Linha de base de segurança do Azure para Sincronização de Arquivos do Azure
Essa linha de base de segurança aplica diretrizes do Microsoft Cloud Security Benchmark versão 1.0 a Sincronização de Arquivos do Azure. O parâmetro de comparação de segurança de nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo parâmetro de comparação de segurança na nuvem da Microsoft e pelas diretrizes relacionadas aplicáveis a Sincronização de Arquivos do Azure.
Você pode monitorar essa linha de base de segurança e as recomendações usando o Microsoft Defender para Nuvem. Azure Policy definições serão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender for Cloud.
Quando um recurso tem definições de Azure Policy relevantes, elas são listadas nessa linha de base para ajudá-lo a medir a conformidade com os controles e recomendações de parâmetro de comparação de segurança de nuvem da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para habilitar determinados cenários de segurança.
Observação
Recursos não aplicáveis a Sincronização de Arquivos do Azure foram excluídos. Para ver como Sincronização de Arquivos do Azure mapeia completamente para o parâmetro de comparação de segurança de nuvem da Microsoft, consulte o arquivo de mapeamento completo da linha de base de segurança Sincronização de Arquivos do Azure.
O perfil de segurança resume comportamentos de alto impacto de Sincronização de Arquivos do Azure, o que pode resultar em considerações de segurança maiores.
| Atributo de comportamento do serviço | Valor |
|---|---|
| Categoria do Produto | Armazenamento |
| O cliente pode acessar HOST/SO | Sem Acesso |
| O serviço pode ser implantado na rede virtual do cliente | Falso |
| Armazena o conteúdo do cliente em repouso | Verdadeiro |
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: segurança de rede.
Descrição: o serviço dá suporte à implantação na VNet (Rede Virtual privada) do cliente. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Descrição: funcionalidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não deve ser confundida com NSG ou Firewall do Azure). Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Diretrizes de configuração: implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso Link Privado, para estabelecer um ponto de acesso privado para os recursos.
Referência: Sincronização de Arquivos pontos de extremidade de rede
Descrição: o serviço dá suporte à desabilitação do acesso à rede pública usando a regra de filtragem de ACL de IP no nível de serviço (não NSG ou Firewall do Azure) ou usando um comutador de alternância "Desabilitar Acesso à Rede Pública". Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Diretrizes de configuração: você pode restringir o acesso aos pontos de extremidade públicos da conta de armazenamento e dos Serviços de Sincronização de Armazenamento. O acesso restrito ao ponto de extremidade público fornece segurança adicional, garantindo que os pacotes de rede sejam aceitos apenas de locais aprovados.
Referência: Restringir o acesso aos pontos de extremidade públicos
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: gerenciamento de identidades.
Descrição: o serviço dá suporte ao uso Azure AD autenticação para acesso ao plano de dados. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Descrição: métodos de autenticações locais com suporte para acesso ao plano de dados, como um nome de usuário local e senha. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Descrição: as ações do plano de dados dão suporte à autenticação usando identidades gerenciadas. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Descrição: o plano de dados dá suporte à autenticação usando entidades de serviço. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | True | Microsoft |
Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.
Referência: autorização de acesso de armazenamento Sincronização de Arquivos do Azure
Descrição: o acesso ao plano de dados pode ser controlado usando Azure AD Políticas de Acesso Condicional. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Descrição: o plano de dados dá suporte ao uso nativo de Key Vault do Azure para armazenamento de credenciais e segredos. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: acesso privilegiado.
Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Descrição: o RBAC do Azure (Azure Role-Based Controle de Acesso) pode ser usado para obter acesso gerenciado às ações do plano de dados do serviço. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Descrição: o Sistema de Proteção de Dados do Cliente pode ser usado para acesso de suporte da Microsoft. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: proteção de dados.
Descrição: ferramentas (como o Azure Purview ou o Azure Proteção de Informações) podem ser usadas para descoberta e classificação de dados no serviço. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Descrição: o serviço dá suporte à solução DLP para monitorar a movimentação de dados confidenciais (no conteúdo do cliente). Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Descrição: o serviço dá suporte à criptografia de dados em trânsito para o plano de dados. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| True | True | Microsoft |
Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.
Descrição: o serviço dá suporte à integração de Key Vault do Azure para quaisquer chaves, segredos ou certificados do cliente. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: gerenciamento de ativos.
Descrição: as configurações de serviço podem ser monitoradas e impostas por meio de Azure Policy. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Diretrizes de configuração: Azure Policy ajuda a impor os padrões da organização e avaliar a conformidade com esses padrões em escala. Os Arquivos do Azure e a Sincronização de Arquivos do Azure expõem várias políticas de rede úteis, de auditoria e de correção, que ajudam a monitorar e automatizar a implantação.
Referência: Azure Policy
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: registro em log e detecção de ameaças.
Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorar e alertar sobre problemas de segurança. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de recurso: embora Sincronização de Arquivos não dê suporte a esse recurso, Microsoft Defender para Armazenamento pode ser usado na conta de Armazenamento de Compartilhamento de Arquivos.
Para obter mais informações, visite: Configurar Microsoft Defender para Armazenamento
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Descrição: o serviço produz logs de recursos que podem fornecer métricas e logs avançados específicos do serviço. O cliente pode configurar esses logs de recursos e enviá-los para seu próprio coletor de dados, como uma conta de armazenamento ou um workspace do Log Analytics. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: backup e recuperação.
Descrição: o serviço pode ser copiado em backup pelo serviço Backup do Azure. Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Descrição: o serviço dá suporte à sua própria funcionalidade de backup nativo (se não estiver usando Backup do Azure). Saiba mais.
| Com suporte | Habilitado por padrão | Responsabilidade de configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
- Confira a Visão geral do parâmetro de comparação de segurança de nuvem da Microsoft
- Saiba mais sobre a Linhas de base de segurança do Azure