Detalhes da iniciativa integrada de Conformidade Regulatória do Sistema e Controles da Organização (SOC) 2 (Microsoft Azure Governamental)

Artigo
05/01/2024

O artigo a seguir detalha como a definição de iniciativa integrada de Conformidade Regulatória da Política do Azure é mapeada para domínios de conformidade e controles em Controles de Sistema e Organização (SOC) 2 (Microsoft Azure Governamental). Para obter mais informações sobre este padrão de conformidade, veja Controles de sistema e organização (SOC) 2. Para entender a Propriedade, confira Definição de política do Azure Policy e Responsabilidade compartilhada na nuvem.

Os mapeamentos a seguir são para os controles System e Organization Controls (SOC) 2. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, localize e selecione a definição de iniciativa integrada SOC 2 Tipo 2 de Conformidade Regulatória.

Importante

Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.

Critérios Adicionais de Disponibilidade

Gerenciamento de capacidade

ID: SOC 2 Tipo 2 A1.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Realizar um planejamento de capacidade	CMA_C1252 - Faça um planejamento da capacidade	Manual, Desabilitado	1.1.0

Proteções ambientais, software, processos de backup de dados e infraestrutura de recuperação

ID: SOC 2 Tipo 2 A1.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
O Backup do Azure deve ser habilitado para máquinas virtuais	Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure.	AuditIfNotExists, desabilitado	3.0.0
Usar iluminação de emergência automática	CMA_0209 - Usar iluminação de emergência automática	Manual, Desabilitado	1.1.0
Estabelecer um site de processamento alternativo	CMA_0262 - Estabelecer um local de processamento alternativo	Manual, Desabilitado	1.1.0
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB	O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor.	Audit, desabilitado	1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL	O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor.	Audit, desabilitado	1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL	O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor.	Audit, desabilitado	1.0.1
Implementar uma metodologia de teste de penetração	CMA_0306 – Implementar uma metodologia de teste de penetração	Manual, Desabilitado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desabilitado	1.1.0
Instalar um sistema de alarme	CMA_0338 - Instalar um sistema de alarme	Manual, Desabilitado	1.1.0
Recuperar e reconstituir recursos após qualquer interrupção	CMA_C1295 – Recuperar e reconstituir recursos após qualquer interrupção	Manual, Desabilitado	1.1.1
Executar ataques de simulação	CMA_0486 – Executar ataques de simulação	Manual, Desabilitado	1.1.0
Armazenar informações de backup separadamente	CMA_C1293 - Armazenar informações de backup separadamente	Manual, Desabilitado	1.1.0
Transferir informações de cópia de backup para um site de armazenamento alternativo	CMA_C1294 - Transferir informações de cópia de backup para um site de armazenamento alternativo	Manual, Desabilitado	1.1.0

Teste do plano de recuperação

ID: SOC 2 Tipo 2 A1.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Coordenar os planos de contingência com os planos relacionados	CMA_0086 - Coordenar os planos de contingência com os planos relacionados	Manual, Desabilitado	1.1.0
Iniciar o plano de contingência testando ações corretivas	CMA_C1263 - Iniciar as ações corretivas do teste de plano de contingência	Manual, Desabilitado	1.1.0
Revisar os resultados do teste do plano de contingência	CMA_C1262 - Revisar os resultados do teste do plano de contingência	Manual, Desabilitado	1.1.0
Testar o plano de continuidade dos negócios e recuperação de desastres	CMA_0509 – Testar o plano de continuidade dos negócios e recuperação de desastres	Manual, Desabilitado	1.1.0

Critérios Adicionais de Confidencialidade

Proteção de informações confidenciais

ID: SOC 2 Tipo 2 C1.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	Manual, Desabilitado	1.1.0
Examinar a atividade e a análise de rótulos	CMA_0474 – Examinar a atividade e a análise de rótulos	Manual, Desabilitado	1.1.0

Eliminação de informações confidenciais

ID: SOC 2 Tipo 2 C1.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	Manual, Desabilitado	1.1.0
Examinar a atividade e a análise de rótulos	CMA_0474 – Examinar a atividade e a análise de rótulos	Manual, Desabilitado	1.1.0

Ambiente de controle

Princípio 1 do COSO

ID: SOC 2 Tipo 2 CC1.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Desenvolver procedimentos e políticas de uso aceitáveis	CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis	Manual, Desabilitado	1.1.0
Desenvolver política de código da organização	CMA_0159 – Desenvolver política de código de conduta da organização	Manual, Desabilitado	1.1.0
Documentar aceitação do pessoal de requisitos de privacidade	CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade	Manual, Desabilitado	1.1.0
Aplicar regras de comportamento e contratos de acesso	CMA_0248 – Aplicar regras de comportamento e contratos de acesso	Manual, Desabilitado	1.1.0
Proibir práticas injustas	CMA_0396 – Proibir práticas injustas	Manual, Desabilitado	1.1.0
Revisar e assinar regras de comportamento revisadas	CMA_0465 – Revisar e assinar regras de comportamento revisadas	Manual, Desabilitado	1.1.0
Atualizar regras de comportamento e contratos de acesso	CMA_0521 – Atualizar regras de comportamento e contratos de acesso	Manual, Desabilitado	1.1.0
Atualizar regras de comportamento e contratos de acesso a cada três anos	CMA_0522 – Atualizar regras de comportamento e contratos de acesso a cada três anos	Manual, Desabilitado	1.1.0

Princípio 2 do COSO

ID: SOC 2 Tipo 2 CC1.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Nomear um responsável pela segurança da informação sênior	CMA_C1733 – Nomear um responsável pela segurança da informação sênior	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0

Princípio 3 do COSO

ID: SOC 2 Tipo 2 CC1.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Nomear um responsável pela segurança da informação sênior	CMA_C1733 – Nomear um responsável pela segurança da informação sênior	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0

Princípio 4 do COSO

ID: SOC 2 Tipo 2 CC1.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Fornecer treinamento periódico de segurança baseada em funções	CMA_C1095 – Fornecer treinamento periódico de segurança baseada em funções	Manual, Desabilitado	1.1.0
Fornecer treinamento periódico sobre conscientização de segurança	CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança	Manual, Desabilitado	1.1.0
Fornecer exercícios práticos baseados em funções	CMA_C1096 – Fornecer exercícios práticos baseados em funções	Manual, Desabilitado	1.1.0
Fornecer treinamento de segurança antes de fornecer acesso	CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso	Manual, Desabilitado	1.1.0
Fornecer treinamento de segurança para novos usuários	CMA_0419 - Fornecer treinamento de segurança para novos usuários	Manual, Desabilitado	1.1.0

Princípio 5 do COSO

ID: SOC 2 Tipo 2 CC1.5 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Desenvolver procedimentos e políticas de uso aceitáveis	CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis	Manual, Desabilitado	1.1.0
Aplicar regras de comportamento e contratos de acesso	CMA_0248 – Aplicar regras de comportamento e contratos de acesso	Manual, Desabilitado	1.1.0
Implementar processo formal de sanções	CMA_0317 – Implementar processo formal de sanções	Manual, Desabilitado	1.1.0
Notificar o pessoal sobre as sanções	CMA_0380 – Notificar o pessoal sobre sanções	Manual, Desabilitado	1.1.0

Comunicação e Informação

Princípio 13 do COSO

ID: SOC 2 Tipo 2 CC2.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	Manual, Desabilitado	1.1.0
Examinar a atividade e a análise de rótulos	CMA_0474 – Examinar a atividade e a análise de rótulos	Manual, Desabilitado	1.1.0

Princípio 14 do COSO

ID: SOC 2 Tipo 2 CC2.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Desenvolver procedimentos e políticas de uso aceitáveis	CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis	Manual, Desabilitado	1.1.0
A notificação por email para alertas de severidade alta deve ser habilitada	Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança.	AuditIfNotExists, desabilitado	1.0.1
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada	Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança.	AuditIfNotExists, desabilitado	2.0.0
Aplicar regras de comportamento e contratos de acesso	CMA_0248 – Aplicar regras de comportamento e contratos de acesso	Manual, Desabilitado	1.1.0
Fornecer treinamento periódico de segurança baseada em funções	CMA_C1095 – Fornecer treinamento periódico de segurança baseada em funções	Manual, Desabilitado	1.1.0
Fornecer treinamento periódico sobre conscientização de segurança	CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança	Manual, Desabilitado	1.1.0
Fornecer treinamento de segurança antes de fornecer acesso	CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso	Manual, Desabilitado	1.1.0
Fornecer treinamento de segurança para novos usuários	CMA_0419 - Fornecer treinamento de segurança para novos usuários	Manual, Desabilitado	1.1.0
As assinaturas devem ter um endereço de email de contato para problemas de segurança	Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança.	AuditIfNotExists, desabilitado	1.0.1

Princípio 15 do COSO

ID: SOC 2 Tipo 2 CC2.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Definir as tarefas dos processadores	CMA_0127 – Definir as tarefas dos processadores	Manual, Desabilitado	1.1.0
Fornecer resultados da avaliação de segurança	CMA_C1147 – Fornecer resultados da avaliação de segurança	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
A notificação por email para alertas de severidade alta deve ser habilitada	Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança.	AuditIfNotExists, desabilitado	1.0.1
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada	Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança.	AuditIfNotExists, desabilitado	2.0.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança de pessoal terceirizado	CMA_C1529 – Estabelecer requisitos de segurança de pessoal terceirizado	Manual, Desabilitado	1.1.0
Implementar métodos de entrega de aviso de privacidade	CMA_0324 - Implementar métodos de entrega de avisos de privacidade	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0
Produzir relatórios de avaliação de segurança	CMA_C1146 – Produzir relatórios de avaliação de segurança	Manual, Desabilitado	1.1.0
Fornecer aviso de privacidade	CMA_0414 - Fornecer aviso de privacidade	Manual, Desabilitado	1.1.0
Exigir que provedores terceiros cumpram as políticas e os procedimentos de segurança de pessoal	CMA_C1530 – Exigir que provedores terceiros cumpram as políticas e procedimentos de segurança de pessoal	Manual, Desabilitado	1.1.0
Restringir comunicações	CMA_0449 - Restringir comunicações	Manual, Desabilitado	1.1.0
As assinaturas devem ter um endereço de email de contato para problemas de segurança	Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança.	AuditIfNotExists, desabilitado	1.0.1

Avaliação de risco

Princípio 6 do COSO

ID: SOC 2 Tipo 2 CC3.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Categorizar informações	CMA_0052 – Categorizar informações	Manual, Desabilitado	1.1.0
Determinar as necessidades de proteção de informações	CMA_C1750 – Determinar as necessidades de proteção de informações	Manual, Desabilitado	1.1.0
Desenvolver esquemas de classificação de negócios	CMA_0155 – Desenvolver esquemas de classificação de negócios	Manual, Desabilitado	1.1.0
Desenvolver um SSP que atenda aos critérios	CMA_C1492 – Desenvolver um SSP que atenda aos critérios	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0
Examinar a atividade e a análise de rótulos	CMA_0474 – Examinar a atividade e a análise de rótulos	Manual, Desabilitado	1.1.0

Princípio 7 do COSO

ID: SOC 2 Tipo 2 CC3.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Categorizar informações	CMA_0052 – Categorizar informações	Manual, Desabilitado	1.1.0
Determinar as necessidades de proteção de informações	CMA_C1750 – Determinar as necessidades de proteção de informações	Manual, Desabilitado	1.1.0
Desenvolver esquemas de classificação de negócios	CMA_0155 – Desenvolver esquemas de classificação de negócios	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
Examinar a atividade e a análise de rótulos	CMA_0474 – Examinar a atividade e a análise de rótulos	Manual, Desabilitado	1.1.0
A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL	Audite cada Instância Gerenciada de SQL que não tem verificações recorrentes de avaliação de vulnerabilidade habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados.	AuditIfNotExists, desabilitado	1.0.1
A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL	Audite os servidores SQL do Azure sem verificações recorrentes de avaliação de vulnerabilidade ativadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados.	AuditIfNotExists, desabilitado	3.0.0

Princípio 8 do COSO

ID: SOC 2 Tipo 2 CC3.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0

Princípio 9 do COSO

ID: SOC 2 Tipo 2 CC3.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Avaliar o risco em relacionamentos de terceiros	CMA_0014 – Avaliar o risco em relacionamentos de terceiros	Manual, Desabilitado	1.1.0
Definir requisitos para o fornecimento de bens e serviços	CMA_0126 – Definir requisitos para o fornecimento de bens e serviços	Manual, Desabilitado	1.1.0
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos	CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0

Atividades de monitoramento

Princípio 16 do COSO

ID: SOC 2 Tipo 2 CC4.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Avaliar controles de segurança	CMA_C1145 – Avaliar controles de segurança	Manual, Desabilitado	1.1.0
Desenvolver plano de avaliação de segurança	CMA_C1144 – Desenvolver plano de avaliação de segurança	Manual, Desabilitado	1.1.0
Selecionar testes adicionais para avaliações de controle de segurança	CMA_C1149 – Selecionar testes adicionais para avaliações de controle de segurança	Manual, Desabilitado	1.1.0

Princípio 17 do COSO

ID: SOC 2 Tipo 2 CC4.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Fornecer resultados da avaliação de segurança	CMA_C1147 – Fornecer resultados da avaliação de segurança	Manual, Desabilitado	1.1.0
Produzir relatórios de avaliação de segurança	CMA_C1146 – Produzir relatórios de avaliação de segurança	Manual, Desabilitado	1.1.0

Atividades de controle

Princípio 10 do COSO

ID: SOC 2 Tipo 2 CC5.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0

Princípio 11 do COSO

ID: SOC 2 Tipo 2 CC5.2 Propriedade: Compartilhada

Princípio 12 do COSO

ID: SOC 2 Tipo 2 CC5.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Configurar lista de permissões de detecção	CMA_0068 – Configurar lista de permissões de detecção	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade	CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0

Controles de acesso lógico e físico

Software, infraestrutura e arquiteturas de segurança de acesso lógico

ID: SOC 2 Tipo 2 CC6.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura	Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido.	AuditIfNotExists, desabilitado	3.0.0
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual	A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores.	AuditIfNotExists, desabilitado	3.0.0
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS	O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede.	Auditoria, desabilitado, negação	4.0.0
Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS	Habilite a imposição de FTPS para reforçar a segurança.	AuditIfNotExists, desabilitado	3.0.0
A autenticação para computadores Linux deve exigir chaves SSH	Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, desabilitado	2.4.0
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Autorizar o acesso remoto	CMA_0024 – Autorizar o acesso remoto	Manual, Desabilitado	1.1.0
As variáveis da conta de automação devem ser criptografadas	É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais	Audit, Deny, desabilitado	1.1.0
As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos	Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	1.1.0
Os workspaces do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente	Gerencie a criptografia em repouso dos dados do Workspace do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk.	Audit, Deny, desabilitado	1.0.3
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas	Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login.	AuditIfNotExists, desabilitado	1.0.0
As contas dos Serviços Cognitivos devem habilitar a criptografia de dados com uma chave gerenciada pelo cliente	As chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados armazenados em Serviços Cognitivos sejam criptografados com uma chave do Azure Key Vault criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre as chaves gerenciadas pelo cliente em https://go.microsoft.com/fwlink/?linkid=2121321.	Audit, Deny, desabilitado	2.1.0
Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente	Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK.	Audit, Deny, desabilitado	1.1.2
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Criar um estoque de dados	CMA_0096 – Criar um estoque de dados	Manual, Desabilitado	1.1.0
Definir um processo de gerenciamento de chave física	CMA_0115 – Definir um processo de gerenciamento de chave física	Manual, Desabilitado	1.1.0
Definir o uso de criptografia	CMA_0120 – Definir o uso de criptografia	Manual, Desabilitado	1.1.0
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	Manual, Desabilitado	1.1.0
Criar um modelo de controle de acesso	CMA_0129 – Criar um modelo de controle de acesso	Manual, Desabilitado	1.1.0
Determinar os requisitos da declaração	CMA_0136 – Determinar os requisitos da declaração	Manual, Desabilitado	1.1.0
Documentar o treinamento de mobilidade	CMA_0191 – Documentar o treinamento de mobilidade	Manual, Desabilitado	1.1.0
Documentar as diretrizes de acesso remoto	CMA_0196 – Documentar as diretrizes de acesso remoto	Manual, Desabilitado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desabilitado	1.1.0
Empregar acesso de privilégio mínimo	CMA_0212 – Empregar o acesso de privilégios mínimos	Manual, Desabilitado	1.1.0
Impor o acesso lógico	CMA_0245 – Impor o acesso lógico	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL	O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados.	Audit, desabilitado	1.0.1
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL	O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados.	Audit, desabilitado	1.0.1
Estabelecer um procedimento de gerenciamento de vazamento de dados	CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados	Manual, Desabilitado	1.1.0
Estabelecer padrões de configuração de firewall e roteador	CMA_0272 – Estabelecer padrões de configuração de firewall e roteador	Manual, Desabilitado	1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desabilitado	1.1.0
Os aplicativos de funções só devem ser acessíveis por HTTPS	O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede.	Auditoria, desabilitado, negação	5.0.0
Os aplicativos de funções devem exigir apenas o FTPS	Habilite a imposição de FTPS para reforçar a segurança.	AuditIfNotExists, desabilitado	3.0.0
Os aplicativos de funções devem usar a versão mais recente do TLS	Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão.	AuditIfNotExists, desabilitado	2.0.1
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas	Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
Identificar e gerenciar trocas de informações downstream	CMA_0298 – Identificar e gerenciar trocas de informações downstream	Manual, Desabilitado	1.1.0
Implementar controles para proteger sites de trabalho alternativos	CMA_0315 – Implementar controles para proteger sites de trabalho alternativos	Manual, Desabilitado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desabilitado	1.1.0
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desabilitado	3.0.0
Emitir certificados de chave pública	CMA_0347 – Emitir certificados de chave pública	Manual, Desabilitado	1.1.0
Os cofres de chaves devem ter a proteção contra exclusão habilitadas	A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão.	Audit, Deny, desabilitado	2.1.0
Os cofres de chaves devem ter a exclusão temporária habilitada	A exclusão de um cofre de chaves sem a exclusão temporária habilitada permanentemente exclui todos os segredos, as chaves e os certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável.	Audit, Deny, desabilitado	3.0.0
Os clusters do Kubernetes devem ser acessíveis somente via HTTPS	O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	9.1.0
Manter registros de processamento de dados pessoais	CMA_0353 – Manter registros de processamento de dados pessoais	Manual, Desabilitado	1.1.0
Gerenciar chaves de criptografia simétricas	CMA_0367 – Gerenciar chaves de criptografia simétricas	Manual, Desabilitado	1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	Manual, Desabilitado	1.1.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time	O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação	AuditIfNotExists, desabilitado	3.0.0
Portas de gerenciamento devem ser fechadas nas máquinas virtuais	As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina.	AuditIfNotExists, desabilitado	3.0.0
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desabilitado	3.0.0
Notificar usuários sobre logon ou acesso do sistema	CMA_0382 – Notificar usuários sobre logon ou acesso do sistema	Manual, Desabilitado	1.1.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas	Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão	Audit, Deny, desabilitado	1.0.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger informações especiais	CMA_0409 – Proteger informações especiais	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Restringir o acesso a chaves privadas	CMA_0445 – Restringir o acesso a chaves privadas	Manual, Desabilitado	1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desabilitado	1.1.0
A transferência segura para contas de armazenamento deve ser habilitada	Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão	Audit, Deny, desabilitado	2.0.0
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign	O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente	Audit, Deny, desabilitado	1.1.0
As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos	Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado.	Audit, Deny, desabilitado	2.0.0
Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos	Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado.	Audit, Deny, desabilitado	2.0.1
A conta de armazenamento que possui o contêiner com os logs de atividade deve ser criptografada com BYOK	Essa política auditará se a conta de armazenamento que possui o contêiner com logs de atividades estiver criptografada com BYOK. A política funcionará apenas se a conta de armazenamento estiver na mesma assinatura dos logs de atividades por design. Mais informações sobre a criptografia de Armazenamento do Microsoft Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok.	AuditIfNotExists, desabilitado	1.0.0
As contas de armazenamento devem usar uma chave gerenciada pelo cliente para criptografia	Proteja sua conta de armazenamento de blobs e arquivos com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente.	Audit, desabilitado	1.0.3
As sub-redes devem ser associadas a um Grupo de Segurança de Rede	Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede.	AuditIfNotExists, desabilitado	3.0.0
Deve haver mais de um proprietário atribuído à sua assinatura	Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador.	AuditIfNotExists, desabilitado	3.0.0
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada	A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade	AuditIfNotExists, desabilitado	2.0.0
As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento	Por padrão, o SO e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Os discos temporários, os caches de dados e os dados que fluem entre a computação e o armazenamento não são criptografados. Desconsidere essa recomendação se: 1. estiver usando a criptografia no host ou 2. a criptografia do lado do servidor no Managed Disks atender aos seus requisitos de segurança. Saiba mais em: Criptografia do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse,Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison	AuditIfNotExists, desabilitado	2.0.3
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros	Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores.	AuditIfNotExists, desabilitado	3.0.1

Provisionamento e remoção de acesso

ID: SOC 2 Tipo 2 CC6.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Atribuir gerentes de conta	CMA_0015 – Atribuir gerentes de conta	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas	Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login.	AuditIfNotExists, desabilitado	1.0.0
Documentar privilégios de acesso	CMA_0186 – Documentar privilégios de acesso	Manual, Desabilitado	1.1.0
Estabelecer condições para associação de função	CMA_0269 – Estabelecer condições para associação de função	Manual, Desabilitado	1.1.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas	Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas	Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 – Restringir o acesso a contas privilegiadas	Manual, Desabilitado	1.1.0
Examinar logs de provisionamento de conta	CMA_0460 – Examinar logs de provisionamento de conta	Manual, Desabilitado	1.1.0
Examinar contas de usuário	CMA_0480: – Examinar contas de usuário	Manual, Desabilitado	1.1.0

Acesso baseado em função e privilégio mínimo

ID: SOC 2 Tipo 2 CC6.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura	Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido.	AuditIfNotExists, desabilitado	3.0.0
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditoria o uso de funções personalizadas do RBAC	Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças	Audit, desabilitado	1.0.1
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes	Para fornecer filtragem granular sobre as ações que os utilizadores podem executar, utilize o Azure Role-Based Access Control (RBAC) para gerir permissões em clusters de serviço Kubernetes e configurar políticas de autorização relevantes.	Audit, desabilitado	1.0.3
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas	Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login.	AuditIfNotExists, desabilitado	1.0.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas	Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login.	AuditIfNotExists, desabilitado	1.0.0
Criar um modelo de controle de acesso	CMA_0129 – Criar um modelo de controle de acesso	Manual, Desabilitado	1.1.0
Empregar acesso de privilégio mínimo	CMA_0212 – Empregar o acesso de privilégios mínimos	Manual, Desabilitado	1.1.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas	Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas	Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas	Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
Monitorar atribuição de função com privilégios	CMA_0378 – Monitorar atribuição de função com privilégios	Manual, Desabilitado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 – Restringir o acesso a contas privilegiadas	Manual, Desabilitado	1.1.0
Examinar logs de provisionamento de conta	CMA_0460 – Examinar logs de provisionamento de conta	Manual, Desabilitado	1.1.0
Examinar contas de usuário	CMA_0480: – Examinar contas de usuário	Manual, Desabilitado	1.1.0
Examinar os privilégios do usuário	CMA_C1039 – Examinar os privilégios do usuário	Manual, Desabilitado	1.1.0
Revogar funções com privilégios conforme a necessidade	CMA_0483 – Revogar funções com privilégios conforme a necessidade	Manual, Desabilitado	1.1.0
Deve haver mais de um proprietário atribuído à sua assinatura	Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador.	AuditIfNotExists, desabilitado	3.0.0
Usar o Privileged Identity Management	CMA_0533 – Usar o Privileged Identity Management	Manual, Desabilitado	1.1.0

Acesso físico restrito

ID: SOC 2 Tipo 2 CC6.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0

Proteções lógicas e físicas sobre ativos físicos

ID: SOC 2 Tipo 2 CC6.5 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Empregar um mecanismo de limpeza de mídia	CMA_0208 - Empregar um mecanismo de limpeza de mídia	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0

Medidas de segurança contra ameaças fora dos limites do sistema

ID: SOC 2 Tipo 2 CC6.6 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual	A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores.	AuditIfNotExists, desabilitado	3.0.0
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS	O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede.	Auditoria, desabilitado, negação	4.0.0
Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS	Habilite a imposição de FTPS para reforçar a segurança.	AuditIfNotExists, desabilitado	3.0.0
A autenticação para computadores Linux deve exigir chaves SSH	Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, desabilitado	2.4.0
Autorizar o acesso remoto	CMA_0024 – Autorizar o acesso remoto	Manual, Desabilitado	1.1.0
O Firewall de Aplicativo Web do Azure deve ser habilitado em pontos de entrada do Azure Front Door	Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas.	Audit, Deny, desabilitado	1.0.2
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Documentar o treinamento de mobilidade	CMA_0191 – Documentar o treinamento de mobilidade	Manual, Desabilitado	1.1.0
Documentar as diretrizes de acesso remoto	CMA_0196 – Documentar as diretrizes de acesso remoto	Manual, Desabilitado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desabilitado	1.1.0
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL	O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados.	Audit, desabilitado	1.0.1
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL	O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados.	Audit, desabilitado	1.0.1
Estabelecer padrões de configuração de firewall e roteador	CMA_0272 – Estabelecer padrões de configuração de firewall e roteador	Manual, Desabilitado	1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desabilitado	1.1.0
Os aplicativos de funções só devem ser acessíveis por HTTPS	O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede.	Auditoria, desabilitado, negação	5.0.0
Os aplicativos de funções devem exigir apenas o FTPS	Habilite a imposição de FTPS para reforçar a segurança.	AuditIfNotExists, desabilitado	3.0.0
Os aplicativos de funções devem usar a versão mais recente do TLS	Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão.	AuditIfNotExists, desabilitado	2.0.1
Identificar e autenticar dispositivos de rede	CMA_0296 – Identificar e autenticar dispositivos de rede	Manual, Desabilitado	1.1.0
Identificar e gerenciar trocas de informações downstream	CMA_0298 – Identificar e gerenciar trocas de informações downstream	Manual, Desabilitado	1.1.0
Implementar controles para proteger sites de trabalho alternativos	CMA_0315 – Implementar controles para proteger sites de trabalho alternativos	Manual, Desabilitado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 – Implementar a proteção de limites do sistema	Manual, Desabilitado	1.1.0
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desabilitado	3.0.0
O encaminhamento IP na máquina virtual deve ser desabilitado	A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede.	AuditIfNotExists, desabilitado	3.0.0
Os clusters do Kubernetes devem ser acessíveis somente via HTTPS	O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	9.1.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time	O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação	AuditIfNotExists, desabilitado	3.0.0
Portas de gerenciamento devem ser fechadas nas máquinas virtuais	As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina.	AuditIfNotExists, desabilitado	3.0.0
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desabilitado	3.0.0
Notificar usuários sobre logon ou acesso do sistema	CMA_0382 – Notificar usuários sobre logon ou acesso do sistema	Manual, Desabilitado	1.1.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas	Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão	Audit, Deny, desabilitado	1.0.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0
A transferência segura para contas de armazenamento deve ser habilitada	Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão	Audit, Deny, desabilitado	2.0.0
As sub-redes devem ser associadas a um Grupo de Segurança de Rede	Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede.	AuditIfNotExists, desabilitado	3.0.0
O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo	Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas.	Audit, Deny, desabilitado	2.0.0
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros	Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores.	AuditIfNotExists, desabilitado	3.0.1

Restringir a movimentação de informações a usuários autorizados

ID: SOC 2 Tipo 2 CC6.7 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual	A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores.	AuditIfNotExists, desabilitado	3.0.0
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS	O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede.	Auditoria, desabilitado, negação	4.0.0
Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS	Habilite a imposição de FTPS para reforçar a segurança.	AuditIfNotExists, desabilitado	3.0.0
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Definir requisitos do dispositivo móvel	CMA_0122 - Definir requisitos do dispositivo móvel	Manual, Desabilitado	1.1.0
Empregar um mecanismo de limpeza de mídia	CMA_0208 - Empregar um mecanismo de limpeza de mídia	Manual, Desabilitado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desabilitado	1.1.0
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL	O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados.	Audit, desabilitado	1.0.1
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL	O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados.	Audit, desabilitado	1.0.1
Estabelecer padrões de configuração de firewall e roteador	CMA_0272 – Estabelecer padrões de configuração de firewall e roteador	Manual, Desabilitado	1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desabilitado	1.1.0
Os aplicativos de funções só devem ser acessíveis por HTTPS	O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede.	Auditoria, desabilitado, negação	5.0.0
Os aplicativos de funções devem exigir apenas o FTPS	Habilite a imposição de FTPS para reforçar a segurança.	AuditIfNotExists, desabilitado	3.0.0
Os aplicativos de funções devem usar a versão mais recente do TLS	Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão.	AuditIfNotExists, desabilitado	2.0.1
Identificar e gerenciar trocas de informações downstream	CMA_0298 – Identificar e gerenciar trocas de informações downstream	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desabilitado	3.0.0
Os clusters do Kubernetes devem ser acessíveis somente via HTTPS	O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	9.1.0
Gerenciar o transporte de ativos	CMA_0370 - Gerenciar o transporte de ativos	Manual, Desabilitado	1.1.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time	O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação	AuditIfNotExists, desabilitado	3.0.0
Portas de gerenciamento devem ser fechadas nas máquinas virtuais	As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina.	AuditIfNotExists, desabilitado	3.0.0
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desabilitado	3.0.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas	Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão	Audit, Deny, desabilitado	1.0.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0
A transferência segura para contas de armazenamento deve ser habilitada	Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão	Audit, Deny, desabilitado	2.0.0
As sub-redes devem ser associadas a um Grupo de Segurança de Rede	Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede.	AuditIfNotExists, desabilitado	3.0.0
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros	Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores.	AuditIfNotExists, desabilitado	3.0.1

Prevenir ou detectar software não autorizado ou malicioso

ID: SOC 2 Tipo 2 CC6.8 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
[Preterido]: Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada	Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes com certificados válidos poderão acessar o aplicativo. Essa política foi substituída por uma nova política com o mesmo nome porque o Http 2.0 não dá suporte a certificados de cliente.	Audit, desabilitado	3.1.0-preterido
Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores	Permita que os controles de aplicativos definam a lista de aplicativos considerados seguros em execução nos seus computadores e alertem você quando outros aplicativos forem executados. Isso ajuda a proteger seus computadores contra malware. Para simplificar o processo de configuração e manutenção de suas regras, a Central de Segurança usa o machine learning para analisar os aplicativos em execução em cada computador e sugerir a lista de aplicativos considerados seguros.	AuditIfNotExists, desabilitado	3.0.0
As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas	Monitore as alterações no comportamento dos grupos de computadores configurados para auditoria pelos controles de aplicativos adaptáveis da Central de Segurança do Azure. A Central de Segurança usa o machine learning para analisar os processos em execução em seus computadores e sugerir uma lista de aplicativos considerados seguros. Eles são apresentados como aplicativos recomendados para permitir as políticas de controle de aplicativos adaptáveis.	AuditIfNotExists, desabilitado	3.0.0
Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados	Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1.	AuditIfNotExists, desabilitado	1.0.0
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada	A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada.	AuditIfNotExists, desabilitado	2.0.0
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos	O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo.	AuditIfNotExists, desabilitado	2.0.0
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente	Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desabilitado	4.0.0
Auditar VMs que não usam discos gerenciados	Essa política audita VMs que não usam discos gerenciados	auditoria	1.0.0
O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters	O Complemento do Azure Policy para o AKS (serviço de Kubernetes) estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent), para aplicar as garantias e imposições em escala aos seus clusters de maneira centralizada e consistente.	Audit, desabilitado	1.0.2
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais	Faça a auditoria da existência de uma solução de proteção de ponto de extremidade e da sua integridade nos seus conjuntos de dimensionamento de máquinas virtuais, para protegê-los contra ameaças e vulnerabilidades.	AuditIfNotExists, desabilitado	3.0.0
Os Aplicativos de funções devem ter a depuração remota desativada	A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada.	AuditIfNotExists, desabilitado	2.0.0
Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos	O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções.	AuditIfNotExists, desabilitado	2.0.0
Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente	Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desabilitado	4.0.0
A extensão de Configuração de Convidado deve ser instalada nos seus computadores	Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol.	AuditIfNotExists, desabilitado	1.0.2
Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados	Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	10.1.0
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host	Impedir que os contêineres de pod compartilhem o namespace da ID do processo do host e o namespace do IPC do host em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	6.1.0
Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos	Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	7.1.1
Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas	Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	7.1.0
Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas	Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	10.1.1
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura	Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	7.1.0
Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos	Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	7.1.1
Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas	Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	7.1.1
Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados	Restrinja o acesso do pod à rede do host e ao intervalo de portas de host permitido em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	7.1.0
Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas	Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	9.1.0
O cluster do Kubernetes não deve permitir contêineres privilegiados	Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	10.1.0
Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática	Desabilite as credenciais da API de montagem automática para evitar que um recurso Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	5.1.0
Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner	Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	8.1.0
Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN	Para reduzir a superfície de ataque dos seus contêineres, restrinja as funcionalidades CAP_SYS_ADMIN do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	6.1.0
Os clusters do Kubernetes não devem usar o namespace padrão	Impeça o uso do namespace padrão em clusters do Kubernetes para proteger contra acesso não autorizado para tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	5.1.0
Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure.	AuditIfNotExists, desabilitado	1.5.0
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
Monitorar o Endpoint Protection ausente na Central de Segurança do Azure	Servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações	AuditIfNotExists, desabilitado	3.1.0
Somente as extensões aprovadas da VM devem ser instaladas	Essa política rege as extensões da máquina virtual que não foram aprovadas.	Audit, Deny, desabilitado	1.0.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Examinar o relatório de detecções de malware semanalmente	CMA_0475 – Examinar o relatório de detecções de malware semanalmente	Manual, Desabilitado	1.1.0
Examinar o status de proteção contra ameaças semanalmente	CMA_0479 – Examinar o status de proteção contra ameaças semanalmente	Manual, Desabilitado	1.1.0
As contas de armazenamento devem permitir o acesso de serviços confiáveis da Microsoft	Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes que não podem ter o acesso concedido por meio de regras de rede. Para ajudar esse tipo de serviço a funcionar como esperado, você pode permitir que o conjunto de serviços Microsoft confiáveis ignore as regras de rede. Esses serviços usarão então a autenticação forte para acessar a conta de armazenamento.	Audit, Deny, desabilitado	1.0.0
Atualizar definições de antivírus	CMA_0517 – Atualizar as definições de antivírus	Manual, Desabilitado	1.1.0
Verificar integridade de software, firmware e informações	CMA_0542 – Verificar integridade de software, firmware e informações	Manual, Desabilitado	1.1.0
Exibir e configurar dados de diagnóstico do sistema	CMA_0544 – Exibir e configurar dados de diagnóstico do sistema	Manual, Desabilitado	1.1.0
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema	A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol	AuditIfNotExists, desabilitado	1.0.1
Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure.	AuditIfNotExists, desabilitado	1.0.0

Operações de sistema

Detecção e monitoramento de novas vulnerabilidades

ID: SOC 2 Tipo 2 CC7.1 Propriedade: Compartilhada

Monitore os componentes do sistema quanto a comportamento anômalo

ID: SOC 2 Tipo 2 CC7.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
[Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada	A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, desabilitado	4.0.1-preview
Um alerta do log de atividades deve existir para Operações administrativas específicas	Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados.	AuditIfNotExists, desabilitado	1.0.0
Um alerta do log de atividades deve existir para Operações de política específicas	Essa política audita Operações de política específicas sem alertas do log de atividades configurados.	AuditIfNotExists, desabilitado	3.0.0
Um alerta do log de atividades deve existir para Operações de segurança específicas	Essa política audita Operações de segurança específicas sem alertas do log de atividades configurados.	AuditIfNotExists, desabilitado	1.0.0
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado	O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais.	AuditIfNotExists, desabilitado	1.0.2
O Azure Defender para Resource Manager deve ser habilitado	O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center.	AuditIfNotExists, desabilitado	1.0.0
O Azure Defender para servidores deve estar habilitado	O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas.	AuditIfNotExists, desabilitado	1.0.3
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos	Auditar servidores SQL sem Segurança de Dados Avançada	AuditIfNotExists, desabilitado	2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas	Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada.	AuditIfNotExists, desabilitado	1.0.2
Detectar serviços de rede que não foram autorizados nem aprovados	CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados	Manual, Desabilitado	1.1.0
Controlar e monitorar atividades de processamento de auditoria	CMA_0289 – Controlar e monitorar atividades de processamento de auditoria	Manual, Desabilitado	1.1.0
O Microsoft Defender para Contêineres deve estar habilitado	O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens.	AuditIfNotExists, desabilitado	1.0.0
O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado	O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento.	AuditIfNotExists, desabilitado	1.0.4
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
O Microsoft Defender Exploit Guard deve estar habilitado nos computadores	O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows).	AuditIfNotExists, desabilitado	1.1.1

Detecção de incidentes de segurança

ID: SOC 2 Tipo 2 CC7.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Revisar e atualizar as políticas e procedimentos de resposta a incidentes	CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes	Manual, Desabilitado	1.1.0

Resposta a incidentes de segurança

ID: SOC 2 Tipo 2 CC7.4 Propriedade: Compartilhada

Recuperação de incidentes de segurança identificados

ID: SOC 2 Tipo 2 CC7.5 Propriedade: Compartilhada

Gerenciamento de alterações

Alterações na infraestrutura, dados e software

ID: SOC 2 Tipo 2 CC8.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
[Preterido]: Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada	Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes com certificados válidos poderão acessar o aplicativo. Essa política foi substituída por uma nova política com o mesmo nome porque o Http 2.0 não dá suporte a certificados de cliente.	Audit, desabilitado	3.1.0-preterido
Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados	Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1.	AuditIfNotExists, desabilitado	1.0.0
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada	A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada.	AuditIfNotExists, desabilitado	2.0.0
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos	O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo.	AuditIfNotExists, desabilitado	2.0.0
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente	Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desabilitado	4.0.0
Auditar VMs que não usam discos gerenciados	Essa política audita VMs que não usam discos gerenciados	auditoria	1.0.0
O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters	O Complemento do Azure Policy para o AKS (serviço de Kubernetes) estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent), para aplicar as garantias e imposições em escala aos seus clusters de maneira centralizada e consistente.	Audit, desabilitado	1.0.2
Realizar uma análise de impacto de segurança	CMA_0057 - Realizar uma análise de impacto de segurança	Manual, Desabilitado	1.1.0
Configurar ações para os dispositivos sem conformidade	CMA_0062 – Configurar ações para os dispositivos sem conformidade	Manual, Desabilitado	1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	Manual, Desabilitado	1.1.0
Desenvolver e manter configurações de linha de base	CMA_0153 – Desenvolver e manter configurações de linha de base	Manual, Desabilitado	1.1.0
Impor definições de configuração de segurança	CMA_0249 – Impor definições de configuração de segurança	Manual, Desabilitado	1.1.0
Estabelecer um comitê de controle de configuração	CMA_0254 – Estabelecer um comitê de controle de configuração	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Estabelecer e documentar um plano de gerenciamento de configuração	CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Os Aplicativos de funções devem ter a depuração remota desativada	A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada.	AuditIfNotExists, desabilitado	2.0.0
Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos	O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções.	AuditIfNotExists, desabilitado	2.0.0
Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente	Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desabilitado	4.0.0
A extensão de Configuração de Convidado deve ser instalada nos seus computadores	Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol.	AuditIfNotExists, desabilitado	1.0.2
Implementar uma ferramenta de gerenciamento de configuração automatizada	CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada	Manual, Desabilitado	1.1.0
Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados	Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	10.1.0
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host	Impedir que os contêineres de pod compartilhem o namespace da ID do processo do host e o namespace do IPC do host em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	6.1.0
Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos	Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	7.1.1
Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas	Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	7.1.0
Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas	Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	10.1.1
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura	Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	7.1.0
Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos	Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	7.1.1
Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas	Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	7.1.1
Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados	Restrinja o acesso do pod à rede do host e ao intervalo de portas de host permitido em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	7.1.0
Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas	Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	9.1.0
O cluster do Kubernetes não deve permitir contêineres privilegiados	Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	10.1.0
Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática	Desabilite as credenciais da API de montagem automática para evitar que um recurso Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	5.1.0
Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner	Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	8.1.0
Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN	Para reduzir a superfície de ataque dos seus contêineres, restrinja as funcionalidades CAP_SYS_ADMIN do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	6.1.0
Os clusters do Kubernetes não devem usar o namespace padrão	Impeça o uso do namespace padrão em clusters do Kubernetes para proteger contra acesso não autorizado para tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc.	auditar, Auditar, negar, Negar, desabilitado, Desabilitado	5.1.0
Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure.	AuditIfNotExists, desabilitado	1.5.0
Somente as extensões aprovadas da VM devem ser instaladas	Essa política rege as extensões da máquina virtual que não foram aprovadas.	Audit, Deny, desabilitado	1.0.0
Executar uma avaliação de impacto de privacidade	CMA_0387 - Executar uma avaliação de impacto de privacidade	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
As contas de armazenamento devem permitir o acesso de serviços confiáveis da Microsoft	Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes que não podem ter o acesso concedido por meio de regras de rede. Para ajudar esse tipo de serviço a funcionar como esperado, você pode permitir que o conjunto de serviços Microsoft confiáveis ignore as regras de rede. Esses serviços usarão então a autenticação forte para acessar a conta de armazenamento.	Audit, Deny, desabilitado	1.0.0
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema	A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol	AuditIfNotExists, desabilitado	1.0.1
Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure.	AuditIfNotExists, desabilitado	1.0.0

Mitigação de risco

Atividades de mitigação de riscos

ID: SOC 2 Tipo 2 CC9.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Determinar as necessidades de proteção de informações	CMA_C1750 – Determinar as necessidades de proteção de informações	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0

Gestão de riscos de fornecedores e parceiros de negócios

ID: SOC 2 Tipo 2 CC9.2 Propriedade: Compartilhada

Critérios Adicionais de Privacidade

Aviso de privacidade

ID: SOC 2 Tipo 2 P1.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Documentar e distribuir uma política de privacidade	CMA_0188 - Documentar e distribuir uma política de privacidade	Manual, Desabilitado	1.1.0
Garantir que as informações do programa de privacidade estejam disponíveis publicamente	CMA_C1867 - Garantir que as informações do programa de privacidade estejam disponíveis publicamente	Manual, Desabilitado	1.1.0
Implementar métodos de entrega de aviso de privacidade	CMA_0324 - Implementar métodos de entrega de avisos de privacidade	Manual, Desabilitado	1.1.0
Fornecer aviso de privacidade	CMA_0414 - Fornecer aviso de privacidade	Manual, Desabilitado	1.1.0
Fornecer aviso de privacidade ao público e aos indivíduos	CMA_C1861 – Fornecer aviso de privacidade ao público e aos indivíduos	Manual, Desabilitado	1.1.0

ID: SOC 2 Tipo 2 P2.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Documentar aceitação do pessoal de requisitos de privacidade	CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade	Manual, Desabilitado	1.1.0
Implementar métodos de entrega de aviso de privacidade	CMA_0324 - Implementar métodos de entrega de avisos de privacidade	Manual, Desabilitado	1.1.0
Obter consentimento antes da coleta ou processamento de dados pessoais	CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais	Manual, Desabilitado	1.1.0
Fornecer aviso de privacidade	CMA_0414 - Fornecer aviso de privacidade	Manual, Desabilitado	1.1.0

Coleta consistente de informações pessoais

ID: SOC 2 Tipo 2 P3.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Determinar autoridade legal para coletar PII	CMA_C1800 – Determinar autoridade legal para coletar PII	Manual, Desabilitado	1.1.0
Documentar processo para garantir a integridade das PII	CMA_C1827 – Documentar processo para garantir a integridade das PII	Manual, Desabilitado	1.1.0
Avaliar e revisar regularmente as propriedades de dados pessoais	CMA_C1832 – Avaliar e revisar regularmente o acervo das PII	Manual, Desabilitado	1.1.0
Obter consentimento antes da coleta ou processamento de dados pessoais	CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais	Manual, Desabilitado	1.1.0

ID: SOC 2 Tipo 2 P3.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Colete PII diretamente do indivíduo	CMA_C1822 – Colete PII diretamente do indivíduo	Manual, Desabilitado	1.1.0
Obter consentimento antes da coleta ou processamento de dados pessoais	CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais	Manual, Desabilitado	1.1.0

Uso de informações pessoais

ID: SOC 2 Tipo 2 P4.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Documentar a base jurídica para o processamento de informações pessoais	CMA_0206 – Documentar a base jurídica para o processamento de informações pessoais	Manual, Desabilitado	1.1.0
Implementar métodos de entrega de aviso de privacidade	CMA_0324 - Implementar métodos de entrega de avisos de privacidade	Manual, Desabilitado	1.1.0
Obter consentimento antes da coleta ou processamento de dados pessoais	CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais	Manual, Desabilitado	1.1.0
Fornecer aviso de privacidade	CMA_0414 - Fornecer aviso de privacidade	Manual, Desabilitado	1.1.0
Restringir comunicações	CMA_0449 - Restringir comunicações	Manual, Desabilitado	1.1.0

Retenção de informações pessoais

ID: SOC 2 Tipo 2 P4.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Obedecer os períodos de retenção definidos	CMA_0004 – Obedecer os períodos de retenção definidos	Manual, Desabilitado	1.1.0
Documentar processo para garantir a integridade das PII	CMA_C1827 – Documentar processo para garantir a integridade das PII	Manual, Desabilitado	1.1.0

Eliminação de informações pessoais

ID: SOC 2 Tipo 2 P4.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Executar revisão de disposição	CMA_0391 - Executar revisão de disposição	Manual, Desabilitado	1.1.0
Verificar se os dados pessoais foram excluídos ao final do processamento	CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento	Manual, Desabilitado	1.1.0

Acesso a informações pessoais

ID: SOC 2 Tipo 2 P5.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Implementar métodos para solicitações de consumidor	CMA_0319 - Implementar métodos para solicitações de consumidor	Manual, Desabilitado	1.1.0
Publicar regras e regulamentos que acessem os registros da Lei de Privacidade	CMA_C1847 - Publicar regras e regulamentos que acessem os registros da Lei de Privacidade	Manual, Desabilitado	1.1.0

Correção de informações pessoais

ID: SOC 2 Tipo 2 P5.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Responder a pedidos de retificação	CMA_0442 – Responder a solicitações de retificação	Manual, Desabilitado	1.1.0

Divulgação de informações pessoais a terceiros

ID: SOC 2 Tipo 2 P6.1 Propriedade: Compartilhada

Divulgação autorizada de registro de informações pessoais

ID: SOC 2 Tipo 2 P6.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Manter contabilidade precisa das divulgações de informações	CMA_C1818 – Manter contabilidade precisa das divulgações de informações	Manual, Desabilitado	1.1.0

Divulgação não autorizada de registro de informações pessoais

ID: SOC 2 Tipo 2 P6.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Manter contabilidade precisa das divulgações de informações	CMA_C1818 – Manter contabilidade precisa das divulgações de informações	Manual, Desabilitado	1.1.0

Contratos de terceiros

ID: SOC 2 Tipo 2 P6.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Definir as tarefas dos processadores	CMA_0127 – Definir as tarefas dos processadores	Manual, Desabilitado	1.1.0

Notificação de divulgação não autorizada de terceiros

ID: SOC 2 Tipo 2 P6.5 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Documentar critérios de aceitação do contrato de aquisição	CMA_0187 – Documentar critérios de aceitação do contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição	CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição	CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos	CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos	Manual, Desabilitado	1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição	CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição	CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição	CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados	CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados	Manual, Desabilitado	1.1.0
Segurança da informação e proteção de dados pessoais	CMA_0332 – Segurança da informação e proteção de dados pessoais	Manual, Desabilitado	1.1.0

Notificação de incidente de privacidade

ID: SOC 2 Tipo 2 P6.6 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Segurança da informação e proteção de dados pessoais	CMA_0332 – Segurança da informação e proteção de dados pessoais	Manual, Desabilitado	1.1.0

Contabilização da divulgação de informações pessoais

ID: SOC 2 Tipo 2 P6.7 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Implementar métodos de entrega de avisos de privacidade	CMA_0324 - Implementar métodos de entrega de avisos de privacidade	Manual, Desabilitado	1.1.0
Manter contabilidade precisa das divulgações de informações	CMA_C1818 – Manter contabilidade precisa das divulgações de informações	Manual, Desabilitado	1.1.0
Disponibilizar a contabilidade de divulgações mediante solicitação	CMA_C1820 – Disponibilizar a contabilidade de divulgações mediante solicitação	Manual, Desabilitado	1.1.0
Fornecer aviso de privacidade	CMA_0414 - Fornecer aviso de privacidade	Manual, Desabilitado	1.1.0
Restringir comunicações	CMA_0449 - Restringir comunicações	Manual, Desabilitado	1.1.0

Qualidade da informação pessoal

ID: SOC 2 Tipo 2 P7.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Confirmar a qualidade e a integridade das PII	CMA_C1821 – Confirmar a qualidade e a integridade das PII	Manual, Desabilitado	1.1.0
Emitir diretrizes para garantir a qualidade e a integridade dos dados	CMA_C1824 – Emitir diretrizes para garantir a qualidade e a integridade dos dados	Manual, Desabilitado	1.1.0
Verifique PII imprecisas ou desatualizadas	CMA_C1823 - Verifique PII imprecisas ou desatualizadas	Manual, Desabilitado	1.1.0

Gerenciamento de reclamações de privacidade e gerenciamento de conformidade

ID: SOC 2 Tipo 2 P8.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Documentar e implementar procedimentos de reclamação de privacidade	CMA_0189 - Documentar e implementar procedimentos de reclamação de privacidade	Manual, Desabilitado	1.1.0
Avaliar e revisar regularmente as propriedades de dados pessoais	CMA_C1832 – Avaliar e revisar regularmente o acervo das PII	Manual, Desabilitado	1.1.0
Segurança da informação e proteção de dados pessoais	CMA_0332 – Segurança da informação e proteção de dados pessoais	Manual, Desabilitado	1.1.0
Responder a reclamações, preocupações ou perguntas em tempo hábil	CMA_C1853 – Responder a reclamações, preocupações ou perguntas em tempo hábil	Manual, Desabilitado	1.1.0
Treinar pessoal sobre o compartilhamento de PII e suas consequências	CMA_C1871 – Treinar pessoal sobre o compartilhamento de PII e suas consequências	Manual, Desabilitado	1.1.0

Critérios adicionais para integridade de processamento

Definições de processamento de dados

ID: SOC 2 Tipo 2 PI1.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Implementar métodos de entrega de avisos de privacidade	CMA_0324 - Implementar métodos de entrega de avisos de privacidade	Manual, Desabilitado	1.1.0
Fornecer aviso de privacidade	CMA_0414 - Fornecer aviso de privacidade	Manual, Desabilitado	1.1.0
Restringir comunicações	CMA_0449 - Restringir comunicações	Manual, Desabilitado	1.1.0

Entradas do sistema sobre integridade e precisão

ID: SOC 2 Tipo 2 PI1.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Executar validação de entrada de informações	CMA_C1723 – Executar validação de entrada de informações	Manual, Desabilitado	1.1.0

Processamento do sistema

ID: SOC 2 Tipo 2 PI1.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Gerar mensagens de erro	CMA_C1724 – Gerar mensagens de erro	Manual, Desabilitado	1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	Manual, Desabilitado	1.1.0
Executar validação de entrada de informações	CMA_C1723 – Executar validação de entrada de informações	Manual, Desabilitado	1.1.0
Examinar a atividade e a análise de rótulos	CMA_0474 – Examinar a atividade e a análise de rótulos	Manual, Desabilitado	1.1.0

A saída do sistema é completa, precisa e oportuna

ID: SOC 2 Tipo 2 PI1.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	Manual, Desabilitado	1.1.0
Examinar a atividade e a análise de rótulos	CMA_0474 – Examinar a atividade e a análise de rótulos	Manual, Desabilitado	1.1.0

Armazene entradas e saídas de forma completa, precisa e oportuna

ID: SOC 2 Tipo 2 PI1.5 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
O Backup do Azure deve ser habilitado para máquinas virtuais	Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure.	AuditIfNotExists, desabilitado	3.0.0
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Estabelecer políticas e procedimentos de backup	CMA_0268 - Estabelecer políticas e procedimentos de backup	Manual, Desabilitado	1.1.0
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB	O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor.	Audit, desabilitado	1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL	O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor.	Audit, desabilitado	1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL	O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor.	Audit, desabilitado	1.0.1
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	Manual, Desabilitado	1.1.0
Examinar a atividade e a análise de rótulos	CMA_0474 – Examinar a atividade e a análise de rótulos	Manual, Desabilitado	1.1.0
Armazenar informações de backup separadamente	CMA_C1293 - Armazenar informações de backup separadamente	Manual, Desabilitado	1.1.0

Próximas etapas

Artigos adicionais sobre o Azure Policy:

Visão geral da Conformidade Regulatória.
Consulte a estrutura de definição da iniciativa.
Veja outros exemplos em Amostras do Azure Policy.
Revisar Compreendendo os efeitos da política.
Saiba como corrigir recursos fora de conformidade.

Nome _{(Portal do Azure)}	Descrição	Efeito(s)	Versão _(GitHub)
Avaliar eventos de segurança da informação	CMA_0013 – Avaliar eventos de segurança da informação	Manual, Desabilitado	1.1.0
Coordenar os planos de contingência com os planos relacionados	CMA_0086 - Coordenar os planos de contingência com os planos relacionados	Manual, Desabilitado	1.1.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Desenvolver proteções de segurança	CMA_0161 – Desenvolver proteções de segurança	Manual, Desabilitado	1.1.0
A notificação por email para alertas de severidade alta deve ser habilitada	Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança.	AuditIfNotExists, desabilitado	1.0.1
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada	Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança.	AuditIfNotExists, desabilitado	2.0.0
Habilitar a proteção de rede	CMA_0238 – Habilitar a proteção de rede	Manual, Desabilitado	1.1.0
Erradicar informações contaminadas	CMA_0253 – Erradicar informações contaminadas	Manual, Desabilitado	1.1.0
Executar ações em resposta a despejos de informações	CMA_0281 – Executar ações em resposta a despejos de informações	Manual, Desabilitado	1.1.0
Identificar classes de incidentes e ações tomadas	CMA_C1365 – Identificar classes de incidentes e ações tomadas	Manual, Desabilitado	1.1.0
Implementar tratamento de incidentes	CMA_0318 – Implementar tratamento de incidentes	Manual, Desabilitado	1.1.0
Inclui reconfiguração dinâmica de recursos implantados pelo cliente	CMA_C1364 - Inclui reconfiguração dinâmica de recursos implantados pelo cliente	Manual, Desabilitado	1.1.0
Manter plano de resposta a incidentes	CMA_0352 – Manter plano de resposta a incidentes	Manual, Desabilitado	1.1.0
O Observador de Rede deve ser habilitado	O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica.	AuditIfNotExists, desabilitado	3.0.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
As assinaturas devem ter um endereço de email de contato para problemas de segurança	Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança.	AuditIfNotExists, desabilitado	1.0.1
Exibir e investigar usuários restritos	CMA_0545 – Exibir e investigar usuários restritos	Manual, Desabilitado	1.1.0

Share via