Detalhes da iniciativa Azure Security Benchmark Regulatory Compliance built-in

O artigo que se segue detalha como a Azure Policy conformidade regulamentar de definição de iniciativa incorporada mapeia para domínios de conformidade e controlos no Azure Security Benchmark. Para obter mais informações sobre esta norma de conformidade, consulte a Azure Security Benchmark. Para compreender a Propriedade, consulte Azure Policy definição de política e responsabilidade partilhada na nuvem.

Os seguintes mapeamentos são para os controlos Azure Security Benchmark . Utilize a navegação no direito de saltar diretamente para um domínio de conformidade específico. Muitos dos controlos são implementados com uma definição de iniciativa Azure Policy. Para rever a definição completa de iniciativa, abra a Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição de iniciativa de conformidade regulamentar de referência de segurança Azure .

Importante

Cada controlo abaixo está associado a uma ou mais definições Azure Policy. Estas políticas podem ajudá-lo a avaliar o cumprimento do controlo; no entanto, muitas vezes não há um para um ou um jogo completo entre um controlo e uma ou mais políticas. Como tal, o "Compliant in Azure Policy refere-se apenas às definições políticas em si; isto não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controlos que não são abordados por nenhuma Azure Policy definições neste momento. Portanto, o cumprimento em Azure Policy é apenas uma visão parcial do seu estado de conformidade geral. As associações entre domínios de conformidade, controlos e definições Azure Policy para esta norma de conformidade podem mudar ao longo do tempo. Para ver a história da mudança, veja o GitHub Commit History.

Segurança de Rede

Estabelecer limites de segmentação de rede

ID: Azure Security Benchmark NS-1 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Recomendações de endurecimento de rede adaptativas devem ser aplicadas na internet face a máquinas virtuais Centro de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais da Internet e fornece recomendações de regras do Grupo de Segurança da Rede que reduzem a potencial superfície de ataque AuditIfNotExists, Desativado 3.0.0
Todas as portas de rede devem ser restringidas em grupos de segurança de rede associados à sua máquina virtual Centro de Segurança do Azure identificou as regras de entrada de alguns dos seus grupos de segurança na rede como demasiado permissivas. As regras de entrada não devem permitir o acesso a partir das gamas "Qualquer" ou "Internet". Isto pode potencialmente permitir que os atacantes direcionem os seus recursos. AuditIfNotExists, Desativado 3.0.0
Máquinas virtuais viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais de potenciais ameaças, restringindo-lhes o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
Máquinas virtuais não viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais não viradas para a Internet contra potenciais ameaças, restringindo o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
As subnetas devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede de ameaças potenciais limitando-lhe o acesso a um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede à sua sub-rede. AuditIfNotExists, Desativado 3.0.0

Serviços de nuvem segura com controlos de rede

ID: Azure Security Benchmark NS-2 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O ponto final privado deve ser configurado para Key Vault O link privado fornece uma forma de ligar Key Vault aos seus recursos Azure sem enviar tráfego através da internet pública. A ligação privada fornece defesa em profundidade contra a exfiltração de dados. Auditoria, Negar, Deficientes 1.1.0-pré-visualização
[Pré-visualização]: O acesso público à conta de armazenamento deve ser proibido O público anónimo lê o acesso a contentores e bolhas no Azure Storage é uma forma conveniente de partilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anónimo não existente, a Microsoft recomenda impedir o acesso do público a uma conta de armazenamento, a menos que o seu cenário o exija. auditoria, auditoria, negar, negar, desativar, desativar 3.1.0-pré-visualização
Gestão de API serviços devem usar uma rede virtual A Azure Rede Virtual implementação proporciona uma segurança reforçada, isolamento e permite-lhe colocar o seu serviço de Gestão de API numa rede de encaminhamento não internet a que controla o acesso. Estas redes podem então ser ligadas às suas redes no local utilizando várias tecnologias VPN, o que permite o acesso aos seus serviços de backend dentro da rede e/ou no local. O portal de desenvolvedores e gateway API, pode ser configurado para ser acessível a partir da Internet ou apenas dentro da rede virtual. Auditoria, Deficientes 1.0.1
App Configuration deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para as suas instâncias de configuração da aplicação em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Desativado 1.0.2
As gamas IP autorizadas devem ser definidas nos Serviços Kubernetes Restringir o acesso à API de Gestão de Serviços Kubernetes, concedendo acesso a API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso aos intervalos de IP autorizados para garantir que apenas aplicações de redes permitidas possam aceder ao cluster. Auditoria, Deficientes 2.0.1
Cache do Azure para Redis deve usar link privado Os pontos finais privados permitem-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. Ao mapear pontos finais privados para os seus Cache do Azure para Redis casos, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Desativado 1.0.0
Contas DB da Azure Cosmos devem ter regras de firewall As regras de firewall devem ser definidas nas suas contas DB Azure Cosmos para evitar o tráfego de fontes não autorizadas. As contas que tenham pelo menos uma regra DE IP definida com o filtro de rede virtual ativado são consideradas conformes. As contas que incapacitam o acesso do público também são consideradas conformes. Auditoria, Negar, Deficientes 2.0.0
Azure Event Grid domínios devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu domínio Desembos em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Deficientes 1.0.2
Azure Event Grid tópicos devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu tópico De Classificação de Eventos em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Deficientes 1.0.2
Azure Key Vault deve ter firewall ativada Ativar a firewall do cofre de teclas de modo a que o cofre da chave não esteja acessível por defeito a quaisquer IPs públicos. Em seguida, pode configurar gamas ip específicas para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security Auditoria, Negar, Deficientes 3.0.0
Espaços de trabalho de aprendizagem automática Azure devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para espaços de trabalho de aprendizagem automática Azure, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Auditoria, Negar, Deficientes 1.1.0
Azure SignalR Service deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu recurso Azure SignalR Service em vez de todo o serviço, irá reduzir os riscos de fuga de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Auditoria, Deficientes 1.0.0
Azure Spring Cloud deve usar injeção de rede As instâncias Azure Spring Cloud devem utilizar a injeção de rede virtual para os seguintes fins: 1. Isole a nuvem de primavera de Azure da Internet. 2. Permita ao Azure Spring Cloud interagir com sistemas em centros de dados ou em Azure em outras redes virtuais. 3. Capacitar os clientes para controlar as comunicações de rede de entrada e saída para a Azure Spring Cloud. Auditoria, Deficientes, Negar 1.1.0
Contas de Serviços Cognitivos devem desativar o acesso à rede pública A desativação do acesso à rede pública melhora a segurança, garantindo que a conta dos Serviços Cognitivos não seja exposta na internet pública. A criação de pontos finais privados pode limitar a exposição da conta serviços cognitivos. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2129800. Auditoria, Negar, Deficientes 3.0.0
Contas de Serviços Cognitivos devem restringir o acesso à rede O acesso à rede às contas dos Serviços Cognitivos deve ser restringido. Configure as regras de rede para que apenas aplicações de redes permitidas possam aceder à conta dos Serviços Cognitivos. Para permitir ligações de clientes específicos da Internet ou no local, o acesso pode ser concedido ao tráfego a partir de redes virtuais específicas do Azure ou de intervalos de endereços IP de internet pública. Auditoria, Negar, Deficientes 3.0.0
Os registos de contentores não devem permitir o acesso ilimitado à rede Os registos de contentores Azure por padrão aceitam ligações através da internet de anfitriões em qualquer rede. Para proteger os seus registos de ameaças potenciais, permita o acesso a partir de apenas pontos finais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registo não tiver regras de rede configuradas, aparecerá nos recursos pouco saudáveis. Saiba mais sobre as regras da rede de registo de contentores aqui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. Auditoria, Negar, Deficientes 2.0.0
Os registos de contentores devem utilizar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus registos de contentores em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/acr/private-link. Auditoria, Deficientes 1.0.1
As ligações privadas de ponto final na base de dados SQL do Azure devem ser ativadas As ligações de ponto final privados impõem uma comunicação segura, permitindo a conectividade privada à SQL do Azure Base de Dados. Auditoria, Deficientes 1.1.0
O ponto final privado deve ser ativado para servidores MariaDB As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Azure Database for MariaDB. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O ponto final privado deve ser ativado para servidores MySQL As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Base de Dados do Azure para MySQL. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O ponto final privado deve ser ativado para servidores PostgreSQL As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Base de Dados do Azure para PostgreSQL. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O acesso à rede pública na Base de Dados SQL do Azure deve ser desativado A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que a sua base de dados SQL do Azure só pode ser acedida a partir de um ponto final privado. Esta configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou em rede virtual. Auditoria, Negar, Deficientes 1.1.0
O acesso à rede pública deve ser desativado para servidores MariaDB Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que o seu Azure Database for MariaDB só pode ser acedido a partir de um ponto final privado. Esta configuração desativa estritamente o acesso a partir de qualquer espaço de endereço público fora da gama IP Azure, e nega todos os logins que correspondam às regras de firewall IP ou virtual baseadas em rede. Auditoria, Negar, Deficientes 2.0.0
O acesso à rede pública deve ser desativado para servidores MySQL Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que o seu Base de Dados do Azure para MySQL só pode ser acedido a partir de um ponto final privado. Esta configuração desativa estritamente o acesso a partir de qualquer espaço de endereço público fora da gama IP Azure, e nega todos os logins que correspondam às regras de firewall IP ou virtual baseadas em rede. Auditoria, Negar, Deficientes 2.0.0
O acesso à rede pública deve ser desativado para servidores PostgreSQL Desativar a propriedade de acesso à rede pública para melhorar a segurança e garantir que o seu Base de Dados do Azure para PostgreSQL só pode ser acedido a partir de um ponto final privado. Esta configuração desativa o acesso a qualquer espaço de endereço público fora da gama IP Azure e nega todos os logins que correspondam às regras de firewall IP ou virtual baseadas em rede. Auditoria, Negar, Deficientes 2.0.0
As contas de armazenamento devem restringir o acesso à rede O acesso à rede às contas de armazenamento deve ser restringido. Configure as regras de rede para que apenas aplicações de redes permitidas possam aceder à conta de armazenamento. Para permitir ligações de clientes específicos da Internet ou no local, o acesso pode ser concedido ao tráfego a partir de redes virtuais específicas do Azure ou de intervalos de endereços IP da Internet pública Auditoria, Negar, Deficientes 1.1.1
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtuais Proteja as suas contas de armazenamento de ameaças potenciais usando regras de rede virtuais como método preferido em vez de filtragem baseada em IP. A desativação da filtragem baseada em IP impede que os IPs públicos acedam às suas contas de armazenamento. Auditoria, Negar, Deficientes 1.0.1
As contas de armazenamento devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados na sua conta de armazenamento, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Desativado 2.0.0
Modelos de construtores de imagem VM devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus recursos de construção de VM Image Builder, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditoria, Deficientes, Negar 1.1.0

Implementar firewall na borda da rede empresarial

ID: Azure Security Benchmark NS-3 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Todo o tráfego de Internet deve ser encaminhado através do seu Azure Firewall implantado Centro de Segurança do Azure identificou que algumas das suas sub-redes não estão protegidas com uma firewall da próxima geração. Proteja as suas sub-redes de potenciais ameaças, restringindo-lhes o acesso com Azure Firewall ou uma firewall de próxima geração suportada AuditIfNotExists, Desativado 3.0.0-pré-visualização
O encaminhamento IP na sua máquina virtual deve ser desativado Permitir o encaminhamento ip no NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O reencaminhamento IP raramente é necessário (por exemplo, quando se utiliza o VM como aparelho virtual de rede), pelo que este deve ser revisto pela equipa de segurança da rede. AuditIfNotExists, Desativado 3.0.0
As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time O acesso à rede Just In Time (JIT) será monitorizado por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
As portas de gestão devem ser fechadas nas suas máquinas virtuais Portas de gestão remota abertas estão expondo o seu VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam forçar credenciais brutas para obter acesso administrativo à máquina. AuditIfNotExists, Desativado 3.0.0

Implementar proteção DDOS

ID: Azure Security Benchmark NS-5 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A Padrão de Proteção Azure DDoS deve ser ativado A norma de proteção DDoS deve ser ativada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicações com um IP público. AuditIfNotExists, Desativado 3.0.0

Implementar firewall de aplicação web

ID: Azure Security Benchmark NS-6 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Azure Firewall de Aplicações Web deve ser ativado para pontos de entrada da porta frontal Azure Implementar a Azure Firewall de Aplicações Web (WAF) em frente a aplicações web viradas para o público para uma inspeção adicional do tráfego de entrada. Firewall de Aplicações Web (WAF) fornece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, tais como injeções DE SQL, Scripting cross-site, execuções de ficheiros locais e remotos. Também pode restringir o acesso às suas aplicações web por países, intervalos de endereços IP e outros parâmetros http(s) através de regras personalizadas. Auditoria, Negar, Deficientes 1.0.2
Firewall de Aplicações Web (WAF) deve ser ativado para Gateway de Aplicação Implementar a Azure Firewall de Aplicações Web (WAF) em frente a aplicações web viradas para o público para uma inspeção adicional do tráfego de entrada. Firewall de Aplicações Web (WAF) fornece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, tais como injeções DE SQL, Scripting cross-site, execuções de ficheiros locais e remotos. Também pode restringir o acesso às suas aplicações web por países, intervalos de endereços IP e outros parâmetros http(s) através de regras personalizadas. Auditoria, Negar, Deficientes 2.0.0

Simplificar a configuração de segurança da rede

ID: Azure Security Benchmark NS-7 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Recomendações de endurecimento de rede adaptativas devem ser aplicadas na internet face a máquinas virtuais Centro de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais da Internet e fornece recomendações de regras do Grupo de Segurança da Rede que reduzem a potencial superfície de ataque AuditIfNotExists, Desativado 3.0.0

Detetar e desativar serviços e protocolos inseguros

ID: Azure Security Benchmark NS-8 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações aplicações devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
As aplicações de função devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0

Garantir a segurança do Sistema de Nome de Domínio (DNS)

ID: Azure Security Benchmark NS-10 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0

Gestão de Identidades

Utilize o sistema centralizado de identidade e autenticação

ID: Azure Security Benchmark IM-1 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um administrador do Azure Ative Directory deve ser a provisionado para servidores SQL Fornecimento de auditoria de um administrador do Azure Ative Directory para o seu servidor SQL para permitir a autenticação Azure AD. Azure AD a autenticação permite uma gestão simplificada da permissão e uma gestão centralizada da identidade dos utilizadores de bases de dados e outros serviços da Microsoft AuditIfNotExists, Desativado 1.0.0
As contas da base de dados do Cosmos DB devem ter métodos de autenticação locais desativados A desativação dos métodos de autenticação local melhora a segurança, garantindo que as contas da base de dados da Cosmos DB requerem exclusivamente identidades do Azure Ative Directory para a autenticação. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Auditoria, Negar, Deficientes 1.0.0
Os clusters de tecido de serviço só devem utilizar o Azure Ative Directy para a autenticação do cliente Utilização de auditoria da autenticação do cliente apenas através do Azure Ative Directory in Service Fabric Auditoria, Negar, Deficientes 1.1.0

Gerir as identidades da aplicação de forma segura e automática

ID: Azure Security Benchmark IM-3 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações aplicações devem usar identidade gerida Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 3.0.0
As aplicações de função devem usar identidade gerida Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 3.0.0
A extensão de Configuração de Hóspedes das máquinas virtuais deve ser implementada com identidade gerida atribuída ao sistema A extensão de Configuração do Hóspede requer uma identidade gerida atribuída ao sistema. As máquinas virtuais Azure no âmbito desta política serão incompatíveis quando tiverem a extensão de Configuração do Hóspede instalada, mas não têm um sistema atribuído à identidade gerida. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, Desativado 1.0.1

Utilize controlos de autenticação fortes

ID: Azure Security Benchmark IM-6 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Contas com permissões de proprietários sobre recursos Azure devem ser ativadas por MFA A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com permissões do proprietário para evitar uma violação de contas ou recursos. AuditIfNotExists, Desativado 1.0.0
Contas com permissões de leitura sobre recursos Azure devem ser ativadas por MFA A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 1.0.0
Contas com permissões de escrita sobre recursos Azure devem ser ativadas por MFA A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de escrita para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 1.0.0
A autenticação nas máquinas Linux deve necessitar de chaves SSH Embora o próprio SSH forneça uma ligação encriptada, usar palavras-passe com SSH ainda deixa o VM vulnerável a ataques de força bruta. A opção mais segura para autenticar uma máquina virtual Azure Linux sobre SSH é com um par de chaves público-privado, também conhecido como teclas SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Desativado 3.0.0
A MFA deve ser ativada em contas com permissões de escrita na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de escrita para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0
MFA deve ser ativado em contas com permissões do proprietário na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com permissões do proprietário para evitar uma violação de contas ou recursos. AuditIfNotExists, Desativado 3.0.0
MFA deve ser ativado em contas com permissões de leitura na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

Acesso Privilegiado

Separar e limitar utilizadores altamente privilegiados/administrativos

ID: Azure Security Benchmark PROPRIEDADE PA-1 : Compartilhado

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um máximo de 3 proprietários deve ser designado para a sua subscrição Recomenda-se designar até 3 proprietários de subscrições para reduzir o potencial de violação por um proprietário comprometido. AuditIfNotExists, Desativado 3.0.0
Contas bloqueadas com permissões do proprietário sobre recursos da Azure devem ser removidas As contas pregridas com permissões do proprietário devem ser removidas da sua subscrição. Contas pregridadas são contas que foram impedidas de iniciar sessão. AuditIfNotExists, Desativado 1.0.0
Contas pregridas com permissões do proprietário devem ser removidas da sua subscrição As contas pregridas com permissões do proprietário devem ser removidas da sua subscrição. Contas pregridadas são contas que foram impedidas de iniciar sessão. AuditIfNotExists, Desativado 3.0.0
Contas externas com permissões do proprietário devem ser removidas da sua subscrição As contas externas com permissões do proprietário devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 3.0.0
As contas dos hóspedes com permissões do proprietário sobre os recursos do Azure devem ser removidas As contas externas com permissões do proprietário devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 1.0.0
Deve haver mais de um proprietário atribuído à sua subscrição Recomenda-se designar mais do que um proprietário de subscrição para ter o administrador a ter acesso a despedimentos. AuditIfNotExists, Desativado 3.0.0

Evite o acesso permanente a contas e permissões

ID: Azure Security Benchmark PROPRIEDADE PA-2 : Compartilhado

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time O acesso à rede Just In Time (JIT) será monitorizado por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0

Rever e conciliar o acesso dos utilizadores regularmente

ID: Azure Security Benchmark PA-4 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Contas bloqueadas com permissões do proprietário sobre recursos da Azure devem ser removidas As contas pregridas com permissões do proprietário devem ser removidas da sua subscrição. Contas pregridadas são contas que foram impedidas de iniciar sessão. AuditIfNotExists, Desativado 1.0.0
Contas bloqueadas com leitura e autoria de permissões sobre recursos da Azure devem ser removidas As contas pregridas devem ser removidas das suas subscrições. Contas pregridadas são contas que foram impedidas de iniciar sessão. AuditIfNotExists, Desativado 1.0.0
As contas precodidas devem ser removidas da sua subscrição As contas pregridas devem ser removidas das suas subscrições. Contas pregridadas são contas que foram impedidas de iniciar sessão. AuditIfNotExists, Desativado 3.0.0
Contas pregridas com permissões do proprietário devem ser removidas da sua subscrição As contas pregridas com permissões do proprietário devem ser removidas da sua subscrição. Contas pregridadas são contas que foram impedidas de iniciar sessão. AuditIfNotExists, Desativado 3.0.0
Contas externas com permissões do proprietário devem ser removidas da sua subscrição As contas externas com permissões do proprietário devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 3.0.0
As contas externas com permissões de leitura devem ser removidas da sua subscrição As contas externas com privilégios de leitura devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 3.0.0
As contas externas com permissões de escrita devem ser removidas da sua subscrição As contas externas com privilégios de escrita devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 3.0.0
As contas dos hóspedes com permissões do proprietário sobre os recursos do Azure devem ser removidas As contas externas com permissões do proprietário devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 1.0.0
As contas dos hóspedes com permissões de leitura sobre os recursos do Azure devem ser removidas As contas externas com privilégios de leitura devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 1.0.0
As contas dos hóspedes com permissões de escrita sobre os recursos do Azure devem ser removidas As contas externas com privilégios de escrita devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 1.0.0

Siga o princípio da administração (menos privilégio)

ID: Azure Security Benchmark PA-7 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar o uso das regras rbac personalizadas Auditar funções incorporadas como "Proprietário, Contribuidor, Leitor" em vez de funções personalizadas de RBAC, que são propensas a erros. A utilização de funções personalizadas é tratada como uma exceção e requer uma revisão rigorosa e modelação de ameaças Auditoria, Deficientes 1.0.0
Os Controlo de Acesso baseados em funções (RBAC) devem ser utilizados nos serviços kubernetes Para fornecer filtragem granular sobre as ações que os utilizadores podem executar, utilize Role-Based Controlo de Acesso (RBAC) para gerir permissões em Clusters de Serviços Kubernetes e configurar políticas de autorização relevantes. Auditoria, Deficientes 1.0.2

Proteção de Dados

Monitorizar anomalias e ameaças direcionadas a dados sensíveis

ID: Azure Security Benchmark DP-2 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para bases de dados relacionais de código aberto deve ser ativado O Azure Defender para bases de dados relacionais de código aberto deteta atividades anómalas que indiquem tentativas invulgares e potencialmente nocivas de aceder ou explorar bases de dados. Saiba mais sobre as capacidades do Azure Defender para bases de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: A ativação deste plano resultará em encargos para proteger as suas bases de dados relacionais de código aberto. Conheça os preços na página de preços do Centro de Segurança: https://aka.ms/pricing-security-center AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
O Azure Defender para SQL deve ser ativado para instâncias geridas sem proteção do SQL A auditoria a cada SQL Managed Instance sem segurança avançada de dados. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3

Criptografar dados sensíveis em trânsito

ID: Azure Security Benchmark DP-3 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações aplicações só devem estar acessíveis em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes, Negar 3.0.0
Serviço de Aplicações aplicações devem exigir apenas FTPS Ativar a aplicação do FTPS para uma maior segurança. AuditIfNotExists, Desativado 3.0.0
Serviço de Aplicações aplicações devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
A ligação SSL da Aplicação deve ser ativada para servidores de base de dados MySQL Base de Dados do Azure para MySQL suporta ligar o servidor Base de Dados do Azure para MySQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
A ligação SSL da Enforce deve ser ativada para servidores de base de dados PostgreSQL Base de Dados do Azure para PostgreSQL suporta ligar o servidor Base de Dados do Azure para PostgreSQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
As aplicações de função só devem estar acessíveis através do HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 3.0.0
As aplicações de função devem necessitar apenas de FTPS Ativar a aplicação do FTPS para uma maior segurança. AuditIfNotExists, Desativado 3.0.0
As aplicações de função devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
Os clusters Kubernetes só devem estar acessíveis em HTTPS A utilização do HTTPS garante a autenticação e protege os dados em trânsito contra ataques de escutas de camadas de rede. Esta capacidade está atualmente disponível para o Serviço Kubernetes (AKS), e na pré-visualização para AKS Engine e Azure Arc ativado Kubernetes. Para mais informações, visite https://aka.ms/kubepolicydoc auditoria, auditoria, negar, negar, desativar, desativar 7.0.0
Apenas devem ser ativadas ligações seguras à sua Cache do Azure para Redis Auditoria que permite apenas ligações via SSL para Cache do Azure para Redis. A utilização de ligações seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, as escutas e o sequestro de sessão Auditoria, Negar, Deficientes 1.0.0
A transferência segura para contas de armazenamento deve ser ativada Requisito de auditoria de transferência Segura na sua conta de armazenamento. A transferência segura é uma opção que obriga a sua conta de armazenamento a aceitar pedidos apenas a partir de ligações seguras (HTTPS). A utilização do HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, a escuta e o sequestro de sessão Auditoria, Negar, Deficientes 2.0.0
Os servidores web do Windows devem ser configurados para utilizar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas através da Internet, os seus servidores web devem utilizar a versão mais recente do protocolo criptográfico padrão da indústria, Transport Layer Security (TLS). O TLS assegura as comunicações através de uma rede utilizando certificados de segurança para encriptar uma ligação entre máquinas. AuditIfNotExists, Desativado 4.0.0

Ativar os dados em repouso encriptação por padrão

ID: Azure Security Benchmark DP-4 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As variáveis de conta de automação devem ser encriptadas É importante permitir a encriptação de ativos variáveis de conta de automação ao armazenar dados sensíveis Auditoria, Negar, Deficientes 1.1.0
Os clusters de tecido de serviço devem ter a propriedade ClusterProtectionLevel definida para EncryptAndSign O Tecido de Serviço fornece três níveis de proteção (Nenhum, Sinal e DesignAndSign) para comunicação nó-a-nó usando um certificado de cluster primário. Descreva o nível de proteção para garantir que todas as mensagens nó-a-nó sejam encriptadas e assinadas digitalmente Auditoria, Negar, Deficientes 1.1.0
A encriptação transparente de dados nas bases de dados SQL deve ser ativada A encriptação transparente de dados deve ser ativada para proteger os dados em repouso e cumprir os requisitos de conformidade AuditIfNotExists, Desativado 2.0.0
As máquinas virtuais devem encriptar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento Por padrão, o sistema operativo e os discos de dados de uma máquina virtual são encriptados em repouso utilizando chaves geridas pela plataforma. Os discos temporários, caches de dados e dados que fluem entre o cálculo e o armazenamento não são encriptados. Ignore esta recomendação se: 1. usando encriptação no hospedeiro, ou 2. a encriptação do lado do servidor no Managed Disks satisfaz os seus requisitos de segurança. Saiba mais em: Encriptação do lado do servidor do armazenamento do disco Azure: https://aka.ms/disksse, Diferentes ofertas de encriptação de discos: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Desativado 2.0.3

Utilize a opção chave gerida pelo cliente em dados na encriptação de repouso quando necessário

ID: Azure Security Benchmark DP-5 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As contas DB da Azure Cosmos devem usar chaves geridas pelo cliente para encriptar dados em repouso Utilize chaves geridas pelo cliente para gerir a encriptação no resto do seu Azure Cosmos DB. Por padrão, os dados são encriptados em repouso com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulatórias. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais em https://aka.ms/cosmosdb-cmk. auditoria, auditoria, negar, negar, desativar, desativar 1.1.0
Os espaços de trabalho de aprendizagem de máquinas Azure devem ser encriptados com uma chave gerida pelo cliente Gerir a encriptação no resto dos dados do espaço de trabalho Azure Machine Learning com chaves geridas pelo cliente. Por padrão, os dados do cliente são encriptados com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulamentares. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais em https://aka.ms/azureml-workspaces-cmk. Auditoria, Negar, Deficientes 1.0.3
As contas de Serviços Cognitivos devem permitir a encriptação de dados com uma chave gerida pelo cliente As chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulamentares. As chaves geridas pelo cliente permitem que os dados armazenados nos Serviços Cognitivos sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais sobre as chaves geridas pelo cliente em https://go.microsoft.com/fwlink/?linkid=2121321. Auditoria, Negar, Deficientes 2.0.0
Os registos de contentores devem ser encriptados com uma chave gerida pelo cliente Utilize as chaves geridas pelo cliente para gerir a encriptação no resto do conteúdo dos seus registos. Por padrão, os dados são encriptados em repouso com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulatórias. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais em https://aka.ms/acr/CMK. Auditoria, Negar, Deficientes 1.1.2
Os servidores MySQL devem usar chaves geridas pelo cliente para encriptar dados em repouso Utilize chaves geridas pelo cliente para gerir a encriptação no resto dos seus servidores MySQL. Por padrão, os dados são encriptados em repouso com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulatórias. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. AuditIfNotExists, Desativado 1.0.4
Os servidores PostgreSQL devem usar as chaves geridas pelo cliente para encriptar dados em repouso Utilize chaves geridas pelo cliente para gerir a encriptação no resto dos seus servidores PostgreSQL. Por padrão, os dados são encriptados em repouso com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulatórias. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. AuditIfNotExists, Desativado 1.0.4
As instâncias geridas pela SQL devem usar chaves geridas pelo cliente para encriptar dados em repouso Implementar a Encriptação de Dados Transparentes (TDE) com a sua própria chave proporciona-lhe uma maior transparência e controlo sobre o Protetor TDE, maior segurança com um serviço externo apoiado pelo HSM e promoção da separação de direitos. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. Auditoria, Negar, Deficientes 2.0.0
Os servidores SQL devem usar as chaves geridas pelo cliente para encriptar dados em repouso Implementar a Encriptação de Dados Transparentes (TDE) com a sua própria chave proporciona uma maior transparência e controlo sobre o Protetor TDE, uma maior segurança com um serviço externo apoiado pelo HSM e a promoção da separação de direitos. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. Auditoria, Negar, Deficientes 2.0.1
As contas de armazenamento devem usar a chave gerida pelo cliente para encriptação Proteja a sua conta de armazenamento de bolhas e ficheiros com maior flexibilidade utilizando as teclas geridas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. A utilização de teclas geridas pelo cliente fornece capacidades adicionais para controlar a rotação da chave de encriptação ou apagar dados criptograficamente. Auditoria, Deficientes 1.0.3

Utilize um processo de gestão de chaves seguro

ID: Azure Security Benchmark DP-6 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Key Vault chaves devem ter uma data de validade As teclas criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre proporcionam a um potencial intruso mais tempo para comprometer a chave. É uma prática de segurança recomendada para definir datas de validade em teclas criptográficas. Auditoria, Negar, Deficientes 1.0.2
Key Vault segredos devem ter uma data de validade Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um potencial atacante mais tempo para comprometê-los. É uma prática de segurança recomendada para definir datas de validade em segredos. Auditoria, Negar, Deficientes 1.0.2

Utilize um processo de gestão de certificados seguro

ID: Azure Security Benchmark DP-7 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Os certificados devem ter o período máximo de validade especificado Gerencie os seus requisitos de conformidade organizacional especificando o tempo máximo de tempo que um certificado pode ser válido dentro do seu cofre de chaves. auditoria, auditoria, negar, negar, desativar, desativar 2.2.0-pré-visualização

Garantir a segurança do repositório de chaves e certificados

ID: Azure Security Benchmark DP-8 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O ponto final privado deve ser configurado para Key Vault O link privado fornece uma forma de ligar Key Vault aos seus recursos Azure sem enviar tráfego através da internet pública. A ligação privada fornece defesa em profundidade contra a exfiltração de dados. Auditoria, Negar, Deficientes 1.1.0-pré-visualização
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Key Vault deve ter firewall ativada Ativar a firewall do cofre de teclas de modo a que o cofre da chave não esteja acessível por defeito a quaisquer IPs públicos. Em seguida, pode configurar gamas ip específicas para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security Auditoria, Negar, Deficientes 3.0.0
Os cofres-chave devem ter proteção de purga ativada A eliminação maliciosa de um cofre chave pode levar à perda permanente de dados. Um infiltrado malicioso na sua organização pode potencialmente apagar e purgar cofres de chaves. A proteção de purga protege-o de ataques de infiltrados, impondo um período de retenção obrigatório para cofres-chave apagados suaves. Ninguém dentro da sua organização ou microsoft será capaz de limpar os seus cofres chave durante o período de retenção de eliminação suave. Auditoria, Negar, Deficientes 2.0.0
As abóbadas-chave devem ter a eliminação suave ativada A eliminação de um cofre de chaves sem eliminação suave ativada elimina permanentemente todos os segredos, chaves e certificados armazenados no cofre da chave. A eliminação acidental de um cofre chave pode levar à perda permanente de dados. A eliminação suave permite-lhe recuperar um cofre de teclas acidentalmente eliminado durante um período de retenção configurável. Auditoria, Negar, Deficientes 3.0.0
Os registos de recursos em Key Vault devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar pistas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0

Gestão de Recursos

Utilize apenas serviços aprovados

ID: Azure Security Benchmark AM-2 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Contas de armazenamento devem ser migradas para novos recursos Resource Manager Azure Utilize novos Resource Manager Azure para as suas contas de armazenamento para fornecer melhorias de segurança tais como: controlo de acesso mais forte (RBAC), melhor auditoria, implementação e governação baseadas em Azure Resource Manager, acesso a identidades geridas, acesso a cofre chave para segredos, autenticação baseada em Azure AD e suporte para tags e grupos de recursos para uma segurança mais fácil gestão Auditoria, Negar, Deficientes 1.0.0
Máquinas virtuais devem ser migradas para novos recursos Resource Manager Azure Utilize novos Resource Manager Azure para as suas máquinas virtuais para fornecer melhorias de segurança tais como: controlo de acesso mais forte (RBAC), melhor auditoria, implementação e governação baseadas em Azure Resource Manager, acesso a identidades geridas, acesso a cofre chave para segredos, autenticação baseada em Azure AD e suporte para tags e grupos de recursos para facilitar a segurança gestão Auditoria, Negar, Deficientes 1.0.0

Utilize apenas aplicações aprovadas em máquina virtual

ID: Azure Security Benchmark AM-5 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os controlos de aplicação adaptativos para definir aplicações seguras devem ser ativados nas suas máquinas Ative os controlos de aplicação para definir a lista de aplicações conhecidas e seguras em execução nas suas máquinas e alerte-o quando outras aplicações são executadas. Isto ajuda a endurecer as suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das suas regras, o Security Center utiliza machine learning para analisar as aplicações em funcionamento em cada máquina e sugerir a lista de aplicações conhecidas e seguras. AuditIfNotExists, Desativado 3.0.0
As regras da lista de admissões na sua política de controlo de aplicações adaptativas devem ser atualizadas Monitorize as alterações de comportamento em grupos de máquinas configuradas para auditoria através dos controlos de aplicação adaptativas da Centro de Segurança do Azure. O Security Center utiliza machine learning para analisar os processos de funcionamento das suas máquinas e sugere uma lista de aplicações conhecidas e seguras. Estas são apresentadas como aplicações recomendadas para permitir políticas de controlo de aplicações adaptativas. AuditIfNotExists, Desativado 3.0.0

Registos e Deteção de Ameaças

Ativar capacidades de deteção de ameaças

ID: Azure Security Benchmark LT-1 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Azure Arc habilitado a clusters Kubernetes deve ter Microsoft Defender para extensão Cloud instalada A extensão do Microsoft Defender for Cloud para O Arco Azure fornece proteção contra ameaças para os clusters Kubernetes ativados pelo Arco. A extensão recolhe dados de todos os nós do cluster e envia-os para o Azure Defender para kubernetes backend na nuvem para mais análise. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Desativado 6.0.0-pré-visualização
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Defender para bases de dados relacionais de código aberto deve ser ativado O Azure Defender para bases de dados relacionais de código aberto deteta atividades anómalas que indiquem tentativas invulgares e potencialmente nocivas de aceder ou explorar bases de dados. Saiba mais sobre as capacidades do Azure Defender para bases de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: A ativação deste plano resultará em encargos para proteger as suas bases de dados relacionais de código aberto. Conheça os preços na página de preços do Centro de Segurança: https://aka.ms/pricing-security-center AuditIfNotExists, Desativado 1.0.0
Azure Defender para Resource Manager deve ser ativado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
O Azure Defender para SQL deve ser ativado para servidores de SQL do Azure desprotegidos Auditar servidores SQL sem Segurança Avançada de Dados AuditIfNotExists, Desativado 2.0.1
O Azure Defender para SQL deve ser ativado para instâncias geridas sem proteção do SQL A auditoria a cada SQL Managed Instance sem segurança avançada de dados. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
Azure Kubernetes Service clusters devem ter perfil defender ativado O Microsoft Defender for Containers fornece capacidades de segurança kubernetes nativas da nuvem, incluindo endurecimento do ambiente, proteção da carga de trabalho e proteção do tempo de execução. Quando ativa o "SecurityProfile.AzureDefender" no seu Azure Kubernetes Service cluster, é implantado um agente no seu cluster para recolher dados de eventos de segurança. Saiba mais sobre o Microsoft Defender para Contentores em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Auditoria, Deficientes 2.0.0
Microsoft Defender para contentores deve ser ativado O Microsoft Defender for Containers fornece proteções de endurecimento, vulnerabilidade e tempo de execução para os ambientes Azure, híbrido e multi-cloud Kubernetes. AuditIfNotExists, Desativado 1.0.0
Windows Defender Exploit Guard deve ser ativado nas suas máquinas Windows Defender Exploit Guard usa o agente de configuração de Azure Policy convidado. A Exploit Guard tem quatro componentes que são projetados para bloquear dispositivos contra uma grande variedade de vetores de ataque e comportamentos de bloqueio geralmente usados em ataques de malware, ao mesmo tempo que permite às empresas equilibrar os seus requisitos de risco de segurança e produtividade (apenas Windows). AuditIfNotExists, Desativado 2.0.0

Permitir a deteção de ameaças para a gestão de identidade e acesso

ID: Azure Security Benchmark LT-2 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Azure Arc habilitado a clusters Kubernetes deve ter Microsoft Defender para extensão Cloud instalada A extensão do Microsoft Defender for Cloud para O Arco Azure fornece proteção contra ameaças para os clusters Kubernetes ativados pelo Arco. A extensão recolhe dados de todos os nós do cluster e envia-os para o Azure Defender para kubernetes backend na nuvem para mais análise. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Desativado 6.0.0-pré-visualização
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Defender para bases de dados relacionais de código aberto deve ser ativado O Azure Defender para bases de dados relacionais de código aberto deteta atividades anómalas que indiquem tentativas invulgares e potencialmente nocivas de aceder ou explorar bases de dados. Saiba mais sobre as capacidades do Azure Defender para bases de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: A ativação deste plano resultará em encargos para proteger as suas bases de dados relacionais de código aberto. Conheça os preços na página de preços do Centro de Segurança: https://aka.ms/pricing-security-center AuditIfNotExists, Desativado 1.0.0
Azure Defender para Resource Manager deve ser ativado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
O Azure Defender para SQL deve ser ativado para servidores de SQL do Azure desprotegidos Auditar servidores SQL sem Segurança Avançada de Dados AuditIfNotExists, Desativado 2.0.1
O Azure Defender para SQL deve ser ativado para instâncias geridas sem proteção do SQL A auditoria a cada SQL Managed Instance sem segurança avançada de dados. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
Azure Kubernetes Service clusters devem ter perfil defender ativado O Microsoft Defender for Containers fornece capacidades de segurança kubernetes nativas da nuvem, incluindo endurecimento do ambiente, proteção da carga de trabalho e proteção do tempo de execução. Quando ativa o "SecurityProfile.AzureDefender" no seu Azure Kubernetes Service cluster, é implantado um agente no seu cluster para recolher dados de eventos de segurança. Saiba mais sobre o Microsoft Defender para Contentores em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Auditoria, Deficientes 2.0.0
Microsoft Defender para contentores deve ser ativado O Microsoft Defender for Containers fornece proteções de endurecimento, vulnerabilidade e tempo de execução para os ambientes Azure, híbrido e multi-cloud Kubernetes. AuditIfNotExists, Desativado 1.0.0
Windows Defender Exploit Guard deve ser ativado nas suas máquinas Windows Defender Exploit Guard usa o agente de configuração de Azure Policy convidado. A Exploit Guard tem quatro componentes que são projetados para bloquear dispositivos contra uma grande variedade de vetores de ataque e comportamentos de bloqueio geralmente usados em ataques de malware, ao mesmo tempo que permite às empresas equilibrar os seus requisitos de risco de segurança e produtividade (apenas Windows). AuditIfNotExists, Desativado 2.0.0

Permitir a exploração de registos para investigação de segurança

ID: Azure Security Benchmark LT-3 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações aplicações devem ter registos de recursos ativados Auditoria habili possibilitando registos de recursos na aplicação. Isto permite-lhe recriar pistas de atividade para fins de investigação se ocorrer um incidente de segurança ou se a sua rede estiver comprometida. AuditIfNotExists, Desativado 2.0.1
A auditoria no servidor SQL deve ser ativada A auditoria ao seu SQL Server deve ser ativada para rastrear as atividades de base de dados em todas as bases de dados do servidor e guardá-las num registo de auditoria. AuditIfNotExists, Desativado 2.0.0
Os registos de recursos na Azure Data Lake Store devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Azure Stream Analytics devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos nas contas do Lote devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Data Lake Analytics devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Event Hub devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Hub IoT devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 3.0.1
Os registos de recursos em Key Vault devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar pistas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Aplicações Lógicas devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos nos serviços de pesquisa devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Service Bus devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Conjuntos de Dimensionamento de Máquinas Virtuais devem ser ativados Recomenda-se que os Registos possam ser recriados quando são necessárias investigações em caso de incidente ou de compromisso. AuditIfNotExists, Desativado 2.1.0

Ativar a exploração de rede para investigação de segurança

ID: Azure Security Benchmark LT-4 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais do Windows O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização

Centralizar a gestão e análise de registos de segurança

ID: Azure Security Benchmark LT-5 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc Esta política audita máquinas Linux Azure Arc se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1 pré-visualização
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Windows Azure Arc Esta política audita as máquinas Windows Azure Arc se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1 pré-visualização
O fornecimento automático do agente Log Analytics deve ser ativado na sua subscrição Para monitorizar vulnerabilidades e ameaças de segurança, Centro de Segurança do Azure recolhe dados das suas máquinas virtuais Azure. Os dados são recolhidos pelo agente Log Analytics, anteriormente conhecido como O Agente de Monitorização da Microsoft (MMA), que lê várias configurações relacionadas com a segurança e registos de eventos da máquina e copia os dados para o seu espaço de trabalho Log Analytics para análise. Recomendamos que o fornecimento automático de auto-implantar automaticamente o agente em todos os VMs Azure suportados e quaisquer novos que sejam criados. AuditIfNotExists, Desativado 1.0.1
As máquinas Linux devem ter o agente Log Analytics instalado no Arco Azure As máquinas não são compatíveis se o agente Log Analytics não for instalado no servidor Linux ativado pelo Arco Azure. AuditIfNotExists, Desativado 1.1.0
O agente Log Analytics deve ser instalado na sua máquina virtual para monitorização Centro de Segurança do Azure Esta política audita quaisquer máquinas virtuais Windows/Linux (VMs) se o agente Log Analytics não for instalado, que o Security Center utiliza para monitorizar vulnerabilidades e ameaças de segurança AuditIfNotExists, Desativado 1.0.0
O agente Log Analytics deve ser instalado nos conjuntos de escala de máquinas virtuais para monitorização Centro de Segurança do Azure O Security Center recolhe dados das suas máquinas virtuais Azure (VMs) para monitorizar vulnerabilidades e ameaças de segurança. AuditIfNotExists, Desativado 1.0.0
As máquinas do Windows devem ter o agente Log Analytics instalado no Azure Arc As máquinas não são compatíveis se o agente Log Analytics não for instalado no servidor de janelas ativado pelo Arco Azure. AuditIfNotExists, Desativado 2.0.0

Configure a retenção de armazenamento de madeira

ID: Azure Security Benchmark LT-6 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os servidores SQL com auditoria ao destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou superior Para efeitos de investigação de incidentes, recomendamos definir a retenção de dados para a sua SQL Server' auditoria ao destino da conta de armazenamento para pelo menos 90 dias. Confirme que está a cumprir as regras de retenção necessárias para as regiões em que está a operar. Isto é, por vezes, necessário para o cumprimento das normas regulamentares. AuditIfNotExists, Desativado 3.0.0

Resposta a Incidentes

Preparação - notificação de incidente de configuração

ID: Azure Security Benchmark IR-2 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Email notificação para alertas de alta gravidade deve ser ativada Para garantir que as pessoas relevantes da sua organização são notificadas quando há uma potencial falha de segurança numa das suas subscrições, ative notificações de e-mail para alertas de alta gravidade no Centro de Segurança. AuditIfNotExists, Desativado 1.0.1
Email notificação ao proprietário da subscrição para alertas de alta gravidade deve ser ativado Para garantir que os seus proprietários de subscrição são notificados quando houver uma potencial falha de segurança na sua subscrição, desemote notificações de e-mail aos proprietários de subscrições para alertas de alta gravidade no Security Center. AuditIfNotExists, Desativado 2.0.0
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança Para garantir que as pessoas relevantes da sua organização são notificadas quando há uma potencial falha de segurança numa das suas subscrições, desaça um contacto de segurança para receber notificações de e-mail do Security Center. AuditIfNotExists, Desativado 1.0.1

Deteção e análise - criar incidentes baseados em alertas de alta qualidade

ID: Azure Security Benchmark IR-3 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Defender para bases de dados relacionais de código aberto deve ser ativado O Azure Defender para bases de dados relacionais de código aberto deteta atividades anómalas que indiquem tentativas invulgares e potencialmente nocivas de aceder ou explorar bases de dados. Saiba mais sobre as capacidades do Azure Defender para bases de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: A ativação deste plano resultará em encargos para proteger as suas bases de dados relacionais de código aberto. Conheça os preços na página de preços do Centro de Segurança: https://aka.ms/pricing-security-center AuditIfNotExists, Desativado 1.0.0
Azure Defender para Resource Manager deve ser ativado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
O Azure Defender para SQL deve ser ativado para servidores de SQL do Azure desprotegidos Auditar servidores SQL sem Segurança Avançada de Dados AuditIfNotExists, Desativado 2.0.1
O Azure Defender para SQL deve ser ativado para instâncias geridas sem proteção do SQL A auditoria a cada SQL Managed Instance sem segurança avançada de dados. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
Microsoft Defender para contentores deve ser ativado O Microsoft Defender for Containers fornece proteções de endurecimento, vulnerabilidade e tempo de execução para os ambientes Azure, híbrido e multi-cloud Kubernetes. AuditIfNotExists, Desativado 1.0.0

Deteção e análise - investigue um incidente

ID: Azure Security Benchmark IR-4 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Observador de Rede deve ser ativado Observador de Rede é um serviço regional que lhe permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, e a partir de Azure. A monitorização do nível do cenário permite diagnosticar problemas no final da vista do nível da rede. É necessário ter um grupo de recursos de observadores de rede a ser criado em todas as regiões onde uma rede virtual está presente. Um alerta é ativado se um grupo de recursos de observadores de rede não estiver disponível numa determinada região. AuditIfNotExists, Desativado 3.0.0

Deteção e análise - priorizar incidentes

ID: Azure Security Benchmark IR-5 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Defender para bases de dados relacionais de código aberto deve ser ativado O Azure Defender para bases de dados relacionais de código aberto deteta atividades anómalas que indiquem tentativas invulgares e potencialmente nocivas de aceder ou explorar bases de dados. Saiba mais sobre as capacidades do Azure Defender para bases de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: A ativação deste plano resultará em encargos para proteger as suas bases de dados relacionais de código aberto. Conheça os preços na página de preços do Centro de Segurança: https://aka.ms/pricing-security-center AuditIfNotExists, Desativado 1.0.0
Azure Defender para Resource Manager deve ser ativado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
O Azure Defender para SQL deve ser ativado para servidores de SQL do Azure desprotegidos Auditar servidores SQL sem Segurança Avançada de Dados AuditIfNotExists, Desativado 2.0.1
O Azure Defender para SQL deve ser ativado para instâncias geridas sem proteção do SQL A auditoria a cada SQL Managed Instance sem segurança avançada de dados. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
Microsoft Defender para contentores deve ser ativado O Microsoft Defender for Containers fornece proteções de endurecimento, vulnerabilidade e tempo de execução para os ambientes Azure, híbrido e multi-cloud Kubernetes. AuditIfNotExists, Desativado 1.0.0

Gestão da Postura e da Vulnerabilidade

Auditar e impor configurações seguras

ID: Azure Security Benchmark PV-2 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Azure Arc habilitado a clusters Kubernetes deve ter a extensão Azure Policy instalada A extensão Azure Policy para a Azure Arc fornece aplicações e salvaguardas em escala no seu Arco permitiu que os clusters kubernetes permitissem que os clusters kubernetes permitissem que os clusters kubernetes se centralizassem de forma centralizada e consistente. Saiba mais em https://aka.ms/akspolicydoc. AuditIfNotExists, Desativado 1.0.0-pré-visualização
[Pré-visualização]: Os clusters de Kubernetes devem portar a implementação de imagens vulneráveis Proteja os seus aglomerados Kubernetes e cargas de trabalho de contentores contra potenciais ameaças, restringindo a colocação de imagens de contentores com componentes de software vulneráveis. Utilize o Azure Defender CI/CD scanning (https://aka.ms/AzureDefenderCICDscanning) e o Azure defender para registos de contentores (https://aka.ms/AzureDefenderForContainerRegistries) para identificar e corrigir vulnerabilidades antes da implantação. Pré-requisito de avaliação: Policy Addon e Azure Defender Profile. Apenas aplicável para clientes privados de pré-visualização. Auditoria, Negar, Deficientes 2.0.0-pré-visualização
Serviço de Aplicações aplicações devem ter "Certificados de Cliente (Certificados de cliente incoming)" ativados Os certificados de cliente permitem que a app solicite um certificado para pedidos de entrada. Apenas os clientes que tenham um certificado válido poderão chegar à aplicação. Auditoria, Deficientes 2.0.0
Serviço de Aplicações apps devem ter depuragem remota desligada A depuragem remota requer a abertura de portas de entrada numa aplicação Serviço de Aplicações. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 2.0.0
Serviço de Aplicações aplicações não devem ter CORS configurado para permitir que todos os recursos acedam às suas apps A Partilha de Recursos de Origem Cruzada (CORS) não deve permitir que todos os domínios acedam à sua aplicação. Permitir que apenas os domínios necessários interajam com a sua aplicação. AuditIfNotExists, Desativado 2.0.0
Azure Policy O Add-on para o serviço Kubernetes (AKS) deve ser instalado e ativado nos seus clusters Azure Policy Add-on for Kubernetes service (AKS) estende gatekeeper v3, um webhook do controlador de admissão para Open Policy Agent (OPA), para aplicar aplicações e salvaguardas em escala nos seus clusters de forma centralizada e consistente. Auditoria, Deficientes 1.0.2
As aplicações de função devem ter "Certificados de Cliente (certificados de cliente incoming)" ativados Os certificados de cliente permitem que a app solicite um certificado para pedidos de entrada. Apenas os clientes com certificados válidos poderão chegar à aplicação. Auditoria, Deficientes 2.0.0
As aplicações de função devem ter depurado remoto A depuragem remota requer a abertura de portas de entrada em aplicações de função. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 2.0.0
As aplicações de função não devem ter CORS configurado para permitir que todos os recursos acedam às suas apps A Partilha de Recursos de Origem Cruzada (CORS) não deve permitir que todos os domínios acedam à sua aplicação Function. Permitir que apenas os domínios necessários interajam com a sua aplicação Função. AuditIfNotExists, Desativado 2.0.0
Os contentores de agrupamento kubernetes CPU e os limites de recursos de memória não devem exceder os limites especificados Aplique os limites de CPU do contentor e dos recursos de memória para evitar ataques de exaustão de recursos num cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 8.0.0
Os recipientes de cluster Kubernetes não devem partilhar o ID do processo de anfitrião ou o espaço de nomes do IPC anfitrião Bloqueie os recipientes de pod de partilhar o espaço de identificação do processo de anfitrião e hospedar o espaço de nome IPC num cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3 que se destinam a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 4.0.1
Os contentores de agrupamento Kubernetes só devem utilizar perfis AppArmor autorizados Os recipientes só devem utilizar perfis AppArmor permitidos num cluster Kubernetes. Esta recomendação faz parte das Políticas de Segurança da Pod que se destinam a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 5.0.0
Os recipientes de agrupamento kubernetes só devem utilizar capacidades permitidas Restringir as capacidades para reduzir a superfície de ataque de contentores num aglomerado de Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9 que se destinam a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 5.0.1
Os contentores de agrupamento kubernetes só devem usar imagens permitidas Utilize imagens de registos fidedignos para reduzir o risco de exposição do cluster Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 8.0.0
Os recipientes de agrupamento de Kubernetes devem funcionar com um sistema de ficheiros de raiz apenas lido Executar recipientes com um sistema de ficheiros de raiz apenas lido para proteger contra alterações no tempo de execução, com binários maliciosos adicionados ao PATH num cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 5.0.0
Os volumes de hospedeiros de cluster Kubernetes só devem utilizar caminhos de hospedeiro permitidos O volume do hostPath limita-se aos caminhos de hospedeiro permitidos num Cluster Kubernetes. Esta recomendação faz parte das Políticas de Segurança da Pod que se destinam a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 5.0.1
As cápsulas e contentores de agrupamento kubernetes só devem funcionar com iDs de utilizador e grupo aprovados Controle o utilizador, grupo primário, grupo suplementar e iDs do grupo de sistemas de ficheiros que as cápsulas e recipientes podem usar para funcionar num Cluster Kubernetes. Esta recomendação faz parte das Políticas de Segurança da Pod que se destinam a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 5.0.2
As cápsulas de cluster Kubernetes só devem utilizar a rede de anfitriões aprovada e a gama portuária Restringir o acesso do casulo à rede de anfitriões e à gama de portas de hospedeiro admissível num cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 5.0.0
Os serviços de cluster kubernetes só devem ouvir em portas permitidas Restringir os serviços para ouvir apenas em portas permitidas para garantir o acesso ao cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 7.0.0
O cluster Kubernetes não deve permitir contentores privilegiados Não permita a criação de contentores privilegiados num aglomerado de Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 8.0.0
Os clusters Kubernetes devem desativar as credenciais de API de automontagem Desative as credenciais de API para evitar que um recurso pod potencialmente comprometido para executar comandos API contra clusters Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 3.0.1
Os clusters do Kubernetes não devem permitir o escalamento de privilégios dos contentores Não permita que os recipientes corram com uma escalada de privilégio para enraizar num aglomerado de Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 6.0.1
Os clusters Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN Para reduzir a superfície de ataque dos seus contentores, restringir CAP_SYS_ADMIN capacidades linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 4.0.0
Os clusters Kubernetes não devem usar o espaço de nome padrão Impedir a utilização do espaço de nome predefinido nos clusters Kubernetes para proteger contra o acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 3.0.1

Auditar e impor configurações seguras para recursos computatórios

ID: Azure Security Benchmark PV-4 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: A extensão do Attestation do hóspede deve ser instalada em máquinas virtuais linux suportadas Instale a extensão do Attestation do Guest em máquinas virtuais suportadas do Linux para permitir que Centro de Segurança do Azure atestar e monitorizar proactivamente a integridade do arranque. Uma vez instalado, a integridade do arranque será atesta através do Atestado Remoto. Esta avaliação aplica-se apenas a máquinas virtuais Linux ativadas por lançamentos fidedignos. AuditIfNotExists, Desativado 5.0.0-pré-visualização
[Pré-visualização]: A extensão do Attestation do hóspede deve ser instalada em conjuntos de escala de máquinas virtuais suportados do Linux Instale a extensão de Attestation do Hóspede em conjuntos de escala de máquinas virtuais suportados para permitir que Centro de Segurança do Azure ateste e monitorize proativamente a integridade do arranque. Uma vez instalado, a integridade do arranque será atesta através do Atestado Remoto. Esta avaliação aplica-se apenas aos conjuntos de escala de máquina virtual do Linux ativados por um lançamento fidedigno. AuditIfNotExists, Desativado 4.0.0-pré-visualização
[Pré-visualização]: A extensão do Attestation do hóspede deve ser instalada em máquinas virtuais suportadas do Windows Instale a extensão do Attestation do Hóspede em máquinas virtuais suportadas para permitir que Centro de Segurança do Azure atestar e monitorizar proactivamente a integridade do arranque. Uma vez instalado, a integridade do arranque será atesta através do Atestado Remoto. Esta avaliação aplica-se apenas a máquinas virtuais ativadas por lançamento fidedigno. AuditIfNotExists, Desativado 3.0.0-pré-visualização
[Pré-visualização]: A extensão do Attestation do hóspede deve ser instalada em conjuntos de escala de máquinas virtuais suportadas do Windows Instale a extensão do Attestation do Hóspede em conjuntos de escala de máquinas virtuais suportadas para permitir que Centro de Segurança do Azure atestar e monitorizar proactivamente a integridade do arranque. Uma vez instalado, a integridade do arranque será atesta através do Atestado Remoto. Esta avaliação aplica-se apenas aos conjuntos de escala de máquinas virtuais ativados por lançamento fidedignos. AuditIfNotExists, Desativado 2.0.0-pré-visualização
[Pré-visualização]: O Arranque Seguro deve ser ativado em máquinas virtuais suportadas do Windows Ativar o Arranque Seguro em máquinas virtuais suportadas do Windows para atenuar alterações maliciosas e não autorizadas na cadeia de arranque. Uma vez ativados, apenas os condutores de botas de confiança, os condutores de núcleo e kernel serão autorizados a correr. Esta avaliação aplica-se apenas a máquinas virtuais ativadas por lançamento fidedigno do Windows. Auditoria, Deficientes 3.0.0-pré-visualização
[Pré-visualização]: vTPM deve ser ativado em máquinas virtuais suportadas Ativar o dispositivo TPM virtual em máquinas virtuais suportadas para facilitar o Arranque Medido e outras funcionalidades de segurança do SO que requerem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade do arranque. Esta avaliação aplica-se apenas a máquinas virtuais ativadas por lançamento fidedigno. Auditoria, Deficientes 2.0.0-pré-visualização
A extensão de configuração do hóspede deve ser instalada nas suas máquinas Para garantir configurações seguras das definições no convidado da sua máquina, instale a extensão de Configuração do Hóspede. As definições no hóspede que os monitores de extensão incluem a configuração do sistema operativo, a configuração ou presença da aplicação e as definições do ambiente. Uma vez instaladas, as políticas in-guest estarão disponíveis, tais como "Windows Exploit guard deve ser ativada". Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, Desativado 1.0.2
As máquinas Linux devem satisfazer os requisitos para a linha de segurança do cálculo Azure Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança do cálculo Azure. AuditIfNotExists, Desativado 2.0.0
A extensão de Configuração de Hóspedes das máquinas virtuais deve ser implementada com identidade gerida atribuída ao sistema A extensão de Configuração do Hóspede requer uma identidade gerida atribuída ao sistema. As máquinas virtuais Azure no âmbito desta política serão incompatíveis quando tiverem a extensão de Configuração do Hóspede instalada, mas não têm um sistema atribuído à identidade gerida. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, Desativado 1.0.1
As máquinas windows devem satisfazer os requisitos da linha de segurança do cálculo Azure Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança do cálculo Azure. AuditIfNotExists, Desativado 2.0.0

Realizar avaliações de vulnerabilidade

ID: Azure Security Benchmark PV-5 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidades deve ser ativada nas suas máquinas virtuais Audita máquinas virtuais para detetar se estão a executar uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de risco cibernético e de segurança é a identificação e análise de vulnerabilidades. O nível de preços padrão da Centro de Segurança do Azure inclui a verificação de vulnerabilidades para as suas máquinas virtuais sem custos adicionais. Além disso, o Security Center pode implantar automaticamente esta ferramenta para si. AuditIfNotExists, Desativado 3.0.0
A avaliação da vulnerabilidade deve ser ativada em SQL Managed Instance A auditoria a cada SQL Managed Instance que não tem avaliações de vulnerabilidade recorrentes ativadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir potenciais vulnerabilidades de base de dados. AuditIfNotExists, Desativado 1.0.1
A avaliação da vulnerabilidade deve ser ativada nos seus servidores SQL A auditoria SQL do Azure servidores que não têm verificações de avaliação de vulnerabilidade recorrentes ativadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir potenciais vulnerabilidades de base de dados. AuditIfNotExists, Desativado 2.0.0

Rápida e automaticamente remediar vulnerabilidades

ID: Azure Security Benchmark PV-6 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: As máquinas devem ser configuradas para verificar periodicamente as atualizações do sistema em falta Para garantir que as avaliações periódicas para atualizações do sistema em falta são ativadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. Auditoria, Negar, Deficientes 1.0.0-pré-visualização
[Pré-visualização]: As atualizações do sistema devem ser instaladas nas suas máquinas (alimentadas pelo Update Center) As suas máquinas estão a perder sistema, segurança e atualizações críticas. As atualizações de software incluem frequentemente patches críticos para buracos de segurança. Estes buracos são frequentemente explorados em ataques de malware, pelo que é vital manter o seu software atualizado. Para instalar todas as correções pendentes e fixar as suas máquinas, siga os passos de reparação. AuditIfNotExists, Desativado 1.0.0-pré-visualização
Serviço de Aplicações aplicações que usam Java devem usar a mais recente 'versão Java' Periodicamente, as versões mais recentes são lançadas para o software Java, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. A utilização da versão java mais recente para aplicações web é recomendada de forma a tirar partido das correções de segurança, caso existam, e/ou novas funcionalidades da versão mais recente. Atualmente, esta política aplica-se apenas às aplicações Linux. AuditIfNotExists, Desativado 3.0.0
Serviço de Aplicações aplicações que usam PHP devem usar a mais recente 'versão PHP' Periodicamente, as versões mais recentes são lançadas para software PHP, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Utilizando a versão PHP mais recente para Serviço de Aplicações aplicações é recomendado para aproveitar as correções de segurança, caso existam, e/ou novas funcionalidades da versão mais recente. Atualmente, esta política aplica-se apenas às aplicações Linux. AuditIfNotExists, Desativado 3.0.0
Serviço de Aplicações aplicações que usam Python devem usar a mais recente 'versão Python' Periodicamente, as versões mais recentes são lançadas para o software Python, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Utilizando a versão mais recente do Python para Serviço de Aplicações aplicações é recomendado para tirar partido das correções de segurança, caso existam, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas às aplicações Linux. AuditIfNotExists, Desativado 4.0.0
Imagens de registo de contentores devem ter conclusões de vulnerabilidade resolvidas A avaliação da vulnerabilidade da imagem do contentor verifica o seu registo de vulnerabilidades de segurança e expõe resultados detalhados para cada imagem. A resolução das vulnerabilidades pode melhorar consideravelmente a postura de segurança dos seus contentores e protegê-las de ataques. AuditIfNotExists, Desativado 2.0.1
As aplicações de função que usam Java devem usar a mais recente 'versão Java' Periodicamente, as versões mais recentes são lançadas para o software Java, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. A utilização da versão java mais recente para aplicações function é recomendada de forma a tirar partido das correções de segurança, caso existam, e/ou novas funcionalidades da versão mais recente. Atualmente, esta política aplica-se apenas às aplicações Linux. AuditIfNotExists, Desativado 3.0.0
As aplicações de função que usam Python devem usar a mais recente 'versão Python' Periodicamente, as versões mais recentes são lançadas para o software Python, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. A utilização da versão mais recente do Python para aplicações function é recomendada de forma a tirar partido das correções de segurança, caso existam, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas às aplicações Linux, uma vez que o Python não é suportado em aplicações do Windows. AuditIfNotExists, Desativado 4.0.0
A execução de imagens de contentores deve ter resultados de vulnerabilidade resolvidos A avaliação da vulnerabilidade da imagem do contentor digitaliza imagens de contentores em execução nos seus clusters Kubernetes para vulnerabilidades de segurança e expõe resultados detalhados para cada imagem. A resolução das vulnerabilidades pode melhorar consideravelmente a postura de segurança dos seus contentores e protegê-las de ataques. AuditIfNotExists, Desativado 1.0.1
Bases de dados SQL devem ter resultados de vulnerabilidade resolvidos Monitorize os resultados da avaliação da vulnerabilidade e recomendações sobre como remediar as vulnerabilidades da base de dados. AuditIfNotExists, Desativado 4.0.0
Servidores SQL em máquinas devem ter conclusões de vulnerabilidade resolvidas A avaliação da vulnerabilidade SQL analisa a sua base de dados por vulnerabilidades de segurança e expõe quaisquer desvios das melhores práticas, tais como configurações erradas, permissões excessivas e dados sensíveis desprotegidos. A resolução das vulnerabilidades encontradas pode melhorar consideravelmente a sua postura de segurança na base de dados. AuditIfNotExists, Desativado 1.0.0
As atualizações do sistema em conjuntos de escala de máquinas virtuais devem ser instaladas Audite se existem atualizações de segurança do sistema em falta e atualizações críticas que deverão ser instaladas para garantir que os conjuntos de escala de máquinas virtuais Windows e Linux estão seguros. AuditIfNotExists, Desativado 3.0.0
As atualizações de sistema devem ser instaladas nos seus computadores As atualizações do sistema de segurança em falta nos seus servidores serão monitorizadas por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 4.0.0
As vulnerabilidades nas configurações de segurança dos contentores devem ser remediadas Auditar vulnerabilidades na configuração de segurança em máquinas com Docker instalado e exibir como recomendações em Centro de Segurança do Azure. AuditIfNotExists, Desativado 3.0.0
As vulnerabilidades na configuração de segurança das suas máquinas devem ser remediadas Os servidores que não satisfaçam a linha de base configurada serão monitorizados por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
As vulnerabilidades na configuração de segurança nos conjuntos de escala de máquina virtual devem ser remediadas Audite as vulnerabilidades do SO nos conjuntos de escala de máquinas virtuais para protegê-los de ataques. AuditIfNotExists, Desativado 3.0.0

Segurança endpoint

Utilizar deteção e resposta de ponto final (EDR)

ID: Azure Security Benchmark ES-1 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3

Use software anti-malware moderno

ID: Azure Security Benchmark ES-2 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Problemas de saúde de proteção de ponto final devem ser resolvidos nas suas máquinas Resolva problemas de saúde de proteção de ponta nas suas máquinas virtuais para protegê-los de ameaças e vulnerabilidades mais recentes. Centro de Segurança do Azure soluções de proteção de pontos finais apoiadas são documentadas aqui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação da proteção do ponto final está documentada aqui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Desativado 1.0.0
A proteção do ponto final deve ser instalada nas suas máquinas Para proteger as suas máquinas de ameaças e vulnerabilidades, instale uma solução de proteção de ponto final suportada. AuditIfNotExists, Desativado 1.0.0
A solução de proteção do ponto final deve ser instalada em conjuntos de escala de máquina virtual Audite a existência e a saúde de uma solução de proteção de pontos finais nos conjuntos de escala de máquinas virtuais, para protegê-las de ameaças e vulnerabilidades. AuditIfNotExists, Desativado 3.0.0
Monitor que falta proteção de ponto final em Centro de Segurança do Azure Os servidores sem um agente instalado de Proteção de Pontos Finais serão monitorizados por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
Windows Defender Exploit Guard deve ser ativado nas suas máquinas Windows Defender Exploit Guard usa o agente de configuração de Azure Policy convidado. A Exploit Guard tem quatro componentes que são projetados para bloquear dispositivos contra uma grande variedade de vetores de ataque e comportamentos de bloqueio geralmente usados em ataques de malware, ao mesmo tempo que permite às empresas equilibrar os seus requisitos de risco de segurança e produtividade (apenas Windows). AuditIfNotExists, Desativado 2.0.0

Certifique-se de que software e assinaturas anti-malware são atualizados

ID: Azure Security Benchmark ES-3 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Problemas de saúde de proteção de ponto final devem ser resolvidos nas suas máquinas Resolva problemas de saúde de proteção de ponta nas suas máquinas virtuais para protegê-los de ameaças e vulnerabilidades mais recentes. Centro de Segurança do Azure soluções de proteção de pontos finais apoiadas são documentadas aqui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação da proteção do ponto final está documentada aqui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Desativado 1.0.0

Cópia de Segurança e Recuperação

Garantir backups automáticos regulares

ID: Azure Security Benchmark BR-1 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Azure Backup deve ser habilitado para Máquinas Virtuais Certifique-se de que o seu Azure Máquinas Virtuais, permitindo Azure Backup. Azure Backup é uma solução segura e eficaz de proteção de dados para a Azure. AuditIfNotExists, Desativado 3.0.0
A cópia de segurança geo-redundante deve ser ativada para Azure Database for MariaDB Azure Database for MariaDB permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
A cópia de segurança geo-redundante deve ser ativada para Base de Dados do Azure para MySQL Base de Dados do Azure para MySQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
O backup geo-redundante deve ser ativado para Base de Dados do Azure para PostgreSQL Base de Dados do Azure para PostgreSQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1

Proteger dados de backup e recuperação

ID: Azure Security Benchmark BR-2 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Azure Backup deve ser habilitado para Máquinas Virtuais Certifique-se de que o seu Azure Máquinas Virtuais, permitindo Azure Backup. Azure Backup é uma solução segura e eficaz de proteção de dados para a Azure. AuditIfNotExists, Desativado 3.0.0
A cópia de segurança geo-redundante deve ser ativada para Azure Database for MariaDB Azure Database for MariaDB permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
A cópia de segurança geo-redundante deve ser ativada para Base de Dados do Azure para MySQL Base de Dados do Azure para MySQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
O backup geo-redundante deve ser ativado para Base de Dados do Azure para PostgreSQL Base de Dados do Azure para PostgreSQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1

Segurança DevOps

Impor a segurança da carga de trabalho ao longo do ciclo de vida da DevOps

ID: Azure Security Benchmark DS-6 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Imagens de registo de contentores devem ter conclusões de vulnerabilidade resolvidas A avaliação da vulnerabilidade da imagem do contentor verifica o seu registo de vulnerabilidades de segurança e expõe resultados detalhados para cada imagem. A resolução das vulnerabilidades pode melhorar consideravelmente a postura de segurança dos seus contentores e protegê-las de ataques. AuditIfNotExists, Desativado 2.0.1
A execução de imagens de contentores deve ter resultados de vulnerabilidade resolvidos A avaliação da vulnerabilidade da imagem do contentor digitaliza imagens de contentores em execução nos seus clusters Kubernetes para vulnerabilidades de segurança e expõe resultados detalhados para cada imagem. A resolução das vulnerabilidades pode melhorar consideravelmente a postura de segurança dos seus contentores e protegê-las de ataques. AuditIfNotExists, Desativado 1.0.1
As vulnerabilidades nas configurações de segurança dos contentores devem ser remediadas Auditar vulnerabilidades na configuração de segurança em máquinas com Docker instalado e exibir como recomendações em Centro de Segurança do Azure. AuditIfNotExists, Desativado 3.0.0

Passos seguintes

Artigos adicionais sobre Azure Policy: