Controles de Conformidade Regulatória do Azure Policy para o Banco de Dados SQL do Azure e a Instância Gerenciada de SQL
Aplica-se a: 
Banco de Dados SQL do Azure Instância Gerenciada de SQL do Azure
A Conformidade Regulatória no Azure Policy fornece definições de iniciativas criadas e gerenciadas pela Microsoft, conhecidas como internos, para os domínios de conformidade e os controles de segurança relacionados a diferentes padrões de conformidade. Esta página lista os domínios de conformidade e os controles de segurança do Banco de Dados SQL do Azure e da Instância Gerenciada de SQL. Você pode atribuir os itens internos a um controle de segurança individualmente a fim de ajudar a manter seus recursos do Azure em conformidade com o padrão específico.
O título de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão da Política para ver a origem no repositório GitHub do Azure Policy.
Importante
Cada controle está associado a uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Portanto, a Conformidade no Azure Policy refere-se apenas às próprias políticas. Isso não garante que você esteja totalmente em conformidade com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os controles e as definições de Conformidade Regulatória do Azure Policy para esses padrões de conformidade podem mudar com o tempo.
PROTEÇÃO ISM do Governo Australiano
Para examinar como os internos do azure Policy disponíveis para todos os serviços do azure são mapeados para esse padrão de conformidade, confira Conformidade Regulatória do azure Policy – PROTEÇÃO ISM do Governo australiano. Para obter mais informações sobre esse padrão de conformidade, consulte PROTEÇÃO ISM do Governo Australiano.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 940 | Quando corrigir vulnerabilidades de segurança-940 | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 940 | Quando corrigir vulnerabilidades de segurança-940 | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 940 | Quando corrigir vulnerabilidades de segurança-940 | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1144 | Quando corrigir vulnerabilidades de segurança - 1144 | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1144 | Quando corrigir vulnerabilidades de segurança - 1144 | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1144 | Quando corrigir vulnerabilidades de segurança - 1144 | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| Diretrizes para sistemas de banco de dados – software de sistema de gerenciamento de banco de dados | 1260 | Contas de administrador de banco de dados - 1260 | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| Diretrizes para sistemas de banco de dados – software de sistema de gerenciamento de banco de dados | 1261 | Contas de administrador de banco de dados - 1261 | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| Diretrizes para sistemas de banco de dados – software de sistema de gerenciamento de banco de dados | 1262 | Contas de administrador de banco de dados - 1262 | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| Diretrizes para sistemas de banco de dados – software de sistema de gerenciamento de banco de dados | 1263 | Contas de administrador de banco de dados - 1263 | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| Diretrizes para sistemas de banco de dados – software de sistema de gerenciamento de banco de dados | 1264 | Contas de administrador de banco de dados - 1264 | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| Diretrizes para sistemas de banco de dados – servidores de banco de dados | 1425 | Protegendo o conteúdo do servidor de banco de dados - 1425 | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1.472 | Quando corrigir vulnerabilidades de segurança - 1472 | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1.472 | Quando corrigir vulnerabilidades de segurança - 1472 | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1.472 | Quando corrigir vulnerabilidades de segurança - 1472 | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1494 | Quando corrigir vulnerabilidades de segurança - 1494 | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1494 | Quando corrigir vulnerabilidades de segurança - 1494 | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1494 | Quando corrigir vulnerabilidades de segurança - 1494 | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1.495 | Quando corrigir vulnerabilidades de segurança - 1495 | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1.495 | Quando corrigir vulnerabilidades de segurança - 1495 | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1.495 | Quando corrigir vulnerabilidades de segurança - 1495 | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1496 | Quando corrigir vulnerabilidades de segurança - 1496 | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1496 | Quando corrigir vulnerabilidades de segurança - 1496 | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1496 | Quando corrigir vulnerabilidades de segurança - 1496 | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| Diretrizes para monitoramento do sistema – log e auditoria de eventos | 1537 | Eventos a serem registrados - 1537 | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Diretrizes para monitoramento do sistema – log e auditoria de eventos | 1537 | Eventos a serem registrados - 1537 | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
PBMM Federal do Canadá
Para examinar como as políticas internas disponíveis do azure Policy em todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – Canada Federal PBMM. Para obter mais informações sobre esse padrão de conformidade, confira Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – CIS Microsoft azure Foundations Benchmark 1.1.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 2 Central de Segurança | 2.14 | Garantir que a configuração padrão da política do ASC "Monitorar a Auditoria do SQL" não esteja "Desabilitada" | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| 2 Central de Segurança | 2.15 | Garantir que a configuração padrão da política do ASC "Monitorar a Criptografia do SQL" não esteja "Desabilitada" | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| 4 Serviços de Banco de Dados | 4.1 | Garantir que "Auditoria" esteja definida como "Ativado" | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| 4 Serviços de Banco de Dados | 4.10 | Garantir que o protetor de TDE do SQL Server seja criptografado com BYOK (Bring Your Own Key) | As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.0 |
| 4 Serviços de Banco de Dados | 4.10 | Garantir que o protetor de TDE do SQL Server seja criptografado com BYOK (Bring Your Own Key) | Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.1 |
| 4 Serviços de banco de dados | 4.2 | Garantir que "AuditActionGroups" na política de "auditoria" de um SQL Server esteja definido corretamente | As configurações de Auditoria do SQL devem ter grupos de ações configurados para capturar atividades críticas | 1.0.0 |
| 4 Serviços de Banco de Dados | 4.3 | Garantir que a retenção de "Auditoria" seja "maior que 90 dias" | Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais | 3.0.0 |
| 4 Serviços de banco de dados | 4.4 | Garantir que a "Segurança de Dados Avançada" em um SQL Server esteja definida como "Ativado" | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| 4 Serviços de banco de dados | 4.4 | Garantir que a "Segurança de Dados Avançada" em um SQL Server esteja definida como "Ativado" | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| 4 Serviços de banco de dados | 4.8 | Garantir que o administrador do Azure Active Directory esteja configurado | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| 4 Serviços de Banco de Dados | 4.9 | Garantir que a 'Criptografia de Dados' esteja definida como 'Ativado' em um Banco de Dados SQL | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – CIS Microsoft azure Foundations Benchmark 1.3.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 4 Serviços de banco de dados | 4.1.1 | Garantir que "Auditoria" esteja definida como "Ativado" | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| 4 Serviços de Banco de Dados | 4.1.2 | Garantir que a 'Criptografia de Dados' esteja definida como 'Ativado' em um Banco de Dados SQL | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| 4 Serviços de Banco de Dados | 4.1.3 | Garantir que a retenção de "Auditoria" seja "maior que 90 dias" | Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais | 3.0.0 |
| 4 Serviços de banco de dados | 4.2.1 | Verifique se a ATP (Proteção Avançada contra Ameaças) em um SQL Server está definida como 'Habilitada' | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| 4 Serviços de banco de dados | 4.2.1 | Verifique se a ATP (Proteção Avançada contra Ameaças) em um SQL Server está definida como 'Habilitada' | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| 4 Serviços de banco de dados | 4.2.2 | Verifique se a VA (Avaliação de Vulnerabilidade) está habilitada em um SQL Server definindo uma Conta de Armazenamento | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| 4 Serviços de banco de dados | 4.2.2 | Verifique se a VA (Avaliação de Vulnerabilidade) está habilitada em um SQL Server definindo uma Conta de Armazenamento | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| 4 Serviços de banco de dados | 4.4 | Garantir que o administrador do Azure Active Directory esteja configurado | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| 4 Serviços de Banco de Dados | 4.5 | Verifique se o protetor de TDE do SQL Server está criptografado com a Chave Gerenciada pelo Cliente | As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.0 |
| 4 Serviços de Banco de Dados | 4.5 | Verifique se o protetor de TDE do SQL Server está criptografado com a Chave Gerenciada pelo Cliente | Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.1 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Para analisar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Detalhes de conformidade regulatória do azure Policy para CIS v1.4.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 4 Serviços de banco de dados | 4.1.1 | Garantir que "Auditoria" esteja definida como "Ativado" | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| 4 Serviços de Banco de Dados | 4.1.2 | Garantir que a 'Criptografia de Dados' esteja definida como 'Ativado' em um Banco de Dados SQL | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| 4 Serviços de Banco de Dados | 4.1.3 | Garantir que a retenção de "Auditoria" seja "maior que 90 dias" | Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais | 3.0.0 |
| 4 Serviços de banco de dados | 4.2.1 | Verifique se a ATP (Proteção Avançada contra Ameaças) em um SQL Server está definida como 'Habilitada' | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| 4 Serviços de banco de dados | 4.2.1 | Verifique se a ATP (Proteção Avançada contra Ameaças) em um SQL Server está definida como 'Habilitada' | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| 4 Serviços de banco de dados | 4.2.2 | Verifique se a VA (Avaliação de Vulnerabilidade) está habilitada em um SQL Server definindo uma Conta de Armazenamento | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| 4 Serviços de banco de dados | 4.2.2 | Verifique se a VA (Avaliação de Vulnerabilidade) está habilitada em um SQL Server definindo uma Conta de Armazenamento | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| 4 Serviços de banco de dados | 4.5 | Garantir que o administrador do Azure Active Directory esteja configurado | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| 4 Serviços de Banco de Dados | 4.6 | Verifique se o protetor de TDE do SQL Server está criptografado com a Chave Gerenciada pelo Cliente | As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.0 |
| 4 Serviços de Banco de Dados | 4.6 | Verifique se o protetor de TDE do SQL Server está criptografado com a Chave Gerenciada pelo Cliente | Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.1 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Para examinar como as iniciativas internas do Azure Policy disponíveis para todos os serviços do Azure são mapeadas para esse padrão de conformidade, consulte Detalhes de Conformidade Regulatória do Azure Policy para o CIS v2.0.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 4.1 | 4.1.1 | Garantir que "Auditoria" esteja definida como "Ativado" | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| 4.1 | 4.1.2 | Certifique-se que nenhum Banco de Dados do SQL do Azure permita a entrada 0.0.0.0/0 (ANY IP) | O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | 1.1.0 |
| 4.1 | 4.1.3 | Certifique-se que o protetor Transparent Data Encryption (TDE) do SQL Server esteja criptografado com a chave gerenciada pelo cliente | As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.0 |
| 4.1 | 4.1.3 | Certifique-se que o protetor Transparent Data Encryption (TDE) do SQL Server esteja criptografado com a chave gerenciada pelo cliente | Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.1 |
| 4.1 | 4.1.4 | Certifique-se que o administrador do Azure Active Directory esteja configurado para SQL Servers | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| 4.1 | 4.1.5 | Garantir que a 'Criptografia de Dados' esteja definida como 'Ativado' em um Banco de Dados SQL | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| 4.1 | 4.1.6 | Garantir que a retenção de "Auditoria" seja "maior que 90 dias" | Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais | 3.0.0 |
| 4.2 | 4.2.1 | Certifique-se que o Microsoft Defender para servidores SQL esteja definido como 'Ativado' para servidores SQL críticos | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| 4.2 | 4.2.1 | Certifique-se que o Microsoft Defender para servidores SQL esteja definido como 'Ativado' para servidores SQL críticos | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| 4.2 | 4.2.2 | Verifique se a VA (Avaliação de Vulnerabilidade) está habilitada em um SQL Server definindo uma Conta de Armazenamento | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| 4.2 | 4.2.2 | Verifique se a VA (Avaliação de Vulnerabilidade) está habilitada em um SQL Server definindo uma Conta de Armazenamento | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| 4.2 | 4.2.3 | Certifique-se de que a configuração de Avaliação de Vulnerabilidade (VA) 'Verificações recorrentes periódicas' esteja definida como 'ativada' para cada SQL Server | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| 4.2 | 4.2.4 | Certifique-se que a configuração de Avaliação de Vulnerabilidade (VA) 'Enviar relatórios de verificação para' esteja configurada para um SQL Server | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| 4.2 | 4.2.5 | Certifique-se que a configuração de Avaliação de Vulnerabilidade 'Também enviar notificações por email para administradores e proprietários de assinatura' esteja definida para SQL Server | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| 4.2 | 4.2.5 | Certifique-se que a configuração de Avaliação de Vulnerabilidade 'Também enviar notificações por email para administradores e proprietários de assinatura' esteja definida para SQL Server | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
CMMC nível 3
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – CMMC nível 3. Para saber mais sobre esse padrão de conformidade, confira Cybersecurity Maturity Model Certification (CMMC).
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controle de acesso | AC.1.001 | Limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). | O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | 1.1.0 |
| Controle de acesso | AC.1.002 | Limitar o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar. | O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | 1.1.0 |
| Controle de acesso | AC.2.016 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | 1.1.0 |
| Auditoria e Contabilidade | AU.2.041 | Verificar se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| Auditoria e Contabilidade | AU.2.041 | Verificar se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Auditoria e Contabilidade | AU.2.041 | Verificar se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Auditoria e Contabilidade | AU.2.042 | Crie e retenha registros e logs de auditoria do sistema na extensão necessária para habilitar o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| Auditoria e Contabilidade | AU.2.042 | Crie e retenha registros e logs de auditoria do sistema na extensão necessária para habilitar o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Auditoria e Contabilidade | AU.2.042 | Crie e retenha registros e logs de auditoria do sistema na extensão necessária para habilitar o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Auditoria e Contabilidade | AU.3.046 | Alerta no caso de uma falha de processo de log de auditoria. | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| Auditoria e Contabilidade | AU.3.046 | Alerta no caso de uma falha de processo de log de auditoria. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Auditoria e Contabilidade | AU.3.046 | Alerta no caso de uma falha de processo de log de auditoria. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Avaliação de segurança | CA.2.158 | Avaliar periodicamente os controles de segurança em sistemas organizacionais para determinar se os controles estão em vigor em seus aplicativos. | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| Avaliação de segurança | CA.2.158 | Avaliar periodicamente os controles de segurança em sistemas organizacionais para determinar se os controles estão em vigor em seus aplicativos. | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| Avaliação de segurança | CA.2.158 | Avaliar periodicamente os controles de segurança em sistemas organizacionais para determinar se os controles estão em vigor em seus aplicativos. | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| Avaliação de segurança | CA.3.161 | Monitorar controles de segurança continuamente para garantir sua eficácia contínua. | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| Avaliação de segurança | CA.3.161 | Monitorar controles de segurança continuamente para garantir sua eficácia contínua. | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| Avaliação de segurança | CA.3.161 | Monitorar controles de segurança continuamente para garantir sua eficácia contínua. | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| Gerenciamento de configuração | CM.2.064 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Gerenciamento de configuração | CM.2.064 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Gerenciamento de configuração | CM.3.068 | Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | 1.1.0 |
| Recuperação | RE.2.137 | Executar e testar back-ups de dados regularmente. | O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | 2.0.0 |
| Recuperação | RE.3.139 | Executar regularmente backups de dados completos, abrangentes e resilientes conforme definido pela organização. | O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | 2.0.0 |
| Avaliação de risco | RM.2.141 | Avaliar periodicamente o risco para operações organizacionais (incluindo missão, funções, imagem ou reputação), ativos organizacionais e indivíduos resultantes da operação de sistemas organizacionais e do processamento, do armazenamento ou da transmissão de CUI associada. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Avaliação de risco | RM.2.141 | Avaliar periodicamente o risco para operações organizacionais (incluindo missão, funções, imagem ou reputação), ativos organizacionais e indivíduos resultantes da operação de sistemas organizacionais e do processamento, do armazenamento ou da transmissão de CUI associada. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Avaliação de risco | RM.2.141 | Avaliar periodicamente o risco para operações organizacionais (incluindo missão, funções, imagem ou reputação), ativos organizacionais e indivíduos resultantes da operação de sistemas organizacionais e do processamento, do armazenamento ou da transmissão de CUI associada. | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| Avaliação de risco | RM.2.141 | Avaliar periodicamente o risco para operações organizacionais (incluindo missão, funções, imagem ou reputação), ativos organizacionais e indivíduos resultantes da operação de sistemas organizacionais e do processamento, do armazenamento ou da transmissão de CUI associada. | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| Avaliação de risco | RM.2.142 | Verifique se há vulnerabilidades em sistemas organizacionais e aplicativos periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicativos são identificadas. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Avaliação de risco | RM.2.142 | Verifique se há vulnerabilidades em sistemas organizacionais e aplicativos periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicativos são identificadas. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Avaliação de risco | RM.2.142 | Verifique se há vulnerabilidades em sistemas organizacionais e aplicativos periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicativos são identificadas. | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| Avaliação de risco | RM.2.142 | Verifique se há vulnerabilidades em sistemas organizacionais e aplicativos periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicativos são identificadas. | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| Avaliação de risco | RM.2.143 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Avaliação de risco | RM.2.143 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Avaliação de risco | RM.2.143 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Avaliação de risco | RM.2.143 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| Avaliação de risco | RM.2.143 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.1.175 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | 1.1.0 |
| Proteção do Sistema e das Comunicações | SC.3.177 | Empregar criptografia validada por FIPS quando usada para proteger a confidencialidade da CUI. | As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.0 |
| Proteção do Sistema e das Comunicações | SC.3.177 | Empregar criptografia validada por FIPS quando usada para proteger a confidencialidade da CUI. | Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.1 |
| Proteção do Sistema e das Comunicações | SC.3.177 | Empregar criptografia validada por FIPS quando usada para proteger a confidencialidade da CUI. | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| Proteção do Sistema e das Comunicações | SC.3.181 | Separar a funcionalidade do usuário da funcionalidade de gerenciamento do sistema. | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| Proteção do Sistema e das Comunicações | SC.3.183 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | 1.1.0 |
| Proteção do Sistema e das Comunicações | SC.3.191 | Proteja a confidencialidade do CUI em repouso. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Proteção do Sistema e das Comunicações | SC.3.191 | Proteja a confidencialidade do CUI em repouso. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Proteção do Sistema e das Comunicações | SC.3.191 | Proteja a confidencialidade do CUI em repouso. | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| Integridade do Sistema e das Informações | SI.1.210 | Identificar, relatar e corrigir falhas em informações e sistemas de informações oportunamente. | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Integridade do Sistema e das Informações | SI.2.216 | Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Integridade do Sistema e das Informações | SI.2.216 | Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Integridade do Sistema e das Informações | SI.2.217 | Identificar o uso não autorizado de sistemas organizacionais. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Integridade do Sistema e das Informações | SI.2.217 | Identificar o uso não autorizado de sistemas organizacionais. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
FedRAMP Alto
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – FedRaMP High. Para obter mais informações sobre esse padrão de conformidade, confira FedRAMP High.
FedRAMP Moderado
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – FedRaMP Moderate. Para obter mais informações sobre esse padrão de conformidade, confira FedRAMP Moderate.
HIPAA HITRUST 9.2
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade Regulatória do azure Policy – HIPaa HITRUST 9.2. Para obter mais informações sobre esse padrão de conformidade, confira HIPAA HITRUST 9.2.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 03 Segurança de mídia portátil | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 Processamento de Mídia | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| 03 Segurança de mídia portátil | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.o 09.07 Processamento de Mídia | As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.0 |
| 03 Segurança de mídia portátil | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.o 09.07 Processamento de Mídia | Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.1 |
| 07 Gerenciamento de Vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gerenciamento de Vulnerabilidade Técnica | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| 07 Gerenciamento de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gerenciamento de Vulnerabilidade Técnica | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| 07 Gerenciamento de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gerenciamento de Vulnerabilidade Técnica | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| 07 Gerenciamento de vulnerabilidades | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 Gerenciamento de Vulnerabilidades Técnicas | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| 07 Gerenciamento de vulnerabilidades | 0716.10m3Organizational.1-10.m | 0716.10m3Organizational.1-10.m 10.06 Gerenciamento de Vulnerabilidades Técnicas | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| 07 Gerenciamento de vulnerabilidades | 0719.10m3Organizational.5-10.m | 0719.10m3Organizational.5-10.m 10.06 Gerenciamento de Vulnerabilidades Técnicas | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| 08 Proteção de Rede | 0805.01m1Organizational.12-01.m | 0805.01m1Organizacional.12-01.m 01.04 Controle de Acesso à Rede | O SQL Server deve usar um ponto de extremidade de serviço de rede virtual | 1.0.0 |
| 08 Proteção de Rede | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizacional.12356-01.m 01.04 Controle de Acesso à Rede | O SQL Server deve usar um ponto de extremidade de serviço de rede virtual | 1.0.0 |
| 08 Proteção de Rede | 0862.09m2Organizational.8-09.m | 0862.09m2Organizational.8-09.m 09.06 Gerenciamento de Segurança de Rede | O SQL Server deve usar um ponto de extremidade de serviço de rede virtual | 1.0.0 |
| 08 Proteção de Rede | 0894.01m2Organizational.7-01.m | 0894.01m2Organizacional.7-01.m 01.04 Controle de Acesso à Rede | O SQL Server deve usar um ponto de extremidade de serviço de rede virtual | 1.0.0 |
| 12 Log de Auditoria e Monitoramento | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 Monitoramento | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| 16 Continuidade dos Negócios e Recuperação de Desastres | 1616.09l1Organizational.16-09.l | 1616.09l1Organizational.16-09.l 09.05 Backup de Informações | O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | 2.0.0 |
| 16 Continuidade dos Negócios e Recuperação de Desastres | 1621.09l2Organizational.1-09.l | 1621.09l2Organizational.1-09.l 09.05 Backup de Informações | O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | 2.0.0 |
IRS 1075 de setembro de 2016
Para examinar como as políticas internas disponíveis do azure Policy em todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – IRS 1075 de setembro de 2016. Para obter mais informações sobre esse padrão de conformidade, confira IRS 1075 de setembro de 2016.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controle de acesso | 9.3.1.2 | Gerenciamento de Conta (AC-2) | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| Avaliação de risco | 9.3.14.3 | Verificação de Vulnerabilidade (RA-5) | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Avaliação de risco | 9.3.14.3 | Verificação de Vulnerabilidade (RA-5) | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Avaliação de risco | 9.3.14.3 | Verificação de Vulnerabilidade (RA-5) | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Proteção do Sistema e das Comunicações | 9.3.16.15 | Proteção de Informações em Repouso (SC-28) | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Proteção do Sistema e das Comunicações | 9.3.16.15 | Proteção de Informações em Repouso (SC-28) | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Proteção do Sistema e das Comunicações | 9.3.16.15 | Proteção de Informações em Repouso (SC-28) | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| Integridade do Sistema e das Informações | 9.3.17.2 | Correção de Falhas (SI-2) | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Integridade do Sistema e das Informações | 9.3.17.4 | Monitoramento do Sistema de Informações (SI-4) | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Integridade do Sistema e das Informações | 9.3.17.4 | Monitoramento do Sistema de Informações (SI-4) | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Reconhecimento e Treinamento | 9.3.3.11 | Geração de Auditoria (AU-12) | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| Reconhecimento e Treinamento | 9.3.3.11 | Geração de Auditoria (AU-12) | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Reconhecimento e Treinamento | 9.3.3.11 | Geração de Auditoria (AU-12) | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Reconhecimento e Treinamento | 9.3.3.5 | Resposta a Falhas de Processamento de Auditoria (AU-5) | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| Reconhecimento e Treinamento | 9.3.3.5 | Resposta a Falhas de Processamento de Auditoria (AU-5) | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Reconhecimento e Treinamento | 9.3.3.5 | Resposta a Falhas de Processamento de Auditoria (AU-5) | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
ISO 27001:2013
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – ISO 27001:2013. Para obter mais informações sobre esse padrão de conformidade, confira ISO 27001:2013.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Criptografia | 10.1.1 | Política sobre o uso de controles de criptografia | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| Segurança de operações | 12.4.1 | Log de eventos | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| Segurança de operações | 12.4.3 | Logs de administrador e operador | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| Segurança de operações | 12.4.4 | Sincronização de relógio | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| Segurança de operações | 12.6.1 | Gerenciamento de vulnerabilidades técnicas | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Gerenciamento de Ativos | 8.2.1 | Classificação de informações | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Controle de acesso | 9.2.3 | Gerenciamento de direitos de acesso privilegiado | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
Políticas confidenciais de linha de base do Microsoft Cloud for Sovereignty
Para examinar como os recursos internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes de Conformidade Regulatória do Azure Policy para Políticas Confidenciais de Linha de Base do Microsoft Cloud for Sovereignty. Para obter mais informações sobre esse padrão de conformidade, confira Portfólio de políticas do Microsoft Cloud for Sovereignty.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| SO.3 - Chaves Gerenciadas pelo Cliente | SO.3 | Os produtos Azure devem ser configurados para usar chaves gerenciadas pelo cliente sempre que possível. | As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.0 |
| SO.3 - Chaves Gerenciadas pelo Cliente | SO.3 | Os produtos Azure devem ser configurados para usar chaves gerenciadas pelo cliente sempre que possível. | Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.1 |
Referência de segurança de nuvem da Microsoft
O parâmetro de comparação de segurança da nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. Para ver como esse serviço é completamente mapeado para o parâmetro de comparação de segurança da nuvem da Microsoft, confira os Arquivos de mapeamento do Azure Security Benchmark.
Para analisar como os itens internos do azure Policy disponíveis para todos os serviços do azure são mapeados para esse padrão de conformidade, confira Conformidade Regulatória do azure Policy: parâmetro de comparação de segurança da nuvem da Microsoft.
