todos os branches presentes no seu repositório do GitHub em busca de segredos. Exemplos de segredos são tokens e chaves privadas que um provedor de serviços pode emitir para autenticação. Se um segredo é colocado em um repositório, qualquer pessoa que tenha acesso de leitura ao repositório pode usar o segredo para acessar o serviço externo com esses privilégios. Os segredos devem ser armazenados em um local dedicado e seguro fora do repositório do projeto. (Não há política relacionada) Alto
(Versão prévia) A verificação do Dependabot deve ser habilitada nos repositórios do GitHub O GitHub envia alertas do Dependabot quando detecta vulnerabilidades em dependências de código que afetam repositórios. Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. As vulnerabilidades variam de tipo, gravidade e método de ataque. Quando o código depende de um pacote que tem uma vulnerabilidade de segurança, essa dependência vulnerável pode causar uma série de problemas. (Não há política relacionada) Médio

Recomendações de IdentityAndAccess

29 recomendações nesta categoria.

Recomendação Descrição Severidade
Uma quantidade máxima de três proprietários deve ser designada para as assinaturas Para reduzir o potencial de violações por contas de proprietário comprometidas, é recomendável limitar o número de contas de proprietário a até três
(Política relacionada: Uma quantidade máxima de três proprietários deve ser designada para sua assinatura)
Alto
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA Se você usa apenas senhas para autenticar os usuários, está deixando aberto um vetor de ataque. Os usuários costumam usar senhas fracas para vários serviços. Ao habilitar a MFA (Autenticação Multifator), você fornece melhor segurança para as suas contas, ao mesmo tempo que permite que os seus usuários se autentiquem em quase qualquer aplicativo com SSO (logon único). A autenticação multifator é um processo pelo qual os usuários precisam, durante o processo de entrada, fornecer uma forma adicional de identificação. Por exemplo, um código pode ser enviado para o celular, ou pode ser solicitada uma verificação de impressão digital. Recomendamos que você habilite a MFA para todas as contas que têm permissões de proprietário em recursos do Azure, para evitar violações e ataques.
Mais detalhes e perguntas frequentes estão disponíveis aqui: Gerenciar a imposição de MFA (autenticação multifator) nas suas assinaturas
(Não há política relacionada)
Alto
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA Se você usa apenas senhas para autenticar os usuários, está deixando aberto um vetor de ataque. Os usuários costumam usar senhas fracas para vários serviços. Ao habilitar a MFA (Autenticação Multifator), você fornece melhor segurança para as suas contas, ao mesmo tempo que permite que os seus usuários se autentiquem em quase qualquer aplicativo com SSO (logon único). A autenticação multifator é um processo pelo qual os usuários precisam, durante o processo de entrada, fornecer uma forma adicional de identificação. Por exemplo, um código pode ser enviado para o celular, ou pode ser solicitada uma verificação de impressão digital. Recomendamos que você habilite a MFA para todas as contas que têm permissões de leitura em recursos do Azure, para evitar violações e ataques.
Mais detalhes e perguntas frequentes estão disponíveis aqui: Gerenciar a imposição de MFA (autenticação multifator) nas suas assinaturas
(Não há política relacionada)
Alto
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA Se você usa apenas senhas para autenticar os usuários, está deixando aberto um vetor de ataque. Os usuários costumam usar senhas fracas para vários serviços. Ao habilitar a MFA (Autenticação Multifator), você fornece melhor segurança para as suas contas, ao mesmo tempo que permite que os seus usuários se autentiquem em quase qualquer aplicativo com SSO (logon único). A autenticação multifator é um processo pelo qual os usuários precisam, durante o processo de entrada, fornecer uma forma adicional de identificação. Por exemplo, um código pode ser enviado para o celular, ou pode ser solicitada uma verificação de impressão digital. Recomendamos que você habilite a MFA para todas as contas que têm permissões de gravação em recursos do Azure, para evitar violações e ataques.
Mais detalhes e perguntas frequentes estão disponíveis aqui: Gerenciar a imposição de MFA (autenticação multifator) nas suas assinaturas
(Não há política relacionada)
Alto
As contas do Azure Cosmos DB devem usar o Azure Active Directory como o único método de autenticação A melhor maneira de se autenticar nos serviços do Azure é usando o RBAC (controle de acesso baseado em função). O RBAC permite manter o princípio de privilégio mínimo e dá suporte à capacidade de revogar permissões como um método efetivo de resposta quando há comprometimento. Você pode configurar a sua conta do Azure Cosmos DB para impor o RBAC como o único método de autenticação. Quando a imposição for configurada, todos os outros métodos de acesso serão negados (chaves primárias/secundárias e tokens de acesso).
(Não há política relacionada)
Médio
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas As contas que foram impedidas de entrar no Active Directory devem ser removidas dos recursos do Azure. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos.
(Não há política relacionada)
Alto
As contas bloqueadas com permissões de leitura e gravação nos recursos do Azure devem ser removidas As contas que foram impedidas de entrar no Active Directory devem ser removidas dos recursos do Azure. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos.
(Não há política relacionada)
Alto
As contas preteridas devem ser removidas das assinaturas As contas de usuário que foram impedidas de entrar devem ser removidas das suas assinaturas.
Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos.
(Política relacionada: As contas preteridas devem ser removidas de sua assinatura)
Alto
As contas preteridas com permissões de proprietário devem ser removidas das assinaturas As contas de usuário que foram impedidas de entrar devem ser removidas das suas assinaturas.
Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos.
(Política relacionada: As contas preteridas com permissões de proprietário devem ser removidas de sua assinatura)
Alto
Os logs de diagnóstico no Key Vault devem estar habilitados Habilite os logs e retenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida.
(Política relacionada: Os logs de diagnóstico no Key Vault devem estar habilitados)
Baixo
As contas externas com permissões de proprietário devem ser removidas das assinaturas As contas com permissões de proprietário que têm nomes de domínio diferentes (contas externas) devem ser removidas da sua assinatura. Isso impede acesso não monitorado. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos.
(Política relacionada: As contas externas com permissões de proprietário devem ser removidas de sua assinatura)
Alto
As contas externas com permissões de leitura devem ser removidas das assinaturas As contas com permissões de leitura que têm nomes de domínio diferentes (contas externas) devem ser removidas da sua assinatura. Isso impede acesso não monitorado. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos.
(Política relacionada: As contas externas com permissões de leitura devem ser removidas de sua assinatura)
Alto
As contas externas com permissões de gravação devem ser removidas das assinaturas As contas com permissões de gravação que têm nomes de domínio diferentes (contas externas) devem ser removidas da sua assinatura. Isso impede acesso não monitorado. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos.
(Política relacionada: As contas externas com permissões de gravação devem ser removidas de sua assinatura)
Alto
O firewall deve ser habilitado no Key Vault O firewall do cofre de chaves impede que o tráfego não autorizado alcance o seu cofre de chaves e fornece uma camada adicional de proteção para os seus segredos. Habilite o firewall para garantir que somente o tráfego de redes permitidas possa acessar o seu cofre de chaves.
(Política relacionada: o firewall deve ser habilitado no Key Vault)
Médio
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas Contas com permissões de proprietário que foram provisionadas fora do locatário do Azure Active Directory (nomes de domínio diferentes) devem ser removidas dos recursos do Azure. As contas de convidados não são gerenciadas para os mesmos padrões que as identidades de locatário corporativo. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos.
(Não há política relacionada)
Alto
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas Contas com permissões de leitura que foram provisionadas fora do locatário do Azure Active Directory (nomes de domínio diferentes) devem ser removidas dos recursos do Azure. As contas de convidados não são gerenciadas para os mesmos padrões que as identidades de locatário corporativo. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos.
(Não há política relacionada)
Alto
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas Contas com permissões de gravação que foram provisionadas fora do locatário do Azure Active Directory (nomes de domínio diferentes) devem ser removidas dos recursos do Azure. As contas de convidados não são gerenciadas para os mesmos padrões que as identidades de locatário corporativo. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem percebidos.
(Não há política relacionada)
Alto
As chaves do Key Vault devem ter uma data de validade As chaves de criptografia devem ter uma data de validade definida e não ser permanentes. As chaves válidas para sempre dão a um invasor potencial mais tempo para comprometer a chave. Uma prática de segurança recomendada é definir as datas de validade em chaves de criptografia.
(Política relacionada: as chaves do Key Vault devem ter uma data de validade)
Alto
Os segredos do Key Vault devem ter uma data de validade Os segredos devem ter uma data de validade definida e não ser permanentes. Os segredos são válidos para sempre dão a um invasor potencial mais tempo para comprometê-las. Uma prática de segurança recomendada é definir datas de validade nos segredos.
(Política relacionada: os segredos do Key Vault devem ter uma data de validade)
Alto
Os cofres de chaves devem ter a proteção contra limpeza habilitada A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Um funcionário mal-intencionado em sua organização pode potencialmente excluir e limpar os cofres de chaves. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária.
(Política relacionada: os cofres de chaves devem ter a proteção contra limpeza habilitada)
Médio
Os cofres de chaves devem ter a exclusão temporária habilitada A exclusão de um cofre de chaves sem a exclusão temporária habilitada permanentemente exclui todos os segredos, as chaves e os certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável.
(Política relacionada: os cofres de chaves devem ter a exclusão temporária habilitada)
Alto
A MFA deve ser habilitada em contas com permissões de proprietário em assinaturas A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos.
(Política relacionada: A MFA deve ser habilitada em contas com permissões de proprietário em sua assinatura)
Alto
A MFA deve ser habilitada em contas com permissões de leitura em assinaturas A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos.
(Política relacionada: A MFA deve ser habilitada em contas com permissões de leitura em sua assinatura)
Alto
A MFA deve ser habilitada em contas com permissões de gravação em assinaturas A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos.
(Política relacionada: A MFA deve ser habilitado em contas com permissões de gravação na sua assinatura)
Alto
O Microsoft Defender para Key Vault deve estar habilitado O Microsoft Defender para Nuvem inclui o Microsoft Defender para Key Vault, fornecendo uma camada adicional de inteligência de segurança.
O Microsoft Defender para Key Vault detecta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas do Key Vault.
Importante: as proteções desse plano são cobradas conforme mostrado na página Planos do Defender. Se você não tiver cofres de chaves nessa assinatura, não será cobrado. Se você criar cofres de chaves nessa assinatura, eles serão protegidos automaticamente e os encargos serão iniciados. Saiba mais sobre os detalhes de preços por região.
Saiba mais em Introdução ao Microsoft Defender para Key Vault.
(Política relacionada: O Azure Defender para Key Vault deve estar habilitado)
Alto
O ponto de extremidade privado deve ser configurado para Key Vault O link privado fornece um modo de conectar o Key Vault aos recursos do Azure sem enviar tráfego pela Internet pública. O link privado fornece uma proteção avançada contra exfiltração dos dados.
(Política relacionada: o ponto de extremidade privado deve ser configurado para o Key Vault)
Médio
O acesso público da conta de armazenamento não deve ser permitido O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas pelo acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso.
(Política relacionada: O acesso público da conta de armazenamento não deve ser permitido)
Médio
Deve haver mais de um proprietário atribuído às assinaturas Designe mais de um proprietário da assinatura para poder ter redundância de acesso de administrador.
(Política relacionada: Deve haver mais de um proprietário atribuído à sua assinatura)
Alto
O período de validade dos certificados armazenados no Azure Key Vault não deve exceder 12 meses Verifique se os certificados não têm um período de validade que exceda 12 meses.
(Política relacionada: Os certificados devem ter o período máximo de validade especificado)
Médio

Recomendações de IoT

4 recomendações nesta categoria.

Recomendação Descrição Severidade
A Política de Filtro IP Padrão deve ser Negar A Configuração de Filtro IP deve ter regras definidas para o tráfego permitido e deve negar todo o tráfego restante por padrão
(Não há política relacionada)
Médio
Os logs de diagnóstico no Hub IoT devem ser habilitados Habilite os logs e retenha-os por até um ano. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida.
(Política relacionada: Os logs de diagnóstico no Hub IoT devem ser habilitados)
Baixo
Credenciais de Autenticação Idênticas Credenciais de autenticação idênticas do Hub IoT usadas por vários dispositivos. Isso pode indicar que um dispositivo ilegítimo está representando um dispositivo legítimo. Também expõe o risco de representação de dispositivo por um invasor
(Não há política relacionada)
Alto
Intervalo de IP grande da regra do Filtro IP O intervalo de IP de origem de uma regra de permissão de filtro IP é muito grande. Regras excessivamente permissivas podem expor seu hub IoT a pessoas mal-intencionadas
(Não há política relacionada)
Médio

Recomendações de rede

13 recomendações nesta categoria.

Recomendação Descrição Severidade
O acesso às contas de armazenamento com configurações de firewall e de rede virtual deve ser restrito Examine as configurações de acesso à rede nas configurações de firewall da conta de armazenamento. Recomendamos configurar as regras de rede de modo que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser concedido para o tráfego de redes virtuais do Azure específicas ou para intervalos de endereços IP públicos da Internet.
(Política relacionada: As contas de armazenamento devem restringir o acesso da rede)
Baixo
As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet O Defender para Nuvem analisou os padrões de comunicação do tráfego da Internet das máquinas virtuais listadas abaixo e determinou que as regras existentes nos NSGs associados a elas são excessivamente permissivas, resultando em maior superfície de ataque potencial.
Isso normalmente ocorre quando o endereço IP não se comunica regularmente com o recurso. Como alternativa, o endereço IP foi sinalizado como mal-intencionado pelas fontes de inteligência contra ameaças do Defender para Nuvem. Saiba mais em Melhorar sua postura de segurança de rede com o fortalecimento de rede adaptável.
(Política relacionada: As recomendações de proteção de rede adaptável devem ser aplicadas às máquinas virtuais voltadas para a Internet)
Alto
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual O Defender para Nuvem identificou que algumas das regras de entrada de seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores.
(Política relacionada: Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual)
Alto
A Proteção contra DDoS do Azure Standard deve estar habilitada O Defender para Nuvem descobriu redes virtuais com recursos do Gateway de Aplicativo desprotegidos pelo serviço de Proteção contra DDoS. Esses recursos contêm IPs públicos. Habilitar a mitigação de ataques de protocolo e volumétricos de rede.
(Política relacionada: A Proteção contra DDoS do Azure Standard deve estar habilitada)
Médio
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede Proteja sua VM contra possíveis ameaças, restringindo o acesso a ela com um NSG (grupo de segurança de rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua VM de outras instâncias, dentro ou fora da mesma sub-rede.
Para manter seu computador o mais seguro possível, o acesso da VM à Internet precisa ser restrito e um NSG precisa ser habilitado na sub-rede.
As VMs com severidade 'Alta' são VMs para a Internet.
(Política relacionada: As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede)
Alto
O encaminhamento IP na máquina virtual deve ser desabilitado O Defender para Nuvem descobriu que o encaminhamento de IP está habilitado em algumas de suas máquinas virtuais. A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede.
(Política relacionada: O encaminhamento de IP na máquina virtual deve ser desabilitado)
Médio
Os computadores devem ter portas fechadas que possam expor vetores de ataque Os termos de uso do Azure proíbem o uso de serviços do Azure de maneiras que possam danificar, desabilitar, sobrecarregar ou prejudicar qualquer servidor da Microsoft ou a rede. Esta recomendação lista as portas expostas que precisam ser fechadas para sua segurança contínua. Ela também ilustra a ameaça potencial para cada porta.
(Não há política relacionada)
Alto
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time O Defender para Nuvem identificou algumas regras de entrada excessivamente permissivas para portas de gerenciamento em seu grupo de segurança de rede. Habilite o controle de acesso Just-In-Time para proteger sua VM contra ataques de força bruta baseados na Internet. Saiba mais em Noções básicas sobre acesso à VM JIT (just-in-time).
(Política relacionada: As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede Just-In-Time)
Alto
Portas de gerenciamento devem ser fechadas nas máquinas virtuais As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina.
(Política relacionada: Portas de gerenciamento devem ser fechadas nas máquinas virtuais)
Médio
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede Proteja sua máquina virtual não voltada para a Internet contra possíveis ameaças restringindo o acesso a ela com NSG (grupo de segurança de rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua VM de outras instâncias, estejam elas ou não dentro da mesma sub-rede.
Observe que, para manter seu computador o mais seguro possível, o acesso da VM à Internet deve ser restrito e um NSG deve ser habilitado na sub-rede.
(Política relacionada: As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede)
Baixo
A transferência segura para contas de armazenamento deve ser habilitada A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão.
(Política relacionada: A transferência segura para contas de armazenamento deve ser habilitada)
Alto
As sub-redes devem ser associadas a um grupo de segurança de rede Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (grupo de segurança de rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. Quando um NSG é associado a uma sub-rede, as regras de ACL se aplicam a todas as instâncias de VM e serviços integrados nessa sub-rede, mas não se aplicam ao tráfego interno dentro da sub-rede. Para proteger os recursos na mesma sub-rede uns dos outros, habilite o NSG nos recursos também.
Observe que os seguintes tipos de sub-rede serão listados como não aplicáveis: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet.
(Política relacionada: As sub-redes devem ser associadas a um Grupo de Segurança de Rede)
Baixo
As redes virtuais devem ser protegidas pelo Firewall do Azure Algumas de suas redes virtuais não estão protegidas com um firewall. Use o Firewall do Azure para restringir o acesso às suas redes virtuais e evitar possíveis ameaças. Saiba mais sobre o Firewall do Azure.
(Política relacionada: Todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado)
Baixo

Recomendações preteridas

Recomendação Descrição & política relacionada Severity
O acesso aos Serviços de Aplicativos deve ser restrito Restrinja o acesso aos Serviços de Aplicativos alterando a configuração de rede, para negar o tráfego de entrada de intervalos muito amplos.
(Política relacionada: [versão prévia]: O acesso aos Serviços de Aplicativos deve ser restrito)
Alta
As regras para aplicativos Web nos NSGs da IaaS devem ser fortalecidas Proteger o NSG (grupo de segurança de rede) das suas máquinas virtuais que estão executando aplicativos Web, com regras do NSG que são excessivamente permissivas com relação às portas do aplicativo Web.
(Política relacionada: as regras de NSGs para aplicativos Web em IaaS devem ser fortalecidas)
Alta
As políticas de segurança de pods devem ser definidas para reduzir o vetor de ataque removendo privilégios de aplicativo desnecessários (versão prévia) Defina políticas de segurança de pods para reduzir o vetor de ataque removendo privilégios de aplicativo desnecessários. Recomendamos configurar políticas de segurança de pods para que apenas os pods possam acessar os recursos aos quais eles têm permissões de acesso.
(Política relacionada: [versão prévia]: as políticas de segurança de pods devem ser definidas nos Serviços de Kubernetes)
Médio
Instalar o módulo de segurança da Central de Segurança do Azure para IoT para obter mais visibilidade dos seus dispositivos IoT Instale o módulo de segurança da Central de Segurança do Azure para IoT para obter mais visibilidade dos seus dispositivos IoT. Baixo
Seus computadores devem ser reiniciados para que as atualizações do sistema sejam aplicadas Reinicie suas máquinas para aplicar as atualizações do sistema e proteger a máquina contra vulnerabilidades. (Política relacionada: As atualizações do sistema devem ser instaladas em suas máquinas) Médio
O agente de monitoramento deve ser instalado em seus computadores Esta ação instala um agente de monitoramento nas máquinas virtuais selecionadas. Selecione um workspace ao qual o agente se reportará. (Não há política relacionada) Alto

Próximas etapas

Para saber mais sobre as recomendações, confira o seguinte: