Mapeamento de controle da amostra de blueprint dos Serviços Compartilhados ISO 27001

Artigo
09/07/2023

Importante

Em 11 de julho de 2026, o Blueprints (versão prévia) será preterido. Migre suas definições e atribuições de blueprint existentes para Especificações de Modelo e Pilhas de Implantação. Os artefatos de blueprint devem ser convertidos em modelos JSON do ARM ou arquivos Bicep usados para definir pilhas de implantação. Para saber como criar um artefato como um recurso do ARM, confira:

O artigo a seguir fornece detalhes sobre como a amostra de blueprint dos Serviços Compartilhados ISO 27001 do Azure Blueprints são mapeados aos controles ISO 27001.

Os seguintes mapeamentos referem-se aos controles ISO 27001:2013. Use a navegação no lado direito para ir diretamente para um mapeamento de controle específico. Muitos dos controles mapeados são implementados com uma iniciativa do Azure Policy. Para examinar a iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, localize e selecione [Versão prévia] Controles ISO 27001:2013 de Auditoria e implante Extensões de VM específicas para dar suporte aos requisitos de auditoria da iniciativa de política interna.

Importante

Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias políticas. Não garante que você está totalmente em conformidade com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre controles e definições do Azure Policy desta amostra de blueprint de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.

A.6.1.2 Diferenciação de direitos

Ter apenas um proprietário de assinatura do Azure não permite a redundância administrativa. Por outro lado, ter muitos proprietários de assinatura do Azure pode aumentar o potencial de uma violação por meio de uma conta de proprietário comprometida. Esse blueprint ajuda você a manter um número apropriado de proprietários de assinatura do Azure por meio da atribuição de duas definições do Azure Policy que audita o número de proprietários de assinaturas do Azure. O gerenciamento de permissões de proprietário de assinatura pode ajudá-lo a implementar uma diferenciação de direitos apropriada.

Um máximo de três proprietários deve ser designado para sua assinatura
Deve haver mais de um proprietário atribuído à sua assinatura

A.8.2.1 Classificação de informações

O serviço de Avaliação de Vulnerabilidades de SQL do Azure pode ajudá-lo a descobrir dados confidenciais armazenados em seus bancos de dados e inclui recomendações para classificar os dados. Esta blueprint atribui uma definição do Azure Policy para auditar se as vulnerabilidades identificadas durante o exame de Avaliação de Vulnerabilidades de SQL são corrigidas.

As vulnerabilidades nos bancos de dados SQL devem ser corrigidas

A.9.1.2 Acesso a redes e serviços de rede

O Azure RBAC (controle de acesso baseado em função) ajuda a gerenciar quem tem acesso aos recursos no Azure. Esse blueprint ajuda você a controlar o acesso aos recursos do Azure por meio da atribuição de sete definições do Azure Policy. Essas políticas auditam o uso de tipos de recursos e configurações que podem permitir um acesso mais permissivo aos recursos. Entender os recursos que estão violando essas políticas pode ajudar você a tomar ações corretivas para garantir que o acesso aos recursos do Azure seja restrito a usuários autorizados.

Mostrar os resultados da auditoria das VMs do Linux que têm contas sem senhas
Mostrar os resultados da auditoria das VMs do Linux que permitem conexões remotas em contas sem senhas
As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager
As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager
Auditar VMs que não usam discos gerenciados

A.9.2.3 Gerenciamento de direitos de acesso privilegiado

Esse blueprint ajuda você a restringir e controlar os direitos de acesso privilegiado por meio da atribuição de quatro definições do Azure Policy para auditar contas externas com proprietário e/ou permissões de gravação e contas com proprietário e/ou permissões de gravação que não têm a autenticação multifator habilitada. O Azure RBAC (controle de acesso baseado em função) ajuda a gerenciar quem tem acesso aos recursos no Azure. Esse blueprint também atribui três definições do Azure Policy para auditar o uso da autenticação do Azure Active Directory para SQL Servers e o Service Fabric. O uso da autenticação do Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft. Esse blueprint também atribui uma definição do Azure Policy para auditar o uso de regras personalizadas do Azure RBAC. Entender o local em que as regras personalizadas do Azure RBAC são implementadas pode ajudar você a verificar a necessidade e a implementação apropriada, pois as regras personalizadas do Azure RBAC estão sujeitas a erros.

O MFA deve ser habilitado em contas com permissões de proprietário em sua assinatura
A MFA deve ser habilitada nas contas com permissões de gravação na sua assinatura
As contas externas com permissões de proprietário devem ser removidas de sua assinatura
As contas externas com permissões de gravação devem ser removidas de sua assinatura
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL
Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente
Auditar o uso de regras personalizadas do RBAC

A.9.2.4 Gerenciamento de informações de autenticação secreta de usuários

Esse blueprint atribui três definições do Azure Policy para auditar contas que não têm a autenticação multifator habilitada. A autenticação multifator ajuda a proteger contas, mesmo que uma única informação de autenticação seja comprometida. Monitorando as contas sem a autenticação multifator habilitada, você pode identificar as contas que têm mais probabilidade de serem comprometidas. Esse blueprint também atribui duas definições do Azure Policy que auditam as permissões de arquivo de senha da VM do Linux para alertar se elas forem definidas incorretamente. Essa configuração permite que você tome uma ação corretiva para garantir que os autenticadores não sejam comprometidos.

O MFA deve ser habilitado em contas com permissões de proprietário em sua assinatura
O MFA deve ser habilitado em contas com permissões de leitura em sua assinatura
A MFA deve ser habilitada nas contas com permissões de gravação na sua assinatura
Mostrar os resultados da auditoria das VMs do Linux que não têm as permissões de arquivo de senha definidas como 0644

A.9.2.5 Revisão dos direitos de acesso do usuário

O Azure RBAC (controle de acesso baseado em função) ajuda a gerenciar quem tem acesso aos recursos no Azure. Usando o portal do Azure, você pode examinar quem tem acesso aos recursos do Azure e suas permissões. Esse blueprint atribui quatro definições do Azure Policy para auditar as contas que devem ser priorizadas para revisão, incluindo contas preteridas e contas externas com permissões elevadas.

As contas preteridas devem ser removidas de sua assinatura
As contas preteridas com permissões de proprietário devem ser removidas de sua assinatura
As contas externas com permissões de proprietário devem ser removidas de sua assinatura
As contas externas com permissões de gravação devem ser removidas de sua assinatura

A.9.2.6 Remoção ou ajuste de direitos de acesso

O Azure RBAC (controle de acesso baseado em função) ajuda a gerenciar quem tem acesso aos recursos no Azure. Usando o Azure Active Directory e o Azure RBAC, você pode atualizar as funções de usuário para que elas reflitam as mudanças organizacionais. Quando necessário, as contas podem ser impedidas de entrar (ou removidas), o que remove imediatamente os direitos de acesso aos recursos do Azure. Esse blueprint atribui duas definições do Azure Policy para auditar contas preteridas que devem ser consideradas para remoção.

As contas preteridas devem ser removidas de sua assinatura
As contas preteridas com permissões de proprietário devem ser removidas de sua assinatura

A.9.4.2 Procedimentos de logon seguro

Esse blueprint atribui três definições do Azure Policy para auditar contas que não têm a autenticação multifator habilitada. A Autenticação Multifator do Azure AD fornece segurança adicional exigindo uma segunda forma de autenticação e fornece autenticação forte. Monitorando as contas sem a autenticação multifator habilitada, você pode identificar as contas que têm mais probabilidade de serem comprometidas.

O MFA deve ser habilitado em contas com permissões de proprietário em sua assinatura
O MFA deve ser habilitado em contas com permissões de leitura em sua assinatura
A MFA deve ser habilitada nas contas com permissões de gravação na sua assinatura

A.9.4.3 Sistema de gerenciamento de senhas

Esse blueprint ajuda você a impor senhas fortes por meio da atribuição de 10 definições do Azure Policy que auditam VMs do Windows que não impõem a força mínima e outros requisitos de senha. O reconhecimento de VMs que estejam violando a política de força da senha ajuda você a tomar ações corretivas para garantir que as senhas de todas as contas de usuário da VM estejam em conformidade com a política.

Mostrar os resultados da auditoria das VMs do Windows que não têm a configuração de complexidade de senha habilitada
Mostrar os resultados da auditoria das VMs do Windows que não têm uma duração máxima da senha de 70 dias
Mostrar os resultados da auditoria das VMs do Windows que não têm uma duração mínima da senha de 1 dia
Mostrar os resultados da auditoria das VMs do Windows que não restringem o tamanho mínimo da senha a 14 caracteres
Mostrar os resultados da auditoria das VMs do Windows que permitir reutilizar as 24 senhas anteriores

A.10.1.1 Política sobre o uso de controles de criptografia

Esse blueprint ajuda você a impor sua política sobre o uso de controles de criptografia por meio da atribuição de 13 definições do Azure Policy que impõem controles de criptografia específicos e auditam o uso de configurações de criptografia fraca. Entender em que local os recursos do Azure podem ter configurações de criptografia não ideais pode ajudá-lo a tomar ações corretivas para garantir que os recursos sejam configurados de acordo com a política de segurança de informações. Especificamente, as políticas atribuídas por esse blueprint exigem a criptografia em contas de armazenamento de blobs e contas de armazenamento do Data Lake; exigem a Transparent Data Encryption em bancos de dados SQL; auditam a criptografia ausente em contas de armazenamento, bancos de dados SQL, discos de máquina virtual e variáveis da conta de automação; auditam conexões não seguras para contas de armazenamento, aplicativos de funções, Aplicativo Web, Aplicativos de API e o Cache Redis; auditam a criptografia fraca de senhas de máquina virtual; e auditam a comunicação não criptografada do Service Fabric.

O aplicativo de funções deve ser acessível apenas por HTTPS
Aplicativo Web deve ser acessível somente por HTTPS
O aplicativo de API só deve estar acessível via HTTPS
Mostrar os resultados da auditoria das VMs do Windows que não armazenam senhas usando a criptografia reversível
A criptografia de disco deve ser aplicada em máquinas virtuais
As variáveis da conta de automação devem ser criptografadas
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas
A transferência segura para contas de armazenamento deve ser habilitada
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada

A.12.4.1 Log de eventos

Esse blueprint ajuda você a garantir que os eventos do sistema sejam registrados em log por meio da atribuição de sete definições do Azure Policy que auditam as configurações do log de auditoria nos recursos do Azure. Os logs de diagnóstico fornecem insights sobre operações realizadas em recursos do Azure.

Auditar a implantação do Dependency Agent – imagem de VM (sistema operacional) não listada
Auditar a implantação do Dependency Agent em conjuntos de dimensionamento de máquinas virtuais – imagem de VM (sistema operacional) não listada
[Versão prévia]: Auditar a implantação do Agente do Log Analytics – imagem de VM (sistema operacional) não listada
Auditar a implantação do agente do Log Analytics em Conjuntos de Dimensionamento de Máquinas Virtuais – imagem de VM (sistema operacional) não listada
Configuração de diagnóstico de auditoria
A auditoria no SQL Server deve ser habilitada

A.12.4.3 Logs de administrador e de operador

Auditar a implantação do Dependency Agent – imagem de VM (sistema operacional) não listada
Auditar a implantação do Dependency Agent em conjuntos de dimensionamento de máquinas virtuais – imagem de VM (sistema operacional) não listada
[Versão prévia]: Auditar a implantação do Agente do Log Analytics – imagem de VM (sistema operacional) não listada
Auditar a implantação do agente do Log Analytics em Conjuntos de Dimensionamento de Máquinas Virtuais – imagem de VM (sistema operacional) não listada
Configuração de diagnóstico de auditoria
A auditoria no SQL Server deve ser habilitada

A.12.4.4 Sincronização do relógio

Esse blueprint ajuda você a garantir que os eventos do sistema sejam registrados em log por meio da atribuição de sete definições do Azure Policy que auditam as configurações do log de auditoria nos recursos do Azure. Os logs do Azure dependem de relógios internos sincronizados para criar um registro de eventos relacionado à hora em todos os recursos.

Auditar a implantação do Dependency Agent – imagem de VM (sistema operacional) não listada
Auditar a implantação do Dependency Agent em conjuntos de dimensionamento de máquinas virtuais – imagem de VM (sistema operacional) não listada
[Versão prévia]: Auditar a implantação do Agente do Log Analytics – imagem de VM (sistema operacional) não listada
Auditar a implantação do agente do Log Analytics em Conjuntos de Dimensionamento de Máquinas Virtuais – imagem de VM (sistema operacional) não listada
Configuração de diagnóstico de auditoria
A auditoria no SQL Server deve ser habilitada

A.12.5.1 Instalação do software de sistemas operacionais

Os controles de aplicativos adaptáveis são a solução da Central de Segurança do Azure que ajuda você a controlar quais aplicativos podem ser executados em suas VMs localizadas no Azure. Esse blueprint atribui uma definição do Azure Policy que monitora as alterações feitas no conjunto de aplicativos permitidos. Esse recurso ajuda você a controlar a instalação de software e aplicativos em VMs do Azure.

Os controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados nos computadores

A.12.6.1 Gerenciamento de vulnerabilidades técnicas

Esse blueprint ajuda você a gerenciar as vulnerabilidades do sistema de informações por meio da atribuição de cinco definições do Azure Policy que monitoram atualizações ausentes do sistema, vulnerabilidades do sistema operacional, vulnerabilidades do SQL e vulnerabilidades da máquina virtual na Central de Segurança do Azure. A Central de Segurança do Azure fornece funcionalidades de relatórios que permitem ter insights em tempo real sobre o estado de segurança de recursos implantados do Azure.

monitora o Endpoint Protection ausente na Central de Segurança do Azure
As atualizações do sistema devem ser instaladas em suas máquinas
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas
As vulnerabilidades nos bancos de dados SQL devem ser corrigidas
As vulnerabilidades devem ser corrigidas por uma solução de Avaliação de Vulnerabilidades

A.12.6.2 Restrições de instalação de software

Os controles de aplicativos adaptáveis são a solução da Central de Segurança do Azure que ajuda você a controlar quais aplicativos podem ser executados em suas VMs localizadas no Azure. Esse blueprint atribui uma definição do Azure Policy que monitora as alterações feitas no conjunto de aplicativos permitidos. As restrições de instalação de software podem ajudar você a reduzir a probabilidade de introdução de vulnerabilidades de software.

Os controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados nos computadores

A.13.1.1 Controles de rede

Esse blueprint ajuda você a gerenciar e controlar redes por meio da atribuição de uma definição do Azure Policy que monitora os grupos de segurança de rede com regras permissivas. Regras que são muito permissivas podem permitir o acesso não intencional à rede e devem ser examinadas. Esse blueprint também atribui três definições do Azure Policy que monitoram pontos de extremidade, contas de armazenamento e aplicativos desprotegidos. Os pontos de extremidade e os aplicativos que não estão protegidos por um firewall e as contas de armazenamento com acesso irrestrito podem permitir o acesso não intencional às informações contidas no sistema de informações.

O acesso pelo ponto de extremidade para a Internet deve ser restrito
As contas de armazenamento devem restringir o acesso da rede

A.13.2.1 Políticas e procedimentos de transferência de informações

O blueprint ajuda você a garantir que a transferência de informações com os serviços do Azure seja segura por meio da atribuição de duas definições do Azure Policy para auditar conexões não seguras em contas de armazenamento e no Cache do Azure para Redis.

Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas
A transferência segura para contas de armazenamento deve ser habilitada

Próximas etapas

Agora que você examinou o mapeamento de controle do blueprint dos Serviços Compartilhados ISO 27001, leia os seguintes artigos para saber mais sobre a arquitetura e como implantar esta amostra:

Visão geral do blueprint dos Serviços Compartilhados ISO 27001 Blueprint dos Serviços Compartilhados ISO 27001 – Etapas de implementação

Outros artigos sobre blueprints e como usá-los:

Saiba mais sobre o ciclo de vida do blueprint.
Saiba como usar parâmetros estáticos e dinâmicos.
Saiba como personalizar a ordem de sequenciamento de blueprint.
Saiba como usar o bloqueio de recurso de blueprint.
Saiba como atualizar atribuições existentes.