Detalhes da iniciativa FedRAMP High Regulatory Compliance built-in

O artigo seguinte detalha como a Azure Policy conformidade regulamentar de definição de iniciativa incorporada mapeia para domínios de conformidade e controlos no FedRAMP High. Para obter mais informações sobre este padrão de conformidade, consulte fedRAMP High. Para compreender a Propriedade, consulte Azure Policy definição de política e responsabilidade partilhada na nuvem.

Os seguintes mapeamentos são para os altos controlos da FedRAMP . Utilize a navegação no direito de saltar diretamente para um domínio de conformidade específico. Muitos dos controlos são implementados com uma definição de iniciativa Azure Policy. Para rever a definição completa de iniciativa, abra a Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição de iniciativa incorporada fedRAMP High Regulatory Compliance.

Importante

Cada controlo abaixo está associado a uma ou mais definições Azure Policy. Estas políticas podem ajudá-lo a avaliar o cumprimento do controlo; no entanto, muitas vezes não há um para um ou um jogo completo entre um controlo e uma ou mais políticas. Como tal, o "Compliant in Azure Policy refere-se apenas às definições políticas em si; isto não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controlos que não são abordados por nenhuma Azure Policy definições neste momento. Portanto, o cumprimento em Azure Policy é apenas uma visão parcial do seu estado de conformidade geral. As associações entre domínios de conformidade, controlos e definições Azure Policy para esta norma de conformidade podem mudar ao longo do tempo. Para ver a história da mudança, veja o GitHub Commit History.

Controlo de Acesso

Gestão de Contas

ID: FedRAMP High AC-2 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um máximo de 3 proprietários deve ser designado para a sua subscrição Recomenda-se designar até 3 proprietários de subscrições para reduzir o potencial de violação por um proprietário comprometido. AuditIfNotExists, Desativado 3.0.0
Um administrador do Azure Ative Directory deve ser a provisionado para servidores SQL Fornecimento de auditoria de um administrador do Azure Ative Directory para o seu servidor SQL para permitir a autenticação Azure AD. Azure AD a autenticação permite uma gestão simplificada da permissão e uma gestão centralizada da identidade dos utilizadores de bases de dados e outros serviços da Microsoft AuditIfNotExists, Desativado 1.0.0
Serviço de Aplicações aplicações devem usar identidade gerida Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 3.0.0
Auditar o uso das regras rbac personalizadas Auditar funções incorporadas como "Proprietário, Contribuidor, Leitor" em vez de funções personalizadas de RBAC, que são propensas a erros. A utilização de funções personalizadas é tratada como uma exceção e requer uma revisão rigorosa e modelação de ameaças Auditoria, Deficientes 1.0.0
As contas dos Serviços Cognitivos devem ter métodos de autenticação locais desativados A desativação dos métodos de autenticação local melhora a segurança, garantindo que as contas dos Serviços Cognitivos requerem identidades do Azure Ative Directory exclusivamente para a autenticação. Saiba mais em: https://aka.ms/cs/auth. Auditoria, Negar, Deficientes 1.0.0
As contas precodidas devem ser removidas da sua subscrição As contas pregridas devem ser removidas das suas subscrições. Contas pregridadas são contas que foram impedidas de iniciar sessão. AuditIfNotExists, Desativado 3.0.0
Contas pregridas com permissões do proprietário devem ser removidas da sua subscrição As contas pregridas com permissões do proprietário devem ser removidas da sua subscrição. Contas pregridadas são contas que foram impedidas de iniciar sessão. AuditIfNotExists, Desativado 3.0.0
Contas externas com permissões do proprietário devem ser removidas da sua subscrição As contas externas com permissões do proprietário devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 3.0.0
As contas externas com permissões de leitura devem ser removidas da sua subscrição As contas externas com privilégios de leitura devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 3.0.0
As contas externas com permissões de escrita devem ser removidas da sua subscrição As contas externas com privilégios de escrita devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 3.0.0
As aplicações de função devem usar identidade gerida Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 3.0.0
Os clusters de tecido de serviço só devem utilizar o Azure Ative Directy para a autenticação do cliente Utilização de auditoria da autenticação do cliente apenas através do Azure Ative Directory in Service Fabric Auditoria, Negar, Deficientes 1.1.0

Gestão automatizada de conta de sistema

ID: FedRAMP High AC-2 (1) Propriedade: Compartilhada

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um administrador do Azure Ative Directory deve ser a provisionado para servidores SQL Fornecimento de auditoria de um administrador do Azure Ative Directory para o seu servidor SQL para permitir a autenticação Azure AD. Azure AD a autenticação permite uma gestão simplificada da permissão e uma gestão centralizada da identidade dos utilizadores de bases de dados e outros serviços da Microsoft AuditIfNotExists, Desativado 1.0.0
As contas dos Serviços Cognitivos devem ter métodos de autenticação locais desativados A desativação dos métodos de autenticação local melhora a segurança, garantindo que as contas dos Serviços Cognitivos requerem identidades do Azure Ative Directory exclusivamente para a autenticação. Saiba mais em: https://aka.ms/cs/auth. Auditoria, Negar, Deficientes 1.0.0
Os clusters de tecido de serviço só devem utilizar o Azure Ative Directy para a autenticação do cliente Utilização de auditoria da autenticação do cliente apenas através do Azure Ative Directory in Service Fabric Auditoria, Negar, Deficientes 1.1.0

Regimes baseados em funções

ID: FedRAMP High AC-2 (7) Propriedade: Compartilhado

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um administrador do Azure Ative Directory deve ser a provisionado para servidores SQL Fornecimento de auditoria de um administrador do Azure Ative Directory para o seu servidor SQL para permitir a autenticação Azure AD. Azure AD a autenticação permite uma gestão simplificada da permissão e uma gestão centralizada da identidade dos utilizadores de bases de dados e outros serviços da Microsoft AuditIfNotExists, Desativado 1.0.0
Auditar o uso das regras rbac personalizadas Auditar funções incorporadas como "Proprietário, Contribuidor, Leitor" em vez de funções personalizadas de RBAC, que são propensas a erros. A utilização de funções personalizadas é tratada como uma exceção e requer uma revisão rigorosa e modelação de ameaças Auditoria, Deficientes 1.0.0
As contas dos Serviços Cognitivos devem ter métodos de autenticação locais desativados A desativação dos métodos de autenticação local melhora a segurança, garantindo que as contas dos Serviços Cognitivos requerem identidades do Azure Ative Directory exclusivamente para a autenticação. Saiba mais em: https://aka.ms/cs/auth. Auditoria, Negar, Deficientes 1.0.0
Os clusters de tecido de serviço só devem utilizar o Azure Ative Directy para a autenticação do cliente Utilização de auditoria da autenticação do cliente apenas através do Azure Ative Directory in Service Fabric Auditoria, Negar, Deficientes 1.1.0

Monitorização de Conta / Utilização Atípica

ID: FedRAMP High AC-2 (12) Propriedade: Compartilhado

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Azure Arc habilitado a clusters Kubernetes deve ter Microsoft Defender para extensão Cloud instalada A extensão do Microsoft Defender for Cloud para O Arco Azure fornece proteção contra ameaças para os clusters Kubernetes ativados pelo Arco. A extensão recolhe dados de todos os nós do cluster e envia-os para o Azure Defender para kubernetes backend na nuvem para mais análise. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Desativado 6.0.0-pré-visualização
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Defender para Resource Manager deve ser ativado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
O Azure Defender para SQL deve ser ativado para instâncias geridas sem proteção do SQL A auditoria a cada SQL Managed Instance sem segurança avançada de dados. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time O acesso à rede Just In Time (JIT) será monitorizado por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
Microsoft Defender para contentores deve ser ativado O Microsoft Defender for Containers fornece proteções de endurecimento, vulnerabilidade e tempo de execução para os ambientes Azure, híbrido e multi-cloud Kubernetes. AuditIfNotExists, Desativado 1.0.0

Aplicação do acesso

ID: FedRAMP High AC-3 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Adicione identidade gerida atribuída ao sistema para permitir atribuições de Configuração de Hóspedes em máquinas virtuais sem identidades Esta política adiciona uma identidade gerida atribuída ao sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidados mas não têm identidades geridas. Uma identidade gerida atribuída pelo sistema é um pré-requisito para todas as atribuições de Configuração de Hóspedes e deve ser adicionada às máquinas antes de utilizar quaisquer definições de política de Configuração de Convidados. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. modificar 4.0.0
Adicionar identidade gerida atribuída ao sistema para permitir atribuições de Configuração de Hóspedes em VMs com uma identidade atribuída ao utilizador Esta política adiciona uma identidade gerida atribuída ao sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração do Hóspede e têm pelo menos uma identidade atribuída ao utilizador, mas não têm uma identidade gerida atribuída ao sistema. Uma identidade gerida atribuída pelo sistema é um pré-requisito para todas as atribuições de Configuração de Hóspedes e deve ser adicionada às máquinas antes de utilizar quaisquer definições de política de Configuração de Convidados. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. modificar 4.0.0
Um administrador do Azure Ative Directory deve ser a provisionado para servidores SQL Fornecimento de auditoria de um administrador do Azure Ative Directory para o seu servidor SQL para permitir a autenticação Azure AD. Azure AD a autenticação permite uma gestão simplificada da permissão e uma gestão centralizada da identidade dos utilizadores de bases de dados e outros serviços da Microsoft AuditIfNotExists, Desativado 1.0.0
Serviço de Aplicações aplicações devem usar identidade gerida Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 3.0.0
Auditar máquinas Linux que têm contas sem senhas Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux tiverem contas sem senhas AuditIfNotExists, Desativado 3.0.0
A autenticação nas máquinas Linux deve necessitar de chaves SSH Embora o próprio SSH forneça uma ligação encriptada, usar palavras-passe com SSH ainda deixa o VM vulnerável a ataques de força bruta. A opção mais segura para autenticar uma máquina virtual Azure Linux sobre SSH é com um par de chaves público-privado, também conhecido como teclas SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Desativado 3.0.0
As contas dos Serviços Cognitivos devem ter métodos de autenticação locais desativados A desativação dos métodos de autenticação local melhora a segurança, garantindo que as contas dos Serviços Cognitivos requerem identidades do Azure Ative Directory exclusivamente para a autenticação. Saiba mais em: https://aka.ms/cs/auth. Auditoria, Negar, Deficientes 1.0.0
Implemente a extensão de Configuração de Convidado do Linux para possibilitar atribuições de Configuração de Convidado em VMs do Linux Esta política implementa a extensão de Configuração de Hóspedes Linux para máquinas virtuais Linux hospedadas em Azure que são suportadas pela Configuração do Convidado. A extensão de Configuração do Convidado Linux é um pré-requisito para todas as atribuições de Configuração de Hóspedes Linux e deve ser implantada em máquinas antes de utilizar qualquer definição de política de configuração de convidados Linux. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. implementarIfNotExists 3.0.0
As aplicações de função devem usar identidade gerida Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 3.0.0
A MFA deve ser ativada em contas com permissões de escrita na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de escrita para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0
MFA deve ser ativado em contas com permissões do proprietário na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com permissões do proprietário para evitar uma violação de contas ou recursos. AuditIfNotExists, Desativado 3.0.0
MFA deve ser ativado em contas com permissões de leitura na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0
Os clusters de tecido de serviço só devem utilizar o Azure Ative Directy para a autenticação do cliente Utilização de auditoria da autenticação do cliente apenas através do Azure Ative Directory in Service Fabric Auditoria, Negar, Deficientes 1.1.0
Contas de armazenamento devem ser migradas para novos recursos Resource Manager Azure Utilize novos Resource Manager Azure para as suas contas de armazenamento para fornecer melhorias de segurança tais como: controlo de acesso mais forte (RBAC), melhor auditoria, implementação e governação baseadas em Azure Resource Manager, acesso a identidades geridas, acesso a cofre chave para segredos, autenticação baseada em Azure AD e suporte para tags e grupos de recursos para uma segurança mais fácil gestão Auditoria, Negar, Deficientes 1.0.0
Máquinas virtuais devem ser migradas para novos recursos Resource Manager Azure Utilize novos Resource Manager Azure para as suas máquinas virtuais para fornecer melhorias de segurança tais como: controlo de acesso mais forte (RBAC), melhor auditoria, implementação e governação baseadas em Azure Resource Manager, acesso a identidades geridas, acesso a cofre chave para segredos, autenticação baseada em Azure AD e suporte para tags e grupos de recursos para facilitar a segurança gestão Auditoria, Negar, Deficientes 1.0.0

Aplicação do fluxo de informação

ID: FedRAMP High AC-4 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Todo o tráfego de Internet deve ser encaminhado através do seu Azure Firewall implantado Centro de Segurança do Azure identificou que algumas das suas sub-redes não estão protegidas com uma firewall da próxima geração. Proteja as suas sub-redes de potenciais ameaças, restringindo-lhes o acesso com Azure Firewall ou uma firewall de próxima geração suportada AuditIfNotExists, Desativado 3.0.0-pré-visualização
[Pré-visualização]: O ponto final privado deve ser configurado para Key Vault O link privado fornece uma forma de ligar Key Vault aos seus recursos Azure sem enviar tráfego através da internet pública. A ligação privada fornece defesa em profundidade contra a exfiltração de dados. Auditoria, Negar, Deficientes 1.1.0-pré-visualização
[Pré-visualização]: O acesso público à conta de armazenamento deve ser proibido O público anónimo lê o acesso a contentores e bolhas no Azure Storage é uma forma conveniente de partilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anónimo não existente, a Microsoft recomenda impedir o acesso do público a uma conta de armazenamento, a menos que o seu cenário o exija. auditoria, auditoria, negar, negar, desativar, desativar 3.1.0-pré-visualização
Recomendações de endurecimento de rede adaptativas devem ser aplicadas na internet face a máquinas virtuais Centro de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais da Internet e fornece recomendações de regras do Grupo de Segurança da Rede que reduzem a potencial superfície de ataque AuditIfNotExists, Desativado 3.0.0
Todas as portas de rede devem ser restringidas em grupos de segurança de rede associados à sua máquina virtual Centro de Segurança do Azure identificou as regras de entrada de alguns dos seus grupos de segurança na rede como demasiado permissivas. As regras de entrada não devem permitir o acesso a partir das gamas "Qualquer" ou "Internet". Isto pode potencialmente permitir que os atacantes direcionem os seus recursos. AuditIfNotExists, Desativado 3.0.0
Gestão de API serviços devem usar uma rede virtual A Azure Rede Virtual implementação proporciona uma segurança reforçada, isolamento e permite-lhe colocar o seu serviço de Gestão de API numa rede de encaminhamento não internet a que controla o acesso. Estas redes podem então ser ligadas às suas redes no local utilizando várias tecnologias VPN, o que permite o acesso aos seus serviços de backend dentro da rede e/ou no local. O portal de desenvolvedores e gateway API, pode ser configurado para ser acessível a partir da Internet ou apenas dentro da rede virtual. Auditoria, Deficientes 1.0.1
App Configuration deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para as suas instâncias de configuração da aplicação em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Desativado 1.0.2
Serviço de Aplicações aplicações não devem ter CORS configurado para permitir que todos os recursos acedam às suas apps A Partilha de Recursos de Origem Cruzada (CORS) não deve permitir que todos os domínios acedam à sua aplicação. Permitir que apenas os domínios necessários interajam com a sua aplicação. AuditIfNotExists, Desativado 2.0.0
As gamas IP autorizadas devem ser definidas nos Serviços Kubernetes Restringir o acesso à API de Gestão de Serviços Kubernetes, concedendo acesso a API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso aos intervalos de IP autorizados para garantir que apenas aplicações de redes permitidas possam aceder ao cluster. Auditoria, Deficientes 2.0.1
A Azure API para FHIR deve usar link privado A Azure API para fHIR deve ter pelo menos uma ligação de ponto final privado aprovada. Os clientes de uma rede virtual podem aceder de forma segura a recursos que têm ligações privadas de ponto final através de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. Auditoria, Deficientes 1.0.0
Cache do Azure para Redis deve usar link privado Os pontos finais privados permitem-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. Ao mapear pontos finais privados para os seus Cache do Azure para Redis casos, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Desativado 1.0.0
Azure Cognitive Search serviço deve usar um SKU que suporta ligação privada Com SKUs suportados de Azure Cognitive Search, Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu Serviço de pesquisa, os riscos de fuga de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Deficientes 1.0.0
Azure Cognitive Search serviços devem desativar o acesso à rede pública A desativação do acesso à rede pública melhora a segurança, garantindo que o seu serviço Azure Cognitive Search não esteja exposto na internet pública. A criação de pontos finais privados pode limitar a exposição do seu Serviço de pesquisa. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Deficientes 1.0.0
Azure Cognitive Search serviços devem usar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para Azure Cognitive Search, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Deficientes 1.0.0
Contas DB da Azure Cosmos devem ter regras de firewall As regras de firewall devem ser definidas nas suas contas DB Azure Cosmos para evitar o tráfego de fontes não autorizadas. As contas que tenham pelo menos uma regra DE IP definida com o filtro de rede virtual ativado são consideradas conformes. As contas que incapacitam o acesso do público também são consideradas conformes. Auditoria, Negar, Deficientes 2.0.0
Azure Data Factory deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para Azure Data Factory, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Desativado 1.0.0
Azure Event Grid domínios devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu domínio Desembos em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Deficientes 1.0.2
Azure Event Grid tópicos devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu tópico De Classificação de Eventos em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Deficientes 1.0.2
Azure File Sync deve usar link privado A criação de um ponto final privado para o recurso indicado do Serviço de Sincronização de Armazenamento permite-lhe abordar o seu recurso De Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de através do ponto final público acessível à Internet. A criação de um ponto final privado por si só não desativa o ponto final público. AuditIfNotExists, Desativado 1.0.0
Azure Key Vault deve ter firewall ativada Ativar a firewall do cofre de teclas de modo a que o cofre da chave não esteja acessível por defeito a quaisquer IPs públicos. Em seguida, pode configurar gamas ip específicas para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security Auditoria, Negar, Deficientes 3.0.0
Espaços de trabalho de aprendizagem automática Azure devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para espaços de trabalho de aprendizagem automática Azure, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Auditoria, Negar, Deficientes 1.1.0
Azure Service Bus espaços de nome devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os espaços de nomes do Service Bus, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Desativado 1.0.0
Azure SignalR Service deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu recurso Azure SignalR Service em vez de todo o serviço, irá reduzir os riscos de fuga de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Auditoria, Deficientes 1.0.0
Azure Synapse espaços de trabalho devem usar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para Azure Synapse espaço de trabalho, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Auditoria, Deficientes 1.0.1
O Serviço Azure Web PubSub deve usar link privado Azure Private Link permite-lhe ligar as suas redes virtuais aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu Serviço Azure Web PubSub, pode reduzir os riscos de fuga de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Auditoria, Deficientes 1.0.0
Contas de Serviços Cognitivos devem desativar o acesso à rede pública A desativação do acesso à rede pública melhora a segurança, garantindo que a conta dos Serviços Cognitivos não seja exposta na internet pública. A criação de pontos finais privados pode limitar a exposição da conta serviços cognitivos. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2129800. Auditoria, Negar, Deficientes 3.0.0
Contas de Serviços Cognitivos devem restringir o acesso à rede O acesso à rede às contas dos Serviços Cognitivos deve ser restringido. Configure as regras de rede para que apenas aplicações de redes permitidas possam aceder à conta dos Serviços Cognitivos. Para permitir ligações de clientes específicos da Internet ou no local, o acesso pode ser concedido ao tráfego a partir de redes virtuais específicas do Azure ou de intervalos de endereços IP de internet pública. Auditoria, Negar, Deficientes 3.0.0
Os Serviços Cognitivos devem usar link privado Azure Private Link permite-lhe ligar as suas redes virtuais aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para serviços cognitivos, você reduzirá o potencial de fuga de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Auditoria, Deficientes 3.0.0
Os registos de contentores não devem permitir o acesso ilimitado à rede Os registos de contentores Azure por padrão aceitam ligações através da internet de anfitriões em qualquer rede. Para proteger os seus registos de ameaças potenciais, permita o acesso a partir de apenas pontos finais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registo não tiver regras de rede configuradas, aparecerá nos recursos pouco saudáveis. Saiba mais sobre as regras da rede de registo de contentores aqui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. Auditoria, Negar, Deficientes 2.0.0
Os registos de contentores devem utilizar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus registos de contentores em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/acr/private-link. Auditoria, Deficientes 1.0.1
As contas cosmosDB devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados na sua conta CosmosDB, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Auditoria, Deficientes 1.0.0
Os recursos de acesso ao disco devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para diskAccesses, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Desativado 1.0.0
Os espaços de nomes do Event Hub devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os espaços de nomes do Event Hub, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Desativado 1.0.0
Máquinas virtuais viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais de potenciais ameaças, restringindo-lhes o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
Hub IoT instâncias de serviço de fornecimento de dispositivos devem utilizar ligações privadas Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o serviço de fornecimento de dispositivos Hub IoT, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Auditoria, Deficientes 1.0.0
O encaminhamento IP na sua máquina virtual deve ser desativado Permitir o encaminhamento ip no NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O reencaminhamento IP raramente é necessário (por exemplo, quando se utiliza o VM como aparelho virtual de rede), pelo que este deve ser revisto pela equipa de segurança da rede. AuditIfNotExists, Desativado 3.0.0
As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time O acesso à rede Just In Time (JIT) será monitorizado por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
As portas de gestão devem ser fechadas nas suas máquinas virtuais Portas de gestão remota abertas estão expondo o seu VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam forçar credenciais brutas para obter acesso administrativo à máquina. AuditIfNotExists, Desativado 3.0.0
Máquinas virtuais não viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais não viradas para a Internet contra potenciais ameaças, restringindo o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
As ligações privadas de ponto final na base de dados SQL do Azure devem ser ativadas As ligações de ponto final privados impõem uma comunicação segura, permitindo a conectividade privada à SQL do Azure Base de Dados. Auditoria, Deficientes 1.1.0
O ponto final privado deve ser ativado para servidores MariaDB As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Azure Database for MariaDB. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O ponto final privado deve ser ativado para servidores MySQL As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Base de Dados do Azure para MySQL. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O ponto final privado deve ser ativado para servidores PostgreSQL As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Base de Dados do Azure para PostgreSQL. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O acesso à rede pública na Base de Dados SQL do Azure deve ser desativado A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que a sua base de dados SQL do Azure só pode ser acedida a partir de um ponto final privado. Esta configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou em rede virtual. Auditoria, Negar, Deficientes 1.1.0
O acesso à rede pública deve ser desativado para servidores MariaDB Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que o seu Azure Database for MariaDB só pode ser acedido a partir de um ponto final privado. Esta configuração desativa estritamente o acesso a partir de qualquer espaço de endereço público fora da gama IP Azure, e nega todos os logins que correspondam às regras de firewall IP ou virtual baseadas em rede. Auditoria, Negar, Deficientes 2.0.0
O acesso à rede pública deve ser desativado para servidores MySQL Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que o seu Base de Dados do Azure para MySQL só pode ser acedido a partir de um ponto final privado. Esta configuração desativa estritamente o acesso a partir de qualquer espaço de endereço público fora da gama IP Azure, e nega todos os logins que correspondam às regras de firewall IP ou virtual baseadas em rede. Auditoria, Negar, Deficientes 2.0.0
O acesso à rede pública deve ser desativado para servidores PostgreSQL Desativar a propriedade de acesso à rede pública para melhorar a segurança e garantir que o seu Base de Dados do Azure para PostgreSQL só pode ser acedido a partir de um ponto final privado. Esta configuração desativa o acesso a qualquer espaço de endereço público fora da gama IP Azure e nega todos os logins que correspondam às regras de firewall IP ou virtual baseadas em rede. Auditoria, Negar, Deficientes 2.0.0
As contas de armazenamento devem restringir o acesso à rede O acesso à rede às contas de armazenamento deve ser restringido. Configure as regras de rede para que apenas aplicações de redes permitidas possam aceder à conta de armazenamento. Para permitir ligações de clientes específicos da Internet ou no local, o acesso pode ser concedido ao tráfego a partir de redes virtuais específicas do Azure ou de intervalos de endereços IP da Internet pública Auditoria, Negar, Deficientes 1.1.1
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtuais Proteja as suas contas de armazenamento de ameaças potenciais usando regras de rede virtuais como método preferido em vez de filtragem baseada em IP. A desativação da filtragem baseada em IP impede que os IPs públicos acedam às suas contas de armazenamento. Auditoria, Negar, Deficientes 1.0.1
As contas de armazenamento devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados na sua conta de armazenamento, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Desativado 2.0.0
As subnetas devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede de ameaças potenciais limitando-lhe o acesso a um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede à sua sub-rede. AuditIfNotExists, Desativado 3.0.0
Modelos de construtores de imagem VM devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus recursos de construção de VM Image Builder, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditoria, Deficientes, Negar 1.1.0

Separação de Deveres

ID: FedRAMP High AC-5 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Deve haver mais de um proprietário atribuído à sua subscrição Recomenda-se designar mais do que um proprietário de subscrição para ter o administrador a ter acesso a despedimentos. AuditIfNotExists, Desativado 3.0.0

Menor Privilégio

ID: FedRAMP High AC-6 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um máximo de 3 proprietários deve ser designado para a sua subscrição Recomenda-se designar até 3 proprietários de subscrições para reduzir o potencial de violação por um proprietário comprometido. AuditIfNotExists, Desativado 3.0.0
Auditar o uso das regras rbac personalizadas Auditar funções incorporadas como "Proprietário, Contribuidor, Leitor" em vez de funções personalizadas de RBAC, que são propensas a erros. A utilização de funções personalizadas é tratada como uma exceção e requer uma revisão rigorosa e modelação de ameaças Auditoria, Deficientes 1.0.0

Revisão dos Privilégios de Utilização

ID: FedRAMP High AC-6 (7) Propriedade: Compartilhada

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um máximo de 3 proprietários deve ser designado para a sua subscrição Recomenda-se designar até 3 proprietários de subscrições para reduzir o potencial de violação por um proprietário comprometido. AuditIfNotExists, Desativado 3.0.0
Auditar o uso das regras rbac personalizadas Auditar funções incorporadas como "Proprietário, Contribuidor, Leitor" em vez de funções personalizadas de RBAC, que são propensas a erros. A utilização de funções personalizadas é tratada como uma exceção e requer uma revisão rigorosa e modelação de ameaças Auditoria, Deficientes 1.0.0

Acesso Remoto

ID: FedRAMP High AC-17 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O ponto final privado deve ser configurado para Key Vault O link privado fornece uma forma de ligar Key Vault aos seus recursos Azure sem enviar tráfego através da internet pública. A ligação privada fornece defesa em profundidade contra a exfiltração de dados. Auditoria, Negar, Deficientes 1.1.0-pré-visualização
Adicione identidade gerida atribuída ao sistema para permitir atribuições de Configuração de Hóspedes em máquinas virtuais sem identidades Esta política adiciona uma identidade gerida atribuída ao sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidados mas não têm identidades geridas. Uma identidade gerida atribuída pelo sistema é um pré-requisito para todas as atribuições de Configuração de Hóspedes e deve ser adicionada às máquinas antes de utilizar quaisquer definições de política de Configuração de Convidados. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. modificar 4.0.0
Adicionar identidade gerida atribuída ao sistema para permitir atribuições de Configuração de Hóspedes em VMs com uma identidade atribuída ao utilizador Esta política adiciona uma identidade gerida atribuída ao sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração do Hóspede e têm pelo menos uma identidade atribuída ao utilizador, mas não têm uma identidade gerida atribuída ao sistema. Uma identidade gerida atribuída pelo sistema é um pré-requisito para todas as atribuições de Configuração de Hóspedes e deve ser adicionada às máquinas antes de utilizar quaisquer definições de política de Configuração de Convidados. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. modificar 4.0.0
App Configuration deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para as suas instâncias de configuração da aplicação em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Desativado 1.0.2
Serviço de Aplicações apps devem ter depuragem remota desligada A depuragem remota requer a abertura de portas de entrada numa aplicação Serviço de Aplicações. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 2.0.0
Auditar máquinas Linux que permitem ligações remotas a partir de contas sem senhas Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux permitirem ligações remotas a partir de contas sem senhas AuditIfNotExists, Desativado 3.0.0
A Azure API para FHIR deve usar link privado A Azure API para fHIR deve ter pelo menos uma ligação de ponto final privado aprovada. Os clientes de uma rede virtual podem aceder de forma segura a recursos que têm ligações privadas de ponto final através de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. Auditoria, Deficientes 1.0.0
Cache do Azure para Redis deve usar link privado Os pontos finais privados permitem-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. Ao mapear pontos finais privados para os seus Cache do Azure para Redis casos, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Desativado 1.0.0
Azure Cognitive Search serviço deve usar um SKU que suporta ligação privada Com SKUs suportados de Azure Cognitive Search, Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu Serviço de pesquisa, os riscos de fuga de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Deficientes 1.0.0
Azure Cognitive Search serviços devem usar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para Azure Cognitive Search, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Deficientes 1.0.0
Azure Data Factory deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para Azure Data Factory, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Desativado 1.0.0
Azure Event Grid domínios devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu domínio Desembos em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Deficientes 1.0.2
Azure Event Grid tópicos devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu tópico De Classificação de Eventos em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Deficientes 1.0.2
Azure File Sync deve usar link privado A criação de um ponto final privado para o recurso indicado do Serviço de Sincronização de Armazenamento permite-lhe abordar o seu recurso De Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de através do ponto final público acessível à Internet. A criação de um ponto final privado por si só não desativa o ponto final público. AuditIfNotExists, Desativado 1.0.0
Espaços de trabalho de aprendizagem automática Azure devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para espaços de trabalho de aprendizagem automática Azure, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Auditoria, Negar, Deficientes 1.1.0
Azure Service Bus espaços de nome devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os espaços de nomes do Service Bus, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Desativado 1.0.0
Azure SignalR Service deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu recurso Azure SignalR Service em vez de todo o serviço, irá reduzir os riscos de fuga de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Auditoria, Deficientes 1.0.0
Azure Spring Cloud deve usar injeção de rede As instâncias Azure Spring Cloud devem utilizar a injeção de rede virtual para os seguintes fins: 1. Isole a nuvem de primavera de Azure da Internet. 2. Permita ao Azure Spring Cloud interagir com sistemas em centros de dados ou em Azure em outras redes virtuais. 3. Capacitar os clientes para controlar as comunicações de rede de entrada e saída para a Azure Spring Cloud. Auditoria, Deficientes, Negar 1.1.0
Azure Synapse espaços de trabalho devem usar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para Azure Synapse espaço de trabalho, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Auditoria, Deficientes 1.0.1
O Serviço Azure Web PubSub deve usar link privado Azure Private Link permite-lhe ligar as suas redes virtuais aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu Serviço Azure Web PubSub, pode reduzir os riscos de fuga de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Auditoria, Deficientes 1.0.0
Os Serviços Cognitivos devem usar link privado Azure Private Link permite-lhe ligar as suas redes virtuais aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para serviços cognitivos, você reduzirá o potencial de fuga de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Auditoria, Deficientes 3.0.0
Os registos de contentores devem utilizar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus registos de contentores em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/acr/private-link. Auditoria, Deficientes 1.0.1
As contas cosmosDB devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados na sua conta CosmosDB, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Auditoria, Deficientes 1.0.0
Implemente a extensão de Configuração de Convidado do Linux para possibilitar atribuições de Configuração de Convidado em VMs do Linux Esta política implementa a extensão de Configuração de Hóspedes Linux para máquinas virtuais Linux hospedadas em Azure que são suportadas pela Configuração do Convidado. A extensão de Configuração do Convidado Linux é um pré-requisito para todas as atribuições de Configuração de Hóspedes Linux e deve ser implantada em máquinas antes de utilizar qualquer definição de política de configuração de convidados Linux. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. implementarIfNotExists 3.0.0
Implemente a extensão de Configuração de Convidado do Windows para possibilitar atribuições da Configuração de Convidado em VMs do Windows Esta política implementa a extensão de Configuração do Windows Guest para máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração do Convidado. A extensão de configuração do Windows Guest é um pré-requisito para todas as atribuições de Configuração do Windows Guest e deve ser implantada em máquinas antes de utilizar qualquer definição de política de configuração do Windows Guest. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. implementarIfNotExists 1.2.0
Os recursos de acesso ao disco devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para diskAccesses, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Desativado 1.0.0
Os espaços de nomes do Event Hub devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os espaços de nomes do Event Hub, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Desativado 1.0.0
As aplicações de função devem ter depurado remoto A depuragem remota requer a abertura de portas de entrada em aplicações de função. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 2.0.0
Hub IoT instâncias de serviço de fornecimento de dispositivos devem utilizar ligações privadas Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o serviço de fornecimento de dispositivos Hub IoT, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Auditoria, Deficientes 1.0.0
As ligações privadas de ponto final na base de dados SQL do Azure devem ser ativadas As ligações de ponto final privados impõem uma comunicação segura, permitindo a conectividade privada à SQL do Azure Base de Dados. Auditoria, Deficientes 1.1.0
O ponto final privado deve ser ativado para servidores MariaDB As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Azure Database for MariaDB. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O ponto final privado deve ser ativado para servidores MySQL As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Base de Dados do Azure para MySQL. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O ponto final privado deve ser ativado para servidores PostgreSQL As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Base de Dados do Azure para PostgreSQL. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
As contas de armazenamento devem restringir o acesso à rede O acesso à rede às contas de armazenamento deve ser restringido. Configure as regras de rede para que apenas aplicações de redes permitidas possam aceder à conta de armazenamento. Para permitir ligações de clientes específicos da Internet ou no local, o acesso pode ser concedido ao tráfego a partir de redes virtuais específicas do Azure ou de intervalos de endereços IP da Internet pública Auditoria, Negar, Deficientes 1.1.1
As contas de armazenamento devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados na sua conta de armazenamento, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Desativado 2.0.0
Modelos de construtores de imagem VM devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus recursos de construção de VM Image Builder, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditoria, Deficientes, Negar 1.1.0

Monitorização automatizada / Controlo

ID: FedRAMP High AC-17 (1) Propriedade: Compartilhada

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O ponto final privado deve ser configurado para Key Vault O link privado fornece uma forma de ligar Key Vault aos seus recursos Azure sem enviar tráfego através da internet pública. A ligação privada fornece defesa em profundidade contra a exfiltração de dados. Auditoria, Negar, Deficientes 1.1.0-pré-visualização
Adicione identidade gerida atribuída ao sistema para permitir atribuições de Configuração de Hóspedes em máquinas virtuais sem identidades Esta política adiciona uma identidade gerida atribuída ao sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidados mas não têm identidades geridas. Uma identidade gerida atribuída pelo sistema é um pré-requisito para todas as atribuições de Configuração de Hóspedes e deve ser adicionada às máquinas antes de utilizar quaisquer definições de política de Configuração de Convidados. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. modificar 4.0.0
Adicionar identidade gerida atribuída ao sistema para permitir atribuições de Configuração de Hóspedes em VMs com uma identidade atribuída ao utilizador Esta política adiciona uma identidade gerida atribuída ao sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração do Hóspede e têm pelo menos uma identidade atribuída ao utilizador, mas não têm uma identidade gerida atribuída ao sistema. Uma identidade gerida atribuída pelo sistema é um pré-requisito para todas as atribuições de Configuração de Hóspedes e deve ser adicionada às máquinas antes de utilizar quaisquer definições de política de Configuração de Convidados. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. modificar 4.0.0
App Configuration deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para as suas instâncias de configuração da aplicação em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Desativado 1.0.2
Serviço de Aplicações apps devem ter depuragem remota desligada A depuragem remota requer a abertura de portas de entrada numa aplicação Serviço de Aplicações. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 2.0.0
Auditar máquinas Linux que permitem ligações remotas a partir de contas sem senhas Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux permitirem ligações remotas a partir de contas sem senhas AuditIfNotExists, Desativado 3.0.0
A Azure API para FHIR deve usar link privado A Azure API para fHIR deve ter pelo menos uma ligação de ponto final privado aprovada. Os clientes de uma rede virtual podem aceder de forma segura a recursos que têm ligações privadas de ponto final através de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. Auditoria, Deficientes 1.0.0
Cache do Azure para Redis deve usar link privado Os pontos finais privados permitem-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. Ao mapear pontos finais privados para os seus Cache do Azure para Redis casos, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Desativado 1.0.0
Azure Cognitive Search serviço deve usar um SKU que suporta ligação privada Com SKUs suportados de Azure Cognitive Search, Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu Serviço de pesquisa, os riscos de fuga de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Deficientes 1.0.0
Azure Cognitive Search serviços devem usar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para Azure Cognitive Search, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Deficientes 1.0.0
Azure Data Factory deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para Azure Data Factory, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Desativado 1.0.0
Azure Event Grid domínios devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu domínio Desembos em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Deficientes 1.0.2
Azure Event Grid tópicos devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu tópico De Classificação de Eventos em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Deficientes 1.0.2
Azure File Sync deve usar link privado A criação de um ponto final privado para o recurso indicado do Serviço de Sincronização de Armazenamento permite-lhe abordar o seu recurso De Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de através do ponto final público acessível à Internet. A criação de um ponto final privado por si só não desativa o ponto final público. AuditIfNotExists, Desativado 1.0.0
Espaços de trabalho de aprendizagem automática Azure devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para espaços de trabalho de aprendizagem automática Azure, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Auditoria, Negar, Deficientes 1.1.0
Azure Service Bus espaços de nome devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os espaços de nomes do Service Bus, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Desativado 1.0.0
Azure SignalR Service deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu recurso Azure SignalR Service em vez de todo o serviço, irá reduzir os riscos de fuga de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Auditoria, Deficientes 1.0.0
Azure Spring Cloud deve usar injeção de rede As instâncias Azure Spring Cloud devem utilizar a injeção de rede virtual para os seguintes fins: 1. Isole a nuvem de primavera de Azure da Internet. 2. Permita ao Azure Spring Cloud interagir com sistemas em centros de dados ou em Azure em outras redes virtuais. 3. Capacitar os clientes para controlar as comunicações de rede de entrada e saída para a Azure Spring Cloud. Auditoria, Deficientes, Negar 1.1.0
Azure Synapse espaços de trabalho devem usar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para Azure Synapse espaço de trabalho, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Auditoria, Deficientes 1.0.1
O Serviço Azure Web PubSub deve usar link privado Azure Private Link permite-lhe ligar as suas redes virtuais aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu Serviço Azure Web PubSub, pode reduzir os riscos de fuga de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Auditoria, Deficientes 1.0.0
Os Serviços Cognitivos devem usar link privado Azure Private Link permite-lhe ligar as suas redes virtuais aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para serviços cognitivos, você reduzirá o potencial de fuga de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Auditoria, Deficientes 3.0.0
Os registos de contentores devem utilizar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus registos de contentores em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/acr/private-link. Auditoria, Deficientes 1.0.1
As contas cosmosDB devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados na sua conta CosmosDB, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Auditoria, Deficientes 1.0.0
Implemente a extensão de Configuração de Convidado do Linux para possibilitar atribuições de Configuração de Convidado em VMs do Linux Esta política implementa a extensão de Configuração de Hóspedes Linux para máquinas virtuais Linux hospedadas em Azure que são suportadas pela Configuração do Convidado. A extensão de Configuração do Convidado Linux é um pré-requisito para todas as atribuições de Configuração de Hóspedes Linux e deve ser implantada em máquinas antes de utilizar qualquer definição de política de configuração de convidados Linux. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. implementarIfNotExists 3.0.0
Implemente a extensão de Configuração de Convidado do Windows para possibilitar atribuições da Configuração de Convidado em VMs do Windows Esta política implementa a extensão de Configuração do Windows Guest para máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração do Convidado. A extensão de configuração do Windows Guest é um pré-requisito para todas as atribuições de Configuração do Windows Guest e deve ser implantada em máquinas antes de utilizar qualquer definição de política de configuração do Windows Guest. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. implementarIfNotExists 1.2.0
Os recursos de acesso ao disco devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para diskAccesses, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Desativado 1.0.0
Os espaços de nomes do Event Hub devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os espaços de nomes do Event Hub, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Desativado 1.0.0
As aplicações de função devem ter depurado remoto A depuragem remota requer a abertura de portas de entrada em aplicações de função. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 2.0.0
Hub IoT instâncias de serviço de fornecimento de dispositivos devem utilizar ligações privadas Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o serviço de fornecimento de dispositivos Hub IoT, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Auditoria, Deficientes 1.0.0
As ligações privadas de ponto final na base de dados SQL do Azure devem ser ativadas As ligações de ponto final privados impõem uma comunicação segura, permitindo a conectividade privada à SQL do Azure Base de Dados. Auditoria, Deficientes 1.1.0
O ponto final privado deve ser ativado para servidores MariaDB As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Azure Database for MariaDB. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O ponto final privado deve ser ativado para servidores MySQL As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Base de Dados do Azure para MySQL. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O ponto final privado deve ser ativado para servidores PostgreSQL As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Base de Dados do Azure para PostgreSQL. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
As contas de armazenamento devem restringir o acesso à rede O acesso à rede às contas de armazenamento deve ser restringido. Configure as regras de rede para que apenas aplicações de redes permitidas possam aceder à conta de armazenamento. Para permitir ligações de clientes específicos da Internet ou no local, o acesso pode ser concedido ao tráfego a partir de redes virtuais específicas do Azure ou de intervalos de endereços IP da Internet pública Auditoria, Negar, Deficientes 1.1.1
As contas de armazenamento devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados na sua conta de armazenamento, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Desativado 2.0.0
Modelos de construtores de imagem VM devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus recursos de construção de VM Image Builder, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditoria, Deficientes, Negar 1.1.0

Auditoria e Responsabilização

Revisão, Análise e Reporte de Auditoria

ID: FedRAMP High AU-6 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Azure Arc habilitado a clusters Kubernetes deve ter Microsoft Defender para extensão Cloud instalada A extensão do Microsoft Defender for Cloud para O Arco Azure fornece proteção contra ameaças para os clusters Kubernetes ativados pelo Arco. A extensão recolhe dados de todos os nós do cluster e envia-os para o Azure Defender para kubernetes backend na nuvem para mais análise. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Desativado 6.0.0-pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais do Windows O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Defender para Resource Manager deve ser ativado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
O Azure Defender para SQL deve ser ativado para servidores de SQL do Azure desprotegidos Auditar servidores SQL sem Segurança Avançada de Dados AuditIfNotExists, Desativado 2.0.1
O Azure Defender para SQL deve ser ativado para instâncias geridas sem proteção do SQL A auditoria a cada SQL Managed Instance sem segurança avançada de dados. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
Microsoft Defender para contentores deve ser ativado O Microsoft Defender for Containers fornece proteções de endurecimento, vulnerabilidade e tempo de execução para os ambientes Azure, híbrido e multi-cloud Kubernetes. AuditIfNotExists, Desativado 1.0.0
Observador de Rede deve ser ativado Observador de Rede é um serviço regional que lhe permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, e a partir de Azure. A monitorização do nível do cenário permite diagnosticar problemas no final da vista do nível da rede. É necessário ter um grupo de recursos de observadores de rede a ser criado em todas as regiões onde uma rede virtual está presente. Um alerta é ativado se um grupo de recursos de observadores de rede não estiver disponível numa determinada região. AuditIfNotExists, Desativado 3.0.0

Análise e Análise Central

ID: FedRAMP High AU-6 (4) Propriedade: Compartilhado

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Azure Arc habilitado a clusters Kubernetes deve ter Microsoft Defender para extensão Cloud instalada A extensão do Microsoft Defender for Cloud para O Arco Azure fornece proteção contra ameaças para os clusters Kubernetes ativados pelo Arco. A extensão recolhe dados de todos os nós do cluster e envia-os para o Azure Defender para kubernetes backend na nuvem para mais análise. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Desativado 6.0.0-pré-visualização
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc Esta política audita máquinas Linux Azure Arc se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1 pré-visualização
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Windows Azure Arc Esta política audita as máquinas Windows Azure Arc se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais do Windows O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
Serviço de Aplicações aplicações devem ter registos de recursos ativados Auditoria habili possibilitando registos de recursos na aplicação. Isto permite-lhe recriar pistas de atividade para fins de investigação se ocorrer um incidente de segurança ou se a sua rede estiver comprometida. AuditIfNotExists, Desativado 2.0.1
A auditoria no servidor SQL deve ser ativada A auditoria ao seu SQL Server deve ser ativada para rastrear as atividades de base de dados em todas as bases de dados do servidor e guardá-las num registo de auditoria. AuditIfNotExists, Desativado 2.0.0
O fornecimento automático do agente Log Analytics deve ser ativado na sua subscrição Para monitorizar vulnerabilidades e ameaças de segurança, Centro de Segurança do Azure recolhe dados das suas máquinas virtuais Azure. Os dados são recolhidos pelo agente Log Analytics, anteriormente conhecido como O Agente de Monitorização da Microsoft (MMA), que lê várias configurações relacionadas com a segurança e registos de eventos da máquina e copia os dados para o seu espaço de trabalho Log Analytics para análise. Recomendamos que o fornecimento automático de auto-implantar automaticamente o agente em todos os VMs Azure suportados e quaisquer novos que sejam criados. AuditIfNotExists, Desativado 1.0.1
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Defender para Resource Manager deve ser ativado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
O Azure Defender para SQL deve ser ativado para servidores de SQL do Azure desprotegidos Auditar servidores SQL sem Segurança Avançada de Dados AuditIfNotExists, Desativado 2.0.1
O Azure Defender para SQL deve ser ativado para instâncias geridas sem proteção do SQL A auditoria a cada SQL Managed Instance sem segurança avançada de dados. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
A extensão de configuração do hóspede deve ser instalada nas suas máquinas Para garantir configurações seguras das definições no convidado da sua máquina, instale a extensão de Configuração do Hóspede. As definições no hóspede que os monitores de extensão incluem a configuração do sistema operativo, a configuração ou presença da aplicação e as definições do ambiente. Uma vez instaladas, as políticas in-guest estarão disponíveis, tais como "Windows Exploit guard deve ser ativada". Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, Desativado 1.0.2
O agente Log Analytics deve ser instalado na sua máquina virtual para monitorização Centro de Segurança do Azure Esta política audita quaisquer máquinas virtuais Windows/Linux (VMs) se o agente Log Analytics não for instalado, que o Security Center utiliza para monitorizar vulnerabilidades e ameaças de segurança AuditIfNotExists, Desativado 1.0.0
O agente Log Analytics deve ser instalado nos conjuntos de escala de máquinas virtuais para monitorização Centro de Segurança do Azure O Security Center recolhe dados das suas máquinas virtuais Azure (VMs) para monitorizar vulnerabilidades e ameaças de segurança. AuditIfNotExists, Desativado 1.0.0
Microsoft Defender para contentores deve ser ativado O Microsoft Defender for Containers fornece proteções de endurecimento, vulnerabilidade e tempo de execução para os ambientes Azure, híbrido e multi-cloud Kubernetes. AuditIfNotExists, Desativado 1.0.0
Observador de Rede deve ser ativado Observador de Rede é um serviço regional que lhe permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, e a partir de Azure. A monitorização do nível do cenário permite diagnosticar problemas no final da vista do nível da rede. É necessário ter um grupo de recursos de observadores de rede a ser criado em todas as regiões onde uma rede virtual está presente. Um alerta é ativado se um grupo de recursos de observadores de rede não estiver disponível numa determinada região. AuditIfNotExists, Desativado 3.0.0
Os registos de recursos na Azure Data Lake Store devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Azure Stream Analytics devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos nas contas do Lote devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Data Lake Analytics devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Event Hub devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Hub IoT devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 3.0.1
Os registos de recursos em Key Vault devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar pistas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Aplicações Lógicas devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos nos serviços de pesquisa devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Service Bus devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Conjuntos de Dimensionamento de Máquinas Virtuais devem ser ativados Recomenda-se que os Registos possam ser recriados quando são necessárias investigações em caso de incidente ou de compromisso. AuditIfNotExists, Desativado 2.1.0
A extensão de Configuração de Hóspedes das máquinas virtuais deve ser implementada com identidade gerida atribuída ao sistema A extensão de Configuração do Hóspede requer uma identidade gerida atribuída ao sistema. As máquinas virtuais Azure no âmbito desta política serão incompatíveis quando tiverem a extensão de Configuração do Hóspede instalada, mas não têm um sistema atribuído à identidade gerida. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, Desativado 1.0.1

Capacidades de Integração / Digitalização e Monitorização

ID: FedRAMP High AU-6 (5) Propriedade: Compartilhado

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Azure Arc habilitado a clusters Kubernetes deve ter Microsoft Defender para extensão Cloud instalada A extensão do Microsoft Defender for Cloud para O Arco Azure fornece proteção contra ameaças para os clusters Kubernetes ativados pelo Arco. A extensão recolhe dados de todos os nós do cluster e envia-os para o Azure Defender para kubernetes backend na nuvem para mais análise. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Desativado 6.0.0-pré-visualização
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc Esta política audita máquinas Linux Azure Arc se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1 pré-visualização
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Windows Azure Arc Esta política audita as máquinas Windows Azure Arc se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais do Windows O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
Serviço de Aplicações aplicações devem ter registos de recursos ativados Auditoria habili possibilitando registos de recursos na aplicação. Isto permite-lhe recriar pistas de atividade para fins de investigação se ocorrer um incidente de segurança ou se a sua rede estiver comprometida. AuditIfNotExists, Desativado 2.0.1
A auditoria no servidor SQL deve ser ativada A auditoria ao seu SQL Server deve ser ativada para rastrear as atividades de base de dados em todas as bases de dados do servidor e guardá-las num registo de auditoria. AuditIfNotExists, Desativado 2.0.0
O fornecimento automático do agente Log Analytics deve ser ativado na sua subscrição Para monitorizar vulnerabilidades e ameaças de segurança, Centro de Segurança do Azure recolhe dados das suas máquinas virtuais Azure. Os dados são recolhidos pelo agente Log Analytics, anteriormente conhecido como O Agente de Monitorização da Microsoft (MMA), que lê várias configurações relacionadas com a segurança e registos de eventos da máquina e copia os dados para o seu espaço de trabalho Log Analytics para análise. Recomendamos que o fornecimento automático de auto-implantar automaticamente o agente em todos os VMs Azure suportados e quaisquer novos que sejam criados. AuditIfNotExists, Desativado 1.0.1
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Defender para Resource Manager deve ser ativado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
O Azure Defender para SQL deve ser ativado para servidores de SQL do Azure desprotegidos Auditar servidores SQL sem Segurança Avançada de Dados AuditIfNotExists, Desativado 2.0.1
O Azure Defender para SQL deve ser ativado para instâncias geridas sem proteção do SQL A auditoria a cada SQL Managed Instance sem segurança avançada de dados. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
A extensão de configuração do hóspede deve ser instalada nas suas máquinas Para garantir configurações seguras das definições no convidado da sua máquina, instale a extensão de Configuração do Hóspede. As definições no hóspede que os monitores de extensão incluem a configuração do sistema operativo, a configuração ou presença da aplicação e as definições do ambiente. Uma vez instaladas, as políticas in-guest estarão disponíveis, tais como "Windows Exploit guard deve ser ativada". Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, Desativado 1.0.2
O agente Log Analytics deve ser instalado na sua máquina virtual para monitorização Centro de Segurança do Azure Esta política audita quaisquer máquinas virtuais Windows/Linux (VMs) se o agente Log Analytics não for instalado, que o Security Center utiliza para monitorizar vulnerabilidades e ameaças de segurança AuditIfNotExists, Desativado 1.0.0
O agente Log Analytics deve ser instalado nos conjuntos de escala de máquinas virtuais para monitorização Centro de Segurança do Azure O Security Center recolhe dados das suas máquinas virtuais Azure (VMs) para monitorizar vulnerabilidades e ameaças de segurança. AuditIfNotExists, Desativado 1.0.0
Microsoft Defender para contentores deve ser ativado O Microsoft Defender for Containers fornece proteções de endurecimento, vulnerabilidade e tempo de execução para os ambientes Azure, híbrido e multi-cloud Kubernetes. AuditIfNotExists, Desativado 1.0.0
Observador de Rede deve ser ativado Observador de Rede é um serviço regional que lhe permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, e a partir de Azure. A monitorização do nível do cenário permite diagnosticar problemas no final da vista do nível da rede. É necessário ter um grupo de recursos de observadores de rede a ser criado em todas as regiões onde uma rede virtual está presente. Um alerta é ativado se um grupo de recursos de observadores de rede não estiver disponível numa determinada região. AuditIfNotExists, Desativado 3.0.0
Os registos de recursos na Azure Data Lake Store devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Azure Stream Analytics devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos nas contas do Lote devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Data Lake Analytics devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Event Hub devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Hub IoT devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 3.0.1
Os registos de recursos em Key Vault devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar pistas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Aplicações Lógicas devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos nos serviços de pesquisa devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Service Bus devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Conjuntos de Dimensionamento de Máquinas Virtuais devem ser ativados Recomenda-se que os Registos possam ser recriados quando são necessárias investigações em caso de incidente ou de compromisso. AuditIfNotExists, Desativado 2.1.0
A extensão de Configuração de Hóspedes das máquinas virtuais deve ser implementada com identidade gerida atribuída ao sistema A extensão de Configuração do Hóspede requer uma identidade gerida atribuída ao sistema. As máquinas virtuais Azure no âmbito desta política serão incompatíveis quando tiverem a extensão de Configuração do Hóspede instalada, mas não têm um sistema atribuído à identidade gerida. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, Desativado 1.0.1

Retenção de Registos de Auditoria

ID: FedRAMP High AU-11 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os servidores SQL com auditoria ao destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou superior Para efeitos de investigação de incidentes, recomendamos definir a retenção de dados para a sua SQL Server' auditoria ao destino da conta de armazenamento para pelo menos 90 dias. Confirme que está a cumprir as regras de retenção necessárias para as regiões em que está a operar. Isto é, por vezes, necessário para o cumprimento das normas regulamentares. AuditIfNotExists, Desativado 3.0.0

Geração de Auditoria

ID: FedRAMP High AU-12 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Azure Arc habilitado a clusters Kubernetes deve ter Microsoft Defender para extensão Cloud instalada A extensão do Microsoft Defender for Cloud para O Arco Azure fornece proteção contra ameaças para os clusters Kubernetes ativados pelo Arco. A extensão recolhe dados de todos os nós do cluster e envia-os para o Azure Defender para kubernetes backend na nuvem para mais análise. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Desativado 6.0.0-pré-visualização
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc Esta política audita máquinas Linux Azure Arc se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1 pré-visualização
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Windows Azure Arc Esta política audita as máquinas Windows Azure Arc se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais do Windows O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
Serviço de Aplicações aplicações devem ter registos de recursos ativados Auditoria habili possibilitando registos de recursos na aplicação. Isto permite-lhe recriar pistas de atividade para fins de investigação se ocorrer um incidente de segurança ou se a sua rede estiver comprometida. AuditIfNotExists, Desativado 2.0.1
A auditoria no servidor SQL deve ser ativada A auditoria ao seu SQL Server deve ser ativada para rastrear as atividades de base de dados em todas as bases de dados do servidor e guardá-las num registo de auditoria. AuditIfNotExists, Desativado 2.0.0
O fornecimento automático do agente Log Analytics deve ser ativado na sua subscrição Para monitorizar vulnerabilidades e ameaças de segurança, Centro de Segurança do Azure recolhe dados das suas máquinas virtuais Azure. Os dados são recolhidos pelo agente Log Analytics, anteriormente conhecido como O Agente de Monitorização da Microsoft (MMA), que lê várias configurações relacionadas com a segurança e registos de eventos da máquina e copia os dados para o seu espaço de trabalho Log Analytics para análise. Recomendamos que o fornecimento automático de auto-implantar automaticamente o agente em todos os VMs Azure suportados e quaisquer novos que sejam criados. AuditIfNotExists, Desativado 1.0.1
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Defender para Resource Manager deve ser ativado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
O Azure Defender para SQL deve ser ativado para servidores de SQL do Azure desprotegidos Auditar servidores SQL sem Segurança Avançada de Dados AuditIfNotExists, Desativado 2.0.1
O Azure Defender para SQL deve ser ativado para instâncias geridas sem proteção do SQL A auditoria a cada SQL Managed Instance sem segurança avançada de dados. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
A extensão de configuração do hóspede deve ser instalada nas suas máquinas Para garantir configurações seguras das definições no convidado da sua máquina, instale a extensão de Configuração do Hóspede. As definições no hóspede que os monitores de extensão incluem a configuração do sistema operativo, a configuração ou presença da aplicação e as definições do ambiente. Uma vez instaladas, as políticas in-guest estarão disponíveis, tais como "Windows Exploit guard deve ser ativada". Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, Desativado 1.0.2
O agente Log Analytics deve ser instalado na sua máquina virtual para monitorização Centro de Segurança do Azure Esta política audita quaisquer máquinas virtuais Windows/Linux (VMs) se o agente Log Analytics não for instalado, que o Security Center utiliza para monitorizar vulnerabilidades e ameaças de segurança AuditIfNotExists, Desativado 1.0.0
O agente Log Analytics deve ser instalado nos conjuntos de escala de máquinas virtuais para monitorização Centro de Segurança do Azure O Security Center recolhe dados das suas máquinas virtuais Azure (VMs) para monitorizar vulnerabilidades e ameaças de segurança. AuditIfNotExists, Desativado 1.0.0
Microsoft Defender para contentores deve ser ativado O Microsoft Defender for Containers fornece proteções de endurecimento, vulnerabilidade e tempo de execução para os ambientes Azure, híbrido e multi-cloud Kubernetes. AuditIfNotExists, Desativado 1.0.0
Observador de Rede deve ser ativado Observador de Rede é um serviço regional que lhe permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, e a partir de Azure. A monitorização do nível do cenário permite diagnosticar problemas no final da vista do nível da rede. É necessário ter um grupo de recursos de observadores de rede a ser criado em todas as regiões onde uma rede virtual está presente. Um alerta é ativado se um grupo de recursos de observadores de rede não estiver disponível numa determinada região. AuditIfNotExists, Desativado 3.0.0
Os registos de recursos na Azure Data Lake Store devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Azure Stream Analytics devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos nas contas do Lote devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Data Lake Analytics devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Event Hub devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Hub IoT devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 3.0.1
Os registos de recursos em Key Vault devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar pistas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Aplicações Lógicas devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos nos serviços de pesquisa devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Service Bus devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Conjuntos de Dimensionamento de Máquinas Virtuais devem ser ativados Recomenda-se que os Registos possam ser recriados quando são necessárias investigações em caso de incidente ou de compromisso. AuditIfNotExists, Desativado 2.1.0
A extensão de Configuração de Hóspedes das máquinas virtuais deve ser implementada com identidade gerida atribuída ao sistema A extensão de Configuração do Hóspede requer uma identidade gerida atribuída ao sistema. As máquinas virtuais Azure no âmbito desta política serão incompatíveis quando tiverem a extensão de Configuração do Hóspede instalada, mas não têm um sistema atribuído à identidade gerida. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, Desativado 1.0.1

Trilho de auditoria em todo o sistema / relacionado com o tempo

ID: FedRAMP High AU-12 (1) Propriedade: Compartilhada

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Azure Arc habilitado a clusters Kubernetes deve ter Microsoft Defender para extensão Cloud instalada A extensão do Microsoft Defender for Cloud para O Arco Azure fornece proteção contra ameaças para os clusters Kubernetes ativados pelo Arco. A extensão recolhe dados de todos os nós do cluster e envia-os para o Azure Defender para kubernetes backend na nuvem para mais análise. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Desativado 6.0.0-pré-visualização
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc Esta política audita máquinas Linux Azure Arc se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1 pré-visualização
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Windows Azure Arc Esta política audita as máquinas Windows Azure Arc se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais do Windows O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
Serviço de Aplicações aplicações devem ter registos de recursos ativados Auditoria habili possibilitando registos de recursos na aplicação. Isto permite-lhe recriar pistas de atividade para fins de investigação se ocorrer um incidente de segurança ou se a sua rede estiver comprometida. AuditIfNotExists, Desativado 2.0.1
A auditoria no servidor SQL deve ser ativada A auditoria ao seu SQL Server deve ser ativada para rastrear as atividades de base de dados em todas as bases de dados do servidor e guardá-las num registo de auditoria. AuditIfNotExists, Desativado 2.0.0
O fornecimento automático do agente Log Analytics deve ser ativado na sua subscrição Para monitorizar vulnerabilidades e ameaças de segurança, Centro de Segurança do Azure recolhe dados das suas máquinas virtuais Azure. Os dados são recolhidos pelo agente Log Analytics, anteriormente conhecido como O Agente de Monitorização da Microsoft (MMA), que lê várias configurações relacionadas com a segurança e registos de eventos da máquina e copia os dados para o seu espaço de trabalho Log Analytics para análise. Recomendamos que o fornecimento automático de auto-implantar automaticamente o agente em todos os VMs Azure suportados e quaisquer novos que sejam criados. AuditIfNotExists, Desativado 1.0.1
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Defender para Resource Manager deve ser ativado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
O Azure Defender para SQL deve ser ativado para servidores de SQL do Azure desprotegidos Auditar servidores SQL sem Segurança Avançada de Dados AuditIfNotExists, Desativado 2.0.1
O Azure Defender para SQL deve ser ativado para instâncias geridas sem proteção do SQL A auditoria a cada SQL Managed Instance sem segurança avançada de dados. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
A extensão de configuração do hóspede deve ser instalada nas suas máquinas Para garantir configurações seguras das definições no convidado da sua máquina, instale a extensão de Configuração do Hóspede. As definições no hóspede que os monitores de extensão incluem a configuração do sistema operativo, a configuração ou presença da aplicação e as definições do ambiente. Uma vez instaladas, as políticas in-guest estarão disponíveis, tais como "Windows Exploit guard deve ser ativada". Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, Desativado 1.0.2
O agente Log Analytics deve ser instalado na sua máquina virtual para monitorização Centro de Segurança do Azure Esta política audita quaisquer máquinas virtuais Windows/Linux (VMs) se o agente Log Analytics não for instalado, que o Security Center utiliza para monitorizar vulnerabilidades e ameaças de segurança AuditIfNotExists, Desativado 1.0.0
O agente Log Analytics deve ser instalado nos conjuntos de escala de máquinas virtuais para monitorização Centro de Segurança do Azure O Security Center recolhe dados das suas máquinas virtuais Azure (VMs) para monitorizar vulnerabilidades e ameaças de segurança. AuditIfNotExists, Desativado 1.0.0
Microsoft Defender para contentores deve ser ativado O Microsoft Defender for Containers fornece proteções de endurecimento, vulnerabilidade e tempo de execução para os ambientes Azure, híbrido e multi-cloud Kubernetes. AuditIfNotExists, Desativado 1.0.0
Observador de Rede deve ser ativado Observador de Rede é um serviço regional que lhe permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, e a partir de Azure. A monitorização do nível do cenário permite diagnosticar problemas no final da vista do nível da rede. É necessário ter um grupo de recursos de observadores de rede a ser criado em todas as regiões onde uma rede virtual está presente. Um alerta é ativado se um grupo de recursos de observadores de rede não estiver disponível numa determinada região. AuditIfNotExists, Desativado 3.0.0
Os registos de recursos na Azure Data Lake Store devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Azure Stream Analytics devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos nas contas do Lote devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Data Lake Analytics devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Event Hub devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Hub IoT devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 3.0.1
Os registos de recursos em Key Vault devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar pistas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Aplicações Lógicas devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos nos serviços de pesquisa devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Service Bus devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Conjuntos de Dimensionamento de Máquinas Virtuais devem ser ativados Recomenda-se que os Registos possam ser recriados quando são necessárias investigações em caso de incidente ou de compromisso. AuditIfNotExists, Desativado 2.1.0
A extensão de Configuração de Hóspedes das máquinas virtuais deve ser implementada com identidade gerida atribuída ao sistema A extensão de Configuração do Hóspede requer uma identidade gerida atribuída ao sistema. As máquinas virtuais Azure no âmbito desta política serão incompatíveis quando tiverem a extensão de Configuração do Hóspede instalada, mas não têm um sistema atribuído à identidade gerida. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, Desativado 1.0.1

Gestão da Configuração

Definições de configuração

ID: FedRAMP High CM-6 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações aplicações devem ter "Certificados de Cliente (Certificados de cliente incoming)" ativados Os certificados de cliente permitem que a app solicite um certificado para pedidos de entrada. Apenas os clientes que tenham um certificado válido poderão chegar à aplicação. Auditoria, Deficientes 2.0.0
Serviço de Aplicações apps devem ter depuragem remota desligada A depuragem remota requer a abertura de portas de entrada numa aplicação Serviço de Aplicações. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 2.0.0
Serviço de Aplicações aplicações não devem ter CORS configurado para permitir que todos os recursos acedam às suas apps A Partilha de Recursos de Origem Cruzada (CORS) não deve permitir que todos os domínios acedam à sua aplicação. Permitir que apenas os domínios necessários interajam com a sua aplicação. AuditIfNotExists, Desativado 2.0.0
Azure Policy O Add-on para o serviço Kubernetes (AKS) deve ser instalado e ativado nos seus clusters Azure Policy Add-on for Kubernetes service (AKS) estende gatekeeper v3, um webhook do controlador de admissão para Open Policy Agent (OPA), para aplicar aplicações e salvaguardas em escala nos seus clusters de forma centralizada e consistente. Auditoria, Deficientes 1.0.2
As aplicações de função devem ter "Certificados de Cliente (certificados de cliente incoming)" ativados Os certificados de cliente permitem que a app solicite um certificado para pedidos de entrada. Apenas os clientes com certificados válidos poderão chegar à aplicação. Auditoria, Deficientes 2.0.0
As aplicações de função devem ter depurado remoto A depuragem remota requer a abertura de portas de entrada em aplicações de função. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 2.0.0
As aplicações de função não devem ter CORS configurado para permitir que todos os recursos acedam às suas apps A Partilha de Recursos de Origem Cruzada (CORS) não deve permitir que todos os domínios acedam à sua aplicação Function. Permitir que apenas os domínios necessários interajam com a sua aplicação Função. AuditIfNotExists, Desativado 2.0.0
Os contentores de agrupamento kubernetes CPU e os limites de recursos de memória não devem exceder os limites especificados Aplique os limites de CPU do contentor e dos recursos de memória para evitar ataques de exaustão de recursos num cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 8.0.0
Os recipientes de cluster Kubernetes não devem partilhar o ID do processo de anfitrião ou o espaço de nomes do IPC anfitrião Bloqueie os recipientes de pod de partilhar o espaço de identificação do processo de anfitrião e hospedar o espaço de nome IPC num cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3 que se destinam a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 4.0.1
Os contentores de agrupamento Kubernetes só devem utilizar perfis AppArmor autorizados Os recipientes só devem utilizar perfis AppArmor permitidos num cluster Kubernetes. Esta recomendação faz parte das Políticas de Segurança da Pod que se destinam a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 5.0.0
Os recipientes de agrupamento kubernetes só devem utilizar capacidades permitidas Restringir as capacidades para reduzir a superfície de ataque de contentores num aglomerado de Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9 que se destinam a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 5.0.1
Os contentores de agrupamento kubernetes só devem usar imagens permitidas Utilize imagens de registos fidedignos para reduzir o risco de exposição do cluster Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 8.0.0
Os recipientes de agrupamento de Kubernetes devem funcionar com um sistema de ficheiros de raiz apenas lido Executar recipientes com um sistema de ficheiros de raiz apenas lido para proteger contra alterações no tempo de execução, com binários maliciosos adicionados ao PATH num cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 5.0.0
Os volumes de hospedeiros de cluster Kubernetes só devem utilizar caminhos de hospedeiro permitidos O volume do hostPath limita-se aos caminhos de hospedeiro permitidos num Cluster Kubernetes. Esta recomendação faz parte das Políticas de Segurança da Pod que se destinam a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 5.0.1
As cápsulas e contentores de agrupamento kubernetes só devem funcionar com iDs de utilizador e grupo aprovados Controle o utilizador, grupo primário, grupo suplementar e iDs do grupo de sistemas de ficheiros que as cápsulas e recipientes podem usar para funcionar num Cluster Kubernetes. Esta recomendação faz parte das Políticas de Segurança da Pod que se destinam a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 5.0.2
As cápsulas de cluster Kubernetes só devem utilizar a rede de anfitriões aprovada e a gama portuária Restringir o acesso do casulo à rede de anfitriões e à gama de portas de hospedeiro admissível num cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 5.0.0
Os serviços de cluster kubernetes só devem ouvir em portas permitidas Restringir os serviços para ouvir apenas em portas permitidas para garantir o acesso ao cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 7.0.0
O cluster Kubernetes não deve permitir contentores privilegiados Não permita a criação de contentores privilegiados num aglomerado de Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 8.0.0
Os clusters do Kubernetes não devem permitir o escalamento de privilégios dos contentores Não permita que os recipientes corram com uma escalada de privilégio para enraizar num aglomerado de Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS), e pré-visualização para AKS Engine e Azure Arc habilitado a Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativar, desativar 6.0.1
As máquinas Linux devem satisfazer os requisitos para a linha de segurança do cálculo Azure Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança do cálculo Azure. AuditIfNotExists, Desativado 2.0.0
As máquinas windows devem satisfazer os requisitos da linha de segurança do cálculo Azure Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança do cálculo Azure. AuditIfNotExists, Desativado 2.0.0

Menor funcionalidade

ID: FedRAMP High CM-7 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os controlos de aplicação adaptativos para definir aplicações seguras devem ser ativados nas suas máquinas Ative os controlos de aplicação para definir a lista de aplicações conhecidas e seguras em execução nas suas máquinas e alerte-o quando outras aplicações são executadas. Isto ajuda a endurecer as suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das suas regras, o Security Center utiliza machine learning para analisar as aplicações em funcionamento em cada máquina e sugerir a lista de aplicações conhecidas e seguras. AuditIfNotExists, Desativado 3.0.0
As regras da lista de admissões na sua política de controlo de aplicações adaptativas devem ser atualizadas Monitorize as alterações de comportamento em grupos de máquinas configuradas para auditoria através dos controlos de aplicação adaptativas da Centro de Segurança do Azure. O Security Center utiliza machine learning para analisar os processos de funcionamento das suas máquinas e sugere uma lista de aplicações conhecidas e seguras. Estas são apresentadas como aplicações recomendadas para permitir políticas de controlo de aplicações adaptativas. AuditIfNotExists, Desativado 3.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3

Impedir a execução do programa

ID: FedRAMP High CM-7 (2) Propriedade: Compartilhado

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os controlos de aplicação adaptativos para definir aplicações seguras devem ser ativados nas suas máquinas Ative os controlos de aplicação para definir a lista de aplicações conhecidas e seguras em execução nas suas máquinas e alerte-o quando outras aplicações são executadas. Isto ajuda a endurecer as suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das suas regras, o Security Center utiliza machine learning para analisar as aplicações em funcionamento em cada máquina e sugerir a lista de aplicações conhecidas e seguras. AuditIfNotExists, Desativado 3.0.0
As regras da lista de admissões na sua política de controlo de aplicações adaptativas devem ser atualizadas Monitorize as alterações de comportamento em grupos de máquinas configuradas para auditoria através dos controlos de aplicação adaptativas da Centro de Segurança do Azure. O Security Center utiliza machine learning para analisar os processos de funcionamento das suas máquinas e sugere uma lista de aplicações conhecidas e seguras. Estas são apresentadas como aplicações recomendadas para permitir políticas de controlo de aplicações adaptativas. AuditIfNotExists, Desativado 3.0.0

Software autorizado / Whitelisting

ID: FedRAMP High CM-7 (5) Propriedade: Compartilhado

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os controlos de aplicação adaptativos para definir aplicações seguras devem ser ativados nas suas máquinas Ative os controlos de aplicação para definir a lista de aplicações conhecidas e seguras em execução nas suas máquinas e alerte-o quando outras aplicações são executadas. Isto ajuda a endurecer as suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das suas regras, o Security Center utiliza machine learning para analisar as aplicações em funcionamento em cada máquina e sugerir a lista de aplicações conhecidas e seguras. AuditIfNotExists, Desativado 3.0.0
As regras da lista de admissões na sua política de controlo de aplicações adaptativas devem ser atualizadas Monitorize as alterações de comportamento em grupos de máquinas configuradas para auditoria através dos controlos de aplicação adaptativas da Centro de Segurança do Azure. O Security Center utiliza machine learning para analisar os processos de funcionamento das suas máquinas e sugere uma lista de aplicações conhecidas e seguras. Estas são apresentadas como aplicações recomendadas para permitir políticas de controlo de aplicações adaptativas. AuditIfNotExists, Desativado 3.0.0

Restrições de utilização de software

ID: FedRAMP High CM-10 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os controlos de aplicação adaptativos para definir aplicações seguras devem ser ativados nas suas máquinas Ative os controlos de aplicação para definir a lista de aplicações conhecidas e seguras em execução nas suas máquinas e alerte-o quando outras aplicações são executadas. Isto ajuda a endurecer as suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das suas regras, o Security Center utiliza machine learning para analisar as aplicações em funcionamento em cada máquina e sugerir a lista de aplicações conhecidas e seguras. AuditIfNotExists, Desativado 3.0.0
As regras da lista de admissões na sua política de controlo de aplicações adaptativas devem ser atualizadas Monitorize as alterações de comportamento em grupos de máquinas configuradas para auditoria através dos controlos de aplicação adaptativas da Centro de Segurança do Azure. O Security Center utiliza machine learning para analisar os processos de funcionamento das suas máquinas e sugere uma lista de aplicações conhecidas e seguras. Estas são apresentadas como aplicações recomendadas para permitir políticas de controlo de aplicações adaptativas. AuditIfNotExists, Desativado 3.0.0

Software instalado pelo utilizador

ID: FedRAMP High CM-11 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os controlos de aplicação adaptativos para definir aplicações seguras devem ser ativados nas suas máquinas Ative os controlos de aplicação para definir a lista de aplicações conhecidas e seguras em execução nas suas máquinas e alerte-o quando outras aplicações são executadas. Isto ajuda a endurecer as suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das suas regras, o Security Center utiliza machine learning para analisar as aplicações em funcionamento em cada máquina e sugerir a lista de aplicações conhecidas e seguras. AuditIfNotExists, Desativado 3.0.0
As regras da lista de admissões na sua política de controlo de aplicações adaptativas devem ser atualizadas Monitorize as alterações de comportamento em grupos de máquinas configuradas para auditoria através dos controlos de aplicação adaptativas da Centro de Segurança do Azure. O Security Center utiliza machine learning para analisar os processos de funcionamento das suas máquinas e sugere uma lista de aplicações conhecidas e seguras. Estas são apresentadas como aplicações recomendadas para permitir políticas de controlo de aplicações adaptativas. AuditIfNotExists, Desativado 3.0.0

Planeamento de Contingência

Local de armazenamento alternativo

ID: FedRAMP High CP-6 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A cópia de segurança geo-redundante deve ser ativada para Azure Database for MariaDB Azure Database for MariaDB permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
A cópia de segurança geo-redundante deve ser ativada para Base de Dados do Azure para MySQL Base de Dados do Azure para MySQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
O backup geo-redundante deve ser ativado para Base de Dados do Azure para PostgreSQL Base de Dados do Azure para PostgreSQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
O armazenamento geo-redundante deve ser ativado para contas de armazenamento Use geo-redundância para criar aplicações altamente disponíveis Auditoria, Deficientes 1.0.0
Backup geo-redundante a longo prazo deve ser ativado para SQL do Azure bases de dados Esta política audita qualquer SQL do Azure Base de Dados com cópias de segurança geo-redundantes a longo prazo não ativadas. AuditIfNotExists, Desativado 2.0.0

Separação do Local Primário

ID: FedRAMP High CP-6 (1) Propriedade: Compartilhada

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A cópia de segurança geo-redundante deve ser ativada para Azure Database for MariaDB Azure Database for MariaDB permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
A cópia de segurança geo-redundante deve ser ativada para Base de Dados do Azure para MySQL Base de Dados do Azure para MySQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
O backup geo-redundante deve ser ativado para Base de Dados do Azure para PostgreSQL Base de Dados do Azure para PostgreSQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
O armazenamento geo-redundante deve ser ativado para contas de armazenamento Use geo-redundância para criar aplicações altamente disponíveis Auditoria, Deficientes 1.0.0
Backup geo-redundante a longo prazo deve ser ativado para SQL do Azure bases de dados Esta política audita qualquer SQL do Azure Base de Dados com cópias de segurança geo-redundantes a longo prazo não ativadas. AuditIfNotExists, Desativado 2.0.0

Local de processamento alternativo

ID: FedRAMP High CP-7 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar máquinas virtuais sem recuperação de desastres configurada Auditar máquinas virtuais que não tenham recuperação de desastres configuradas. Para saber mais sobre a recuperação de desastres, visite https://aka.ms/asr-doc. auditIfNotExists 1.0.0

Backup do sistema de informação

ID: FedRAMP High CP-9 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Azure Backup deve ser habilitado para Máquinas Virtuais Certifique-se de que o seu Azure Máquinas Virtuais, permitindo Azure Backup. Azure Backup é uma solução segura e eficaz de proteção de dados para a Azure. AuditIfNotExists, Desativado 3.0.0
A cópia de segurança geo-redundante deve ser ativada para Azure Database for MariaDB Azure Database for MariaDB permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
A cópia de segurança geo-redundante deve ser ativada para Base de Dados do Azure para MySQL Base de Dados do Azure para MySQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
O backup geo-redundante deve ser ativado para Base de Dados do Azure para PostgreSQL Base de Dados do Azure para PostgreSQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
Os cofres-chave devem ter proteção de purga ativada A eliminação maliciosa de um cofre chave pode levar à perda permanente de dados. Um infiltrado malicioso na sua organização pode potencialmente apagar e purgar cofres de chaves. A proteção de purga protege-o de ataques de infiltrados, impondo um período de retenção obrigatório para cofres-chave apagados suaves. Ninguém dentro da sua organização ou microsoft será capaz de limpar os seus cofres chave durante o período de retenção de eliminação suave. Auditoria, Negar, Deficientes 2.0.0
As abóbadas-chave devem ter a eliminação suave ativada A eliminação de um cofre de chaves sem eliminação suave ativada elimina permanentemente todos os segredos, chaves e certificados armazenados no cofre da chave. A eliminação acidental de um cofre chave pode levar à perda permanente de dados. A eliminação suave permite-lhe recuperar um cofre de teclas acidentalmente eliminado durante um período de retenção configurável. Auditoria, Negar, Deficientes 3.0.0

Identificação e Autenticação

Identificação e Autenticação (Utilizadores organizacionais)

ID: FedRAMP High IA-2 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um administrador do Azure Ative Directory deve ser a provisionado para servidores SQL Fornecimento de auditoria de um administrador do Azure Ative Directory para o seu servidor SQL para permitir a autenticação Azure AD. Azure AD a autenticação permite uma gestão simplificada da permissão e uma gestão centralizada da identidade dos utilizadores de bases de dados e outros serviços da Microsoft AuditIfNotExists, Desativado 1.0.0
Serviço de Aplicações aplicações devem usar identidade gerida Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 3.0.0
As contas dos Serviços Cognitivos devem ter métodos de autenticação locais desativados A desativação dos métodos de autenticação local melhora a segurança, garantindo que as contas dos Serviços Cognitivos requerem identidades do Azure Ative Directory exclusivamente para a autenticação. Saiba mais em: https://aka.ms/cs/auth. Auditoria, Negar, Deficientes 1.0.0
As aplicações de função devem usar identidade gerida Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 3.0.0
A MFA deve ser ativada em contas com permissões de escrita na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de escrita para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0
MFA deve ser ativado em contas com permissões do proprietário na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com permissões do proprietário para evitar uma violação de contas ou recursos. AuditIfNotExists, Desativado 3.0.0
MFA deve ser ativado em contas com permissões de leitura na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0
Os clusters de tecido de serviço só devem utilizar o Azure Ative Directy para a autenticação do cliente Utilização de auditoria da autenticação do cliente apenas através do Azure Ative Directory in Service Fabric Auditoria, Negar, Deficientes 1.1.0

Acesso à Rede a Contas Privilegiadas

ID: FedRAMP High IA-2 (1) Propriedade: Compartilhada

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A MFA deve ser ativada em contas com permissões de escrita na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de escrita para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0
MFA deve ser ativado em contas com permissões do proprietário na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com permissões do proprietário para evitar uma violação de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

Acesso à Rede a Contas Não Privilegiadas

ID: FedRAMP High IA-2 (2) Propriedade: Compartilhada

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
MFA deve ser ativado em contas com permissões de leitura na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

Gestão de Identificador

ID: FedRAMP High IA-4 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um administrador do Azure Ative Directory deve ser a provisionado para servidores SQL Fornecimento de auditoria de um administrador do Azure Ative Directory para o seu servidor SQL para permitir a autenticação Azure AD. Azure AD a autenticação permite uma gestão simplificada da permissão e uma gestão centralizada da identidade dos utilizadores de bases de dados e outros serviços da Microsoft AuditIfNotExists, Desativado 1.0.0
Serviço de Aplicações aplicações devem usar identidade gerida Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 3.0.0
As contas dos Serviços Cognitivos devem ter métodos de autenticação locais desativados A desativação dos métodos de autenticação local melhora a segurança, garantindo que as contas dos Serviços Cognitivos requerem identidades do Azure Ative Directory exclusivamente para a autenticação. Saiba mais em: https://aka.ms/cs/auth. Auditoria, Negar, Deficientes 1.0.0
As aplicações de função devem usar identidade gerida Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 3.0.0
Os clusters de tecido de serviço só devem utilizar o Azure Ative Directy para a autenticação do cliente Utilização de auditoria da autenticação do cliente apenas através do Azure Ative Directory in Service Fabric Auditoria, Negar, Deficientes 1.1.0

Gestão de Autenticadores

ID: FedRAMP High IA-5 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Os certificados devem ter o período máximo de validade especificado Gerencie os seus requisitos de conformidade organizacional especificando o tempo máximo de tempo que um certificado pode ser válido dentro do seu cofre de chaves. auditoria, auditoria, negar, negar, desativar, desativar 2.2.0-pré-visualização
Adicione identidade gerida atribuída ao sistema para permitir atribuições de Configuração de Hóspedes em máquinas virtuais sem identidades Esta política adiciona uma identidade gerida atribuída ao sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidados mas não têm identidades geridas. Uma identidade gerida atribuída pelo sistema é um pré-requisito para todas as atribuições de Configuração de Hóspedes e deve ser adicionada às máquinas antes de utilizar quaisquer definições de política de Configuração de Convidados. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. modificar 4.0.0
Adicionar identidade gerida atribuída ao sistema para permitir atribuições de Configuração de Hóspedes em VMs com uma identidade atribuída ao utilizador Esta política adiciona uma identidade gerida atribuída ao sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração do Hóspede e têm pelo menos uma identidade atribuída ao utilizador, mas não têm uma identidade gerida atribuída ao sistema. Uma identidade gerida atribuída pelo sistema é um pré-requisito para todas as atribuições de Configuração de Hóspedes e deve ser adicionada às máquinas antes de utilizar quaisquer definições de política de Configuração de Convidados. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. modificar 4.0.0
Auditar máquinas Linux que não têm as permissões de ficheiros passwd definidas para 0644 Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux não tiverem as permissões de ficheiros passwd definidas para 0644 AuditIfNotExists, Desativado 3.0.0
Auditar máquinas windows que não armazenam palavras-passe usando encriptação reversível Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas do Windows não armazenarem palavras-passe utilizando encriptação reversível AuditIfNotExists, Desativado 2.0.0
A autenticação nas máquinas Linux deve necessitar de chaves SSH Embora o próprio SSH forneça uma ligação encriptada, usar palavras-passe com SSH ainda deixa o VM vulnerável a ataques de força bruta. A opção mais segura para autenticar uma máquina virtual Azure Linux sobre SSH é com um par de chaves público-privado, também conhecido como teclas SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Desativado 3.0.0
Implemente a extensão de Configuração de Convidado do Linux para possibilitar atribuições de Configuração de Convidado em VMs do Linux Esta política implementa a extensão de Configuração de Hóspedes Linux para máquinas virtuais Linux hospedadas em Azure que são suportadas pela Configuração do Convidado. A extensão de Configuração do Convidado Linux é um pré-requisito para todas as atribuições de Configuração de Hóspedes Linux e deve ser implantada em máquinas antes de utilizar qualquer definição de política de configuração de convidados Linux. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. implementarIfNotExists 3.0.0
Implemente a extensão de Configuração de Convidado do Windows para possibilitar atribuições da Configuração de Convidado em VMs do Windows Esta política implementa a extensão de Configuração do Windows Guest para máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração do Convidado. A extensão de configuração do Windows Guest é um pré-requisito para todas as atribuições de Configuração do Windows Guest e deve ser implantada em máquinas antes de utilizar qualquer definição de política de configuração do Windows Guest. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. implementarIfNotExists 1.2.0
Key Vault chaves devem ter uma data de validade As teclas criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre proporcionam a um potencial intruso mais tempo para comprometer a chave. É uma prática de segurança recomendada para definir datas de validade em teclas criptográficas. Auditoria, Negar, Deficientes 1.0.2
Key Vault segredos devem ter uma data de validade Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um potencial atacante mais tempo para comprometê-los. É uma prática de segurança recomendada para definir datas de validade em segredos. Auditoria, Negar, Deficientes 1.0.2

Autenticação baseada em palavras-passe

ID: FedRAMP High IA-5 (1) Propriedade: Compartilhada

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Adicione identidade gerida atribuída ao sistema para permitir atribuições de Configuração de Hóspedes em máquinas virtuais sem identidades Esta política adiciona uma identidade gerida atribuída ao sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidados mas não têm identidades geridas. Uma identidade gerida atribuída pelo sistema é um pré-requisito para todas as atribuições de Configuração de Hóspedes e deve ser adicionada às máquinas antes de utilizar quaisquer definições de política de Configuração de Convidados. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. modificar 4.0.0
Adicionar identidade gerida atribuída ao sistema para permitir atribuições de Configuração de Hóspedes em VMs com uma identidade atribuída ao utilizador Esta política adiciona uma identidade gerida atribuída ao sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração do Hóspede e têm pelo menos uma identidade atribuída ao utilizador, mas não têm uma identidade gerida atribuída ao sistema. Uma identidade gerida atribuída pelo sistema é um pré-requisito para todas as atribuições de Configuração de Hóspedes e deve ser adicionada às máquinas antes de utilizar quaisquer definições de política de Configuração de Convidados. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. modificar 4.0.0
Auditar máquinas Linux que não têm as permissões de ficheiros passwd definidas para 0644 Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux não tiverem as permissões de ficheiros passwd definidas para 0644 AuditIfNotExists, Desativado 3.0.0
Auditar máquinas Windows que permitem reutilizar as 24 palavras-passe anteriores Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas windows permitirem a reutilização das 24 palavras-passe anteriores AuditIfNotExists, Desativado 2.0.0
Auditar máquinas Windows que não têm uma idade máxima de senha de 70 dias Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows não tiverem uma idade máxima de 70 dias de senha AuditIfNotExists, Desativado 2.0.0
Auditar máquinas Windows que não têm uma senha mínima de 1 dia Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows não tiverem uma idade mínima de 1 dia AuditIfNotExists, Desativado 2.0.0
Auditar máquinas Windows que não têm a definição de complexidade da palavra-passe ativada Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas windows que não têm a definição de complexidade da palavra-passe ativadas AuditIfNotExists, Desativado 2.0.0
Auditar máquinas Windows que não restringem o comprimento mínimo da palavra-passe a 14 caracteres Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas do Windows não restringirem o comprimento mínimo da palavra-passe a 14 caracteres AuditIfNotExists, Desativado 2.0.0
Auditar máquinas windows que não armazenam palavras-passe usando encriptação reversível Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas do Windows não armazenarem palavras-passe utilizando encriptação reversível AuditIfNotExists, Desativado 2.0.0
Implemente a extensão de Configuração de Convidado do Linux para possibilitar atribuições de Configuração de Convidado em VMs do Linux Esta política implementa a extensão de Configuração de Hóspedes Linux para máquinas virtuais Linux hospedadas em Azure que são suportadas pela Configuração do Convidado. A extensão de Configuração do Convidado Linux é um pré-requisito para todas as atribuições de Configuração de Hóspedes Linux e deve ser implantada em máquinas antes de utilizar qualquer definição de política de configuração de convidados Linux. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. implementarIfNotExists 3.0.0
Implemente a extensão de Configuração de Convidado do Windows para possibilitar atribuições da Configuração de Convidado em VMs do Windows Esta política implementa a extensão de Configuração do Windows Guest para máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração do Convidado. A extensão de configuração do Windows Guest é um pré-requisito para todas as atribuições de Configuração do Windows Guest e deve ser implantada em máquinas antes de utilizar qualquer definição de política de configuração do Windows Guest. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. implementarIfNotExists 1.2.0

Resposta a Incidentes

Tratamento de Incidentes

ID: FedRAMP High IR-4 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Defender para Resource Manager deve ser ativado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
O Azure Defender para SQL deve ser ativado para servidores de SQL do Azure desprotegidos Auditar servidores SQL sem Segurança Avançada de Dados AuditIfNotExists, Desativado 2.0.1
O Azure Defender para SQL deve ser ativado para instâncias geridas sem proteção do SQL A auditoria a cada SQL Managed Instance sem segurança avançada de dados. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
Email notificação para alertas de alta gravidade deve ser ativada Para garantir que as pessoas relevantes da sua organização são notificadas quando há uma potencial falha de segurança numa das suas subscrições, ative notificações de e-mail para alertas de alta gravidade no Centro de Segurança. AuditIfNotExists, Desativado 1.0.1
Email notificação ao proprietário da subscrição para alertas de alta gravidade deve ser ativado Para garantir que os seus proprietários de subscrição são notificados quando houver uma potencial falha de segurança na sua subscrição, desemote notificações de e-mail aos proprietários de subscrições para alertas de alta gravidade no Security Center. AuditIfNotExists, Desativado 2.0.0
Microsoft Defender para contentores deve ser ativado O Microsoft Defender for Containers fornece proteções de endurecimento, vulnerabilidade e tempo de execução para os ambientes Azure, híbrido e multi-cloud Kubernetes. AuditIfNotExists, Desativado 1.0.0
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança Para garantir que as pessoas relevantes da sua organização são notificadas quando há uma potencial falha de segurança numa das suas subscrições, desaça um contacto de segurança para receber notificações de e-mail do Security Center. AuditIfNotExists, Desativado 1.0.1

Monitorização de Incidentes

ID: FedRAMP High IR-5 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Defender para Resource Manager deve ser ativado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
O Azure Defender para SQL deve ser ativado para servidores de SQL do Azure desprotegidos Auditar servidores SQL sem Segurança Avançada de Dados AuditIfNotExists, Desativado 2.0.1
O Azure Defender para SQL deve ser ativado para instâncias geridas sem proteção do SQL A auditoria a cada SQL Managed Instance sem segurança avançada de dados. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
Email notificação para alertas de alta gravidade deve ser ativada Para garantir que as pessoas relevantes da sua organização são notificadas quando há uma potencial falha de segurança numa das suas subscrições, ative notificações de e-mail para alertas de alta gravidade no Centro de Segurança. AuditIfNotExists, Desativado 1.0.1
Email notificação ao proprietário da subscrição para alertas de alta gravidade deve ser ativado Para garantir que os seus proprietários de subscrição são notificados quando houver uma potencial falha de segurança na sua subscrição, desemote notificações de e-mail aos proprietários de subscrições para alertas de alta gravidade no Security Center. AuditIfNotExists, Desativado 2.0.0
Microsoft Defender para contentores deve ser ativado O Microsoft Defender for Containers fornece proteções de endurecimento, vulnerabilidade e tempo de execução para os ambientes Azure, híbrido e multi-cloud Kubernetes. AuditIfNotExists, Desativado 1.0.0
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança Para garantir que as pessoas relevantes da sua organização são notificadas quando há uma potencial falha de segurança numa das suas subscrições, desaça um contacto de segurança para receber notificações de e-mail do Security Center. AuditIfNotExists, Desativado 1.0.1

Avaliação de Riscos

Digitalização de vulnerabilidades

ID: FedRAMP High RA-5 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidades deve ser ativada nas suas máquinas virtuais Audita máquinas virtuais para detetar se estão a executar uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de risco cibernético e de segurança é a identificação e análise de vulnerabilidades. O nível de preços padrão da Centro de Segurança do Azure inclui a verificação de vulnerabilidades para as suas máquinas virtuais sem custos adicionais. Além disso, o Security Center pode implantar automaticamente esta ferramenta para si. AuditIfNotExists, Desativado 3.0.0
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Defender para Resource Manager deve ser ativado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
O Azure Defender para SQL deve ser ativado para servidores de SQL do Azure desprotegidos Auditar servidores SQL sem Segurança Avançada de Dados AuditIfNotExists, Desativado 2.0.1
O Azure Defender para SQL deve ser ativado para instâncias geridas sem proteção do SQL A auditoria a cada SQL Managed Instance sem segurança avançada de dados. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
Imagens de registo de contentores devem ter conclusões de vulnerabilidade resolvidas A avaliação da vulnerabilidade da imagem do contentor verifica o seu registo de vulnerabilidades de segurança e expõe resultados detalhados para cada imagem. A resolução das vulnerabilidades pode melhorar consideravelmente a postura de segurança dos seus contentores e protegê-las de ataques. AuditIfNotExists, Desativado 2.0.1
Microsoft Defender para contentores deve ser ativado O Microsoft Defender for Containers fornece proteções de endurecimento, vulnerabilidade e tempo de execução para os ambientes Azure, híbrido e multi-cloud Kubernetes. AuditIfNotExists, Desativado 1.0.0
Bases de dados SQL devem ter resultados de vulnerabilidade resolvidos Monitorize os resultados da avaliação da vulnerabilidade e recomendações sobre como remediar as vulnerabilidades da base de dados. AuditIfNotExists, Desativado 4.0.0
Servidores SQL em máquinas devem ter conclusões de vulnerabilidade resolvidas A avaliação da vulnerabilidade SQL analisa a sua base de dados por vulnerabilidades de segurança e expõe quaisquer desvios das melhores práticas, tais como configurações erradas, permissões excessivas e dados sensíveis desprotegidos. A resolução das vulnerabilidades encontradas pode melhorar consideravelmente a sua postura de segurança na base de dados. AuditIfNotExists, Desativado 1.0.0
As vulnerabilidades nas configurações de segurança dos contentores devem ser remediadas Auditar vulnerabilidades na configuração de segurança em máquinas com Docker instalado e exibir como recomendações em Centro de Segurança do Azure. AuditIfNotExists, Desativado 3.0.0
As vulnerabilidades na configuração de segurança das suas máquinas devem ser remediadas Os servidores que não satisfaçam a linha de base configurada serão monitorizados por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
As vulnerabilidades na configuração de segurança nos conjuntos de escala de máquina virtual devem ser remediadas Audite as vulnerabilidades do SO nos conjuntos de escala de máquinas virtuais para protegê-los de ataques. AuditIfNotExists, Desativado 3.0.0
A avaliação da vulnerabilidade deve ser ativada em SQL Managed Instance A auditoria a cada SQL Managed Instance que não tem avaliações de vulnerabilidade recorrentes ativadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir potenciais vulnerabilidades de base de dados. AuditIfNotExists, Desativado 1.0.1
A avaliação da vulnerabilidade deve ser ativada nos seus servidores SQL A auditoria SQL do Azure servidores que não têm verificações de avaliação de vulnerabilidade recorrentes ativadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir potenciais vulnerabilidades de base de dados. AuditIfNotExists, Desativado 2.0.0
A avaliação da vulnerabilidade deve ser ativada nos seus espaços de trabalho da Sinapse Descubra, rastreie e remediar potenciais vulnerabilidades configurando análises recorrentes de vulnerabilidades SQL nos seus espaços de trabalho da Sinapse. AuditIfNotExists, Desativado 1.0.0

Proteção de Sistemas e Comunicações

Isolamento da Função de Segurança

ID: FedRAMP High SC-3 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
A solução de proteção do ponto final deve ser instalada em conjuntos de escala de máquina virtual Audite a existência e a saúde de uma solução de proteção de pontos finais nos conjuntos de escala de máquinas virtuais, para protegê-las de ameaças e vulnerabilidades. AuditIfNotExists, Desativado 3.0.0
Monitor que falta proteção de ponto final em Centro de Segurança do Azure Os servidores sem um agente instalado de Proteção de Pontos Finais serão monitorizados por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
Windows Defender Exploit Guard deve ser ativado nas suas máquinas Windows Defender Exploit Guard usa o agente de configuração de Azure Policy convidado. A Exploit Guard tem quatro componentes que são projetados para bloquear dispositivos contra uma grande variedade de vetores de ataque e comportamentos de bloqueio geralmente usados em ataques de malware, ao mesmo tempo que permite às empresas equilibrar os seus requisitos de risco de segurança e produtividade (apenas Windows). AuditIfNotExists, Desativado 2.0.0

Negação de Proteção de Serviços

ID: FedRAMP High SC-5 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A Padrão de Proteção Azure DDoS deve ser ativado A norma de proteção DDoS deve ser ativada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicações com um IP público. AuditIfNotExists, Desativado 3.0.0
Azure Firewall de Aplicações Web deve ser ativado para pontos de entrada da porta frontal Azure Implementar a Azure Firewall de Aplicações Web (WAF) em frente a aplicações web viradas para o público para uma inspeção adicional do tráfego de entrada. Firewall de Aplicações Web (WAF) fornece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, tais como injeções DE SQL, Scripting cross-site, execuções de ficheiros locais e remotos. Também pode restringir o acesso às suas aplicações web por países, intervalos de endereços IP e outros parâmetros http(s) através de regras personalizadas. Auditoria, Negar, Deficientes 1.0.2
O encaminhamento IP na sua máquina virtual deve ser desativado Permitir o encaminhamento ip no NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O reencaminhamento IP raramente é necessário (por exemplo, quando se utiliza o VM como aparelho virtual de rede), pelo que este deve ser revisto pela equipa de segurança da rede. AuditIfNotExists, Desativado 3.0.0
Firewall de Aplicações Web (WAF) deve ser ativado para Gateway de Aplicação Implementar a Azure Firewall de Aplicações Web (WAF) em frente a aplicações web viradas para o público para uma inspeção adicional do tráfego de entrada. Firewall de Aplicações Web (WAF) fornece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, tais como injeções DE SQL, Scripting cross-site, execuções de ficheiros locais e remotos. Também pode restringir o acesso às suas aplicações web por países, intervalos de endereços IP e outros parâmetros http(s) através de regras personalizadas. Auditoria, Negar, Deficientes 2.0.0

Proteção de Fronteiras

ID: FedRAMP High SC-7 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Todo o tráfego de Internet deve ser encaminhado através do seu Azure Firewall implantado Centro de Segurança do Azure identificou que algumas das suas sub-redes não estão protegidas com uma firewall da próxima geração. Proteja as suas sub-redes de potenciais ameaças, restringindo-lhes o acesso com Azure Firewall ou uma firewall de próxima geração suportada AuditIfNotExists, Desativado 3.0.0-pré-visualização
[Pré-visualização]: O ponto final privado deve ser configurado para Key Vault O link privado fornece uma forma de ligar Key Vault aos seus recursos Azure sem enviar tráfego através da internet pública. A ligação privada fornece defesa em profundidade contra a exfiltração de dados. Auditoria, Negar, Deficientes 1.1.0-pré-visualização
[Pré-visualização]: O acesso público à conta de armazenamento deve ser proibido O público anónimo lê o acesso a contentores e bolhas no Azure Storage é uma forma conveniente de partilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anónimo não existente, a Microsoft recomenda impedir o acesso do público a uma conta de armazenamento, a menos que o seu cenário o exija. auditoria, auditoria, negar, negar, desativar, desativar 3.1.0-pré-visualização
Recomendações de endurecimento de rede adaptativas devem ser aplicadas na internet face a máquinas virtuais Centro de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais da Internet e fornece recomendações de regras do Grupo de Segurança da Rede que reduzem a potencial superfície de ataque AuditIfNotExists, Desativado 3.0.0
Todas as portas de rede devem ser restringidas em grupos de segurança de rede associados à sua máquina virtual Centro de Segurança do Azure identificou as regras de entrada de alguns dos seus grupos de segurança na rede como demasiado permissivas. As regras de entrada não devem permitir o acesso a partir das gamas "Qualquer" ou "Internet". Isto pode potencialmente permitir que os atacantes direcionem os seus recursos. AuditIfNotExists, Desativado 3.0.0
Gestão de API serviços devem usar uma rede virtual A Azure Rede Virtual implementação proporciona uma segurança reforçada, isolamento e permite-lhe colocar o seu serviço de Gestão de API numa rede de encaminhamento não internet a que controla o acesso. Estas redes podem então ser ligadas às suas redes no local utilizando várias tecnologias VPN, o que permite o acesso aos seus serviços de backend dentro da rede e/ou no local. O portal de desenvolvedores e gateway API, pode ser configurado para ser acessível a partir da Internet ou apenas dentro da rede virtual. Auditoria, Deficientes 1.0.1
App Configuration deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para as suas instâncias de configuração da aplicação em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Desativado 1.0.2
As gamas IP autorizadas devem ser definidas nos Serviços Kubernetes Restringir o acesso à API de Gestão de Serviços Kubernetes, concedendo acesso a API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso aos intervalos de IP autorizados para garantir que apenas aplicações de redes permitidas possam aceder ao cluster. Auditoria, Deficientes 2.0.1
A Azure API para FHIR deve usar link privado A Azure API para fHIR deve ter pelo menos uma ligação de ponto final privado aprovada. Os clientes de uma rede virtual podem aceder de forma segura a recursos que têm ligações privadas de ponto final através de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. Auditoria, Deficientes 1.0.0
Cache do Azure para Redis deve usar link privado Os pontos finais privados permitem-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. Ao mapear pontos finais privados para os seus Cache do Azure para Redis casos, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Desativado 1.0.0
Azure Cognitive Search serviço deve usar um SKU que suporta ligação privada Com SKUs suportados de Azure Cognitive Search, Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu Serviço de pesquisa, os riscos de fuga de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Deficientes 1.0.0
Azure Cognitive Search serviços devem desativar o acesso à rede pública A desativação do acesso à rede pública melhora a segurança, garantindo que o seu serviço Azure Cognitive Search não esteja exposto na internet pública. A criação de pontos finais privados pode limitar a exposição do seu Serviço de pesquisa. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Deficientes 1.0.0
Azure Cognitive Search serviços devem usar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para Azure Cognitive Search, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Deficientes 1.0.0
Contas DB da Azure Cosmos devem ter regras de firewall As regras de firewall devem ser definidas nas suas contas DB Azure Cosmos para evitar o tráfego de fontes não autorizadas. As contas que tenham pelo menos uma regra DE IP definida com o filtro de rede virtual ativado são consideradas conformes. As contas que incapacitam o acesso do público também são consideradas conformes. Auditoria, Negar, Deficientes 2.0.0
Azure Data Factory deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para Azure Data Factory, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Desativado 1.0.0
Azure Event Grid domínios devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu domínio Desembos em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Deficientes 1.0.2
Azure Event Grid tópicos devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu tópico De Classificação de Eventos em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Deficientes 1.0.2
Azure File Sync deve usar link privado A criação de um ponto final privado para o recurso indicado do Serviço de Sincronização de Armazenamento permite-lhe abordar o seu recurso De Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de através do ponto final público acessível à Internet. A criação de um ponto final privado por si só não desativa o ponto final público. AuditIfNotExists, Desativado 1.0.0
Azure Key Vault deve ter firewall ativada Ativar a firewall do cofre de teclas de modo a que o cofre da chave não esteja acessível por defeito a quaisquer IPs públicos. Em seguida, pode configurar gamas ip específicas para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security Auditoria, Negar, Deficientes 3.0.0
Espaços de trabalho de aprendizagem automática Azure devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para espaços de trabalho de aprendizagem automática Azure, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Auditoria, Negar, Deficientes 1.1.0
Azure Service Bus espaços de nome devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os espaços de nomes do Service Bus, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Desativado 1.0.0
Azure SignalR Service deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu recurso Azure SignalR Service em vez de todo o serviço, irá reduzir os riscos de fuga de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Auditoria, Deficientes 1.0.0
Azure Synapse espaços de trabalho devem usar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para Azure Synapse espaço de trabalho, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Auditoria, Deficientes 1.0.1
Azure Firewall de Aplicações Web deve ser ativado para pontos de entrada da porta frontal Azure Implementar a Azure Firewall de Aplicações Web (WAF) em frente a aplicações web viradas para o público para uma inspeção adicional do tráfego de entrada. Firewall de Aplicações Web (WAF) fornece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, tais como injeções DE SQL, Scripting cross-site, execuções de ficheiros locais e remotos. Também pode restringir o acesso às suas aplicações web por países, intervalos de endereços IP e outros parâmetros http(s) através de regras personalizadas. Auditoria, Negar, Deficientes 1.0.2
O Serviço Azure Web PubSub deve usar link privado Azure Private Link permite-lhe ligar as suas redes virtuais aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu Serviço Azure Web PubSub, pode reduzir os riscos de fuga de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Auditoria, Deficientes 1.0.0
Contas de Serviços Cognitivos devem desativar o acesso à rede pública A desativação do acesso à rede pública melhora a segurança, garantindo que a conta dos Serviços Cognitivos não seja exposta na internet pública. A criação de pontos finais privados pode limitar a exposição da conta serviços cognitivos. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2129800. Auditoria, Negar, Deficientes 3.0.0
Contas de Serviços Cognitivos devem restringir o acesso à rede O acesso à rede às contas dos Serviços Cognitivos deve ser restringido. Configure as regras de rede para que apenas aplicações de redes permitidas possam aceder à conta dos Serviços Cognitivos. Para permitir ligações de clientes específicos da Internet ou no local, o acesso pode ser concedido ao tráfego a partir de redes virtuais específicas do Azure ou de intervalos de endereços IP de internet pública. Auditoria, Negar, Deficientes 3.0.0
Os Serviços Cognitivos devem usar link privado Azure Private Link permite-lhe ligar as suas redes virtuais aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para serviços cognitivos, você reduzirá o potencial de fuga de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Auditoria, Deficientes 3.0.0
Os registos de contentores não devem permitir o acesso ilimitado à rede Os registos de contentores Azure por padrão aceitam ligações através da internet de anfitriões em qualquer rede. Para proteger os seus registos de ameaças potenciais, permita o acesso a partir de apenas pontos finais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registo não tiver regras de rede configuradas, aparecerá nos recursos pouco saudáveis. Saiba mais sobre as regras da rede de registo de contentores aqui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. Auditoria, Negar, Deficientes 2.0.0
Os registos de contentores devem utilizar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus registos de contentores em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/acr/private-link. Auditoria, Deficientes 1.0.1
As contas cosmosDB devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados na sua conta CosmosDB, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Auditoria, Deficientes 1.0.0
Os recursos de acesso ao disco devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para diskAccesses, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Desativado 1.0.0
Os espaços de nomes do Event Hub devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os espaços de nomes do Event Hub, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Desativado 1.0.0
Máquinas virtuais viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais de potenciais ameaças, restringindo-lhes o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
Hub IoT instâncias de serviço de fornecimento de dispositivos devem utilizar ligações privadas Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o serviço de fornecimento de dispositivos Hub IoT, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Auditoria, Deficientes 1.0.0
O encaminhamento IP na sua máquina virtual deve ser desativado Permitir o encaminhamento ip no NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O reencaminhamento IP raramente é necessário (por exemplo, quando se utiliza o VM como aparelho virtual de rede), pelo que este deve ser revisto pela equipa de segurança da rede. AuditIfNotExists, Desativado 3.0.0
As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time O acesso à rede Just In Time (JIT) será monitorizado por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
As portas de gestão devem ser fechadas nas suas máquinas virtuais Portas de gestão remota abertas estão expondo o seu VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam forçar credenciais brutas para obter acesso administrativo à máquina. AuditIfNotExists, Desativado 3.0.0
Máquinas virtuais não viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais não viradas para a Internet contra potenciais ameaças, restringindo o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
As ligações privadas de ponto final na base de dados SQL do Azure devem ser ativadas As ligações de ponto final privados impõem uma comunicação segura, permitindo a conectividade privada à SQL do Azure Base de Dados. Auditoria, Deficientes 1.1.0
O ponto final privado deve ser ativado para servidores MariaDB As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Azure Database for MariaDB. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O ponto final privado deve ser ativado para servidores MySQL As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Base de Dados do Azure para MySQL. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O ponto final privado deve ser ativado para servidores PostgreSQL As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Base de Dados do Azure para PostgreSQL. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O acesso à rede pública na Base de Dados SQL do Azure deve ser desativado A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que a sua base de dados SQL do Azure só pode ser acedida a partir de um ponto final privado. Esta configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou em rede virtual. Auditoria, Negar, Deficientes 1.1.0
O acesso à rede pública deve ser desativado para servidores MariaDB Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que o seu Azure Database for MariaDB só pode ser acedido a partir de um ponto final privado. Esta configuração desativa estritamente o acesso a partir de qualquer espaço de endereço público fora da gama IP Azure, e nega todos os logins que correspondam às regras de firewall IP ou virtual baseadas em rede. Auditoria, Negar, Deficientes 2.0.0
O acesso à rede pública deve ser desativado para servidores MySQL Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que o seu Base de Dados do Azure para MySQL só pode ser acedido a partir de um ponto final privado. Esta configuração desativa estritamente o acesso a partir de qualquer espaço de endereço público fora da gama IP Azure, e nega todos os logins que correspondam às regras de firewall IP ou virtual baseadas em rede. Auditoria, Negar, Deficientes 2.0.0
O acesso à rede pública deve ser desativado para servidores PostgreSQL Desativar a propriedade de acesso à rede pública para melhorar a segurança e garantir que o seu Base de Dados do Azure para PostgreSQL só pode ser acedido a partir de um ponto final privado. Esta configuração desativa o acesso a qualquer espaço de endereço público fora da gama IP Azure e nega todos os logins que correspondam às regras de firewall IP ou virtual baseadas em rede. Auditoria, Negar, Deficientes 2.0.0
As contas de armazenamento devem restringir o acesso à rede O acesso à rede às contas de armazenamento deve ser restringido. Configure as regras de rede para que apenas aplicações de redes permitidas possam aceder à conta de armazenamento. Para permitir ligações de clientes específicos da Internet ou no local, o acesso pode ser concedido ao tráfego a partir de redes virtuais específicas do Azure ou de intervalos de endereços IP da Internet pública Auditoria, Negar, Deficientes 1.1.1
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtuais Proteja as suas contas de armazenamento de ameaças potenciais usando regras de rede virtuais como método preferido em vez de filtragem baseada em IP. A desativação da filtragem baseada em IP impede que os IPs públicos acedam às suas contas de armazenamento. Auditoria, Negar, Deficientes 1.0.1
As contas de armazenamento devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados na sua conta de armazenamento, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Desativado 2.0.0
As subnetas devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede de ameaças potenciais limitando-lhe o acesso a um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede à sua sub-rede. AuditIfNotExists, Desativado 3.0.0
Modelos de construtores de imagem VM devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus recursos de construção de VM Image Builder, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditoria, Deficientes, Negar 1.1.0
Firewall de Aplicações Web (WAF) deve ser ativado para Gateway de Aplicação Implementar a Azure Firewall de Aplicações Web (WAF) em frente a aplicações web viradas para o público para uma inspeção adicional do tráfego de entrada. Firewall de Aplicações Web (WAF) fornece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, tais como injeções DE SQL, Scripting cross-site, execuções de ficheiros locais e remotos. Também pode restringir o acesso às suas aplicações web por países, intervalos de endereços IP e outros parâmetros http(s) através de regras personalizadas. Auditoria, Negar, Deficientes 2.0.0

Pontos de Acesso

ID: FedRAMP High SC-7 (3) Propriedade: Compartilhada

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Todo o tráfego de Internet deve ser encaminhado através do seu Azure Firewall implantado Centro de Segurança do Azure identificou que algumas das suas sub-redes não estão protegidas com uma firewall da próxima geração. Proteja as suas sub-redes de potenciais ameaças, restringindo-lhes o acesso com Azure Firewall ou uma firewall de próxima geração suportada AuditIfNotExists, Desativado 3.0.0-pré-visualização
[Pré-visualização]: O ponto final privado deve ser configurado para Key Vault O link privado fornece uma forma de ligar Key Vault aos seus recursos Azure sem enviar tráfego através da internet pública. A ligação privada fornece defesa em profundidade contra a exfiltração de dados. Auditoria, Negar, Deficientes 1.1.0-pré-visualização
[Pré-visualização]: O acesso público à conta de armazenamento deve ser proibido O público anónimo lê o acesso a contentores e bolhas no Azure Storage é uma forma conveniente de partilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anónimo não existente, a Microsoft recomenda impedir o acesso do público a uma conta de armazenamento, a menos que o seu cenário o exija. auditoria, auditoria, negar, negar, desativar, desativar 3.1.0-pré-visualização
Recomendações de endurecimento de rede adaptativas devem ser aplicadas na internet face a máquinas virtuais Centro de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais da Internet e fornece recomendações de regras do Grupo de Segurança da Rede que reduzem a potencial superfície de ataque AuditIfNotExists, Desativado 3.0.0
Todas as portas de rede devem ser restringidas em grupos de segurança de rede associados à sua máquina virtual Centro de Segurança do Azure identificou as regras de entrada de alguns dos seus grupos de segurança na rede como demasiado permissivas. As regras de entrada não devem permitir o acesso a partir das gamas "Qualquer" ou "Internet". Isto pode potencialmente permitir que os atacantes direcionem os seus recursos. AuditIfNotExists, Desativado 3.0.0
Gestão de API serviços devem usar uma rede virtual A Azure Rede Virtual implementação proporciona uma segurança reforçada, isolamento e permite-lhe colocar o seu serviço de Gestão de API numa rede de encaminhamento não internet a que controla o acesso. Estas redes podem então ser ligadas às suas redes no local utilizando várias tecnologias VPN, o que permite o acesso aos seus serviços de backend dentro da rede e/ou no local. O portal de desenvolvedores e gateway API, pode ser configurado para ser acessível a partir da Internet ou apenas dentro da rede virtual. Auditoria, Deficientes 1.0.1
App Configuration deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para as suas instâncias de configuração da aplicação em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Desativado 1.0.2
As gamas IP autorizadas devem ser definidas nos Serviços Kubernetes Restringir o acesso à API de Gestão de Serviços Kubernetes, concedendo acesso a API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso aos intervalos de IP autorizados para garantir que apenas aplicações de redes permitidas possam aceder ao cluster. Auditoria, Deficientes 2.0.1
A Azure API para FHIR deve usar link privado A Azure API para fHIR deve ter pelo menos uma ligação de ponto final privado aprovada. Os clientes de uma rede virtual podem aceder de forma segura a recursos que têm ligações privadas de ponto final através de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. Auditoria, Deficientes 1.0.0
Cache do Azure para Redis deve usar link privado Os pontos finais privados permitem-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. Ao mapear pontos finais privados para os seus Cache do Azure para Redis casos, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Desativado 1.0.0
Azure Cognitive Search serviço deve usar um SKU que suporta ligação privada Com SKUs suportados de Azure Cognitive Search, Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu Serviço de pesquisa, os riscos de fuga de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Deficientes 1.0.0
Azure Cognitive Search serviços devem desativar o acesso à rede pública A desativação do acesso à rede pública melhora a segurança, garantindo que o seu serviço Azure Cognitive Search não esteja exposto na internet pública. A criação de pontos finais privados pode limitar a exposição do seu Serviço de pesquisa. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Deficientes 1.0.0
Azure Cognitive Search serviços devem usar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para Azure Cognitive Search, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Deficientes 1.0.0
Contas DB da Azure Cosmos devem ter regras de firewall As regras de firewall devem ser definidas nas suas contas DB Azure Cosmos para evitar o tráfego de fontes não autorizadas. As contas que tenham pelo menos uma regra DE IP definida com o filtro de rede virtual ativado são consideradas conformes. As contas que incapacitam o acesso do público também são consideradas conformes. Auditoria, Negar, Deficientes 2.0.0
Azure Data Factory deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para Azure Data Factory, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Desativado 1.0.0
Azure Event Grid domínios devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu domínio Desembos em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Deficientes 1.0.2
Azure Event Grid tópicos devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu tópico De Classificação de Eventos em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Deficientes 1.0.2
Azure File Sync deve usar link privado A criação de um ponto final privado para o recurso indicado do Serviço de Sincronização de Armazenamento permite-lhe abordar o seu recurso De Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de através do ponto final público acessível à Internet. A criação de um ponto final privado por si só não desativa o ponto final público. AuditIfNotExists, Desativado 1.0.0
Azure Key Vault deve ter firewall ativada Ativar a firewall do cofre de teclas de modo a que o cofre da chave não esteja acessível por defeito a quaisquer IPs públicos. Em seguida, pode configurar gamas ip específicas para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security Auditoria, Negar, Deficientes 3.0.0
Espaços de trabalho de aprendizagem automática Azure devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para espaços de trabalho de aprendizagem automática Azure, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Auditoria, Negar, Deficientes 1.1.0
Azure Service Bus espaços de nome devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os espaços de nomes do Service Bus, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Desativado 1.0.0
Azure SignalR Service deve usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu recurso Azure SignalR Service em vez de todo o serviço, irá reduzir os riscos de fuga de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Auditoria, Deficientes 1.0.0
Azure Synapse espaços de trabalho devem usar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para Azure Synapse espaço de trabalho, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Auditoria, Deficientes 1.0.1
Azure Firewall de Aplicações Web deve ser ativado para pontos de entrada da porta frontal Azure Implementar a Azure Firewall de Aplicações Web (WAF) em frente a aplicações web viradas para o público para uma inspeção adicional do tráfego de entrada. Firewall de Aplicações Web (WAF) fornece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, tais como injeções DE SQL, Scripting cross-site, execuções de ficheiros locais e remotos. Também pode restringir o acesso às suas aplicações web por países, intervalos de endereços IP e outros parâmetros http(s) através de regras personalizadas. Auditoria, Negar, Deficientes 1.0.2
O Serviço Azure Web PubSub deve usar link privado Azure Private Link permite-lhe ligar as suas redes virtuais aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o seu Serviço Azure Web PubSub, pode reduzir os riscos de fuga de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Auditoria, Deficientes 1.0.0
Contas de Serviços Cognitivos devem desativar o acesso à rede pública A desativação do acesso à rede pública melhora a segurança, garantindo que a conta dos Serviços Cognitivos não seja exposta na internet pública. A criação de pontos finais privados pode limitar a exposição da conta serviços cognitivos. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2129800. Auditoria, Negar, Deficientes 3.0.0
Contas de Serviços Cognitivos devem restringir o acesso à rede O acesso à rede às contas dos Serviços Cognitivos deve ser restringido. Configure as regras de rede para que apenas aplicações de redes permitidas possam aceder à conta dos Serviços Cognitivos. Para permitir ligações de clientes específicos da Internet ou no local, o acesso pode ser concedido ao tráfego a partir de redes virtuais específicas do Azure ou de intervalos de endereços IP de internet pública. Auditoria, Negar, Deficientes 3.0.0
Os Serviços Cognitivos devem usar link privado Azure Private Link permite-lhe ligar as suas redes virtuais aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para serviços cognitivos, você reduzirá o potencial de fuga de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Auditoria, Deficientes 3.0.0
Os registos de contentores não devem permitir o acesso ilimitado à rede Os registos de contentores Azure por padrão aceitam ligações através da internet de anfitriões em qualquer rede. Para proteger os seus registos de ameaças potenciais, permita o acesso a partir de apenas pontos finais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registo não tiver regras de rede configuradas, aparecerá nos recursos pouco saudáveis. Saiba mais sobre as regras da rede de registo de contentores aqui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. Auditoria, Negar, Deficientes 2.0.0
Os registos de contentores devem utilizar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus registos de contentores em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/acr/private-link. Auditoria, Deficientes 1.0.1
As contas cosmosDB devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados na sua conta CosmosDB, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Auditoria, Deficientes 1.0.0
Os recursos de acesso ao disco devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para diskAccesses, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Desativado 1.0.0
Os espaços de nomes do Event Hub devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os espaços de nomes do Event Hub, os riscos de fuga de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Desativado 1.0.0
Máquinas virtuais viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais de potenciais ameaças, restringindo-lhes o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
Hub IoT instâncias de serviço de fornecimento de dispositivos devem utilizar ligações privadas Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para o serviço de fornecimento de dispositivos Hub IoT, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Auditoria, Deficientes 1.0.0
O encaminhamento IP na sua máquina virtual deve ser desativado Permitir o encaminhamento ip no NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O reencaminhamento IP raramente é necessário (por exemplo, quando se utiliza o VM como aparelho virtual de rede), pelo que este deve ser revisto pela equipa de segurança da rede. AuditIfNotExists, Desativado 3.0.0
As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time O acesso à rede Just In Time (JIT) será monitorizado por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
As portas de gestão devem ser fechadas nas suas máquinas virtuais Portas de gestão remota abertas estão expondo o seu VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam forçar credenciais brutas para obter acesso administrativo à máquina. AuditIfNotExists, Desativado 3.0.0
Máquinas virtuais não viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais não viradas para a Internet contra potenciais ameaças, restringindo o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
As ligações privadas de ponto final na base de dados SQL do Azure devem ser ativadas As ligações de ponto final privados impõem uma comunicação segura, permitindo a conectividade privada à SQL do Azure Base de Dados. Auditoria, Deficientes 1.1.0
O ponto final privado deve ser ativado para servidores MariaDB As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Azure Database for MariaDB. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O ponto final privado deve ser ativado para servidores MySQL As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Base de Dados do Azure para MySQL. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O ponto final privado deve ser ativado para servidores PostgreSQL As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Base de Dados do Azure para PostgreSQL. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O acesso à rede pública na Base de Dados SQL do Azure deve ser desativado A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que a sua base de dados SQL do Azure só pode ser acedida a partir de um ponto final privado. Esta configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou em rede virtual. Auditoria, Negar, Deficientes 1.1.0
O acesso à rede pública deve ser desativado para servidores MariaDB Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que o seu Azure Database for MariaDB só pode ser acedido a partir de um ponto final privado. Esta configuração desativa estritamente o acesso a partir de qualquer espaço de endereço público fora da gama IP Azure, e nega todos os logins que correspondam às regras de firewall IP ou virtual baseadas em rede. Auditoria, Negar, Deficientes 2.0.0
O acesso à rede pública deve ser desativado para servidores MySQL Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que o seu Base de Dados do Azure para MySQL só pode ser acedido a partir de um ponto final privado. Esta configuração desativa estritamente o acesso a partir de qualquer espaço de endereço público fora da gama IP Azure, e nega todos os logins que correspondam às regras de firewall IP ou virtual baseadas em rede. Auditoria, Negar, Deficientes 2.0.0
O acesso à rede pública deve ser desativado para servidores PostgreSQL Desativar a propriedade de acesso à rede pública para melhorar a segurança e garantir que o seu Base de Dados do Azure para PostgreSQL só pode ser acedido a partir de um ponto final privado. Esta configuração desativa o acesso a qualquer espaço de endereço público fora da gama IP Azure e nega todos os logins que correspondam às regras de firewall IP ou virtual baseadas em rede. Auditoria, Negar, Deficientes 2.0.0
As contas de armazenamento devem restringir o acesso à rede O acesso à rede às contas de armazenamento deve ser restringido. Configure as regras de rede para que apenas aplicações de redes permitidas possam aceder à conta de armazenamento. Para permitir ligações de clientes específicos da Internet ou no local, o acesso pode ser concedido ao tráfego a partir de redes virtuais específicas do Azure ou de intervalos de endereços IP da Internet pública Auditoria, Negar, Deficientes 1.1.1
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtuais Proteja as suas contas de armazenamento de ameaças potenciais usando regras de rede virtuais como método preferido em vez de filtragem baseada em IP. A desativação da filtragem baseada em IP impede que os IPs públicos acedam às suas contas de armazenamento. Auditoria, Negar, Deficientes 1.0.1
As contas de armazenamento devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados na sua conta de armazenamento, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Desativado 2.0.0
As subnetas devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede de ameaças potenciais limitando-lhe o acesso a um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede à sua sub-rede. AuditIfNotExists, Desativado 3.0.0
Modelos de construtores de imagem VM devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus recursos de construção de VM Image Builder, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditoria, Deficientes, Negar 1.1.0
Firewall de Aplicações Web (WAF) deve ser ativado para Gateway de Aplicação Implementar a Azure Firewall de Aplicações Web (WAF) em frente a aplicações web viradas para o público para uma inspeção adicional do tráfego de entrada. Firewall de Aplicações Web (WAF) fornece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns, tais como injeções DE SQL, Scripting cross-site, execuções de ficheiros locais e remotos. Também pode restringir o acesso às suas aplicações web por países, intervalos de endereços IP e outros parâmetros http(s) através de regras personalizadas. Auditoria, Negar, Deficientes 2.0.0

Confidencialidade e Integridade da Transmissão

ID: FedRAMP High SC-8 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações aplicações só devem estar acessíveis em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes, Negar 3.0.0
Serviço de Aplicações aplicações devem exigir apenas FTPS Ativar a aplicação do FTPS para uma maior segurança. AuditIfNotExists, Desativado 3.0.0
Serviço de Aplicações aplicações devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
Os clusters Azure HDInsight devem usar encriptação em trânsito para encriptar a comunicação entre os nós de cluster Azure HDInsight Os dados podem ser adulterados durante a transmissão entre os nós do cluster Azure HDInsight. Permitir a encriptação em trânsito resolve problemas de utilização indevida e adulteração durante esta transmissão. Auditoria, Negar, Deficientes 1.0.0
A ligação SSL da Aplicação deve ser ativada para servidores de base de dados MySQL Base de Dados do Azure para MySQL suporta ligar o servidor Base de Dados do Azure para MySQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
A ligação SSL da Enforce deve ser ativada para servidores de base de dados PostgreSQL Base de Dados do Azure para PostgreSQL suporta ligar o servidor Base de Dados do Azure para PostgreSQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
As aplicações de função só devem estar acessíveis através do HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 3.0.0
As aplicações de função devem necessitar apenas de FTPS Ativar a aplicação do FTPS para uma maior segurança. AuditIfNotExists, Desativado 3.0.0
As aplicações de função devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
Os clusters Kubernetes só devem estar acessíveis em HTTPS A utilização do HTTPS garante a autenticação e protege os dados em trânsito contra ataques de escutas de camadas de rede. Esta capacidade está atualmente disponível para o Serviço Kubernetes (AKS), e na pré-visualização para AKS Engine e Azure Arc ativado Kubernetes. Para mais informações, visite https://aka.ms/kubepolicydoc auditoria, auditoria, negar, negar, desativar, desativar 7.0.0
Apenas devem ser ativadas ligações seguras à sua Cache do Azure para Redis Auditoria que permite apenas ligações via SSL para Cache do Azure para Redis. A utilização de ligações seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, as escutas e o sequestro de sessão Auditoria, Negar, Deficientes 1.0.0
A transferência segura para contas de armazenamento deve ser ativada Requisito de auditoria de transferência Segura na sua conta de armazenamento. A transferência segura é uma opção que obriga a sua conta de armazenamento a aceitar pedidos apenas a partir de ligações seguras (HTTPS). A utilização do HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, a escuta e o sequestro de sessão Auditoria, Negar, Deficientes 2.0.0
Os servidores web do Windows devem ser configurados para utilizar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas através da Internet, os seus servidores web devem utilizar a versão mais recente do protocolo criptográfico padrão da indústria, Transport Layer Security (TLS). O TLS assegura as comunicações através de uma rede utilizando certificados de segurança para encriptar uma ligação entre máquinas. AuditIfNotExists, Desativado 4.0.0

Proteção Física Criptográfica ou Alternativa

ID: FedRAMP High SC-8 (1) Propriedade: Compartilhada

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações aplicações só devem estar acessíveis em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes, Negar 3.0.0
Serviço de Aplicações aplicações devem exigir apenas FTPS Ativar a aplicação do FTPS para uma maior segurança. AuditIfNotExists, Desativado 3.0.0
Serviço de Aplicações aplicações devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
Os clusters Azure HDInsight devem usar encriptação em trânsito para encriptar a comunicação entre os nós de cluster Azure HDInsight Os dados podem ser adulterados durante a transmissão entre os nós do cluster Azure HDInsight. Permitir a encriptação em trânsito resolve problemas de utilização indevida e adulteração durante esta transmissão. Auditoria, Negar, Deficientes 1.0.0
A ligação SSL da Aplicação deve ser ativada para servidores de base de dados MySQL Base de Dados do Azure para MySQL suporta ligar o servidor Base de Dados do Azure para MySQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
A ligação SSL da Enforce deve ser ativada para servidores de base de dados PostgreSQL Base de Dados do Azure para PostgreSQL suporta ligar o servidor Base de Dados do Azure para PostgreSQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
As aplicações de função só devem estar acessíveis através do HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 3.0.0
As aplicações de função devem necessitar apenas de FTPS Ativar a aplicação do FTPS para uma maior segurança. AuditIfNotExists, Desativado 3.0.0
As aplicações de função devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
Os clusters Kubernetes só devem estar acessíveis em HTTPS A utilização do HTTPS garante a autenticação e protege os dados em trânsito contra ataques de escutas de camadas de rede. Esta capacidade está atualmente disponível para o Serviço Kubernetes (AKS), e na pré-visualização para AKS Engine e Azure Arc ativado Kubernetes. Para mais informações, visite https://aka.ms/kubepolicydoc auditoria, auditoria, negar, negar, desativar, desativar 7.0.0
Apenas devem ser ativadas ligações seguras à sua Cache do Azure para Redis Auditoria que permite apenas ligações via SSL para Cache do Azure para Redis. A utilização de ligações seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, as escutas e o sequestro de sessão Auditoria, Negar, Deficientes 1.0.0
A transferência segura para contas de armazenamento deve ser ativada Requisito de auditoria de transferência Segura na sua conta de armazenamento. A transferência segura é uma opção que obriga a sua conta de armazenamento a aceitar pedidos apenas a partir de ligações seguras (HTTPS). A utilização do HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, a escuta e o sequestro de sessão Auditoria, Negar, Deficientes 2.0.0
Os servidores web do Windows devem ser configurados para utilizar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas através da Internet, os seus servidores web devem utilizar a versão mais recente do protocolo criptográfico padrão da indústria, Transport Layer Security (TLS). O TLS assegura as comunicações através de uma rede utilizando certificados de segurança para encriptar uma ligação entre máquinas. AuditIfNotExists, Desativado 4.0.0

Estabelecimento e Gestão de Chaves Criptográficas

ID: FedRAMP High SC-12 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Os cofres dos Serviços de Recuperação do Azure devem utilizar chaves geridas pelo cliente para encriptar dados de backup Utilize as chaves geridas pelo cliente para gerir a encriptação no resto dos seus dados de backup. Por padrão, os dados do cliente são encriptados com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulamentares. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais em https://aka.ms/AB-CmkEncryption. Auditoria, Negar, Deficientes 1.0.0-pré-visualização
[Pré-visualização]: Hub IoT os dados de serviço de fornecimento de dispositivos devem ser encriptados utilizando chaves geridas pelo cliente (CMK) Utilize chaves geridas pelo cliente para gerir a encriptação no resto do serviço de fornecimento de dispositivos Hub IoT. Os dados são automaticamente encriptados em repouso com chaves geridas pelo serviço, mas as chaves geridas pelo cliente (CMK) são geralmente obrigadas a cumprir as normas de conformidade regulamentar. Os CMKs permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Saiba mais sobre a encriptação cmk em https://aka.ms/dps/CMK. Auditoria, Negar, Deficientes 1.0.0-pré-visualização
A Azure API para FHIR deve usar uma chave gerida pelo cliente para encriptar dados em repouso Utilize uma chave gerida pelo cliente para controlar a encriptação no resto dos dados armazenados na Azure API para fHIR quando este é um requisito regulamentar ou de conformidade. As teclas geridas pelo cliente também fornecem encriptação dupla adicionando uma segunda camada de encriptação em cima da padrão feita com teclas geridas pelo serviço. auditoria, auditoria, desativação, deficiente 1.1.0
Automatização do Azure contas devem usar chaves geridas pelo cliente para encriptar dados em repouso Utilize chaves geridas pelo cliente para gerir a encriptação em resto da sua Automatização do Azure Contas. Por padrão, os dados do cliente são encriptados com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulamentares. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais em [https://aka.ms/automation-cmk.. /.. /.. /automação/automação-secure-asset-encryption.md#:~:text=Secure assets in Automatização do Azure incluem credenciais, certificados, conexões,,Usando as teclas geridas pela Microsoft). Auditoria, Negar, Deficientes 1.0.0
Azure Batch conta deve usar chaves geridas pelo cliente para encriptar dados Utilize chaves geridas pelo cliente para gerir a encriptação no resto dos dados da sua conta Batch. Por padrão, os dados do cliente são encriptados com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulamentares. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais em https://aka.ms/Batch-CMK. Auditoria, Negar, Deficientes 1.0.1
O grupo de contentores Azure Container Instance deve utilizar a chave gerida pelo cliente para encriptação Fixe os seus recipientes com maior flexibilidade utilizando as chaves geridas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. A utilização de teclas geridas pelo cliente fornece capacidades adicionais para controlar a rotação da chave de encriptação ou apagar dados criptograficamente. Auditoria, Deficientes, Negar 1.0.0
As contas DB da Azure Cosmos devem usar chaves geridas pelo cliente para encriptar dados em repouso Utilize chaves geridas pelo cliente para gerir a encriptação no resto do seu Azure Cosmos DB. Por padrão, os dados são encriptados em repouso com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulatórias. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais em https://aka.ms/cosmosdb-cmk. auditoria, auditoria, negar, negar, desativar, desativar 1.1.0
Os trabalhos da Azure Data Box devem usar uma chave gerida pelo cliente para encriptar a senha de desbloqueio do dispositivo Utilize uma chave gerida pelo cliente para controlar a encriptação do dispositivo desbloqueie a palavra-passe para Azure Data Box. As chaves geridas pelo cliente também ajudam a gerir o acesso ao dispositivo desbloquear a palavra-passe através do serviço Data Box de forma a preparar o dispositivo e copiar dados de forma automatizada. Os dados do próprio dispositivo já estão encriptados em repouso com encriptação Avançada Standard de 256 bits, e a palavra-passe de desbloqueio do dispositivo é encriptada por padrão com uma chave gerida pela Microsoft. Auditoria, Negar, Deficientes 1.0.0
A azure Data Explorer encriptação em repouso deve usar uma chave gerida pelo cliente Ativar a encriptação em repouso utilizando uma chave gerida pelo cliente no seu Azure Data Explorer cluster fornece controlo adicional sobre a chave que está a ser usada pela encriptação em repouso. Esta funcionalidade é frequentemente aplicável aos clientes com requisitos especiais de conformidade e requer uma Key Vault para gerir as chaves. Auditoria, Negar, Deficientes 1.0.0
As fábricas de dados Azure devem ser encriptadas com uma chave gerida pelo cliente Utilize chaves geridas pelo cliente para gerir a encriptação em resto do seu Azure Data Factory. Por padrão, os dados do cliente são encriptados com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulamentares. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais em https://aka.ms/adf-cmk. Auditoria, Negar, Deficientes 1.0.1
Os clusters Azure HDInsight devem usar chaves geridas pelo cliente para encriptar dados em repouso Utilize chaves geridas pelo cliente para gerir a encriptação no resto dos seus clusters Azure HDInsight. Por padrão, os dados do cliente são encriptados com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulamentares. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais em https://aka.ms/hdi.cmk. Auditoria, Negar, Deficientes 1.0.1
Os clusters Azure HDInsight devem usar encriptação no anfitrião para encriptar dados em repouso Ativar a encriptação no anfitrião ajuda a proteger e salvaguardar os seus dados para cumprir os seus compromissos de segurança organizacional e conformidade. Quando ativa a encriptação no anfitrião, os dados armazenados no anfitrião VM são encriptados em repouso e os fluxos encriptados para o serviço de Armazenamento. Auditoria, Negar, Deficientes 1.0.0
Os espaços de trabalho de aprendizagem de máquinas Azure devem ser encriptados com uma chave gerida pelo cliente Gerir a encriptação no resto dos dados do espaço de trabalho Azure Machine Learning com chaves geridas pelo cliente. Por padrão, os dados do cliente são encriptados com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulamentares. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais em https://aka.ms/azureml-workspaces-cmk. Auditoria, Negar, Deficientes 1.0.3
Os clusters de registos do Monitor Azure devem ser encriptados com chave gerida pelo cliente Crie o cluster de registos Azure Monitor com encriptação de chaves geridas pelo cliente. Por padrão, os dados de registo são encriptados com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir a conformidade regulamentar. A chave gerida pelo cliente no Azure Monitor dá-lhe mais controlo sobre o acesso aos seus dados, veja https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. auditoria, auditoria, negar, negar, desativar, desativar 1.1.0
Os trabalhos do Azure Stream Analytics devem usar chaves geridas pelo cliente para encriptar dados Utilize chaves geridas pelo cliente quando pretender armazenar de forma segura quaisquer metadados e ativos de dados privados dos seus trabalhos stream Analytics na sua conta de armazenamento. Isto dá-lhe controlo total sobre a forma como os seus dados stream Analytics são encriptados. auditoria, auditoria, negar, negar, desativar, desativar 1.1.0
Azure Synapse espaços de trabalho devem usar chaves geridas pelo cliente para encriptar dados em repouso Utilize chaves geridas pelo cliente para controlar a encriptação no resto dos dados armazenados em Azure Synapse espaços de trabalho. As teclas geridas pelo cliente fornecem encriptação dupla adicionando uma segunda camada de encriptação em cima da encriptação padrão com teclas geridas pelo serviço. Auditoria, Negar, Deficientes 1.0.0
Bot Service deve ser encriptado com uma chave gerida pelo cliente O Azure Bot Service encripta automaticamente o seu recurso para proteger os seus dados e cumprir os compromissos de segurança organizacional e de conformidade. Por predefinição, são utilizadas teclas de encriptação geridas pela Microsoft. Para uma maior flexibilidade na gestão de chaves ou no controlo do acesso à sua subscrição, selecione as teclas geridas pelo cliente, também conhecidas como trazer a sua própria chave (BYOK). Saiba mais sobre a encriptação Bot Service Azure: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. auditoria, auditoria, negar, negar, desativar, desativar 1.1.0
Tanto os sistemas operativos como os discos de dados em Azure Kubernetes Service clusters devem ser encriptados por chaves geridas pelo cliente Encriptar os discos de segurança e de dados utilizando as chaves geridas pelo cliente proporciona mais controlo e maior flexibilidade na gestão das chaves. Este é um requisito comum em muitas normas regulamentares e de conformidade da indústria. Auditoria, Negar, Deficientes 1.0.0
As contas de Serviços Cognitivos devem permitir a encriptação de dados com uma chave gerida pelo cliente As chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulamentares. As chaves geridas pelo cliente permitem que os dados armazenados nos Serviços Cognitivos sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais sobre as chaves geridas pelo cliente em https://go.microsoft.com/fwlink/?linkid=2121321. Auditoria, Negar, Deficientes 2.0.0
Os registos de contentores devem ser encriptados com uma chave gerida pelo cliente Utilize as chaves geridas pelo cliente para gerir a encriptação no resto do conteúdo dos seus registos. Por padrão, os dados são encriptados em repouso com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulatórias. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais em https://aka.ms/acr/CMK. Auditoria, Negar, Deficientes 1.1.2
Os espaços de nomes do Event Hub devem usar uma chave gerida pelo cliente para encriptação Hubs de Eventos do Azure suporta a opção de encriptar dados em repouso com as teclas geridas pela Microsoft (padrão) ou com as teclas geridas pelo cliente. Optar por encriptar dados utilizando teclas geridas pelo cliente permite-lhe atribuir, rodar, desativar e revogar o acesso às teclas que o Event Hub utilizará para encriptar dados no seu espaço de nome. Note que o Event Hub só suporta encriptação com chaves geridas pelo cliente para espaços de nome em clusters dedicados. Auditoria, Deficientes 1.0.0
HPC Cache contas devem usar a chave gerida pelo cliente para encriptação Gerencie a encriptação no resto da Azure HPC Cache com chaves geridas pelo cliente. Por padrão, os dados do cliente são encriptados com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulamentares. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Auditoria, Deficientes, Negar 2.0.0
O Ambiente de Serviço de Integração de Apps Lógicas deve ser encriptado com chaves geridas pelo cliente Implementar no Ambiente de Serviço de Integração para gerir a encriptação no resto dos dados das Aplicações Lógicas utilizando as teclas geridas pelo cliente. Por padrão, os dados do cliente são encriptados com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulamentares. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Auditoria, Negar, Deficientes 1.0.0
Os discos geridos devem ser encriptados duplamente com chaves geridas pela plataforma e geridas pelo cliente Clientes sensíveis à alta segurança que estejam preocupados com o risco associado a qualquer algoritmo de encriptação, implementação ou chave que está a ser comprometido podem optar por camadas adicionais de encriptação usando um algoritmo/modo de encriptação diferente na camada de infraestrutura usando chaves de encriptação geridas pela plataforma. Os conjuntos de encriptação do disco são necessários para utilizar a encriptação dupla. Saiba mais em https://aka.ms/disks-doubleEncryption. Auditoria, Negar, Deficientes 1.0.0
Os servidores MySQL devem usar chaves geridas pelo cliente para encriptar dados em repouso Utilize chaves geridas pelo cliente para gerir a encriptação no resto dos seus servidores MySQL. Por padrão, os dados são encriptados em repouso com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulatórias. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. AuditIfNotExists, Desativado 1.0.4
Os discos de OS e de dados devem ser encriptados com uma chave gerida pelo cliente Utilize chaves geridas pelo cliente para gerir a encriptação no resto do conteúdo dos seus discos geridos. Por padrão, os dados são encriptados em repouso com chaves geridas pela plataforma, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulatórias. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais em https://aka.ms/disks-cmk. Auditoria, Negar, Deficientes 3.0.0
Os servidores PostgreSQL devem usar as chaves geridas pelo cliente para encriptar dados em repouso Utilize chaves geridas pelo cliente para gerir a encriptação no resto dos seus servidores PostgreSQL. Por padrão, os dados são encriptados em repouso com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulatórias. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. AuditIfNotExists, Desativado 1.0.4
Consultas guardadas no Azure Monitor devem ser guardadas na conta de armazenamento do cliente para encriptação de registos Ligue a conta de armazenamento ao log analytics para proteger consultas guardadas com encriptação de conta de armazenamento. As chaves geridas pelo cliente são geralmente necessárias para cumprir a conformidade regulamentar e para um maior controlo sobre o acesso às suas consultas guardadas no Azure Monitor. Para mais detalhes sobre o acima, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. auditoria, auditoria, negar, negar, desativar, desativar 1.1.0
Os espaços de nomes Service Bus Premium devem usar uma chave gerida pelo cliente para encriptação Azure Service Bus suporta a opção de encriptar dados em repouso com as teclas geridas pela Microsoft (padrão) ou com as teclas geridas pelo cliente. Optar por encriptar dados utilizando teclas geridas pelo cliente permite-lhe atribuir, rodar, desativar e revogar o acesso às chaves que o Service Bus utilizará para encriptar dados no seu espaço de nome. Note que o Service Bus só suporta encriptação com chaves geridas pelo cliente para espaços de nome premium. Auditoria, Deficientes 1.0.0
As instâncias geridas pela SQL devem usar chaves geridas pelo cliente para encriptar dados em repouso Implementar a Encriptação de Dados Transparentes (TDE) com a sua própria chave proporciona-lhe uma maior transparência e controlo sobre o Protetor TDE, maior segurança com um serviço externo apoiado pelo HSM e promoção da separação de direitos. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. Auditoria, Negar, Deficientes 2.0.0
Os servidores SQL devem usar as chaves geridas pelo cliente para encriptar dados em repouso Implementar a Encriptação de Dados Transparentes (TDE) com a sua própria chave proporciona uma maior transparência e controlo sobre o Protetor TDE, uma maior segurança com um serviço externo apoiado pelo HSM e a promoção da separação de direitos. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. Auditoria, Negar, Deficientes 2.0.1
Os âmbitos de encriptação da conta de armazenamento devem usar as chaves geridas pelo cliente para encriptar os dados em repouso Utilize chaves geridas pelo cliente para gerir a encriptação no resto dos âmbitos de encriptação da sua conta de armazenamento. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave-chave Azure criada e propriedade de si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais sobre os âmbitos de encriptação da conta de armazenamento em https://aka.ms/encryption-scopes-overview. Auditoria, Negar, Deficientes 1.0.0
As contas de armazenamento devem usar a chave gerida pelo cliente para encriptação Proteja a sua conta de armazenamento de bolhas e ficheiros com maior flexibilidade utilizando as teclas geridas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. A utilização de teclas geridas pelo cliente fornece capacidades adicionais para controlar a rotação da chave de encriptação ou apagar dados criptograficamente. Auditoria, Deficientes 1.0.3

Proteção de Informações em Repouso

ID: FedRAMP High SC-28 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Ambiente do Serviço de Aplicações deve ter encriptação interna ativada A definição do InternalEncrypation para a verdade encripta o ficheiro de página, os discos dos trabalhadores e o tráfego interno da rede entre as extremidades da frente e os trabalhadores numa Ambiente do Serviço de Aplicações. Para saber mais, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Auditoria, Deficientes 1.0.1
As variáveis de conta de automação devem ser encriptadas É importante permitir a encriptação de ativos variáveis de conta de automação ao armazenar dados sensíveis Auditoria, Negar, Deficientes 1.1.0
Os trabalhos da Azure Data Box devem permitir a dupla encriptação para os dados em repouso no dispositivo Ativar uma segunda camada de encriptação baseada em software para obter dados em repouso no dispositivo. O dispositivo já está protegido através da encriptação Avançada Standard 256-bit encriptação para dados em repouso. Esta opção adiciona uma segunda camada de encriptação de dados. Auditoria, Negar, Deficientes 1.0.0
Os clusters de Logs do Monitor Azure devem ser criados com encriptação de infraestrutura ativada (encriptação dupla) Para garantir que a encriptação segura de dados é ativada ao nível de serviço e ao nível da infraestrutura com dois algoritmos de encriptação diferentes e duas teclas diferentes, utilize um cluster dedicado ao Azure Monitor. Esta opção é ativada por padrão quando suportada na região, ver https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. auditoria, auditoria, negar, negar, desativar, desativar 1.1.0
Os dispositivos Azure Stack Edge devem usar encriptação dupla Para proteger os dados em repouso no dispositivo, certifique-se de que é duplamente encriptado, o acesso aos dados é controlado, e uma vez que o dispositivo é desativado, os dados são apagados de forma segura dos discos de dados. A encriptação dupla é o uso de duas camadas de encriptação: BitLocker XTS-AES 256 bit encriptação nos volumes de dados e encriptação incorporada dos discos rígidos. Saiba mais na documentação geral de segurança para o dispositivo específico Stack Edge. auditoria, auditoria, negar, negar, desativar, desativar 1.1.0
A encriptação do disco deve ser ativada no Data Explorer do Azure Permitir a encriptação do disco ajuda a proteger e salvaguardar os seus dados para cumprir os seus compromissos de segurança organizacional e conformidade. Auditoria, Negar, Deficientes 2.0.0
A dupla encriptação deve ser ativada no Data Explorer do Azure Ativar a dupla encriptação ajuda a proteger e salvaguardar os seus dados para cumprir os seus compromissos de segurança organizacional e de conformidade. Quando a dupla encriptação foi ativada, os dados na conta de armazenamento são encriptados duas vezes, uma ao nível de serviço e outra ao nível da infraestrutura, utilizando dois algoritmos de encriptação diferentes e duas teclas diferentes. Auditoria, Negar, Deficientes 2.0.0
A encriptação da infraestrutura deve ser ativada para servidores Base de Dados do Azure para MySQL Permitir que a encriptação de infraestruturas para Base de Dados do Azure para MySQL servidores tenham um nível de garantia mais elevado de que os dados são seguros. Quando a encriptação da infraestrutura está ativada, os dados em repouso são encriptados duas vezes utilizando teclas geridas pela Microsoft em conformidade com o FIPS 140-2. Auditoria, Negar, Deficientes 1.0.0
A encriptação da infraestrutura deve ser ativada para servidores Base de Dados do Azure para PostgreSQL Permitir que a encriptação de infraestruturas para Base de Dados do Azure para PostgreSQL servidores tenham um nível de garantia mais elevado de que os dados são seguros. Quando a encriptação da infraestrutura está ativada, os dados em repouso são encriptados duas vezes usando teclas geridas pela Microsoft em conformidade com o FIPS 140-2 Auditoria, Negar, Deficientes 1.0.0
Os clusters de tecido de serviço devem ter a propriedade ClusterProtectionLevel definida para EncryptAndSign O Tecido de Serviço fornece três níveis de proteção (Nenhum, Sinal e DesignAndSign) para comunicação nó-a-nó usando um certificado de cluster primário. Descreva o nível de proteção para garantir que todas as mensagens nó-a-nó sejam encriptadas e assinadas digitalmente Auditoria, Negar, Deficientes 1.1.0
As contas de armazenamento devem ter encriptação de infraestrutura Permitir a encriptação da infraestrutura para um nível mais elevado de garantia de que os dados são seguros. Quando a encriptação da infraestrutura é ativada, os dados numa conta de armazenamento são encriptados duas vezes. Auditoria, Negar, Deficientes 1.0.0
Discos temporários e cache para piscinas de nó de agente em Azure Kubernetes Service clusters devem ser encriptados no hospedeiro Para melhorar a segurança dos dados, os dados armazenados na máquina virtual (VM) do seu Azure Kubernetes Service VMs de nó devem ser encriptados em repouso. Este é um requisito comum em muitas normas regulamentares e de conformidade da indústria. Auditoria, Negar, Deficientes 1.0.0
A encriptação transparente de dados nas bases de dados SQL deve ser ativada A encriptação transparente de dados deve ser ativada para proteger os dados em repouso e cumprir os requisitos de conformidade AuditIfNotExists, Desativado 2.0.0
Máquinas virtuais e conjuntos de escala de máquinas virtuais devem ter encriptação no anfitrião ativada Utilize encriptação no anfitrião para obter encriptação de ponta a ponta para a sua máquina virtual e dados de conjunto de escala de máquina virtual. A encriptação no anfitrião permite a encriptação em repouso para as caches temporárias do disco e do disco de oss/dados. Os discos de OS temporários e efémeros são encriptados com chaves geridas pela plataforma quando a encriptação no anfitrião está ativada. As caches de disco de OS/dados são encriptadas em repouso com a chave gerida pelo cliente ou gerida pela plataforma, dependendo do tipo de encriptação selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. Auditoria, Negar, Deficientes 1.0.0
As máquinas virtuais devem encriptar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento Por padrão, o sistema operativo e os discos de dados de uma máquina virtual são encriptados em repouso utilizando chaves geridas pela plataforma. Os discos temporários, caches de dados e dados que fluem entre o cálculo e o armazenamento não são encriptados. Ignore esta recomendação se: 1. usando encriptação no hospedeiro, ou 2. a encriptação do lado do servidor no Managed Disks satisfaz os seus requisitos de segurança. Saiba mais em: Encriptação do lado do servidor do armazenamento do disco Azure: https://aka.ms/disksse, Diferentes ofertas de encriptação de discos: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Desativado 2.0.3

Proteção Criptográfica

ID: FedRAMP High SC-28 (1) Propriedade: Compartilhada

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Ambiente do Serviço de Aplicações deve ter encriptação interna ativada A definição do InternalEncrypation para a verdade encripta o ficheiro de página, os discos dos trabalhadores e o tráfego interno da rede entre as extremidades da frente e os trabalhadores numa Ambiente do Serviço de Aplicações. Para saber mais, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Auditoria, Deficientes 1.0.1
As variáveis de conta de automação devem ser encriptadas É importante permitir a encriptação de ativos variáveis de conta de automação ao armazenar dados sensíveis Auditoria, Negar, Deficientes 1.1.0
Os trabalhos da Azure Data Box devem permitir a dupla encriptação para os dados em repouso no dispositivo Ativar uma segunda camada de encriptação baseada em software para obter dados em repouso no dispositivo. O dispositivo já está protegido através da encriptação Avançada Standard 256-bit encriptação para dados em repouso. Esta opção adiciona uma segunda camada de encriptação de dados. Auditoria, Negar, Deficientes 1.0.0
Os clusters de Logs do Monitor Azure devem ser criados com encriptação de infraestrutura ativada (encriptação dupla) Para garantir que a encriptação segura de dados é ativada ao nível de serviço e ao nível da infraestrutura com dois algoritmos de encriptação diferentes e duas teclas diferentes, utilize um cluster dedicado ao Azure Monitor. Esta opção é ativada por padrão quando suportada na região, ver https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. auditoria, auditoria, negar, negar, desativar, desativar 1.1.0
Os dispositivos Azure Stack Edge devem usar encriptação dupla Para proteger os dados em repouso no dispositivo, certifique-se de que é duplamente encriptado, o acesso aos dados é controlado, e uma vez que o dispositivo é desativado, os dados são apagados de forma segura dos discos de dados. A encriptação dupla é o uso de duas camadas de encriptação: BitLocker XTS-AES 256 bit encriptação nos volumes de dados e encriptação incorporada dos discos rígidos. Saiba mais na documentação geral de segurança para o dispositivo específico Stack Edge. auditoria, auditoria, negar, negar, desativar, desativar 1.1.0
A encriptação do disco deve ser ativada no Data Explorer do Azure Permitir a encriptação do disco ajuda a proteger e salvaguardar os seus dados para cumprir os seus compromissos de segurança organizacional e conformidade. Auditoria, Negar, Deficientes 2.0.0
A dupla encriptação deve ser ativada no Data Explorer do Azure Ativar a dupla encriptação ajuda a proteger e salvaguardar os seus dados para cumprir os seus compromissos de segurança organizacional e de conformidade. Quando a dupla encriptação foi ativada, os dados na conta de armazenamento são encriptados duas vezes, uma ao nível de serviço e outra ao nível da infraestrutura, utilizando dois algoritmos de encriptação diferentes e duas teclas diferentes. Auditoria, Negar, Deficientes 2.0.0
A encriptação da infraestrutura deve ser ativada para servidores Base de Dados do Azure para MySQL Permitir que a encriptação de infraestruturas para Base de Dados do Azure para MySQL servidores tenham um nível de garantia mais elevado de que os dados são seguros. Quando a encriptação da infraestrutura está ativada, os dados em repouso são encriptados duas vezes utilizando teclas geridas pela Microsoft em conformidade com o FIPS 140-2. Auditoria, Negar, Deficientes 1.0.0
A encriptação da infraestrutura deve ser ativada para servidores Base de Dados do Azure para PostgreSQL Permitir que a encriptação de infraestruturas para Base de Dados do Azure para PostgreSQL servidores tenham um nível de garantia mais elevado de que os dados são seguros. Quando a encriptação da infraestrutura está ativada, os dados em repouso são encriptados duas vezes usando teclas geridas pela Microsoft em conformidade com o FIPS 140-2 Auditoria, Negar, Deficientes 1.0.0
Os clusters de tecido de serviço devem ter a propriedade ClusterProtectionLevel definida para EncryptAndSign O Tecido de Serviço fornece três níveis de proteção (Nenhum, Sinal e DesignAndSign) para comunicação nó-a-nó usando um certificado de cluster primário. Descreva o nível de proteção para garantir que todas as mensagens nó-a-nó sejam encriptadas e assinadas digitalmente Auditoria, Negar, Deficientes 1.1.0
As contas de armazenamento devem ter encriptação de infraestrutura Permitir a encriptação da infraestrutura para um nível mais elevado de garantia de que os dados são seguros. Quando a encriptação da infraestrutura é ativada, os dados numa conta de armazenamento são encriptados duas vezes. Auditoria, Negar, Deficientes 1.0.0
Discos temporários e cache para piscinas de nó de agente em Azure Kubernetes Service clusters devem ser encriptados no hospedeiro Para melhorar a segurança dos dados, os dados armazenados na máquina virtual (VM) do seu Azure Kubernetes Service VMs de nó devem ser encriptados em repouso. Este é um requisito comum em muitas normas regulamentares e de conformidade da indústria. Auditoria, Negar, Deficientes 1.0.0
A encriptação transparente de dados nas bases de dados SQL deve ser ativada A encriptação transparente de dados deve ser ativada para proteger os dados em repouso e cumprir os requisitos de conformidade AuditIfNotExists, Desativado 2.0.0
Máquinas virtuais e conjuntos de escala de máquinas virtuais devem ter encriptação no anfitrião ativada Utilize encriptação no anfitrião para obter encriptação de ponta a ponta para a sua máquina virtual e dados de conjunto de escala de máquina virtual. A encriptação no anfitrião permite a encriptação em repouso para as caches temporárias do disco e do disco de oss/dados. Os discos de OS temporários e efémeros são encriptados com chaves geridas pela plataforma quando a encriptação no anfitrião está ativada. As caches de disco de OS/dados são encriptadas em repouso com a chave gerida pelo cliente ou gerida pela plataforma, dependendo do tipo de encriptação selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. Auditoria, Negar, Deficientes 1.0.0
As máquinas virtuais devem encriptar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento Por padrão, o sistema operativo e os discos de dados de uma máquina virtual são encriptados em repouso utilizando chaves geridas pela plataforma. Os discos temporários, caches de dados e dados que fluem entre o cálculo e o armazenamento não são encriptados. Ignore esta recomendação se: 1. usando encriptação no hospedeiro, ou 2. a encriptação do lado do servidor no Managed Disks satisfaz os seus requisitos de segurança. Saiba mais em: Encriptação do lado do servidor do armazenamento do disco Azure: https://aka.ms/disksse, Diferentes ofertas de encriptação de discos: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Desativado 2.0.3

Integridade do Sistema e Da informação

Remediação de falhas

ID: FedRAMP High SI-2 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidades deve ser ativada nas suas máquinas virtuais Audita máquinas virtuais para detetar se estão a executar uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de risco cibernético e de segurança é a identificação e análise de vulnerabilidades. O nível de preços padrão da Centro de Segurança do Azure inclui a verificação de vulnerabilidades para as suas máquinas virtuais sem custos adicionais. Além disso, o Security Center pode implantar automaticamente esta ferramenta para si. AuditIfNotExists, Desativado 3.0.0
Serviço de Aplicações aplicações devem usar a versão 'HTTP' mais recente Periodicamente, as versões mais recentes são lançadas para HTTP, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Utilizando a versão HTTP mais recente para aplicações web para tirar partido das correções de segurança, caso existam, e/ou novas funcionalidades da versão mais recente. Atualmente, esta política aplica-se apenas a aplicações web Linux. AuditIfNotExists, Desativado 3.0.0
Serviço de Aplicações aplicações que usam Java devem usar a mais recente 'versão Java' Periodicamente, as versões mais recentes são lançadas para o software Java, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. A utilização da versão java mais recente para aplicações web é recomendada de forma a tirar partido das correções de segurança, caso existam, e/ou novas funcionalidades da versão mais recente. Atualmente, esta política aplica-se apenas às aplicações Linux. AuditIfNotExists, Desativado 3.0.0
Serviço de Aplicações aplicações que usam PHP devem usar a mais recente 'versão PHP' Periodicamente, as versões mais recentes são lançadas para software PHP, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Utilizando a versão PHP mais recente para Serviço de Aplicações aplicações é recomendado para aproveitar as correções de segurança, caso existam, e/ou novas funcionalidades da versão mais recente. Atualmente, esta política aplica-se apenas às aplicações Linux. AuditIfNotExists, Desativado 3.0.0
Serviço de Aplicações aplicações que usam Python devem usar a mais recente 'versão Python' Periodicamente, as versões mais recentes são lançadas para o software Python, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Utilizando a versão mais recente do Python para Serviço de Aplicações aplicações é recomendado para tirar partido das correções de segurança, caso existam, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas às aplicações Linux. AuditIfNotExists, Desativado 4.0.0
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Defender para Resource Manager deve ser ativado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
As aplicações de função devem utilizar a versão 'HTTP' mais recente Periodicamente, as versões mais recentes são lançadas para HTTP, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Utilizando a versão HTTP mais recente para aplicações web para tirar partido das correções de segurança, caso existam, e/ou novas funcionalidades da versão mais recente. Atualmente, esta política aplica-se apenas às aplicações Linux. AuditIfNotExists, Desativado 3.0.0
As aplicações de função que usam Java devem usar a mais recente 'versão Java' Periodicamente, as versões mais recentes são lançadas para o software Java, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. A utilização da versão java mais recente para aplicações function é recomendada de forma a tirar partido das correções de segurança, caso existam, e/ou novas funcionalidades da versão mais recente. Atualmente, esta política aplica-se apenas às aplicações Linux. AuditIfNotExists, Desativado 3.0.0
As aplicações de função que usam Python devem usar a mais recente 'versão Python' Periodicamente, as versões mais recentes são lançadas para o software Python, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. A utilização da versão mais recente do Python para aplicações function é recomendada de forma a tirar partido das correções de segurança, caso existam, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas às aplicações Linux, uma vez que o Python não é suportado em aplicações do Windows. AuditIfNotExists, Desativado 4.0.0
Os Serviços Kubernetes devem ser atualizados para uma versão não vulnerável de Kubernetes Atualize o seu cluster de serviços Kubernetes para uma versão mais tarde da Kubernetes para proteger contra vulnerabilidades conhecidas na sua versão atual de Kubernetes. Vulnerabilidade CVE-2019-9946 foi corrigida nas versões Kubernetes 1.11.9+, 1.12.7+, 1.13.5+, e 1.14.0+ Auditoria, Deficientes 1.0.2
Microsoft Defender para contentores deve ser ativado O Microsoft Defender for Containers fornece proteções de endurecimento, vulnerabilidade e tempo de execução para os ambientes Azure, híbrido e multi-cloud Kubernetes. AuditIfNotExists, Desativado 1.0.0
Bases de dados SQL devem ter resultados de vulnerabilidade resolvidos Monitorize os resultados da avaliação da vulnerabilidade e recomendações sobre como remediar as vulnerabilidades da base de dados. AuditIfNotExists, Desativado 4.0.0
As atualizações do sistema em conjuntos de escala de máquinas virtuais devem ser instaladas Audite se existem atualizações de segurança do sistema em falta e atualizações críticas que deverão ser instaladas para garantir que os conjuntos de escala de máquinas virtuais Windows e Linux estão seguros. AuditIfNotExists, Desativado 3.0.0
As atualizações de sistema devem ser instaladas nos seus computadores As atualizações do sistema de segurança em falta nos seus servidores serão monitorizadas por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 4.0.0
As vulnerabilidades na configuração de segurança das suas máquinas devem ser remediadas Os servidores que não satisfaçam a linha de base configurada serão monitorizados por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
As vulnerabilidades na configuração de segurança nos conjuntos de escala de máquina virtual devem ser remediadas Audite as vulnerabilidades do SO nos conjuntos de escala de máquinas virtuais para protegê-los de ataques. AuditIfNotExists, Desativado 3.0.0

Proteção de código malicioso

ID: FedRAMP High SI-3 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
A solução de proteção do ponto final deve ser instalada em conjuntos de escala de máquina virtual Audite a existência e a saúde de uma solução de proteção de pontos finais nos conjuntos de escala de máquinas virtuais, para protegê-las de ameaças e vulnerabilidades. AuditIfNotExists, Desativado 3.0.0
Monitor que falta proteção de ponto final em Centro de Segurança do Azure Os servidores sem um agente instalado de Proteção de Pontos Finais serão monitorizados por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
Windows Defender Exploit Guard deve ser ativado nas suas máquinas Windows Defender Exploit Guard usa o agente de configuração de Azure Policy convidado. A Exploit Guard tem quatro componentes que são projetados para bloquear dispositivos contra uma grande variedade de vetores de ataque e comportamentos de bloqueio geralmente usados em ataques de malware, ao mesmo tempo que permite às empresas equilibrar os seus requisitos de risco de segurança e produtividade (apenas Windows). AuditIfNotExists, Desativado 2.0.0

Gestão Central

ID: FedRAMP High SI-3 (1) Propriedade: Compartilhada

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
A solução de proteção do ponto final deve ser instalada em conjuntos de escala de máquina virtual Audite a existência e a saúde de uma solução de proteção de pontos finais nos conjuntos de escala de máquinas virtuais, para protegê-las de ameaças e vulnerabilidades. AuditIfNotExists, Desativado 3.0.0
Monitor que falta proteção de ponto final em Centro de Segurança do Azure Os servidores sem um agente instalado de Proteção de Pontos Finais serão monitorizados por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
Windows Defender Exploit Guard deve ser ativado nas suas máquinas Windows Defender Exploit Guard usa o agente de configuração de Azure Policy convidado. A Exploit Guard tem quatro componentes que são projetados para bloquear dispositivos contra uma grande variedade de vetores de ataque e comportamentos de bloqueio geralmente usados em ataques de malware, ao mesmo tempo que permite às empresas equilibrar os seus requisitos de risco de segurança e produtividade (apenas Windows). AuditIfNotExists, Desativado 2.0.0

Monitorização do Sistema de Informação

ID: FedRAMP High SI-4 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Todo o tráfego de Internet deve ser encaminhado através do seu Azure Firewall implantado Centro de Segurança do Azure identificou que algumas das suas sub-redes não estão protegidas com uma firewall da próxima geração. Proteja as suas sub-redes de potenciais ameaças, restringindo-lhes o acesso com Azure Firewall ou uma firewall de próxima geração suportada AuditIfNotExists, Desativado 3.0.0-pré-visualização
[Pré-visualização]: Azure Arc habilitado a clusters Kubernetes deve ter Microsoft Defender para extensão Cloud instalada A extensão do Microsoft Defender for Cloud para O Arco Azure fornece proteção contra ameaças para os clusters Kubernetes ativados pelo Arco. A extensão recolhe dados de todos os nós do cluster e envia-os para o Azure Defender para kubernetes backend na nuvem para mais análise. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Desativado 6.0.0-pré-visualização
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc Esta política audita máquinas Linux Azure Arc se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1 pré-visualização
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Windows Azure Arc Esta política audita as máquinas Windows Azure Arc se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais do Windows O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
O fornecimento automático do agente Log Analytics deve ser ativado na sua subscrição Para monitorizar vulnerabilidades e ameaças de segurança, Centro de Segurança do Azure recolhe dados das suas máquinas virtuais Azure. Os dados são recolhidos pelo agente Log Analytics, anteriormente conhecido como O Agente de Monitorização da Microsoft (MMA), que lê várias configurações relacionadas com a segurança e registos de eventos da máquina e copia os dados para o seu espaço de trabalho Log Analytics para análise. Recomendamos que o fornecimento automático de auto-implantar automaticamente o agente em todos os VMs Azure suportados e quaisquer novos que sejam criados. AuditIfNotExists, Desativado 1.0.1
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para DNS deve ser ativado O Azure Defender for DNS fornece uma camada adicional de proteção para os seus recursos em nuvem, monitorizando continuamente todas as consultas dns dos seus recursos Azure. O Azure Defender alerta-o sobre atividades suspeitas na camada de DNS. Saiba mais sobre as capacidades do Azure Defender para DNS em https://aka.ms/defender-for-dns . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
Azure Defender para Resource Manager deve ser ativado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre as capacidades do Azure Defender para Resource Manager em https://aka.ms/defender-for-resource-manager . Permitir este plano Azure Defender resulta em encargos. Conheça os detalhes de preços por região na página de preços do Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Desativado 1.0.0
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
O Azure Defender para SQL deve ser ativado para servidores de SQL do Azure desprotegidos Auditar servidores SQL sem Segurança Avançada de Dados AuditIfNotExists, Desativado 2.0.1
O Azure Defender para SQL deve ser ativado para instâncias geridas sem proteção do SQL A auditoria a cada SQL Managed Instance sem segurança avançada de dados. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
A extensão de configuração do hóspede deve ser instalada nas suas máquinas Para garantir configurações seguras das definições no convidado da sua máquina, instale a extensão de Configuração do Hóspede. As definições no hóspede que os monitores de extensão incluem a configuração do sistema operativo, a configuração ou presença da aplicação e as definições do ambiente. Uma vez instaladas, as políticas in-guest estarão disponíveis, tais como "Windows Exploit guard deve ser ativada". Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, Desativado 1.0.2
O agente Log Analytics deve ser instalado na sua máquina virtual para monitorização Centro de Segurança do Azure Esta política audita quaisquer máquinas virtuais Windows/Linux (VMs) se o agente Log Analytics não for instalado, que o Security Center utiliza para monitorizar vulnerabilidades e ameaças de segurança AuditIfNotExists, Desativado 1.0.0
O agente Log Analytics deve ser instalado nos conjuntos de escala de máquinas virtuais para monitorização Centro de Segurança do Azure O Security Center recolhe dados das suas máquinas virtuais Azure (VMs) para monitorizar vulnerabilidades e ameaças de segurança. AuditIfNotExists, Desativado 1.0.0
Microsoft Defender para contentores deve ser ativado O Microsoft Defender for Containers fornece proteções de endurecimento, vulnerabilidade e tempo de execução para os ambientes Azure, híbrido e multi-cloud Kubernetes. AuditIfNotExists, Desativado 1.0.0
Observador de Rede deve ser ativado Observador de Rede é um serviço regional que lhe permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, e a partir de Azure. A monitorização do nível do cenário permite diagnosticar problemas no final da vista do nível da rede. É necessário ter um grupo de recursos de observadores de rede a ser criado em todas as regiões onde uma rede virtual está presente. Um alerta é ativado se um grupo de recursos de observadores de rede não estiver disponível numa determinada região. AuditIfNotExists, Desativado 3.0.0
A extensão de Configuração de Hóspedes das máquinas virtuais deve ser implementada com identidade gerida atribuída ao sistema A extensão de Configuração do Hóspede requer uma identidade gerida atribuída ao sistema. As máquinas virtuais Azure no âmbito desta política serão incompatíveis quando tiverem a extensão de Configuração do Hóspede instalada, mas não têm um sistema atribuído à identidade gerida. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, Desativado 1.0.1

Proteção da Memória

ID: FedRAMP High SI-16 Ownership: Shared

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
Windows Defender Exploit Guard deve ser ativado nas suas máquinas Windows Defender Exploit Guard usa o agente de configuração de Azure Policy convidado. A Exploit Guard tem quatro componentes que são projetados para bloquear dispositivos contra uma grande variedade de vetores de ataque e comportamentos de bloqueio geralmente usados em ataques de malware, ao mesmo tempo que permite às empresas equilibrar os seus requisitos de risco de segurança e produtividade (apenas Windows). AuditIfNotExists, Desativado 2.0.0

Passos seguintes

Artigos adicionais sobre Azure Policy: