Detalhes da iniciativa HIPAA HITRUST 9.2 Conformidade Regulamentar

O artigo seguinte detalha como a definição de Azure Policy conformidade regulamentar incorporada mapeia para domínios de conformidade e controlos no HIPAA HITRUST 9.2. Para obter mais informações sobre esta norma de conformidade, consulte HIPAA HITRUST 9.2. Para compreender a Propriedade, consulte Azure Policy definição de política e responsabilidade partilhada na nuvem.

Os seguintes mapeamentos são para os controlos HIPAA HITRUST 9.2 . Utilize a navegação no direito de saltar diretamente para um domínio de conformidade específico. Muitos dos controlos são implementados com uma definição de iniciativa Azure Policy. Para rever a definição completa de iniciativa, abra a Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição de iniciativa incorporada hitrust/HIPAA Conformidade Regulamentar.

Esta iniciativa incorporada é implementada como parte da amostra de planta HIPAA HITRUST 9.2.

Importante

Cada controlo abaixo está associado a uma ou mais definições Azure Policy. Estas políticas podem ajudá-lo a avaliar o cumprimento do controlo; no entanto, muitas vezes não há um para um ou um jogo completo entre um controlo e uma ou mais políticas. Como tal, o "Compliant in Azure Policy refere-se apenas às definições políticas em si; isto não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controlos que não são abordados por nenhuma Azure Policy definições neste momento. Portanto, o cumprimento em Azure Policy é apenas uma visão parcial do seu estado de conformidade geral. As associações entre domínios de conformidade, controlos e definições Azure Policy para esta norma de conformidade podem mudar ao longo do tempo. Para ver a história da mudança, veja o GitHub Commit History.

Gestão de Privilégios

O acesso a funções de gestão ou consolas administrativas para sistemas que acolhem sistemas virtualizados limita-se ao pessoal com base no princípio do menor privilégio e suportado através de controlos técnicos.

ID: 11180.01c3System.6 - 01.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time O acesso à rede Just In Time (JIT) será monitorizado por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0

Os privilégios são formalmente autorizados e controlados, atribuídos aos utilizadores numa base de necessidade de utilização e evento-a-evento para o seu papel funcional (por exemplo, utilizador ou administrador), e documentados para cada produto/elemento do sistema.

ID: 1143.01c1System.123 - 01.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As portas de gestão devem ser fechadas nas suas máquinas virtuais Portas de gestão remota abertas estão expondo o seu VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam forçar credenciais brutas para obter acesso administrativo à máquina. AuditIfNotExists, Desativado 3.0.0

A organização autoriza explicitamente o acesso a funções específicas relevantes para a segurança (implementadas em hardware, software e firmware) e informações relevantes para a segurança.

ID: 1144.01c1System.4 - 01.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um máximo de 3 proprietários deve ser designado para a sua subscrição Recomenda-se designar até 3 proprietários de subscrições para reduzir o potencial de violação por um proprietário comprometido. AuditIfNotExists, Desativado 3.0.0

O controlo de acesso baseado em funções é implementado e capaz de mapear cada utilizador para uma ou mais funções, e cada papel para uma ou mais funções do sistema.

ID: 1145.01c2System.1 - 01.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Deve haver mais de um proprietário atribuído à sua subscrição Recomenda-se designar mais do que um proprietário de subscrição para ter o administrador a ter acesso a despedimentos. AuditIfNotExists, Desativado 3.0.0

A organização promove o desenvolvimento e utilização de programas que evitem a necessidade de executar com privilégios elevados e rotinas do sistema para evitar a necessidade de conceder privilégios aos utilizadores.

ID: 1146.01c2System.23 - 01.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Contas externas com permissões do proprietário devem ser removidas da sua subscrição As contas externas com permissões do proprietário devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 3.0.0

Privilégios elevados são atribuídos a um ID de utilizador diferente daqueles utilizados para uso normal do negócio, todos os utilizadores acedem a serviços privilegiados numa única função, e esse acesso privilegiado é minimizado.

ID: 1147.01c2System.456 - 01.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Contas pregridas com permissões do proprietário devem ser removidas da sua subscrição As contas pregridas com permissões do proprietário devem ser removidas da sua subscrição. Contas pregridadas são contas que foram impedidas de iniciar sessão. AuditIfNotExists, Desativado 3.0.0

A organização restringe o acesso a funções privilegiadas e a todas as informações relevantes para a segurança.

ID: 1148.01c2System.78 - 01.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar o uso das regras rbac personalizadas Auditar funções incorporadas como "Proprietário, Contribuidor, Leitor" em vez de funções personalizadas de RBAC, que são propensas a erros. A utilização de funções personalizadas é tratada como uma exceção e requer uma revisão rigorosa e modelação de ameaças Auditoria, Deficientes 1.0.0
As máquinas windows devem satisfazer os requisitos para "Opções de Segurança - Contas" As máquinas windows devem ter as definições Política de Grupo especificadas na categoria "Opções de Segurança - Contas" para limitar a utilização de conta local de palavras-passe em branco e o estado da conta de hóspedes. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

A organização facilita a partilha de informação, permitindo aos utilizadores autorizados determinar o acesso de um parceiro de negócio quando a discrição é permitida como definida pela organização e utilizando processos manuais ou mecanismos automatizados para ajudar os utilizadores a tomar decisões de partilha/colaboração de informação.

ID: 1149.01c2System.9 - 01.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os Controlo de Acesso baseados em funções (RBAC) devem ser utilizados nos serviços kubernetes Para fornecer filtragem granular sobre as ações que os utilizadores podem executar, utilize Role-Based Controlo de Acesso (RBAC) para gerir permissões em Clusters de Serviços Kubernetes e configurar políticas de autorização relevantes. Auditoria, Deficientes 1.0.2

O sistema de controlo de acesso para os componentes do sistema que armazenam, processam ou transmitem informações cobertas é definido com uma definição padrão de "negar tudo".

ID: 1150.01c2System.10 - 01.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As portas de gestão devem ser fechadas nas suas máquinas virtuais Portas de gestão remota abertas estão expondo o seu VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam forçar credenciais brutas para obter acesso administrativo à máquina. AuditIfNotExists, Desativado 3.0.0

A organização limita a autorização a contas privilegiadas em sistemas de informação a um subconjunto pré-definido de utilizadores.

ID: 1151.01c3System.1 - 01.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um máximo de 3 proprietários deve ser designado para a sua subscrição Recomenda-se designar até 3 proprietários de subscrições para reduzir o potencial de violação por um proprietário comprometido. AuditIfNotExists, Desativado 3.0.0

A organização audita a execução de funções privilegiadas em sistemas de informação e garante que os sistemas de informação impedem os utilizadores não privilegiados de executar funções privilegiadas.

ID: 1152.01c3System.2 - 01.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Deve haver mais de um proprietário atribuído à sua subscrição Recomenda-se designar mais do que um proprietário de subscrição para ter o administrador a ter acesso a despedimentos. AuditIfNotExists, Desativado 3.0.0

Todo o acesso ao sistema de ficheiros não expressamente necessário é desativado, e apenas os utilizadores autorizados têm acesso apenas ao que é expressamente necessário para o desempenho das funções de trabalho dos utilizadores.

ID: 1153.01c3System.35 - 01.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os Controlo de Acesso baseados em funções (RBAC) devem ser utilizados nos serviços kubernetes Para fornecer filtragem granular sobre as ações que os utilizadores podem executar, utilize Role-Based Controlo de Acesso (RBAC) para gerir permissões em Clusters de Serviços Kubernetes e configurar políticas de autorização relevantes. Auditoria, Deficientes 1.0.2

Os empreiteiros só são fornecidos com sistema mínimo e acesso físico depois de a organização avaliar a capacidade do empreiteiro de cumprir os seus requisitos de segurança e o empreiteiro concordar em cumprir.

ID: 1154.01c3System.4 - 01.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um máximo de 3 proprietários deve ser designado para a sua subscrição Recomenda-se designar até 3 proprietários de subscrições para reduzir o potencial de violação por um proprietário comprometido. AuditIfNotExists, Desativado 3.0.0

Autenticação do utilizador para ligações externas

São implementados métodos de autenticação fortes como multi-factor, Radius ou Kerberos (para acesso privilegiado) e CHAP (para encriptação de credenciais para métodos de acesso intermitente) para todas as ligações externas à rede de organizações.

ID: 1116.01j1Organização.145 - 01.j Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
MFA deve ser ativado em contas com permissões do proprietário na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com permissões do proprietário para evitar uma violação de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

O acesso remoto por fornecedores e parceiros de negócios (por exemplo, para manutenção remota) é desativado/desativado quando não está a ser utilizado.

ID: 1117.01j1Organização.23 - 01.j Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A MFA deve ser ativada em contas com permissões de escrita na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de escrita para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

As organizações implementam encriptação (por exemplo, soluções VPN ou linhas privadas) e registam acesso remoto à rede da organização por funcionários, empreiteiros ou terceiros (por exemplo, fornecedores).

ID: 1118.01j2Organização.124 - 01.j Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
MFA deve ser ativado em contas com permissões de leitura na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

O equipamento de rede é verificado para obter capacidades de ligação inesperadas.

ID: 1119.01j2Organização.3 - 01.j Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time O acesso à rede Just In Time (JIT) será monitorizado por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0

As sessões de administração remota são autorizadas, encriptadas e empregam medidas de segurança acrescidas.

ID: 1121.01j3Organização.2 - 01.j Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
MFA deve ser ativado em contas com permissões do proprietário na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com permissões do proprietário para evitar uma violação de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

Se a encriptação não for utilizada para ligações de acesso ao acesso, o CIO ou o seu representante designado fornece uma autorização escrita específica.

ID: 1173.01j1Organização.6 - 01.j Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A MFA deve ser ativada em contas com permissões de escrita na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de escrita para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

A organização protege o acesso sem fios a sistemas que contenham informações sensíveis, autenticando tanto os utilizadores como os dispositivos.

ID: 1174.01j1Organização.7 - 01.j Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
MFA deve ser ativado em contas com permissões de leitura na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

O acesso remoto à informação empresarial através de redes públicas só ocorre após identificação e autenticação bem sucedidas.

ID: 1175.01j1Organização.8 - 01.j Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time O acesso à rede Just In Time (JIT) será monitorizado por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0

A organização requer uma capacidade de retorno com reautorização para verificar ligações de acesso a locais autorizados.

ID: 1176.01j2Organização.5 - 01.j Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
MFA deve ser ativado em contas com permissões do proprietário na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com permissões do proprietário para evitar uma violação de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

Os IDs de utilizador atribuídos aos fornecedores são revistos de acordo com a política de revisão de acesso da organização, no mínimo anualmente.

ID: 1177.01j2Organização.6 - 01.j Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A MFA deve ser ativada em contas com permissões de escrita na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de escrita para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

A autenticação do nó, incluindo técnicas criptográficas (por exemplo, certificados de máquina), serve como um meio alternativo de autenticação de grupos de utilizadores remotos onde estão ligados a uma instalação de computador partilhada e segura.

ID: 1178.01j2Organização.7 - 01.j Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
MFA deve ser ativado em contas com permissões de leitura na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

O sistema de informação monitoriza e controla métodos de acesso remoto.

ID: 1179.01j3Organização.1 - 01.j Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time O acesso à rede Just In Time (JIT) será monitorizado por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0

Proteção remota da porta de diagnóstico e configuração

O acesso a equipamentos de rede está fisicamente protegido.

ID: 1192.01l1Organização.1 - 01.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time O acesso à rede Just In Time (JIT) será monitorizado por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0

Os controlos para o acesso às portas de diagnóstico e configuração incluem a utilização de um bloqueio de chave e a implementação de procedimentos de apoio para controlar o acesso físico à porta.

ID: 1193.01l2Organização.13 - 01.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As portas de gestão devem ser fechadas nas suas máquinas virtuais Portas de gestão remota abertas estão expondo o seu VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam forçar credenciais brutas para obter acesso administrativo à máquina. AuditIfNotExists, Desativado 3.0.0

Portas, serviços e aplicações similares instaladas num computador ou sistemas de rede, que não são especificamente necessárias para a funcionalidade do negócio, são desativadas ou removidas.

ID: 1194.01l2Organização.2 - 01.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações apps devem ter depuragem remota desligada A depuragem remota requer a abertura de portas de entrada numa aplicação Serviço de Aplicações. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 2.0.0

A organização revê o sistema de informação em cada trezentos e sessenta e cinco (365) dias para identificar e desativar funções desnecessárias e não seguras, portos, protocolos e/ou serviços.

ID: 1195.01l3Organização.1 - 01.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As aplicações de função devem ter depurado remoto A depuragem remota requer a abertura de portas de entrada em aplicações de função. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 2.0.0

A organização desativa os protocolos de rede Bluetooth e peer-to-peer dentro do sistema de informação determinado como desnecessários ou não seguros.

ID: 1197.01l3Organização.3 - 01.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os controlos de aplicação adaptativos para definir aplicações seguras devem ser ativados nas suas máquinas Ative os controlos de aplicação para definir a lista de aplicações conhecidas e seguras em execução nas suas máquinas e alerte-o quando outras aplicações são executadas. Isto ajuda a endurecer as suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das suas regras, o Security Center utiliza machine learning para analisar as aplicações em funcionamento em cada máquina e sugerir a lista de aplicações conhecidas e seguras. AuditIfNotExists, Desativado 3.0.0

Segregação em Redes

Os gateways de segurança da organização (por exemplo, firewalls) aplicam políticas de segurança e estão configurados para filtrar o tráfego entre domínios, bloquear o acesso não autorizado, e são usados para manter a segregação entre segmentos internos de rede com fios, sem fios e externos (por exemplo, a Internet) incluindo DMZs e impor políticas de controlo de acesso para cada um dos domínios.

ID: 0805.01m1Organização.12 - 01.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O Registo de Contentores deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer registo de contentores não configurado para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0-pré-visualização
Serviço de Aplicações aplicações devem usar um ponto final de serviço de rede virtual Utilize pontos finais de serviço de rede virtuais para restringir o acesso à sua aplicação a partir de sub-redes selecionadas a partir de uma rede virtual Azure. Para saber mais sobre Serviço de Aplicações pontos finais de serviço, visitehttps://aks.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Desativado 2.0.0
Cosmos DB deve usar um ponto final de serviço de rede virtual Esta política audita qualquer DB cosmos não configurado para usar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
O Event Hub deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer Centro de Eventos não configurado para utilizar um ponto final de serviço de rede virtual. AuditIfNotExists, Desativado 1.0.0
As sub-redes gateway não devem ser configuradas com um grupo de segurança de rede Esta política nega se uma sub-rede de gateway estiver configurada com um grupo de segurança de rede. A atribuição de um grupo de segurança de rede a uma sub-rede de gateway fará com que o portal deixe de funcionar. negar 1.0.0
Máquinas virtuais viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais de potenciais ameaças, restringindo-lhes o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
Key Vault deve usar um ponto final de serviço de rede virtual Esta política audita quaisquer Key Vault não configuradas para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
SQL Server deve usar um ponto final de serviço de rede virtual Esta política audita quaisquer SQL Server não configurados para utilizar um ponto final de serviço de rede virtual. AuditIfNotExists, Desativado 1.0.0
As Contas de Armazenamento devem utilizar um ponto final de serviço de rede virtual Esta política audita qualquer Conta de Armazenamento não configurada para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
As subnetas devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede de ameaças potenciais limitando-lhe o acesso a um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede à sua sub-rede. AuditIfNotExists, Desativado 3.0.0
Máquinas virtuais devem ser ligadas a uma rede virtual aprovada Esta política audita qualquer máquina virtual ligada a uma rede virtual que não seja aprovada. Auditoria, Negar, Deficientes 1.0.0

A rede de organizações é segmentada logicamente e fisicamente com um perímetro de segurança definido e um conjunto graduado de controlos, incluindo sub-redes para componentes do sistema acessíveis ao público que são logicamente separados da rede interna, com base em requisitos organizacionais; e o tráfego é controlado com base na funcionalidade necessária e na classificação dos dados/sistemas com base numa avaliação de risco e nos respetivos requisitos de segurança.

ID: 0806.01m2Organização.12356 - 01.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O Registo de Contentores deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer registo de contentores não configurado para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0-pré-visualização
Serviço de Aplicações aplicações devem usar um ponto final de serviço de rede virtual Utilize pontos finais de serviço de rede virtuais para restringir o acesso à sua aplicação a partir de sub-redes selecionadas a partir de uma rede virtual Azure. Para saber mais sobre Serviço de Aplicações pontos finais de serviço, visitehttps://aks.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Desativado 2.0.0
Cosmos DB deve usar um ponto final de serviço de rede virtual Esta política audita qualquer DB cosmos não configurado para usar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
O Event Hub deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer Centro de Eventos não configurado para utilizar um ponto final de serviço de rede virtual. AuditIfNotExists, Desativado 1.0.0
As sub-redes gateway não devem ser configuradas com um grupo de segurança de rede Esta política nega se uma sub-rede de gateway estiver configurada com um grupo de segurança de rede. A atribuição de um grupo de segurança de rede a uma sub-rede de gateway fará com que o portal deixe de funcionar. negar 1.0.0
Máquinas virtuais viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais de potenciais ameaças, restringindo-lhes o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
Key Vault deve usar um ponto final de serviço de rede virtual Esta política audita quaisquer Key Vault não configuradas para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
SQL Server deve usar um ponto final de serviço de rede virtual Esta política audita quaisquer SQL Server não configurados para utilizar um ponto final de serviço de rede virtual. AuditIfNotExists, Desativado 1.0.0
As Contas de Armazenamento devem utilizar um ponto final de serviço de rede virtual Esta política audita qualquer Conta de Armazenamento não configurada para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
As subnetas devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede de ameaças potenciais limitando-lhe o acesso a um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede à sua sub-rede. AuditIfNotExists, Desativado 3.0.0
Máquinas virtuais devem ser ligadas a uma rede virtual aprovada Esta política audita qualquer máquina virtual ligada a uma rede virtual que não seja aprovada. Auditoria, Negar, Deficientes 1.0.0

As redes são separadas de redes de nível de produção ao migrar servidores físicos, aplicações ou dados para servidores virtualizados.

ID: 0894.01m2Organização.7 - 01.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O Registo de Contentores deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer registo de contentores não configurado para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0-pré-visualização
Serviço de Aplicações aplicações devem usar um ponto final de serviço de rede virtual Utilize pontos finais de serviço de rede virtuais para restringir o acesso à sua aplicação a partir de sub-redes selecionadas a partir de uma rede virtual Azure. Para saber mais sobre Serviço de Aplicações pontos finais de serviço, visitehttps://aks.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Desativado 2.0.0
Cosmos DB deve usar um ponto final de serviço de rede virtual Esta política audita qualquer DB cosmos não configurado para usar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
Implementar o observador de rede quando as redes virtuais são criadas Esta política cria um recurso de observadores de rede em regiões com redes virtuais. É necessário garantir a existência de um grupo de recursos chamado networkWatcherRG, que será utilizado para implementar instâncias de observadores de rede. DeployIfNotExists 1.0.0
O Event Hub deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer Centro de Eventos não configurado para utilizar um ponto final de serviço de rede virtual. AuditIfNotExists, Desativado 1.0.0
As sub-redes gateway não devem ser configuradas com um grupo de segurança de rede Esta política nega se uma sub-rede de gateway estiver configurada com um grupo de segurança de rede. A atribuição de um grupo de segurança de rede a uma sub-rede de gateway fará com que o portal deixe de funcionar. negar 1.0.0
Máquinas virtuais viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais de potenciais ameaças, restringindo-lhes o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
Key Vault deve usar um ponto final de serviço de rede virtual Esta política audita quaisquer Key Vault não configuradas para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
SQL Server deve usar um ponto final de serviço de rede virtual Esta política audita quaisquer SQL Server não configurados para utilizar um ponto final de serviço de rede virtual. AuditIfNotExists, Desativado 1.0.0
As Contas de Armazenamento devem utilizar um ponto final de serviço de rede virtual Esta política audita qualquer Conta de Armazenamento não configurada para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
As subnetas devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede de ameaças potenciais limitando-lhe o acesso a um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede à sua sub-rede. AuditIfNotExists, Desativado 3.0.0
Máquinas virtuais devem ser ligadas a uma rede virtual aprovada Esta política audita qualquer máquina virtual ligada a uma rede virtual que não seja aprovada. Auditoria, Negar, Deficientes 1.0.0

Controlo de Ligação à Rede

ID: 0809.01n2Organização.1234 - 01.n Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Recomendações de endurecimento de rede adaptativas devem ser aplicadas na internet face a máquinas virtuais Centro de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais da Internet e fornece recomendações de regras do Grupo de Segurança da Rede que reduzem a potencial superfície de ataque AuditIfNotExists, Desativado 3.0.0
Serviço de Aplicações aplicações só devem estar acessíveis em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes, Negar 3.0.0
Serviço de Aplicações aplicações devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
A ligação SSL da Aplicação deve ser ativada para servidores de base de dados MySQL Base de Dados do Azure para MySQL suporta ligar o servidor Base de Dados do Azure para MySQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
A ligação SSL da Enforce deve ser ativada para servidores de base de dados PostgreSQL Base de Dados do Azure para PostgreSQL suporta ligar o servidor Base de Dados do Azure para PostgreSQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
As aplicações de função só devem estar acessíveis através do HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 3.0.0
As aplicações de função devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
Máquinas virtuais viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais de potenciais ameaças, restringindo-lhes o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
Apenas devem ser ativadas ligações seguras à sua Cache do Azure para Redis Auditoria que permite apenas ligações via SSL para Cache do Azure para Redis. A utilização de ligações seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, as escutas e o sequestro de sessão Auditoria, Negar, Deficientes 1.0.0
A transferência segura para contas de armazenamento deve ser ativada Requisito de auditoria de transferência Segura na sua conta de armazenamento. A transferência segura é uma opção que obriga a sua conta de armazenamento a aceitar pedidos apenas a partir de ligações seguras (HTTPS). A utilização do HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, a escuta e o sequestro de sessão Auditoria, Negar, Deficientes 2.0.0
As subnetas devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede de ameaças potenciais limitando-lhe o acesso a um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede à sua sub-rede. AuditIfNotExists, Desativado 3.0.0
Máquinas virtuais devem ser ligadas a uma rede virtual aprovada Esta política audita qualquer máquina virtual ligada a uma rede virtual que não seja aprovada. Auditoria, Negar, Deficientes 1.0.0

A informação transmitida é protegida e, no mínimo, encriptada através de redes públicas abertas.

ID: 0810.01n2Organização.5 - 01.n Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Recomendações de endurecimento de rede adaptativas devem ser aplicadas na internet face a máquinas virtuais Centro de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais da Internet e fornece recomendações de regras do Grupo de Segurança da Rede que reduzem a potencial superfície de ataque AuditIfNotExists, Desativado 3.0.0
Serviço de Aplicações aplicações só devem estar acessíveis em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes, Negar 3.0.0
Serviço de Aplicações aplicações devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
A ligação SSL da Aplicação deve ser ativada para servidores de base de dados MySQL Base de Dados do Azure para MySQL suporta ligar o servidor Base de Dados do Azure para MySQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
A ligação SSL da Enforce deve ser ativada para servidores de base de dados PostgreSQL Base de Dados do Azure para PostgreSQL suporta ligar o servidor Base de Dados do Azure para PostgreSQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
As aplicações de função só devem estar acessíveis através do HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 3.0.0
As aplicações de função devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
Máquinas virtuais viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais de potenciais ameaças, restringindo-lhes o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
Apenas devem ser ativadas ligações seguras à sua Cache do Azure para Redis Auditoria que permite apenas ligações via SSL para Cache do Azure para Redis. A utilização de ligações seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, as escutas e o sequestro de sessão Auditoria, Negar, Deficientes 1.0.0
A transferência segura para contas de armazenamento deve ser ativada Requisito de auditoria de transferência Segura na sua conta de armazenamento. A transferência segura é uma opção que obriga a sua conta de armazenamento a aceitar pedidos apenas a partir de ligações seguras (HTTPS). A utilização do HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, a escuta e o sequestro de sessão Auditoria, Negar, Deficientes 2.0.0
As subnetas devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede de ameaças potenciais limitando-lhe o acesso a um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede à sua sub-rede. AuditIfNotExists, Desativado 3.0.0
Máquinas virtuais devem ser ligadas a uma rede virtual aprovada Esta política audita qualquer máquina virtual ligada a uma rede virtual que não seja aprovada. Auditoria, Negar, Deficientes 1.0.0

As exceções à política de fluxos de tráfego são documentadas com uma necessidade de missão/empresa de apoio, duração da exceção e revista pelo menos anualmente; as exceções à política de fluxos de tráfego são eliminadas quando já não são apoiadas por uma necessidade explícita de missão/empresa.

ID: 0811.01n2Organização.6 - 01.n Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Recomendações de endurecimento de rede adaptativas devem ser aplicadas na internet face a máquinas virtuais Centro de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais da Internet e fornece recomendações de regras do Grupo de Segurança da Rede que reduzem a potencial superfície de ataque AuditIfNotExists, Desativado 3.0.0
Serviço de Aplicações aplicações só devem estar acessíveis em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes, Negar 3.0.0
Serviço de Aplicações aplicações devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
A ligação SSL da Aplicação deve ser ativada para servidores de base de dados MySQL Base de Dados do Azure para MySQL suporta ligar o servidor Base de Dados do Azure para MySQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
A ligação SSL da Enforce deve ser ativada para servidores de base de dados PostgreSQL Base de Dados do Azure para PostgreSQL suporta ligar o servidor Base de Dados do Azure para PostgreSQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
As aplicações de função só devem estar acessíveis através do HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 3.0.0
As aplicações de função devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
Máquinas virtuais viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais de potenciais ameaças, restringindo-lhes o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
Apenas devem ser ativadas ligações seguras à sua Cache do Azure para Redis Auditoria que permite apenas ligações via SSL para Cache do Azure para Redis. A utilização de ligações seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, as escutas e o sequestro de sessão Auditoria, Negar, Deficientes 1.0.0
A transferência segura para contas de armazenamento deve ser ativada Requisito de auditoria de transferência Segura na sua conta de armazenamento. A transferência segura é uma opção que obriga a sua conta de armazenamento a aceitar pedidos apenas a partir de ligações seguras (HTTPS). A utilização do HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, a escuta e o sequestro de sessão Auditoria, Negar, Deficientes 2.0.0
As subnetas devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede de ameaças potenciais limitando-lhe o acesso a um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede à sua sub-rede. AuditIfNotExists, Desativado 3.0.0
Máquinas virtuais devem ser ligadas a uma rede virtual aprovada Esta política audita qualquer máquina virtual ligada a uma rede virtual que não seja aprovada. Auditoria, Negar, Deficientes 1.0.0

Os dispositivos remotos que estabeleçam uma ligação não remota não são autorizados a comunicar com recursos externos (remotos).

ID: 0812.01n2Organização.8 - 01.n Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Recomendações de endurecimento de rede adaptativas devem ser aplicadas na internet face a máquinas virtuais Centro de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais da Internet e fornece recomendações de regras do Grupo de Segurança da Rede que reduzem a potencial superfície de ataque AuditIfNotExists, Desativado 3.0.0
Serviço de Aplicações aplicações só devem estar acessíveis em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes, Negar 3.0.0
Serviço de Aplicações aplicações devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
A ligação SSL da Aplicação deve ser ativada para servidores de base de dados MySQL Base de Dados do Azure para MySQL suporta ligar o servidor Base de Dados do Azure para MySQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
A ligação SSL da Enforce deve ser ativada para servidores de base de dados PostgreSQL Base de Dados do Azure para PostgreSQL suporta ligar o servidor Base de Dados do Azure para PostgreSQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
As aplicações de função só devem estar acessíveis através do HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 3.0.0
As aplicações de função devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
Máquinas virtuais viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais de potenciais ameaças, restringindo-lhes o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
Apenas devem ser ativadas ligações seguras à sua Cache do Azure para Redis Auditoria que permite apenas ligações via SSL para Cache do Azure para Redis. A utilização de ligações seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, as escutas e o sequestro de sessão Auditoria, Negar, Deficientes 1.0.0
A transferência segura para contas de armazenamento deve ser ativada Requisito de auditoria de transferência Segura na sua conta de armazenamento. A transferência segura é uma opção que obriga a sua conta de armazenamento a aceitar pedidos apenas a partir de ligações seguras (HTTPS). A utilização do HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, a escuta e o sequestro de sessão Auditoria, Negar, Deficientes 2.0.0
As subnetas devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede de ameaças potenciais limitando-lhe o acesso a um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede à sua sub-rede. AuditIfNotExists, Desativado 3.0.0
Máquinas virtuais devem ser ligadas a uma rede virtual aprovada Esta política audita qualquer máquina virtual ligada a uma rede virtual que não seja aprovada. Auditoria, Negar, Deficientes 1.0.0

A capacidade de os utilizadores se conectarem à rede interna é restrita utilizando uma política de negação por defeito e de permitir por exceção em interfaces geridas de acordo com a política de controlo de acesso e os requisitos das aplicações clínicas e empresariais.

ID: 0814.01n1Organização.12 - 01.n Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Recomendações de endurecimento de rede adaptativas devem ser aplicadas na internet face a máquinas virtuais Centro de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais da Internet e fornece recomendações de regras do Grupo de Segurança da Rede que reduzem a potencial superfície de ataque AuditIfNotExists, Desativado 3.0.0
Serviço de Aplicações aplicações só devem estar acessíveis em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes, Negar 3.0.0
Serviço de Aplicações aplicações devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
A ligação SSL da Aplicação deve ser ativada para servidores de base de dados MySQL Base de Dados do Azure para MySQL suporta ligar o servidor Base de Dados do Azure para MySQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
A ligação SSL da Enforce deve ser ativada para servidores de base de dados PostgreSQL Base de Dados do Azure para PostgreSQL suporta ligar o servidor Base de Dados do Azure para PostgreSQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
As aplicações de função só devem estar acessíveis através do HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 3.0.0
As aplicações de função devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
Máquinas virtuais viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais de potenciais ameaças, restringindo-lhes o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
Apenas devem ser ativadas ligações seguras à sua Cache do Azure para Redis Auditoria que permite apenas ligações via SSL para Cache do Azure para Redis. A utilização de ligações seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, as escutas e o sequestro de sessão Auditoria, Negar, Deficientes 1.0.0
A transferência segura para contas de armazenamento deve ser ativada Requisito de auditoria de transferência Segura na sua conta de armazenamento. A transferência segura é uma opção que obriga a sua conta de armazenamento a aceitar pedidos apenas a partir de ligações seguras (HTTPS). A utilização do HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, a escuta e o sequestro de sessão Auditoria, Negar, Deficientes 2.0.0
As subnetas devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede de ameaças potenciais limitando-lhe o acesso a um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede à sua sub-rede. AuditIfNotExists, Desativado 3.0.0
Máquinas virtuais devem ser ligadas a uma rede virtual aprovada Esta política audita qualquer máquina virtual ligada a uma rede virtual que não seja aprovada. Auditoria, Negar, Deficientes 1.0.0

Identificação e Autenticação do Utilizador

A organização garante que os IDs de utilizador redundantes não são emitidos para outros utilizadores e que todos os utilizadores são identificados e autenticados de forma única para acesso local e remoto a sistemas de informação.

ID: 11109.01q1Organização.57 - 01.q Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
MFA deve ser ativado em contas com permissões do proprietário na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com permissões do proprietário para evitar uma violação de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

Os utilizadores não organizacionais (todos os utilizadores de sistemas de informação que não sejam utilizadores organizacionais, como pacientes, clientes, empreiteiros ou estrangeiros), ou processos que atuam em nome de utilizadores não organizacionais, determinados a precisar de acesso à informação que reside nos sistemas de informação da organização, são identificados e autenticados de forma única.

ID: 11110.01q1Organização.6 - 01.q Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A MFA deve ser ativada em contas com permissões de escrita na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de escrita para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

Quando a autenticação baseada em PKI é utilizada, o sistema de informação valida os certificados construindo e verificando uma via de certificação para uma âncora fidedicional aceite, incluindo a verificação das informações sobre o estado do certificado; impõe o acesso à chave privada correspondente; Mapeia a identidade para a conta correspondente do indivíduo ou grupo; e implementa uma cache local de dados de revogação para apoiar a descoberta e validação do caminho em caso de incapacidade de acesso à informação de revogação através da rede.

ID: 11111.01q2System.4 - 01.q Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
MFA deve ser ativado em contas com permissões de leitura na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

O sistema de informação emprega mecanismos de autenticação resistentes à repetição, tais como nonce, senhas únicas ou carimbos de tempo para garantir o acesso à rede para contas privilegiadas; e, para a autenticação baseada em hardware, emprega mecanismos que satisfaçam os requisitos mínimos de fichas discutidos no NIST SP 800-63-2, Electronic Authentication Guideline.

ID: 11112.01q2Organização.67 - 01.q Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um máximo de 3 proprietários deve ser designado para a sua subscrição Recomenda-se designar até 3 proprietários de subscrições para reduzir o potencial de violação por um proprietário comprometido. AuditIfNotExists, Desativado 3.0.0

A organização exige que as assinaturas electrónicas, exclusivas de um indivíduo, não possam ser reutilizadas por, ou reatribuídas a qualquer outra pessoa.

ID: 11208.01q1Organização.8 - 01.q Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Deve haver mais de um proprietário atribuído à sua subscrição Recomenda-se designar mais do que um proprietário de subscrição para ter o administrador a ter acesso a despedimentos. AuditIfNotExists, Desativado 3.0.0

As assinaturas electrónicas e as assinaturas manuscritas executadas a registos eletrónicos devem estar ligadas aos respetivos registos eletrónicos.

ID: 11210.01q2Organização.10 - 01.q Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar máquinas Windows que têm os membros especificados no grupo de administradores Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o grupo de administradores locais contiver um ou mais dos membros listados no parâmetro da política. auditIfNotExists 2.0.0

Os registos eletrónicos assinados devem conter informações associadas à assinatura em formato legível pelo homem.

ID: 11211.01q2Organização.11 - 01.q Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Máquinas de auditoria do Windows em falta de qualquer um dos membros especificados no grupo de Administradores Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o grupo de administradores locais não contiver um ou mais membros que estão listados no parâmetro da política. auditIfNotExists 2.0.0

Os utilizadores que desempenharam funções privilegiadas (por exemplo, administração do sistema) utilizam contas separadas no desempenho dessas funções privilegiadas.

ID: 1123.01q1System.2 - 01.q Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar máquinas Windows que têm contas extra no grupo de Administradores Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o grupo de administradores locais contiver membros que não estão listados no parâmetro da política. auditIfNotExists 2.0.0

Os métodos de autenticação de vários fatores são utilizados de acordo com a política organizacional (por exemplo, para acesso remoto à rede).

ID: 1125.01q2System.1 - 01.q Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar máquinas Windows que têm os membros especificados no grupo de administradores Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o grupo de administradores locais contiver um ou mais dos membros listados no parâmetro da política. auditIfNotExists 2.0.0

Quando são fornecidas fichas para a autenticação de vários fatores, é necessária uma verificação presencial antes da concessão de acesso.

ID: 1127.01q2System.3 - 01.q Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Máquinas de auditoria do Windows em falta de qualquer um dos membros especificados no grupo de Administradores Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o grupo de administradores locais não contiver um ou mais membros que estão listados no parâmetro da política. auditIfNotExists 2.0.0

O acesso às organizações de informação e sistemas por parte de partes externas não é permitido até que sejam realizadas as devidas diligências, os controlos adequados foram executados, e um contrato/acordo que reflita os requisitos de segurança é assinado reconhecendo que compreendem e aceitam as suas obrigações.

ID: 1401.05i1Organização.1239 - 05.i Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A transferência segura para contas de armazenamento deve ser ativada Requisito de auditoria de transferência Segura na sua conta de armazenamento. A transferência segura é uma opção que obriga a sua conta de armazenamento a aceitar pedidos apenas a partir de ligações seguras (HTTPS). A utilização do HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, a escuta e o sequestro de sessão Auditoria, Negar, Deficientes 2.0.0

As ligações de acesso remoto entre a organização e as partes externas são encriptadas.

ID: 1402.05i1Organização.45 - 05.i Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As aplicações de função só devem estar acessíveis através do HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 3.0.0

O acesso concedido a partes externas limita-se ao mínimo necessário e concedido apenas durante a duração exigida.

ID: 1403.05i1Organização.67 - 05.i Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações aplicações só devem estar acessíveis em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes, Negar 3.0.0

ID: 1418.05i1Organização.8 - 05.i Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A ligação SSL da Aplicação deve ser ativada para servidores de base de dados MySQL Base de Dados do Azure para MySQL suporta ligar o servidor Base de Dados do Azure para MySQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1

A organização obtém garantias satisfatórias de que existe uma segurança de informação razoável em toda a sua cadeia de fornecimento de informação através da realização de uma revisão anual, que inclui todos os parceiros/terceiros-fornecedores de que depende a sua cadeia de fornecimento de informação.

ID: 1450.05i2Organização.2 - 05.i Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A ligação SSL da Enforce deve ser ativada para servidores de base de dados PostgreSQL Base de Dados do Azure para PostgreSQL suporta ligar o servidor Base de Dados do Azure para PostgreSQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1

Os fornecedores de serviços em nuvem concebem e implementam controlos para mitigar e conter riscos de segurança de dados através da separação adequada de direitos, acesso baseado em funções e acesso de menor privilégio para todo o pessoal dentro da sua cadeia de fornecimento.

ID: 1451.05iCSPOrganização.2 - 05.i Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Apenas devem ser ativadas ligações seguras à sua Cache do Azure para Redis Auditoria que permite apenas ligações via SSL para Cache do Azure para Redis. A utilização de ligações seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, as escutas e o sequestro de sessão Auditoria, Negar, Deficientes 1.0.0

Registo de Auditoria

É criado um registo de auditoria seguro para todas as atividades do sistema (criar, ler, atualizar, excluir) envolvendo informações cobertas.

ID: 1202.09aa1System.1 - 09.aa Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os registos de recursos na Azure Data Lake Store devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
As atualizações do sistema em conjuntos de escala de máquinas virtuais devem ser instaladas Audite se existem atualizações de segurança do sistema em falta e atualizações críticas que deverão ser instaladas para garantir que os conjuntos de escala de máquinas virtuais Windows e Linux estão seguros. AuditIfNotExists, Desativado 3.0.0

Os registos de auditoria incluem o ID exclusivo do utilizador, o ID exclusivo do assunto de dados, a função executada e a data/hora em que o evento foi realizado.

ID: 1203.09aa1System.2 - 09.aa Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os registos de recursos em Aplicações Lógicas devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0

As atividades de utilizadores privilegiados (administradores, operadores, etc.) incluem o sucesso/falha do evento, a hora em que ocorreu o evento, a conta envolvida, os processos envolvidos e informações adicionais sobre o evento.

ID: 1204.09aa1System.3 - 09.aa Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os registos de recursos em Hub IoT devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 3.0.1

Os registos de mensagens enviadas e recebidas são mantidos, incluindo a data, hora, origem e destino da mensagem, mas não o seu conteúdo.

ID: 1205.09a2System.1 - 09.aa Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os registos de recursos nas contas do Lote devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0

A auditoria está sempre disponível enquanto o sistema estiver ativo e rastreie eventos-chave, acesso de dados bem sucedido/falhado, alterações na configuração de segurança do sistema, utilização privilegiada ou de utilidade, quaisquer alarmes levantados, ativação e desativação de sistemas de proteção (por exemplo, A/V e IDS), ativação e desativação de mecanismos de identificação e autenticação, e criação e eliminação de objetos de nível de sistema.

ID: 1206.09aa2System.23 - 09.aa Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os registos de recursos em Conjuntos de Dimensionamento de Máquinas Virtuais devem ser ativados Recomenda-se que os Registos possam ser recriados quando são necessárias investigações em caso de incidente ou de compromisso. AuditIfNotExists, Desativado 2.1.0

Os registos de auditoria são mantidos por 90 dias e os registos de auditoria mais antigos são arquivados por um ano.

ID: 1207.09aa2System.4 - 09.aa Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os registos de recursos no Azure Stream Analytics devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Event Hub devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0

Os registos de auditoria são mantidos para atividades de gestão, arranque/paragem/paragem/erros de aplicação, alterações de ficheiros e alterações na política de segurança.

ID: 1208.09aa3System.1 - 09.aa Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os registos de recursos nos serviços de pesquisa devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Service Bus devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0

O sistema de informação gera registos de auditoria contendo as seguintes informações detalhadas: (i) nome de ficheiros acedido; (ii) programa ou comando utilizado para iniciar o evento; e (iii) endereços de origem e destino.

ID: 1209.09aa3System.2 - 09.aa Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações aplicações devem ter registos de recursos ativados Auditoria habili possibilitando registos de recursos na aplicação. Isto permite-lhe recriar pistas de atividade para fins de investigação se ocorrer um incidente de segurança ou se a sua rede estiver comprometida. AuditIfNotExists, Desativado 2.0.1

Todas as divulgações de informações cobertas dentro ou fora da organização são registadas, incluindo tipo de divulgação, data/hora do evento, destinatário e remetente.

ID: 1210.09aa3System.3 - 09.aa Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Definição de diagnóstico de auditoria Definição de diagnóstico de auditoria para tipos de recursos selecionados AuditIfNotExists 1.1.0
Os registos de recursos em Data Lake Analytics devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0

A organização verifica a cada noventa (90) dias por cada extrato de informação coberta registrado que os dados são apagados ou a sua utilização ainda é necessária.

ID: 1211.09aa3System.4 - 09.aa Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A auditoria no servidor SQL deve ser ativada A auditoria ao seu SQL Server deve ser ativada para rastrear as atividades de base de dados em todas as bases de dados do servidor e guardá-las num registo de auditoria. AuditIfNotExists, Desativado 2.0.0
Os registos de recursos em Azure Key Vault O HSM gerido deve ser ativado Para recriar pistas de atividade para fins de investigação quando ocorre um incidente de segurança ou quando a sua rede está comprometida, poderá querer auditar, permitindo registos de recursos em HSMs Geridos. Por favor, siga as instruções aqui: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Desativado 1.0.0
Os registos de recursos em Key Vault devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar pistas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0

Utilização do sistema de monitorização

As ligações remotas não autorizadas aos sistemas de informação são monitorizadas e revistas pelo menos trimestralmente, e são tomadas medidas adequadas se for descoberta uma ligação não autorizada.

ID: 1120.09ab3System.9 - 09.ab Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Monitor deve recolher registos de atividade de todas as regiões Esta política audita o perfil de registo do Azure Monitor que não exporta atividades de todas as regiões apoiadas pelo Azure, incluindo a nível global. AuditIfNotExists, Desativado 2.0.0

A organização monitoriza o sistema de informação para identificar irregularidades ou anomalias que sejam indicadores de uma avaria ou compromisso do sistema e ajude a confirmar que o sistema está funcionando em um estado ideal, resiliente e seguro.

ID: 12100.09ab2System.15 - 09.ab Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas virtuais devem ter a extensão Log Analytics instalada Esta política audita quaisquer máquinas virtuais Windows/Linux se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1

A organização especifica a frequência com que os registos de auditoria são revistos, como as revisões são documentadas, e as funções e responsabilidades específicas do pessoal que realiza as revisões, incluindo as certificações profissionais ou outras qualificações necessárias.

ID: 12101.09ab1Organização.3 - 09.ab Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A extensão Log Analytics deve ser instalada no Conjuntos de Dimensionamento de Máquinas Virtuais Esta política audita qualquer Conjuntos de Dimensionamento de Máquinas Virtuais Windows/Linux se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1

A organização testará periodicamente os seus processos de monitorização e deteção, remediará deficiências e melhorará os seus processos.

ID: 12102.09ab1Organização.4 - 09.ab Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar máquinas Windows nas quais o agente Log Analytics não está ligado como esperado Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o agente não estiver instalado, ou se for instalado, mas o agente de objetos COMConfigManager.MgmtSvcCfg retorna que está registado num espaço de trabalho diferente do ID especificado no parâmetro da política. auditIfNotExists 2.0.0

ID: 1212.09ab1System.1 - 09.ab Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O perfil de registo do Azure Monitor deve recolher registos para categorias de 'escrever', 'excluir' e 'acção' Esta política garante que um perfil de registo recolhe registos para categorias de "escrever", "excluir" e "ação" AuditIfNotExists, Desativado 1.0.0

Os sistemas automatizados implantados em todo o ambiente da organização são utilizados para monitorizar eventos-chave e atividade anómala, e analisar registos de sistemas, dos quais os resultados são revistos regularmente.

ID: 1213.09ab2System.128 - 09.ab Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O fornecimento automático do agente Log Analytics deve ser ativado na sua subscrição Para monitorizar vulnerabilidades e ameaças de segurança, Centro de Segurança do Azure recolhe dados das suas máquinas virtuais Azure. Os dados são recolhidos pelo agente Log Analytics, anteriormente conhecido como O Agente de Monitorização da Microsoft (MMA), que lê várias configurações relacionadas com a segurança e registos de eventos da máquina e copia os dados para o seu espaço de trabalho Log Analytics para análise. Recomendamos que o fornecimento automático de auto-implantar automaticamente o agente em todos os VMs Azure suportados e quaisquer novos que sejam criados. AuditIfNotExists, Desativado 1.0.1

A monitorização inclui operações privilegiadas, acesso autorizado ou tentativas de acesso não autorizadas, incluindo tentativas de acesso a contas desativadas e alertas ou falhas do sistema.

ID: 1214.09ab2System.3456 - 09.ab Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Monitor deve recolher registos de atividade de todas as regiões Esta política audita o perfil de registo do Azure Monitor que não exporta atividades de todas as regiões apoiadas pelo Azure, incluindo a nível global. AuditIfNotExists, Desativado 2.0.0

Sistemas de auditoria e monitorização empregues pela organização apoiam a redução da auditoria e a geração de relatórios.

ID: 1215.09ab2System.7 - 09.ab Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas virtuais devem ter a extensão Log Analytics instalada Esta política audita quaisquer máquinas virtuais Windows/Linux se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1

Os sistemas automatizados são utilizados para rever as atividades de monitorização dos sistemas de segurança (por exemplo, IPS/IDS) e registos do sistema diariamente, e identificar e documentar anomalias.

ID: 1216.09ab3System.12 - 09.ab Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A extensão Log Analytics deve ser instalada no Conjuntos de Dimensionamento de Máquinas Virtuais Esta política audita qualquer Conjuntos de Dimensionamento de Máquinas Virtuais Windows/Linux se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1

São gerados alertas para que o pessoal técnico analise e investigue atividades suspeitas ou suspeitas de violações.

ID: 1217.09ab3System.3 - 09.ab Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar máquinas Windows nas quais o agente Log Analytics não está ligado como esperado Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se o agente não estiver instalado, ou se for instalado, mas o agente de objetos COMConfigManager.MgmtSvcCfg retorna que está registado num espaço de trabalho diferente do ID especificado no parâmetro da política. auditIfNotExists 2.0.0

O sistema de informação é capaz de processar automaticamente registos de auditoria para eventos de interesse baseados em critérios selecionáveis.

ID: 1219.09ab3System.10 - 09.ab Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O perfil de registo do Azure Monitor deve recolher registos para categorias de 'escrever', 'excluir' e 'acção' Esta política garante que um perfil de registo recolhe registos para categorias de "escrever", "excluir" e "ação" AuditIfNotExists, Desativado 1.0.0

A monitorização inclui comunicações de entrada e saída e monitorização da integridade dos ficheiros.

ID: 1220.09ab3System.56 - 09.ab Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O fornecimento automático do agente Log Analytics deve ser ativado na sua subscrição Para monitorizar vulnerabilidades e ameaças de segurança, Centro de Segurança do Azure recolhe dados das suas máquinas virtuais Azure. Os dados são recolhidos pelo agente Log Analytics, anteriormente conhecido como O Agente de Monitorização da Microsoft (MMA), que lê várias configurações relacionadas com a segurança e registos de eventos da máquina e copia os dados para o seu espaço de trabalho Log Analytics para análise. Recomendamos que o fornecimento automático de auto-implantar automaticamente o agente em todos os VMs Azure suportados e quaisquer novos que sejam criados. AuditIfNotExists, Desativado 1.0.1

Diários de Administrador e Operador

A organização garante que a exploração madeireira adequada é ativada para auditar atividades de administrador; e revê os registos de administrador de sistema e operador regularmente.

ID: 1270.09ad1System.12 - 09.ad Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Deve existir um alerta de registo de atividade para operações administrativas específicas Esta política audita operações administrativas específicas sem alertas de registo de atividade configurados. AuditIfNotExists, Desativado 1.0.0

Um sistema de deteção de intrusões gerido fora do controlo de administradores de sistemas e de rede é utilizado para monitorizar as atividades de administração de sistemas e de rede para o cumprimento.

ID: 1271.09ad1System.1 - 09.ad Ownership: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Deve existir um alerta de registo de atividade para operações administrativas específicas Esta política audita operações administrativas específicas sem alertas de registo de atividade configurados. AuditIfNotExists, Desativado 1.0.0

Segregação de Deveres

A separação de direitos é utilizada para limitar o risco de modificação não autorizada ou não não intencional de informações e sistemas.

ID: 1229.09c1Organização.1 - 09.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os Controlo de Acesso baseados em funções (RBAC) devem ser utilizados nos serviços kubernetes Para fornecer filtragem granular sobre as ações que os utilizadores podem executar, utilize Role-Based Controlo de Acesso (RBAC) para gerir permissões em Clusters de Serviços Kubernetes e configurar políticas de autorização relevantes. Auditoria, Deficientes 1.0.2

Nenhuma pessoa é capaz de aceder, modificar ou usar sistemas de informação sem autorização ou deteção.

ID: 1230.09c2Organização.1 - 09.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar o uso das regras rbac personalizadas Auditar funções incorporadas como "Proprietário, Contribuidor, Leitor" em vez de funções personalizadas de RBAC, que são propensas a erros. A utilização de funções personalizadas é tratada como uma exceção e requer uma revisão rigorosa e modelação de ameaças Auditoria, Deficientes 1.0.0

ID: 1232.09c3Organização.12 - 09.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas windows devem satisfazer os requisitos para a "Atribuição de Direitos de Utilizador" As máquinas Windows devem ter as definições Política de Grupo especificadas na categoria "Atribuição de Direitos de Utilizador" para permitir o registo local, RDP, acesso a partir da rede e muitas outras atividades do utilizador. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

O início de um evento é separado da sua autorização para reduzir a possibilidade de conluio.

ID: 1277.09c2Organização.4 - 09.c Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas windows devem satisfazer os requisitos para "Opções de Segurança - Controlo de Contas de Utilizador" As máquinas windows devem ter as definições Política de Grupo especificadas na categoria 'Opções de Segurança - Controlo de Contas do Utilizador' para o modo para administradores, comportamento de elevação rápida e virtualização de falhas de registo e ficheiros e registos. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

Controlos contra código malicioso

Os antivírus e anti-spyware são instalados, operativos e atualizados em todos os dispositivos do utilizador final para realizar análises periódicas dos sistemas para identificar e remover software não autorizado. Ambientes de servidor para os quais o desenvolvedor de software do servidor recomenda especificamente que não instale software antivírus e anti-spyware baseado no hospedeiro podem resolver o requisito através de uma solução de deteção de malware baseada na rede (NBMD).

ID: 0201.09j1Organização.124 - 09.j Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os controlos de aplicação adaptativos para definir aplicações seguras devem ser ativados nas suas máquinas Ative os controlos de aplicação para definir a lista de aplicações conhecidas e seguras em execução nas suas máquinas e alerte-o quando outras aplicações são executadas. Isto ajuda a endurecer as suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das suas regras, o Security Center utiliza machine learning para analisar as aplicações em funcionamento em cada máquina e sugerir a lista de aplicações conhecidas e seguras. AuditIfNotExists, Desativado 3.0.0
Implementar extensão padrão do Microsoft IaaSAntimalware para Windows Server Esta política implementa uma extensão Microsoft IaaSAntimalware com uma configuração padrão quando um VM não está configurado com a extensão antimalware. implementarIfNotExists 1.1.0
A solução de proteção do ponto final deve ser instalada em conjuntos de escala de máquina virtual Audite a existência e a saúde de uma solução de proteção de pontos finais nos conjuntos de escala de máquinas virtuais, para protegê-las de ameaças e vulnerabilidades. AuditIfNotExists, Desativado 3.0.0
Microsoft Antimalware para o Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção Esta política audita qualquer máquina virtual do Windows não configurada com a atualização automática de assinaturas de proteção Microsoft Antimalware. AuditIfNotExists, Desativado 1.0.0
Monitor que falta proteção de ponto final em Centro de Segurança do Azure Os servidores sem um agente instalado de Proteção de Pontos Finais serão monitorizados por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
As atualizações de sistema devem ser instaladas nos seus computadores As atualizações do sistema de segurança em falta nos seus servidores serão monitorizadas por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 4.0.0

Back-up

Cópias de segurança de informações e software são feitas e os testes dos meios de comunicação e procedimentos de restauração são regularmente realizados em intervalos adequados.

ID: 1616.09l1Organização.16 - 09.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Backup geo-redundante a longo prazo deve ser ativado para SQL do Azure bases de dados Esta política audita qualquer SQL do Azure Base de Dados com cópias de segurança geo-redundantes a longo prazo não ativadas. AuditIfNotExists, Desativado 2.0.0

ID: 1617.09l1Organização.23 - 09.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A cópia de segurança geo-redundante deve ser ativada para Base de Dados do Azure para MySQL Base de Dados do Azure para MySQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1

As cópias de segurança são armazenadas num local remoto fisicamente seguro, a uma distância suficiente para torná-las razoavelmente imunes aos danos causados aos dados no local primário, e existem controlos físicos e ambientais razoáveis para garantir a sua proteção no local remoto.

ID: 1618.09l1Organização.45 - 09.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O backup geo-redundante deve ser ativado para Base de Dados do Azure para PostgreSQL Base de Dados do Azure para PostgreSQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1

Os registos de inventário das cópias de segurança, incluindo o conteúdo e a localização atual, são mantidos.

ID: 1619.09l1Organização.7 - 09.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A cópia de segurança geo-redundante deve ser ativada para Azure Database for MariaDB Azure Database for MariaDB permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1

Quando o serviço de cópia de segurança é entregue pelo terceiro, o acordo de nível de serviço inclui as proteções detalhadas para controlar a confidencialidade, integridade e disponibilidade das informações de backup.

ID: 1620.09l1Organização.8 - 09.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Azure Backup deve ser habilitado para Máquinas Virtuais Certifique-se de que o seu Azure Máquinas Virtuais, permitindo Azure Backup. Azure Backup é uma solução segura e eficaz de proteção de dados para a Azure. AuditIfNotExists, Desativado 3.0.0

As ferramentas automatizadas são usadas para rastrear todos os backups.

ID: 1621.09l2Organização.1 - 09.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Backup geo-redundante a longo prazo deve ser ativado para SQL do Azure bases de dados Esta política audita qualquer SQL do Azure Base de Dados com cópias de segurança geo-redundantes a longo prazo não ativadas. AuditIfNotExists, Desativado 2.0.0

A integridade e segurança das cópias de cópias de reserva são mantidas para garantir a disponibilidade futura, e quaisquer potenciais problemas de acessibilidade com as cópias de cópias de cópias de cópias de segurança são identificados e atenuados em caso de desastre em toda a área.

ID: 1622.09l2Organização.23 - 09.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A cópia de segurança geo-redundante deve ser ativada para Base de Dados do Azure para MySQL Base de Dados do Azure para MySQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1

As informações cobertas são apoiadas num formato encriptado para garantir a confidencialidade.

ID: 1623.09l2Organização.4 - 09.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O backup geo-redundante deve ser ativado para Base de Dados do Azure para PostgreSQL Base de Dados do Azure para PostgreSQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1

A organização realiza backups incrementais ou diferenciais diariamente e cópias de segurança completas semanalmente para separar os meios de comunicação.

ID: 1624.09l3Organização.12 - 09.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A cópia de segurança geo-redundante deve ser ativada para Azure Database for MariaDB Azure Database for MariaDB permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1

ID: 1625.09l3Organização.34 - 09.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Azure Backup deve ser habilitado para Máquinas Virtuais Certifique-se de que o seu Azure Máquinas Virtuais, permitindo Azure Backup. Azure Backup é uma solução segura e eficaz de proteção de dados para a Azure. AuditIfNotExists, Desativado 3.0.0

A organização garante que uma cópia atual e recuperável de informações cobertas está disponível antes do movimento dos servidores.

ID: 1626.09l3Organização.5 - 09.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O backup geo-redundante deve ser ativado para Base de Dados do Azure para PostgreSQL Base de Dados do Azure para PostgreSQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1

A organização testa informações de backup após cada cópia de segurança para verificar a fiabilidade dos meios de comunicação e a integridade da informação, e pelo menos anualmente depois.

ID: 1627.09l3Organização.6 - 09.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A cópia de segurança geo-redundante deve ser ativada para Azure Database for MariaDB Azure Database for MariaDB permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1

As funções e responsabilidades dos membros da força de trabalho no processo de backup de dados são identificadas e comunicadas à força de trabalho; em particular, os utilizadores do Bring Your Own Device (BYOD) são obrigados a realizar cópias de segurança dos dados organizacionais e/ou clientes nos seus dispositivos.

ID: 1699.09l1Organização.10 - 09.l Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Azure Backup deve ser habilitado para Máquinas Virtuais Certifique-se de que o seu Azure Máquinas Virtuais, permitindo Azure Backup. Azure Backup é uma solução segura e eficaz de proteção de dados para a Azure. AuditIfNotExists, Desativado 3.0.0

Controlos de rede

A organização monitoriza para todo o acesso sem fios autorizado e não autorizado ao sistema de informação e proíbe a instalação de pontos de acesso sem fios (WAPs), a menos que explicitamente autorizados por escrito pelo CIO ou pelo seu representante designado.

ID: 0858.09m1Organização.4 - 09.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Todas as portas de rede devem ser restringidas em grupos de segurança de rede associados à sua máquina virtual Centro de Segurança do Azure identificou as regras de entrada de alguns dos seus grupos de segurança na rede como demasiado permissivas. As regras de entrada não devem permitir o acesso a partir das gamas "Qualquer" ou "Internet". Isto pode potencialmente permitir que os atacantes direcionem os seus recursos. AuditIfNotExists, Desativado 3.0.0
As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time O acesso à rede Just In Time (JIT) será monitorizado por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
As máquinas windows devem satisfazer os requisitos para 'Windows Firewall Properties' As máquinas windows devem ter as definições Política de Grupo especificadas na categoria "Windows Firewall Properties" para estado de firewall, ligações, gestão de regras e notificações. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

A organização garante a segurança da informação nas redes, a disponibilidade de serviços de rede e serviços de informação utilizando a rede e a proteção de serviços conectados de acesso não autorizado.

ID: 0859.09m1Organização.78 - 09.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Recomendações de endurecimento de rede adaptativas devem ser aplicadas na internet face a máquinas virtuais Centro de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais da Internet e fornece recomendações de regras do Grupo de Segurança da Rede que reduzem a potencial superfície de ataque AuditIfNotExists, Desativado 3.0.0

A organização gere formalmente equipamentos na rede, incluindo equipamentos em áreas de utilizador.

ID: 0860.09m1Organização.9 - 09.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar definições de diagnóstico para grupos de segurança de rede Esta política implementa automaticamente as definições de diagnóstico para grupos de segurança de rede. Uma conta de armazenamento com o nome '{storagePrefixParameter}{NSGLocation}' será criada automaticamente. implementarIfNotExists 2.0.0

Para identificar e autenticar dispositivos em redes locais e/ou de vasta área, incluindo redes sem fios, o sistema de informação utiliza uma (i) solução de informação conhecida partilhada ou (ii) uma solução de autenticação organizacional, da qual a seleção e a força exatas dependem da categorização de segurança do sistema de informação.

ID: 0861.09m2Organização.67 - 09.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações aplicações devem usar um ponto final de serviço de rede virtual Utilize pontos finais de serviço de rede virtuais para restringir o acesso à sua aplicação a partir de sub-redes selecionadas a partir de uma rede virtual Azure. Para saber mais sobre Serviço de Aplicações pontos finais de serviço, visitehttps://aks.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Desativado 2.0.0
As máquinas windows devem satisfazer os requisitos para "Opções de Segurança - Acesso à Rede" As máquinas windows devem ter as definições Política de Grupo especificadas na categoria "Opções de Segurança - Acesso à Rede" para incluir acesso a utilizadores anónimos, contas locais e acesso remoto ao registo. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

A organização garante que os sistemas de informação protejam a confidencialidade e integridade das informações transmitidas, incluindo durante a preparação para a transmissão e durante a receção.

ID: 0862.09m2Organização.8 - 09.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
SQL Server deve usar um ponto final de serviço de rede virtual Esta política audita quaisquer SQL Server não configurados para utilizar um ponto final de serviço de rede virtual. AuditIfNotExists, Desativado 1.0.0

A organização constrói uma configuração de firewall que restringe as ligações entre redes não confiáveis e quaisquer componentes do sistema no ambiente de informação coberto; e quaisquer alterações na configuração da firewall são atualizadas no diagrama de rede.

ID: 0863.09m2Organização.910 - 09.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Event Hub deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer Centro de Eventos não configurado para utilizar um ponto final de serviço de rede virtual. AuditIfNotExists, Desativado 1.0.0

As restrições de utilização e a orientação de implementação são formalmente definidas para o VoIP, incluindo a autorização e monitorização do serviço.

ID: 0864.09m2Organização.12 - 09.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Cosmos DB deve usar um ponto final de serviço de rede virtual Esta política audita qualquer DB cosmos não configurado para usar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0

A organização (i) autoriza ligações do sistema de informação a outros sistemas de informação fora da organização através da utilização de acordos de segurança de interconexão ou outro acordo formal; ii documentar cada ligação, as características da interface, os requisitos de segurança e a natureza das informações comunicadas; iii utilize uma política de negação, permitindo, por exceção, permitir ligações do sistema de informação a outros sistemas de informação fora da organização; e (iv) aplica uma regra de negação padrão que deixa cair todo o tráfego através de firewalls ou ferramentas de filtragem de portas nos seus pontos finais (estações de trabalho, servidores, etc.), exceto os serviços e portas que são explicitamente permitidos.

ID: 0865.09m2Organização.13 - 09.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Key Vault deve usar um ponto final de serviço de rede virtual Esta política audita quaisquer Key Vault não configuradas para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0

A organização descreve os grupos, funções e responsabilidades pela gestão lógica das componentes da rede e assegura a coordenação e consistência nos elementos da infraestrutura de rede.

ID: 0866.09m3Organização.1516 - 09.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As contas de armazenamento devem restringir o acesso à rede O acesso à rede às contas de armazenamento deve ser restringido. Configure as regras de rede para que apenas aplicações de redes permitidas possam aceder à conta de armazenamento. Para permitir ligações de clientes específicos da Internet ou no local, o acesso pode ser concedido ao tráfego a partir de redes virtuais específicas do Azure ou de intervalos de endereços IP da Internet pública Auditoria, Negar, Deficientes 1.1.1

Os pontos de acesso sem fios são colocados em áreas seguras e desligados quando não estão a ser utilizados (por exemplo, noites, fins-de-semana).

ID: 0867.09m3Organização.17 - 09.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As Contas de Armazenamento devem utilizar um ponto final de serviço de rede virtual Esta política audita qualquer Conta de Armazenamento não configurada para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0

A organização constrói uma configuração de firewall para restringir o tráfego de entrada e saída ao que é necessário para o ambiente de dados coberto.

ID: 0868.09m3Organização.18 - 09.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O Registo de Contentores deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer registo de contentores não configurado para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0-pré-visualização

Os ficheiros de configuração do router estão protegidos e sincronizados.

ID: 0869.09m3Organização.19 - 09.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O Registo de Contentores deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer registo de contentores não configurado para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0-pré-visualização

O acesso a todos os proxies é negado, com exceção dos anfitriões, portos e serviços que são explicitamente necessários.

ID: 0870.09m3Organização.20 - 09.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O Registo de Contentores deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer registo de contentores não configurado para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0-pré-visualização

Os servidores DNS autoritários estão segregados em funções internas e externas.

ID: 0871.09m3Organização.22 - 09.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O Registo de Contentores deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer registo de contentores não configurado para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0-pré-visualização

Segurança dos Serviços de Rede

Os serviços acordados prestados por um prestador/gestor de serviços de rede são formalmente geridos e monitorizados para garantir que são fornecidos de forma segura.

ID: 0835.09n1Organização.1 - 09.n Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais do Windows O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
Máquinas virtuais devem ser migradas para novos recursos Resource Manager Azure Utilize novos Resource Manager Azure para as suas máquinas virtuais para fornecer melhorias de segurança tais como: controlo de acesso mais forte (RBAC), melhor auditoria, implementação e governação baseadas em Azure Resource Manager, acesso a identidades geridas, acesso a cofre chave para segredos, autenticação baseada em Azure AD e suporte para tags e grupos de recursos para facilitar a segurança gestão Auditoria, Negar, Deficientes 1.0.0

A organização autoriza e documenta formalmente as características de cada ligação de um sistema de informação a outros sistemas de informação fora da organização.

ID: 0836.09.n2Organização.1 - 09.n Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização

Os acordos formais com fornecedores de sistemas de informação externos incluem obrigações específicas para a segurança e a privacidade.

ID: 0837.09.n2Organização.2 - 09.n Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Observador de Rede deve ser ativado Observador de Rede é um serviço regional que lhe permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, e a partir de Azure. A monitorização do nível do cenário permite diagnosticar problemas no final da vista do nível da rede. É necessário ter um grupo de recursos de observadores de rede a ser criado em todas as regiões onde uma rede virtual está presente. Um alerta é ativado se um grupo de recursos de observadores de rede não estiver disponível numa determinada região. AuditIfNotExists, Desativado 3.0.0

A organização analisa e atualiza os acordos de segurança de interconexão numa base contínua, verificando a aplicação dos requisitos de segurança.

ID: 0885.09n2Organização.3 - 09.n Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização

A organização emprega e documenta num acordo formal ou noutro documento, quer i) permitir tudo, negar por exceção, ou, ii) negar tudo, permitir autorização por exceção (preferencialmente), política para permitir que sistemas de informação específicos se conectem a sistemas de informação externos.

ID: 0886.09n2Organização.4 - 09.n Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Observador de Rede deve ser ativado Observador de Rede é um serviço regional que lhe permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, e a partir de Azure. A monitorização do nível do cenário permite diagnosticar problemas no final da vista do nível da rede. É necessário ter um grupo de recursos de observadores de rede a ser criado em todas as regiões onde uma rede virtual está presente. Um alerta é ativado se um grupo de recursos de observadores de rede não estiver disponível numa determinada região. AuditIfNotExists, Desativado 3.0.0

A organização exige que os prestadores de serviços externos/subcontratados identifiquem as funções específicas, portas e protocolos utilizados na prestação dos serviços externos/externos.

ID: 0887.09n2Organização.5 - 09.n Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais do Windows O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização

O contrato com o prestador de serviços externo/externo inclui a especificação de que o prestador de serviços é responsável pela proteção das informações cobertas partilhadas.

ID: 0888.09n2Organização.6 - 09.n Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Observador de Rede deve ser ativado Observador de Rede é um serviço regional que lhe permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, e a partir de Azure. A monitorização do nível do cenário permite diagnosticar problemas no final da vista do nível da rede. É necessário ter um grupo de recursos de observadores de rede a ser criado em todas as regiões onde uma rede virtual está presente. Um alerta é ativado se um grupo de recursos de observadores de rede não estiver disponível numa determinada região. AuditIfNotExists, Desativado 3.0.0

Gestão de Mídia Amovível

A organização, com base no nível de classificação de dados, regista meios de comunicação (incluindo portáteis) antes da utilização, coloca restrições razoáveis na forma como esses meios de comunicação são utilizados e fornece um nível adequado de proteção física e lógica (incluindo encriptação) para meios que contenham informações cobertas até serem devidamente destruídos ou higienizados.

ID: 0301.09o1Organização.123 - 09.o Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A encriptação transparente de dados nas bases de dados SQL deve ser ativada A encriptação transparente de dados deve ser ativada para proteger os dados em repouso e cumprir os requisitos de conformidade AuditIfNotExists, Desativado 2.0.0

A organização protege e controla os meios de comunicação que contêm informações sensíveis durante o transporte fora das áreas controladas.

ID: 0302.09o2Organização.1 - 09.o Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas virtuais devem encriptar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento Por padrão, o sistema operativo e os discos de dados de uma máquina virtual são encriptados em repouso utilizando chaves geridas pela plataforma. Os discos temporários, caches de dados e dados que fluem entre o cálculo e o armazenamento não são encriptados. Ignore esta recomendação se: 1. usando encriptação no hospedeiro, ou 2. a encriptação do lado do servidor no Managed Disks satisfaz os seus requisitos de segurança. Saiba mais em: Encriptação do lado do servidor do armazenamento do disco Azure: https://aka.ms/disksse, Diferentes ofertas de encriptação de discos: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Desativado 2.0.3

A organização restringe o uso de meios removíveis e de meios de comunicação amovíveis pessoalmente em sistemas organizacionais.

ID: 0304.09o3Organização.1 - 09.o Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Exigir encriptação nas contas da Data Lake Store Esta política garante que a encriptação está ativada em todas as contas da Data Lake Store negar 1.0.0
As instâncias geridas pela SQL devem usar chaves geridas pelo cliente para encriptar dados em repouso Implementar a Encriptação de Dados Transparentes (TDE) com a sua própria chave proporciona-lhe uma maior transparência e controlo sobre o Protetor TDE, maior segurança com um serviço externo apoiado pelo HSM e promoção da separação de direitos. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. Auditoria, Negar, Deficientes 2.0.0
Os servidores SQL devem usar as chaves geridas pelo cliente para encriptar dados em repouso Implementar a Encriptação de Dados Transparentes (TDE) com a sua própria chave proporciona uma maior transparência e controlo sobre o Protetor TDE, uma maior segurança com um serviço externo apoiado pelo HSM e a promoção da separação de direitos. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. Auditoria, Negar, Deficientes 2.0.1

Políticas e procedimentos de intercâmbio de informações

Os fornecedores de serviços em nuvem utilizam uma plataforma de virtualização reconhecida pela indústria e formatos de virtualização padrão (por exemplo, Open Virtualization Format, OVF) para ajudar a garantir a interoperabilidade, e documentou alterações personalizadas feitas a qualquer hipervisor em uso e todos os ganchos de virtualização específicos da solução disponíveis para revisão do cliente.

ID: 0662.09sCSPOrganização.2 - 09.s Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações aplicações devem ter "Certificados de Cliente (Certificados de cliente incoming)" ativados Os certificados de cliente permitem que a app solicite um certificado para pedidos de entrada. Apenas os clientes que tenham um certificado válido poderão chegar à aplicação. Auditoria, Deficientes 2.0.0

A organização aborda formalmente múltiplas salvaguardas antes de permitir a utilização de sistemas de informação para troca de informações.

ID: 0901.09s1Organização.1 - 09.s Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações aplicações não devem ter CORS configurado para permitir que todos os recursos acedam às suas apps A Partilha de Recursos de Origem Cruzada (CORS) não deve permitir que todos os domínios acedam à sua aplicação. Permitir que apenas os domínios necessários interajam com a sua aplicação. AuditIfNotExists, Desativado 2.0.0

O acesso remoto (externo) aos ativos de informação da organização e o acesso a ativos de informação externos (para os quais a organização não tem controlo) baseia-se em termos e condições claramente definidos.

ID: 0902.09s2Organização.13 - 09.s Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As aplicações de função não devem ter CORS configurado para permitir que todos os recursos acedam às suas apps A Partilha de Recursos de Origem Cruzada (CORS) não deve permitir que todos os domínios acedam à sua aplicação Function. Permitir que apenas os domínios necessários interajam com a sua aplicação Função. AuditIfNotExists, Desativado 2.0.0

A criptografia é usada para proteger a confidencialidade e integridade das sessões de acesso remoto à rede interna e aos sistemas externos.

ID: 0912.09s1Organização.4 - 09.s Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações apps devem ter depuragem remota desligada A depuragem remota requer a abertura de portas de entrada numa aplicação Serviço de Aplicações. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 2.0.0

Protocolos de criptografia fortes são utilizados para salvaguardar informações cobertas durante a transmissão em redes públicas menos confiáveis/abertas.

ID: 0913.09s1Organização.5 - 09.s Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As aplicações de função devem ter depurado remoto A depuragem remota requer a abertura de portas de entrada em aplicações de função. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 2.0.0

A organização limita o uso de suportes de armazenamento portáteis controlados pela organização por indivíduos autorizados em sistemas de informação externos.

ID: 0915.09s2Organização.2 - 09.s Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações aplicações devem ter "Certificados de Cliente (Certificados de cliente incoming)" ativados Os certificados de cliente permitem que a app solicite um certificado para pedidos de entrada. Apenas os clientes que tenham um certificado válido poderão chegar à aplicação. Auditoria, Deficientes 2.0.0

O sistema de informação proíbe a ativação remota de dispositivos de computação colaborativa e fornece uma indicação explícita de uso aos utilizadores fisicamente presentes nos dispositivos.

ID: 0916.09s2Organização.4 - 09.s Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações aplicações não devem ter CORS configurado para permitir que todos os recursos acedam às suas apps A Partilha de Recursos de Origem Cruzada (CORS) não deve permitir que todos os domínios acedam à sua aplicação. Permitir que apenas os domínios necessários interajam com a sua aplicação. AuditIfNotExists, Desativado 2.0.0

Os prestadores de serviços em nuvem utilizam protocolos de rede standardizados seguros (por exemplo, textos não claros e autenticados) para a importação e exportação de dados e para gerir o serviço, e disponibilizam um documento aos consumidores (inquilinos) que detalham as normas de interoperabilidade e portabilidade relevantes que estão envolvidas.

ID: 0960.09sCSPOrganização.1 - 09.s Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As aplicações de função não devem ter CORS configurado para permitir que todos os recursos acedam às suas apps A Partilha de Recursos de Origem Cruzada (CORS) não deve permitir que todos os domínios acedam à sua aplicação Function. Permitir que apenas os domínios necessários interajam com a sua aplicação Função. AuditIfNotExists, Desativado 2.0.0

O pessoal é devidamente treinado sobre princípios e práticas principais para todos os tipos de intercâmbio de informações (oral, papel e electrónica).

ID: 1325.09s1Organização.3 - 09.s Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As aplicações de função devem ter depurado remoto A depuragem remota requer a abertura de portas de entrada em aplicações de função. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 2.0.0

Transações on-line

Os dados envolvidos no comércio eletrónico e nas transações online são verificados para determinar se contém informações cobertas.

ID: 0943.09y1Organização.1 - 09.y Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A transferência segura para contas de armazenamento deve ser ativada Requisito de auditoria de transferência Segura na sua conta de armazenamento. A transferência segura é uma opção que obriga a sua conta de armazenamento a aceitar pedidos apenas a partir de ligações seguras (HTTPS). A utilização do HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, a escuta e o sequestro de sessão Auditoria, Negar, Deficientes 2.0.0

Os protocolos utilizados para comunicar entre todas as partes envolvidas são garantidos utilizando técnicas criptográficas (por exemplo, SSL).

ID: 0945.09y1Organização.3 - 09.y Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar máquinas Windows que não contenham os certificados especificados em Raiz Fidedigna Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina Trusted Root certificate store (Cert:\LocalMachine\Root) não conter um ou mais dos certificados listados pelo parâmetro da política. auditIfNotExists 3.0.0

A organização exige o uso da encriptação entre, e o uso de assinaturas eletrónicas por cada uma das partes envolvidas na transação.

ID: 0946.09y2Organização.14 - 09.y Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Apenas devem ser ativadas ligações seguras à sua Cache do Azure para Redis Auditoria que permite apenas ligações via SSL para Cache do Azure para Redis. A utilização de ligações seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, as escutas e o sequestro de sessão Auditoria, Negar, Deficientes 1.0.0

A organização garante que o armazenamento dos detalhes da transação está localizado fora de quaisquer ambientes acessíveis ao público (por exemplo, numa plataforma de armazenamento existente na intranet da organização) e não retido e exposto num suporte de armazenamento diretamente acessível a partir da Internet.

ID: 0947.09y2Organização.2 - 09.y Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A ligação SSL da Enforce deve ser ativada para servidores de base de dados PostgreSQL Base de Dados do Azure para PostgreSQL suporta ligar o servidor Base de Dados do Azure para PostgreSQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1

Sempre que seja utilizada uma autoridade de confiança (por exemplo, para efeitos de emissão e manutenção de assinaturas digitais e/ou certificados digitais), a segurança é integrada e incorporada em todo o processo de gestão de certificados/assinaturas de ponta a ponta.

ID: 0948.09y2Organização.3 - 09.y Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A ligação SSL da Aplicação deve ser ativada para servidores de base de dados MySQL Base de Dados do Azure para MySQL suporta ligar o servidor Base de Dados do Azure para MySQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1

Os protocolos utilizados para as comunicações são reforçados para resolver qualquer nova vulnerabilidade, e as versões atualizadas dos protocolos são adotadas o mais rapidamente possível.

ID: 0949.09y2Organização.5 - 09.y Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Serviço de Aplicações aplicações só devem estar acessíveis em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes, Negar 3.0.0
Serviço de Aplicações aplicações devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0
As aplicações de função só devem estar acessíveis através do HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 3.0.0
As aplicações de função devem usar a versão mais recente do TLS Upgrade para a versão mais recente do TLS. AuditIfNotExists, Desativado 2.0.0

Controlo de Software Operacional

Apenas os administradores autorizados são autorizados a implementar atualizações aprovadas para software, aplicações e bibliotecas de programas, com base nos requisitos de negócio e nas implicações de segurança da libertação.

ID: 0605.10h1System.12 - 10.h Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As vulnerabilidades na configuração de segurança das suas máquinas devem ser remediadas Os servidores que não satisfaçam a linha de base configurada serão monitorizados por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
Máquinas Windows devem satisfazer requisitos para "Opções de Segurança - Auditoria" As máquinas Windows devem ter as definições Política de Grupo especificadas na categoria "Opções de Segurança - Auditoria" para forçar a subcategoria de política de auditoria e desligar se não puder registar auditorias de segurança. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0
Máquinas Windows devem satisfazer requisitos para "Políticas de Auditoria do Sistema - Gestão de Contas" As máquinas Windows devem ter as definições Política de Grupo especificadas na categoria "Políticas de Auditoria do Sistema - Gestão de Contas" para auditoria de aplicações, segurança e gestão de grupos de utilizadores, e outros eventos de gestão. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

As aplicações e os sistemas operativos são testados com sucesso para a usabilidade, segurança e impacto antes da produção.

ID: 0606.10h2System.1 - 10.h Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As vulnerabilidades nas configurações de segurança dos contentores devem ser remediadas Auditar vulnerabilidades na configuração de segurança em máquinas com Docker instalado e exibir como recomendações em Centro de Segurança do Azure. AuditIfNotExists, Desativado 3.0.0

A organização utiliza o seu programa de controlo de configuração para manter o controlo de todo o software implementado e da documentação do sistema e arquivar versões anteriores de software implementado e documentação do sistema associada.

ID: 0607.10h2System.23 - 10.h Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os controlos de aplicação adaptativos para definir aplicações seguras devem ser ativados nas suas máquinas Ative os controlos de aplicação para definir a lista de aplicações conhecidas e seguras em execução nas suas máquinas e alerte-o quando outras aplicações são executadas. Isto ajuda a endurecer as suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das suas regras, o Security Center utiliza machine learning para analisar as aplicações em funcionamento em cada máquina e sugerir a lista de aplicações conhecidas e seguras. AuditIfNotExists, Desativado 3.0.0
As vulnerabilidades na configuração de segurança nos conjuntos de escala de máquina virtual devem ser remediadas Audite as vulnerabilidades do SO nos conjuntos de escala de máquinas virtuais para protegê-los de ataques. AuditIfNotExists, Desativado 3.0.0

Alterar procedimentos de controlo

Os gestores responsáveis pelos sistemas de aplicação são também responsáveis pelo rigoroso controlo (segurança) do projeto ou ambiente de apoio e asseguram que todas as alterações propostas do sistema sejam revistas para verificar se não comprometem a segurança do sistema ou do ambiente operacional.

ID: 0635.10k1Organização.12 - 10.k Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas windows devem satisfazer os requisitos para "Políticas de Auditoria do Sistema - Rastreio Detalhado" As máquinas Windows devem ter as definições Política de Grupo especificadas na categoria "Políticas de Auditoria do Sistema - Rastreio Detalhado" para auditoria ao DPAPI, criação/rescisão de processos, eventos de RPC e atividade de PNP. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

A organização aborda formalmente o propósito, âmbito, funções, responsabilidades, compromisso de gestão, coordenação entre entidades organizacionais, e cumprimento da gestão de configuração (por exemplo, através de políticas, normas, processos).

ID: 0636.10k2Organização.1 - 10.k Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas windows devem satisfazer os requisitos para "Políticas de Auditoria do Sistema - Rastreio Detalhado" As máquinas Windows devem ter as definições Política de Grupo especificadas na categoria "Políticas de Auditoria do Sistema - Rastreio Detalhado" para auditoria ao DPAPI, criação/rescisão de processos, eventos de RPC e atividade de PNP. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

A organização desenvolveu, documentou e implementou um plano de gestão de configuração para o sistema de informação.

ID: 0637.10k2Organização.2 - 10.k Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas windows devem satisfazer os requisitos para "Políticas de Auditoria do Sistema - Rastreio Detalhado" As máquinas Windows devem ter as definições Política de Grupo especificadas na categoria "Políticas de Auditoria do Sistema - Rastreio Detalhado" para auditoria ao DPAPI, criação/rescisão de processos, eventos de RPC e atividade de PNP. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

As alterações são formalmente controladas, documentadas e aplicadas de forma a minimizar a corrupção dos sistemas de informação.

ID: 0638.10k2Organização.34569 - 10.k Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas windows devem satisfazer os requisitos para "Políticas de Auditoria do Sistema - Rastreio Detalhado" As máquinas Windows devem ter as definições Política de Grupo especificadas na categoria "Políticas de Auditoria do Sistema - Rastreio Detalhado" para auditoria ao DPAPI, criação/rescisão de processos, eventos de RPC e atividade de PNP. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

As listas de verificação de instalação e as verificações de vulnerabilidade são utilizadas para validar a configuração de servidores, estações de trabalho, dispositivos e aparelhos e garantir que a configuração cumpre os padrões mínimos.

ID: 0639.10k2Organização.78 - 10.k Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas windows devem satisfazer os requisitos para "Políticas de Auditoria do Sistema - Rastreio Detalhado" As máquinas Windows devem ter as definições Política de Grupo especificadas na categoria "Políticas de Auditoria do Sistema - Rastreio Detalhado" para auditoria ao DPAPI, criação/rescisão de processos, eventos de RPC e atividade de PNP. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

Quando o desenvolvimento é subcontratado, os procedimentos de controlo de alteração para resolver a segurança são incluídos no(s) contrato(s) e especificamente exigem que o desenvolvedor rastreie falhas de segurança e resolução de falhas dentro do sistema, componente ou serviço e reporte resultados a pessoal ou funções definidos pela organização.

ID: 0640.10k2Organização.1012 - 10.k Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas windows devem satisfazer os requisitos para "Políticas de Auditoria do Sistema - Rastreio Detalhado" As máquinas Windows devem ter as definições Política de Grupo especificadas na categoria "Políticas de Auditoria do Sistema - Rastreio Detalhado" para auditoria ao DPAPI, criação/rescisão de processos, eventos de RPC e atividade de PNP. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

A organização não utiliza atualizações automatizadas em sistemas críticos.

ID: 0641.10k2Organização.11 - 10.k Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas windows devem satisfazer os requisitos para "Políticas de Auditoria do Sistema - Rastreio Detalhado" As máquinas Windows devem ter as definições Política de Grupo especificadas na categoria "Políticas de Auditoria do Sistema - Rastreio Detalhado" para auditoria ao DPAPI, criação/rescisão de processos, eventos de RPC e atividade de PNP. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

A organização desenvolve, documenta e mantém, sob controlo de configuração, uma configuração de base atual do sistema de informação, e revê e atualiza a linha de base conforme necessário.

ID: 0642.10k3Organização.12 - 10.k Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas windows devem satisfazer os requisitos para "Políticas de Auditoria do Sistema - Rastreio Detalhado" As máquinas Windows devem ter as definições Política de Grupo especificadas na categoria "Políticas de Auditoria do Sistema - Rastreio Detalhado" para auditoria ao DPAPI, criação/rescisão de processos, eventos de RPC e atividade de PNP. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

A organização (i) estabelece e documenta configurações obrigatórias de configuração para produtos de tecnologias da informação empregues dentro do sistema de informação utilizando as linhas de base de configuração de segurança mais recentes; ii identifique, documente e aprove exceções às definições de configuração obrigatórias estabelecidas para componentes individuais com base em requisitos operacionais explícitos; e (iii) monitoriza e controla as alterações às definições de configuração de acordo com as políticas e procedimentos organizacionais.

ID: 0643.10k3Organização.3 - 10.k Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas windows devem satisfazer os requisitos para "Políticas de Auditoria do Sistema - Rastreio Detalhado" As máquinas Windows devem ter as definições Política de Grupo especificadas na categoria "Políticas de Auditoria do Sistema - Rastreio Detalhado" para auditoria ao DPAPI, criação/rescisão de processos, eventos de RPC e atividade de PNP. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

ID: 0644.10k3Organização.4 - 10.k Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas windows devem satisfazer os requisitos para "Políticas de Auditoria do Sistema - Rastreio Detalhado" As máquinas Windows devem ter as definições Política de Grupo especificadas na categoria "Políticas de Auditoria do Sistema - Rastreio Detalhado" para auditoria ao DPAPI, criação/rescisão de processos, eventos de RPC e atividade de PNP. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

Controlo de Vulnerabilidades Técnicas

As vulnerabilidades técnicas são identificadas, avaliadas para o risco e corrigidas em tempo útil.

ID: 0709.10m1Organização.1 - 10.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidades deve ser ativada nas suas máquinas virtuais Audita máquinas virtuais para detetar se estão a executar uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de risco cibernético e de segurança é a identificação e análise de vulnerabilidades. O nível de preços padrão da Centro de Segurança do Azure inclui a verificação de vulnerabilidades para as suas máquinas virtuais sem custos adicionais. Além disso, o Security Center pode implantar automaticamente esta ferramenta para si. AuditIfNotExists, Desativado 3.0.0
Bases de dados SQL devem ter resultados de vulnerabilidade resolvidos Monitorize os resultados da avaliação da vulnerabilidade e recomendações sobre como remediar as vulnerabilidades da base de dados. AuditIfNotExists, Desativado 4.0.0
As vulnerabilidades nas configurações de segurança dos contentores devem ser remediadas Auditar vulnerabilidades na configuração de segurança em máquinas com Docker instalado e exibir como recomendações em Centro de Segurança do Azure. AuditIfNotExists, Desativado 3.0.0
As vulnerabilidades na configuração de segurança das suas máquinas devem ser remediadas Os servidores que não satisfaçam a linha de base configurada serão monitorizados por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
As vulnerabilidades na configuração de segurança nos conjuntos de escala de máquina virtual devem ser remediadas Audite as vulnerabilidades do SO nos conjuntos de escala de máquinas virtuais para protegê-los de ataques. AuditIfNotExists, Desativado 3.0.0
A avaliação da vulnerabilidade deve ser ativada em SQL Managed Instance A auditoria a cada SQL Managed Instance que não tem avaliações de vulnerabilidade recorrentes ativadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir potenciais vulnerabilidades de base de dados. AuditIfNotExists, Desativado 1.0.1
A avaliação da vulnerabilidade deve ser ativada nos seus servidores SQL A auditoria SQL do Azure servidores que não têm verificações de avaliação de vulnerabilidade recorrentes ativadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir potenciais vulnerabilidades de base de dados. AuditIfNotExists, Desativado 2.0.0
As máquinas windows devem satisfazer os requisitos para 'Opções de Segurança - Microsoft Network Server' As máquinas windows devem ter as definições Política de Grupo especificadas na categoria 'Opções de Segurança - Microsoft Network Server' para desativar o servidor SMB v1. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

Existe um padrão de configuração endurecido para todos os componentes do sistema e da rede.

ID: 0710.10m2Organização.1 - 10.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A avaliação da vulnerabilidade deve ser ativada em SQL Managed Instance A auditoria a cada SQL Managed Instance que não tem avaliações de vulnerabilidade recorrentes ativadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir potenciais vulnerabilidades de base de dados. AuditIfNotExists, Desativado 1.0.1

Está em vigor um programa de gestão de vulnerabilidades técnicas para monitorizar, avaliar, classificar e remediar vulnerabilidades identificadas nos sistemas.

ID: 0711.10m2Organização.23 - 10.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidades deve ser ativada nas suas máquinas virtuais Audita máquinas virtuais para detetar se estão a executar uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de risco cibernético e de segurança é a identificação e análise de vulnerabilidades. O nível de preços padrão da Centro de Segurança do Azure inclui a verificação de vulnerabilidades para as suas máquinas virtuais sem custos adicionais. Além disso, o Security Center pode implantar automaticamente esta ferramenta para si. AuditIfNotExists, Desativado 3.0.0

As correções são testadas e avaliadas antes de serem instaladas.

ID: 0713.10m2Organização.5 - 10.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As vulnerabilidades na configuração de segurança das suas máquinas devem ser remediadas Os servidores que não satisfaçam a linha de base configurada serão monitorizados por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0

O programa de gestão de vulnerabilidades técnicas é avaliado trimestralmente.

ID: 0714.10m2Organização.7 - 10.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As vulnerabilidades na configuração de segurança nos conjuntos de escala de máquina virtual devem ser remediadas Audite as vulnerabilidades do SO nos conjuntos de escala de máquinas virtuais para protegê-los de ataques. AuditIfNotExists, Desativado 3.0.0

Os sistemas são devidamente endurecidos (por exemplo, configurados apenas com serviços, portas e protocolos necessários e seguros).

ID: 0715.10m2Organização.8 - 10.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As vulnerabilidades nas configurações de segurança dos contentores devem ser remediadas Auditar vulnerabilidades na configuração de segurança em máquinas com Docker instalado e exibir como recomendações em Centro de Segurança do Azure. AuditIfNotExists, Desativado 3.0.0

A organização realiza uma revisão da postura de segurança da empresa conforme necessário, mas não menos do que uma vez em cada trezentos e cinco (365) dias, de acordo com os procedimentos organizacionais do EI.

ID: 0716.10m3Organização.1 - 10.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Bases de dados SQL devem ter resultados de vulnerabilidade resolvidos Monitorize os resultados da avaliação da vulnerabilidade e recomendações sobre como remediar as vulnerabilidades da base de dados. AuditIfNotExists, Desativado 4.0.0

As ferramentas de digitalização de vulnerabilidades incluem a capacidade de atualizar prontamente as vulnerabilidades do sistema de informação digitalizadas.

ID: 0717.10m3Organização.2 - 10.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As vulnerabilidades na configuração de segurança nos conjuntos de escala de máquina virtual devem ser remediadas Audite as vulnerabilidades do SO nos conjuntos de escala de máquinas virtuais para protegê-los de ataques. AuditIfNotExists, Desativado 3.0.0

A organização procura vulnerabilidades no sistema de informação e acolhia aplicações para determinar o estado de remediação mensal (automaticamente) e novamente (manual ou automaticamente) quando novas vulnerabilidades que podem afetar os sistemas e ambientes em rede são identificadas e reportadas.

ID: 0718.10m3Organização.34 - 10.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As vulnerabilidades na configuração de segurança das suas máquinas devem ser remediadas Os servidores que não satisfaçam a linha de base configurada serão monitorizados por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0

A organização atualiza a lista de vulnerabilidades do sistema de informação digitalizadas dentro de cada 30 (30) dias ou quando novas vulnerabilidades são identificadas e reportadas.

ID: 0719.10m3Organização.5 - 10.m Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A avaliação da vulnerabilidade deve ser ativada em SQL Managed Instance A auditoria a cada SQL Managed Instance que não tem avaliações de vulnerabilidade recorrentes ativadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir potenciais vulnerabilidades de base de dados. AuditIfNotExists, Desativado 1.0.1

Continuidade do negócio e Avaliação de Riscos

A organização identifica os processos de negócio críticos que exigem continuidade do negócio.

ID: 1634.12b1Organização.1 - 12.b Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar máquinas virtuais sem recuperação de desastres configurada Auditar máquinas virtuais que não tenham recuperação de desastres configuradas. Para saber mais sobre a recuperação de desastres, visite https://aka.ms/asr-doc. auditIfNotExists 1.0.0

Os aspetos de segurança da informação da continuidade do negócio são (i) baseados na identificação de eventos (ou sequência de eventos) que podem causar interrupções nos processos de negócio críticos da organização (por exemplo, falha de equipamentos, erros humanos, roubo, incêndio, atos de catástrofes naturais de terrorismo); ii seguida de uma avaliação dos riscos para determinar a probabilidade e o impacto dessas interrupções, em termos de tempo, escala de danos e período de recuperação; iii Com base nos resultados da avaliação dos riscos, é desenvolvida uma estratégia de continuidade das empresas para identificar a abordagem global da continuidade das empresas; e (iv) uma vez criada esta estratégia, o apoio é fornecido pela administração, e um plano criado e endossado para implementar esta estratégia.

ID: 1635.12b1Organização.2 - 12.b Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Azure Key Vault O HSM gerido deve ter proteção de purga ativada A eliminação maliciosa de um Azure Key Vault O HSM gerido pode levar à perda permanente de dados. Um infiltrado malicioso na sua organização pode potencialmente eliminar e purgar O Azure Key Vault Gerido HSM. A proteção de purga protege-o de ataques de infiltrados, impondo um período de retenção obrigatório para o Azure Key Vault Gerido HSM. Ninguém dentro da sua organização ou a Microsoft poderá expurgar o seu Azure Key Vault O HSM Gerido durante o período de retenção de eliminação suave. Auditoria, Negar, Deficientes 1.0.0
Os cofres-chave devem ter proteção de purga ativada A eliminação maliciosa de um cofre chave pode levar à perda permanente de dados. Um infiltrado malicioso na sua organização pode potencialmente apagar e purgar cofres de chaves. A proteção de purga protege-o de ataques de infiltrados, impondo um período de retenção obrigatório para cofres-chave apagados suaves. Ninguém dentro da sua organização ou microsoft será capaz de limpar os seus cofres chave durante o período de retenção de eliminação suave. Auditoria, Negar, Deficientes 2.0.0

A análise de impacto do negócio é usada para avaliar as consequências de desastres, falhas de segurança, perda de serviço e disponibilidade de serviços.

ID: 1637.12b2Organização.2 - 12.b Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As máquinas Windows devem satisfazer os requisitos para 'Opções de Segurança - Consola de recuperação' As máquinas Windows devem ter as definições Política de Grupo especificadas na categoria "Opções de Segurança - Consola de recuperação" para permitir a cópia floppy e o acesso a todas as unidades e pastas. Esta política requer que os pré-requisitos de Configuração de Convidados tenham sido implementados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, Desativado 3.0.0

As avaliações de risco de continuidade das empresas (i) são realizadas anualmente com total envolvimento dos proprietários de recursos e processos empresariais; (ii) considerar todos os processos empresariais e não se limitar aos ativos de informação, mas inclui os resultados específicos da segurança da informação; e (iii) identifica, quantifica e prioriza os riscos contra os principais objetivos e critérios de negócio relevantes para a organização, incluindo recursos críticos, impactos de perturbações, tempos de interrupção admissíveis e prioridades de recuperação.

ID: 1638.12b2Organização.345 - 12.b Propriedade: Cliente

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar máquinas virtuais sem recuperação de desastres configurada Auditar máquinas virtuais que não tenham recuperação de desastres configuradas. Para saber mais sobre a recuperação de desastres, visite https://aka.ms/asr-doc. auditIfNotExists 1.0.0

Passos seguintes

Artigos adicionais sobre Azure Policy: