Padrões de conformidade regulatória no Microsoft Defender para Nuvem
O Microsoft Defender para Nuvem simplifica o processo de conformidade regulatória, ajudando na identificação de problemas que estão impedindo você de cumprir um padrão de conformidade específico ou de alcançar a certificação de conformidade.
Padrões do setor, padrões regulatórios e parâmetros de comparação são representados no Defender para Nuvem como padrões de segurança e são exibidos no painel Conformidade regulatória.
Controles de conformidade
Cada padrão de segurança consiste em vários controles de conformidade, que representam grupos lógicos de recomendações de segurança relacionadas.
O Defender para Nuvem avalia continuamente o ambiente no escopo em relação a todos os controles de conformidade que possam ser avaliados automaticamente. Com base nessas avaliações, ele indica se os recursos estão em conformidade ou não com os controles.
Observação
É importante observar que, se os padrões tiverem controles de conformidade que não podem ser avaliados automaticamente, o Defender para Nuvem não poderá decidir se um recurso está em conformidade com o controle. Nesse caso, o controle ficará esmaecido.
Exibição dos padrões de conformidade
O painel Conformidade regulatória fornece uma visão interativa do estado de conformidade.
Neste painel, você pode:
- Obter um resumo dos controles de padrões que foram aprovados.
- Obter o resumo dos padrões que têm a menor taxa de aprovação para os recursos.
- Revisar os padrões aplicados no escopo selecionado.
- Examinar as avaliações de controles de conformidade dentro de cada padrão aplicado.
- Obter um relatório de resumo para um padrão específico.
- Gerenciar políticas de conformidade para ver os padrões atribuídos a um escopo específico.
- Executar uma consulta para criar um relatório de conformidade personalizado
- Criar uma "pasta de trabalho de conformidade ao longo do tempo" para acompanhar o status de conformidade ao longo do tempo.
- Baixar relatórios de auditoria.
- Analisar as ofertas de conformidade para auditorias da Microsoft e de terceiros.
Detalhes dos padrões de conformidade
Para cada padrão de conformidade, é possível visualizar:
- Escopo para o padrão.
- Cada padrão dividido em grupos de controles e subcontroles.
- Um resumo da avaliação de conformidade para recursos dentro do escopo, para cada controle padrão, quando um padrão é aplicado a um escopo.
- O status das avaliações reflete a conformidade com o padrão. Existem três estados:
- Um círculo verde indica que os recursos no escopo estão em conformidade com o controle.
- Um círculo vermelho indica que os recursos não estão em conformidade com o controle.
- Os controles indisponíveis são aqueles que não podem ser avaliados automaticamente e, portanto, o Defender para Nuvem não pode determinar se os recursos estão em conformidade.
Você pode analisar detalhadamente os controles para obter informações sobre recursos que foram aprovados/falharam nas avaliações e visualizar as etapas de correção.
Padrões de conformidade padrão
Por padrão, quando você habilita o Defender para Nuvem, os seguintes padrões são habilitados:
- Para Azure: MCSB (Microsoft Cloud Security Benchmark).
- Para AWS: MCSB (Microsoft Cloud Security Benchmark) e padrão de Melhores Práticas de Segurança Básica da AWS.
- Para GCP: MCSB (Microsoft Cloud Security Benchmark) e Padrão do GCP.
Padrões de conformidade disponíveis
Os seguintes padrões estão disponíveis no Defender para Nuvem:
| Padrões para assinaturas do Azure | Padrões para contas da AWS | Padrões para projetos GCP |
|---|---|---|
| Proteção ISM do Governo Australiano | Melhores Práticas de Segurança Básica da AWS | Lei Geral de Proteção de Dados Pessoais (LGPD) |
| PBMM Federal do Canadá | Estrutura bem arquitetada da AWS | CCPA (Lei de Privacidade do Consumidor da Califórnia) |
| CIS Azure Foundations | Lei Geral de Proteção de Dados Pessoais (LGPD) | Controles CIS |
| CMMC | CCPA (Lei de Privacidade do Consumidor da Califórnia) | CIS GCP Foundations |
| FedRAMP "H" & "M" | CIS AWS Foundations | CIS Google Cloud Platform Foundation Benchmark |
| HIPAA/HITRUST | Perfil do CRI | CIS Google Kubernetes Engine (GKE) Benchmark |
| ISO/IEC 27001 | Matriz de controles de nuvem do CSA (CCM) | Perfil do CRI |
| ISM restrito da Nova Zelândia | GDPR | Matriz de controles de nuvem do CSA (CCM) |
| NIST SP 800-171 | ISO/IEC 27001 | CMMC (Certificação do Modelo de Maturidade da Segurança Cibernética) |
| SP 800-53 do NIST | ISO/IEC 27002 | Ferramenta de Avaliação de Segurança Cibernética (CAT) da FFIEC |
| PCI DSS | Estrutura de segurança cibernética do NIST (CSF) | GDPR |
| RMIT Malásia | NIST SP 800-172 | ISO/IEC 27001 |
| SOC 2 | PCI DSS | ISO/IEC 27002 |
| SWIFT CSP CSCF | ISO/IEC 27017 | |
| UK OFFICIAL e UK NHS | Estrutura de segurança cibernética do NIST (CSF) | |
| SP 800-53 do NIST | ||
| NIST SP 800-171 | ||
| NIST SP 800-172 | ||
| PCI DSS | ||
| Lei Sarbanes Oxley (SOX) | ||
| SOC 2 |