Detalhes da iniciativa interna de Conformidade Regulatória do Microsoft Cloud Security Benchmark (Azure Governamental)
O artigo a seguir fornece detalhes sobre como a definição da iniciativa interna de Conformidade Regulatória do Azure Policy é mapeada para domínios de conformidade e controles no parâmetro de comparação de segurança de nuvem da Microsoft (Azure Governamental). Para obter mais informações sobre esse padrão de conformidade, consulte parâmetro de comparação de segurança de nuvem da Microsoft. Para entender a Propriedade, confira os artigos sobre tipo de política e Responsabilidade compartilhada na nuvem .
Os mapeamentos a seguir são para os controles do parâmetro de comparação de segurança de nuvem da Microsoft. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição de iniciativa interna de Conformidade Regulatória do parâmetro de comparação de segurança de nuvem da Microsoft.
Importante
Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.
Segurança de rede
Estabelecer limites de segmentação de rede
ID: Parâmetro de comparação de segurança de nuvem da Microsoft NS-1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
Proteger serviços de nuvem usando controles de rede
ID: Parâmetro de comparação de segurança de nuvem da Microsoft NS-2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Preterido]: Os Serviços Cognitivos devem usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, desabilitado | 3.0.1-deprecated |
Os serviços do Gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. | Audit, Deny, desabilitado | 1.0.2 |
A Configuração de Aplicativos deve usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desabilitado | 1.0.2 |
Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. | Audit, desabilitado | 2.0.0 |
Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede | Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço de IA do Azure. | Audit, Deny, desabilitado | 3.2.0 |
Os recursos dos Serviços de IA do Azure devem usar o Link Privado do Azure | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado reduz os riscos de vazamento de dados manipulando a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Saiba mais sobre links privados em: https://aka.ms/AzurePrivateLink/Overview | Audit, desabilitado | 1.0.0 |
O Cache do Azure para Redis deve usar um link privado | Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desabilitado | 1.0.0 |
As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para evitar o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra de IP definida com o filtro de rede virtual habilitado são consideradas em conformidade. As contas que desabilitam o acesso público também são consideradas em conformidade. | Audit, Deny, desabilitado | 2.1.0 |
O Azure Cosmos DB deve desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que a conta do CosmosDB não seja exposta na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição da conta do CosmosDB. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Deny, desabilitado | 1.0.0 |
Os clusters do Azure Databricks devem desabilitar o IP público | A desativação do IP público de clusters nos Workspaces do Azure Databricks melhora a segurança, garantindo que os clusters não sejam expostos na Internet pública. Saiba mais em: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Deny, desabilitado | 1.0.1 |
Os Workspaces do Azure Databricks devem estar em uma rede virtual | As Redes Virtuais do Microsoft Azure fornecem segurança e isolamento aprimorados para seus Workspaces do Azure Databricks, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Saiba mais em: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Deny, desabilitado | 1.0.2 |
Os espaços de trabalho do Azure Databricks devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode controlar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Deny, desabilitado | 1.0.1 |
Os Workspaces do Azure Databricks devem usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Databricks, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/adbpe. | Audit, desabilitado | 1.0.2 |
Os domínios da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
Os tópicos da Grade de Eventos do Azure devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Audit, desabilitado | 1.0.2 |
Os Computadores do Azure Machine Learning devem estar em uma rede virtual | As Redes Virtuais do Azure fornecem segurança e isolamento aprimorados para seus Clusters e Instâncias de Computação do Azure Machine Learning, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Quando uma computação é configurada com uma rede virtual, ela não é endereçável publicamente e só pode ser acessada a partir de máquinas e aplicativos virtuais dentro da rede virtual. | Audit, desabilitado | 1.0.1 |
Os Workspaces do Azure Machine Learning devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública aumenta a segurança, garantindo que os Workspaces do Machine Learning não sejam expostos na Internet pública. Em vez disso, você pode controlar a exposição dos seus espaços de trabalho criando pontos de extremidade privados. Saiba mais em: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Audit, Deny, desabilitado | 2.0.1 |
Os workspaces do Azure Machine Learning devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, desabilitado | 1.0.0 |
O Serviço do Azure SignalR deve usar o link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Audit, desabilitado | 1.0.0 |
As Instâncias Gerenciadas de SQL do Azure devem desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública (ponto de extremidade público) em Instância Gerenciada de SQL do Azure melhora a segurança, garantindo que elas só possam ser acessadas de dentro de suas redes virtuais ou por meio de pontos de extremidade privados. Para saber mais sobre o acesso à rede pública, visite https://aka.ms/mi-public-endpoint. | Audit, Deny, desabilitado | 1.0.0 |
Os registros de contêiner não devem permitir acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de pontos de extremidade privados, endereços IP públicos ou intervalos de endereços específicos. Se o Registro não tiver regras de rede configuradas, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Audit, Deny, desabilitado | 2.0.0 |
Os registros de contêiner devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Audit, desabilitado | 1.0.1 |
As contas do CosmosDB devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, desabilitado | 1.0.0 |
As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. | Audit, desabilitado | 1.1.0 |
O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. | Audit, Deny, desabilitado | 1.1.0 |
O acesso à rede pública deve ser desabilitado para servidores PostgreSQL | Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para PostgreSQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. | Audit, Deny, desabilitado | 2.0.1 |
As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Audit, Deny, desabilitado | 1.0.1 |
As contas de armazenamento devem usar um link privado | O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desabilitado | 2.0.0 |
Implantar um firewall na borda da rede corporativa
ID: Parâmetro de comparação de segurança de nuvem da Microsoft NS-3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível | AuditIfNotExists, desabilitado | 3.0.0 – versão prévia |
O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
Implantar proteção DDOS
ID: Parâmetro de comparação de segurança de nuvem da Microsoft NS-5 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
A Proteção contra DDoS do Azure deve ser habilitada | A Proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que seja parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desabilitado | 3.0.1 |
Implantar firewall de aplicativo web
ID: Parâmetro de comparação de segurança de nuvem da Microsoft NS-6 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 1.0.2 |
O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 2.0.0 |
Detectar e desabilitar serviços e protocolos não seguros
ID: Parâmetro de comparação de segurança de nuvem da Microsoft NS-8 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 2.1.0 |
Os Aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 2.1.0 |
Gerenciamento de Identidades
Usar um sistema centralizado de identidade e autenticação
ID: Parâmetro de comparação de segurança de nuvem da Microsoft IM-1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O servidor flexível do MySQL do Azure deve ter a Autenticação Somente Do Microsoft Entra habilitada | Desabilitar os métodos de autenticação local e permitir apenas a autenticação do Microsoft Entra melhora a segurança, garantindo que o servidor flexível do PostgreSQL do Azure possa ser acessado exclusivamente pelas identidades do Microsoft Entra. | Audit, desabilitado | 1.0.0 – versão prévia |
Um administrador do Microsoft Entra deve ser provisionado para servidores PostgreSQL | Audite o provisionamento de um administrador do Microsoft Entra para seu servidor PostgreSQL para habilitar a autenticação do Microsoft Entra. A autenticação do Microsoft Entra permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.1 |
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth | Audit, Deny, desabilitado | 1.1.0 |
Os Computadores do Azure Machine Learning devem ter os métodos de autenticação local desabilitados | A desativação dos métodos de autenticação local melhora a segurança, garantindo que os Computadores do Machine Learning exijam identidades do Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/azure-ml-aad-policy. | Audit, Deny, desabilitado | 2.1.0 |
O Banco de Dados SQL do Azure deve ter a autenticação somente do Microsoft Entra habilitada | Exigir que os servidores lógicos de SQL do Azure usem a autenticação somente do Microsoft Entra. Essa política não impede que os servidores sejam criados com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Audit, Deny, desabilitado | 1.0.0 |
O Banco de Dados SQL do Azure deve ter a autenticação somente do Microsoft Entra habilitada durante a criação | Exigir que os servidores lógicos do SQL do Azure sejam criados com a autenticação somente do Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Audit, Deny, desabilitado | 1.2.0 |
A Instância Gerenciada de SQL do Azure deve ter a autenticação somente do Microsoft Entra habilitada | Exigir que a Instância Gerenciada de SQL do Azure use a autenticação somente do Microsoft Entra. Essa política não impede que instâncias gerenciadas de SQL do Azure sejam criadas com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Audit, Deny, desabilitado | 1.0.0 |
Instâncias gerenciada de SQL do Azure devem ter a autenticação somente do Microsoft Entra habilitada durante a criação | Exigir que a Instância Gerenciada de SQL do Azure seja criada com a autenticação somente do Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Audit, Deny, desabilitado | 1.2.0 |
Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric | Audit, Deny, desabilitado | 1.1.0 |
As contas de armazenamento devem impedir o acesso de chave compartilhada | Requisito de auditoria do Azure AD (Azure Active Directory) para autorizar solicitações para sua conta de armazenamento. Por padrão, as solicitações podem ser autorizadas com as credenciais do Azure Active Directory ou usando a chave de acesso da conta para a autorização de chave compartilhada. Desses dois tipos de autorização, o Azure AD fornece segurança superior e facilidade de uso em relação à chave compartilhada e é recomendado pela Microsoft. | Audit, Deny, desabilitado | 2.0.0 |
Os Workspaces do Synapse devem ter a autenticação somente do Microsoft Entra habilitada | Exigir que os workspaces do Synapse usem a autenticação somente do Microsoft Entra. Essa política não impede que workspaces sejam criados com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Audit, Deny, desabilitado | 1.0.0 |
Os Workspaces do Synapse devem usar apenas as identidades do Microsoft Entra para autenticação durante a criação do workspace | Exigir que workspaces do Synapse sejam criados com a autenticação somente do Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Audit, Deny, desabilitado | 1.2.0 |
Os gateways de VPN devem usar somente a autenticação do Azure AD (Active Directory) para usuários de ponto a site | Desabilitar os métodos de autenticação local melhora a segurança, garantindo que os gateways de VPN usem apenas identidades do Azure Active Directory para a autenticação. Para saber mais sobre a autenticação do Azure AD, confira https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Deny, desabilitado | 1.0.0 |
Gerenciar identidades de aplicativo de maneira segura e automática
ID: Parâmetro de comparação de segurança de nuvem da Microsoft IM-3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
Os aplicativos de funções devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Autenticar servidor e serviços
ID: Parâmetro de comparação de segurança de nuvem da Microsoft IM-4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente | Definir a versão do TLS como 1.2 ou mais recente aprimora a segurança garantindo que seu Banco de Dados SQL do Azure só possa ser acessado de clientes que usam o TLS 1.2 ou mais recente. O uso de versões do TLS inferiores à 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditoria, desabilitado, negação | 2.0.0 |
Usar controles de autenticação fortes
ID: Parâmetro de comparação de segurança de nuvem da Microsoft IM-6 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Acesso privilegiado
Separar e limitar usuários altamente privilegiados/administrativos
ID: Parâmetro de comparação de segurança de nuvem da Microsoft PA-1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
Deve haver mais de um proprietário atribuído à sua assinatura | Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desabilitado | 3.0.0 |
Evitar acesso permanente a contas e permissões
ID: Parâmetro de comparação de segurança de nuvem da Microsoft PA-2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
examinar e reconciliar regularmente o acesso do usuário
ID: Parâmetro de comparação de segurança de nuvem da Microsoft PA-4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
Seguir a administração Just Enough (princípio de privilégios mínimos)
ID: Parâmetro de comparação de segurança de nuvem da Microsoft PA-7 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes | Para fornecer filtragem granular das ações que os usuários podem executar, use o RBAC (controle de acesso baseado em função) para gerenciar permissões nos clusters do Serviço de Kubernetes e configurar políticas de autorização relevantes. | Audit, desabilitado | 1.0.4 |
Proteção de Dados
Monitorar anomalias e ameaças direcionadas a dados confidenciais
ID: Parâmetro de comparação de segurança de nuvem da Microsoft DP-2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
Criptografar dados confidenciais em trânsito
ID: Parâmetro de comparação de segurança de nuvem da Microsoft DP-3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 2.1.0 |
O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente | Definir a versão do TLS como 1.2 ou mais recente aprimora a segurança garantindo que seu Banco de Dados SQL do Azure só possa ser acessado de clientes que usam o TLS 1.2 ou mais recente. O uso de versões do TLS inferiores à 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditoria, desabilitado, negação | 2.0.0 |
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.0.0 |
Os aplicativos de funções devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
Os aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 2.1.0 |
Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.1.0 |
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas | Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão | Audit, Deny, desabilitado | 1.0.0 |
A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
Habilitar criptografia de dados inativos por padrão
ID: Parâmetro de comparação de segurança de nuvem da Microsoft DP-4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
As variáveis da conta de automação devem ser criptografadas | É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais | Audit, Deny, desabilitado | 1.1.0 |
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente | Audit, Deny, desabilitado | 1.1.0 |
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desabilitado | 2.0.0 |
As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento de máquinas virtuais. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Audit, Deny, desabilitado | 1.0.0 |
Use a opção de chave gerenciada pelo cliente na criptografia de dados inativos quando necessário
ID: Parâmetro de comparação de segurança de nuvem da Microsoft DP-5 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os recursos dos Serviços de IA do Azure devem criptografar os dados inativos com uma chave gerenciada pelo cliente (CMK) | O uso de chaves gerenciadas pelo cliente para criptografar dados inativos oferece mais controle sobre o ciclo de vida da chave, incluindo rotação e gerenciamento. Isso é particularmente relevante para organizações com requisitos de conformidade relacionados. Isso não é avaliado por padrão e só deve ser aplicado quando exigido por requisitos de conformidade ou de política restritiva. Se não estiver habilitado, os dados serão criptografados usando chaves gerenciadas pela plataforma. Para implementar isso, atualize o parâmetro "Efeito" na Política de Segurança para o escopo aplicável. | Audit, Deny, desabilitado | 2.2.0 |
As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
Os workspaces do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente | Gerencie a criptografia em repouso dos dados do Workspace do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, desabilitado | 1.1.0 |
Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. | Audit, Deny, desabilitado | 1.1.2 |
Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desabilitado | 1.0.4 |
As contas de armazenamento devem usar uma chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de blobs e arquivos com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Audit, desabilitado | 1.0.3 |
Garantir a segurança da chave e do repositório de certificados
ID: Parâmetro de comparação de segurança de nuvem da Microsoft DP-8 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os cofres de chaves devem ter a proteção contra exclusão habilitadas | A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão. | Audit, Deny, desabilitado | 2.1.0 |
Os cofres de chaves devem ter a exclusão temporária habilitada | A exclusão de um cofre de chaves sem a exclusão temporária habilitada permanentemente exclui todos os segredos, as chaves e os certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Audit, Deny, desabilitado | 3.0.0 |
Os logs de recurso no Key Vault devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
Gerenciamento de Ativos
Usar apenas serviços aprovados
ID: Parâmetro de comparação de segurança de nuvem da Microsoft AM-2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: controle de acesso (RBAC) mais forte, melhor auditoria, implantação e controle com base no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves por segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança | Audit, Deny, desabilitado | 1.0.0 |
As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais a fim de fornecer melhorias de segurança como: RBAC (controle de acesso) mais forte, melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos visando facilitar o gerenciamento da segurança | Audit, Deny, desabilitado | 1.0.0 |
Log e detecção de ameaças
Habilitar recursos de detecção de ameaças
ID: Parâmetro de comparação de segurança de nuvem da Microsoft LT-1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 4.0.1-preview |
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
O Azure Defender para SQL deve ser habilitado para servidor flexíveis do MySQL desprotegidos | Auditar servidores flexíveis do MySQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 1.0.0 |
O Azure Defender para SQL deve ser habilitado para servidores flexíveis do PostgreSQL desprotegidos | Auditar os servidores flexíveis do PostgreSQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 1.0.0 |
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado | O Microsoft Defender para Contêineres fornece recursos de segurança para Kubernetes nativos de nuvem incluindo proteção de ambiente, proteção de cargas de trabalho e de tempo de execução. Quando você habilita o SecurityProfile.AzureDefender em seu cluster do Serviço de Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais sobre o Microsoft Defender para Contêineres em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, desabilitado | 2.0.1 |
O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
O Microsoft Defender para SQL deve ser habilitado nos workspaces do Azure Synapse desprotegidos | Habilite o Defender para SQL para proteger os workspaces do Azure Synapse. O Defender para SQL monitora o SQL do Synapse para detectar atividades anômalas que indiquem tentativas incomuns e possivelmente prejudiciais de acessar ou explorar bancos de dados. | AuditIfNotExists, desabilitado | 1.0.0 |
O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
Habilitar detecção de ameaças para gerenciamento de identidade e acesso
ID: Parâmetro de comparação de segurança de nuvem da Microsoft LT-2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 4.0.1-preview |
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
O Azure Defender para SQL deve ser habilitado para servidor flexíveis do MySQL desprotegidos | Auditar servidores flexíveis do MySQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 1.0.0 |
O Azure Defender para SQL deve ser habilitado para servidores flexíveis do PostgreSQL desprotegidos | Auditar os servidores flexíveis do PostgreSQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 1.0.0 |
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado | O Microsoft Defender para Contêineres fornece recursos de segurança para Kubernetes nativos de nuvem incluindo proteção de ambiente, proteção de cargas de trabalho e de tempo de execução. Quando você habilita o SecurityProfile.AzureDefender em seu cluster do Serviço de Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais sobre o Microsoft Defender para Contêineres em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, desabilitado | 2.0.1 |
O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
O Microsoft Defender para SQL deve ser habilitado nos workspaces do Azure Synapse desprotegidos | Habilite o Defender para SQL para proteger os workspaces do Azure Synapse. O Defender para SQL monitora o SQL do Synapse para detectar atividades anômalas que indiquem tentativas incomuns e possivelmente prejudiciais de acessar ou explorar bancos de dados. | AuditIfNotExists, desabilitado | 1.0.0 |
O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
Habilitar registro em log para investigação de segurança
ID: Parâmetro de comparação de segurança de nuvem da Microsoft LT-3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 2.0.1 |
A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
Os logs de diagnóstico nos recursos dos serviços de IA do Azure devem ser habilitados | Habilite os logs dos recursos dos serviços de IA do Azure. Isso permite recriar trilhas de atividade para fins de investigação, quando ocorrer um incidente de segurança ou sua rede for comprometida | AuditIfNotExists, desabilitado | 1.0.0 |
Os logs de recurso no Azure Data Lake Storage devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
Os registros de recursos nos Workspaces do Azure Databricks devem estar habilitados | Os logs de recursos permitem a recriação de trilhas de atividades para uso em investigações quando ocorre um incidente de segurança ou quando sua rede é comprometida. | AuditIfNotExists, desabilitado | 1.0.1 |
Os logs de recursos no Serviço de Kubernetes do Azure devem ser habilitados | Os logs de recurso do Serviço de Kubernetes do Azure podem ajudar a recriar trilhas de atividades ao investigar incidentes de segurança. Habilite-o para garantir que os logs existam quando necessário | AuditIfNotExists, desabilitado | 1.0.0 |
Os logs de recursos nos Workspaces do Azure Machine Learning devem estar habilitados | Os logs de recursos permitem a recriação de trilhas de atividades para uso em investigações quando ocorre um incidente de segurança ou quando sua rede é comprometida. | AuditIfNotExists, desabilitado | 1.0.1 |
Os logs de recurso no Azure Stream Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
Os logs de recurso em contas do Lote devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
Os logs de recurso no Data Lake Analytics devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
Os logs de recurso no Hub de Eventos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
Os logs de recurso no Key Vault devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
Os logs de recurso nos Aplicativos Lógicos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.1.0 |
Os logs de recurso nos serviços de pesquisa devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
Os logs de recurso no Barramento de Serviço devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
Configurar a retenção do armazenamento de logs
ID: Parâmetro de comparação de segurança de nuvem da Microsoft LT-6 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais | Para fins de investigação de incidentes, é recomendável configurar a retenção de dados para a auditoria do SQL Server no destino de conta de armazenamento para pelo menos 90 dias. Confirme que você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. | AuditIfNotExists, desabilitado | 3.0.0 |
Resposta a incidentes
Preparação – configurar a notificação de incidentes
ID: Parâmetro de comparação de segurança de nuvem da Microsoft IR-2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.0.0 |
As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
Detecção e análise – criar incidentes com base em alertas de alta qualidade
ID: Parâmetro de comparação de segurança de nuvem da Microsoft IR-3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
O Azure Defender para SQL deve ser habilitado para servidor flexíveis do MySQL desprotegidos | Auditar servidores flexíveis do MySQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 1.0.0 |
O Azure Defender para SQL deve ser habilitado para servidores flexíveis do PostgreSQL desprotegidos | Auditar os servidores flexíveis do PostgreSQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 1.0.0 |
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
O Microsoft Defender para SQL deve ser habilitado nos workspaces do Azure Synapse desprotegidos | Habilite o Defender para SQL para proteger os workspaces do Azure Synapse. O Defender para SQL monitora o SQL do Synapse para detectar atividades anômalas que indiquem tentativas incomuns e possivelmente prejudiciais de acessar ou explorar bancos de dados. | AuditIfNotExists, desabilitado | 1.0.0 |
O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
Detecção e análise – investigar um incidente
ID: Parâmetro de comparação de segurança de nuvem da Microsoft IR-4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
Detecção e análise – priorizar incidentes
ID: Parâmetro de comparação de segurança de nuvem da Microsoft IR-5 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
O Azure Defender para SQL deve ser habilitado para servidor flexíveis do MySQL desprotegidos | Auditar servidores flexíveis do MySQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 1.0.0 |
O Azure Defender para SQL deve ser habilitado para servidores flexíveis do PostgreSQL desprotegidos | Auditar os servidores flexíveis do PostgreSQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 1.0.0 |
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
O Microsoft Defender para SQL deve ser habilitado nos workspaces do Azure Synapse desprotegidos | Habilite o Defender para SQL para proteger os workspaces do Azure Synapse. O Defender para SQL monitora o SQL do Synapse para detectar atividades anômalas que indiquem tentativas incomuns e possivelmente prejudiciais de acessar ou explorar bancos de dados. | AuditIfNotExists, desabilitado | 1.0.0 |
O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
Gerenciamento de postura e vulnerabilidades
Auditar e impor configurações seguras
ID: Parâmetro de comparação de segurança de nuvem da Microsoft PV-2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Preterido]: Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes com certificados válidos poderão acessar o aplicativo. Essa política foi substituída por uma nova política com o mesmo nome porque o Http 2.0 não dá suporte a certificados de cliente. | Audit, desabilitado | 3.1.0-preterido |
Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desabilitado | 2.0.0 |
As instâncias de computação do Azure Machine Learning devem ser recriadas nobter as atualizações de software mais recentes | Certifique-se de que as instâncias de computação do Azure Machine Learning sejam executadas no sistema operacional mais recente disponível. A segurança é melhorada e as vulnerabilidades reduzidas pela execução dos últimos patches de segurança. Para obter mais informações, visite https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters | O Complemento do Azure Policy para o AKS (serviço de Kubernetes) estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent), para aplicar as garantias e imposições em escala aos seus clusters de maneira centralizada e consistente. | Audit, desabilitado | 1.0.2 |
Os Aplicativos de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. | AuditIfNotExists, desabilitado | 2.0.0 |
Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 10.2.0 |
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host | Impedir que os contêineres de pod compartilhem o namespace da ID do processo do host e o namespace do IPC do host em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.1.0 |
Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.1 |
Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.0 |
Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 10.2.0 |
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.0 |
Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.1 |
Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.1 |
Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | Restrinja o acesso do pod à rede do host e ao intervalo de portas de host permitido em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.0 |
Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.1.0 |
O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 10.1.0 |
Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática | Desabilite as credenciais da API de montagem automática para evitar que um recurso Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.0 |
Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.1.0 |
Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN | Para reduzir a superfície de ataque dos seus contêineres, restrinja as funcionalidades CAP_SYS_ADMIN do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.1.0 |
Os clusters do Kubernetes não devem usar o namespace padrão | Impeça o uso do namespace padrão em clusters do Kubernetes para proteger contra acesso não autorizado para tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.0 |
Auditar e aplicar configurações seguras para recursos de computação
ID: Parâmetro de comparação de segurança de nuvem da Microsoft PV-4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Versão prévia]: a extensão Atestado de Convidado deve ser instalada nas máquinas virtuais do Linux compatíveis | Instale a extensão Atestado de Convidado em máquinas virtuais do Linux compatíveis a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica às máquinas virtuais do Linux Confidenciais e de Início Confiável. | AuditIfNotExists, desabilitado | 6.0.0-preview |
[Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis | Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica aos conjuntos de dimensionamento de máquinas virtuais de início confiável e Linux Confidencial. | AuditIfNotExists, desabilitado | 5.1.0-preview |
[Versão prévia]: a extensão Atestado de Convidado deve ser instalada em máquinas virtuais do Windows compatíveis | Instale a extensão Atestado de Convidado em máquinas virtuais compatíveis a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica às máquinas virtuais do Windows Confidenciais e de Início Confiável. | AuditIfNotExists, desabilitado | 4.0.0 – versão prévia |
[Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis | Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais compatíveis a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica aos conjuntos de dimensionamento de máquinas virtuais de início confiável e Windows Confidencial. | AuditIfNotExists, desabilitado | 3.1.0 – versão prévia |
[Versão prévia]: a Inicialização Segura deve estar habilitada em máquinas virtuais Windows compatíveis | Habilite a Inicialização Segura nas máquinas virtuais do Windows compatíveis para atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. Essa avaliação se aplica às máquinas virtuais do Windows Confidenciais e de Início Confiável. | Audit, desabilitado | 4.0.0 – versão prévia |
[Versão prévia]: o vTPM deve estar habilitado nas máquinas virtuais compatíveis | Habilite o dispositivo TPM virtual em máquinas virtuais compatíveis para facilitar Inicialização Medida e outros recursos de segurança do sistema operacional que exigem um TPM. Depois que ele for habilitado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para início confiável. | Audit, desabilitado | 2.0.0-preview |
A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.2 |
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Corrigir vulnerabilidades de maneira rápida e automática
ID: Parâmetro de comparação de segurança de nuvem da Microsoft PV-6 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
As imagens de contêiner do registro do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | AuditIfNotExists, desabilitado | 1.0.1 |
As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. | AuditIfNotExists, desabilitado | 1.0.1 |
Os computadores devem ser configurados para verificar periodicamente se há atualizações do sistema ausentes | Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam disparadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, desabilitado | 3.7.0 |
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 4.1.0 |
Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidades do SQL examina o banco de dados em busca de vulnerabilidades de segurança e expõe os desvios das melhores práticas como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança de seu banco de dados. | AuditIfNotExists, desabilitado | 1.0.0 |
As atualizações do sistema devem ser instaladas em seus computadores (da plataforma de atualização) | As atualizações de sistema, segurança e críticas estão ausentes em seus computadores. As atualizações de software geralmente incluem patches críticos para brechas de segurança. Essas brechas costumam ser exploradas em ataques de malware, portanto, é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger seus computadores, siga as etapas de correção. | AuditIfNotExists, desabilitado | 1.0.0 |
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
Segurança de ponto de extremidade
Usar EDR (Detecção e Resposta de Ponto de Extremidade)
ID: Parâmetro de comparação de segurança de nuvem da Microsoft ES-1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
Backup e recuperação
Garantir backups automatizados regulares
ID: Parâmetro de comparação de segurança de nuvem da Microsoft BR-1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Backup do Azure deve ser habilitado para máquinas virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desabilitado | 3.0.0 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
Proteger os dados de backup e recuperação
ID: Parâmetro de comparação de segurança de nuvem da Microsoft BR-2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Backup do Azure deve ser habilitado para máquinas virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desabilitado | 3.0.0 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
Segurança DevOps
Impor a segurança da carga de trabalho durante todo o ciclo de vida de DevOps
ID: Parâmetro de comparação de segurança de nuvem da Microsoft DS-6 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
As imagens de contêiner do registro do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | AuditIfNotExists, desabilitado | 1.0.1 |
As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. | AuditIfNotExists, desabilitado | 1.0.1 |
Próximas etapas
Artigos adicionais sobre o Azure Policy:
- Visão geral da Conformidade Regulatória.
- Consulte a estrutura de definição da iniciativa.
- Veja outros exemplos em Amostras do Azure Policy.
- Revisar Compreendendo os efeitos da política.
- Saiba como corrigir recursos fora de conformidade.