NIST SP 800-171 R2
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – NIST SP 800-171 R2. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-171 R2.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controle de acesso | 3.1.1 | Limite o acesso do sistema a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas). | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| Controle de acesso | 3.1.1 | Limite o acesso do sistema a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas). | As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | 1.1.0 |
| Controle de acesso | 3.1.12 | Monitore e controle sessões de acesso remoto. | As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | 1.1.0 |
| Controle de acesso | 3.1.13 | Empregar mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. | As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | 1.1.0 |
| Controle de acesso | 3.1.14 | Rotear o acesso remoto por meio de pontos de controle de acesso gerenciados. | As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | 1.1.0 |
| Controle de acesso | 3.1.2 | Limitar o acesso do sistema aos tipos de transações e funções que os usuários autorizados têm permissão para executar. | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| Controle de acesso | 3.1.3 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | 1.1.0 |
| Controle de acesso | 3.1.3 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | 1.1.0 |
| Avaliação de risco | 3.11.2 | Verifique se há vulnerabilidades em sistemas organizacionais e aplicativos periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicativos são identificadas. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Avaliação de risco | 3.11.2 | Verifique se há vulnerabilidades em sistemas organizacionais e aplicativos periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicativos são identificadas. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Avaliação de risco | 3.11.2 | Verifique se há vulnerabilidades em sistemas organizacionais e aplicativos periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicativos são identificadas. | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Avaliação de risco | 3.11.2 | Verifique se há vulnerabilidades em sistemas organizacionais e aplicativos periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicativos são identificadas. | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| Avaliação de risco | 3.11.2 | Verifique se há vulnerabilidades em sistemas organizacionais e aplicativos periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicativos são identificadas. | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| Avaliação de risco | 3.11.3 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Avaliação de risco | 3.11.3 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Avaliação de risco | 3.11.3 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Avaliação de risco | 3.11.3 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| Avaliação de risco | 3.11.3 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.1 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | 1.1.0 |
| Proteção do Sistema e das Comunicações | 3.13.1 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | 1.1.0 |
| Proteção do Sistema e das Comunicações | 3.13.10 | Estabelecer e gerenciar chaves de criptografia para criptografia empregada em sistemas organizacionais. | As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.10 | Estabelecer e gerenciar chaves de criptografia para criptografia empregada em sistemas organizacionais. | Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.1 |
| Proteção do Sistema e das Comunicações | 3.13.16 | Proteja a confidencialidade do CUI em repouso. | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.2 | Empregar designs de arquitetura, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovem a segurança de informações efetiva em sistemas organizacionais. | As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | 1.1.0 |
| Proteção do Sistema e das Comunicações | 3.13.2 | Empregar designs de arquitetura, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovem a segurança de informações efetiva em sistemas organizacionais. | O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | 1.1.0 |
| Proteção do Sistema e das Comunicações | 3.13.5 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | 1.1.0 |
| Proteção do Sistema e das Comunicações | 3.13.5 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | 1.1.0 |
| Proteção do Sistema e das Comunicações | 3.13.6 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | 1.1.0 |
| Integridade do Sistema e das Informações | 3.14.1 | Identifique, relate e corrija falhas do sistema oportunamente. | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Integridade do Sistema e das Informações | 3.14.6 | Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Integridade do Sistema e das Informações | 3.14.6 | Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Integridade do Sistema e das Informações | 3.14.7 | Identificar o uso não autorizado de sistemas organizacionais. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Integridade do Sistema e das Informações | 3.14.7 | Identificar o uso não autorizado de sistemas organizacionais. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Auditoria e Contabilidade | 3.3.1 | Criar e reter registros e logs de auditoria do sistema, conforme necessário, para habilitar o monitoramento, a análise, a investigação e os relatórios de atividades ilegais ou não autorizadas do sistema | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| Auditoria e Contabilidade | 3.3.1 | Criar e reter registros e logs de auditoria do sistema, conforme necessário, para habilitar o monitoramento, a análise, a investigação e os relatórios de atividades ilegais ou não autorizadas do sistema | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Auditoria e Contabilidade | 3.3.1 | Criar e reter registros e logs de auditoria do sistema, conforme necessário, para habilitar o monitoramento, a análise, a investigação e os relatórios de atividades ilegais ou não autorizadas do sistema | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Auditoria e Contabilidade | 3.3.1 | Criar e reter registros e logs de auditoria do sistema, conforme necessário, para habilitar o monitoramento, a análise, a investigação e os relatórios de atividades ilegais ou não autorizadas do sistema | Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais | 3.0.0 |
| Auditoria e Contabilidade | 3.3.2 | Verifique se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| Auditoria e Contabilidade | 3.3.2 | Verifique se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Auditoria e Contabilidade | 3.3.2 | Verifique se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Auditoria e Contabilidade | 3.3.2 | Verifique se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais | 3.0.0 |
| Auditoria e Contabilidade | 3.3.4 | Alerta no caso de uma falha de processo de log de auditoria. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Auditoria e Contabilidade | 3.3.4 | Alerta no caso de uma falha de processo de log de auditoria. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Auditoria e Contabilidade | 3.3.5 | Correlacionar processos de revisão, análise e relatório de registros de auditoria para investigação e resposta a indicações de atividade ilegal, não autorizada, suspeita ou incomum. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| Auditoria e Contabilidade | 3.3.5 | Correlacionar processos de revisão, análise e relatório de registros de auditoria para investigação e resposta a indicações de atividade ilegal, não autorizada, suspeita ou incomum. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| Identificação e Autenticação | 3.5.1 | Identifique usuários do sistema, processos que atuam em nome de usuários e dispositivos. | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas organizacionais. | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| Identificação e Autenticação | 3.5.5 | Impeça a reutilização de identificadores por um período definido. | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| Identificação e Autenticação | 3.5.6 | Desabilitar os identificadores após um período de inatividade definido. | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
NIST SP 800-53 Rev. 4
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – NIST SP 800-53 Rev. 4. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – NIST SP 800-53 Rev. 5. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-53 Rev. 5.
Tema de nuvem do NL BIO
Para analisar como os componentes do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes da Conformidade Regulatória do Azure Policy com o NL BIO Cloud Theme. Para obter mais informações sobre esse padrão de conformidade, confira Segurança Cibernética do Governo de Segurança da Informação de Linha de Base – Governo Digital (digitaleoverheid.nl).
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| C.04.3 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.3 | Se a probabilidade de abuso e os danos esperados forem altos, os patches serão instalados em até uma semana. | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| C.04.6 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.6 | As vulnerabilidades técnicas podem ser corrigidas com a realização de um gerenciamento de patch em tempo hábil. | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| C.04.8 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.8 | Os relatórios de avaliação contêm sugestões de melhoria e são comunicados com gerentes/proprietários. | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| U.05.1 Proteção de dados – Medidas de criptografia | U.05.1 | O transporte de dados é protegido com criptografia em que o gerenciamento de chaves é realizado pelo próprio CSC, se possível. | O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente | 2.0.0 |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. | As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.0 |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. | Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.1 |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| U.07.1 Separação de dados – Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de maneira controlada. | As Instâncias Gerenciadas de SQL do Azure devem desabilitar o acesso à rede pública | 1.0.0 |
| U.07.1 Separação de dados – Isolada | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de maneira controlada. | As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | 1.1.0 |
| U.07.1 Separação de dados – Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de maneira controlada. | O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | 1.1.0 |
| U.07.3 Separação de dados – Recursos de gerenciamento | U.07.3 | U.07.3 – Os privilégios para exibir ou modificar dados de CSC e/ou chaves de criptografia são concedidos de maneira controlada, e o uso é registrado. | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| U.07.3 Separação de dados – Recursos de gerenciamento | U.07.3 | U.07.3 – Os privilégios para exibir ou modificar dados de CSC e/ou chaves de criptografia são concedidos de maneira controlada, e o uso é registrado. | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| U.09.3 Proteção contra malware – Detecção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em ambientes diferentes. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| U.09.3 Proteção contra malware – Detecção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em ambientes diferentes. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| U.09.3 Proteção contra malware – Detecção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em ambientes diferentes. | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| U.09.3 Proteção contra malware – Detecção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em ambientes diferentes. | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| U.10.2 Acesso a serviços e dados de TI – Usuários | U.10.2 | Sob a responsabilidade do CSP, o acesso é permitido aos administradores. | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| U.10.3 Acesso a serviços e dados de TI – Usuários | U.10.3 | Somente os usuários com equipamentos autenticados podem acessar dados e serviços de TI. | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| U.10.3 Acesso a serviços e dados de TI – Usuários | U.10.3 | Somente os usuários com equipamentos autenticados podem acessar dados e serviços de TI. | Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais | 3.0.0 |
| U.10.5 Acesso a serviços e dados de TI – Pessoa competente | U.10.5 | O acesso a serviços e dados de TI é limitado por medidas técnicas e foi implementado. | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| U.11.1 Serviços de criptografia – Política | U.11.1 | Na política de criptografia, no mínimo, as entidades de acordo com a BIO foram elaboradas. | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| U.11.2 Serviços de criptografia – Medidas de criptografia | U.11.2 | No caso de certificados PKIoverheid, use requisitos PKIoverheid para gerenciamento de chaves. Em outras situações, use ISO11770. | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.0 |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.1 |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| U.15.1 Log e monitoramento – Eventos registrados em log | U.15.1 | A violação das regras de política é registrada pelo CSP e pelo CSC. | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| U.15.1 Log e monitoramento – Eventos registrados em log | U.15.1 | A violação das regras de política é registrada pelo CSP e pelo CSC. | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 |
| U.15.1 Log e monitoramento – Eventos registrados em log | U.15.1 | A violação das regras de política é registrada pelo CSP e pelo CSC. | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 |
| U.15.3 Log e monitoramento – Eventos registrados em log | U.15.3 | O CSP mantém uma lista de todos os ativos críticos em termos de registro em log e monitoramento e examina essa lista. | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
PCI DSS 3.2.1
Para examinar como as iniciativas internas disponíveis do azure Policy para todos os serviços do azure são mapeadas para esse padrão de conformidade, confira PCI DSS 3.2.1. Para obter mais informações sobre esse padrão de conformidade, confira PCI DSS 3.2.1.
PCI DSS v4.0
Para analisar como os itens internos do azure Policy disponíveis para todos os serviços do azure são mapeados para esse padrão de conformidade, confira Detalhes de Conformidade Regulatória do azure Policy para PCI DSS v4.0. Para obter mais informações sobre esse padrão de conformidade, confira PCI DSS v4.0.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Requisito 10: Registrar em log e monitorar todo o acesso aos componentes do sistema e aos dados do titular do cartão | 10.2.2 | Os logs de auditoria são implementados para dar suporte à detecção de anomalias e atividades suspeitas e à análise forense de eventos | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| Requisito 10: Registrar em log e monitorar todo o acesso aos componentes do sistema e aos dados do titular do cartão | 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| Requisito 11: Testar a segurança de sistemas e redes regularmente | 11.3.1 | As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e resolvidas | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Requisito 3: Proteger os dados armazenados da conta | 3.3.3 | Os SADs (dados de autenticação confidenciais) não são armazenados após a autorização | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| Requisito 3: Proteger os dados armazenados da conta | 3.5.1 | O PAN (número da conta principal) é protegido onde quer que seja armazenado | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados | 5.2.1 | Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados | 5.2.2 | Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados | 5.2.3 | Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Requisito 6: Desenvolver e manter sistemas e programas de software seguros | 6.2.4 | Os programas de software sob medida e personalizados são desenvolvidos com segurança | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| Requisito 6: Desenvolver e manter sistemas e programas de software seguros | 6.3.3 | As vulnerabilidades de segurança são identificadas e resolvidas | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Requisito 6: Desenvolver e manter sistemas e programas de software seguros | 6.4.1 | Os aplicativos Web voltados ao público são protegidos contra ataques | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Requisito 7: Restringir o acesso aos componentes do sistema e aos dados do titular do cartão à divulgação restrita àqueles diretamente interessados na empresa | 7.3.1 | O acesso a componentes e dados do sistema é gerenciado por meio de sistemas de controle de acesso | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| Requisito 8: Identificar os usuários e autenticar o acesso aos componentes do sistema | 8.4.1 | A MFA (autenticação multifator) é implementada para proteger o acesso ao CDE | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
Reserve Bank of India – Estrutura de TI para NBFC
Para examinar como as iniciativas internas disponíveis no azure Policy para todos os serviços do azure são mapeadas para esse padrão de conformidade, veja Conformidade Regulatória do azure Policy – Banco de Reserva da Índia – Framework de TI para NBFC. Para obter mais informações sobre esse padrão de conformidade, veja Banco de Reserva da Índia – Framework de TI para NBFC.
Banco de Reserva da Índia – Framework de TI para Bancos v2016
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – RBI ITF de Bancos v2016. Para obter mais informações sobre esse padrão de conformidade, consulte RBI ITF de Bancos v2016 (PDF).
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controle de acesso/Gerenciamento do usuário | Controle de acesso/Gerenciamento do usuário – 8.2 | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 | |
| Gerenciamento de rede e segurança | Centro de Operações de Segurança-4.9 | O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | 2.0.1 | |
| Gerenciamento de rede e segurança | Centro de Operações de Segurança-4.9 | O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | 1.0.2 | |
| Patch/vulnerabilidade e Gerenciamento de alterações | Patch/vulnerabilidade e Gerenciamento de alterações — 7.7 | As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | 1.1.0 | |
| Patch/vulnerabilidade e Gerenciamento de alterações | Patch/vulnerabilidade e Gerenciamento de alterações — 7.7 | O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | 1.1.0 | |
| Impedir a execução de software não autorizado | Gerenciamento de Atualizações de Segurança – 2.3 | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 | |
| Métricas | Métricas – 21.1 | As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.0 | |
| Métricas | Métricas – 21.1 | Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | 2.0.1 | |
| Gerenciamento e defesa contra ameaças em tempo de execução avançado | Gerenciamento e defesa contra ameaças em tempo real avançado – 13.4 | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 | |
| Patch/vulnerabilidade e Gerenciamento de alterações | Patch/vulnerabilidade e Gerenciamento de alterações — 7.1 | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 | |
| Patch/vulnerabilidade e Gerenciamento de alterações | Patch/vulnerabilidade e Gerenciamento de alterações — 7.1 | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
RMIT Malásia
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – IRMIT Malásia. Para saber mais sobre esse padrão de conformidade, confira RMIT Malásia.
SWIFT CSP-CSCF v2021
Para ler como os itens integrados do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes de Conformidade Regulatória do Azure Policy para SWIFT CSP-CSCF v2021. Para obter mais informações sobre esse padrão de conformidade, confira SWIFT CSP CSCF v2021.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Proteção de Ambiente SWIFT | 1,1 | Proteção de Ambiente SWIFT | As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | 1.1.0 |
| Proteção de Ambiente SWIFT | 1,1 | Proteção de Ambiente SWIFT | O SQL Server deve usar um ponto de extremidade de serviço de rede virtual | 1.0.0 |
| Proteção de Ambiente SWIFT | 1,2 | Controle de conta com privilégios do sistema operacional | Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | 1.0.0 |
| Reduzir a superfície de ataque e as vulnerabilidades | 2.1 | Segurança interna do fluxo de dados | O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente | 2.0.0 |
| Reduzir a superfície de ataque e as vulnerabilidades | 2.1 | Segurança interna do fluxo de dados | A Instância Gerenciada de SQL deve ter a versão mínima 1.2 do TLS | 1.0.1 |
| Reduzir a superfície de ataque e as vulnerabilidades | 2.5A | Proteção de dados de transmissão externa | O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | 2.0.0 |
| Reduzir a superfície de ataque e as vulnerabilidades | 2.5A | Proteção de dados de transmissão externa | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| Reduzir a superfície de ataque e as vulnerabilidades | 2.6 | Confidencialidade e integridade da sessão de operador | O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente | 2.0.0 |
| Reduzir a superfície de ataque e as vulnerabilidades | 2.6 | Confidencialidade e integridade da sessão de operador | A Instância Gerenciada de SQL deve ter a versão mínima 1.2 do TLS | 1.0.1 |
| Reduzir a superfície de ataque e as vulnerabilidades | 2.7 | Verificação de vulnerabilidade | Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | 4.1.0 |
| Reduzir a superfície de ataque e as vulnerabilidades | 2.7 | Verificação de vulnerabilidade | A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | 1.0.1 |
| Reduzir a superfície de ataque e as vulnerabilidades | 2.7 | Verificação de vulnerabilidade | A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | 3.0.0 |
| Detectar atividade anômala em sistemas ou registros de transações | 6.3 | Integridade do banco de dados | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
| Detectar atividade anômala em sistemas ou registros de transações | 6.3 | Integridade do banco de dados | O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | 1.1.0 |
| Detectar atividade anômala em sistemas ou registros de transações | 6.3 | Integridade do banco de dados | Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais | 3.0.0 |
| Detectar atividade anômala em sistemas ou registros de transações | 6.3 | Integridade do banco de dados | A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | 2.0.0 |
| Detectar atividade anômala em sistemas ou registros de transações | 6.4 | Registro em log e monitoramento | A auditoria no SQL Server deve ser habilitada | 2.0.0 |
NHS do Reino Unido e OFICIAL do Reino Unido
Para examinar como as políticas internas do azure Policy disponíveis em todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – UK OFFICIaL e UK NHS. Para saber mais sobre esse padrão de conformidade, confira UK OFFICIAL.
Próximas etapas
- Saiba mais sobre a Conformidade Regulatória do Azure Policy.
- Confira os internos no repositório Azure Policy GitHub.