Impedir configurações incorretas com as recomendações de Impor/Negar

Configurações incorretas de segurança são uma das principais causas de incidentes de segurança. O Defender para Nuvem pode ajudar a evitar configurações incorretas de novos recursos com relação a recomendações específicas.

Esse recurso pode ajudar a manter suas cargas de trabalho seguras e estabilizar sua classificação de segurança.

A imposição de uma configuração segura, com base em uma recomendação específica, é oferecida em dois modos:

  • Usando o efeito Negar do Azure Policy, você pode interromper a criação de recursos não íntegros
  • Usando a opção Impor, é possível aproveitar o efeito DeployIfNotExist do Azure Policy e corrigir automaticamente os recursos fora de conformidade após a criação

Essa opção pode ser encontrada na parte superior da página de detalhes do recurso para as recomendações de segurança selecionadas (consulte Recomendações com as opções negar/impor).

Impedir a criação de recursos

  1. Abra a recomendação que os novos recursos devem atender e selecione Negar na parte superior da página.

    Página da recomendação com o botão Negar realçado.

    O painel de configuração é aberto, listando as opções do escopo.

  2. Defina o escopo selecionando a assinatura ou o grupo de gerenciamento relevante.

    Dica

    Você pode usar os três pontos no final da linha para alterar uma única assinatura ou usar as caixas de seleção para selecionar várias assinaturas ou grupos e selecionar Alterar para Negar.

    Definição de escopo para Negar no Azure Policy.

Impor uma configuração segura

  1. Abra a recomendação para a qual você implantará um modelo de implantação, caso os novos recursos não atendam essa recomendação, e selecione o botão Impor na parte superior da página.

    Página de recomendação com o botão Impor realçado.

    O painel de configuração é aberto com todas as opções de configuração de política.

    Opções de configuração para Impor.

  2. Defina o escopo, o nome da atribuição e outras opções relevantes.

  3. Selecione Examinar + criar.

Recomendações com as opções Negar/Impor

Essas recomendações podem ser usadas com a opção Negar:

  • [Habilitar se necessário] As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos
  • [Habilitar se necessário] Os workspaces do Azure Machine Learning devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
  • [Habilitar se necessário] As contas dos Serviços Cognitivos devem habilitar a criptografia de dados com uma CMK (chave gerenciada pelo cliente)
  • [Habilitar se necessário] Os registros de contêiner devem ser criptografados com uma CMK (chave gerenciada pelo cliente)
  • O acesso às contas de armazenamento com configurações de firewall e de rede virtual deve ser restrito
  • As variáveis da conta de automação devem ser criptografadas
  • O Cache do Azure para Redis deve residir em uma rede virtual
  • O Azure Spring Cloud deve usar injeção de rede
  • Deverão ser aplicados limites de memória e CPU ao contêiner
  • As imagens de contêiner deverão ser implantadas somente se forem de registros confiáveis
  • Os contêineres com elevação de privilégio deverão ser evitados
  • Os contêineres que compartilham namespaces de host confidenciais deverão ser evitados
  • Os contêineres só devem usar perfis AppArmor permitidos
  • Um sistema de arquivos raiz imutável (somente leitura) deverá ser aplicado aos contêineres
  • As chaves do Key Vault devem ter uma data de validade
  • Os segredos do Key Vault devem ter uma data de validade
  • Os cofres de chaves devem ter a proteção contra limpeza habilitada
  • Os cofres de chaves devem ter a exclusão temporária habilitada
  • Deverão ser aplicadas aos contêineres funcionalidades do Linux com privilégios mínimos
  • Os contêineres com privilégios deverão ser evitados
  • O Cache Redis deve permitir o acesso somente por SSL
  • Executar contêineres como usuário raiz deverá ser evitado
  • A transferência segura para contas de armazenamento deve ser habilitada
  • A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign
  • Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente
  • Os serviços deverão escutar somente em portas permitidas
  • O acesso público da conta de armazenamento não deve ser permitido
  • As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager
  • As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual
  • Usar redes e portas do host deverá ser restrito
  • O uso de montagens de volume do Pod HostPath deve ser restrito a uma lista conhecida para restringir o acesso ao nó de contêineres comprometidos
  • O período de validade dos certificados armazenados no Azure Key Vault não deve exceder 12 meses
  • As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager
  • O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo
  • O WAF (Firewall de Aplicativo Web) deve ser habilitado para o serviço do Azure Front Door Service

Essas recomendações podem ser usadas com a opção Impor:

  • A auditoria no SQL Server deve ser habilitada
  • Os clusters Kubernetes habilitados para o Azure Arc devem ter a extensão do Microsoft Defender para nuvem instalada
  • O Backup do Azure deve ser habilitado para máquinas virtuais
  • O Microsoft Defender para o Serviço de Aplicativo deve estar habilitado
  • O Microsoft Defender para registros de contêiner deve estar habilitado
  • O Microsoft Defender para DNS deve estar habilitado
  • O Microsoft Defender para Key Vault deve estar habilitado
  • O Microsoft Defender para Kubernetes deve estar habilitado
  • O Microsoft Defender para o Resource Manager deve estar habilitado
  • O Microsoft Defender para Servidores precisa estar habilitado
  • O Microsoft Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado
  • O Microsoft Defender para servidores SQL em computadores deve estar habilitado
  • O Microsoft Defender para SQL deve estar habilitado para servidores SQL do Azure desprotegidos
  • O Microsoft Defender para Armazenamento deve estar habilitado
  • Um complemento do Azure Policy para Kubernetes deverá estar instalado e habilitado nos clusters
  • Os logs de diagnóstico no Azure Stream Analytics devem ser habilitados
  • Os logs de diagnóstico em contas do Lote devem ser habilitados
  • Os logs de diagnóstico no Data Lake Analytics devem ser habilitados
  • Os logs de diagnóstico no Hub de eventos devem ser habilitados
  • Os logs de diagnóstico no Key Vault deve estar habilitados
  • Os logs de diagnóstico nos Aplicativos Lógicos devem ser habilitados
  • Os logs de diagnóstico nos serviços Pesquisa devem ser habilitados
  • Os logs de diagnóstico no Barramento de Serviço devem ser habilitados