Compartilhar via


Detalhes da iniciativa interna de Conformidade Regulatória IRS 1075 de setembro de 2016 (Azure Governamental)

O artigo a seguir fornece detalhes sobre como a definição de iniciativa interna de Conformidade Regulatória do Azure Policy é mapeada para os domínios de conformidade e os controles do IRS 1075 de setembro de 2016 (Azure Governamental). Para obter mais informações sobre esse padrão de conformidade, confira IRS 1075 de setembro de 2016. Para entender a Propriedade, confira os artigos sobre tipo de política e Responsabilidade compartilhada na nuvem .

Os mapeamentos a seguir referem-se aos controles do IRS 1075 de setembro de 2016. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição de iniciativa interna de Conformidade Regulatória do IRS 1075 de setembro de 2016.

Importante

Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.

Controle de acesso

Acesso Remoto (AC-17)

ID: IRS 1075 9.3.1.12

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 1.3.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 1.3.0
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 2.0.0
Auditar os computadores Linux que permitem conexões remotas de contas sem senhas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem conexões remotas de contas sem senhas AuditIfNotExists, desabilitado 1.4.0
Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 1.4.0
Os Aplicativos de funções devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 2.0.0
As contas de armazenamento devem restringir o acesso da rede O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet Audit, Deny, desabilitado 1.1.1

Gerenciamento de Conta (AC-2)

ID: IRS 1075 9.3.1.2

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.0.0
Auditoria o uso de funções personalizadas do RBAC Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças Audit, desabilitado 1.0.1
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação AuditIfNotExists, desabilitado 3.0.0
Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric Audit, Deny, desabilitado 1.1.0

Imposição de Fluxo de Informações (AC-4)

ID: IRS 1075 9.3.1.4

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. AuditIfNotExists, desabilitado 2.0.0

Diferenciação de Direitos (AC-5)

ID: IRS 1075 9.3.1.5

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. AuditIfNotExists, desabilitado 3.0.0
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 1.3.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 1.3.0
Auditar computadores Windows que não têm membros especificados no Grupo de administradores Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local não contiver um ou mais membros listados no parâmetro de política. auditIfNotExists 1.0.0
Auditar computadores Windows que têm os membros especificados no Grupo de administradores Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local contiver um ou mais membros listados no parâmetro de política. auditIfNotExists 1.0.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 1.2.0
Deve haver mais de um proprietário atribuído à sua assinatura Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. AuditIfNotExists, desabilitado 3.0.0

Privilégio Mínimo (AC-6)

ID: IRS 1075 9.3.1.6

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. AuditIfNotExists, desabilitado 3.0.0
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 1.3.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 1.3.0
Auditar computadores Windows que não têm membros especificados no Grupo de administradores Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local não contiver um ou mais membros listados no parâmetro de política. auditIfNotExists 1.0.0
Auditar computadores Windows que têm os membros especificados no Grupo de administradores Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local contiver um ou mais membros listados no parâmetro de política. auditIfNotExists 1.0.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 1.2.0
Deve haver mais de um proprietário atribuído à sua assinatura Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. AuditIfNotExists, desabilitado 3.0.0

Avaliação de risco

Verificação de Vulnerabilidade (RA-5)

ID: IRS 1075 9.3.14.3

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 4.1.0
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desabilitado 3.1.0

Proteção do Sistema e das Comunicações

Proteção de Informações em Repouso (SC-28)

ID: IRS 1075 9.3.16.15

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desabilitado 2.0.0

Proteção contra Negação de Serviço (SC-5)

ID: IRS 1075 9.3.16.4

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
A Proteção contra DDoS do Azure deve ser habilitada A Proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que seja parte de um gateway de aplicativo com um IP público. AuditIfNotExists, desabilitado 3.0.1

Proteção de Limite (SC-7)

ID: IRS 1075 9.3.16.5

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. AuditIfNotExists, desabilitado 3.0.0
As contas de armazenamento devem restringir o acesso da rede O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet Audit, Deny, desabilitado 1.1.1

Confidencialidade e Integridade da Transmissão (SC-8)

ID: IRS 1075 9.3.16.6

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 1.3.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 1.3.0
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 4.0.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 1.2.0
Os aplicativos de funções só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 5.0.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão Audit, Deny, desabilitado 1.0.0
A transferência segura para contas de armazenamento deve ser habilitada Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Audit, Deny, desabilitado 2.0.0
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. AuditIfNotExists, desabilitado 3.0.1

Integridade do Sistema e das Informações

Correção de Falhas (SI-2)

ID: IRS 1075 9.3.17.2

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 4.1.0
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desabilitado 3.1.0

Monitoramento do Sistema de Informações (SI-4)

ID: IRS 1075 9.3.17.4

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1 – versão prévia
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1
As máquinas virtuais devem estar conectadas a um workspace especificado Informa as máquinas virtuais como sem conformidade quando elas não estão sendo registradas no log do workspace do Log Analytics especificado na atribuição de política ou de iniciativa. AuditIfNotExists, desabilitado 1.1.0

Reconhecimento e Treinamento

Geração de Auditoria (AU-12)

ID: IRS 1075 9.3.3.11

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1 – versão prévia
Auditar configuração de diagnóstico para tipos de recursos selecionados Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico. AuditIfNotExists 2.0.1
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desabilitado 2.0.0
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1
As máquinas virtuais devem estar conectadas a um workspace especificado Informa as máquinas virtuais como sem conformidade quando elas não estão sendo registradas no log do workspace do Log Analytics especificado na atribuição de política ou de iniciativa. AuditIfNotExists, desabilitado 1.1.0

Conteúdo de Registros de Auditoria (AU-3)

ID: IRS 1075 9.3.3.3

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1 – versão prévia
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1
As máquinas virtuais devem estar conectadas a um workspace especificado Informa as máquinas virtuais como sem conformidade quando elas não estão sendo registradas no log do workspace do Log Analytics especificado na atribuição de política ou de iniciativa. AuditIfNotExists, desabilitado 1.1.0

Resposta a Falhas de Processamento de Auditoria (AU-5)

ID: IRS 1075 9.3.3.5

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar configuração de diagnóstico para tipos de recursos selecionados Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico. AuditIfNotExists 2.0.1
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desabilitado 2.0.0
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2

Revisão de Auditoria, Análise e Relatórios (AU-6)

ID: IRS 1075 9.3.3.6

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1 – versão prévia
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1
As máquinas virtuais devem estar conectadas a um workspace especificado Informa as máquinas virtuais como sem conformidade quando elas não estão sendo registradas no log do workspace do Log Analytics especificado na atribuição de política ou de iniciativa. AuditIfNotExists, desabilitado 1.1.0

Planejamento de Contingência

Site de Processamento Alternativo (CP-7)

ID: IRS 1075 9.3.6.6

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar máquinas virtuais sem a recuperação de desastre configurada Audite máquinas virtuais sem a recuperação de desastre configurada. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc. auditIfNotExists 1.0.0

Identificação e Autenticação

Identificação e Autenticação (Usuários Organizacionais) (IA-2)

ID: IRS 1075 9.3.7.2

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0

Gerenciamento de Autenticador (IA-5)

ID: IRS 1075 9.3.7.5

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 1.3.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 1.3.0
Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 AuditIfNotExists, desabilitado 1.4.0
Auditar os computadores Linux que têm contas sem senhas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem contas sem senhas AuditIfNotExists, desabilitado 1.4.0
Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 AuditIfNotExists, desabilitado 1.1.0
Auditar computadores Windows que não têm a idade máxima da senha definida como o número especificado de dias Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows não tiverem a idade máxima da senha definida como o número especificado de dias. O valor padrão para a idade máxima da senha é de 70 dias AuditIfNotExists, desabilitado 1.1.0
Auditar computadores Windows que não têm a idade mínima da senha definida como o número especificado de dias Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se computadores Windows não têm a idade mínima da senha definida como o número especificado de dias. O valor padrão para a idade mínima da senha é 1 dia AuditIfNotExists, desabilitado 1.1.0
Auditar os computadores Windows que não têm a configuração de complexidade de senha habilitada Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não têm a configuração de complexidade de senha habilitada AuditIfNotExists, desabilitado 1.0.0
Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres. O valor padrão no comprimento mínimo da senha é de 14 caracteres AuditIfNotExists, desabilitado 1.1.0
Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não armazenam senhas usando a criptografia reversível AuditIfNotExists, desabilitado 1.0.0
Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 1.4.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 1.2.0

Próximas etapas

Artigos adicionais sobre o Azure Policy: