Compartilhar via


Detalhes da iniciativa interna de Conformidade Regulatória PCI DSS 3.2.1

O artigo a seguir fornece detalhes sobre como a definição da iniciativa interna de Conformidade Regulatória do Azure Policy é mapeada para domínios de conformidade e controles no PCI DSS 3.2.1. Para obter mais informações sobre esse padrão de conformidade, confira PCI DSS 3.2.1. Para entender Propriedade, confira os artigos sobre tipo de política e Responsabilidade compartilhada na nuvem.

Os seguintes mapeamentos referem-se aos controles de PCI DSS 3.2.1. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição de iniciativa interna de Conformidade Regulatória PCI v3.2.1:2018.

Importante

Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.

Requisito 1

Requisito 1.3.2 de PCI DSS

ID: PCI DSS v3.2.1 1.3.2 Propriedade: cliente

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. AuditIfNotExists, desabilitado 3.0.0
As contas de armazenamento devem restringir o acesso da rede O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet Audit, Deny, desabilitado 1.1.1

Requisito 1.3.4 de PCI DSS

ID: PCI DSS v3.2.1 1.3.4 Propriedade: cliente

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. AuditIfNotExists, desabilitado 3.0.0
As contas de armazenamento devem restringir o acesso da rede O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet Audit, Deny, desabilitado 1.1.1

Requisito 10

Requisito 10.5.4 de PCI DSS

ID: PCI DSS v3.2.1 10.5.4 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar configuração de diagnóstico para tipos de recursos selecionados Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico. AuditIfNotExists 2.0.1
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desabilitado 2.0.0
As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: controle de acesso (RBAC) mais forte, melhor auditoria, implantação e controle com base no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves por segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança Audit, Deny, desabilitado 1.0.0
As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager Use o novo Azure Resource Manager para suas máquinas virtuais a fim de fornecer melhorias de segurança como: RBAC (controle de acesso) mais forte, melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos visando facilitar o gerenciamento da segurança Audit, Deny, desabilitado 1.0.0

Requisito 11

Requisito 11.2.1 de PCI DSS

ID: PCI DSS v3.2.1 11.2.1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. AuditIfNotExists, desabilitado 3.0.0
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 4.1.0
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desabilitado 3.1.0

Requisito 3

Requisito 3.2 do PCI DSS

ID: PCI DSS v3.2.1 3.2 Propriedade: cliente

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.0.0
Auditoria o uso de funções personalizadas do RBAC Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças Audit, desabilitado 1.0.1
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0

Requisito 3.4 de PCI DSS

ID: PCI DSS v3.2.1 3.4 Propriedade: cliente

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 4.0.0
As variáveis da conta de automação devem ser criptografadas É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais Audit, Deny, desabilitado 1.1.0
Os aplicativos de funções só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 5.0.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão Audit, Deny, desabilitado 1.0.0
A transferência segura para contas de armazenamento deve ser habilitada Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Audit, Deny, desabilitado 2.0.0
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente Audit, Deny, desabilitado 1.1.0
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desabilitado 2.0.0

Requisito 4

Requisito 4.1 de PCI DSS

ID: PCI DSS v3.2.1 4.1 Propriedade: cliente

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 4.0.0
As variáveis da conta de automação devem ser criptografadas É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais Audit, Deny, desabilitado 1.1.0
Os aplicativos de funções só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 5.0.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão Audit, Deny, desabilitado 1.0.0
A transferência segura para contas de armazenamento deve ser habilitada Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Audit, Deny, desabilitado 2.0.0
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente Audit, Deny, desabilitado 1.1.0
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desabilitado 2.0.0

Requisito 5

Requisito 5.1 de PCI DSS

ID: PCI DSS v3.2.1 5.1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. AuditIfNotExists, desabilitado 3.0.0
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 4.1.0
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desabilitado 3.1.0

Requisito 6

Requisito 6.2 de PCI DSS

ID: PCI DSS v3.2.1 6.2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. AuditIfNotExists, desabilitado 3.0.0
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 4.1.0
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desabilitado 3.1.0

Requisito 6.5.3 de PCI DSS

ID: PCI DSS v3.2.1 6.5.3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 4.0.0
As variáveis da conta de automação devem ser criptografadas É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais Audit, Deny, desabilitado 1.1.0
Os aplicativos de funções só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 5.0.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão Audit, Deny, desabilitado 1.0.0
A transferência segura para contas de armazenamento deve ser habilitada Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Audit, Deny, desabilitado 2.0.0
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente Audit, Deny, desabilitado 1.1.0
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desabilitado 2.0.0

Requisito 6.6 de PCI DSS

ID: PCI DSS v3.2.1 6.6 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. AuditIfNotExists, desabilitado 3.0.0
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 4.1.0
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desabilitado 3.1.0

Requisito 7

Requisito 7.1.1 do PCI DSS

ID: PCI DSS v3.2.1 7.1.1 Propriedade: cliente

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. AuditIfNotExists, desabilitado 3.0.0
Deve haver mais de um proprietário atribuído à sua assinatura Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. AuditIfNotExists, desabilitado 3.0.0

Requisito 7.1.2 do PCI DSS

ID: PCI DSS v3.2.1 7.1.2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. AuditIfNotExists, desabilitado 3.0.0
Deve haver mais de um proprietário atribuído à sua assinatura Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. AuditIfNotExists, desabilitado 3.0.0

Requisito 7.1.3 do PCI DSS

ID: PCI DSS v3.2.1 7.1.3 Propriedade: cliente

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. AuditIfNotExists, desabilitado 3.0.0
Deve haver mais de um proprietário atribuído à sua assinatura Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. AuditIfNotExists, desabilitado 3.0.0

Requisito 7.2.1 do PCI DSS

ID: PCI DSS v3.2.1 7.2.1 Propriedade: cliente

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.0.0
Auditoria o uso de funções personalizadas do RBAC Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças Audit, desabilitado 1.0.1
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0

Requisito 8

Requisito 8.1.2 do PCI DSS

ID: PCI DSS v3.2.1 8.1.2 Propriedade: cliente

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0

Requisito 8.1.3 do PCI DSS

ID: PCI DSS v3.2.1 8.1.3 Propriedade: cliente

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0

Requisito 8.1.5 do PCI DSS

ID: PCI DSS v3.2.1 8.1.5 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0

Requisito 8.2.3 de PCI DSS

ID: PCI DSS v3.2.1 8.2.3 Propriedade: cliente

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 AuditIfNotExists, desabilitado 2.1.0
Auditar computadores Windows que não têm a idade máxima da senha definida como o número especificado de dias Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows não tiverem a idade máxima da senha definida como o número especificado de dias. O valor padrão para a idade máxima da senha é de 70 dias AuditIfNotExists, desabilitado 2.1.0
Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres. O valor padrão no comprimento mínimo da senha é de 14 caracteres AuditIfNotExists, desabilitado 2.1.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 1.2.0

Requisito 8.2.5 de PCI DSS

ID: PCI DSS v3.2.1 8.2.5 Propriedade: cliente

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 AuditIfNotExists, desabilitado 2.1.0
Auditar computadores Windows que não têm a idade máxima da senha definida como o número especificado de dias Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows não tiverem a idade máxima da senha definida como o número especificado de dias. O valor padrão para a idade máxima da senha é de 70 dias AuditIfNotExists, desabilitado 2.1.0
Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres. O valor padrão no comprimento mínimo da senha é de 14 caracteres AuditIfNotExists, desabilitado 2.1.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 1.2.0

Requisito 8.3.1 do PCI DSS

ID: PCI DSS v3.2.1 8.3.1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.0.0
Auditoria o uso de funções personalizadas do RBAC Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças Audit, desabilitado 1.0.1
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0

Próximas etapas

Artigos adicionais sobre o Azure Policy: