Detalhes da iniciativa integrada de Conformidade Regulatória do RMIT Malásia
O artigo a seguir fornece detalhes sobre como a definição da iniciativa interna de Conformidade Regulatória do Azure Policy é mapeada para domínios de conformidade e controles no RMIT Malásia. Para saber mais sobre esse padrão de conformidade, confira RMIT Malásia. Para entender a Propriedade, confira Definição de política do Azure Policy e Responsabilidade compartilhada na nuvem.
Os mapeamentos a seguir referem-se aos controles de RMIT Malásia. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição de iniciativa interna de Conformidade Regulatória do RMIT Malásia.
Importante
Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.
Criptografia
Criptografia – 10.16
ID: RMiT 10.16 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O HSM Gerenciado do Azure Key Vault deve ter a proteção contra limpeza habilitada | A exclusão mal-intencionada de um HSM Gerenciado do Azure Key Vault pode levar à perda permanente de dados. Um funcionário mal-intencionado na sua organização pode potencialmente excluir e limpar o HSM Gerenciado do Azure Key Vault. A proteção contra limpeza protege você contra ataques internos impondo um período de retenção obrigatório para o HSM Gerenciado do Azure Key Vault de exclusão temporária. Ninguém dentro da sua organização nem a Microsoft poderá limpar o HSM Gerenciado do Azure Key Vault durante o período de retenção de exclusão temporária. | Audit, Deny, desabilitado | 1.0.0 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
| A criptografia de infraestrutura deve ser habilitada para servidores do Banco de Dados do Azure para MySQL | Habilite a criptografia de infraestrutura para os servidores do Banco de Dados do Azure para MySQL terem um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas da Microsoft em conformidade com o FIPS 140-2. | Audit, Deny, desabilitado | 1.0.0 |
| A criptografia de infraestrutura deve ser habilitada para servidores do Banco de Dados do Azure para PostgreSQL | Habilite a criptografia de infraestrutura para os servidores do Banco de Dados do Azure para PostgreSQL terem um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas da Microsoft em conformidade com o FIPS 140-2 | Audit, Deny, desabilitado | 1.0.0 |
| Os cofres de chaves devem ter a proteção contra exclusão habilitada | A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão. | Audit, Deny, desabilitado | 2.1.0 |
| Os cofres de chaves devem ter a exclusão temporária habilitada | A exclusão de um cofre de chaves sem a exclusão temporária habilitada permanentemente exclui todos os segredos, as chaves e os certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Audit, Deny, desabilitado | 3.0.0 |
| A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
| As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.0 |
| As contas de armazenamento devem ter criptografia de infraestrutura | Habilite a criptografia de infraestrutura para um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. | Audit, Deny, desabilitado | 1.0.0 |
| A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desabilitado | 2.0.0 |
Criptografia – 10.19
ID: RMiT 10.19 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para Key Vault deve estar habilitado | O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | Criptografar o sistema operacional e os discos de dados usando chaves gerenciadas pelo cliente dá mais controle e flexibilidade no gerenciamento de chaves. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Audit, Deny, desabilitado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O Key Vault deve usar um ponto de extremidade de serviço de rede virtual | Essa política audita os Key Vaults que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. | Audit, desabilitado | 1.0.0 |
| Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.1 |
Criptografia – 10.20
ID: RMiT 10.20 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes com certificados válidos poderão acessar o aplicativo. Essa política foi substituída por uma nova política com o mesmo nome porque o Http 2.0 não dá suporte a certificados de cliente. | Audit, desabilitado | 3.1.0-preterido |
| Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
Operações de datacenter
Operações de datacenter – 10.27
ID: RMiT 10.27 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implantar – configure a extensão do Log Analytics a ser habilitada em conjuntos de dimensionamento de máquinas virtuais do Windows | Implante a extensão do Log Analytics nos conjuntos de dimensionamento de máquinas virtuais Windows se a imagem da máquina virtual estiver na lista definida e a extensão não estiver instalada. Caso o conjunto de dimensionamento upgradePolicy seja definido como Manual, será preciso aplicar uma extensão a todas as máquinas virtuais do conjunto, executando uma atualização delas. Aviso de descontinuação: os agentes do Log Analytics estão em um processo de descontinuação e não contarão mais com suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. | DeployIfNotExists, desabilitado | 3.1.0 |
| As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais a fim de fornecer melhorias de segurança como: RBAC (controle de acesso) mais forte, melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos visando facilitar o gerenciamento da segurança | Audit, Deny, desabilitado | 1.0.0 |
Operações de datacenter – 10.30
ID: RMiT 10.30 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Backup do Azure deve ser habilitado para máquinas virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desabilitado | 3.0.0 |
| As consultas salvas no Azure Monitor devem ser salvas na conta de armazenamento do cliente para criptografia de logs | Vincule a conta de armazenamento ao workspace do Log Analytics para proteger as consultas salvas com criptografia de conta de armazenamento. Normalmente, as chaves gerenciadas pelo cliente são necessárias para atender à conformidade regulatória e obter mais controle sobre o acesso às consultas salvas no Azure Monitor. Para obter mais detalhes sobre os itens acima, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
Resiliência de rede
Resiliência de rede – 10.33
ID: RMiT 10.33 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todos os recursos de log de fluxo devem estar no estado habilitado | Uma auditoria para recursos do log de fluxo a fim de verificar se o status dele está habilitado. Habilite logs de fluxo permite registrar informações sobre o tráfego IP que flui. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. | Audit, desabilitado | 1.0.1 |
| Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os serviços do Gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. | Audit, Deny, desabilitado | 1.0.2 |
| O grupo de contêineres da Instância de Contêiner do Azure deve ser implantado em uma rede virtual | Proteja a comunicação entre seus contêineres com as Redes Virtuais do Azure. Quando você especifica uma rede virtual, os recursos dentro da rede virtual podem se comunicar entre si de modo seguro e privado. | Auditoria, desabilitado, negação | 2.0.0 |
| Os gateways de VPN do Azure não devem usar o SKU 'básico' | Essa política garante que os gateways de VPN não usem o SKU "básico". | Audit, desabilitado | 1.0.0 |
| Configurar a Configuração de Aplicativos para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para a Configuração de Aplicativos para que ela não possa ser acessada pela Internet pública. Essa configuração ajuda a protegê-los contra riscos de vazamento de dados. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | Modificar, Desabilitado | 1.0.0 |
| Configurar o SQL Server do Azure para desabilitar o acesso à rede pública | A desabilitação da propriedade de acesso à rede pública desliga a conectividade pública, de modo que o SQL Server do Azure pode ser acessado somente de um ponto de extremidade privado. Essa configuração desabilita o acesso à rede pública para todos os bancos de dados no SQL Server do Azure. | Modificar, Desabilitado | 1.0.0 |
| Configurar o SQL Server do Azure para habilitar conexões de ponto de extremidade privado | Uma conexão de ponto de extremidade privado permite a conectividade privada com o Banco de Dados SQL do Azure por meio de um endereço IP privado dentro de uma rede virtual. Essa configuração aprimora a sua postura de segurança e dá suporte a ferramentas e cenários de rede do Azure. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar Registros de Contêiner para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o seu recurso do Registro de Contêiner para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. | Modificar, Desabilitado | 1.0.0 |
| Configurar discos gerenciados para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o seu recurso de disco gerenciado para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Modificar, Desabilitado | 2.0.0 |
| Os registros de contêiner não devem permitir acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de pontos de extremidade privados, endereços IP públicos ou intervalos de endereços específicos. Se o Registro não tiver regras de rede configuradas, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Audit, Deny, desabilitado | 2.0.0 |
| O Cosmos DB deve usar um ponto de extremidade de serviço de rede virtual Microsoft Azure Cosmos DB | Essa política audita os Cosmos DB que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. | Audit, desabilitado | 1.0.0 |
| O Hub de Eventos deve usar um ponto de extremidade de serviço de rede virtual | Essa política audita os Hubs de Eventos que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os logs de fluxo deverão ser configurados para cada grupo de segurança de rede | Uma auditoria de grupos de segurança de rede para verificar se os logs de fluxo foram configurados. Habilitar logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio do grupo de segurança de rede. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. | Audit, desabilitado | 1.1.0 |
| As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os discos gerenciados devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que um disco gerenciado não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos discos gerenciados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Audit, desabilitado | 2.0.0 |
| Modificar – configurar a Sincronização de Arquivos do Azure para desabilitar o acesso à rede pública | Os pontos de extremidade públicos acessíveis pela Internet da Sincronização de Arquivos do Azure são desabilitados pela sua política organizacional. Você ainda pode acessar o serviço de sincronização de armazenamento por meio dos respectivos pontos de extremidade privados. | Modificar, Desabilitado | 1.0.0 |
| Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. | Audit, desabilitado | 1.1.0 |
| O ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O ponto de extremidade privado deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O acesso à rede pública deve ser desabilitado para Registros de Contêiner | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que os Registros de Contêiner não sejam expostos na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de recursos do registro de contêiner. Saiba mais em: https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. | Audit, Deny, desabilitado | 1.0.0 |
| As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| As máquinas virtuais devem estar conectadas a uma rede virtual aprovada | Essa política audita as máquinas virtuais que estão conectadas a uma rede virtual que não foi aprovada. | Audit, Deny, desabilitado | 1.0.0 |
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento | Por padrão, o SO e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Os discos temporários, os caches de dados e os dados que fluem entre a computação e o armazenamento não são criptografados. Desconsidere essa recomendação se: 1. estiver usando a criptografia no host ou 2. a criptografia do lado do servidor no Managed Disks atender aos seus requisitos de segurança. Saiba mais em: Criptografia do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse,Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, desabilitado | 2.0.3 |
| As redes virtuais devem usar o gateway de rede virtual especificado | Essa política audita as redes virtuais em que a rota padrão não aponta para o gateway de rede virtual especificado. | AuditIfNotExists, desabilitado | 1.0.0 |
Resiliência de rede – 10.35
ID: RMiT 10.35 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implantar – configure a extensão do Log Analytics a ser habilitada em conjuntos de dimensionamento de máquinas virtuais do Windows | Implante a extensão do Log Analytics nos conjuntos de dimensionamento de máquinas virtuais Windows se a imagem da máquina virtual estiver na lista definida e a extensão não estiver instalada. Caso o conjunto de dimensionamento upgradePolicy seja definido como Manual, será preciso aplicar uma extensão a todas as máquinas virtuais do conjunto, executando uma atualização delas. Aviso de descontinuação: os agentes do Log Analytics estão em um processo de descontinuação e não contarão mais com suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. | DeployIfNotExists, desabilitado | 3.1.0 |
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
Resiliência de rede – 10.38
ID: RMiT 10.38 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Habilitar o provisionamento automático da Central de Segurança do agente do Log Analytics em suas assinaturas com o workspace personalizado. | Permitir que a Central de Segurança provisione automaticamente o agente do Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando um workspace personalizado. | DeployIfNotExists, desabilitado | 1.0.0 |
| Habilitar o provisionamento automático da Central de Segurança do agente do Log Analytics em suas assinaturas com o workspace padrão. | Permitir que a Central de Segurança provisione automaticamente o agente do Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando um workspace padrão da ASC. | DeployIfNotExists, desabilitado | 1.0.0 |
Resiliência de rede – 10.39
ID: RMiT 10.39 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma política de IPsec ou IKE personalizada precisa ser aplicada a todas as conexões do gateway de rede virtual do Azure | Essa política garante que todas as conexões de gateway de rede virtual do Azure usem uma política personalizada do protocolo Ipsec ou IKE. Algoritmos e forças de chave com suporte – https://aka.ms/AA62kb0 | Audit, desabilitado | 1.0.0 |
| O SQL Server deve usar um ponto de extremidade de serviço de rede virtual | Essa política audita os SQL Servers que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. | AuditIfNotExists, desabilitado | 1.0.0 |
| As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual | Essa política audita as Contas de Armazenamento que não estão configuradas para usar um ponto de extremidade de serviço de rede virtual. | Audit, desabilitado | 1.0.0 |
Serviços de Nuvem
Serviços de Nuvem – 10.49
ID: RMiT 10.49 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | A Central de Segurança do Azure analisa os padrões de tráfego das máquinas virtuais para a Internet e fornece recomendações de regra do Grupo de Segurança de Rede que reduzem a possível superfície de ataque | AuditIfNotExists, desabilitado | 3.0.0 |
| O local do recurso de auditoria corresponde ao local do grupo de recursos | Auditar se o local do recurso corresponde ao local do seu grupo de recursos | auditoria | 2.0.0 |
| A limitação de conexão deve estar habilitada para os servidores de banco de dados PostgreSQL | Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a limitação de conexão habilitada. Essa configuração permite a otimização temporária da conexão por IP para muitas falhas inválidas de login de senha. | AuditIfNotExists, desabilitado | 1.0.0 |
| Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
| O Banco de Dados SQL deve evitar o uso de redundância de backup de GRS | Os bancos de dados deverão evitar o uso do armazenamento com redundância geográfica padrão para backups se as regras de residência de dados exigirem que os dados fiquem dentro de uma região específica. Observação: O Azure Policy não é imposto ao criar um banco de dados usando o T-SQL. Se não for especificado explicitamente, o banco de dados com armazenamento de backup com redundância geográfica será criado por meio de T-SQL. | Deny, Desabilitado | 2.0.0 |
| As Instâncias Gerenciadas do SQL devem evitar o uso de redundância de backup de GRS | As instâncias gerenciadas deverão evitar o uso do armazenamento com redundância geográfica padrão para backups se as regras de residência de dados exigirem que os dados fiquem dentro de uma região específica. Observação: O Azure Policy não é imposto ao criar um banco de dados usando o T-SQL. Se não for especificado explicitamente, o banco de dados com armazenamento de backup com redundância geográfica será criado por meio de T-SQL. | Deny, Desabilitado | 2.0.0 |
Serviços de Nuvem – 10.51
ID: RMiT 10.51 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | A Central de Segurança do Azure analisa os padrões de tráfego das máquinas virtuais para a Internet e fornece recomendações de regra do Grupo de Segurança de Rede que reduzem a possível superfície de ataque | AuditIfNotExists, desabilitado | 3.0.0 |
| Auditar máquinas virtuais sem a recuperação de desastre configurada | Audite máquinas virtuais sem a recuperação de desastre configurada. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| O armazenamento com redundância geográfica deve ser habilitado para Contas de Armazenamento | Usar a redundância geográfica para criar aplicativos altamente disponíveis | Audit, desabilitado | 1.0.0 |
| O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | Esta política audita qualquer Banco de Dados SQL do Azure em que a opção de backup com redundância geográfica de longo prazo não está habilitada. | AuditIfNotExists, desabilitado | 2.0.0 |
Serviços de Nuvem – 10.53
ID: RMiT 10.53 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A Configuração de Aplicativos deve usar uma chave gerenciada pelo cliente | As chaves gerenciadas pelo cliente oferecem proteção de dados aprimorada permitindo que você gerencie suas chaves de criptografia. Isso geralmente é necessário para atender aos requisitos de conformidade. | Audit, Deny, desabilitado | 1.1.0 |
| O grupo de contêineres da Instância de Contêiner do Azure deve usar a chave gerenciada pelo cliente para criptografia | Proteja seus contêineres com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Auditoria, desabilitado, negação | 1.0.0 |
| Os clusters de Logs do Azure Monitor devem ser criptografados com uma chave gerenciada pelo cliente | Crie o cluster de logs do Azure Monitor com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados do log são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender à conformidade regulatória. A chave gerenciada pelo cliente no Azure Monitor oferece mais controle sobre o acesso aos dados, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. | Audit, Deny, desabilitado | 1.1.2 |
| Os namespaces do Hub de Eventos devem usar uma chave gerenciada pelo cliente para criptografia | Os Hubs de Eventos do Azure dão suporte à opção de criptografar dados inativos com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite que você atribua, gire, desabilite e revogue o acesso às chaves que o Hub de Eventos usará para criptografar dados em seu namespace. Observe que o Hub de Eventos dá suporte apenas à criptografia com chaves gerenciadas pelo cliente para namespaces em clusters dedicados. | Audit, desabilitado | 1.0.0 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
| As contas do HPC Cache devem usar uma chave gerenciada pelo cliente para criptografia | Gerencie a criptografia em repouso do Azure HPC Cache com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditoria, desabilitado, negação | 2.0.0 |
| Os discos gerenciados devem usar um conjunto específico de conjuntos de criptografia de disco para a criptografia de chave gerenciada pelo cliente | A exigência de um conjunto específico de conjuntos de criptografia de disco a ser usado com discos gerenciados oferece controle sobre as chaves usadas para criptografia em repouso. Você pode selecionar os conjuntos criptografados permitidos, e todos os outros são rejeitados quando anexados a um disco. Saiba mais em https://aka.ms/disks-cmk. | Audit, Deny, desabilitado | 2.0.0 |
| O sistema operacional e os discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus discos gerenciados. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pela plataforma, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/disks-cmk. | Audit, Deny, desabilitado | 3.0.0 |
| Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| As consultas salvas no Azure Monitor devem ser salvas na conta de armazenamento do cliente para criptografia de logs | Vincule a conta de armazenamento ao workspace do Log Analytics para proteger as consultas salvas com criptografia de conta de armazenamento. Normalmente, as chaves gerenciadas pelo cliente são necessárias para atender à conformidade regulatória e obter mais controle sobre o acesso às consultas salvas no Azure Monitor. Para obter mais detalhes sobre os itens acima, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.1 |
| A conta de armazenamento que possui o contêiner com os logs de atividade deve ser criptografada com BYOK | Essa política auditará se a conta de armazenamento que possui o contêiner com logs de atividades estiver criptografada com BYOK. A política funcionará apenas se a conta de armazenamento estiver na mesma assinatura dos logs de atividades por design. Mais informações sobre a criptografia de Armazenamento do Microsoft Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de armazenamento devem usar uma chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de blobs e arquivos com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Audit, desabilitado | 1.0.3 |
Controle de acesso
Controle de acesso – 10.54
ID: RMiT 10.54 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
| A Configuração de Aplicativos deve desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | Audit, Deny, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Web ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo Web. | AuditIfNotExists, desabilitado | 2.0.1 |
| O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os utilizadores podem executar, utilize o Azure Role-Based Access Control (RBAC) para gerir permissões em clusters de serviço Kubernetes e configurar políticas de autorização relevantes. | Audit, desabilitado | 1.0.3 |
| As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos de funções devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo de funções ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo de Funções. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos de funções devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.3 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Controle de acesso – 10.55
ID: RMiT 10.55 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| As regras de autorização na instância do Hub de Eventos devem ser definidas | Auditar a existência de regras de autorização em entidades do Hub de Eventos para conceder acesso com privilégios mínimos | AuditIfNotExists, desabilitado | 1.0.0 |
| Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.1.0 |
| Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
| Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.1.1 |
| O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.1.0 |
| Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.0 |
| As contas de armazenamento devem permitir o acesso de serviços confiáveis da Microsoft | Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes que não podem ter o acesso concedido por meio de regras de rede. Para ajudar esse tipo de serviço a funcionar como esperado, você pode permitir que o conjunto de serviços Microsoft confiáveis ignore as regras de rede. Esses serviços usarão então a autenticação forte para acessar a conta de armazenamento. | Audit, Deny, desabilitado | 1.0.0 |
Controle de acesso – 10.58
ID: RMiT 10.58 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Controle de acesso – 10.60
ID: RMiT 10.60 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os utilizadores podem executar, utilize o Azure Role-Based Access Control (RBAC) para gerir permissões em clusters de serviço Kubernetes e configurar políticas de autorização relevantes. | Audit, desabilitado | 1.0.3 |
Controle de acesso – 10.61
ID: RMiT 10.61 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os utilizadores podem executar, utilize o Azure Role-Based Access Control (RBAC) para gerir permissões em clusters de serviço Kubernetes e configurar políticas de autorização relevantes. | Audit, desabilitado | 1.0.3 |
| As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.3 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
| A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Controle de acesso – 10.62
ID: RMiT 10.62 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
| O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os utilizadores podem executar, utilize o Azure Role-Based Access Control (RBAC) para gerir permissões em clusters de serviço Kubernetes e configurar políticas de autorização relevantes. | Audit, desabilitado | 1.0.3 |
Gerenciamento de sistema de patch e de fim de vida útil
Gerenciamento de sistema de patch e de fim da vida útil – 10.63
ID: RMiT 10.63 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Microsoft Antimalware para o Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | Essa política audita qualquer máquina virtual do Windows não configurada com a atualização automática das assinaturas de proteção Microsoft Antimalware. | AuditIfNotExists, desabilitado | 1.0.0 |
| As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas | Faça uma auditoria para verificar se faltam atualizações de segurança do sistema e atualizações críticas que devem ser instaladas para garantir que os seus conjuntos de dimensionamento de máquinas virtuais Windows e Linux estejam seguros. | AuditIfNotExists, desabilitado | 3.0.0 |
Gerenciamento de sistema de patch e de fim da vida útil – 10.65
ID: RMiT 10.65 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | Atualize o cluster do serviço de Kubernetes para a última versão do Kubernetes a fim de fornecer proteção contra as vulnerabilidades conhecidas na versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões do Kubernetes 1.11.9 e posterior, 1.12.7 e posterior, 1.13.5 e posterior e 1.14.0 e posterior | Audit, desabilitado | 1.0.2 |
| As atualizações do sistema devem ser instaladas em suas máquinas | A falta de atualizações do sistema de segurança em seus servidores será monitorada pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 4.0.0 |
| As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | Faça a auditoria das vulnerabilidades do SO nos seus conjuntos de dimensionamento de máquinas virtuais para protegê-los contra ataques. | AuditIfNotExists, desabilitado | 3.0.0 |
Segurança dos Serviços Digitais
Segurança dos Serviços Digitais – 10.66
ID: RMiT 10.66 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O log de atividades deve ser retido por pelo menos um ano | Essa política auditará o log de atividades se a retenção não for definida para 365 dias ou para sempre (dias de retenção definidos como 0). | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 2.0.1 |
| Auditar configuração de diagnóstico para tipos de recursos selecionados | Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico. | AuditIfNotExists | 2.0.1 |
| O perfil de log do Azure Monitor deve coletar logs para as categorias "gravar", "excluir" e "ação" | Essa política garante que um perfil de log colete logs para as categorias "gravar", "excluir" e "ação" | AuditIfNotExists, desabilitado | 1.0.0 |
| Os Logs do Azure Monitor para o Application Insights devem ser vinculados a um workspace do Log Analytics | Vincule o componente Application Insights a um workspace do Log Analytics para criptografia de logs. Normalmente, as chaves gerenciadas pelo cliente são necessárias para atender à conformidade regulatória e obter mais controle sobre o acesso aos dados no Azure Monitor. Vincular o componente a um workspace do Log Analytics habilitado com uma chave gerenciada pelo cliente garante que os logs do Application Insights atendam a esse requisito de conformidade, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| O Azure Monitor deve coletar os logs de atividades de todas as regiões | Essa política audita o perfil de log do Azure Monitor que não exporta atividades de todas as regiões com suporte do Azure, incluindo global. | AuditIfNotExists, desabilitado | 2.0.0 |
| A solução "Segurança e Auditoria" do Azure Monitor precisa ser implantada | Essa política garante que a Segurança e Auditoria seja implantada. | AuditIfNotExists, desabilitado | 1.0.0 |
| As assinaturas do Azure devem ter um perfil de log para o Log de Atividades | Essa política verifica se um perfil de log está ativado para exportar logs de atividades. Ela audita se não há um perfil de log criado para exportar os logs para uma conta de armazenamento ou para um hub de eventos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Implantar – definir configurações de diagnóstico de Bancos de Dados SQL para o workspace do Log Analytics | Implanta as configurações de diagnóstico de Bancos de Dados SQL para transmissão de logs de recurso para um workspace do Log Analytics ao criar ou atualizar qualquer Banco de Dados SQL em que as configurações de diagnóstico estão ausentes. | DeployIfNotExists, desabilitado | 4.0.0 |
| Implantar - Configurar a extensão do Log Analytics para ser habilitada em máquinas virtuais Windows | Implante a extensão do Log Analytics nas máquinas virtuais do Windows se a imagem da máquina virtual estiver na lista definida e a extensão não estiver instalada. Aviso de descontinuação: os agentes do Log Analytics estão em um processo de descontinuação e não contarão mais com suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. | DeployIfNotExists, desabilitado | 3.1.0 |
| Implantar as Configurações de Diagnóstico da Conta do Lote no Hub de Eventos | Implanta as configurações de diagnóstico da Conta do Lote a serem transmitidas para um Hub de Eventos regional em qualquer Conta do Lote criada ou atualizada que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 2.0.0 |
| Implantar as Configurações de Diagnóstico para a Conta do Lote no workspace do Log Analytics | Implanta as configurações de diagnóstico da Conta do Lote a serem transmitidas para um workspace do Log Analytics regional em qualquer Conta do Lote criada ou atualizada que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar as Configurações de Diagnóstico do Data Lake Analytics no Hub de Eventos | Implanta as configurações de diagnóstico do Data Lake Analytics a serem transmitidas para um Hub de Eventos regional em qualquer Data Lake Analytics criado ou atualizado que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 2.0.0 |
| Implantar as Configurações de Diagnóstico do Data Lake Analytics no workspace do Log Analytics | Implanta as configurações de diagnóstico do Data Lake Analytics a serem transmitidas para um workspace do Log Analytics regional em qualquer Data Lake Analytics criado ou atualizado que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar as Configurações de Diagnóstico do Data Lake Storage Gen1 no Hub de Eventos | Implanta as configurações de diagnóstico do Data Lake Storage Gen1 a serem transmitidas para um Hub de Eventos regional em qualquer Data Lake Storage Gen1 criado ou atualizado que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 2.0.0 |
| Implantar as Configurações de Diagnóstico do Data Lake Storage Gen1 no workspace do Log Analytics | Implanta as configurações de diagnóstico do Data Lake Storage Gen1 a serem transmitidas para um workspace do Log Analytics regional em qualquer Data Lake Storage Gen1 criado ou atualizado que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar as Configurações de Diagnóstico do Hub de Eventos no Hub de Eventos | Implanta as configurações de diagnóstico do Hub de Eventos a serem transmitidas para um Hub de Eventos regional em qualquer Hub de Eventos criado ou atualizado que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 2.1.0 |
| Implantar as Configurações de Diagnóstico do Hub de Eventos no workspace do Log Analytics | Implanta as configurações de diagnóstico do Hub de Eventos a serem transmitidas para um workspace do Log Analytics regional em qualquer Hub de Eventos criado ou atualizado que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 2.0.0 |
| Implantar as configurações de diagnóstico do Key Vault no workspace do Log Analytics | Implanta as configurações de diagnóstico do Key Vault a serem transmitidas para um workspace do Log Analytics regional em qualquer Key Vault criado ou atualizado que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 3.0.0 |
| Implantar as Configurações de Diagnóstico dos Aplicativos Lógicos no Hub de Eventos | Implanta as configurações de diagnóstico dos Aplicativos Lógicos a serem transmitidas para um Hub de Eventos regional em quaisquer Aplicativos Lógicos criados ou atualizados que não tenham essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 2.0.0 |
| Implantar as Configurações de Diagnóstico dos Aplicativos Lógicos ao workspace do Log Analytics | Implanta as configurações de diagnóstico dos Aplicativos Lógicos a serem transmitidas para um workspace do Log Analytics regional em quaisquer Aplicativos Lógicos criados ou atualizados que não tenham essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar as Configurações de Diagnóstico dos Serviços de Pesquisa no Hub de Eventos | Implanta as configurações de diagnóstico dos Serviços de Pesquisa a serem transmitidas para um Hub de Eventos regional em quaisquer dos Serviços de Pesquisa criados ou atualizados que não tenham essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 2.0.0 |
| Implantar as Configurações de Diagnóstico dos Serviços de Pesquisa no workspace do Log Analytics | Implanta as configurações de diagnóstico dos Serviços de Pesquisa a serem transmitidas para um workspace do Log Analytics regional em quaisquer Serviços de Pesquisa criados ou atualizados que não tenham essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar as Configurações de Diagnóstico do Barramento de Serviço no Hub de Eventos | Implanta as configurações de diagnóstico do Barramento de Serviço a serem transmitidas para um Hub de Eventos regional em qualquer Barramento de Serviço criado ou atualizado que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 2.0.0 |
| Implantar as configurações de diagnóstico para Barramento de Serviço no workspace do Log Analytics | Implanta as configurações de diagnóstico do Barramento de Serviço a serem transmitidas para um workspace do Log Analytics regional em qualquer Barramento de Serviço criado ou atualizado que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 2.1.0 |
| Implantar as Configurações de Diagnóstico do Stream Analytics no Hub de Eventos | Implanta as configurações de diagnóstico do Stream Analytics a serem transmitidas para um Hub de Eventos regional em qualquer Stream Analytics criado ou atualizado que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 2.0.0 |
| Implantar as Configurações de Diagnóstico do Stream Analytics no workspace do Log Analytics | Implanta as configurações de diagnóstico do Stream Analytics a serem transmitidas para um workspace do Log Analytics regional em qualquer Stream Analytics criado ou atualizado que não tenha essas configurações de diagnóstico. | DeployIfNotExists, desabilitado | 1.0.0 |
| A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas | Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os logs de recursos do HSM Gerenciado pelo Azure Key Vault devem estar habilitados | Para recriar trilhas de atividade para fins de investigação quando ocorrer um incidente de segurança ou quando a sua rede estiver comprometida, audite habilitando logs de recursos em HSMs gerenciados. Siga as instruções aqui: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, desabilitado | 1.1.0 |
| Os logs de recurso no Key Vault devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquinas Virtuais | Esta política audita os Conjuntos de Dimensionamento de Máquinas Virtuais do Windows ou do Linux nos quais a extensão do Log Analytics não está instalada. | AuditIfNotExists, desabilitado | 1.0.1 |
| As máquinas virtuais devem ter a extensão do Log Analytics instalada | Esta política audita as máquinas virtuais do Windows ou do Linux nas quais a extensão do Log Analytics não está instalada. | AuditIfNotExists, desabilitado | 1.0.1 |
Segurança dos Serviços Digitais – 10.68
ID: RMiT 10.68 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 2.0.1 |
DDoS (negação de serviço distribuída)
DDoS (negação de serviço distribuído) – 11.13
ID: RMiT 11.13 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 1.0.2 |
DLP (prevenção contra perda de dados)
DLP (prevenção contra perda de dados) – 11.15
ID: RMiT 11.15 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O HSM Gerenciado do Azure Key Vault deve ter a proteção contra limpeza habilitada | A exclusão mal-intencionada de um HSM Gerenciado do Azure Key Vault pode levar à perda permanente de dados. Um funcionário mal-intencionado na sua organização pode potencialmente excluir e limpar o HSM Gerenciado do Azure Key Vault. A proteção contra limpeza protege você contra ataques internos impondo um período de retenção obrigatório para o HSM Gerenciado do Azure Key Vault de exclusão temporária. Ninguém dentro da sua organização nem a Microsoft poderá limpar o HSM Gerenciado do Azure Key Vault durante o período de retenção de exclusão temporária. | Audit, Deny, desabilitado | 1.0.0 |
| Os clusters de Logs do Azure Monitor devem ser criptografados com uma chave gerenciada pelo cliente | Crie o cluster de logs do Azure Monitor com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados do log são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender à conformidade regulatória. A chave gerenciada pelo cliente no Azure Monitor oferece mais controle sobre o acesso aos dados, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
| Configurar a Configuração de Aplicativos para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para a Configuração de Aplicativos para que ela não possa ser acessada pela Internet pública. Essa configuração ajuda a protegê-los contra riscos de vazamento de dados. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | Modificar, Desabilitado | 1.0.0 |
| Configurar o SQL Server do Azure para desabilitar o acesso à rede pública | A desabilitação da propriedade de acesso à rede pública desliga a conectividade pública, de modo que o SQL Server do Azure pode ser acessado somente de um ponto de extremidade privado. Essa configuração desabilita o acesso à rede pública para todos os bancos de dados no SQL Server do Azure. | Modificar, Desabilitado | 1.0.0 |
| Configurar Registros de Contêiner para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o seu recurso do Registro de Contêiner para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. | Modificar, Desabilitado | 1.0.0 |
| Configurar discos gerenciados para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para o seu recurso de disco gerenciado para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Modificar, Desabilitado | 2.0.0 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
| Os cofres de chaves devem ter a proteção contra exclusão habilitadas | A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão. | Audit, Deny, desabilitado | 2.1.0 |
| Os cofres de chaves devem ter a exclusão temporária habilitada | A exclusão de um cofre de chaves sem a exclusão temporária habilitada permanentemente exclui todos os segredos, as chaves e os certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Audit, Deny, desabilitado | 3.0.0 |
| Os discos gerenciados devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que um disco gerenciado não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos discos gerenciados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Audit, desabilitado | 2.0.0 |
| Os discos gerenciados devem usar um conjunto específico de conjuntos de criptografia de disco para a criptografia de chave gerenciada pelo cliente | A exigência de um conjunto específico de conjuntos de criptografia de disco a ser usado com discos gerenciados oferece controle sobre as chaves usadas para criptografia em repouso. Você pode selecionar os conjuntos criptografados permitidos, e todos os outros são rejeitados quando anexados a um disco. Saiba mais em https://aka.ms/disks-cmk. | Audit, Deny, desabilitado | 2.0.0 |
| Modificar – configurar a Sincronização de Arquivos do Azure para desabilitar o acesso à rede pública | Os pontos de extremidade públicos acessíveis pela Internet da Sincronização de Arquivos do Azure são desabilitados pela sua política organizacional. Você ainda pode acessar o serviço de sincronização de armazenamento por meio dos respectivos pontos de extremidade privados. | Modificar, Desabilitado | 1.0.0 |
| As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.0 |
| A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desabilitado | 2.0.0 |
SOC (Centro de Operações de Segurança)
SOC (Centro de Operações de Segurança) – 11.17
ID: RMiT 11.17 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | Monitore as alterações no comportamento dos grupos de computadores configurados para auditoria pelos controles de aplicativos adaptáveis da Central de Segurança do Azure. A Central de Segurança usa o machine learning para analisar os processos em execução em seus computadores e sugerir uma lista de aplicativos considerados seguros. Eles são apresentados como aplicativos recomendados para permitir as políticas de controle de aplicativos adaptáveis. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. | Audit, desabilitado | 2.0.1 |
| A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.1.0 |
| A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | Faça a auditoria da existência de uma solução de proteção de ponto de extremidade e da sua integridade nos seus conjuntos de dimensionamento de máquinas virtuais, para protegê-los contra ameaças e vulnerabilidades. | AuditIfNotExists, desabilitado | 3.0.0 |
SOC (Centro de Operações de Segurança) – 11.18
ID: RMiT 11.18 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
| O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura | Para monitorar as vulnerabilidades e ameaças à segurança, a Central de Segurança do Azure coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace do Log Analytics para análise. É recomendável habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e nas VMs que forem criadas. | AuditIfNotExists, desabilitado | 1.0.1 |
| A Proteção contra DDoS do Azure deve ser habilitada | A Proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que seja parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desabilitado | 3.0.1 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| As desconexões devem ser registradas em log para os servidores de banco de dados PostgreSQL. | Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem log_disconnections habilitada. | AuditIfNotExists, desabilitado | 1.0.0 |
| A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.1.0 |
| O agente do Log Analytics deve ser instalado na máquina virtual para o monitoramento da Central de Segurança do Azure | Esta política auditará VMs (máquinas virtuais) do Windows/Linux se não estiver instalado o agente do Log Analytics que a Central de Segurança usa para monitorar vulnerabilidades e ameaças à segurança | AuditIfNotExists, desabilitado | 1.0.0 |
| O agente do Log Analytics deve ser instalado em seus conjuntos de dimensionamento de máquinas virtuais para o monitoramento da Central de Segurança do Azure | A Central de Segurança coleta dados de suas VMs (máquinas virtuais) do Azure a fim de monitorar as vulnerabilidades e ameaças à segurança. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os pontos de verificação de log devem ser habilitados para os servidores de banco de dados PostgreSQL | Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a configuração log_checkpoints habilitada. | AuditIfNotExists, desabilitado | 1.0.0 |
| As conexões de log devem ser habilitadas para os servidores de banco de dados PostgreSQL | Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a configuração log_connections habilitada. | AuditIfNotExists, desabilitado | 1.0.0 |
| A duração do log deve ser habilitada para os servidores de banco de dados PostgreSQL | Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a configuração log_duration habilitada. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os logs de recurso no Hub de Eventos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desabilitado | 5.0.0 |
| As configurações de Auditoria do SQL devem ter grupos de ações configurados para capturar atividades críticas | A propriedade AuditActionsAndGroups deve conter pelo menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP e BATCH_COMPLETED_GROUP para garantir um log de auditoria completo | AuditIfNotExists, desabilitado | 1.0.0 |
| As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
SOC (Centro de Operações de Segurança) – 11.20
ID: RMiT 11.20 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento de máquinas virtuais. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Audit, Deny, desabilitado | 1.0.0 |
Gerenciamento de riscos cibernéticos
Gerenciamento de riscos cibernéticos – 11.2
ID: RMiT 11.2 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento de máquinas virtuais. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Audit, Deny, desabilitado | 1.0.0 |
Gerenciamento de riscos cibernéticos – 11.4
ID: RMiT 11.4 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar o backup em máquinas virtuais sem uma marca especificada para um cofre dos Serviços de Recuperação existente na mesma localização | Imponha o backup a todas as máquinas virtuais fazendo backup delas em um cofre central dos Serviços de Recuperação existente na mesma localização e assinatura da máquina virtual. É útil fazer isso quando há uma equipe central na sua organização que gerencia os backups de todos os recursos em uma assinatura. Opcionalmente, você pode excluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 9.2.0 |
| Tipos de recursos não permitidos | Restrinja os tipos de recursos que poderão ser implantados em seu ambiente. Limitar os tipos de recursos poderá reduzir a complexidade e a superfície de ataque do ambiente, enquanto também ajuda a gerenciar custos. Os resultados de conformidade serão mostrados somente para recursos não compatíveis. | Audit, Deny, desabilitado | 2.0.0 |
| Somente as extensões aprovadas da VM devem ser instaladas | Essa política rege as extensões da máquina virtual que não foram aprovadas. | Audit, Deny, desabilitado | 1.0.0 |
Operações de segurança cibernética
Operações de segurança cibernética – 11.5
ID: RMiT 11.5 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para o Serviço de Aplicativo deve estar habilitado | O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores SQL em computadores deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| Implantar o Defender para Armazenamento (Clássico) em contas de armazenamento | Essa política ativa o Defender para Armazenamento (Clássico) em contas de armazenamento. | DeployIfNotExists, desabilitado | 1.0.1 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento deve estar habilitado | O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
Operações de segurança cibernética – 11.8
ID: RMiT 11.8 Propriedade: compartilhado
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
| A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | Audite cada Instância Gerenciada de SQL que não tem verificações recorrentes de avaliação de vulnerabilidade habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 1.0.1 |
| A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | Audite os servidores SQL do Azure sem verificações recorrentes de avaliação de vulnerabilidade ativadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 3.0.0 |
Medidas de controle sobre segurança cibernética
Medidas de controle sobre segurança cibernética – Apêndice 5.2
ID: RMiT Apêndice 5.2 Propriedade: cliente
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | Permita que os controles de aplicativos definam a lista de aplicativos considerados seguros em execução nos seus computadores e alertem você quando outros aplicativos forem executados. Isso ajuda a proteger seus computadores contra malware. Para simplificar o processo de configuração e manutenção de suas regras, a Central de Segurança usa o machine learning para analisar os aplicativos em execução em cada computador e sugerir a lista de aplicativos considerados seguros. | AuditIfNotExists, desabilitado | 3.0.0 |
| As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
Medidas de controle sobre segurança cibernética – Apêndice 5.3
ID: RMiT Apêndice 5.3 Propriedade: cliente
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
| Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.0.0 |
| Os aplicativos de funções devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
Medidas de controle sobre segurança cibernética – Apêndice 5.5
ID: RMiT Apêndice 5.5 Propriedade: cliente
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma política de IPsec ou IKE personalizada precisa ser aplicada a todas as conexões do gateway de rede virtual do Azure | Essa política garante que todas as conexões de gateway de rede virtual do Azure usem uma política personalizada do protocolo Ipsec ou IKE. Algoritmos e forças de chave com suporte – https://aka.ms/AA62kb0 | Audit, desabilitado | 1.0.0 |
| Os serviços de cluster do Kubernetes devem usar somente IPs externos permitidos | Use IPs externos permitidos para evitar um potencial ataque (CVE-2020-8554) em um cluster do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.0 |
Medidas de controle sobre segurança cibernética – Apêndice 5.6
ID: RMiT Apêndice 5.6 Propriedade: cliente
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente | Definir a versão do TLS como 1.2 ou mais recente aprimora a segurança garantindo que seu Banco de Dados SQL do Azure só possa ser acessado de clientes que usam o TLS 1.2 ou mais recente. O uso de versões do TLS inferiores à 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditoria, desabilitado, negação | 2.0.0 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
| Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | Restrinja o acesso do pod à rede do host e ao intervalo de portas de host permitido em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.1.0 |
| Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.1.0 |
| Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.1.0 |
| O servidor MariaDB deve usar um ponto de extremidade de serviço de rede virtual | As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados do Azure para MariaDB e ainda garantir que o tráfego permaneça dentro do limite do Azure. Essa política oferece uma forma de auditar se o Banco de Dados do Azure para MariaDB tem um ponto de extremidade de serviço de rede virtual em uso. | AuditIfNotExists, desabilitado | 1.0.2 |
| O servidor MySQL deve usar um ponto de extremidade de serviço de rede virtual | As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados do Azure para MySQL e ainda garantir que o tráfego permaneça dentro do limite do Azure. Essa política oferece uma forma de auditar se o Banco de Dados do Azure para MySQL tem um ponto de extremidade de serviço de rede virtual em uso. | AuditIfNotExists, desabilitado | 1.0.2 |
| O servidor PostgreSQL deve usar um ponto de extremidade de serviço de rede virtual | As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados do Azure para PostgreSQL e ainda garantir que o tráfego permaneça dentro do limite do Azure. Essa política oferece uma forma de auditar se o Banco de Dados do Azure para PostgreSQL tem um ponto de extremidade de serviço de rede virtual em uso. | AuditIfNotExists, desabilitado | 1.0.2 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. | Audit, Deny, desabilitado | 1.1.0 |
| O acesso à rede pública deve ser desabilitado para servidores MariaDB | Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. | Audit, Deny, desabilitado | 2.0.0 |
| O acesso à rede pública deve ser desabilitado para servidores flexíveis do MySQL | Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados do Azure para servidores flexíveis do MySQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. | Audit, Deny, desabilitado | 2.1.0 |
| O acesso à rede pública deve ser desabilitado para servidores MySQL | Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MySQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. | Audit, Deny, desabilitado | 2.0.0 |
| O acesso à rede pública deve ser desabilitado para servidores flexíveis do PostgreSQL | Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados do Azure para servidores flexíveis do PostgreSQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. | Audit, Deny, desabilitado | 3.0.1 |
| O acesso à rede pública deve ser desabilitado para servidores PostgreSQL | Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para PostgreSQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. | Audit, Deny, desabilitado | 2.0.1 |
| A Instância Gerenciada de SQL deve ter a versão mínima 1.2 do TLS | Definir a versão mínima do TLS como 1.2 aprimora a segurança garantindo que a Instância Gerenciada de SQL possa ser acessada somente de clientes que usam o TLS 1.2. O uso de versões do TLS inferiores à 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Audit, desabilitado | 1.0.1 |
| A regra de firewall de rede virtual no Banco de Dados SQL do Azure deve ser habilitada para permitir o tráfego da sub-rede especificada | As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados SQL do Azure e ainda garantir que o tráfego permaneça dentro do limite do Azure. | AuditIfNotExists | 1.0.0 |
| O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 2.0.0 |
| O WAF (Firewall do Aplicativo Web) deve usar o modo especificado para Gateway de Aplicativo | Exige que o uso do modo 'Detecção' ou 'Prevenção' esteja ativo em todas as políticas de Firewall do Aplicativo Web para Gateway de Aplicativo. | Audit, Deny, desabilitado | 1.0.0 |
| O WAF (Firewall do Aplicativo Web) deve usar o modo especificado para o Azure Front Door Service | Exige que o uso do modo 'Detecção' ou 'Prevenção' esteja ativo em todas as políticas de Firewall do Aplicativo Web para o Azure Front Door Service. | Audit, Deny, desabilitado | 1.0.0 |
Medidas de controle sobre segurança cibernética – Apêndice 5.7
ID: RMiT Apêndice 5.7 Propriedade: cliente
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todos os recursos de log de fluxo devem estar no estado habilitado | Uma auditoria para recursos do log de fluxo a fim de verificar se o status dele está habilitado. Habilite logs de fluxo permite registrar informações sobre o tráfego IP que flui. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. | Audit, desabilitado | 1.0.1 |
| Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura | Para monitorar as vulnerabilidades e ameaças à segurança, a Central de Segurança do Azure coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace do Log Analytics para análise. É recomendável habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e nas VMs que forem criadas. | AuditIfNotExists, desabilitado | 1.0.1 |
| A Proteção contra DDoS do Azure deve ser habilitada | A Proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que seja parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desabilitado | 3.0.1 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores SQL em computadores deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| Configurar o SQL Server do Azure para habilitar conexões de ponto de extremidade privado | Uma conexão de ponto de extremidade privado permite a conectividade privada com o Banco de Dados SQL do Azure por meio de um endereço IP privado dentro de uma rede virtual. Essa configuração aprimora a sua postura de segurança e dá suporte a ferramentas e cenários de rede do Azure. | DeployIfNotExists, desabilitado | 1.0.0 |
| A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.1.0 |
| Os logs de fluxo deverão ser configurados para cada grupo de segurança de rede | Uma auditoria de grupos de segurança de rede para verificar se os logs de fluxo foram configurados. Habilitar logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio do grupo de segurança de rede. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. | Audit, desabilitado | 1.1.0 |
| Os Aplicativos de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. | AuditIfNotExists, desabilitado | 2.0.0 |
| As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| O agente do Log Analytics deve ser instalado na máquina virtual para o monitoramento da Central de Segurança do Azure | Esta política auditará VMs (máquinas virtuais) do Windows/Linux se não estiver instalado o agente do Log Analytics que a Central de Segurança usa para monitorar vulnerabilidades e ameaças à segurança | AuditIfNotExists, desabilitado | 1.0.0 |
| O agente do Log Analytics deve ser instalado em seus conjuntos de dimensionamento de máquinas virtuais para o monitoramento da Central de Segurança do Azure | A Central de Segurança coleta dados de suas VMs (máquinas virtuais) do Azure a fim de monitorar as vulnerabilidades e ameaças à segurança. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| A extensão IaaSAntimalware da Microsoft deve ser implantada em servidores do Windows | Essa política audita qualquer VM de servidor do Windows sem a extensão IaaSAntimalware da Microsoft implantada. | AuditIfNotExists, desabilitado | 1.1.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.0.0 |
| Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
| O ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. | AuditIfNotExists, desabilitado | 1.0.2 |
| As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento | Por padrão, o SO e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Os discos temporários, os caches de dados e os dados que fluem entre a computação e o armazenamento não são criptografados. Desconsidere essa recomendação se: 1. estiver usando a criptografia no host ou 2. a criptografia do lado do servidor no Managed Disks atender aos seus requisitos de segurança. Saiba mais em: Criptografia do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse,Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, desabilitado | 2.0.3 |
| As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | Audite vulnerabilidades na configuração de segurança em computadores com o Docker instalado e exiba como recomendações na Central de Segurança do Azure. | AuditIfNotExists, desabilitado | 3.0.0 |
Próximas etapas
Artigos adicionais sobre o Azure Policy:
- Visão geral da Conformidade Regulatória.
- Consulte a estrutura de definição da iniciativa.
- Veja outros exemplos em Amostras do Azure Policy.
- Revisar Compreendendo os efeitos da política.
- Saiba como corrigir recursos fora de conformidade.