Controles de Conformidade Regulatória do Azure Policy para as Máquinas Virtuais do Azure
Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes
A Conformidade Regulatória no Azure Policy fornece definições de iniciativas criadas e gerenciadas pela Microsoft, conhecidas como internos, para os domínios de conformidade e os controles de segurança relacionados a diferentes padrões de conformidade. Esta página lista os domínios de conformidade e os controles de segurança para as Máquinas Virtuais do Azure. Você pode atribuir os itens internos a um controle de segurança individualmente a fim de ajudar a manter seus recursos do Azure em conformidade com o padrão específico.
O título de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão da Política para ver a origem no repositório GitHub do Azure Policy.
Importante
Cada controle está associado a uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Portanto, a Conformidade no Azure Policy refere-se apenas às próprias políticas. Isso não garante que você esteja totalmente em conformidade com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os controles e as definições de Conformidade Regulatória do Azure Policy para esses padrões de conformidade podem mudar com o tempo.
PROTEÇÃO ISM do Governo Australiano
Para examinar como os internos do azure Policy disponíveis para todos os serviços do azure são mapeados para esse padrão de conformidade, confira Conformidade Regulatória do azure Policy – PROTEÇÃO ISM do Governo australiano. Para obter mais informações sobre esse padrão de conformidade, consulte PROTEÇÃO ISM do Governo Australiano.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 415 | Identificação de usuário – 415 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 415 | Identificação de usuário – 415 | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 415 | Identificação de usuário – 415 | Auditar computadores Windows que têm os membros especificados no Grupo de administradores | 2.0.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 415 | Identificação de usuário – 415 | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Diretrizes para proteção do sistema – proteção de autenticação | 421 | Autenticação de fator único – 421 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Diretrizes para proteção do sistema – proteção de autenticação | 421 | Autenticação de fator único – 421 | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Diretrizes para proteção do sistema – proteção de autenticação | 421 | Autenticação de fator único – 421 | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Diretrizes para proteção do sistema – proteção de autenticação | 421 | Autenticação de fator único – 421 | Os computadores Windows devem atender aos requisitos de 'Configurações de Segurança – Políticas de Conta' | 3.0.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 445 | Acesso privilegiado a sistemas – 445 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 445 | Acesso privilegiado a sistemas – 445 | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 445 | Acesso privilegiado a sistemas – 445 | Auditar computadores Windows que têm os membros especificados no Grupo de administradores | 2.0.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 445 | Acesso privilegiado a sistemas – 445 | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Diretrizes para monitoramento do sistema – log e auditoria de eventos | 582 | Eventos a serem registrados – 582 | As máquinas virtuais devem estar conectadas a um workspace especificado | 1.1.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 940 | Quando corrigir vulnerabilidades de segurança-940 | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 940 | Quando corrigir vulnerabilidades de segurança-940 | As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 940 | Quando corrigir vulnerabilidades de segurança-940 | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 940 | Quando corrigir vulnerabilidades de segurança-940 | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| Diretrizes para criptografia – segurança da camada de transporte | 1139 | Usando o Protocolo TLS - 1139 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Diretrizes para criptografia – segurança da camada de transporte | 1139 | Usando o Protocolo TLS - 1139 | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Diretrizes para criptografia – segurança da camada de transporte | 1139 | Usando o Protocolo TLS - 1139 | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Diretrizes para criptografia – segurança da camada de transporte | 1139 | Usando o Protocolo TLS - 1139 | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1144 | Quando corrigir vulnerabilidades de segurança - 1144 | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1144 | Quando corrigir vulnerabilidades de segurança - 1144 | As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1144 | Quando corrigir vulnerabilidades de segurança - 1144 | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1144 | Quando corrigir vulnerabilidades de segurança - 1144 | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| Diretrizes para rede – design e configuração de rede | 1182 | Controles de acesso à rede - 1182 | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| Diretrizes para rede – design e configuração de rede | 1182 | Controles de acesso à rede - 1182 | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Diretrizes para sistemas de banco de dados – servidores de banco de dados | 1277 | Comunicações entre servidores de banco de dados e servidores Web – 1277 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Diretrizes para sistemas de banco de dados – servidores de banco de dados | 1277 | Comunicações entre servidores de banco de dados e servidores Web – 1277 | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Diretrizes para sistemas de banco de dados – servidores de banco de dados | 1277 | Comunicações entre servidores de banco de dados e servidores Web – 1277 | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Diretrizes para sistemas de banco de dados – servidores de banco de dados | 1277 | Comunicações entre servidores de banco de dados e servidores Web – 1277 | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| Diretrizes para Gateways – Filtragem de conteúdo | 1288 | Verificação do antivírus - 1288 | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| Diretrizes para Gateways – Filtragem de conteúdo | 1288 | Verificação do antivírus - 1288 | A extensão IaaSAntimalware da Microsoft deve ser implantada em servidores do Windows | 1.1.0 |
| Diretrizes para Gateways – Filtragem de conteúdo | 1288 | Verificação do antivírus - 1288 | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Diretrizes para gerenciamento de sistema – administração do sistema | 1386 | Restrição de fluxos de tráfego de gerenciamento - 1386 | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Diretrizes para a proteção do sistema – proteção do sistema operacional | 1407 | Versões do sistema operacional - 1407 | As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas | 3.0.0 |
| Diretrizes para a proteção do sistema – proteção do sistema operacional | 1407 | Versões do sistema operacional - 1407 | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| Diretrizes para a proteção do sistema – proteção do sistema operacional | 1417 | Software antivírus - 1417 | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| Diretrizes para a proteção do sistema – proteção do sistema operacional | 1417 | Software antivírus - 1417 | A extensão IaaSAntimalware da Microsoft deve ser implantada em servidores do Windows | 1.1.0 |
| Diretrizes para a proteção do sistema – proteção do sistema operacional | 1417 | Software antivírus - 1417 | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1.472 | Quando corrigir vulnerabilidades de segurança - 1472 | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1.472 | Quando corrigir vulnerabilidades de segurança - 1472 | As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1.472 | Quando corrigir vulnerabilidades de segurança - 1472 | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1.472 | Quando corrigir vulnerabilidades de segurança - 1472 | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| Diretrizes para a proteção do sistema – proteção do sistema operacional | 1490 | Controle de aplicativo - 1490 | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1494 | Quando corrigir vulnerabilidades de segurança - 1494 | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1494 | Quando corrigir vulnerabilidades de segurança - 1494 | As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1494 | Quando corrigir vulnerabilidades de segurança - 1494 | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1494 | Quando corrigir vulnerabilidades de segurança - 1494 | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1.495 | Quando corrigir vulnerabilidades de segurança - 1495 | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1.495 | Quando corrigir vulnerabilidades de segurança - 1495 | As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1.495 | Quando corrigir vulnerabilidades de segurança - 1495 | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1.495 | Quando corrigir vulnerabilidades de segurança - 1495 | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1496 | Quando corrigir vulnerabilidades de segurança - 1496 | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1496 | Quando corrigir vulnerabilidades de segurança - 1496 | As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | 3.0.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1496 | Quando corrigir vulnerabilidades de segurança - 1496 | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Diretrizes para gerenciamento de sistema – aplicação de patch do sistema | 1496 | Quando corrigir vulnerabilidades de segurança - 1496 | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 1503 | Acesso padrão a sistemas – 1503 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 1503 | Acesso padrão a sistemas – 1503 | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 1503 | Acesso padrão a sistemas – 1503 | Auditar computadores Windows que têm os membros especificados no Grupo de administradores | 2.0.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 1503 | Acesso padrão a sistemas – 1503 | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 1507 | Acesso privilegiado a sistemas – 1507 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 1507 | Acesso privilegiado a sistemas – 1507 | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 1507 | Acesso privilegiado a sistemas – 1507 | Auditar computadores Windows que têm os membros especificados no Grupo de administradores | 2.0.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 1507 | Acesso privilegiado a sistemas – 1507 | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 1508 | Acesso privilegiado a sistemas – 1508 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 1508 | Acesso privilegiado a sistemas – 1508 | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 1508 | Acesso privilegiado a sistemas – 1508 | Auditar computadores Windows que têm os membros especificados no Grupo de administradores | 2.0.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 1508 | Acesso privilegiado a sistemas – 1508 | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Diretrizes para segurança do pessoal – acesso a sistemas e seus recursos | 1508 | Acesso privilegiado a sistemas – 1508 | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Diretrizes para gerenciamento de sistema – backup e restauração de dados | 1511 | Executando backups – 1511 | Auditar máquinas virtuais sem a recuperação de desastre configurada | 1.0.0 |
| Diretrizes para proteção do sistema – proteção de autenticação | 1546 | Autenticação nos sistemas – 1546 | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Diretrizes para proteção do sistema – proteção de autenticação | 1546 | Autenticação nos sistemas – 1546 | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Diretrizes para proteção do sistema – proteção de autenticação | 1546 | Autenticação nos sistemas – 1546 | Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| Diretrizes para proteção do sistema – proteção de autenticação | 1546 | Autenticação nos sistemas – 1546 | Auditar os computadores Linux que têm contas sem senhas | 3.1.0 |
| Diretrizes para proteção do sistema – proteção de autenticação | 1546 | Autenticação nos sistemas – 1546 | Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | 3.1.0 |
PBMM Federal do Canadá
Para examinar como as políticas internas disponíveis do azure Policy em todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – Canada Federal PBMM. Para obter mais informações sobre esse padrão de conformidade, confira Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – CIS Microsoft azure Foundations Benchmark 1.1.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 2 Central de Segurança | 2,10 | Garantir que a configuração padrão da política do ASC "Monitorar Avaliação de Vulnerabilidade" não esteja "Desabilitada" | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| 2 Central de Segurança | 2.12 | Garantir que a configuração padrão da política do ASC "Monitorar o Acesso à Rede JIT" não esteja "Desabilitada" | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| 2 Central de Segurança | 2,13 | Garantir que a configuração padrão da política do ASC "Monitorar a Inclusão de Aplicativos Adaptáveis à Lista de Permissões" não esteja "Desabilitada" | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| 2 Central de Segurança | 2.3 | Garantir que a configuração padrão da política do ASC "Monitorar Atualizações do Sistema" não esteja "Desabilitada" | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| 2 Central de Segurança | 2.4 | Garantir que a configuração padrão da política do ASC "Monitorar Vulnerabilidades do SO" não esteja "Desabilitada" | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| 2 Central de Segurança | 2.5 | Garantir que a configuração padrão da política do ASC "Monitorar a Proteção do Ponto de Extremidade" não esteja "Desabilitada" | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| 2 Central de Segurança | 2.7 | Garantir que a configuração de política padrão do ASC "Monitorar Grupos de Segurança de Rede" não esteja "Desabilitada" | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| 2 Central de Segurança | 2.9 | Garantir que a configuração de política padrão do ASC "Habilitar Monitoramento de NGFW (Firewall de Próxima Geração)" não esteja "Desabilitada" | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 7 Máquinas virtuais | 7.4 | Garantir que apenas as extensões aprovadas sejam instaladas | Somente as extensões aprovadas da VM devem ser instaladas | 1.0.0 |
| 7 Máquinas virtuais | 7.5 | Garantir que os Patches de SO mais recentes para todas as máquinas virtuais sejam aplicados | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| 7 Máquinas virtuais | 7.6 | Garantir que a proteção de ponto de extremidade para todas as máquinas virtuais esteja instalada | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – CIS Microsoft azure Foundations Benchmark 1.3.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 7 Máquinas virtuais | 7.1 | Verifique se as Máquinas Virtuais estão utilizando os Managed Disks | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| 7 Máquinas virtuais | 7.4 | Garantir que apenas as extensões aprovadas sejam instaladas | Somente as extensões aprovadas da VM devem ser instaladas | 1.0.0 |
| 7 Máquinas virtuais | 7.5 | Garantir que os Patches de SO mais recentes para todas as máquinas virtuais sejam aplicados | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| 7 Máquinas virtuais | 7.6 | Garantir que a proteção de ponto de extremidade para todas as máquinas virtuais esteja instalada | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Para analisar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Detalhes de conformidade regulatória do azure Policy para CIS v1.4.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 7 Máquinas virtuais | 7.1 | Verifique se as Máquinas Virtuais estão utilizando os Managed Disks | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| 7 Máquinas virtuais | 7.4 | Verifique se Apenas as Extensões Aprovadas estão Instaladas | Somente as extensões aprovadas da VM devem ser instaladas | 1.0.0 |
| 7 Máquinas virtuais | 7.5 | Garantir que os Patches de SO mais recentes para todas as máquinas virtuais sejam aplicados | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| 7 Máquinas virtuais | 7.6 | Garantir que a proteção de ponto de extremidade para todas as máquinas virtuais esteja instalada | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Para examinar como as iniciativas internas do Azure Policy disponíveis para todos os serviços do Azure são mapeadas para esse padrão de conformidade, consulte Detalhes de Conformidade Regulatória do Azure Policy para o CIS v2.0.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | Verifique se o status da Recomendação do Microsoft Defender para "Aplicar atualizações do sistema" está "Concluído" | Os computadores devem ser configurados para verificar periodicamente se há atualizações ausentes do sistema | 3.7.0 |
| 6 | 6.1 | Verifique se o acesso RDP da Internet é avaliado e restrito | Portas de gerenciamento devem ser fechadas nas máquinas virtuais | 3.0.0 |
| 6 | 6.2 | Verifique se o acesso SSH da Internet é avaliado e restrito | Portas de gerenciamento devem ser fechadas nas máquinas virtuais | 3.0.0 |
| 7 | 7.2 | Verifique se as Máquinas Virtuais estão utilizando os Managed Disks | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| 7 | 7.4 | Verifique se os "discos desanexado" estão criptografados com a Chave Gerenciada pelo Cliente (CMK) | Os discos gerenciados devem ter criptografia dupla, com chaves gerenciadas pelo cliente e pela plataforma | 1.0.0 |
| 7 | 7.5 | Verifique se Apenas as Extensões Aprovadas estão Instaladas | Somente as extensões aprovadas da VM devem ser instaladas | 1.0.0 |
| 7 | 7.6 | Verifique se o Endpoint Protection está instalado em todas as Máquinas Virtuais | O Endpoint Protection deve ser instalado nos computadores | 1.0.0 |
CMMC nível 3
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – CMMC nível 3. Para saber mais sobre esse padrão de conformidade, confira Cybersecurity Maturity Model Certification (CMMC).
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controle de acesso | AC.1.001 | Limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Controle de acesso | AC.1.001 | Limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Controle de acesso | AC.1.001 | Limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). | Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| Controle de acesso | AC.1.001 | Limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Controle de acesso | AC.1.001 | Limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Controle de acesso | AC.1.001 | Limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Acesso à Rede' | 3.0.0 |
| Controle de acesso | AC.1.001 | Limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Segurança de Rede' | 3.0.0 |
| Controle de acesso | AC.1.002 | Limitar o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar. | Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| Controle de acesso | AC.1.002 | Limitar o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Controle de acesso | AC.1.002 | Limitar o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar. | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| Controle de acesso | AC.1.002 | Limitar o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar. | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Acesso à Rede' | 3.0.0 |
| Controle de acesso | AC.1.003 | Verificar e controlar/limitar as conexões e o uso de sistemas de informações externos. | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| Controle de acesso | AC.1.003 | Verificar e controlar/limitar as conexões e o uso de sistemas de informações externos. | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controle de acesso | AC.2.007 | Empregar o princípio de privilégios mínimos, incluindo para funções de segurança específicas e contas privilegiadas. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Controle de acesso | AC.2.008 | Usar contas ou funções sem privilégios ao acessar funções que não são de segurança. | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Controle de Conta de Usuário' | 3.0.0 |
| Controle de acesso | AC.2.008 | Usar contas ou funções sem privilégios ao acessar funções que não são de segurança. | Os computadores Windows devem atender aos requisitos de 'Atribuição de Direitos do Usuário' | 3.0.0 |
| Controle de acesso | AC.2.013 | Monitore e controle sessões de acesso remoto. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Controle de acesso | AC.2.013 | Monitore e controle sessões de acesso remoto. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Controle de acesso | AC.2.013 | Monitore e controle sessões de acesso remoto. | Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| Controle de acesso | AC.2.013 | Monitore e controle sessões de acesso remoto. | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Controle de acesso | AC.2.013 | Monitore e controle sessões de acesso remoto. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Controle de acesso | AC.2.013 | Monitore e controle sessões de acesso remoto. | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Segurança de Rede' | 3.0.0 |
| Controle de acesso | AC.2.016 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| Controle de acesso | AC.2.016 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controle de acesso | AC.2.016 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Acesso à Rede' | 3.0.0 |
| Controle de acesso | AC.3.017 | Separe as tarefas de indivíduos para reduzir o risco de atividades maliciosas sem colusão. | Auditar computadores Windows que não têm membros especificados no Grupo de administradores | 2.0.0 |
| Controle de acesso | AC.3.017 | Separe as tarefas de indivíduos para reduzir o risco de atividades maliciosas sem colusão. | Auditar computadores Windows que têm os membros especificados no Grupo de administradores | 2.0.0 |
| Controle de acesso | AC.3.018 | Impedir que usuários sem privilégios executem funções privilegiadas e capturem a execução dessas funções em logs de auditoria. | Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Uso de Privilégios' | 3.0.0 |
| Controle de acesso | AC.3.021 | Autorizar a execução remota de comandos privilegiados e acesso remoto a informações relevantes à segurança. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Controle de acesso | AC.3.021 | Autorizar a execução remota de comandos privilegiados e acesso remoto a informações relevantes à segurança. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Controle de acesso | AC.3.021 | Autorizar a execução remota de comandos privilegiados e acesso remoto a informações relevantes à segurança. | Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | 3.1.0 |
| Controle de acesso | AC.3.021 | Autorizar a execução remota de comandos privilegiados e acesso remoto a informações relevantes à segurança. | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Controle de acesso | AC.3.021 | Autorizar a execução remota de comandos privilegiados e acesso remoto a informações relevantes à segurança. | A extensão de Configuração de Convidado deve ser instalada nos seus computadores | 1.0.3 |
| Controle de acesso | AC.3.021 | Autorizar a execução remota de comandos privilegiados e acesso remoto a informações relevantes à segurança. | A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | 1.0.1 |
| Controle de acesso | AC.3.021 | Autorizar a execução remota de comandos privilegiados e acesso remoto a informações relevantes à segurança. | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Controle de Conta de Usuário' | 3.0.0 |
| Controle de acesso | AC.3.021 | Autorizar a execução remota de comandos privilegiados e acesso remoto a informações relevantes à segurança. | Os computadores Windows devem atender aos requisitos de 'Atribuição de Direitos do Usuário' | 3.0.0 |
| Auditoria e Contabilidade | AU.2.041 | Verificar se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | [Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas | 2.0.1 – versão prévia |
| Auditoria e Contabilidade | AU.2.041 | Verificar se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens de máquinas virtuais listadas | 2.0.1 |
| Auditoria e Contabilidade | AU.2.041 | Verificar se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | A extensão do Log Analytics deve ser instalada nos Conjuntos de Dimensionamento de Máquinas Virtuais | 1.0.1 |
| Auditoria e Contabilidade | AU.2.041 | Verificar se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | As máquinas virtuais devem estar conectadas a um workspace especificado | 1.1.0 |
| Auditoria e Contabilidade | AU.2.041 | Verificar se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| Auditoria e Contabilidade | AU.2.042 | Crie e retenha registros e logs de auditoria do sistema na extensão necessária para habilitar o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | [Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas | 2.0.1 – versão prévia |
| Auditoria e Contabilidade | AU.2.042 | Crie e retenha registros e logs de auditoria do sistema na extensão necessária para habilitar o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens de máquinas virtuais listadas | 2.0.1 |
| Auditoria e Contabilidade | AU.2.042 | Crie e retenha registros e logs de auditoria do sistema na extensão necessária para habilitar o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | A extensão do Log Analytics deve ser instalada nos Conjuntos de Dimensionamento de Máquinas Virtuais | 1.0.1 |
| Auditoria e Contabilidade | AU.2.042 | Crie e retenha registros e logs de auditoria do sistema na extensão necessária para habilitar o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | As máquinas virtuais devem estar conectadas a um workspace especificado | 1.1.0 |
| Auditoria e Contabilidade | AU.2.042 | Crie e retenha registros e logs de auditoria do sistema na extensão necessária para habilitar o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema. | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| Auditoria e Contabilidade | AU.3.046 | Alerta no caso de uma falha de processo de log de auditoria. | [Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas | 2.0.1 – versão prévia |
| Auditoria e Contabilidade | AU.3.046 | Alerta no caso de uma falha de processo de log de auditoria. | A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens de máquinas virtuais listadas | 2.0.1 |
| Auditoria e Contabilidade | AU.3.046 | Alerta no caso de uma falha de processo de log de auditoria. | As máquinas virtuais devem estar conectadas a um workspace especificado | 1.1.0 |
| Auditoria e Contabilidade | AU.3.048 | Coletar informações de auditoria (por exemplo, logs) em um ou mais repositórios centrais. | [Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas | 2.0.1 – versão prévia |
| Auditoria e Contabilidade | AU.3.048 | Coletar informações de auditoria (por exemplo, logs) em um ou mais repositórios centrais. | A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens de máquinas virtuais listadas | 2.0.1 |
| Auditoria e Contabilidade | AU.3.048 | Coletar informações de auditoria (por exemplo, logs) em um ou mais repositórios centrais. | A extensão do Log Analytics deve ser instalada nos Conjuntos de Dimensionamento de Máquinas Virtuais | 1.0.1 |
| Auditoria e Contabilidade | AU.3.048 | Coletar informações de auditoria (por exemplo, logs) em um ou mais repositórios centrais. | As máquinas virtuais devem estar conectadas a um workspace especificado | 1.1.0 |
| Auditoria e Contabilidade | AU.3.048 | Coletar informações de auditoria (por exemplo, logs) em um ou mais repositórios centrais. | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| Avaliação de segurança | CA.2.158 | Avaliar periodicamente os controles de segurança em sistemas organizacionais para determinar se os controles estão em vigor em seus aplicativos. | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Avaliação de segurança | CA.2.158 | Avaliar periodicamente os controles de segurança em sistemas organizacionais para determinar se os controles estão em vigor em seus aplicativos. | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| Avaliação de segurança | CA.2.158 | Avaliar periodicamente os controles de segurança em sistemas organizacionais para determinar se os controles estão em vigor em seus aplicativos. | As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | 3.0.0 |
| Avaliação de segurança | CA.2.158 | Avaliar periodicamente os controles de segurança em sistemas organizacionais para determinar se os controles estão em vigor em seus aplicativos. | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| Avaliação de segurança | CA.2.158 | Avaliar periodicamente os controles de segurança em sistemas organizacionais para determinar se os controles estão em vigor em seus aplicativos. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Avaliação de segurança | CA.3.161 | Monitorar controles de segurança continuamente para garantir sua eficácia contínua. | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Avaliação de segurança | CA.3.161 | Monitorar controles de segurança continuamente para garantir sua eficácia contínua. | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| Avaliação de segurança | CA.3.161 | Monitorar controles de segurança continuamente para garantir sua eficácia contínua. | As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | 3.0.0 |
| Avaliação de segurança | CA.3.161 | Monitorar controles de segurança continuamente para garantir sua eficácia contínua. | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| Avaliação de segurança | CA.3.161 | Monitorar controles de segurança continuamente para garantir sua eficácia contínua. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Gerenciamento de configuração | CM.2.061 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| Gerenciamento de configuração | CM.2.061 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.2.0 |
| Gerenciamento de configuração | CM.2.062 | Empregar o princípio da funcionalidade mínima configurando sistemas organizacionais para fornecer apenas recursos essenciais. | Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Uso de Privilégios' | 3.0.0 |
| Gerenciamento de configuração | CM.2.063 | Controle e monitore software instalado pelo usuário. | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| Gerenciamento de configuração | CM.2.063 | Controle e monitore software instalado pelo usuário. | As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | 3.0.0 |
| Gerenciamento de configuração | CM.2.063 | Controle e monitore software instalado pelo usuário. | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Controle de Conta de Usuário' | 3.0.0 |
| Gerenciamento de configuração | CM.2.064 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Gerenciamento de configuração | CM.2.064 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Segurança de Rede' | 3.0.0 |
| Gerenciamento de configuração | CM.2.065 | Acompanhar, examinar, aprovar ou desaprovar e registrar alterações em sistemas organizacionais. | Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Alteração de Política' | 3.0.0 |
| Gerenciamento de configuração | CM.3.068 | Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| Gerenciamento de configuração | CM.3.068 | Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| Gerenciamento de configuração | CM.3.068 | Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Gerenciamento de configuração | CM.3.068 | Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | 3.0.0 |
| Gerenciamento de configuração | CM.3.068 | Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Gerenciamento de configuração | CM.3.068 | Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Gerenciamento de configuração | CM.3.068 | Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Gerenciamento de configuração | CM.3.069 | Aplique a política de negar por exceção (lista de bloqueios) para evitar o uso de software não autorizado ou a política de negar tudo, permitir por exceção (lista de permissões) para permitir a realização de software autorizado. | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| Identificação e Autenticação | IA.1.077 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas de informações organizacionais. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | IA.1.077 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas de informações organizacionais. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Identificação e Autenticação | IA.1.077 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas de informações organizacionais. | Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | 3.1.0 |
| Identificação e Autenticação | IA.1.077 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas de informações organizacionais. | Auditar os computadores Linux que têm contas sem senhas | 3.1.0 |
| Identificação e Autenticação | IA.1.077 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas de informações organizacionais. | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Identificação e Autenticação | IA.1.077 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas de informações organizacionais. | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Segurança de Rede' | 3.0.0 |
| Identificação e Autenticação | IA.2.078 | Imponha uma complexidade mínima de senha e uma alteração de caracteres quando senhas forem criadas. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | IA.2.078 | Imponha uma complexidade mínima de senha e uma alteração de caracteres quando senhas forem criadas. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Identificação e Autenticação | IA.2.078 | Imponha uma complexidade mínima de senha e uma alteração de caracteres quando senhas forem criadas. | Auditar os computadores Linux que têm contas sem senhas | 3.1.0 |
| Identificação e Autenticação | IA.2.078 | Imponha uma complexidade mínima de senha e uma alteração de caracteres quando senhas forem criadas. | Auditar os computadores Windows que não têm a configuração de complexidade de senha habilitada | 2.0.0 |
| Identificação e Autenticação | IA.2.078 | Imponha uma complexidade mínima de senha e uma alteração de caracteres quando senhas forem criadas. | Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres | 2.1.0 |
| Identificação e Autenticação | IA.2.078 | Imponha uma complexidade mínima de senha e uma alteração de caracteres quando senhas forem criadas. | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Identificação e Autenticação | IA.2.078 | Imponha uma complexidade mínima de senha e uma alteração de caracteres quando senhas forem criadas. | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Segurança de Rede' | 3.0.0 |
| Identificação e Autenticação | IA.2.079 | Proíba a reutilização de senhas por um número especificado de gerações. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | IA.2.079 | Proíba a reutilização de senhas por um número especificado de gerações. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Identificação e Autenticação | IA.2.079 | Proíba a reutilização de senhas por um número especificado de gerações. | Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas | 2.1.0 |
| Identificação e Autenticação | IA.2.079 | Proíba a reutilização de senhas por um número especificado de gerações. | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Identificação e Autenticação | IA.2.079 | Proíba a reutilização de senhas por um número especificado de gerações. | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Segurança de Rede' | 3.0.0 |
| Identificação e Autenticação | IA.2.081 | Armazene e transmita apenas senhas protegidas criptograficamente. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | IA.2.081 | Armazene e transmita apenas senhas protegidas criptograficamente. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Identificação e Autenticação | IA.2.081 | Armazene e transmita apenas senhas protegidas criptograficamente. | Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível | 2.0.0 |
| Identificação e Autenticação | IA.2.081 | Armazene e transmita apenas senhas protegidas criptograficamente. | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Identificação e Autenticação | IA.2.081 | Armazene e transmita apenas senhas protegidas criptograficamente. | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Segurança de Rede' | 3.0.0 |
| Identificação e Autenticação | IA.3.084 | Empregar mecanismos de autenticação resistente à repetição para acesso à rede para contas com e sem privilégios. | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| Resposta a incidentes | IR.2.093 | Detectar e relatar eventos. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Recuperação | RE.2.137 | Executar e testar back-ups de dados regularmente. | Auditar máquinas virtuais sem a recuperação de desastre configurada | 1.0.0 |
| Recuperação | RE.2.137 | Executar e testar back-ups de dados regularmente. | O Backup do Azure deve ser habilitado para máquinas virtuais | 3.0.0 |
| Recuperação | RE.3.139 | Executar regularmente backups de dados completos, abrangentes e resilientes conforme definido pela organização. | Auditar máquinas virtuais sem a recuperação de desastre configurada | 1.0.0 |
| Recuperação | RE.3.139 | Executar regularmente backups de dados completos, abrangentes e resilientes conforme definido pela organização. | O Backup do Azure deve ser habilitado para máquinas virtuais | 3.0.0 |
| Avaliação de risco | RM.2.141 | Avaliar periodicamente o risco para operações organizacionais (incluindo missão, funções, imagem ou reputação), ativos organizacionais e indivíduos resultantes da operação de sistemas organizacionais e do processamento, do armazenamento ou da transmissão de CUI associada. | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Avaliação de risco | RM.2.142 | Verifique se há vulnerabilidades em sistemas organizacionais e aplicativos periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicativos são identificadas. | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Avaliação de risco | RM.2.143 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Avaliação de risco | RM.2.143 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | 3.0.0 |
| Avaliação de risco | RM.2.143 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Avaliação de risco | RM.2.143 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.1.175 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.1.175 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.1.175 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.1.175 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.1.175 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.1.175 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| Proteção do Sistema e das Comunicações | SC.1.175 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Acesso à Rede' | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.1.175 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Segurança de Rede' | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.1.176 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.1.176 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.1.176 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.2.179 | Use sessões criptografadas para o gerenciamento de dispositivos de rede. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.3.177 | Empregar criptografia validada por FIPS quando usada para proteger a confidencialidade da CUI. | Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível | 2.0.0 |
| Proteção do Sistema e das Comunicações | SC.3.181 | Separar a funcionalidade do usuário da funcionalidade de gerenciamento do sistema. | Auditar computadores Windows que têm os membros especificados no Grupo de administradores | 2.0.0 |
| Proteção do Sistema e das Comunicações | SC.3.183 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.3.183 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.3.183 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.3.183 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.3.183 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.3.183 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Acesso à Rede' | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.3.183 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Segurança de Rede' | 3.0.0 |
| Proteção do Sistema e das Comunicações | SC.3.185 | Implemente mecanismos criptográficos para impedir a divulgação não autorizada da CUI durante a transmissão, a menos que ela conte com proteções físicas alternativas. | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| Proteção do Sistema e das Comunicações | SC.3.190 | Proteger a autenticidade das sessões de comunicação. | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| Integridade do Sistema e das Informações | SI.1.210 | Identificar, relatar e corrigir falhas em informações e sistemas de informações oportunamente. | O Microsoft Antimalware para o Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| Integridade do Sistema e das Informações | SI.1.210 | Identificar, relatar e corrigir falhas em informações e sistemas de informações oportunamente. | As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas | 3.0.0 |
| Integridade do Sistema e das Informações | SI.1.210 | Identificar, relatar e corrigir falhas em informações e sistemas de informações oportunamente. | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| Integridade do Sistema e das Informações | SI.1.210 | Identificar, relatar e corrigir falhas em informações e sistemas de informações oportunamente. | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Integridade do Sistema e das Informações | SI.1.210 | Identificar, relatar e corrigir falhas em informações e sistemas de informações oportunamente. | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| Integridade do Sistema e das Informações | SI.1.211 | Fornecer proteção contra código mal intencionado em locais adequados em sistemas de informações organizacionais. | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| Integridade do Sistema e das Informações | SI.1.211 | Fornecer proteção contra código mal intencionado em locais adequados em sistemas de informações organizacionais. | O Microsoft Antimalware para o Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| Integridade do Sistema e das Informações | SI.1.211 | Fornecer proteção contra código mal intencionado em locais adequados em sistemas de informações organizacionais. | A extensão IaaSAntimalware da Microsoft deve ser implantada em servidores do Windows | 1.1.0 |
| Integridade do Sistema e das Informações | SI.1.211 | Fornecer proteção contra código mal intencionado em locais adequados em sistemas de informações organizacionais. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Integridade do Sistema e das Informações | SI.1.212 | Atualizar mecanismos de proteção contra código mal intencionado quando novas versões estão disponíveis. | O Microsoft Antimalware para o Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| Integridade do Sistema e das Informações | SI.1.213 | Executar verificações periódicas do sistema de informações e verificações em tempo real de arquivos de fontes externas conforme arquivos são baixados, abertos ou executados. | O Microsoft Antimalware para o Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| Integridade do Sistema e das Informações | SI.1.213 | Executar verificações periódicas do sistema de informações e verificações em tempo real de arquivos de fontes externas conforme arquivos são baixados, abertos ou executados. | A extensão IaaSAntimalware da Microsoft deve ser implantada em servidores do Windows | 1.1.0 |
| Integridade do Sistema e das Informações | SI.1.213 | Executar verificações periódicas do sistema de informações e verificações em tempo real de arquivos de fontes externas conforme arquivos são baixados, abertos ou executados. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
FedRAMP Alto
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – FedRaMP High. Para obter mais informações sobre esse padrão de conformidade, confira FedRAMP High.
FedRAMP Moderado
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – FedRaMP Moderate. Para obter mais informações sobre esse padrão de conformidade, confira FedRAMP Moderate.
HIPAA HITRUST 9.2
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade Regulatória do azure Policy – HIPaa HITRUST 9.2. Para obter mais informações sobre esse padrão de conformidade, confira HIPAA HITRUST 9.2.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Identificação e autenticação do usuário | 11210.01q2Organizational.10 – 01.q | As assinaturas eletrônicas e as assinaturas manuscritas executadas em registros eletrônicos devem estar vinculadas aos respectivos registros eletrônicos. | Auditar computadores Windows que têm os membros especificados no Grupo de administradores | 2.0.0 |
| Identificação e autenticação do usuário | 11211.01q2Organizational.11 – 01.q | Os registros eletrônicos assinados devem conter informações associadas à assinatura em formato legível. | Auditar computadores Windows que não têm membros especificados no Grupo de administradores | 2.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Proteção contra códigos maliciosos e móveis | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Proteção contra códigos maliciosos e móveis | Implantar a extensão padrão antimalware de IaaS da Microsoft para Windows Server | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Proteção contra códigos maliciosos e móveis | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Proteção contra códigos maliciosos e móveis | O Microsoft Antimalware para o Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Proteção contra códigos maliciosos e móveis | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Proteção contra códigos maliciosos e móveis | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| 06 Gerenciamento de configuração | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Segurança dos arquivos do sistema | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| 06 Gerenciamento de configuração | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Segurança dos Arquivos do Sistema | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Auditoria' | 3.0.0 |
| 06 Gerenciamento de configuração | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Segurança dos Arquivos do Sistema | Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Gerenciamento de Contas' | 3.0.0 |
| 06 Gerenciamento de configuração | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Segurança nos Processos de Desenvolvimento e Suporte | Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' | 3.0.0 |
| 06 Gerenciamento de configuração | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Segurança nos Processos de Desenvolvimento e Suporte | Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' | 3.0.0 |
| 06 Gerenciamento de configuração | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Segurança nos Processos de Desenvolvimento e Suporte | Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' | 3.0.0 |
| 06 Gerenciamento de configuração | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Segurança nos Processos de Desenvolvimento e Suporte | Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' | 3.0.0 |
| 06 Gerenciamento de configuração | 0639.10k2Organizational.78-10 – 10.k | 0639.10k2Organizational.78-10.k 10.05 Segurança nos Processos de Desenvolvimento e Suporte | Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' | 3.0.0 |
| 06 Gerenciamento de configuração | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Segurança nos Processos de Desenvolvimento e Suporte | Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' | 3.0.0 |
| 06 Gerenciamento de configuração | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Segurança nos Processos de Desenvolvimento e Suporte | Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' | 3.0.0 |
| 06 Gerenciamento de configuração | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Segurança nos Processos de Desenvolvimento e Suporte | Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' | 3.0.0 |
| 06 Gerenciamento de configuração | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Segurança nos Processos de Desenvolvimento e Suporte | Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' | 3.0.0 |
| 06 Gerenciamento de configuração | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Segurança nos Processos de Desenvolvimento e Suporte | Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' | 3.0.0 |
| 07 Gerenciamento de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gerenciamento de Vulnerabilidade Técnica | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| 07 Gerenciamento de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gerenciamento de Vulnerabilidade Técnica | As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | 3.0.0 |
| 07 Gerenciamento de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gerenciamento de Vulnerabilidade Técnica | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| 07 Gerenciamento de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gerenciamento de Vulnerabilidade Técnica | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| 07 Gerenciamento de vulnerabilidades | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Gerenciamento de Vulnerabilidade Técnica | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Servidor de Rede da Microsoft' | 3.0.0 |
| 07 Gerenciamento de vulnerabilidades | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 Gerenciamento de Vulnerabilidade Técnica | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| 07 Gerenciamento de vulnerabilidades | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 Gerenciamento de Vulnerabilidade Técnica | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| 07 Gerenciamento de vulnerabilidades | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 Gerenciamento de Vulnerabilidade Técnica | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| 07 Gerenciamento de Vulnerabilidades | 0715.10m2Organizational.8-10.m | 0715.10m2Organizational.8-10.m 10.06 Gerenciamento de Vulnerabilidade Técnica | As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | 3.0.0 |
| 07 Gerenciamento de vulnerabilidades | 0717.10m3Organizational.2-10.m | 0717.10m3Organizational.2-10.m 10.06 Gerenciamento de Vulnerabilidade Técnica | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| 07 Gerenciamento de vulnerabilidades | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 Gerenciamento de Vulnerabilidade Técnica | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| 08 Proteção de Rede | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Controle de Acesso à Rede | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 08 Proteção de Rede | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Controle de Acesso à Rede | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 08 Proteção de Rede | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Controle de Acesso à Rede | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| 08 Proteção de Rede | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Controle de Acesso à Rede | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 08 Proteção de Rede | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Controle de Acesso à Rede | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| 08 Proteção de Rede | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Controle de Acesso à Rede | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 08 Proteção de Rede | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Controle de Acesso à Rede | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| 08 Proteção de Rede | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Controle de Acesso à Rede | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 08 Proteção de Rede | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Controle de Acesso à Rede | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| 08 Proteção de Rede | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Controle de Acesso à Rede | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 08 Proteção de Rede | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Controle de Acesso à Rede | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| 08 Proteção de Rede | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Controle de Acesso à Rede | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 08 Proteção de Rede | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Gerenciamento de Segurança de Rede | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | 1.0.2 – versão prévia |
| 08 Proteção de Rede | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Gerenciamento de Segurança de Rede | As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | 1.0.0 |
| 08 Proteção de Rede | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 Gerenciamento de Segurança de Rede | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | 1.0.2 – versão prévia |
| 08 Proteção de Rede | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Gerenciamento de Segurança de Rede | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| 08 Proteção de Rede | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Gerenciamento de Segurança de Rede | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| 08 Proteção de Rede | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Gerenciamento de Segurança de Rede | Os computadores Windows devem atender aos requisitos de 'Propriedades do Firewall do Windows' | 3.0.0 |
| 08 Proteção de Rede | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 Gerenciamento de Segurança de Rede | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| 08 Proteção de Rede | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Gerenciamento de Segurança de Rede | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Acesso à Rede' | 3.0.0 |
| 08 Proteção de Rede | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 Gerenciamento de Segurança de Rede | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | 1.0.2 – versão prévia |
| 08 Proteção de Rede | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 Gerenciamento de Segurança de Rede | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | 1.0.2 – versão prévia |
| 08 Proteção de Rede | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Controle de Acesso à Rede | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Backup | 1699.09l1Organizational.10 – 09.l | As funções e as responsabilidades dos membros da força de trabalho no processo de backup de dados são identificadas e comunicadas à força de trabalho; em particular, os usuários BYOD (Traga seu próprio dispositivo) devem executar backups de dados organizacionais e/ou do cliente nos próprios dispositivos. | O Backup do Azure deve ser habilitado para máquinas virtuais | 3.0.0 |
| 09 Proteção de Transmissão | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 Serviços de Comércio Eletrônico | Auditar os computadores Windows que não contêm os certificados especificados na Raiz Confiável | 3.0.0 |
| Controle de software operacional | 0606.10h2System.1 – 10.h | Os aplicativos e os sistemas operacionais são testados com êxito quanto à usabilidade, à segurança e ao impacto antes da produção. | As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | 3.0.0 |
| Controle de software operacional | 0607.10h2System.23 – 10.h | A organização usa o programa de controle de configuração dela para manter o controle de todo o software implementado e a documentação do sistema dele e versões anteriores de arquivo do software implementado e da documentação do sistema associada. | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| Controle de software operacional | 0607.10h2System.23 – 10.h | A organização usa o programa de controle de configuração dela para manter o controle de todo o software implementado e a documentação do sistema dele e versões anteriores de arquivo do software implementado e da documentação do sistema associada. | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| 11 Controle de Acesso | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Acesso Autorizado a Sistemas de Informação | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| 11 Controle de Acesso | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 Controle de Acesso à Rede | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| 11 Controle de Acesso | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Controle de Acesso ao Sistema Operacional | Auditar os computadores Windows que têm contas extras no Grupo de administradores | 2.0.0 |
| 11 Controle de Acesso | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Controle de Acesso ao Sistema Operacional | Auditar computadores Windows que têm os membros especificados no Grupo de administradores | 2.0.0 |
| 11 Controle de Acesso | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 Controle de Acesso ao Sistema Operacional | Auditar computadores Windows que não têm membros especificados no Grupo de administradores | 2.0.0 |
| 11 Controle de Acesso | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Acesso Autorizado a Sistemas de Informação | Portas de gerenciamento devem ser fechadas nas máquinas virtuais | 3.0.0 |
| 11 Controle de Acesso | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Acesso Autorizado a Sistemas de Informação | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Contas' | 3.0.0 |
| 11 Controle de Acesso | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Acesso Autorizado a Sistemas de Informação | Portas de gerenciamento devem ser fechadas nas máquinas virtuais | 3.0.0 |
| 11 Controle de Acesso | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 Controle de Acesso à Rede | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| 11 Controle de Acesso | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Controle de Acesso à Rede | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| 11 Controle de Acesso | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 Controle de Acesso à Rede | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| 11 Controle de Acesso | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 Controle de Acesso à Rede | Portas de gerenciamento devem ser fechadas nas máquinas virtuais | 3.0.0 |
| 11 Controle de acesso | 1197.01l3Organizational.3-01.l | 1197.01l3Organizational.3-01.l 01.04 Controle de Acesso à Rede | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| 12 Log de Auditoria e Monitoramento | 1202.09aa1System.1-09.aa | 1202.09aa1System.1-09.aa 09.10 Monitoramento | As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas | 3.0.0 |
| 12 Log de Auditoria e Monitoramento | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 Monitoramento | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| 12 Log de Auditoria e Monitoramento | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Monitoramento | A extensão do Log Analytics deve ser instalada nos Conjuntos de Dimensionamento de Máquinas Virtuais | 1.0.1 |
| 12 Log de Auditoria e Monitoramento | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Monitoramento | Auditar os computadores Windows nos quais o agente do Log Analytics não esteja conectado conforme o esperado | 2.0.0 |
| 12 Log de Auditoria e Monitoramento | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 Monitoramento | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| 12 Log de Auditoria e Monitoramento | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Monitoramento | A extensão do Log Analytics deve ser instalada nos Conjuntos de Dimensionamento de Máquinas Virtuais | 1.0.1 |
| 12 Log de Auditoria e Monitoramento | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Monitoramento | Auditar os computadores Windows nos quais o agente do Log Analytics não esteja conectado conforme o esperado | 2.0.0 |
| 12 Log de Auditoria e Monitoramento | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Procedimentos Operacionais Documentados | Os computadores Windows devem atender aos requisitos de 'Atribuição de Direitos do Usuário' | 3.0.0 |
| 12 Log de Auditoria e Monitoramento | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 Procedimentos Operacionais Documentados | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Controle de Conta de Usuário' | 3.0.0 |
| 16 Continuidade de negócios e recuperação de desastre | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 Backup de Informações | O Backup do Azure deve ser habilitado para máquinas virtuais | 3.0.0 |
| 16 Continuidade de negócios e recuperação de desastre | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 Backup de Informações | O Backup do Azure deve ser habilitado para máquinas virtuais | 3.0.0 |
| 16 Continuidade de negócios e recuperação de desastre | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 Aspectos de Segurança da Informação do Gerenciamento de Continuidade dos Negócios | Auditar máquinas virtuais sem a recuperação de desastre configurada | 1.0.0 |
| 16 Continuidade de negócios e recuperação de desastre | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Aspectos de Segurança da Informação do Gerenciamento de Continuidade dos Negócios | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Console de recuperação' | 3.0.0 |
| 16 Continuidade de negócios e recuperação de desastre | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 Aspectos de Segurança da Informação do Gerenciamento de Continuidade dos Negócios | Auditar máquinas virtuais sem a recuperação de desastre configurada | 1.0.0 |
IRS 1075 de setembro de 2016
Para examinar como as políticas internas disponíveis do azure Policy em todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – IRS 1075 de setembro de 2016. Para obter mais informações sobre esse padrão de conformidade, confira IRS 1075 de setembro de 2016.
ISO 27001:2013
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – ISO 27001:2013. Para obter mais informações sobre esse padrão de conformidade, confira ISO 27001:2013.
Políticas confidenciais de linha de base do Microsoft Cloud for Sovereignty
Para examinar como os recursos internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes de Conformidade Regulatória do Azure Policy para Políticas Confidenciais de Linha de Base do Microsoft Cloud for Sovereignty. Para obter mais informações sobre esse padrão de conformidade, confira Portfólio de políticas do Microsoft Cloud for Sovereignty.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| SO.3 - Chaves Gerenciadas pelo Cliente | SO.3 | Os produtos do Azure precisam ser configurados para usar chaves gerenciadas pelo cliente quando possível. | Os discos gerenciados devem ter criptografia dupla, com chaves gerenciadas pelo cliente e pela plataforma | 1.0.0 |
| SO.4 - Computação confidencial do Azure | SO.4 | Os produtos do Azure devem ser configurados para usar SKUs de Computação Confidencial do Azure quando possível. | SKUs de tamanho de máquina virtual permitidos | 1.0.1 |
Referência de segurança de nuvem da Microsoft
O parâmetro de comparação de segurança da nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. Para ver como esse serviço é completamente mapeado para o parâmetro de comparação de segurança da nuvem da Microsoft, confira os Arquivos de mapeamento do Azure Security Benchmark.
Para analisar como os itens internos do azure Policy disponíveis para todos os serviços do azure são mapeados para esse padrão de conformidade, confira Conformidade Regulatória do azure Policy: parâmetro de comparação de segurança da nuvem da Microsoft.
NIST SP 800-171 R2
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – NIST SP 800-171 R2. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-171 R2.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controle de acesso | 3.1.1 | Limite o acesso do sistema a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas). | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Controle de acesso | 3.1.1 | Limite o acesso do sistema a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas). | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Controle de acesso | 3.1.1 | Limite o acesso do sistema a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas). | Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| Controle de acesso | 3.1.1 | Limite o acesso do sistema a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas). | Auditar os computadores Linux que têm contas sem senhas | 3.1.0 |
| Controle de acesso | 3.1.1 | Limite o acesso do sistema a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas). | A autenticação para computadores Linux deve exigir chaves SSH | 3.2.0 |
| Controle de acesso | 3.1.1 | Limite o acesso do sistema a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas). | Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | 3.1.0 |
| Controle de acesso | 3.1.1 | Limite o acesso do sistema a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas). | Os recursos de acesso ao disco devem usar o link privado | 1.0.0 |
| Controle de acesso | 3.1.1 | Limite o acesso do sistema a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas). | As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | 1.0.0 |
| Controle de acesso | 3.1.12 | Monitore e controle sessões de acesso remoto. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Controle de acesso | 3.1.12 | Monitore e controle sessões de acesso remoto. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Controle de acesso | 3.1.12 | Monitore e controle sessões de acesso remoto. | Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| Controle de acesso | 3.1.12 | Monitore e controle sessões de acesso remoto. | Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | 3.1.0 |
| Controle de acesso | 3.1.12 | Monitore e controle sessões de acesso remoto. | Os recursos de acesso ao disco devem usar o link privado | 1.0.0 |
| Controle de acesso | 3.1.13 | Empregar mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. | Os recursos de acesso ao disco devem usar o link privado | 1.0.0 |
| Controle de acesso | 3.1.14 | Rotear o acesso remoto por meio de pontos de controle de acesso gerenciados. | Os recursos de acesso ao disco devem usar o link privado | 1.0.0 |
| Controle de acesso | 3.1.2 | Limitar o acesso do sistema aos tipos de transações e funções que os usuários autorizados têm permissão para executar. | As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | 1.0.0 |
| Controle de acesso | 3.1.3 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| Controle de acesso | 3.1.3 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Controle de acesso | 3.1.3 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | Os recursos de acesso ao disco devem usar o link privado | 1.0.0 |
| Controle de acesso | 3.1.3 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controle de acesso | 3.1.3 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | O encaminhamento IP na máquina virtual deve ser desabilitado | 3.0.0 |
| Controle de acesso | 3.1.3 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Controle de acesso | 3.1.3 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | Portas de gerenciamento devem ser fechadas nas máquinas virtuais | 3.0.0 |
| Controle de acesso | 3.1.3 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controle de acesso | 3.1.4 | Separe as tarefas de indivíduos para reduzir o risco de atividades maliciosas sem colusão. | Auditar computadores Windows que não têm membros especificados no Grupo de administradores | 2.0.0 |
| Controle de acesso | 3.1.4 | Separe as tarefas de indivíduos para reduzir o risco de atividades maliciosas sem colusão. | Auditar computadores Windows que têm os membros especificados no Grupo de administradores | 2.0.0 |
| Avaliação de risco | 3.11.2 | Verifique se há vulnerabilidades em sistemas organizacionais e aplicativos periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicativos são identificadas. | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Avaliação de risco | 3.11.2 | Verifique se há vulnerabilidades em sistemas organizacionais e aplicativos periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicativos são identificadas. | Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas | 1.0.0 |
| Avaliação de risco | 3.11.2 | Verifique se há vulnerabilidades em sistemas organizacionais e aplicativos periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicativos são identificadas. | As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | 3.0.0 |
| Avaliação de risco | 3.11.2 | Verifique se há vulnerabilidades em sistemas organizacionais e aplicativos periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicativos são identificadas. | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Avaliação de Risco | 3.11.2 | Verifique se há vulnerabilidades em sistemas organizacionais e aplicativos periodicamente e quando novas vulnerabilidades que afetam esses sistemas e aplicativos são identificadas. | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| Avaliação de risco | 3.11.3 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Avaliação de risco | 3.11.3 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas | 1.0.0 |
| Avaliação de risco | 3.11.3 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | 3.0.0 |
| Avaliação de risco | 3.11.3 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Avaliação de Risco | 3.11.3 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.1 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.1 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.1 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | Os recursos de acesso ao disco devem usar o link privado | 1.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.1 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.1 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | O encaminhamento IP na máquina virtual deve ser desabilitado | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.1 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.1 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | Portas de gerenciamento devem ser fechadas nas máquinas virtuais | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.1 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.10 | Estabelecer e gerenciar chaves de criptografia para criptografia empregada em sistemas organizacionais. | Os discos gerenciados devem ter criptografia dupla, com chaves gerenciadas pelo cliente e pela plataforma | 1.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.10 | Estabelecer e gerenciar chaves de criptografia para criptografia empregada em sistemas organizacionais. | O sistema operacional e os discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.16 | Proteja a confidencialidade do CUI em repouso. | As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada | 1.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.2 | Empregar designs de arquitetura, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovem a segurança de informações efetiva em sistemas organizacionais. | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.2 | Empregar designs de arquitetura, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovem a segurança de informações efetiva em sistemas organizacionais. | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.2 | Empregar designs de arquitetura, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovem a segurança de informações efetiva em sistemas organizacionais. | Os recursos de acesso ao disco devem usar o link privado | 1.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.2 | Empregar designs de arquitetura, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovem a segurança de informações efetiva em sistemas organizacionais. | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.2 | Empregar designs de arquitetura, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovem a segurança de informações efetiva em sistemas organizacionais. | O encaminhamento IP na máquina virtual deve ser desabilitado | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.2 | Empregar designs de arquitetura, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovem a segurança de informações efetiva em sistemas organizacionais. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.2 | Empregar designs de arquitetura, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovem a segurança de informações efetiva em sistemas organizacionais. | Portas de gerenciamento devem ser fechadas nas máquinas virtuais | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.2 | Empregar designs de arquitetura, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovem a segurança de informações efetiva em sistemas organizacionais. | Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.5 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.5 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.5 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | Os recursos de acesso ao disco devem usar o link privado | 1.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.5 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.5 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | O encaminhamento IP na máquina virtual deve ser desabilitado | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.5 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.5 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | Portas de gerenciamento devem ser fechadas nas máquinas virtuais | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.5 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.6 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.6 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.6 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.6 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.6 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | Portas de gerenciamento devem ser fechadas nas máquinas virtuais | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.6 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Proteção do Sistema e das Comunicações | 3.13.8 | Implemente mecanismos criptográficos para impedir a divulgação não autorizada da CUI durante a transmissão, a menos que ela conte com proteções físicas alternativas. | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| Integridade do Sistema e das Informações | 3.14.1 | Identifique, relate e corrija falhas do sistema oportunamente. | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Integridade do Sistema e das Informações | 3.14.1 | Identifique, relate e corrija falhas do sistema oportunamente. | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| Integridade do Sistema e das Informações | 3.14.1 | Identifique, relate e corrija falhas do sistema oportunamente. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Integridade do Sistema e das Informações | 3.14.1 | Identifique, relate e corrija falhas do sistema oportunamente. | As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas | 3.0.0 |
| Integridade do Sistema e das Informações | 3.14.1 | Identifique, relate e corrija falhas do sistema oportunamente. | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| Integridade do Sistema e das Informações | 3.14.1 | Identifique, relate e corrija falhas do sistema oportunamente. | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Integridade do Sistema e das Informações | 3.14.1 | Identifique, relate e corrija falhas do sistema oportunamente. | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| Integridade do Sistema e das Informações | 3.14.1 | Identifique, relate e corrija falhas do sistema oportunamente. | O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | 2.0.0 |
| Integridade do Sistema e das Informações | 3.14.2 | Fornecer proteção contra código mal-intencionado em locais designados em sistemas organizacionais. | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| Integridade do Sistema e das Informações | 3.14.2 | Fornecer proteção contra código mal-intencionado em locais designados em sistemas organizacionais. | O Microsoft Antimalware para o Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| Integridade do Sistema e das Informações | 3.14.2 | Fornecer proteção contra código mal-intencionado em locais designados em sistemas organizacionais. | A extensão IaaSAntimalware da Microsoft deve ser implantada em servidores do Windows | 1.1.0 |
| Integridade do Sistema e das Informações | 3.14.2 | Fornecer proteção contra código mal-intencionado em locais designados em sistemas organizacionais. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Integridade do Sistema e das Informações | 3.14.2 | Fornecer proteção contra código mal-intencionado em locais designados em sistemas organizacionais. | O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | 2.0.0 |
| Integridade do Sistema e das Informações | 3.14.3 | Monitorar avisos e alertas de segurança do sistema e executar ações em resposta. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Integridade do Sistema e das Informações | 3.14.4 | Atualizar mecanismos de proteção contra código mal intencionado quando novas versões estão disponíveis. | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| Integridade do Sistema e das Informações | 3.14.4 | Atualizar mecanismos de proteção contra código mal intencionado quando novas versões estão disponíveis. | O Microsoft Antimalware para o Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| Integridade do Sistema e das Informações | 3.14.4 | Atualizar mecanismos de proteção contra código mal intencionado quando novas versões estão disponíveis. | A extensão IaaSAntimalware da Microsoft deve ser implantada em servidores do Windows | 1.1.0 |
| Integridade do Sistema e das Informações | 3.14.4 | Atualizar mecanismos de proteção contra código mal intencionado quando novas versões estão disponíveis. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Integridade do Sistema e das Informações | 3.14.4 | Atualizar mecanismos de proteção contra código mal intencionado quando novas versões estão disponíveis. | O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | 2.0.0 |
| Integridade do Sistema e das Informações | 3.14.5 | Executar varreduras periódicas de sistemas organizacionais e varreduras em tempo real de arquivos de fontes externas quando arquivos são baixados, abertos ou executados. | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| Integridade do Sistema e das Informações | 3.14.5 | Executar varreduras periódicas de sistemas organizacionais e varreduras em tempo real de arquivos de fontes externas quando arquivos são baixados, abertos ou executados. | O Microsoft Antimalware para o Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| Integridade do Sistema e das Informações | 3.14.5 | Executar varreduras periódicas de sistemas organizacionais e varreduras em tempo real de arquivos de fontes externas quando arquivos são baixados, abertos ou executados. | A extensão IaaSAntimalware da Microsoft deve ser implantada em servidores do Windows | 1.1.0 |
| Integridade do Sistema e das Informações | 3.14.5 | Executar varreduras periódicas de sistemas organizacionais e varreduras em tempo real de arquivos de fontes externas quando arquivos são baixados, abertos ou executados. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Integridade do Sistema e das Informações | 3.14.5 | Executar varreduras periódicas de sistemas organizacionais e varreduras em tempo real de arquivos de fontes externas quando arquivos são baixados, abertos ou executados. | O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | 2.0.0 |
| Integridade do Sistema e das Informações | 3.14.6 | Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | 1.0.2 – versão prévia |
| Integridade do Sistema e das Informações | 3.14.6 | Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | 1.0.2 – versão prévia |
| Integridade do Sistema e das Informações | 3.14.6 | Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | A extensão de Configuração de Convidado deve ser instalada nos seus computadores | 1.0.3 |
| Integridade do Sistema e das Informações | 3.14.6 | Monitore sistemas organizacionais, incluindo tráfego de comunicações de entrada e saída, para detectar ataques e indicadores de possíveis ataques. | A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | 1.0.1 |
| Integridade do Sistema e das Informações | 3.14.7 | Identificar o uso não autorizado de sistemas organizacionais. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | 1.0.2 – versão prévia |
| Integridade do Sistema e das Informações | 3.14.7 | Identificar o uso não autorizado de sistemas organizacionais. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | 1.0.2 – versão prévia |
| Integridade do Sistema e das Informações | 3.14.7 | Identificar o uso não autorizado de sistemas organizacionais. | A extensão de Configuração de Convidado deve ser instalada nos seus computadores | 1.0.3 |
| Integridade do Sistema e das Informações | 3.14.7 | Identificar o uso não autorizado de sistemas organizacionais. | A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | 1.0.1 |
| Auditoria e Contabilidade | 3.3.1 | Criar e reter registros e logs de auditoria do sistema, conforme necessário, para habilitar o monitoramento, a análise, a investigação e os relatórios de atividades ilegais ou não autorizadas do sistema | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | 1.0.2 – versão prévia |
| Auditoria e Contabilidade | 3.3.1 | Criar e reter registros e logs de auditoria do sistema, conforme necessário, para habilitar o monitoramento, a análise, a investigação e os relatórios de atividades ilegais ou não autorizadas do sistema | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | 1.0.2 – versão prévia |
| Auditoria e Contabilidade | 3.3.1 | Criar e reter registros e logs de auditoria do sistema, conforme necessário, para habilitar o monitoramento, a análise, a investigação e os relatórios de atividades ilegais ou não autorizadas do sistema | A extensão de Configuração de Convidado deve ser instalada nos seus computadores | 1.0.3 |
| Auditoria e Contabilidade | 3.3.1 | Criar e reter registros e logs de auditoria do sistema, conforme necessário, para habilitar o monitoramento, a análise, a investigação e os relatórios de atividades ilegais ou não autorizadas do sistema | A extensão do Log Analytics deve ser instalada nos Conjuntos de Dimensionamento de Máquinas Virtuais | 1.0.1 |
| Auditoria e Contabilidade | 3.3.1 | Criar e reter registros e logs de auditoria do sistema, conforme necessário, para habilitar o monitoramento, a análise, a investigação e os relatórios de atividades ilegais ou não autorizadas do sistema | As máquinas virtuais devem estar conectadas a um workspace especificado | 1.1.0 |
| Auditoria e Contabilidade | 3.3.1 | Criar e reter registros e logs de auditoria do sistema, conforme necessário, para habilitar o monitoramento, a análise, a investigação e os relatórios de atividades ilegais ou não autorizadas do sistema | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| Auditoria e Contabilidade | 3.3.1 | Criar e reter registros e logs de auditoria do sistema, conforme necessário, para habilitar o monitoramento, a análise, a investigação e os relatórios de atividades ilegais ou não autorizadas do sistema | A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | 1.0.1 |
| Auditoria e Contabilidade | 3.3.2 | Verifique se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | 1.0.2 – versão prévia |
| Auditoria e Contabilidade | 3.3.2 | Verifique se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | 1.0.2 – versão prévia |
| Auditoria e Contabilidade | 3.3.2 | Verifique se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | A extensão de Configuração de Convidado deve ser instalada nos seus computadores | 1.0.3 |
| Auditoria e Contabilidade | 3.3.2 | Verifique se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | A extensão do Log Analytics deve ser instalada nos Conjuntos de Dimensionamento de Máquinas Virtuais | 1.0.1 |
| Auditoria e Contabilidade | 3.3.2 | Verifique se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | As máquinas virtuais devem estar conectadas a um workspace especificado | 1.1.0 |
| Auditoria e Contabilidade | 3.3.2 | Verifique se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| Auditoria e Contabilidade | 3.3.2 | Verifique se as ações de usuários individuais do sistema podem ser rastreadas exclusivamente para esses usuários, para que eles possam ser responsabilizados pelas respectivas ações. | A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | 1.0.1 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.2.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.0.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.2.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.0.0 |
| Gerenciamento de configuração | 3.4.6 | Empregar o princípio da funcionalidade mínima configurando sistemas organizacionais para fornecer apenas recursos essenciais. | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| Gerenciamento de configuração | 3.4.6 | Empregar o princípio da funcionalidade mínima configurando sistemas organizacionais para fornecer apenas recursos essenciais. | As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | 3.0.0 |
| Gerenciamento de configuração | 3.4.7 | Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| Gerenciamento de configuração | 3.4.7 | Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | 3.0.0 |
| Gerenciamento de configuração | 3.4.8 | Aplique a política de negar por exceção (lista de bloqueios) para evitar o uso de software não autorizado ou a política de negar tudo, permitir por exceção (lista de permissões) para permitir a realização de software autorizado. | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| Gerenciamento de configuração | 3.4.8 | Aplique a política de negar por exceção (lista de bloqueios) para evitar o uso de software não autorizado ou a política de negar tudo, permitir por exceção (lista de permissões) para permitir a realização de software autorizado. | As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | 3.0.0 |
| Gerenciamento de configuração | 3.4.9 | Controle e monitore software instalado pelo usuário. | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| Gerenciamento de configuração | 3.4.9 | Controle e monitore software instalado pelo usuário. | As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | 3.0.0 |
| Identificação e Autenticação | 3.5.10 | Armazene e transmita apenas senhas protegidas criptograficamente. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | 3.5.10 | Armazene e transmita apenas senhas protegidas criptograficamente. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Identificação e Autenticação | 3.5.10 | Armazene e transmita apenas senhas protegidas criptograficamente. | Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | 3.1.0 |
| Identificação e Autenticação | 3.5.10 | Armazene e transmita apenas senhas protegidas criptograficamente. | Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível | 2.0.0 |
| Identificação e Autenticação | 3.5.10 | Armazene e transmita apenas senhas protegidas criptograficamente. | Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | 3.1.0 |
| Identificação e Autenticação | 3.5.10 | Armazene e transmita apenas senhas protegidas criptograficamente. | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Identificação e Autenticação | 3.5.10 | Armazene e transmita apenas senhas protegidas criptograficamente. | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Segurança de Rede' | 3.0.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas organizacionais. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas organizacionais. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas organizacionais. | Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | 3.1.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas organizacionais. | Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível | 2.0.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas organizacionais. | A autenticação para computadores Linux deve exigir chaves SSH | 3.2.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas organizacionais. | Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | 3.1.0 |
| Identificação e Autenticação | 3.5.2 | Autenticar (ou verificar) as identidades de usuários, processos ou dispositivos como um pré-requisito para permitir o acesso a sistemas organizacionais. | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Identificação e Autenticação | 3.5.4 | Empregar mecanismos de autenticação resistentes à reprodução para acesso à rede a contas privilegiadas e não privilegiadas. | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Segurança de Rede' | 3.0.0 |
| Identificação e Autenticação | 3.5.7 | Imponha uma complexidade mínima de senha e uma alteração de caracteres quando senhas forem criadas. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | 3.5.7 | Imponha uma complexidade mínima de senha e uma alteração de caracteres quando senhas forem criadas. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Identificação e Autenticação | 3.5.7 | Imponha uma complexidade mínima de senha e uma alteração de caracteres quando senhas forem criadas. | Auditar os computadores Windows que não têm a configuração de complexidade de senha habilitada | 2.0.0 |
| Identificação e Autenticação | 3.5.7 | Imponha uma complexidade mínima de senha e uma alteração de caracteres quando senhas forem criadas. | Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres | 2.1.0 |
| Identificação e Autenticação | 3.5.7 | Imponha uma complexidade mínima de senha e uma alteração de caracteres quando senhas forem criadas. | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Identificação e Autenticação | 3.5.8 | Proíba a reutilização de senhas por um número especificado de gerações. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Identificação e Autenticação | 3.5.8 | Proíba a reutilização de senhas por um número especificado de gerações. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Identificação e Autenticação | 3.5.8 | Proíba a reutilização de senhas por um número especificado de gerações. | Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas | 2.1.0 |
| Identificação e Autenticação | 3.5.8 | Proíba a reutilização de senhas por um número especificado de gerações. | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| Proteção de Mídia | 3.8.9 | Proteger a confidencialidade da CUI de backup nos locais de armazenamento. | O Backup do Azure deve ser habilitado para máquinas virtuais | 3.0.0 |
NIST SP 800-53 Rev. 4
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – NIST SP 800-53 Rev. 4. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – NIST SP 800-53 Rev. 5. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-53 Rev. 5.
NL BIO Cloud Theme
Para analisar como os componentes do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes da Conformidade Regulatória do Azure Policy com o NL BIO Cloud Theme. Para obter mais informações sobre esse padrão de conformidade, confira Segurança Cibernética do Governo de Segurança da Informação de Linha de Base – Governo Digital (digitaleoverheid.nl).
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| C.04.3 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.3 | Se a probabilidade de abuso e os danos esperados forem altos, os patches serão instalados em até uma semana. | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| C.04.3 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.3 | Se a probabilidade de abuso e os danos esperados forem altos, os patches serão instalados em até uma semana. | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| C.04.3 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.3 | Se a probabilidade de abuso e os danos esperados forem altos, os patches serão instalados em até uma semana. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| C.04.3 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.3 | Se a probabilidade de abuso e os danos esperados forem altos, os patches serão instalados em até uma semana. | As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas | 3.0.0 |
| C.04.3 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.3 | Se a probabilidade de abuso e os danos esperados forem altos, os patches serão instalados em até uma semana. | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| C.04.3 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.3 | Se a probabilidade de abuso e os danos esperados forem altos, os patches serão instalados em até uma semana. | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| C.04.3 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.3 | Se a probabilidade de abuso e os danos esperados forem altos, os patches serão instalados em até uma semana. | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| C.04.3 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.3 | Se a probabilidade de abuso e os danos esperados forem altos, os patches serão instalados em até uma semana. | O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | 2.0.0 |
| C.04.6 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.6 | As vulnerabilidades técnicas podem ser corrigidas com a realização de um gerenciamento de patch em tempo hábil. | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| C.04.6 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.6 | As vulnerabilidades técnicas podem ser corrigidas com a realização de um gerenciamento de patch em tempo hábil. | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| C.04.6 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.6 | As vulnerabilidades técnicas podem ser corrigidas com a realização de um gerenciamento de patch em tempo hábil. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| C.04.6 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.6 | As vulnerabilidades técnicas podem ser corrigidas com a realização de um gerenciamento de patch em tempo hábil. | As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas | 3.0.0 |
| C.04.6 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.6 | As vulnerabilidades técnicas podem ser corrigidas com a realização de um gerenciamento de patch em tempo hábil. | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| C.04.6 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.6 | As vulnerabilidades técnicas podem ser corrigidas com a realização de um gerenciamento de patch em tempo hábil. | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| C.04.6 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.6 | As vulnerabilidades técnicas podem ser corrigidas com a realização de um gerenciamento de patch em tempo hábil. | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| C.04.6 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.6 | As vulnerabilidades técnicas podem ser corrigidas com a realização de um gerenciamento de patch em tempo hábil. | O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | 2.0.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas | 3.0.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | 2.0.0 |
| C.04.8 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.8 | Os relatórios de avaliação contêm sugestões de melhoria e são comunicados com gerentes/proprietários. | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| C.04.8 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.8 | Os relatórios de avaliação contêm sugestões de melhoria e são comunicados com gerentes/proprietários. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| C.04.8 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.8 | Os relatórios de avaliação contêm sugestões de melhoria e são comunicados com gerentes/proprietários. | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| C.04.8 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.8 | Os relatórios de avaliação contêm sugestões de melhoria e são comunicados com gerentes/proprietários. | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| U.03.1 Serviços de continuidade dos negócios – Redundância | U.03.1 | A continuidade acordada é garantida por funções de sistema suficientemente lógicas ou fisicamente múltiplas. | Auditar máquinas virtuais sem a recuperação de desastre configurada | 1.0.0 |
| U.03.1 Serviços de continuidade dos negócios – Redundância | U.03.1 | A continuidade acordada é garantida por funções de sistema suficientemente lógicas ou fisicamente múltiplas. | O Backup do Azure deve ser habilitado para máquinas virtuais | 3.0.0 |
| U.03.2 Serviços de continuidade dos negócios – Requisitos de continuidade | U.03.2 | Os requisitos de continuidade dos serviços de nuvem acordados com o CSC são garantidos pela arquitetura do sistema. | Auditar máquinas virtuais sem a recuperação de desastre configurada | 1.0.0 |
| U.03.2 Serviços de continuidade dos negócios – Requisitos de continuidade | U.03.2 | Os requisitos de continuidade dos serviços de nuvem acordados com o CSC são garantidos pela arquitetura do sistema. | O Backup do Azure deve ser habilitado para máquinas virtuais | 3.0.0 |
| U.04.1 Recuperação de serviço de nuvem e dados – Função restore | U.04.1 | Os serviços de nuvem e de dados são restaurados dentro do período acordado e perda máxima de dados e disponibilizados para o CSC. | Auditar máquinas virtuais sem a recuperação de desastre configurada | 1.0.0 |
| U.04.2 Recuperação de serviço de nuvem e dados – Função restore | U.04.2 | O processo contínuo de proteção recuperável de dados é monitorado. | Auditar máquinas virtuais sem a recuperação de desastre configurada | 1.0.0 |
| U.04.3 Recuperação de serviço de nuvem e dados – Testado | U.04.3 | O funcionamento das funções de recuperação é testado periodicamente e os resultados são compartilhados com o CSC. | Auditar máquinas virtuais sem a recuperação de desastre configurada | 1.0.0 |
| U.05.1 Proteção de dados – Medidas de criptografia | U.05.1 | O transporte de dados é protegido com criptografia em que o gerenciamento de chaves é realizado pelo próprio CSC, se possível. | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nas máquinas virtuais do Linux compatíveis | 6.0.0-preview |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis | 5.1.0-preview |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada em máquinas virtuais do Windows compatíveis | 4.0.0 – versão prévia |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis | 3.1.0 – versão prévia |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. | [Versão prévia]: a Inicialização Segura deve estar habilitada em máquinas virtuais Windows compatíveis | 4.0.0 – versão prévia |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. | [Versão prévia]: o vTPM deve estar habilitado nas máquinas virtuais compatíveis | 2.0.0-preview |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. | Os discos gerenciados devem ter criptografia dupla, com chaves gerenciadas pelo cliente e pela plataforma | 1.0.0 |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. | O sistema operacional e os discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | 3.0.0 |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. | As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada | 1.0.0 |
| U.07.1 Separação de dados – Isolada | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de maneira controlada. | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| U.07.1 Separação de dados – Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de maneira controlada. | Os recursos de acesso ao disco devem usar o link privado | 1.0.0 |
| U.07.1 Separação de dados – Isolada | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de maneira controlada. | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| U.07.1 Separação de dados – Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de maneira controlada. | O encaminhamento IP na máquina virtual deve ser desabilitado | 3.0.0 |
| U.07.1 Separação de dados – Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de maneira controlada. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| U.07.1 Separação de dados – Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de maneira controlada. | Portas de gerenciamento devem ser fechadas nas máquinas virtuais | 3.0.0 |
| U.07.1 Separação de dados – Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de maneira controlada. | Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| U.09.3 Proteção contra malware – Detecção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em ambientes diferentes. | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| U.09.3 Proteção contra malware – Detecção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em ambientes diferentes. | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| U.09.3 Proteção contra malware – Detecção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em ambientes diferentes. | O encaminhamento IP na máquina virtual deve ser desabilitado | 3.0.0 |
| U.09.3 Proteção contra malware – Detecção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em ambientes diferentes. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| U.09.3 Proteção contra malware – Detecção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em ambientes diferentes. | As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas | 3.0.0 |
| U.09.3 Proteção contra malware – Detecção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em ambientes diferentes. | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| U.09.3 Proteção contra malware – Detecção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em ambientes diferentes. | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| U.09.3 Proteção contra malware – Detecção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em ambientes diferentes. | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| U.09.3 Proteção contra malware – Detecção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em ambientes diferentes. | O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | 2.0.0 |
| U.10.2 Acesso a serviços e dados de TI – Usuários | U.10.2 | Sob a responsabilidade do CSP, o acesso é permitido aos administradores. | Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| U.10.2 Acesso a serviços e dados de TI – Usuários | U.10.2 | Sob a responsabilidade do CSP, o acesso é permitido aos administradores. | Auditar os computadores Linux que têm contas sem senhas | 3.1.0 |
| U.10.2 Acesso a serviços e dados de TI – Usuários | U.10.2 | Sob a responsabilidade do CSP, o acesso é permitido aos administradores. | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| U.10.2 Acesso a serviços e dados de TI – Usuários | U.10.2 | Sob a responsabilidade do CSP, o acesso é permitido aos administradores. | As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | 1.0.0 |
| U.10.3 Acesso a serviços e dados de TI – Usuários | U.10.3 | Somente os usuários com equipamentos autenticados podem acessar dados e serviços de TI. | Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| U.10.3 Acesso a serviços e dados de TI – Usuários | U.10.3 | Somente os usuários com equipamentos autenticados podem acessar dados e serviços de TI. | Auditar os computadores Linux que têm contas sem senhas | 3.1.0 |
| U.10.3 Acesso a serviços e dados de TI – Usuários | U.10.3 | Somente os usuários com equipamentos autenticados podem acessar dados e serviços de TI. | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| U.10.3 Acesso a serviços e dados de TI – Usuários | U.10.3 | Somente os usuários com equipamentos autenticados podem acessar dados e serviços de TI. | As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | 1.0.0 |
| U.10.5 Acesso a serviços e dados de TI – Pessoa competente | U.10.5 | O acesso a serviços e dados de TI é limitado por medidas técnicas e foi implementado. | Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| U.10.5 Acesso a serviços e dados de TI – Pessoa competente | U.10.5 | O acesso a serviços e dados de TI é limitado por medidas técnicas e foi implementado. | Auditar os computadores Linux que têm contas sem senhas | 3.1.0 |
| U.10.5 Acesso a serviços e dados de TI – Pessoa competente | U.10.5 | O acesso a serviços e dados de TI é limitado por medidas técnicas e foi implementado. | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| U.10.5 Acesso a serviços e dados de TI – Pessoa competente | U.10.5 | O acesso a serviços e dados de TI é limitado por medidas técnicas e foi implementado. | As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | 1.0.0 |
| U.11.1 Serviços de criptografia – Política | U.11.1 | Na política de criptografia, pelo menos as entidades de acordo com a BIO foram elaboradas. | Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível | 2.0.0 |
| U.11.1 Serviços de criptografia – Política | U.11.1 | Na política de criptografia, pelo menos as entidades de acordo com a BIO foram elaboradas. | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| U.11.2 Serviços de criptografia – Medidas criptográficas | U.11.2 | No caso de certificados PKIoverheid, use requisitos PKIoverheid para gerenciamento de chaves. Em outras situações, use ISO11770. | Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível | 2.0.0 |
| U.11.2 Serviços de criptografia – Medidas de criptografia | U.11.2 | No caso de certificados PKIoverheid, use requisitos PKIoverheid para gerenciamento de chaves. Em outras situações, use ISO11770. | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nas máquinas virtuais do Linux compatíveis | 6.0.0-preview |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis | 5.1.0-preview |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada em máquinas virtuais do Windows compatíveis | 4.0.0 – versão prévia |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis | 3.1.0 – versão prévia |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | [Versão prévia]: a Inicialização Segura deve estar habilitada em máquinas virtuais Windows compatíveis | 4.0.0 – versão prévia |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | [Versão prévia]: o vTPM deve estar habilitado nas máquinas virtuais compatíveis | 2.0.0-preview |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | Os discos gerenciados devem ter criptografia dupla, com chaves gerenciadas pelo cliente e pela plataforma | 1.0.0 |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | O sistema operacional e os discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | 3.0.0 |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada | 1.0.0 |
| U.12.1 Interfaces – Conexões de rede | U.12.1 | Em pontos de conexão com zonas externas ou não confiáveis, medidas são tomadas contra ataques. | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| U.12.1 Interfaces – Conexões de rede | U.12.1 | Em pontos de conexão com zonas externas ou não confiáveis, medidas são tomadas contra ataques. | O encaminhamento IP na máquina virtual deve ser desabilitado | 3.0.0 |
| U.12.2 Interfaces – Conexões de rede | U.12.2 | Os componentes de rede são configurados de modo que as conexões de rede entre redes confiáveis e não confiáveis sejam limitadas. | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| U.12.2 Interfaces – Conexões de rede | U.12.2 | Os componentes de rede são configurados de modo que as conexões de rede entre redes confiáveis e não confiáveis sejam limitadas. | O encaminhamento IP na máquina virtual deve ser desabilitado | 3.0.0 |
| U.15.1 Log e monitoramento – Eventos registrados em log | U.15.1 | A violação das regras de política é registrada pelo CSP e pelo CSC. | [Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas | 2.0.1 – versão prévia |
| U.15.1 Log e monitoramento – Eventos registrados em log | U.15.1 | A violação das regras de política é registrada pelo CSP e pelo CSC. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | 1.0.2 – versão prévia |
| U.15.1 Log e monitoramento – Eventos registrados em log | U.15.1 | A violação das regras de política é registrada pelo CSP e pelo CSC. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | 1.0.2 – versão prévia |
| U.15.1 Log e monitoramento – Eventos registrados em log | U.15.1 | A violação das regras de política é registrada pelo CSP e pelo CSC. | O Dependency Agent deverá ser habilitado para obter imagens das máquinas virtuais listadas | 2.0.0 |
| U.15.1 Log e monitoramento – Eventos registrados em log | U.15.1 | A violação das regras de política é registrada pelo CSP e pelo CSC. | O Dependency Agent deverá ser habilitado em conjuntos de dimensionamento de máquinas virtuais para obter imagens das máquinas virtuais listadas | 2.0.0 |
| U.15.1 Log e monitoramento – Eventos registrados em log | U.15.1 | A violação das regras de política é registrada pelo CSP e pelo CSC. | A extensão de Configuração de Convidado deve ser instalada nos seus computadores | 1.0.3 |
| U.15.1 Log e monitoramento – Eventos registrados em log | U.15.1 | A violação das regras de política é registrada pelo CSP e pelo CSC. | A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens de máquinas virtuais listadas | 2.0.1 |
| U.15.1 Log e monitoramento – Eventos registrados em log | U.15.1 | A violação das regras de política é registrada pelo CSP e pelo CSC. | A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | 1.0.1 |
| U.15.3 Log e monitoramento – Eventos registrados em log | U.15.3 | O CSP mantém uma lista de todos os ativos críticos em termos de registro em log e monitoramento e examina essa lista. | [Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas | 2.0.1 – versão prévia |
| U.15.3 Log e monitoramento – Eventos registrados em log | U.15.3 | O CSP mantém uma lista de todos os ativos críticos em termos de registro em log e monitoramento e examina essa lista. | O Dependency Agent deverá ser habilitado para obter imagens das máquinas virtuais listadas | 2.0.0 |
| U.15.3 Log e monitoramento – Eventos registrados em log | U.15.3 | O CSP mantém uma lista de todos os ativos críticos em termos de registro em log e monitoramento e examina essa lista. | O Dependency Agent deverá ser habilitado em conjuntos de dimensionamento de máquinas virtuais para obter imagens das máquinas virtuais listadas | 2.0.0 |
| U.15.3 Log e monitoramento – Eventos registrados em log | U.15.3 | O CSP mantém uma lista de todos os ativos críticos em termos de registro em log e monitoramento e examina essa lista. | A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens de máquinas virtuais listadas | 2.0.1 |
| U.17.1 Arquitetura multilocatário – Criptografada | U.17.1 | Os dados CSC no transporte e em repouso são criptografados. | Auditar máquinas virtuais sem a recuperação de desastre configurada | 1.0.0 |
| U.17.1 Arquitetura multilocatário – Criptografada | U.17.1 | Os dados CSC no transporte e em repouso são criptografados. | O Backup do Azure deve ser habilitado para máquinas virtuais | 3.0.0 |
PCI DSS 3.2.1
Para examinar como as iniciativas internas disponíveis do azure Policy para todos os serviços do azure são mapeadas para esse padrão de conformidade, confira PCI DSS 3.2.1. Para obter mais informações sobre esse padrão de conformidade, confira PCI DSS 3.2.1.
PCI DSS v4.0
Para analisar como os itens internos do azure Policy disponíveis para todos os serviços do azure são mapeados para esse padrão de conformidade, confira Detalhes de Conformidade Regulatória do azure Policy para PCI DSS v4.0. Para obter mais informações sobre esse padrão de conformidade, confira PCI DSS v4.0.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Requisito 1: Instalar e manter controles de segurança de rede | 1.3.2 | O acesso à rede no ambiente dos dados do titular do cartão é restrito | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Requisito 1: Instalar e manter controles de segurança de rede | 1.4.2 | As conexões de rede entre redes confiáveis e não confiáveis são controladas | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Requisito 10: Registrar em log e monitorar todo o acesso aos componentes do sistema e aos dados do titular do cartão | 10.2.2 | Os logs de auditoria são implementados para dar suporte à detecção de anomalias e atividades suspeitas e à análise forense de eventos | As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | 1.0.0 |
| Requisito 10: Registrar em log e monitorar todo o acesso aos componentes do sistema e aos dados do titular do cartão | 10.3.3 | Os logs de auditoria são protegidos contra destruição e modificações não autorizadas | As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | 1.0.0 |
| Requisito 11: Testar a segurança de sistemas e redes regularmente | 11.3.1 | As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e resolvidas | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Requisito 11: Testar a segurança de sistemas e redes regularmente | 11.3.1 | As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e resolvidas | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Requisito 11: Testar a segurança de sistemas e redes regularmente | 11.3.1 | As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e resolvidas | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| Requisito 11: Testar a segurança de sistemas e redes regularmente | 11.3.1 | As vulnerabilidades externas e internas são regularmente identificadas, priorizadas e resolvidas | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados | 5.2.1 | Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados | 5.2.1 | Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados | 5.2.1 | Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados | 5.2.1 | Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados | 5.2.2 | Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados | 5.2.2 | Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados | 5.2.2 | Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados | 5.2.2 | Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados | 5.2.3 | Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados | 5.2.3 | Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados | 5.2.3 | Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| Requisito 5: Proteger todos os sistemas e todas as redes contra programas de software mal-intencionados | 5.2.3 | Os programas de software mal-intencionados (malware) são prevenidos ou detectados e resolvidos | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Requisito 6: Desenvolver e manter sistemas e programas de software seguros | 6.3.3 | As vulnerabilidades de segurança são identificadas e resolvidas | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Requisito 6: Desenvolver e manter sistemas e programas de software seguros | 6.3.3 | As vulnerabilidades de segurança são identificadas e resolvidas | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Requisito 6: Desenvolver e manter sistemas e programas de software seguros | 6.3.3 | As vulnerabilidades de segurança são identificadas e resolvidas | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| Requisito 6: Desenvolver e manter sistemas e programas de software seguros | 6.3.3 | As vulnerabilidades de segurança são identificadas e resolvidas | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Requisito 6: Desenvolver e manter sistemas e programas de software seguros | 6.4.1 | Os aplicativos Web voltados ao público são protegidos contra ataques | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Requisito 6: Desenvolver e manter sistemas e programas de software seguros | 6.4.1 | Os aplicativos Web voltados ao público são protegidos contra ataques | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Requisito 6: Desenvolver e manter sistemas e programas de software seguros | 6.4.1 | Os aplicativos Web voltados ao público são protegidos contra ataques | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| Requisito 6: Desenvolver e manter sistemas e programas de software seguros | 6.4.1 | Os aplicativos Web voltados ao público são protegidos contra ataques | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| Requisito 8: Identificar os usuários e autenticar o acesso aos componentes do sistema | 8.3.6 | A autenticação forte para usuários e administradores é estabelecida e gerenciada | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| Requisito 8: Identificar os usuários e autenticar o acesso aos componentes do sistema | 8.3.6 | A autenticação forte para usuários e administradores é estabelecida e gerenciada | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| Requisito 8: Identificar os usuários e autenticar o acesso aos componentes do sistema | 8.3.6 | A autenticação forte para usuários e administradores é estabelecida e gerenciada | Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas | 2.1.0 |
| Requisito 8: Identificar os usuários e autenticar o acesso aos componentes do sistema | 8.3.6 | A autenticação forte para usuários e administradores é estabelecida e gerenciada | Auditar computadores Windows que não têm a idade máxima da senha definida como o número especificado de dias | 2.1.0 |
| Requisito 8: Identificar os usuários e autenticar o acesso aos componentes do sistema | 8.3.6 | A autenticação forte para usuários e administradores é estabelecida e gerenciada | Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres | 2.1.0 |
| Requisito 8: Identificar os usuários e autenticar o acesso aos componentes do sistema | 8.3.6 | A autenticação forte para usuários e administradores é estabelecida e gerenciada | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
Banco de Reserva da Índia – Framework de TI para NBFC
Para examinar como as iniciativas internas disponíveis no azure Policy para todos os serviços do azure são mapeadas para esse padrão de conformidade, veja Conformidade Regulatória do azure Policy – Banco de Reserva da Índia – Framework de TI para NBFC. Para obter mais informações sobre esse padrão de conformidade, veja Banco de Reserva da Índia – Framework de TI para NBFC.
Reserve Bank of India IT Framework for Banks v2016
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – RBI ITF de Bancos v2016. Para obter mais informações sobre esse padrão de conformidade, consulte RBI ITF de Bancos v2016 (PDF).
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Gerenciamento e defesa contra ameaças em tempo de execução avançado | Gerenciamento e defesa contra ameaças em tempo de execução avançado-13.1 | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nas máquinas virtuais do Linux compatíveis | 6.0.0-preview | |
| Gerenciamento e defesa avançados contra ameaças em tempo real | Gerenciamento e defesa contra ameaças em tempo de execução avançado-13.1 | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis | 5.1.0-preview | |
| Gerenciamento e defesa contra ameaças em tempo real avançado | Gerenciamento e defesa contra ameaças em tempo de execução avançado-13.1 | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada em máquinas virtuais do Windows compatíveis | 4.0.0 – versão prévia | |
| Gerenciamento e defesa avançados contra ameaças em tempo real | Gerenciamento e defesa contra ameaças em tempo de execução avançado-13.1 | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis | 3.1.0 – versão prévia | |
| Gerenciamento de rede e segurança | Inventário de rede – 4.2 | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | 1.0.2 – versão prévia | |
| Gerenciamento de rede e segurança | Inventário de rede – 4.2 | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | 1.0.2 – versão prévia | |
| Gerenciamento e defesa avançados contra ameaças em tempo real | Gerenciamento e defesa contra ameaças em tempo de execução avançado-13.1 | [Versão prévia]: a Inicialização Segura deve estar habilitada em máquinas virtuais Windows compatíveis | 4.0.0 – versão prévia | |
| Gerenciamento de rede e segurança | Gerenciamento e configuração do dispositivo de rede – 4.3 | [Versão prévia]: o vTPM deve estar habilitado nas máquinas virtuais compatíveis | 2.0.0-preview | |
| Patch/vulnerabilidade e Gerenciamento de alterações | Patch/vulnerabilidade e Gerenciamento de alterações-7.1 | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 | |
| Gerenciamento de rede e segurança | Inventário de rede – 4.2 | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 | |
| Gerenciamento de rede e segurança | Gerenciamento e configuração do dispositivo de rede – 4.3 | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 | |
| Gerenciamento de rede e segurança | Gerenciamento e configuração do dispositivo de rede – 4.3 | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 | |
| Gerenciamento de rede e segurança | Inventário de rede – 4.2 | As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | 3.0.0 | |
| Gerenciamento e resposta a incidentes | Recuperação de incidentes cibernéticos – 19.4 | Auditar máquinas virtuais sem a recuperação de desastre configurada | 1.0.0 | |
| Estrutura de autenticação para clientes | Estrutura de autenticação para clientes – 9.1 | A autenticação para computadores Linux deve exigir chaves SSH | 3.2.0 | |
| Gerenciamento e defesa avançados contra ameaças em tempo real | Gerenciamento e defesa contra ameaças em tempo de execução avançado-13.3 | O Backup do Azure deve ser habilitado para máquinas virtuais | 3.0.0 | |
| Gerenciamento e defesa contra ameaças em tempo de execução avançado | Gerenciamento e defesa contra ameaças em tempo de execução avançado-13.1 | Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores | 1.0.0 | |
| Gerenciamento e defesa avançados contra ameaças em tempo real | Gerenciamento e defesa contra ameaças em tempo de execução avançado-13.1 | O Endpoint Protection deve ser instalado nos computadores | 1.0.0 | |
| Gerenciamento e defesa avançados contra ameaças em tempo real | Gerenciamento e defesa contra ameaças em tempo de execução avançado-13.1 | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 | |
| Configurações do log de auditoria | Configurações do Log de Auditoria-17.1 | A extensão de Configuração de Convidado deve ser instalada nos seus computadores | 1.0.3 | |
| Configuração segura | Configuração segura – 5.2 | O Hotpatch deve estar habilitado para as VMs do Windows Server Azure Edition | 1.0.0 | |
| Gerenciamento de rede e segurança | Gerenciamento e configuração do dispositivo de rede – 4.3 | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 | |
| Gerenciamento de rede e segurança | Gerenciamento e configuração do dispositivo de rede – 4.3 | O encaminhamento IP na máquina virtual deve ser desabilitado | 3.0.0 | |
| Configurações do log de auditoria | Configurações do Log de Auditoria-17.1 | Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.2.0 | |
| Gerenciamento de rede e segurança | Gerenciamento e configuração do dispositivo de rede – 4.3 | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 | |
| Gerenciamento de rede e segurança | Gerenciamento e configuração do dispositivo de rede – 4.3 | Portas de gerenciamento devem ser fechadas nas máquinas virtuais | 3.0.0 | |
| Gerenciamento e defesa contra ameaças em tempo de execução avançado | Gerenciamento e defesa contra ameaças em tempo de execução avançado-13.1 | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 | |
| Gerenciamento de rede e segurança | Gerenciamento e configuração do dispositivo de rede – 4.3 | Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 | |
| Impedir a execução de software não autorizado | Gerenciamento de Atualizações de Segurança – 2.3 | Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas | 1.0.0 | |
| Impedir a execução de software não autorizado | Gerenciamento de Atualizações de Segurança – 2.3 | As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas | 3.0.0 | |
| Impedir a execução de software não autorizado | Gerenciamento de Atualizações de Segurança – 2.3 | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 | |
| Gerenciamento e defesa avançados contra ameaças em tempo real | Gerenciamento e defesa contra ameaças em tempo de execução avançado-13.1 | As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | 1.0.0 | |
| Controle de acesso/Gerenciamento do usuário | Controle de acesso/Gerenciamento do usuário – 8.4 | A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | 1.0.1 | |
| Impedir a execução de software não autorizado | Gerenciamento de Atualizações de Segurança – 2.3 | As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | 3.0.0 | |
| Impedir a execução de software não autorizado | Gerenciamento de Atualizações de Segurança – 2.3 | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 | |
| Impedir a execução de software não autorizado | Gerenciamento de Atualizações de Segurança – 2.3 | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 | |
| Configuração segura | Configuração segura – 5.1 | O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | 2.0.0 | |
| Proteger sistemas de email e mensagens | Proteger sistemas de email e mensagens – 10.1 | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 | |
| Configurações do Log de Auditoria | Configurações do Log de Auditoria-17.1 | Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.0.0 |
RMIT Malásia
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – IRMIT Malásia. Para saber mais sobre esse padrão de conformidade, confira RMIT Malásia.
ENS (Espanha)
Para analisar como os recursos internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, veja Detalhes de conformidade regulatória do Azure Policy para Espanha ENS. Para obter mais informações sobre esse padrão de conformidade, consulte CCN-STIC 884.
SWIFT CSP-CSCF v2021
Para ler como os itens integrados do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes de Conformidade Regulatória do Azure Policy para SWIFT CSP-CSCF v2021. Para obter mais informações sobre esse padrão de conformidade, confira SWIFT CSP CSCF v2021.
SWIFT CSP-CSCF v2022
Para examinar como os recursos internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes de conformidade regulatória do Azure Policy para SWIFT CSP-CSCF v2022. Para obter mais informações sobre esse padrão de conformidade, confira SWIFT CSP CSCF v2022.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 1. Restringir o Acesso à Internet e Proteger Sistemas Críticos do Ambiente Geral da TI | 1,1 | Garanta a proteção da infraestrutura do SWIFT local do usuário contra elementos potencialmente comprometidos do ambiente de TI geral e do ambiente externo. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | 1.0.2 – versão prévia |
| 1. Restringir o acesso à Internet e proteger sistemas críticos do ambiente de TI geral | 1,1 | Garanta a proteção da infraestrutura do SWIFT local do usuário contra elementos potencialmente comprometidos do ambiente de TI geral e do ambiente externo. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | 1.0.2 – versão prévia |
| 1. Restringir o acesso à Internet e proteger sistemas críticos do ambiente de TI geral | 1,1 | Garanta a proteção da infraestrutura do SWIFT local do usuário contra elementos potencialmente comprometidos do ambiente de TI geral e do ambiente externo. | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| 1. Restringir o Acesso à Internet e Proteger Sistemas Críticos do Ambiente Geral da TI | 1,1 | Garanta a proteção da infraestrutura do SWIFT local do usuário contra elementos potencialmente comprometidos do ambiente de TI geral e do ambiente externo. | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| 1. Restringir o Acesso à Internet e Proteger Sistemas Críticos do Ambiente Geral da TI | 1,1 | Garanta a proteção da infraestrutura do SWIFT local do usuário contra elementos potencialmente comprometidos do ambiente de TI geral e do ambiente externo. | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| 1. Restringir o Acesso à Internet e Proteger Sistemas Críticos do Ambiente Geral da TI | 1,1 | Garanta a proteção da infraestrutura do SWIFT local do usuário contra elementos potencialmente comprometidos do ambiente de TI geral e do ambiente externo. | As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | 3.0.0 |
| 1. Restringir o Acesso à Internet e Proteger Sistemas Críticos do Ambiente Geral da TI | 1,1 | Garanta a proteção da infraestrutura do SWIFT local do usuário contra elementos potencialmente comprometidos do ambiente de TI geral e do ambiente externo. | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 1. Restringir o Acesso à Internet e Proteger Sistemas Críticos do Ambiente Geral da TI | 1,1 | Garanta a proteção da infraestrutura do SWIFT local do usuário contra elementos potencialmente comprometidos do ambiente de TI geral e do ambiente externo. | O encaminhamento IP na máquina virtual deve ser desabilitado | 3.0.0 |
| 1. Restringir o acesso à Internet e proteger sistemas críticos do ambiente de TI geral | 1.2 | Restrinja e controle a alocação e o uso de contas do sistema operacional no nível do administrador. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| 1. Restringir o acesso à Internet e proteger sistemas críticos do ambiente de TI geral | 1,3 | Proteja a plataforma de virtualização e as VMs (máquinas virtuais) que hospedam componentes relacionados ao SWIFT no mesmo nível que os sistemas físicos. | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| 1. Restringir o acesso à Internet e proteger sistemas críticos do ambiente de TI geral | 1.4 | Controlar/proteger o acesso à Internet a partir de computadores operadores e sistemas dentro da zona segura. | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 1. Restringir o Acesso à Internet e Proteger Sistemas Críticos do Ambiente Geral da TI | 1.4 | Controlar/proteger o acesso à Internet a partir de computadores operadores e sistemas dentro da zona segura. | Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 1. Restringir o Acesso à Internet e Proteger Sistemas Críticos do Ambiente Geral da TI | 1,5A | Garanta a proteção da infraestrutura de conectividade do cliente contra o ambiente externo e os elementos potencialmente comprometidos do ambiente de TI geral. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | 1.0.2 – versão prévia |
| 1. Restringir o acesso à Internet e proteger sistemas críticos do ambiente de TI geral | 1,5A | Garanta a proteção da infraestrutura de conectividade do cliente contra o ambiente externo e os elementos potencialmente comprometidos do ambiente de TI geral. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | 1.0.2 – versão prévia |
| 1. Restringir o acesso à Internet e proteger sistemas críticos do ambiente de TI geral | 1,5A | Garanta a proteção da infraestrutura de conectividade do cliente contra o ambiente externo e os elementos potencialmente comprometidos do ambiente de TI geral. | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| 1. Restringir o Acesso à Internet e Proteger Sistemas Críticos do Ambiente Geral da TI | 1,5A | Garanta a proteção da infraestrutura de conectividade do cliente contra o ambiente externo e os elementos potencialmente comprometidos do ambiente de TI geral. | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| 1. Restringir o Acesso à Internet e Proteger Sistemas Críticos do Ambiente Geral da TI | 1,5A | Garanta a proteção da infraestrutura de conectividade do cliente contra o ambiente externo e os elementos potencialmente comprometidos do ambiente de TI geral. | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| 1. Restringir o Acesso à Internet e Proteger Sistemas Críticos do Ambiente Geral da TI | 1,5A | Garanta a proteção da infraestrutura de conectividade do cliente contra o ambiente externo e os elementos potencialmente comprometidos do ambiente de TI geral. | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| 1. Restringir o Acesso à Internet e Proteger Sistemas Críticos do Ambiente Geral da TI | 1,5A | Garanta a proteção da infraestrutura de conectividade do cliente contra o ambiente externo e os elementos potencialmente comprometidos do ambiente de TI geral. | O encaminhamento IP na máquina virtual deve ser desabilitado | 3.0.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.1 | Garanta a confidencialidade, a integridade e a autenticidade dos fluxos de dados do aplicativo entre componentes locais relacionados ao SWIFT. | A autenticação para computadores Linux deve exigir chaves SSH | 3.2.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.1 | Garanta a confidencialidade, a integridade e a autenticidade dos fluxos de dados do aplicativo entre componentes locais relacionados ao SWIFT. | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2,2 | Minimize a ocorrência de vulnerabilidades técnicas conhecidas em computadores operadores e na infraestrutura do SWIFT local, garantindo o suporte do fornecedor, aplicando atualizações de software obrigatórias e aplicando atualizações de segurança em tempo hábil alinhadas ao risco avaliado. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2,2 | Minimize a ocorrência de vulnerabilidades técnicas conhecidas em computadores operadores e na infraestrutura do SWIFT local, garantindo o suporte do fornecedor, aplicando atualizações de software obrigatórias e aplicando atualizações de segurança em tempo hábil alinhadas ao risco avaliado. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2,2 | Minimize a ocorrência de vulnerabilidades técnicas conhecidas em computadores operadores e na infraestrutura do SWIFT local, garantindo o suporte do fornecedor, aplicando atualizações de software obrigatórias e aplicando atualizações de segurança em tempo hábil alinhadas ao risco avaliado. | Auditar as VMs do Windows com uma reinicialização pendente | 2.0.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2,2 | Minimize a ocorrência de vulnerabilidades técnicas conhecidas em computadores operadores e na infraestrutura do SWIFT local, garantindo o suporte do fornecedor, aplicando atualizações de software obrigatórias e aplicando atualizações de segurança em tempo hábil alinhadas ao risco avaliado. | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2,2 | Minimize a ocorrência de vulnerabilidades técnicas conhecidas em computadores operadores e na infraestrutura do SWIFT local, garantindo o suporte do fornecedor, aplicando atualizações de software obrigatórias e aplicando atualizações de segurança em tempo hábil alinhadas ao risco avaliado. | As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas | 3.0.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2,2 | Minimize a ocorrência de vulnerabilidades técnicas conhecidas em computadores operadores e na infraestrutura do SWIFT local, garantindo o suporte do fornecedor, aplicando atualizações de software obrigatórias e aplicando atualizações de segurança em tempo hábil alinhadas ao risco avaliado. | As atualizações do sistema devem ser instaladas em suas máquinas | 4.0.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando a proteção do sistema. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando a proteção do sistema. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando a proteção do sistema. | Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | 3.1.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando a proteção do sistema. | Auditar os computadores Windows que contêm certificados que expiram dentro do número de dias especificado | 2.0.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando a proteção do sistema. | Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível | 2.0.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando a proteção do sistema. | Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | 3.1.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando a proteção do sistema. | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.3 | Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando a proteção do sistema. | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.4A | Segurança do fluxo de dados de back-office | A autenticação para computadores Linux deve exigir chaves SSH | 3.2.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.4A | Segurança do fluxo de dados de back-office | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.5A | Proteção de dados de transmissão externa | Auditar máquinas virtuais sem a recuperação de desastre configurada | 1.0.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.5A | Proteção de dados de transmissão externa | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.5A | Proteção de dados de transmissão externa | O Backup do Azure deve ser habilitado para máquinas virtuais | 3.0.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.6 | Proteja a confidencialidade e a integridade das sessões interativas do operador que se conectam à infraestrutura do SWIFT local ou remota (operada por um provedor de serviços) ou aos aplicativos relacionados ao SWIFT do provedor de serviços | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.6 | Proteja a confidencialidade e a integridade das sessões interativas do operador que se conectam à infraestrutura do SWIFT local ou remota (operada por um provedor de serviços) ou aos aplicativos relacionados ao SWIFT do provedor de serviços | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.6 | Proteja a confidencialidade e a integridade das sessões interativas do operador que se conectam à infraestrutura do SWIFT local ou remota (operada por um provedor de serviços) ou aos aplicativos relacionados ao SWIFT do provedor de serviços | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.6 | Proteja a confidencialidade e a integridade das sessões interativas do operador que se conectam à infraestrutura do SWIFT local ou remota (operada por um provedor de serviços) ou aos aplicativos relacionados ao SWIFT do provedor de serviços | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.6 | Proteja a confidencialidade e a integridade das sessões interativas do operador que se conectam à infraestrutura do SWIFT local ou remota (operada por um provedor de serviços) ou aos aplicativos relacionados ao SWIFT do provedor de serviços | Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Logon Interativo' | 3.0.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.7 | Identifique vulnerabilidades conhecidas dentro do ambiente do SWIFT local implementando um processo regular de verificação de vulnerabilidade e atue nos resultados. | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.7 | Identifique vulnerabilidades conhecidas dentro do ambiente do SWIFT local implementando um processo regular de verificação de vulnerabilidade e atue nos resultados. | As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | 3.0.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.7 | Identifique vulnerabilidades conhecidas dentro do ambiente do SWIFT local implementando um processo regular de verificação de vulnerabilidade e atue nos resultados. | As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | 3.1.0 |
| 2. Reduzir a superfície de ataque e as vulnerabilidades | 2.7 | Identifique vulnerabilidades conhecidas dentro do ambiente do SWIFT local implementando um processo regular de verificação de vulnerabilidade e atue nos resultados. | As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas | 3.0.0 |
| 3. Proteger fisicamente o ambiente | 3.1 | Impeça o acesso físico não autorizado aos equipamentos confidenciais, ambientes de local de trabalho, sites de hospedagem e armazenamento. | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| 4. Impedir Comprometimento de Credenciais | 4.1 | Garanta que as senhas sejam suficientemente resistentes contra ataques comuns de senha implementando e impondo uma política de senha eficaz. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| 4. Impedir Comprometimento de Credenciais | 4.1 | Garanta que as senhas sejam suficientemente resistentes contra ataques comuns de senha implementando e impondo uma política de senha eficaz. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| 4. Impedir Comprometimento de Credenciais | 4.1 | Garanta que as senhas sejam suficientemente resistentes contra ataques comuns de senha implementando e impondo uma política de senha eficaz. | Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | 3.1.0 |
| 4. Impedir Comprometimento de Credenciais | 4.1 | Garanta que as senhas sejam suficientemente resistentes contra ataques comuns de senha implementando e impondo uma política de senha eficaz. | Auditar os computadores Linux que têm contas sem senhas | 3.1.0 |
| 4. Impedir Comprometimento de Credenciais | 4.1 | Garanta que as senhas sejam suficientemente resistentes contra ataques comuns de senha implementando e impondo uma política de senha eficaz. | Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas | 2.1.0 |
| 4. Impedir Comprometimento de Credenciais | 4.1 | Garanta que as senhas sejam suficientemente resistentes contra ataques comuns de senha implementando e impondo uma política de senha eficaz. | Auditar computadores Windows que não têm a idade máxima da senha definida como o número especificado de dias | 2.1.0 |
| 4. Impedir Comprometimento de Credenciais | 4.1 | Garanta que as senhas sejam suficientemente resistentes contra ataques comuns de senha implementando e impondo uma política de senha eficaz. | Auditar computadores Windows que não têm a idade mínima da senha definida como o número especificado de dias | 2.1.0 |
| 4. Impedir Comprometimento de Credenciais | 4.1 | Garanta que as senhas sejam suficientemente resistentes contra ataques comuns de senha implementando e impondo uma política de senha eficaz. | Auditar os computadores Windows que não têm a configuração de complexidade de senha habilitada | 2.0.0 |
| 4. Impedir Comprometimento de Credenciais | 4.1 | Garanta que as senhas sejam suficientemente resistentes contra ataques comuns de senha implementando e impondo uma política de senha eficaz. | Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres | 2.1.0 |
| 4. Impedir Comprometimento de Credenciais | 4.1 | Garanta que as senhas sejam suficientemente resistentes contra ataques comuns de senha implementando e impondo uma política de senha eficaz. | Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | 3.1.0 |
| 4. Impedir Comprometimento de Credenciais | 4.1 | Garanta que as senhas sejam suficientemente resistentes contra ataques comuns de senha implementando e impondo uma política de senha eficaz. | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| 5. Gerenciar identidades e separar privilégios | 5.1 | Imponha os princípios de segurança de acesso necessário, privilégios mínimos e separação de direitos para contas de operador. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| 5. Gerenciar identidades e separar privilégios | 5.1 | Imponha os princípios de segurança de acesso necessário, privilégios mínimos e separação de direitos para contas de operador. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| 5. Gerenciar identidades e separar privilégios | 5.1 | Imponha os princípios de segurança de acesso necessário, privilégios mínimos e separação de direitos para contas de operador. | Auditar os computadores Windows que contêm certificados que expiram dentro do número de dias especificado | 2.0.0 |
| 5. Gerenciar identidades e separar privilégios | 5.1 | Imponha os princípios de segurança de acesso necessário, privilégios mínimos e separação de direitos para contas de operador. | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| 5. Gerenciar identidades e separar privilégios | 5.2 | Garanta o gerenciamento, o acompanhamento e o uso apropriados de autenticação de hardware conectado e desconectado ou tokens pessoais (quando os tokens são usados). | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| 5. Gerenciar identidades e separar privilégios | 5.4 | Proteja fisicamente e logicamente o repositório de senhas gravadas. | Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível | 2.0.0 |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.1 | Garanta que a infraestrutura do SWIFT local esteja protegida contra malware e atue nos resultados. | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.1 | Garanta que a infraestrutura do SWIFT local esteja protegida contra malware e atue nos resultados. | O Microsoft Antimalware para o Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | 1.0.0 |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.1 | Garanta que a infraestrutura do SWIFT local esteja protegida contra malware e atue nos resultados. | A extensão IaaSAntimalware da Microsoft deve ser implantada em servidores do Windows | 1.1.0 |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.1 | Garanta que a infraestrutura do SWIFT local esteja protegida contra malware e atue nos resultados. | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detecte ações e operações anômalas dentro do ambiente SWIFT local. | [Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas | 2.0.1 – versão prévia |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detecte ações e operações anômalas dentro do ambiente SWIFT local. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | 1.0.2 – versão prévia |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detecte ações e operações anômalas dentro do ambiente SWIFT local. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | 1.0.2 – versão prévia |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detecte ações e operações anômalas dentro do ambiente SWIFT local. | Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | 4.1.0 |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detecte ações e operações anômalas dentro do ambiente SWIFT local. | Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | 4.1.0 |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detecte ações e operações anômalas dentro do ambiente do SWIFT local. | Auditar máquinas virtuais sem a recuperação de desastre configurada | 1.0.0 |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detecte ações e operações anômalas dentro do ambiente SWIFT local. | O Backup do Azure deve ser habilitado para máquinas virtuais | 3.0.0 |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detecte ações e operações anômalas dentro do ambiente SWIFT local. | Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | 1.2.0 |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detecte ações e operações anômalas dentro do ambiente SWIFT local. | A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens de máquinas virtuais listadas | 2.0.1 |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detecte ações e operações anômalas dentro do ambiente SWIFT local. | A extensão do Log Analytics deve ser instalada nos Conjuntos de Dimensionamento de Máquinas Virtuais | 1.0.1 |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.4 | Registre eventos de segurança e detecte ações e operações anômalas dentro do ambiente SWIFT local. | As máquinas virtuais devem ter a extensão do Log Analytics instalada | 1.0.1 |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.5A | Detecte e interrompa atividades de rede anômalas dentro do ambiente do SWIFT local ou remoto. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux | 1.0.2 – versão prévia |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.5A | Detecte e interrompa atividades de rede anômalas dentro do ambiente do SWIFT local ou remoto. | [Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows | 1.0.2 – versão prévia |
| 6. Detectar atividade anômala em sistemas ou registros de transações | 6.5A | Detecte e interrompa atividades de rede anômalas dentro do ambiente do SWIFT local ou remoto. | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
System and Organization Controls (SOC) 2
Para examinar como os recursos internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, confira Detalhes de conformidade regulatória do Azure Policy para o SOC (Controles de Sistema e Organização) 2. Para obter mais informações sobre esse padrão de conformidade, confira o SOC (Controles de Sistema e Organização) 2.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Critérios adicionais para disponibilidade | A1.2 | Proteções ambientais, software, processos de backup de dados e infraestrutura de recuperação | O Backup do Azure deve ser habilitado para máquinas virtuais | 3.0.0 |
| Avaliação de risco | CC3.2 | COSO Principle 7 | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Controles de acesso lógico e físico | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| Controles de acesso lógico e físico | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Controles de acesso lógico e físico | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | A autenticação para computadores Linux deve exigir chaves SSH | 3.2.0 |
| Controles de acesso lógico e físico | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controles de acesso lógico e físico | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Controles de acesso lógico e físico | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | Portas de gerenciamento devem ser fechadas nas máquinas virtuais | 3.0.0 |
| Controles de acesso lógico e físico | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controles de acesso lógico e físico | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| Controles de acesso lógico e físico | CC6.6 | Medidas de segurança contra ameaças fora dos limites do sistema | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| Controles de acesso lógico e físico | CC6.6 | Medidas de segurança contra ameaças fora dos limites do sistema | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Controles de acesso lógico e físico | CC6.6 | Medidas de segurança contra ameaças fora dos limites do sistema | A autenticação para computadores Linux deve exigir chaves SSH | 3.2.0 |
| Controles de acesso lógico e físico | CC6.6 | Medidas de segurança contra ameaças fora dos limites do sistema | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controles de acesso lógico e físico | CC6.6 | Medidas de segurança contra ameaças fora dos limites do sistema | O encaminhamento IP na máquina virtual deve ser desabilitado | 3.0.0 |
| Controles de acesso lógico e físico | CC6.6 | Medidas de segurança contra ameaças fora dos limites do sistema | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Controles de acesso lógico e físico | CC6.6 | Medidas de segurança contra ameaças fora dos limites do sistema | Portas de gerenciamento devem ser fechadas nas máquinas virtuais | 3.0.0 |
| Controles de acesso lógico e físico | CC6.6 | Medidas de segurança contra ameaças fora dos limites do sistema | Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controles de acesso lógico e físico | CC6.6 | Medidas de segurança contra ameaças fora dos limites do sistema | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| Controles de acesso lógico e físico | CC6.7 | Restringir a movimentação de informações a usuários autorizados | As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet | 3.0.0 |
| Controles de acesso lógico e físico | CC6.7 | Restringir a movimentação de informações a usuários autorizados | Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | 3.0.0 |
| Controles de acesso lógico e físico | CC6.7 | Restringir a movimentação de informações a usuários autorizados | As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controles de acesso lógico e físico | CC6.7 | Restringir a movimentação de informações a usuários autorizados | As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | 3.0.0 |
| Controles de acesso lógico e físico | CC6.7 | Restringir a movimentação de informações a usuários autorizados | Portas de gerenciamento devem ser fechadas nas máquinas virtuais | 3.0.0 |
| Controles de acesso lógico e físico | CC6.7 | Restringir a movimentação de informações a usuários autorizados | Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | 3.0.0 |
| Controles de acesso lógico e físico | CC6.7 | Restringir a movimentação de informações a usuários autorizados | Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | 4.1.1 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nas máquinas virtuais do Linux compatíveis | 6.0.0-preview |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis | 5.1.0-preview |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada em máquinas virtuais do Windows compatíveis | 4.0.0 – versão prévia |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis | 3.1.0 – versão prévia |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | [Versão prévia]: a Inicialização Segura deve estar habilitada em máquinas virtuais Windows compatíveis | 4.0.0 – versão prévia |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | [Versão prévia]: o vTPM deve estar habilitado nas máquinas virtuais compatíveis | 2.0.0-preview |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | 3.0.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores | 1.0.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | O Endpoint Protection deve ser instalado nos computadores | 1.0.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais | 3.0.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | A extensão de Configuração de Convidado deve ser instalada nos seus computadores | 1.0.3 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.2.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | 3.0.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Somente as extensões aprovadas da VM devem ser instaladas | 1.0.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | 1.0.1 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.0.0 |
| Operações de sistema | CC7.1 | Detecção e monitoramento de novas vulnerabilidades | Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | 3.0.0 |
| Operações de sistema | CC7.1 | Detecção e monitoramento de novas vulnerabilidades | Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores | 3.0.0 |
| Operações de sistema | CC7.1 | Detecção e monitoramento de novas vulnerabilidades | As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas | 3.0.0 |
| Operações de sistema | CC7.2 | Monitorar componentes do sistema para verificar se há comportamento anômalo | O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | 2.0.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nas máquinas virtuais do Linux compatíveis | 6.0.0-preview |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis | 5.1.0-preview |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada em máquinas virtuais do Windows compatíveis | 4.0.0 – versão prévia |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | [Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis | 3.1.0 – versão prévia |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | [Versão prévia]: a Inicialização Segura deve estar habilitada em máquinas virtuais Windows compatíveis | 4.0.0 – versão prévia |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | [Versão prévia]: o vTPM deve estar habilitado nas máquinas virtuais compatíveis | 2.0.0-preview |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Auditar VMs que não usam discos gerenciados | 1.0.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | A extensão de Configuração de Convidado deve ser instalada nos seus computadores | 1.0.3 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.2.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Somente as extensões aprovadas da VM devem ser instaladas | 1.0.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | 1.0.1 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | 2.0.0 |
| Critérios adicionais para a integridade do processamento | PI1.5 | Armazenar entradas e saídas completamente, com precisão e em tempo hábil | O Backup do Azure deve ser habilitado para máquinas virtuais | 3.0.0 |
NHS do Reino Unido e OFICIAL do Reino Unido
Para examinar como as políticas internas do azure Policy disponíveis em todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – UK OFFICIaL e UK NHS. Para saber mais sobre esse padrão de conformidade, confira UK OFFICIAL.
Próximas etapas
- Saiba mais sobre a Conformidade Regulatória do Azure Policy.
- Confira os internos no repositório Azure Policy GitHub.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de