Compartilhar via


Linha de base de segurança do Azure para Azure Policy

Essa linha de base de segurança aplica diretrizes do Microsoft Cloud Security Benchmark versão 1.0 a Azure Policy. O Microsoft Cloud Security Benchmark fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo parâmetro de comparação de segurança na nuvem da Microsoft e pelas diretrizes relacionadas aplicáveis a Azure Policy.

Você pode monitorar essa linha de base de segurança e as recomendações usando o Microsoft Defender para Nuvem. Azure Policy definições serão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender for Cloud.

Quando um recurso tem definições de Azure Policy relevantes, elas são listadas nessa linha de base para ajudá-lo a medir a conformidade com os controles e recomendações de parâmetro de comparação de segurança de nuvem da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para habilitar determinados cenários de segurança.

Observação

Recursos não aplicáveis a Azure Policy foram excluídos. Para ver como Azure Policy é mapeado completamente para o parâmetro de comparação de segurança de nuvem da Microsoft, consulte o arquivo completo de mapeamento de linha de base de segurança Azure Policy.

Perfil de segurança

O perfil de segurança resume comportamentos de alto impacto de Azure Policy, o que pode resultar em considerações de segurança maiores.

Atributo de comportamento do serviço Valor
Categoria do Produto MGMT/Governança
O cliente pode acessar HOST/SO Sem Acesso
O serviço pode ser implantado na rede virtual do cliente Falso
Armazena o conteúdo do cliente em repouso Falso

Gerenciamento de identidades

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: gerenciamento de identidades.

IM-3: gerenciar identidades de aplicativos de maneira segura e automática

Recursos

Identidades gerenciadas

Descrição: as ações do plano de dados dão suporte à autenticação usando identidades gerenciadas. Saiba mais.

Com suporte Habilitado por padrão Responsabilidade de configuração
True Falso Cliente

Notas de recurso: Azure Policy usa uma identidade gerenciada para a correção de recursos não compatíveis.

Diretrizes de configuração: cada atribuição de Azure Policy pode ser associada a apenas uma identidade gerenciada. No entanto, a identidade gerenciada pode ser atribuída a várias funções. A configuração ocorre em duas etapas: primeiro, crie uma identidade gerenciada atribuída pelo sistema ou pelo usuário e conceda a ela as funções necessárias.

Referência: corrigir recursos não compatíveis com Azure Policy

Proteção de dados

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: proteção de dados.

DP-3: criptografar dados confidenciais ativos

Recursos

Criptografia de dados em trânsito

Descrição: o serviço dá suporte à criptografia de dados em trânsito para o plano de dados. Saiba mais.

Com suporte Habilitado por padrão Responsabilidade de configuração
True True Microsoft

Notas sobre o recurso: Azure Policy aproveita a criptografia padrão da Microsoft para dados em trânsito.

Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.

Referência: criptografia dupla

Monitoramento do Microsoft Defender para Nuvem

Definições internas do Azure Policy – Microsoft.GuestConfiguration:

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas pela Internet, seus computadores devem usar a versão mais recente do protocolo criptográfico padrão do setor, TLS (Transport Layer Security). O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. AuditIfNotExists, desabilitado 4.1.1

DP-4: habilitar a criptografia de dados inativos por padrão

Recursos

Criptografia de dados em repouso usando chaves de plataforma

Descrição: há suporte para a criptografia de dados em repouso usando chaves de plataforma, qualquer conteúdo do cliente em repouso é criptografado com essas chaves gerenciadas pela Microsoft. Saiba mais.

Com suporte Habilitado por padrão Responsabilidade de configuração
True True Microsoft

Notas sobre o recurso: Azure Policy aproveita a criptografia padrão da Microsoft para dados inativos.

Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.

Referência: criptografia dupla

Próximas etapas