Detalhes da iniciativa integrada RMIT Malaysia Regulatory Compliance
O artigo a seguir detalha como a definição de iniciativa interna de Conformidade Regulatória da Política do Azure mapeia para domínios e controles de conformidade no RMIT Malásia. Para obter mais informações sobre esse padrão de conformidade, consulte RMIT Malásia. Para entender a Propriedade, consulte Definição da política do Azure e Responsabilidade compartilhada na nuvem.
Os mapeamentos a seguir são para os controles RMIT Malásia . Muitos dos controles são implementados com uma definição de iniciativa de Política do Azure. Para rever a definição completa da iniciativa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione a definição de iniciativa interna RMIT Malaysia Regulatory Compliance.
Importante
Cada controle abaixo está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle, no entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias definições de política, o que não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre domínios de conformidade, controles e definições de Política do Azure para esse padrão de conformidade podem mudar ao longo do tempo. Para visualizar o histórico de alterações, consulte o Histórico de confirmação do GitHub.
Criptografia
Criptografia - 10.16
ID: RMiT 10.16 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O HSM gerenciado do Azure Key Vault deve ter a proteção contra limpeza habilitada | A exclusão maliciosa de um HSM gerenciado do Azure Key Vault pode levar à perda permanente de dados. Um insider mal-intencionado em sua organização pode potencialmente excluir e limpar o Azure Key Vault Managed HSM. A proteção contra limpeza protege você contra ataques internos impondo um período de retenção obrigatório para o HSM gerenciado do Azure Key Vault excluído suavemente. Ninguém dentro da sua organização ou da Microsoft poderá limpar o HSM gerenciado do Azure Key Vault durante o período de retenção de exclusão suave. | Auditoria, Negar, Desativado | 1.0.0 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
| A criptografia de infraestrutura deve ser habilitada para o Banco de Dados do Azure para servidores MySQL | Habilite a criptografia de infraestrutura para o Banco de Dados do Azure para servidores MySQL para ter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas pela Microsoft compatíveis com FIPS 140-2. | Auditoria, Negar, Desativado | 1.0.0 |
| A criptografia de infraestrutura deve ser habilitada para o Banco de Dados do Azure para servidores PostgreSQL | Habilite a criptografia de infraestrutura para o Banco de Dados do Azure para servidores PostgreSQL para ter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas pela Microsoft compatíveis com FIPS 140-2 | Auditoria, Negar, Desativado | 1.0.0 |
| Os cofres de chaves devem ter a proteção contra exclusão ativada | A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra limpeza e a exclusão suave. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão suave habilitada por padrão. | Auditoria, Negar, Desativado | 2.1.0 |
| Os cofres de chaves devem ter a exclusão suave ativada | A exclusão de um cofre de chaves sem a exclusão automática habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão suave permite que você recupere um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Auditoria, Negar, Desativado | 3.0.0 |
| A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
| As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.0 |
| As contas de armazenamento devem ter criptografia de infraestrutura | Habilite a criptografia de infraestrutura para obter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. | Auditoria, Negar, Desativado | 1.0.0 |
| A criptografia de dados transparente em bancos de dados SQL deve ser habilitada | A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desativado | 2.0.0 |
Criptografia - 10.19
ID: RMiT 10.19 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
| Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | A encriptação do SO e dos discos de dados utilizando chaves geridas pelo cliente proporciona mais controlo e maior flexibilidade na gestão de chaves. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. | Auditoria, Negar, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O Cofre de Chaves deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Cofre de Chaves não configurado para usar um ponto de extremidade de serviço de rede virtual. | Auditoria, Desativado | 1.0.0 |
| Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desativado | 1.0.4 |
| Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.1 |
Criptografia - 10.20
ID: RMiT 10.20 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente clientes com certificados válidos poderão acessar o aplicativo. Esta política foi substituída por uma nova política com o mesmo nome porque Http 2.0 não suporta certificados de cliente. | Auditoria, Desativado | 3.1.0-preterido |
| Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
Operações de Datacenter
Operações de Datacenter - 10.27
ID: RMiT 10.27 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implantar - Configurar a extensão do Log Analytics para ser habilitada em conjuntos de dimensionamento de máquinas virtuais do Windows | Implante a extensão do Log Analytics para conjuntos de dimensionamento de máquina virtual do Windows se a imagem da máquina virtual estiver na lista definida e a extensão não estiver instalada. Se o conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais do conjunto atualizando-as. Aviso de descontinuação: o agente do Log Analytics está em um caminho de descontinuação e não terá suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. | DeployIfNotExists, desativado | 3.1.0 |
| As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
Operações de Datacenter - 10.30
ID: RMiT 10.30 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Backup do Azure deve ser habilitado para Máquinas Virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desativado | 3.0.0 |
| As consultas salvas no Azure Monitor devem ser salvas na conta de armazenamento do cliente para criptografia de logs | Vincule a conta de armazenamento ao espaço de trabalho do Log Analytics para proteger consultas salvas com criptografia de conta de armazenamento. As chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulatória e para ter mais controle sobre o acesso às suas consultas salvas no Azure Monitor. Para obter mais detalhes sobre o acima, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
Resiliência da rede
Resiliência da Rede - 10.33
ID: RMiT 10.33 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todos os recursos do log de fluxo devem estar no estado habilitado | Auditoria de recursos de log de fluxo para verificar se o status do log de fluxo está habilitado. A habilitação de logs de fluxo permite registrar informações sobre o fluxo de tráfego IP. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.0.1 |
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| Os serviços de gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que não seja da Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. | Auditoria, Negar, Desativado | 1.0.2 |
| O grupo de contêineres da Instância de Contêiner do Azure deve ser implantado em uma rede virtual | Proteja a comunicação entre seus contêineres com as Redes Virtuais do Azure. Quando você especifica uma rede virtual, os recursos dentro da rede virtual podem se comunicar entre si de forma segura e privada. | Auditar, Desabilitar, Negar | 2.0.0 |
| Os gateways de VPN do Azure não devem usar SKU 'básico' | Esta política garante que os gateways VPN não usem SKU 'básico'. | Auditoria, Desativado | 1.0.0 |
| Configurar a configuração do aplicativo para desabilitar o acesso à rede pública | Desative o acesso à rede pública para a Configuração do Aplicativo para que ele não seja acessível pela Internet pública. Essa configuração ajuda a protegê-los contra riscos de vazamento de dados. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | Modificar, Desativado | 1.0.0 |
| Configurar o SQL Server do Azure para desabilitar o acesso à rede pública | A desativação da propriedade de acesso à rede pública desliga a conectividade pública de forma que o SQL Server do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração desabilita o acesso à rede pública para todos os bancos de dados no SQL Server do Azure. | Modificar, Desativado | 1.0.0 |
| Configurar o SQL Server do Azure para habilitar conexões de ponto de extremidade privadas | Uma conexão de ponto de extremidade privada habilita a conectividade privada com seu Banco de Dados SQL do Azure por meio de um endereço IP privado dentro de uma rede virtual. Esta configuração melhora a sua postura de segurança e suporta ferramentas e cenários de rede do Azure. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar registros de contêiner para desabilitar o acesso à rede pública | Desative o acesso à rede pública para seu recurso de Registro de Contêiner para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. | Modificar, Desativado | 1.0.0 |
| Configurar discos gerenciados para desabilitar o acesso à rede pública | Desative o acesso à rede pública para o recurso de disco gerenciado para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Modificar, Desativado | 2.0.0 |
| Os registos de contentores não devem permitir o acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de terminais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registro não tiver regras de rede configuradas, ele aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Auditoria, Negar, Desativado | 2.0.0 |
| O Cosmos DB deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Cosmos DB não configurado para usar um ponto de extremidade de serviço de rede virtual. | Auditoria, Desativado | 1.0.0 |
| O Hub de Eventos deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Hub de Eventos não configurado para usar um ponto de extremidade de serviço de rede virtual. | AuditIfNotExists, desativado | 1.0.0 |
| Os logs de fluxo devem ser configurados para cada grupo de segurança de rede | Auditoria de grupos de segurança de rede para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através do grupo de segurança de rede. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.1.0 |
| As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
| Os discos gerenciados devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que um disco gerenciado não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de discos gerenciados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Auditoria, Desativado | 2.0.0 |
| Modificar - Configurar a Sincronização de Ficheiros do Azure para desativar o acesso à rede pública | O ponto de extremidade público acessível pela Internet do Azure File Sync é desabilitado pela sua política organizacional. Você ainda pode acessar o Serviço de Sincronização de Armazenamento por meio de seus pontos de extremidade privados. | Modificar, Desativado | 1.0.0 |
| As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desativado | 1.1.0 |
| Ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
| Ponto de extremidade privado deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
| Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
| O acesso à rede pública deve ser desabilitado para registros de contêiner | A desativação do acesso à rede pública melhora a segurança, garantindo que os registros de contêiner não sejam expostos na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos recursos do Registro de contêiner. Saiba mais em: https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. | Auditoria, Negar, Desativado | 1.0.0 |
| As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas virtuais devem ser conectadas a uma rede virtual aprovada | Esta política audita qualquer máquina virtual conectada a uma rede virtual que não seja aprovada. | Auditoria, Negar, Desativado | 1.0.0 |
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento | Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Discos temporários, caches de dados e dados que fluem entre computação e armazenamento não são criptografados. Não tenha em conta esta recomendação se: 1. usando criptografia no host ou 2. A criptografia do lado do servidor em Managed Disks atende aos seus requisitos de segurança. Saiba mais em: Criptografia do lado do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse, Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, desativado | 2.0.3 |
| As redes virtuais devem usar o gateway de rede virtual especificado | Esta política audita qualquer rede virtual se a rota padrão não apontar para o gateway de rede virtual especificado. | AuditIfNotExists, desativado | 1.0.0 |
Resiliência da Rede - 10.35
ID: RMiT 10.35 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implantar - Configurar a extensão do Log Analytics para ser habilitada em conjuntos de dimensionamento de máquinas virtuais do Windows | Implante a extensão do Log Analytics para conjuntos de dimensionamento de máquina virtual do Windows se a imagem da máquina virtual estiver na lista definida e a extensão não estiver instalada. Se o conjunto de escala upgradePolicy estiver definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais do conjunto atualizando-as. Aviso de descontinuação: o agente do Log Analytics está em um caminho de descontinuação e não terá suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. | DeployIfNotExists, desativado | 3.1.0 |
| O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
Resiliência da Rede - 10.38
ID: RMiT 10.38 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Habilite o provisionamento automático do agente do Log Analytics pela Central de Segurança em suas assinaturas com espaço de trabalho personalizado. | Permita que a Central de Segurança provisione automaticamente o agente do Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando um espaço de trabalho personalizado. | DeployIfNotExists, desativado | 1.0.0 |
| Habilite o provisionamento automático do agente do Log Analytics pela Central de Segurança em suas assinaturas com o espaço de trabalho padrão. | Permita que a Central de Segurança provisione automaticamente o agente do Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando o espaço de trabalho padrão ASC. | DeployIfNotExists, desativado | 1.0.0 |
Resiliência da Rede - 10.39
ID: RMiT 10.39 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma política IPsec/IKE personalizada deve ser aplicada a todas as conexões de gateway de rede virtual do Azure | Esta política garante que todas as conexões de gateway de rede virtual do Azure usem uma política personalizada de IPsec (Internet Protocol Security)/Internet Key Exchange (IKE). Algoritmos suportados e principais pontos fortes - https://aka.ms/AA62kb0 | Auditoria, Desativado | 1.0.0 |
| O SQL Server deve usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer SQL Server não configurado para usar um ponto de extremidade de serviço de rede virtual. | AuditIfNotExists, desativado | 1.0.0 |
| As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Conta de Armazenamento não configurada para usar um ponto de extremidade de serviço de rede virtual. | Auditoria, Desativado | 1.0.0 |
Serviços Cloud
Serviços na nuvem - 10.49
ID: RMiT 10.49 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet | A Central de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais voltadas para a Internet e fornece recomendações de regras do Grupo de Segurança de Rede que reduzem a superfície de ataque potencial | AuditIfNotExists, desativado | 3.0.0 |
| O local do recurso de auditoria corresponde ao local do grupo de recursos | Auditar se o local do recurso corresponde ao local do grupo de recursos | auditoria | 2.0.0 |
| A limitação de conexão deve ser habilitada para servidores de banco de dados PostgreSQL | Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem a limitação de conexão habilitada. Essa configuração permite a limitação temporária de conexão por IP para muitas falhas de login de senha inválidas. | AuditIfNotExists, desativado | 1.0.0 |
| As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
| O Banco de dados SQL deve evitar o uso de redundância de backup GRS | Os bancos de dados devem evitar usar o armazenamento com redundância geográfica padrão para backups, se as regras de residência de dados exigirem que os dados permaneçam em uma região específica. Observação: a Política do Azure não é imposta ao criar um banco de dados usando T-SQL. Se não for explicitamente especificado, o banco de dados com armazenamento de backup com redundância geográfica é criado via T-SQL. | Negar, Desativado | 2.0.0 |
| As instâncias gerenciadas pelo SQL devem evitar o uso da redundância de backup GRS | As instâncias gerenciadas devem evitar o uso do armazenamento com redundância geográfica padrão para backups, se as regras de residência de dados exigirem que os dados permaneçam em uma região específica. Observação: a Política do Azure não é imposta ao criar um banco de dados usando T-SQL. Se não for explicitamente especificado, o banco de dados com armazenamento de backup com redundância geográfica é criado via T-SQL. | Negar, Desativado | 2.0.0 |
Serviços na nuvem - 10.51
ID: RMiT 10.51 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet | A Central de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais voltadas para a Internet e fornece recomendações de regras do Grupo de Segurança de Rede que reduzem a superfície de ataque potencial | AuditIfNotExists, desativado | 3.0.0 |
| Auditar máquinas virtuais sem recuperação de desastres configurada | Audite máquinas virtuais que não tenham a recuperação de desastres configurada. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O armazenamento com redundância geográfica deve ser habilitado para contas de armazenamento | Use redundância geográfica para criar aplicativos altamente disponíveis | Auditoria, Desativado | 1.0.0 |
| O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | Esta política audita qualquer Banco de Dados SQL do Azure com backup com redundância geográfica de longo prazo não habilitado. | AuditIfNotExists, desativado | 2.0.0 |
Serviços na nuvem - 10.53
ID: RMiT 10.53 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A Configuração do Aplicativo deve usar uma chave gerenciada pelo cliente | As chaves gerenciadas pelo cliente fornecem proteção de dados aprimorada, permitindo que você gerencie suas chaves de criptografia. Isso geralmente é necessário para atender aos requisitos de conformidade. | Auditoria, Negar, Desativado | 1.1.0 |
| O grupo de contêineres da Instância de Contêiner do Azure deve usar a chave gerenciada pelo cliente para criptografia | Proteja seus contêineres com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditar, Desabilitar, Negar | 1.0.0 |
| Os clusters do Azure Monitor Logs devem ser criptografados com chave gerenciada pelo cliente | Crie o cluster de logs do Azure Monitor com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados de log são criptografados com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulamentar. A chave gerida pelo cliente no Azure Monitor dá-lhe mais controlo sobre o acesso aos seus dados, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. | Auditoria, Negar, Desativado | 1.1.2 |
| Os namespaces do Hub de Eventos devem usar uma chave gerenciada pelo cliente para criptografia | Os Hubs de Eventos do Azure dão suporte à opção de criptografar dados em repouso com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite atribuir, girar, desabilitar e revogar o acesso às chaves que o Hub de Eventos usará para criptografar dados em seu namespace. Observe que o Hub de Eventos só oferece suporte à criptografia com chaves gerenciadas pelo cliente para namespaces em clusters dedicados. | Auditoria, Desativado | 1.0.0 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| As contas de cache HPC devem usar a chave gerenciada pelo cliente para criptografia | Gerencie a criptografia em repouso do Cache HPC do Azure com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditar, Desabilitar, Negar | 2.0.0 |
| Os discos gerenciados devem usar um conjunto específico de conjuntos de criptografia de disco para a criptografia de chave gerenciada pelo cliente | Exigir que um conjunto específico de conjuntos de criptografia de disco seja usado com discos gerenciados lhe dá controle sobre as chaves usadas para criptografia em repouso. Você pode selecionar os conjuntos criptografados permitidos e todos os outros são rejeitados quando anexados a um disco. Saiba mais em https://aka.ms/disks-cmk. | Auditoria, Negar, Desativado | 2.0.0 |
| OS e discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus discos gerenciados. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pela plataforma, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/disks-cmk. | Auditoria, Negar, Desativado | 3.0.0 |
| Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desativado | 1.0.4 |
| As consultas salvas no Azure Monitor devem ser salvas na conta de armazenamento do cliente para criptografia de logs | Vincule a conta de armazenamento ao espaço de trabalho do Log Analytics para proteger consultas salvas com criptografia de conta de armazenamento. As chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulatória e para ter mais controle sobre o acesso às suas consultas salvas no Azure Monitor. Para obter mais detalhes sobre o acima, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.1 |
| A conta de armazenamento que contém o contêiner com registros de atividades deve ser criptografada com BYOK | Esta política audita se a conta de armazenamento que contém o contêiner com logs de atividade está criptografada com BYOK. A política só funciona se a conta de armazenamento estiver na mesma assinatura que os logs de atividade por design. Mais informações sobre a criptografia do Armazenamento do Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. | AuditIfNotExists, desativado | 1.0.0 |
| As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de arquivos e blob com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditoria, Desativado | 1.0.3 |
Controlo de Acesso
Controlo de Acessos - 10.54
ID: RMiT 10.54 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
| A configuração do aplicativo deve desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição de seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | Auditoria, Negar, Desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Web ou autenticar aqueles que têm tokens antes de chegarem ao aplicativo Web. | AuditIfNotExists, desativado | 2.0.1 |
| O RBAC (Controle de Acesso Baseado em Função) do Azure deve ser usado nos Serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) do Azure para gerenciar permissões em Clusters de Serviço Kubernetes e configurar políticas de autorização relevantes. | Auditoria, Desativado | 1.0.3 |
| Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos de função devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Função ou autenticar aqueles que têm tokens antes de chegarem ao aplicativo Função. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos de função devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.3 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
Controlo de Acessos - 10.55
ID: RMiT 10.55 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
| As regras de autorização na instância do Hub de Eventos devem ser definidas | Auditar a existência de regras de autorização em entidades do Hub de Eventos para conceder acesso com privilégios mínimos | AuditIfNotExists, desativado | 1.0.0 |
| Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos | Restrinja os recursos para reduzir a superfície de ataque de contêineres em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.1.0 |
| Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para proteger contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
| Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados | Controle os IDs de usuário, grupo primário, grupo suplementar e grupo do sistema de arquivos que pods e contêineres podem usar para executar em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.1.1 |
| O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres privilegiados em um cluster do Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.1.0 |
| Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner | Não permita que contêineres sejam executados com escalonamento de privilégios para enraizar em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.0 |
| As contas de armazenamento devem permitir o acesso a partir de serviços confiáveis da Microsoft | Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes às quais não é possível conceder acesso através de regras de rede. Para ajudar esse tipo de serviço a funcionar como pretendido, permita que o conjunto de serviços confiáveis da Microsoft ignore as regras de rede. Esses serviços usarão autenticação forte para acessar a conta de armazenamento. | Auditoria, Negar, Desativado | 1.0.0 |
Controlo de Acessos - 10.58
ID: RMiT 10.58 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Controlo de Acessos - 10.60
ID: RMiT 10.60 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
| O RBAC (Controle de Acesso Baseado em Função) do Azure deve ser usado nos Serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) do Azure para gerenciar permissões em Clusters de Serviço Kubernetes e configurar políticas de autorização relevantes. | Auditoria, Desativado | 1.0.3 |
Controlo de Acessos - 10.61
ID: RMiT 10.61 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| O RBAC (Controle de Acesso Baseado em Função) do Azure deve ser usado nos Serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) do Azure para gerenciar permissões em Clusters de Serviço Kubernetes e configurar políticas de autorização relevantes. | Auditoria, Desativado | 1.0.3 |
| Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.3 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
Controlo de Acessos - 10.62
ID: RMiT 10.62 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
| O RBAC (Controle de Acesso Baseado em Função) do Azure deve ser usado nos Serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) do Azure para gerenciar permissões em Clusters de Serviço Kubernetes e configurar políticas de autorização relevantes. | Auditoria, Desativado | 1.0.3 |
Gerenciamento de patches e sistemas em fim de vida útil
Gerenciamento de sistemas de patch e fim de vida útil - 10.63
ID: RMiT 10.63 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | Esta política audita qualquer máquina virtual do Windows não configurada com a atualização automática das assinaturas de proteção antimalware da Microsoft. | AuditIfNotExists, desativado | 1.0.0 |
| As atualizações do sistema em conjuntos de dimensionamento de máquinas virtuais devem ser instaladas | Auditar se existem atualizações de segurança do sistema e atualizações críticas em falta que devem ser instaladas, para garantir que os conjuntos de dimensionamento de máquinas virtuais do Windows e Linux são seguros. | AuditIfNotExists, desativado | 3.0.0 |
Gerenciamento de sistemas de patch e fim de vida útil - 10.65
ID: RMiT 10.65 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | Atualize seu cluster de serviço do Kubernetes para uma versão posterior do Kubernetes para proteger contra vulnerabilidades conhecidas na sua versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ do Kubernetes | Auditoria, Desativado | 1.0.2 |
| As atualizações do sistema devem ser instaladas em suas máquinas | As atualizações de sistema de segurança ausentes em seus servidores serão monitoradas pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 4.0.0 |
| As vulnerabilidades na configuração de segurança em seus conjuntos de dimensionamento de máquina virtual devem ser corrigidas | Audite as vulnerabilidades do sistema operacional em seus conjuntos de dimensionamento de máquina virtual para protegê-los de ataques. | AuditIfNotExists, desativado | 3.0.0 |
Segurança dos Serviços Digitais
Segurança dos Serviços Digitais - 10.66
ID: RMiT 10.66 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O registo de atividades deve ser conservado durante, pelo menos, um ano | Esta política audita o registo de atividades se a retenção não estiver definida para 365 dias ou para sempre (dias de retenção definidos como 0). | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
| Configuração de diagnóstico de auditoria para tipos de recursos selecionados | Configuração de diagnóstico de auditoria para tipos de recursos selecionados. Certifique-se de selecionar apenas os tipos de recursos que suportam configurações de diagnóstico. | AuditIfNotExists | 2.0.1 |
| O perfil de log do Azure Monitor deve coletar logs para as categorias 'gravar', 'excluir' e 'ação' | Essa política garante que um perfil de log colete logs para as categorias 'gravar', 'excluir' e 'agir' | AuditIfNotExists, desativado | 1.0.0 |
| Os Logs do Azure Monitor para Application Insights devem ser vinculados a um espaço de trabalho do Log Analytics | Vincule o componente Application Insights a um espaço de trabalho do Log Analytics para criptografia de logs. As chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulatória e para obter mais controle sobre o acesso aos seus dados no Azure Monitor. Vincular seu componente a um espaço de trabalho do Log Analytics habilitado com uma chave gerenciada pelo cliente garante que os logs do Application Insights atendam a esse requisito de conformidade, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| O Azure Monitor deve coletar logs de atividades de todas as regiões | Esta política audita o perfil de log do Azure Monitor que não exporta atividades de todas as regiões com suporte do Azure, incluindo globais. | AuditIfNotExists, desativado | 2.0.0 |
| A solução 'Segurança e Auditoria' do Azure Monitor deve ser implantada | Essa política garante que a Segurança e a Auditoria sejam implantadas. | AuditIfNotExists, desativado | 1.0.0 |
| As assinaturas do Azure devem ter um perfil de log para o Log de Atividades | Esta política garante se um perfil de log está habilitado para exportar logs de atividades. Ele audita se não há nenhum perfil de log criado para exportar os logs para uma conta de armazenamento ou para um hub de eventos. | AuditIfNotExists, desativado | 1.0.0 |
| Implantar - Definir configurações de diagnóstico para bancos de dados SQL para o espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico dos Bancos de Dados SQL para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer Banco de Dados SQL que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 4.0.0 |
| Implantar - Configurar a extensão do Log Analytics para ser habilitada em máquinas virtuais do Windows | Implante a extensão do Log Analytics para máquinas virtuais do Windows se a imagem da máquina virtual estiver na lista definida e a extensão não estiver instalada. Aviso de descontinuação: o agente do Log Analytics está em um caminho de descontinuação e não terá suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. | DeployIfNotExists, desativado | 3.1.0 |
| Implantar configurações de diagnóstico para conta em lote no Hub de Eventos | Implanta as configurações de diagnóstico da Conta em Lote para transmitir para um Hub de Eventos regional quando qualquer Conta em Lote que esteja faltando essas configurações de diagnóstico é criada ou atualizada. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico para conta em lote no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico da Conta em Lote para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Conta em Lote que esteja faltando essas configurações de diagnóstico é criada ou atualizada. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar configurações de diagnóstico para a Análise Data Lake no Hub de Eventos | Implanta as configurações de diagnóstico da Análise Data Lake para transmitir para um Hub de Eventos regional quando qualquer Análise Data Lake que esteja faltando essas configurações de diagnóstico é criada ou atualizada. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico do Data Lake Analytics no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico do Data Lake Analytics para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Data Lake Analytics que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar configurações de diagnóstico para o Data Lake Storage Gen1 no Hub de Eventos | Implanta as configurações de diagnóstico do Data Lake Storage Gen1 para transmitir para um Hub de Eventos regional quando qualquer Data Lake Storage Gen1 que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico para o Data Lake Storage Gen1 no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico do Data Lake Storage Gen1 para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Data Lake Storage Gen1 que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar configurações de diagnóstico do Hub de Eventos no Hub de Eventos | Implanta as configurações de diagnóstico do Hub de Eventos para transmitir para um Hub de Eventos regional quando qualquer Hub de Eventos que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.1.0 |
| Implantar configurações de diagnóstico do Hub de Eventos no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico do Hub de Eventos para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Hub de Eventos que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico do Cofre de Chaves no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico do Cofre de Chaves para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Cofre de Chaves que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 3.0.0 |
| Implantar configurações de diagnóstico para aplicativos lógicos no Hub de Eventos | Implanta as configurações de diagnóstico dos Aplicativos Lógicos para transmitir para um Hub de Eventos regional quando qualquer Aplicativo Lógico que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico para aplicativos lógicos no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico dos Aplicativos Lógicos para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Aplicativo Lógico que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar configurações de diagnóstico dos Serviços de Pesquisa no Hub de Eventos | Implanta as configurações de diagnóstico dos Serviços de Pesquisa para transmitir para um Hub de Eventos regional quando qualquer Serviço de Pesquisa que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico dos Serviços de Pesquisa no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico dos Serviços de Pesquisa para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Serviço de Pesquisa que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar configurações de diagnóstico do Service Bus no Hub de Eventos | Implanta as configurações de diagnóstico do Service Bus para transmitir para um Hub de Eventos regional quando qualquer Service Bus que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico do Service Bus no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico do Service Bus para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Service Bus que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.1.0 |
| Implantar configurações de diagnóstico do Stream Analytics no Hub de Eventos | Implanta as configurações de diagnóstico do Stream Analytics para transmitir para um Hub de Eventos regional quando qualquer Stream Analytics que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 2.0.0 |
| Implantar configurações de diagnóstico do Stream Analytics no espaço de trabalho do Log Analytics | Implanta as configurações de diagnóstico do Stream Analytics para transmitir para um espaço de trabalho regional do Log Analytics quando qualquer Stream Analytics que esteja faltando essas configurações de diagnóstico é criado ou atualizado. | DeployIfNotExists, desativado | 1.0.0 |
| A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas | Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. | AuditIfNotExists, desativado | 2.0.1 |
| Os logs de recursos no HSM gerenciado do Azure Key Vault devem ser habilitados | Para recriar trilhas de atividade para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida, convém auditar habilitando logs de recursos em HSMs gerenciados. Por favor, siga as instruções aqui: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, desativado | 1.1.0 |
| Os logs de recursos no Cofre da Chave devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
| A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquina Virtual | Esta política audita qualquer Conjunto de Dimensionamento de Máquina Virtual Windows/Linux se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1 |
| As máquinas virtuais devem ter a extensão do Log Analytics instalada | Esta política audita quaisquer máquinas virtuais Windows/Linux se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1 |
Segurança dos Serviços Digitais - 10.68
ID: RMiT 10.68 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.0.1 |
| Os aplicativos de função devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.0.1 |
Negação de serviço distribuída (DDoS)
Negação de Serviço Distribuída (DDoS) - 11.13
ID: RMiT 11.13 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
Prevenção de Perda de Dados (DLP)
Prevenção contra perda de dados (DLP) - 11.15
ID: RMiT 11.15 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O HSM gerenciado do Azure Key Vault deve ter a proteção contra limpeza habilitada | A exclusão maliciosa de um HSM gerenciado do Azure Key Vault pode levar à perda permanente de dados. Um insider mal-intencionado em sua organização pode potencialmente excluir e limpar o Azure Key Vault Managed HSM. A proteção contra limpeza protege você contra ataques internos impondo um período de retenção obrigatório para o HSM gerenciado do Azure Key Vault excluído suavemente. Ninguém dentro da sua organização ou da Microsoft poderá limpar o HSM gerenciado do Azure Key Vault durante o período de retenção de exclusão suave. | Auditoria, Negar, Desativado | 1.0.0 |
| Os clusters do Azure Monitor Logs devem ser criptografados com chave gerenciada pelo cliente | Crie o cluster de logs do Azure Monitor com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados de log são criptografados com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulamentar. A chave gerida pelo cliente no Azure Monitor dá-lhe mais controlo sobre o acesso aos seus dados, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Configurar a configuração do aplicativo para desabilitar o acesso à rede pública | Desative o acesso à rede pública para a Configuração do Aplicativo para que ele não seja acessível pela Internet pública. Essa configuração ajuda a protegê-los contra riscos de vazamento de dados. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | Modificar, Desativado | 1.0.0 |
| Configurar o SQL Server do Azure para desabilitar o acesso à rede pública | A desativação da propriedade de acesso à rede pública desliga a conectividade pública de forma que o SQL Server do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração desabilita o acesso à rede pública para todos os bancos de dados no SQL Server do Azure. | Modificar, Desativado | 1.0.0 |
| Configurar registros de contêiner para desabilitar o acesso à rede pública | Desative o acesso à rede pública para seu recurso de Registro de Contêiner para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. | Modificar, Desativado | 1.0.0 |
| Configurar discos gerenciados para desabilitar o acesso à rede pública | Desative o acesso à rede pública para o recurso de disco gerenciado para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Modificar, Desativado | 2.0.0 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
| Os cofres de chaves devem ter a proteção contra exclusão ativada | A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra limpeza e a exclusão suave. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão suave habilitada por padrão. | Auditoria, Negar, Desativado | 2.1.0 |
| Os cofres de chaves devem ter a exclusão suave ativada | A exclusão de um cofre de chaves sem a exclusão automática habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão suave permite que você recupere um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Auditoria, Negar, Desativado | 3.0.0 |
| Os discos gerenciados devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que um disco gerenciado não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de discos gerenciados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | Auditoria, Desativado | 2.0.0 |
| Os discos gerenciados devem usar um conjunto específico de conjuntos de criptografia de disco para a criptografia de chave gerenciada pelo cliente | Exigir que um conjunto específico de conjuntos de criptografia de disco seja usado com discos gerenciados lhe dá controle sobre as chaves usadas para criptografia em repouso. Você pode selecionar os conjuntos criptografados permitidos e todos os outros são rejeitados quando anexados a um disco. Saiba mais em https://aka.ms/disks-cmk. | Auditoria, Negar, Desativado | 2.0.0 |
| Modificar - Configurar a Sincronização de Ficheiros do Azure para desativar o acesso à rede pública | O ponto de extremidade público acessível pela Internet do Azure File Sync é desabilitado pela sua política organizacional. Você ainda pode acessar o Serviço de Sincronização de Armazenamento por meio de seus pontos de extremidade privados. | Modificar, Desativado | 1.0.0 |
| As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.0 |
| A criptografia de dados transparente em bancos de dados SQL deve ser habilitada | A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desativado | 2.0.0 |
Centro de Operações de Segurança (SOC)
Centro de Operações de Segurança (SOC) - 11,17
ID: RMiT 11.17 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As regras de lista de permissões em sua política de controle de aplicativo adaptável devem ser atualizadas | Monitore alterações no comportamento em grupos de máquinas configuradas para auditoria pelos controles de aplicativo adaptáveis da Central de Segurança do Azure. A Central de Segurança usa aprendizado de máquina para analisar os processos em execução em suas máquinas e sugerir uma lista de aplicativos seguros conhecidos. Eles são apresentados como aplicativos recomendados para permitir políticas de controle de aplicativos adaptáveis. | AuditIfNotExists, desativado | 3.0.0 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. | Auditoria, Desativado | 2.0.1 |
| A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.1.0 |
| A solução de proteção de ponto de extremidade deve ser instalada em conjuntos de dimensionamento de máquina virtual | Audite a existência e a integridade de uma solução de proteção de ponto final em seus conjuntos de dimensionamento de máquinas virtuais, para protegê-los contra ameaças e vulnerabilidades. | AuditIfNotExists, desativado | 3.0.0 |
Centro de Operações de Segurança (SOC) - 11,18
ID: RMiT 11.18 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
| O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura | Para monitorar vulnerabilidades e ameaças de segurança, a Central de Segurança do Azure coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como Microsoft Monitoring Agent (MMA), que lê várias configurações relacionadas à segurança e logs de eventos da máquina e copia os dados para o espaço de trabalho do Log Analytics para análise. Recomendamos habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e em quaisquer novas que sejam criadas. | AuditIfNotExists, desativado | 1.0.1 |
| A Proteção contra DDoS do Azure deve ser habilitada | A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desativado | 3.0.1 |
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| As desconexões devem ser registradas para servidores de banco de dados PostgreSQL. | Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_disconnections habilitado. | AuditIfNotExists, desativado | 1.0.0 |
| A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.1.0 |
| O agente do Log Analytics deve ser instalado em sua máquina virtual para monitoramento da Central de Segurança do Azure | Esta política audita quaisquer máquinas virtuais (VMs) Windows/Linux se o agente do Log Analytics não estiver instalado, que a Central de Segurança usa para monitorar vulnerabilidades e ameaças de segurança | AuditIfNotExists, desativado | 1.0.0 |
| O agente do Log Analytics deve ser instalado em seus conjuntos de dimensionamento de máquina virtual para monitoramento da Central de Segurança do Azure | A Central de Segurança coleta dados de suas máquinas virtuais (VMs) do Azure para monitorar vulnerabilidades e ameaças de segurança. | AuditIfNotExists, desativado | 1.0.0 |
| Os pontos de verificação de log devem ser habilitados para servidores de banco de dados PostgreSQL | Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_checkpoints configuração habilitada. | AuditIfNotExists, desativado | 1.0.0 |
| As conexões de log devem ser habilitadas para servidores de banco de dados PostgreSQL | Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_connections configuração habilitada. | AuditIfNotExists, desativado | 1.0.0 |
| A duração do log deve ser habilitada para servidores de banco de dados PostgreSQL | Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_duration configuração habilitada. | AuditIfNotExists, desativado | 1.0.0 |
| Os logs de recursos no Hub de Eventos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| As configurações de Auditoria SQL devem ter Grupos de Ações configurados para capturar atividades críticas | A propriedade AuditActionsAndGroups deve conter pelo menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP para garantir um log de auditoria completo | AuditIfNotExists, desativado | 1.0.0 |
| As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
Centro de Operações de Segurança (SOC) - 11,20
ID: RMiT 11.20 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento da máquina virtual. A criptografia no host permite a criptografia em repouso para seus caches de disco temporário e SO/disco de dados. Os discos temporários e efêmeros do sistema operacional são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está ativada. Os caches de disco de SO/dados são criptografados em repouso com chave gerenciada pelo cliente ou gerenciada pela plataforma, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Auditoria, Negar, Desativado | 1.0.0 |
Gestão de Riscos Cibernéticos
Gestão de Riscos Cibernéticos - 11.2
ID: RMiT 11.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento da máquina virtual. A criptografia no host permite a criptografia em repouso para seus caches de disco temporário e SO/disco de dados. Os discos temporários e efêmeros do sistema operacional são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está ativada. Os caches de disco de SO/dados são criptografados em repouso com chave gerenciada pelo cliente ou gerenciada pela plataforma, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Auditoria, Negar, Desativado | 1.0.0 |
Gestão de Riscos Cibernéticos - 11.4
ID: RMiT 11.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configure o backup em máquinas virtuais sem uma determinada tag para um cofre de serviços de recuperação existente no mesmo local | Imponha o backup para todas as máquinas virtuais fazendo backup delas em um cofre de serviços de recuperação central existente no mesmo local e assinatura da máquina virtual. Fazer isso é útil quando há uma equipe central em sua organização gerenciando backups para todos os recursos em uma assinatura. Opcionalmente, você pode excluir máquinas virtuais que contenham uma tag especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 9.2.0 |
| Tipos de recursos não permitidos | Restrinja quais tipos de recursos podem ser implantados em seu ambiente. Limitar os tipos de recursos pode reduzir a complexidade e a superfície de ataque do seu ambiente e, ao mesmo tempo, ajudar a gerenciar custos. Os resultados de conformidade são mostrados apenas para recursos não compatíveis. | Auditoria, Negar, Desativado | 2.0.0 |
| Somente extensões de VM aprovadas devem ser instaladas | Esta política rege as extensões de máquina virtual que não são aprovadas. | Auditoria, Negar, Desativado | 1.0.0 |
Operações de Cibersegurança
Operações de Cibersegurança - 11.5
ID: RMiT 11.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| Implantar o Defender for Storage (Classic) em contas de armazenamento | Esta política habilita o Defender for Storage (Classic) em contas de armazenamento. | DeployIfNotExists, desativado | 1.0.1 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
Operações de Cibersegurança - 11.8
ID: RMiT 11.8 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
| A avaliação de vulnerabilidade deve ser habilitada na Instância Gerenciada SQL | Audite cada Instância Gerenciada do SQL que não tenha verificações recorrentes de avaliação de vulnerabilidades habilitadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 1.0.1 |
| A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL | Audite os servidores SQL do Azure que não têm a avaliação de vulnerabilidades configurada corretamente. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 3.0.0 |
Medidas de controlo em matéria de cibersegurança
Medidas de controlo em matéria de cibersegurança - Apêndice 5.2
ID: RMiT Apêndice 5.2 Propriedade: Cliente
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas | Habilite os controles de aplicativo para definir a lista de aplicativos seguros conhecidos em execução em suas máquinas e alertá-lo quando outros aplicativos forem executados. Isso ajuda a proteger suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das regras, a Central de Segurança usa o aprendizado de máquina para analisar os aplicativos em execução em cada máquina e sugerir a lista de aplicativos seguros conhecidos. | AuditIfNotExists, desativado | 3.0.0 |
| As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
Medidas de controlo em matéria de cibersegurança - Apêndice 5.3
ID: RMiT Apêndice 5.3 Propriedade: Cliente
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
| Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 5.0.0 |
| Os aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos de função devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
Medidas de controlo em matéria de cibersegurança - Apêndice 5.5
ID: RMiT Apêndice 5.5 Propriedade: Cliente
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Uma política IPsec/IKE personalizada deve ser aplicada a todas as conexões de gateway de rede virtual do Azure | Esta política garante que todas as conexões de gateway de rede virtual do Azure usem uma política personalizada de IPsec (Internet Protocol Security)/Internet Key Exchange (IKE). Algoritmos suportados e principais pontos fortes - https://aka.ms/AA62kb0 | Auditoria, Desativado | 1.0.0 |
| Os serviços de cluster do Kubernetes só devem usar IPs externos permitidos | Use IPs externos permitidos para evitar o ataque potencial (CVE-2020-8554) em um cluster Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.1.0 |
Medidas de controlo em matéria de cibersegurança - Apêndice 5.6
ID: RMiT Apêndice 5.6 Propriedade: Cliente
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente | Definir a versão TLS como 1.2 ou mais recente melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado de clientes que usam TLS 1.2 ou mais recente. O uso de versões do TLS inferiores a 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditar, Desabilitar, Negar | 2.0.0 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
| Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas | Restrinja o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.1.0 |
| Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas | Restrinja os serviços para escutar apenas nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 8.1.0 |
| Os clusters Kubernetes devem ser acessíveis somente por HTTPS | O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc | auditoria, auditoria, negar, negar, desativado, desativado | 8.1.0 |
| O servidor MariaDB deve usar um ponto de extremidade de serviço de rede virtual | As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados do Azure para MariaDB, garantindo que o tráfego permaneça dentro do limite do Azure. Esta política fornece uma maneira de auditar se o Banco de Dados do Azure para MariaDB tem ponto de extremidade de serviço de rede virtual sendo usado. | AuditIfNotExists, desativado | 1.0.2 |
| O servidor MySQL deve usar um ponto de extremidade de serviço de rede virtual | As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados do Azure para MySQL, garantindo que o tráfego permaneça dentro do limite do Azure. Esta política fornece uma maneira de auditar se o Banco de Dados do Azure para MySQL tem ponto de extremidade de serviço de rede virtual sendo usado. | AuditIfNotExists, desativado | 1.0.2 |
| O servidor PostgreSQL deve usar um ponto de extremidade de serviço de rede virtual | As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados do Azure para PostgreSQL, garantindo que o tráfego permaneça dentro do limite do Azure. Esta política fornece uma maneira de auditar se o Banco de Dados do Azure para PostgreSQL tem ponto de extremidade de serviço de rede virtual sendo usado. | AuditIfNotExists, desativado | 1.0.2 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 1.1.0 |
| O acesso à rede pública deve ser desativado para servidores MariaDB | Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.0 |
| O acesso à rede pública deve ser desativado para servidores flexíveis MySQL | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seus servidores flexíveis do Banco de Dados do Azure para MySQL só possam ser acessados a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.1.0 |
| O acesso à rede pública deve ser desativado para servidores MySQL | Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MySQL só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.0 |
| O acesso à rede pública deve ser desativado para servidores flexíveis PostgreSQL | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seus servidores flexíveis do Banco de Dados do Azure para PostgreSQL só possam ser acessados a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereçamento público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 3.0.1 |
| O acesso à rede pública deve ser desabilitado para servidores PostgreSQL | Desabilite a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para PostgreSQL só possa ser acessado a partir de um ponto de extremidade privado. Esta configuração desativa o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os inícios de sessão que correspondam a regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.1 |
| A Instância Gerenciada SQL deve ter a versão TLS mínima da 1.2 | Definir a versão mínima do TLS como 1.2 melhora a segurança, garantindo que sua Instância Gerenciada SQL só possa ser acessada a partir de clientes que usam o TLS 1.2. O uso de versões do TLS inferiores a 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditoria, Desativado | 1.0.1 |
| A regra de firewall de rede virtual no Banco de Dados SQL do Azure deve ser habilitada para permitir o tráfego da sub-rede especificada | As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados SQL do Azure, garantindo que o tráfego permaneça dentro do limite do Azure. | AuditIfNotExists | 1.0.0 |
| O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
| O Web Application Firewall (WAF) deve usar o modo especificado para o Application Gateway | Exige que o uso do modo 'Detecção' ou 'Prevenção' esteja ativo em todas as políticas do Web Application Firewall para o Application Gateway. | Auditoria, Negar, Desativado | 1.0.0 |
| O Web Application Firewall (WAF) deve usar o modo especificado para o Azure Front Door Service | Exige o uso do modo 'Detecção' ou 'Prevenção' para estar ativo em todas as políticas do Web Application Firewall para o Azure Front Door Service. | Auditoria, Negar, Desativado | 1.0.0 |
Medidas de controlo em matéria de cibersegurança - Apêndice 5.7
ID: RMiT Apêndice 5.7 Propriedade: Cliente
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todos os recursos do log de fluxo devem estar no estado habilitado | Auditoria de recursos de log de fluxo para verificar se o status do log de fluxo está habilitado. A habilitação de logs de fluxo permite registrar informações sobre o fluxo de tráfego IP. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.0.1 |
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura | Para monitorar vulnerabilidades e ameaças de segurança, a Central de Segurança do Azure coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como Microsoft Monitoring Agent (MMA), que lê várias configurações relacionadas à segurança e logs de eventos da máquina e copia os dados para o espaço de trabalho do Log Analytics para análise. Recomendamos habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e em quaisquer novas que sejam criadas. | AuditIfNotExists, desativado | 1.0.1 |
| A Proteção contra DDoS do Azure deve ser habilitada | A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desativado | 3.0.1 |
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| Configurar o SQL Server do Azure para habilitar conexões de ponto de extremidade privadas | Uma conexão de ponto de extremidade privada habilita a conectividade privada com seu Banco de Dados SQL do Azure por meio de um endereço IP privado dentro de uma rede virtual. Esta configuração melhora a sua postura de segurança e suporta ferramentas e cenários de rede do Azure. | DeployIfNotExists, desativado | 1.0.0 |
| A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.1.0 |
| Os logs de fluxo devem ser configurados para cada grupo de segurança de rede | Auditoria de grupos de segurança de rede para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através do grupo de segurança de rede. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.1.0 |
| Os aplicativos de função devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. | AuditIfNotExists, desativado | 2.0.0 |
| As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
| O agente do Log Analytics deve ser instalado em sua máquina virtual para monitoramento da Central de Segurança do Azure | Esta política audita quaisquer máquinas virtuais (VMs) Windows/Linux se o agente do Log Analytics não estiver instalado, que a Central de Segurança usa para monitorar vulnerabilidades e ameaças de segurança | AuditIfNotExists, desativado | 1.0.0 |
| O agente do Log Analytics deve ser instalado em seus conjuntos de dimensionamento de máquina virtual para monitoramento da Central de Segurança do Azure | A Central de Segurança coleta dados de suas máquinas virtuais (VMs) do Azure para monitorar vulnerabilidades e ameaças de segurança. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| A extensão Microsoft IaaSAntimalware deve ser implantada em servidores Windows | Esta política audita qualquer VM de servidor Windows sem a extensão Microsoft IaaSAntimalware implantada. | AuditIfNotExists, desativado | 1.1.0 |
| Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Os servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| Ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
| Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
| As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
| As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
| As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento | Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Discos temporários, caches de dados e dados que fluem entre computação e armazenamento não são criptografados. Não tenha em conta esta recomendação se: 1. usando criptografia no host ou 2. A criptografia do lado do servidor em Managed Disks atende aos seus requisitos de segurança. Saiba mais em: Criptografia do lado do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse, Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, desativado | 2.0.3 |
| As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas | Audite vulnerabilidades na configuração de segurança em máquinas com o Docker instalado e exiba como recomendações na Central de Segurança do Azure. | AuditIfNotExists, desativado | 3.0.0 |
Próximos passos
Artigos adicionais sobre a Política do Azure:
- Visão geral da conformidade regulamentar.
- Consulte a estrutura de definição da iniciativa.
- Analise outros exemplos em Exemplos de Política do Azure.
- Veja Compreender os efeitos do Policy.
- Saiba como corrigir recursos não compatíveis.