Detalhes da iniciativa integrada de Conformidade Regulatória de Controles de Sistema e Organização (SOC) 2

Artigo
05/01/2024

O artigo a seguir detalha como a definição de iniciativa interna de Conformidade Regulatória da Política do Azure mapeia para domínios e controles de conformidade em Controles de Sistema e Organização (SOC) 2. Para obter mais informações sobre esse padrão de conformidade, consulte Controles de sistema e organização (SOC) 2. Para entender a Propriedade, consulte Definição da política do Azure e Responsabilidade compartilhada na nuvem.

Os mapeamentos a seguir são para os controles SOC (System and Organization Controls) 2 . Muitos dos controles são implementados com uma definição de iniciativa de Política do Azure. Para rever a definição completa da iniciativa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione a definição de iniciativa interna de Conformidade Regulatória SOC 2 Tipo 2 .

Importante

Cada controle abaixo está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle, no entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias definições de política, o que não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre domínios de conformidade, controles e definições de Política do Azure para esse padrão de conformidade podem mudar ao longo do tempo. Para visualizar o histórico de alterações, consulte o Histórico de confirmação do GitHub.

Critérios adicionais de disponibilidade

Gestão da capacidade

ID: SOC 2 Tipo 2 A1.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Conduzir o planejamento de capacidade	CMA_C1252 - Conduzir o planejamento de capacidade	Manual, Desativado	1.1.0

Proteções ambientais, software, processos de backup de dados e infraestrutura de recuperação

ID: SOC 2 Tipo 2 A1.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
O Backup do Azure deve ser habilitado para Máquinas Virtuais	Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure.	AuditIfNotExists, desativado	3.0.0
Utilize iluminação de emergência automática	CMA_0209 - Utilizar iluminação de emergência automática	Manual, Desativado	1.1.0
Estabelecer um local de processamento alternativo	CMA_0262 - Estabelecer um local de processamento alternativo	Manual, Desativado	1.1.0
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB	O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor.	Auditoria, Desativado	1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL	O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor.	Auditoria, Desativado	1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL	O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor.	Auditoria, Desativado	1.0.1
Implementar uma metodologia de teste de penetração	CMA_0306 - Implementar uma metodologia de testes de penetração	Manual, Desativado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desativado	1.1.0
Instalar um sistema de alarme	CMA_0338 - Instalar um sistema de alarme	Manual, Desativado	1.1.0
Recupere e reconstitua recursos após qualquer interrupção	CMA_C1295 - Recuperar e reconstituir recursos após qualquer interrupção	Manual, Desativado	1.1.1
Executar ataques de simulação	CMA_0486 - Executar ataques de simulação	Manual, Desativado	1.1.0
Armazene separadamente as informações de backup	CMA_C1293 - Armazene separadamente as informações de backup	Manual, Desativado	1.1.0
Transferir informações de backup para um local de armazenamento alternativo	CMA_C1294 - Transfira informações de backup para um local de armazenamento alternativo	Manual, Desativado	1.1.0

Testes do plano de recuperação

ID: SOC 2 Tipo 2 A1.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Coordenar planos de contingência com planos relacionados	CMA_0086 - Coordenar planos de contingência com planos relacionados	Manual, Desativado	1.1.0
Iniciar o plano de contingência testando ações corretivas	CMA_C1263 - Iniciar o plano de contingência testando ações corretivas	Manual, Desativado	1.1.0
Rever os resultados dos testes dos planos de contingência	CMA_C1262 - Rever os resultados dos testes dos planos de contingência	Manual, Desativado	1.1.0
Testar a continuidade de negócios e o plano de recuperação de desastres	CMA_0509 - Testar a continuidade de negócios e o plano de recuperação de desastres	Manual, Desativado	1.1.0

Critérios adicionais de confidencialidade

Proteção de informações confidenciais

ID: SOC 2 Tipo 2 C1.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Controlar o acesso físico	CMA_0081 - Controle o acesso físico	Manual, Desativado	1.1.0
Gerencie a entrada, saída, processamento e armazenamento de dados	CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados	Manual, Desativado	1.1.0
Revisar a atividade e a análise de rótulos	CMA_0474 - Revisar a atividade e a análise de rótulos	Manual, Desativado	1.1.0

Eliminação de informações confidenciais

ID: SOC 2 Tipo 2 C1.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Controlar o acesso físico	CMA_0081 - Controle o acesso físico	Manual, Desativado	1.1.0
Gerencie a entrada, saída, processamento e armazenamento de dados	CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados	Manual, Desativado	1.1.0
Revisar a atividade e a análise de rótulos	CMA_0474 - Revisar a atividade e a análise de rótulos	Manual, Desativado	1.1.0

Ambiente de Controlo

Princípio 1 do COSO

ID: SOC 2 Tipo 2 CC1.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Desenvolver políticas e procedimentos de uso aceitável	CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável	Manual, Desativado	1.1.0
Desenvolver a política de código de conduta da organização	CMA_0159 - Desenvolver a política de código de conduta da organização	Manual, Desativado	1.1.0
Documentar a aceitação dos requisitos de privacidade pelo pessoal	CMA_0193 - Documentar a aceitação dos requisitos de privacidade pelo pessoal	Manual, Desativado	1.1.0
Aplicar regras de comportamento e acordos de acesso	CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso	Manual, Desativado	1.1.0
Proibir práticas desleais	CMA_0396 - Proibir as práticas desleais	Manual, Desativado	1.1.0
Rever e assinar regras de comportamento revistas	CMA_0465 - Rever e assinar regras de comportamento revistas	Manual, Desativado	1.1.0
Atualizar regras de comportamento e acordos de acesso	CMA_0521 - Atualizar regras de comportamento e acordos de acesso	Manual, Desativado	1.1.0
Atualizar regras de comportamento e acordos de acesso a cada 3 anos	CMA_0522 - Atualizar regras de comportamento e acordos de acesso a cada 3 anos	Manual, Desativado	1.1.0

Princípio COSO 2

ID: SOC 2 Tipo 2 CC1.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Nomear um responsável superior pela segurança da informação	CMA_C1733 - Nomear um responsável superior pela segurança da informação	Manual, Desativado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desativado	1.1.0
Estabelecer uma estratégia de gestão de riscos	CMA_0258 - Estabelecer uma estratégia de gestão de riscos	Manual, Desativado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desativado	1.1.0
Implementar princípios de engenharia de segurança de sistemas de informação	CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação	Manual, Desativado	1.1.0

Princípio 3 do COSO

ID: SOC 2 Tipo 2 CC1.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Nomear um responsável superior pela segurança da informação	CMA_C1733 - Nomear um responsável superior pela segurança da informação	Manual, Desativado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desativado	1.1.0
Estabelecer uma estratégia de gestão de riscos	CMA_0258 - Estabelecer uma estratégia de gestão de riscos	Manual, Desativado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desativado	1.1.0
Implementar princípios de engenharia de segurança de sistemas de informação	CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação	Manual, Desativado	1.1.0

Princípio 4 do COSO

ID: SOC 2 Tipo 2 CC1.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Fornecer treinamento periódico de segurança baseado em funções	CMA_C1095 - Fornecer treinamento periódico de segurança baseado em funções	Manual, Desativado	1.1.0
Fornecer treinamento periódico de conscientização sobre segurança	CMA_C1091 - Fornecer treinamento periódico de conscientização sobre segurança	Manual, Desativado	1.1.0
Fornecer exercícios práticos baseados em funções	CMA_C1096 - Fornecer exercícios práticos baseados em funções	Manual, Desativado	1.1.0
Fornecer treinamento de segurança antes de fornecer acesso	CMA_0418 - Fornecer treinamento de segurança antes de fornecer acesso	Manual, Desativado	1.1.0
Fornecer treinamento de segurança para novos usuários	CMA_0419 - Fornecer treinamento de segurança para novos usuários	Manual, Desativado	1.1.0

Princípio 5 do COSO

ID: SOC 2 Tipo 2 CC1.5 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Desenvolver políticas e procedimentos de uso aceitável	CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável	Manual, Desativado	1.1.0
Aplicar regras de comportamento e acordos de acesso	CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso	Manual, Desativado	1.1.0
Implementar um processo formal de sanções	CMA_0317 - Implementar um processo formal de sanções	Manual, Desativado	1.1.0
Notificar o pessoal sobre sanções	CMA_0380 - Notificar o pessoal sobre sanções	Manual, Desativado	1.1.0

Comunicação e Informação

Princípio COSO 13

ID: SOC 2 Tipo 2 CC2.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Controlar o acesso físico	CMA_0081 - Controle o acesso físico	Manual, Desativado	1.1.0
Gerencie a entrada, saída, processamento e armazenamento de dados	CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados	Manual, Desativado	1.1.0
Revisar a atividade e a análise de rótulos	CMA_0474 - Revisar a atividade e a análise de rótulos	Manual, Desativado	1.1.0

Princípio COSO 14

ID: SOC 2 Tipo 2 CC2.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Desenvolver políticas e procedimentos de uso aceitável	CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável	Manual, Desativado	1.1.0
A notificação por e-mail para alertas de alta gravidade deve ser ativada	Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança.	AuditIfNotExists, desativado	1.1.0
A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada	Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança.	AuditIfNotExists, desativado	2.1.0
Aplicar regras de comportamento e acordos de acesso	CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso	Manual, Desativado	1.1.0
Fornecer treinamento periódico de segurança baseado em funções	CMA_C1095 - Fornecer treinamento periódico de segurança baseado em funções	Manual, Desativado	1.1.0
Fornecer treinamento periódico de conscientização sobre segurança	CMA_C1091 - Fornecer treinamento periódico de conscientização sobre segurança	Manual, Desativado	1.1.0
Fornecer treinamento de segurança antes de fornecer acesso	CMA_0418 - Fornecer treinamento de segurança antes de fornecer acesso	Manual, Desativado	1.1.0
Fornecer treinamento de segurança para novos usuários	CMA_0419 - Fornecer treinamento de segurança para novos usuários	Manual, Desativado	1.1.0
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança	Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança.	AuditIfNotExists, desativado	1.0.1

Princípio COSO 15

ID: SOC 2 Tipo 2 CC2.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Definir as funções dos transformadores	CMA_0127 - Definir as funções dos transformadores	Manual, Desativado	1.1.0
Forneça resultados de avaliação de segurança	CMA_C1147 - Fornecer resultados de avaliação de segurança	Manual, Desativado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desativado	1.1.0
A notificação por e-mail para alertas de alta gravidade deve ser ativada	Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança.	AuditIfNotExists, desativado	1.1.0
A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada	Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança.	AuditIfNotExists, desativado	2.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desativado	1.1.0
Estabelecer requisitos de segurança de pessoal de terceiros	CMA_C1529 - Estabelecer requisitos de segurança de pessoal de terceiros	Manual, Desativado	1.1.0
Implementar métodos de entrega de aviso de privacidade	CMA_0324 - Implementar métodos de entrega de avisos de privacidade	Manual, Desativado	1.1.0
Implementar princípios de engenharia de segurança de sistemas de informação	CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação	Manual, Desativado	1.1.0
Produzir relatório de avaliação de segurança	CMA_C1146 - Produzir relatório de avaliação de segurança	Manual, Desativado	1.1.0
Fornecer aviso de privacidade	CMA_0414 - Fornecer aviso de privacidade	Manual, Desativado	1.1.0
Exigir que provedores terceirizados cumpram as políticas e procedimentos de segurança pessoal	CMA_C1530 - Exigir que fornecedores terceirizados cumpram as políticas e procedimentos de segurança pessoal	Manual, Desativado	1.1.0
Restringir comunicações	CMA_0449 - Restringir comunicações	Manual, Desativado	1.1.0
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança	Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança.	AuditIfNotExists, desativado	1.0.1

Avaliação de Riscos

Princípio 6 do COSO

ID: SOC 2 Tipo 2 CC3.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Categorizar informações	CMA_0052 - Categorizar informações	Manual, Desativado	1.1.0
Determinar as necessidades de proteção de informações	CMA_C1750 - Determinar as necessidades de proteção de informações	Manual, Desativado	1.1.0
Desenvolver sistemas de classificação de empresas	CMA_0155 - Desenvolver sistemas de classificação de empresas	Manual, Desativado	1.1.0
Desenvolver SSP que atenda aos critérios	CMA_C1492 - Desenvolver SSP que atenda aos critérios	Manual, Desativado	1.1.0
Estabelecer uma estratégia de gestão de riscos	CMA_0258 - Estabelecer uma estratégia de gestão de riscos	Manual, Desativado	1.1.0
Realizar uma avaliação de risco	CMA_0388 - Realizar uma avaliação de risco	Manual, Desativado	1.1.0
Revisar a atividade e a análise de rótulos	CMA_0474 - Revisar a atividade e a análise de rótulos	Manual, Desativado	1.1.0

Princípio 7 do COSO

ID: SOC 2 Tipo 2 CC3.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais	Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você.	AuditIfNotExists, desativado	3.0.0
Categorizar informações	CMA_0052 - Categorizar informações	Manual, Desativado	1.1.0
Determinar as necessidades de proteção de informações	CMA_C1750 - Determinar as necessidades de proteção de informações	Manual, Desativado	1.1.0
Desenvolver sistemas de classificação de empresas	CMA_0155 - Desenvolver sistemas de classificação de empresas	Manual, Desativado	1.1.0
Estabelecer uma estratégia de gestão de riscos	CMA_0258 - Estabelecer uma estratégia de gestão de riscos	Manual, Desativado	1.1.0
Realizar uma avaliação de risco	CMA_0388 - Realizar uma avaliação de risco	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Remediar falhas no sistema de informação	CMA_0427 - Remediar falhas no sistema de informação	Manual, Desativado	1.1.0
Revisar a atividade e a análise de rótulos	CMA_0474 - Revisar a atividade e a análise de rótulos	Manual, Desativado	1.1.0
A avaliação de vulnerabilidade deve ser habilitada na Instância Gerenciada SQL	Audite cada Instância Gerenciada do SQL que não tenha verificações recorrentes de avaliação de vulnerabilidades habilitadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados.	AuditIfNotExists, desativado	1.0.1
A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL	Audite os servidores SQL do Azure que não têm a avaliação de vulnerabilidades configurada corretamente. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados.	AuditIfNotExists, desativado	3.0.0

Princípio 8 do COSO

ID: SOC 2 Tipo 2 CC3.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Realizar uma avaliação de risco	CMA_0388 - Realizar uma avaliação de risco	Manual, Desativado	1.1.0

Princípio 9 do COSO

ID: SOC 2 Tipo 2 CC3.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Avaliar o risco em relações com terceiros	CMA_0014 - Avaliar o risco nas relações com terceiros	Manual, Desativado	1.1.0
Definir requisitos para o fornecimento de bens e serviços	CMA_0126 - Definir requisitos para o fornecimento de bens e serviços	Manual, Desativado	1.1.0
Determinar as obrigações contratuais do fornecedor	CMA_0140 - Determinar as obrigações contratuais do fornecedor	Manual, Desativado	1.1.0
Estabelecer uma estratégia de gestão de riscos	CMA_0258 - Estabelecer uma estratégia de gestão de riscos	Manual, Desativado	1.1.0
Estabelecer políticas para a gestão de riscos da cadeia de valor	CMA_0275 - Estabelecer políticas para a gestão de riscos da cadeia de abastecimento	Manual, Desativado	1.1.0
Realizar uma avaliação de risco	CMA_0388 - Realizar uma avaliação de risco	Manual, Desativado	1.1.0

Atividades de Monitorização

Princípio COSO 16

ID: SOC 2 Tipo 2 CC4.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Avaliar os controlos de segurança	CMA_C1145 - Avaliar os Controlos de Segurança	Manual, Desativado	1.1.0
Desenvolver um plano de avaliação de segurança	CMA_C1144 - Desenvolver plano de avaliação de segurança	Manual, Desativado	1.1.0
Selecionar testes adicionais para avaliações de controle de segurança	CMA_C1149 - Selecione testes adicionais para avaliações de controle de segurança	Manual, Desativado	1.1.0

Princípio COSO 17

ID: SOC 2 Tipo 2 CC4.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Forneça resultados de avaliação de segurança	CMA_C1147 - Fornecer resultados de avaliação de segurança	Manual, Desativado	1.1.0
Produzir relatório de avaliação de segurança	CMA_C1146 - Produzir relatório de avaliação de segurança	Manual, Desativado	1.1.0

Atividades de Controlo

Princípio COSO 10

ID: SOC 2 Tipo 2 CC5.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Estabelecer uma estratégia de gestão de riscos	CMA_0258 - Estabelecer uma estratégia de gestão de riscos	Manual, Desativado	1.1.0
Realizar uma avaliação de risco	CMA_0388 - Realizar uma avaliação de risco	Manual, Desativado	1.1.0

Princípio 11 do COSO

ID: SOC 2 Tipo 2 CC5.2 Propriedade: Compartilhada

Princípio COSO 12

ID: SOC 2 Tipo 2 CC5.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Configurar a lista de permissões de deteção	CMA_0068 - Configurar a lista branca de deteção	Manual, Desativado	1.1.0
Realizar uma avaliação de risco	CMA_0388 - Realizar uma avaliação de risco	Manual, Desativado	1.1.0
Ligue sensores para solução de segurança de endpoint	CMA_0514 - Ligue sensores para solução de segurança de endpoint	Manual, Desativado	1.1.0
Passar por uma revisão de segurança independente	CMA_0515 - Passar por uma revisão de segurança independente	Manual, Desativado	1.1.0

Controles de acesso lógicos e físicos

Software, infraestrutura e arquiteturas de segurança de acesso lógico

ID: SOC 2 Tipo 2 CC6.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Um máximo de 3 proprietários devem ser designados para a sua subscrição	Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido.	AuditIfNotExists, desativado	3.0.0
Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA	A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos.	AuditIfNotExists, desativado	1.0.0
Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA	A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos.	AuditIfNotExists, desativado	1.0.0
Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA	A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos.	AuditIfNotExists, desativado	1.0.0
As recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet	A Central de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais voltadas para a Internet e fornece recomendações de regras do Grupo de Segurança de Rede que reduzem a superfície de ataque potencial	AuditIfNotExists, desativado	3.0.0
Adotar mecanismos de autenticação biométrica	CMA_0005 - Adotar mecanismos de autenticação biométrica	Manual, Desativado	1.1.0
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual	A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos.	AuditIfNotExists, desativado	3.0.0
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS	O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede.	Auditar, Desabilitar, Negar	4.0.0
Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS	Habilite a imposição de FTPS para maior segurança.	AuditIfNotExists, desativado	3.0.0
A autenticação em máquinas Linux deve exigir chaves SSH	Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, desativado	3.2.0
Autorizar o acesso a funções e informações de segurança	CMA_0022 - Autorizar o acesso a funções e informações de segurança	Manual, Desativado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 - Autorizar e gerir o acesso	Manual, Desativado	1.1.0
Autorizar acesso remoto	CMA_0024 - Autorizar acesso remoto	Manual, Desativado	1.1.0
As variáveis de conta de automação devem ser criptografadas	É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais	Auditoria, Negar, Desativado	1.1.0
As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso	Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk.	auditoria, auditoria, negar, negar, desativado, desativado	1.1.0
Os espaços de trabalho do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente	Gerencie a criptografia no restante dos dados do espaço de trabalho do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk.	Auditoria, Negar, Desativado	1.0.3
Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas	Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar.	AuditIfNotExists, desativado	1.0.0
Os certificados devem ter o período de validade máximo especificado	Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo que um certificado pode ser válido em seu cofre de chaves.	auditoria, auditoria, negar, negar, desativado, desativado	2.2.1
As contas dos Serviços Cognitivos devem permitir a encriptação de dados com uma chave gerida pelo cliente	As chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados armazenados nos Serviços Cognitivos sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre chaves gerenciadas pelo cliente em https://go.microsoft.com/fwlink/?linkid=2121321.	Auditoria, Negar, Desativado	2.1.0
Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente	Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK.	Auditoria, Negar, Desativado	1.1.2
Controlar o fluxo de informações	CMA_0079 - Controlar o fluxo de informações	Manual, Desativado	1.1.0
Controlar o acesso físico	CMA_0081 - Controle o acesso físico	Manual, Desativado	1.1.0
Criar um inventário de dados	CMA_0096 - Criar um inventário de dados	Manual, Desativado	1.1.0
Definir um processo de gerenciamento de chaves físicas	CMA_0115 - Definir um processo de gestão de chaves físicas	Manual, Desativado	1.1.0
Definir cryptographic use	CMA_0120 - Definir uso criptográfico	Manual, Desativado	1.1.0
Definir requisitos organizacionais para gerenciamento de chaves criptográficas	CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas	Manual, Desativado	1.1.0
Projetar um modelo de controle de acesso	CMA_0129 - Projetar um modelo de controle de acesso	Manual, Desativado	1.1.0
Determinar requisitos de asserção	CMA_0136 - Determinar os requisitos de asserção	Manual, Desativado	1.1.0
Formação em mobilidade documental	CMA_0191 - Formação em mobilidade documental	Manual, Desativado	1.1.0
Documentar diretrizes de acesso remoto	CMA_0196 - Documentar diretrizes de acesso remoto	Manual, Desativado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desativado	1.1.0
Empregar acesso com privilégios mínimos	CMA_0212 - Empregar acesso com privilégios mínimos	Manual, Desativado	1.1.0
Impor acesso lógico	CMA_0245 - Impor acesso lógico	Manual, Desativado	1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias	CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias	Manual, Desativado	1.1.0
Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL	O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados.	Auditoria, Desativado	1.0.1
Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL	O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados.	Auditoria, Desativado	1.0.1
Estabelecer um procedimento de gestão de fugas de dados	CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados	Manual, Desativado	1.1.0
Estabeleça padrões de configuração de firewall e roteador	CMA_0272 - Estabelecer padrões de configuração de firewall e roteador	Manual, Desativado	1.1.0
Estabelecer segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desativado	1.1.0
Os aplicativos de função só devem ser acessíveis por HTTPS	O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede.	Auditar, Desabilitar, Negar	5.0.0
Os aplicativos de função devem exigir apenas FTPS	Habilite a imposição de FTPS para maior segurança.	AuditIfNotExists, desativado	3.0.0
Os aplicativos de função devem usar a versão TLS mais recente	Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desativado	2.0.1
Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas	As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado.	AuditIfNotExists, desativado	1.0.0
Identificar e gerir os intercâmbios de informações a jusante	CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante	Manual, Desativado	1.1.0
Implementar controles para proteger locais de trabalho alternativos	CMA_0315 - Implementar controles para proteger locais de trabalho alternativos	Manual, Desativado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desativado	1.1.0
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desativado	3.0.0
Emitir certificados de chave pública	CMA_0347 - Emitir certificados de chave pública	Manual, Desativado	1.1.0
As chaves do Cofre da Chave devem ter uma data de expiração	As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas.	Auditoria, Negar, Desativado	1.0.2
Os segredos do Cofre de Chaves devem ter uma data de validade	Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um atacante em potencial mais tempo para comprometê-los. É uma prática de segurança recomendada definir datas de validade em segredos.	Auditoria, Negar, Desativado	1.0.2
Os cofres de chaves devem ter a proteção contra exclusão ativada	A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra limpeza e a exclusão suave. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão suave habilitada por padrão.	Auditoria, Negar, Desativado	2.1.0
Os cofres de chaves devem ter a exclusão suave ativada	A exclusão de um cofre de chaves sem a exclusão automática habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão suave permite que você recupere um cofre de chaves excluído acidentalmente por um período de retenção configurável.	Auditoria, Negar, Desativado	3.0.0
Os clusters Kubernetes devem ser acessíveis somente por HTTPS	O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc	auditoria, auditoria, negar, negar, desativado, desativado	8.1.0
Manter registos do tratamento de dados pessoais	CMA_0353 - Manter registos do tratamento de dados pessoais	Manual, Desativado	1.1.0
Gerenciar chaves criptográficas simétricas	CMA_0367 - Gerenciar chaves criptográficas simétricas	Manual, Desativado	1.1.0
Gerencie a entrada, saída, processamento e armazenamento de dados	CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados	Manual, Desativado	1.1.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time	O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações	AuditIfNotExists, desativado	3.0.0
As portas de gerenciamento devem ser fechadas em suas máquinas virtuais	As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina.	AuditIfNotExists, desativado	3.0.0
Os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso	Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores MySQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento.	AuditIfNotExists, desativado	1.0.4
As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desativado	3.0.0
Notificar os usuários sobre o logon ou acesso ao sistema	CMA_0382 - Notificar os usuários sobre o logon ou acesso ao sistema	Manual, Desativado	1.1.0
Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas	Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão	Auditoria, Negar, Desativado	1.0.0
Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso	Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento.	AuditIfNotExists, desativado	1.0.4
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja informações especiais	CMA_0409 - Proteja informações especiais	Manual, Desativado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 - Fornecer treinamento de privacidade	Manual, Desativado	1.1.0
Exigir aprovação para a criação de conta	CMA_0431 - Requer aprovação para a criação de conta	Manual, Desativado	1.1.0
Restringir o acesso a chaves privadas	CMA_0445 - Restringir o acesso a chaves privadas	Manual, Desativado	1.1.0
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desativado	1.1.0
A transferência segura para contas de armazenamento deve ser ativada	Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão	Auditoria, Negar, Desativado	2.0.0
Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign	O Service Fabric fornece três níveis de proteção (Nenhum, Assinar e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente	Auditoria, Negar, Desativado	1.1.0
As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso	A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado.	Auditoria, Negar, Desativado	2.0.0
Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso	A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado.	Auditoria, Negar, Desativado	2.0.1
A conta de armazenamento que contém o contêiner com registros de atividades deve ser criptografada com BYOK	Esta política audita se a conta de armazenamento que contém o contêiner com logs de atividade está criptografada com BYOK. A política só funciona se a conta de armazenamento estiver na mesma assinatura que os logs de atividade por design. Mais informações sobre a criptografia do Armazenamento do Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok.	AuditIfNotExists, desativado	1.0.0
As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografia	Proteja sua conta de armazenamento de arquivos e blob com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente.	Auditoria, Desativado	1.0.3
As sub-redes devem estar associadas a um Grupo de Segurança de Rede	Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede.	AuditIfNotExists, desativado	3.0.0
Deve haver mais de um proprietário atribuído à sua assinatura	É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador.	AuditIfNotExists, desativado	3.0.0
A criptografia de dados transparente em bancos de dados SQL deve ser habilitada	A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade	AuditIfNotExists, desativado	2.0.0
As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento	Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Discos temporários, caches de dados e dados que fluem entre computação e armazenamento não são criptografados. Não tenha em conta esta recomendação se: 1. usando criptografia no host ou 2. A criptografia do lado do servidor em Managed Disks atende aos seus requisitos de segurança. Saiba mais em: Criptografia do lado do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse, Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison	AuditIfNotExists, desativado	2.0.3
As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros	Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas.	AuditIfNotExists, desativado	4.1.1

Provisionamento e remoção de acesso

ID: SOC 2 Tipo 2 CC6.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Atribuir gerentes de conta	CMA_0015 - Atribuir gerentes de conta	Manual, Desativado	1.1.0
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas	As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar.	AuditIfNotExists, desativado	1.0.0
Privilégios de acesso a documentos	CMA_0186 - Privilégios de acesso a documentos	Manual, Desativado	1.1.0
Estabelecer condições para a participação em funções	CMA_0269 - Estabelecer condições para a participação em funções	Manual, Desativado	1.1.0
Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas	As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado.	AuditIfNotExists, desativado	1.0.0
Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas	As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado.	AuditIfNotExists, desativado	1.0.0
Exigir aprovação para a criação de conta	CMA_0431 - Requer aprovação para a criação de conta	Manual, Desativado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 - Restringir o acesso a contas privilegiadas	Manual, Desativado	1.1.0
Revisar logs de provisionamento de conta	CMA_0460 - Revisar logs de provisionamento de conta	Manual, Desativado	1.1.0
Rever contas de utilizador	CMA_0480 - Rever contas de utilizador	Manual, Desativado	1.1.0

Acesso baseado em Rol e menor privilégio

ID: SOC 2 Tipo 2 CC6.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Um máximo de 3 proprietários devem ser designados para a sua subscrição	Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido.	AuditIfNotExists, desativado	3.0.0
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Auditar o uso de funções RBAC personalizadas	Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças	Auditoria, Desativado	1.0.1
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
O RBAC (Controle de Acesso Baseado em Função) do Azure deve ser usado nos Serviços Kubernetes	Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) do Azure para gerenciar permissões em Clusters de Serviço Kubernetes e configurar políticas de autorização relevantes.	Auditoria, Desativado	1.0.3
Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas	Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar.	AuditIfNotExists, desativado	1.0.0
Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas	As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar.	AuditIfNotExists, desativado	1.0.0
Projetar um modelo de controle de acesso	CMA_0129 - Projetar um modelo de controle de acesso	Manual, Desativado	1.1.0
Empregar acesso com privilégios mínimos	CMA_0212 - Empregar acesso com privilégios mínimos	Manual, Desativado	1.1.0
Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas	As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado.	AuditIfNotExists, desativado	1.0.0
Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas	As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado.	AuditIfNotExists, desativado	1.0.0
Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas	As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado.	AuditIfNotExists, desativado	1.0.0
Monitorar atribuição de função privilegiada	CMA_0378 - Monitorar atribuição de função privilegiada	Manual, Desativado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 - Restringir o acesso a contas privilegiadas	Manual, Desativado	1.1.0
Revisar logs de provisionamento de conta	CMA_0460 - Revisar logs de provisionamento de conta	Manual, Desativado	1.1.0
Rever contas de utilizador	CMA_0480 - Rever contas de utilizador	Manual, Desativado	1.1.0
Rever os privilégios de utilizador	CMA_C1039 - Rever os privilégios do utilizador	Manual, Desativado	1.1.0
Revogar funções privilegiadas conforme apropriado	CMA_0483 - Revogar funções privilegiadas conforme apropriado	Manual, Desativado	1.1.0
Deve haver mais de um proprietário atribuído à sua assinatura	É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador.	AuditIfNotExists, desativado	3.0.0
Usar o gerenciamento privilegiado de identidades	CMA_0533 - Use o gerenciamento privilegiado de identidades	Manual, Desativado	1.1.0

Acesso físico restrito

ID: SOC 2 Tipo 2 CC6.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Controlar o acesso físico	CMA_0081 - Controle o acesso físico	Manual, Desativado	1.1.0

Proteções lógicas e físicas sobre ativos físicos

ID: SOC 2 Tipo 2 CC6.5 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Empregar um mecanismo de higienização de mídia	CMA_0208 - Empregar um mecanismo de higienização de mídia	Manual, Desativado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 - Implementar controles para proteger todas as mídias	Manual, Desativado	1.1.0

Medidas de segurança contra ameaças fora dos limites do sistema

ID: SOC 2 Tipo 2 CC6.6 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada	A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte	AuditIfNotExists, desativado	3.0.0-Pré-visualização
Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA	A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos.	AuditIfNotExists, desativado	1.0.0
Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA	A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos.	AuditIfNotExists, desativado	1.0.0
Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA	A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos.	AuditIfNotExists, desativado	1.0.0
As recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet	A Central de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais voltadas para a Internet e fornece recomendações de regras do Grupo de Segurança de Rede que reduzem a superfície de ataque potencial	AuditIfNotExists, desativado	3.0.0
Adotar mecanismos de autenticação biométrica	CMA_0005 - Adotar mecanismos de autenticação biométrica	Manual, Desativado	1.1.0
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual	A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos.	AuditIfNotExists, desativado	3.0.0
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS	O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede.	Auditar, Desabilitar, Negar	4.0.0
Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS	Habilite a imposição de FTPS para maior segurança.	AuditIfNotExists, desativado	3.0.0
A autenticação em máquinas Linux deve exigir chaves SSH	Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, desativado	3.2.0
Autorizar acesso remoto	CMA_0024 - Autorizar acesso remoto	Manual, Desativado	1.1.0
O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door	Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas.	Auditoria, Negar, Desativado	1.0.2
Controlar o fluxo de informações	CMA_0079 - Controlar o fluxo de informações	Manual, Desativado	1.1.0
Formação em mobilidade documental	CMA_0191 - Formação em mobilidade documental	Manual, Desativado	1.1.0
Documentar diretrizes de acesso remoto	CMA_0196 - Documentar diretrizes de acesso remoto	Manual, Desativado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desativado	1.1.0
Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL	O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados.	Auditoria, Desativado	1.0.1
Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL	O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados.	Auditoria, Desativado	1.0.1
Estabeleça padrões de configuração de firewall e roteador	CMA_0272 - Estabelecer padrões de configuração de firewall e roteador	Manual, Desativado	1.1.0
Estabelecer segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desativado	1.1.0
Os aplicativos de função só devem ser acessíveis por HTTPS	O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede.	Auditar, Desabilitar, Negar	5.0.0
Os aplicativos de função devem exigir apenas FTPS	Habilite a imposição de FTPS para maior segurança.	AuditIfNotExists, desativado	3.0.0
Os aplicativos de função devem usar a versão TLS mais recente	Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desativado	2.0.1
Identificar e autenticar dispositivos de rede	CMA_0296 - Identificar e autenticar dispositivos de rede	Manual, Desativado	1.1.0
Identificar e gerir os intercâmbios de informações a jusante	CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante	Manual, Desativado	1.1.0
Implementar controles para proteger locais de trabalho alternativos	CMA_0315 - Implementar controles para proteger locais de trabalho alternativos	Manual, Desativado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 - Implementar a proteção de limites do sistema	Manual, Desativado	1.1.0
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desativado	3.0.0
O encaminhamento de IP em sua máquina virtual deve ser desabilitado	Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede.	AuditIfNotExists, desativado	3.0.0
Os clusters Kubernetes devem ser acessíveis somente por HTTPS	O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc	auditoria, auditoria, negar, negar, desativado, desativado	8.1.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time	O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações	AuditIfNotExists, desativado	3.0.0
As portas de gerenciamento devem ser fechadas em suas máquinas virtuais	As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina.	AuditIfNotExists, desativado	3.0.0
As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desativado	3.0.0
Notificar os usuários sobre o logon ou acesso ao sistema	CMA_0382 - Notificar os usuários sobre o logon ou acesso ao sistema	Manual, Desativado	1.1.0
Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas	Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão	Auditoria, Negar, Desativado	1.0.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 - Fornecer treinamento de privacidade	Manual, Desativado	1.1.0
A transferência segura para contas de armazenamento deve ser ativada	Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão	Auditoria, Negar, Desativado	2.0.0
As sub-redes devem estar associadas a um Grupo de Segurança de Rede	Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede.	AuditIfNotExists, desativado	3.0.0
O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway	Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas.	Auditoria, Negar, Desativado	2.0.0
As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros	Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas.	AuditIfNotExists, desativado	4.1.1

Restringir a circulação de informações a utilizadores autorizados

ID: SOC 2 Tipo 2 CC6.7 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
As recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet	A Central de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais voltadas para a Internet e fornece recomendações de regras do Grupo de Segurança de Rede que reduzem a superfície de ataque potencial	AuditIfNotExists, desativado	3.0.0
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual	A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos.	AuditIfNotExists, desativado	3.0.0
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS	O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede.	Auditar, Desabilitar, Negar	4.0.0
Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS	Habilite a imposição de FTPS para maior segurança.	AuditIfNotExists, desativado	3.0.0
Configurar estações de trabalho para verificar certificados digitais	CMA_0073 - Configurar estações de trabalho para verificar certificados digitais	Manual, Desativado	1.1.0
Controlar o fluxo de informações	CMA_0079 - Controlar o fluxo de informações	Manual, Desativado	1.1.0
Definir requisitos de dispositivos móveis	CMA_0122 - Definir requisitos de dispositivos móveis	Manual, Desativado	1.1.0
Empregar um mecanismo de higienização de mídia	CMA_0208 - Empregar um mecanismo de higienização de mídia	Manual, Desativado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desativado	1.1.0
Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL	O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados.	Auditoria, Desativado	1.0.1
Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL	O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados.	Auditoria, Desativado	1.0.1
Estabeleça padrões de configuração de firewall e roteador	CMA_0272 - Estabelecer padrões de configuração de firewall e roteador	Manual, Desativado	1.1.0
Estabelecer segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desativado	1.1.0
Os aplicativos de função só devem ser acessíveis por HTTPS	O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede.	Auditar, Desabilitar, Negar	5.0.0
Os aplicativos de função devem exigir apenas FTPS	Habilite a imposição de FTPS para maior segurança.	AuditIfNotExists, desativado	3.0.0
Os aplicativos de função devem usar a versão TLS mais recente	Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desativado	2.0.1
Identificar e gerir os intercâmbios de informações a jusante	CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante	Manual, Desativado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 - Implementar controles para proteger todas as mídias	Manual, Desativado	1.1.0
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desativado	3.0.0
Os clusters Kubernetes devem ser acessíveis somente por HTTPS	O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc	auditoria, auditoria, negar, negar, desativado, desativado	8.1.0
Gerir o transporte de ativos	CMA_0370 - Gerir o transporte de ativos	Manual, Desativado	1.1.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time	O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações	AuditIfNotExists, desativado	3.0.0
As portas de gerenciamento devem ser fechadas em suas máquinas virtuais	As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina.	AuditIfNotExists, desativado	3.0.0
As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede	Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc	AuditIfNotExists, desativado	3.0.0
Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas	Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão	Auditoria, Negar, Desativado	1.0.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja senhas com criptografia	CMA_0408 - Proteja senhas com criptografia	Manual, Desativado	1.1.0
A transferência segura para contas de armazenamento deve ser ativada	Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão	Auditoria, Negar, Desativado	2.0.0
As sub-redes devem estar associadas a um Grupo de Segurança de Rede	Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede.	AuditIfNotExists, desativado	3.0.0
As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros	Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas.	AuditIfNotExists, desativado	4.1.1

Impedir ou detetar contra software não autorizado ou mal-intencionado

ID: SOC 2 Tipo 2 CC6.8 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
[Preterido]: Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitados	Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente clientes com certificados válidos poderão acessar o aplicativo. Esta política foi substituída por uma nova política com o mesmo nome porque Http 2.0 não suporta certificados de cliente.	Auditoria, Desativado	3.1.0-preterido
[Preview]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Linux suportadas	Instale a extensão Atestado de Convidado em máquinas virtuais Linux suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a máquinas virtuais Linux Trusted Launch e Confidential.	AuditIfNotExists, desativado	6.0.0-pré-visualização
[Preview]: A extensão Guest Attestation deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Linux suportados	Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais Linux suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se aos conjuntos de dimensionamento de máquinas virtuais Linux Confiáveis e Confidenciais.	AuditIfNotExists, desativado	5.1.0-Pré-visualização
[Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Windows suportadas	Instale a extensão Atestado de Convidado em máquinas virtuais suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a máquinas virtuais Windows Confiáveis e Confidenciais.	AuditIfNotExists, desativado	4.0.0-Pré-visualização
[Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Windows suportados	Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais com suporte para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se aos conjuntos de dimensionamento de máquinas virtuais Windows Confiáveis e Confidenciais.	AuditIfNotExists, desativado	3.1.0-Pré-visualização
[Pré-visualização]: O Arranque Seguro deve ser ativado em máquinas virtuais Windows suportadas	Habilite a Inicialização Segura em máquinas virtuais Windows suportadas para mitigar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. Esta avaliação aplica-se a máquinas virtuais Windows Confiáveis e Confidenciais.	Auditoria, Desativado	4.0.0-Pré-visualização
[Pré-visualização]: o vTPM deve ser ativado em máquinas virtuais suportadas	Habilite o dispositivo TPM virtual em máquinas virtuais suportadas para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para inicialização confiável.	Auditoria, Desativado	2.0.0-pré-visualização
Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas	Habilite os controles de aplicativo para definir a lista de aplicativos seguros conhecidos em execução em suas máquinas e alertá-lo quando outros aplicativos forem executados. Isso ajuda a proteger suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das regras, a Central de Segurança usa o aprendizado de máquina para analisar os aplicativos em execução em cada máquina e sugerir a lista de aplicativos seguros conhecidos.	AuditIfNotExists, desativado	3.0.0
As regras de lista de permissões em sua política de controle de aplicativo adaptável devem ser atualizadas	Monitore alterações no comportamento em grupos de máquinas configuradas para auditoria pelos controles de aplicativo adaptáveis da Central de Segurança do Azure. A Central de Segurança usa aprendizado de máquina para analisar os processos em execução em suas máquinas e sugerir uma lista de aplicativos seguros conhecidos. Eles são apresentados como aplicativos recomendados para permitir políticas de controle de aplicativos adaptáveis.	AuditIfNotExists, desativado	3.0.0
Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados	Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1.	AuditIfNotExists, desativado	1.0.0
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada	A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada.	AuditIfNotExists, desativado	2.0.0
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos	O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo.	AuditIfNotExists, desativado	2.0.0
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente	Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desativado	4.0.0
Auditar VMs que não usam discos gerenciados	Esta política audita VMs que não utilizam discos geridos	auditoria	1.0.0
Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada	A extensão da Política do Azure para o Azure Arc fornece imposições e proteções em escala em seus clusters Kubernetes habilitados para Arc de maneira centralizada e consistente. Saiba mais em https://aka.ms/akspolicydoc.	AuditIfNotExists, desativado	1.1.0
O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters	O Complemento de Política do Azure para o serviço Kubernetes (AKS) estende o Gatekeeper v3, um webhook de controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente.	Auditoria, Desativado	1.0.2
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	Manual, Desativado	1.1.0
Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas	Resolva problemas de integridade da proteção de endpoint em suas máquinas virtuais para protegê-las contra as ameaças e vulnerabilidades mais recentes. As soluções de proteção de ponto de extremidade suportadas pela Central de Segurança do Azure estão documentadas aqui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação da proteção de pontos finais está documentada aqui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection.	AuditIfNotExists, desativado	1.0.0
O Endpoint Protection deve ser instalado nas suas máquinas	Para proteger as suas máquinas contra ameaças e vulnerabilidades, instale uma solução de proteção de terminais suportada.	AuditIfNotExists, desativado	1.0.0
A solução de proteção de ponto de extremidade deve ser instalada em conjuntos de dimensionamento de máquina virtual	Audite a existência e a integridade de uma solução de proteção de ponto final em seus conjuntos de dimensionamento de máquinas virtuais, para protegê-los contra ameaças e vulnerabilidades.	AuditIfNotExists, desativado	3.0.0
Os aplicativos de função devem ter a depuração remota desativada	A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada.	AuditIfNotExists, desativado	2.0.0
Os aplicativos de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos	O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function.	AuditIfNotExists, desativado	2.0.0
Os aplicativos de função devem usar a 'Versão HTTP' mais recente	Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desativado	4.0.0
A extensão Configuração do Convidado deve ser instalada em suas máquinas	Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol.	AuditIfNotExists, desativado	1.0.3
Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados	Imponha limites de recursos de CPU e memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	9.2.0
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host	Bloqueie os contêineres de pod de compartilhar o namespace de ID de processo do host e o namespace IPC do host em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	5.1.0
Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor	Os contêineres só devem usar perfis AppArmor permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	6.1.1
Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos	Restrinja os recursos para reduzir a superfície de ataque de contêineres em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	6.1.0
Os contêineres de cluster do Kubernetes só devem usar imagens permitidas	Use imagens de registros confiáveis para reduzir o risco de exposição do cluster Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	9.2.0
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura	Execute contêineres com um sistema de arquivos raiz somente leitura para proteger contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	6.2.0
Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos	Limite as montagens de volume do pod HostPath aos caminhos de host permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	6.1.1
Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados	Controle os IDs de usuário, grupo primário, grupo suplementar e grupo do sistema de arquivos que pods e contêineres podem usar para executar em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	6.1.1
Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas	Restrinja o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	6.1.0
Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas	Restrinja os serviços para escutar apenas nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	8.1.0
O cluster do Kubernetes não deve permitir contêineres privilegiados	Não permita a criação de contêineres privilegiados em um cluster do Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	9.1.0
Os clusters Kubernetes devem desativar as credenciais de API de montagem automática	Desative as credenciais de API de montagem automática para impedir que um recurso de Pod potencialmente comprometido execute comandos de API em clusters Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	4.1.0
Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner	Não permita que contêineres sejam executados com escalonamento de privilégios para enraizar em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	7.1.0
Os clusters Kubernetes não devem conceder recursos de segurança CAP_SYS_ADMIN	Para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	5.1.0
Os clusters Kubernetes não devem usar o namespace padrão	Impeça o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	4.1.0
As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure	Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure.	AuditIfNotExists, desativado	2.2.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
Monitorar o Endpoint Protection ausente na Central de Segurança do Azure	Os servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações	AuditIfNotExists, desativado	3.0.0
Somente extensões de VM aprovadas devem ser instaladas	Esta política rege as extensões de máquina virtual que não são aprovadas.	Auditoria, Negar, Desativado	1.0.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Revise o relatório de deteções de malware semanalmente	CMA_0475 - Revise o relatório de deteções de malware semanalmente	Manual, Desativado	1.1.0
Revise o status de proteção contra ameaças semanalmente	CMA_0479 - Revise o status de proteção contra ameaças semanalmente	Manual, Desativado	1.1.0
As contas de armazenamento devem permitir o acesso a partir de serviços confiáveis da Microsoft	Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes às quais não é possível conceder acesso através de regras de rede. Para ajudar esse tipo de serviço a funcionar como pretendido, permita que o conjunto de serviços confiáveis da Microsoft ignore as regras de rede. Esses serviços usarão autenticação forte para acessar a conta de armazenamento.	Auditoria, Negar, Desativado	1.0.0
Atualizar definições de antivírus	CMA_0517 - Atualizar definições de antivírus	Manual, Desativado	1.1.0
Verificar a integridade do software, firmware e informações	CMA_0542 - Verificar a integridade do software, firmware e informação	Manual, Desativado	1.1.0
Exibir e configurar dados de diagnóstico do sistema	CMA_0544 - Exibir e configurar dados de diagnóstico do sistema	Manual, Desativado	1.1.0
A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema	A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol	AuditIfNotExists, desativado	1.0.1
As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure	Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure.	AuditIfNotExists, desativado	2.0.0

Operações do Sistema

Deteção e monitorização de novas vulnerabilidades

ID: SOC 2 Tipo 2 CC7.1 Propriedade: Compartilhada

Monitorar componentes do sistema quanto a comportamentos anômalos

ID: SOC 2 Tipo 2 CC7.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
[Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada	A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, desativado	6.0.0-pré-visualização
Deve existir um alerta de registo de atividades para operações administrativas específicas	Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados.	AuditIfNotExists, desativado	1.0.0
Deve existir um alerta de registo de atividades para operações de Política específicas	Esta política audita operações de política específicas sem alertas de registro de atividades configurados.	AuditIfNotExists, desativado	3.0.0
Deve existir um alerta de registo de atividades para operações de segurança específicas	Esta política audita operações de segurança específicas sem alertas de registro de atividades configurados.	AuditIfNotExists, desativado	1.0.0
O Azure Defender for App Service deve estar habilitado	O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web.	AuditIfNotExists, desativado	1.0.3
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados	O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais.	AuditIfNotExists, desativado	1.0.2
O Azure Defender for Key Vault deve ser habilitado	O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves.	AuditIfNotExists, desativado	1.0.3
O Azure Defender para bancos de dados relacionais de código aberto deve ser habilitado	O Azure Defender para bancos de dados relacionais de código aberto deteta atividades anômalas indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: habilitar esse plano resultará em cobranças para proteger seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center	AuditIfNotExists, desativado	1.0.0
O Azure Defender for Resource Manager deve estar habilitado	O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center .	AuditIfNotExists, desativado	1.0.0
O Azure Defender para servidores deve estar habilitado	O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas.	AuditIfNotExists, desativado	1.0.3
Azure Defender para SQL servidores em máquinas deve ser habilitado	O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais.	AuditIfNotExists, desativado	1.0.2
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos	Audite servidores SQL sem Segurança de Dados Avançada	AuditIfNotExists, desativado	2.0.1
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas	Audite cada instância gerenciada SQL sem segurança de dados avançada.	AuditIfNotExists, desativado	1.0.2
Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado	O Microsoft Defender for Containers fornece recursos de segurança Kubernetes nativos da nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o SecurityProfile.AzureDefender no cluster do Serviço Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais sobre o Microsoft Defender for Containers em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks	Auditoria, Desativado	2.0.1
Detetar serviços de rede que não foram autorizados ou aprovados	CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados	Manual, Desativado	1.1.0
Governar e monitorar as atividades de processamento de auditoria	CMA_0289 - Governar e monitorar as atividades de processamento de auditoria	Manual, Desativado	1.1.0
Microsoft Defender for Containers deve estar habilitado	O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem.	AuditIfNotExists, desativado	1.0.0
O Microsoft Defender for Storage deve estar habilitado	O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos.	AuditIfNotExists, desativado	1.0.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
O Windows Defender Exploit Guard deve ser ativado nas suas máquinas	O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows).	AuditIfNotExists, desativado	2.0.0

Deteção de incidentes de segurança

ID: SOC 2 Tipo 2 CC7.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Rever e atualizar políticas e procedimentos de resposta a incidentes	CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes	Manual, Desativado	1.1.0

Resposta a incidentes de segurança

ID: SOC 2 Tipo 2 CC7.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Avaliar eventos de segurança da informação	CMA_0013 - Avaliar eventos de segurança da informação	Manual, Desativado	1.1.0
Coordenar planos de contingência com planos relacionados	CMA_0086 - Coordenar planos de contingência com planos relacionados	Manual, Desativado	1.1.0
Desenvolver um plano de resposta a incidentes	CMA_0145 - Desenvolver um plano de resposta a incidentes	Manual, Desativado	1.1.0
Desenvolver proteções de segurança	CMA_0161 - Desenvolver salvaguardas de segurança	Manual, Desativado	1.1.0
A notificação por e-mail para alertas de alta gravidade deve ser ativada	Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança.	AuditIfNotExists, desativado	1.1.0
A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada	Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança.	AuditIfNotExists, desativado	2.1.0
Ativar a proteção de rede	CMA_0238 - Ativar a proteção de rede	Manual, Desativado	1.1.0
Erradicar a informação contaminada	CMA_0253 - Erradicar a informação contaminada	Manual, Desativado	1.1.0
Executar ações em resposta a vazamentos de informações	CMA_0281 - Executar ações em resposta a vazamentos de informações	Manual, Desativado	1.1.0
Identificar classes de incidentes e ações tomadas	CMA_C1365 - Identificar classes de incidentes e ações tomadas	Manual, Desativado	1.1.0
Implementar o tratamento de incidentes	CMA_0318 - Implementar o tratamento de incidentes	Manual, Desativado	1.1.0
Incluir reconfiguração dinâmica de recursos implantados pelo cliente	CMA_C1364 - Incluir a reconfiguração dinâmica dos recursos implantados pelo cliente	Manual, Desativado	1.1.0
Manter o plano de resposta a incidentes	CMA_0352 - Manter o plano de resposta a incidentes	Manual, Desativado	1.1.0
O Inspetor de Rede deve estar ativado	O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica.	AuditIfNotExists, desativado	3.0.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança	Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança.	AuditIfNotExists, desativado	1.0.1
Exibir e investigar usuários restritos	CMA_0545 - Ver e investigar utilizadores restritos	Manual, Desativado	1.1.0

Recuperação de incidentes de segurança identificados

ID: SOC 2 Tipo 2 CC7.5 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Avaliar eventos de segurança da informação	CMA_0013 - Avaliar eventos de segurança da informação	Manual, Desativado	1.1.0
Realizar testes de resposta a incidentes	CMA_0060 - Realizar testes de resposta a incidentes	Manual, Desativado	1.1.0
Coordenar planos de contingência com planos relacionados	CMA_0086 - Coordenar planos de contingência com planos relacionados	Manual, Desativado	1.1.0
Coordenar com organizações externas para alcançar a perspetiva transversal da organização	CMA_C1368 - Coordenar com organizações externas para alcançar uma perspetiva transversal à organização	Manual, Desativado	1.1.0
Desenvolver um plano de resposta a incidentes	CMA_0145 - Desenvolver um plano de resposta a incidentes	Manual, Desativado	1.1.0
Desenvolver proteções de segurança	CMA_0161 - Desenvolver salvaguardas de segurança	Manual, Desativado	1.1.0
A notificação por e-mail para alertas de alta gravidade deve ser ativada	Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança.	AuditIfNotExists, desativado	1.1.0
A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada	Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança.	AuditIfNotExists, desativado	2.1.0
Ativar a proteção de rede	CMA_0238 - Ativar a proteção de rede	Manual, Desativado	1.1.0
Erradicar a informação contaminada	CMA_0253 - Erradicar a informação contaminada	Manual, Desativado	1.1.0
Estabeleça um programa de segurança da informação	CMA_0263 - Estabelecer um programa de segurança da informação	Manual, Desativado	1.1.0
Executar ações em resposta a vazamentos de informações	CMA_0281 - Executar ações em resposta a vazamentos de informações	Manual, Desativado	1.1.0
Implementar o tratamento de incidentes	CMA_0318 - Implementar o tratamento de incidentes	Manual, Desativado	1.1.0
Manter o plano de resposta a incidentes	CMA_0352 - Manter o plano de resposta a incidentes	Manual, Desativado	1.1.0
O Inspetor de Rede deve estar ativado	O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica.	AuditIfNotExists, desativado	3.0.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Executar ataques de simulação	CMA_0486 - Executar ataques de simulação	Manual, Desativado	1.1.0
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança	Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança.	AuditIfNotExists, desativado	1.0.1
Exibir e investigar usuários restritos	CMA_0545 - Ver e investigar utilizadores restritos	Manual, Desativado	1.1.0

Gestão de Alterações

Alterações na infraestrutura, nos dados e no software

ID: SOC 2 Tipo 2 CC8.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
[Preterido]: Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitados	Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente clientes com certificados válidos poderão acessar o aplicativo. Esta política foi substituída por uma nova política com o mesmo nome porque Http 2.0 não suporta certificados de cliente.	Auditoria, Desativado	3.1.0-preterido
[Preview]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Linux suportadas	Instale a extensão Atestado de Convidado em máquinas virtuais Linux suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a máquinas virtuais Linux Trusted Launch e Confidential.	AuditIfNotExists, desativado	6.0.0-pré-visualização
[Preview]: A extensão Guest Attestation deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Linux suportados	Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais Linux suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se aos conjuntos de dimensionamento de máquinas virtuais Linux Confiáveis e Confidenciais.	AuditIfNotExists, desativado	5.1.0-Pré-visualização
[Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Windows suportadas	Instale a extensão Atestado de Convidado em máquinas virtuais suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a máquinas virtuais Windows Confiáveis e Confidenciais.	AuditIfNotExists, desativado	4.0.0-Pré-visualização
[Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Windows suportados	Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais com suporte para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se aos conjuntos de dimensionamento de máquinas virtuais Windows Confiáveis e Confidenciais.	AuditIfNotExists, desativado	3.1.0-Pré-visualização
[Pré-visualização]: O Arranque Seguro deve ser ativado em máquinas virtuais Windows suportadas	Habilite a Inicialização Segura em máquinas virtuais Windows suportadas para mitigar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. Esta avaliação aplica-se a máquinas virtuais Windows Confiáveis e Confidenciais.	Auditoria, Desativado	4.0.0-Pré-visualização
[Pré-visualização]: o vTPM deve ser ativado em máquinas virtuais suportadas	Habilite o dispositivo TPM virtual em máquinas virtuais suportadas para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para inicialização confiável.	Auditoria, Desativado	2.0.0-pré-visualização
Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados	Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1.	AuditIfNotExists, desativado	1.0.0
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada	A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada.	AuditIfNotExists, desativado	2.0.0
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos	O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo.	AuditIfNotExists, desativado	2.0.0
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente	Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desativado	4.0.0
Auditar VMs que não usam discos gerenciados	Esta política audita VMs que não utilizam discos geridos	auditoria	1.0.0
Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada	A extensão da Política do Azure para o Azure Arc fornece imposições e proteções em escala em seus clusters Kubernetes habilitados para Arc de maneira centralizada e consistente. Saiba mais em https://aka.ms/akspolicydoc.	AuditIfNotExists, desativado	1.1.0
O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters	O Complemento de Política do Azure para o serviço Kubernetes (AKS) estende o Gatekeeper v3, um webhook de controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente.	Auditoria, Desativado	1.0.2
Realizar uma análise de impacto na segurança	CMA_0057 - Realizar uma análise de impacto na segurança	Manual, Desativado	1.1.0
Configurar ações para dispositivos não compatíveis	CMA_0062 - Configurar ações para dispositivos não compatíveis	Manual, Desativado	1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	Manual, Desativado	1.1.0
Desenvolver e manter configurações de linha de base	CMA_0153 - Desenvolver e manter configurações de linha de base	Manual, Desativado	1.1.0
Impor definições de configuração de segurança	CMA_0249 - Impor definições de configuração de segurança	Manual, Desativado	1.1.0
Estabelecer uma placa de controle de configuração	CMA_0254 - Estabelecer uma placa de controle de configuração	Manual, Desativado	1.1.0
Estabelecer uma estratégia de gestão de riscos	CMA_0258 - Estabelecer uma estratégia de gestão de riscos	Manual, Desativado	1.1.0
Estabelecer e documentar um plano de gerenciamento de configuração	CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração	Manual, Desativado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 - Estabelecer e documentar processos de controlo de alterações	Manual, Desativado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desativado	1.1.0
Os aplicativos de função devem ter a depuração remota desativada	A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada.	AuditIfNotExists, desativado	2.0.0
Os aplicativos de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos	O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function.	AuditIfNotExists, desativado	2.0.0
Os aplicativos de função devem usar a 'Versão HTTP' mais recente	Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desativado	4.0.0
A extensão Configuração do Convidado deve ser instalada em suas máquinas	Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol.	AuditIfNotExists, desativado	1.0.3
Implementar uma ferramenta automatizada de gerenciamento de configuração	CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração	Manual, Desativado	1.1.0
Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados	Imponha limites de recursos de CPU e memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	9.2.0
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host	Bloqueie os contêineres de pod de compartilhar o namespace de ID de processo do host e o namespace IPC do host em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	5.1.0
Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor	Os contêineres só devem usar perfis AppArmor permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	6.1.1
Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos	Restrinja os recursos para reduzir a superfície de ataque de contêineres em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	6.1.0
Os contêineres de cluster do Kubernetes só devem usar imagens permitidas	Use imagens de registros confiáveis para reduzir o risco de exposição do cluster Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	9.2.0
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura	Execute contêineres com um sistema de arquivos raiz somente leitura para proteger contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	6.2.0
Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos	Limite as montagens de volume do pod HostPath aos caminhos de host permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	6.1.1
Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados	Controle os IDs de usuário, grupo primário, grupo suplementar e grupo do sistema de arquivos que pods e contêineres podem usar para executar em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	6.1.1
Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas	Restrinja o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	6.1.0
Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas	Restrinja os serviços para escutar apenas nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	8.1.0
O cluster do Kubernetes não deve permitir contêineres privilegiados	Não permita a criação de contêineres privilegiados em um cluster do Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	9.1.0
Os clusters Kubernetes devem desativar as credenciais de API de montagem automática	Desative as credenciais de API de montagem automática para impedir que um recurso de Pod potencialmente comprometido execute comandos de API em clusters Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	4.1.0
Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner	Não permita que contêineres sejam executados com escalonamento de privilégios para enraizar em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	7.1.0
Os clusters Kubernetes não devem conceder recursos de segurança CAP_SYS_ADMIN	Para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	5.1.0
Os clusters Kubernetes não devem usar o namespace padrão	Impeça o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, veja https://aka.ms/kubepolicydoc.	auditoria, auditoria, negar, negar, desativado, desativado	4.1.0
As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure	Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure.	AuditIfNotExists, desativado	2.2.0
Somente extensões de VM aprovadas devem ser instaladas	Esta política rege as extensões de máquina virtual que não são aprovadas.	Auditoria, Negar, Desativado	1.0.0
Realizar uma avaliação de impacto na privacidade	CMA_0387 - Realizar uma avaliação de impacto na privacidade	Manual, Desativado	1.1.0
Realizar uma avaliação de risco	CMA_0388 - Realizar uma avaliação de risco	Manual, Desativado	1.1.0
Realizar auditoria para controle de alterações de configuração	CMA_0390 - Realizar auditoria para controle de alterações de configuração	Manual, Desativado	1.1.0
As contas de armazenamento devem permitir o acesso a partir de serviços confiáveis da Microsoft	Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes às quais não é possível conceder acesso através de regras de rede. Para ajudar esse tipo de serviço a funcionar como pretendido, permita que o conjunto de serviços confiáveis da Microsoft ignore as regras de rede. Esses serviços usarão autenticação forte para acessar a conta de armazenamento.	Auditoria, Negar, Desativado	1.0.0
A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema	A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol	AuditIfNotExists, desativado	1.0.1
As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure	Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure.	AuditIfNotExists, desativado	2.0.0

Mitigação de riscos

Atividades de mitigação de riscos

ID: SOC 2 Tipo 2 CC9.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Determinar as necessidades de proteção de informações	CMA_C1750 - Determinar as necessidades de proteção de informações	Manual, Desativado	1.1.0
Estabelecer uma estratégia de gestão de riscos	CMA_0258 - Estabelecer uma estratégia de gestão de riscos	Manual, Desativado	1.1.0
Realizar uma avaliação de risco	CMA_0388 - Realizar uma avaliação de risco	Manual, Desativado	1.1.0

Gestão de riscos de fornecedores e parceiros de negócios

ID: SOC 2 Tipo 2 CC9.2 Propriedade: Compartilhada

Critérios adicionais de privacidade

Aviso de privacidade

ID: SOC 2 Tipo 2 P1.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Documentar e distribuir uma política de privacidade	CMA_0188 - Documentar e distribuir uma política de privacidade	Manual, Desativado	1.1.0
Garantir que as informações do programa de privacidade estejam disponíveis publicamente	CMA_C1867 - Garantir que as informações do programa de privacidade estejam disponíveis publicamente	Manual, Desativado	1.1.0
Implementar métodos de entrega de aviso de privacidade	CMA_0324 - Implementar métodos de entrega de avisos de privacidade	Manual, Desativado	1.1.0
Fornecer aviso de privacidade	CMA_0414 - Fornecer aviso de privacidade	Manual, Desativado	1.1.0
Fornecer aviso de privacidade ao público e aos indivíduos	CMA_C1861 - Fornecer aviso de privacidade ao público e aos indivíduos	Manual, Desativado	1.1.0

ID: SOC 2 Tipo 2 P2.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Documentar a aceitação dos requisitos de privacidade pelo pessoal	CMA_0193 - Documentar a aceitação dos requisitos de privacidade pelo pessoal	Manual, Desativado	1.1.0
Implementar métodos de entrega de aviso de privacidade	CMA_0324 - Implementar métodos de entrega de avisos de privacidade	Manual, Desativado	1.1.0
Obter consentimento antes da recolha ou tratamento de dados pessoais	CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais	Manual, Desativado	1.1.0
Fornecer aviso de privacidade	CMA_0414 - Fornecer aviso de privacidade	Manual, Desativado	1.1.0

Recolha consistente de informações pessoais

ID: SOC 2 Tipo 2 P3.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Determinar a autoridade legal para coletar PII	CMA_C1800 - Determinar a autoridade legal para coletar PII	Manual, Desativado	1.1.0
Processo documental para garantir a integridade das PII	CMA_C1827 - Processo documental para garantir a integridade das PII	Manual, Desativado	1.1.0
Avaliar e rever regularmente as participações em PII	CMA_C1832 - Avaliar e rever regularmente as participações em PII	Manual, Desativado	1.1.0
Obter consentimento antes da recolha ou tratamento de dados pessoais	CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais	Manual, Desativado	1.1.0

ID: SOC 2 Tipo 2 P3.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Coletar PII diretamente do indivíduo	CMA_C1822 - Coletar PII diretamente do indivíduo	Manual, Desativado	1.1.0
Obter consentimento antes da recolha ou tratamento de dados pessoais	CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais	Manual, Desativado	1.1.0

Uso de informações pessoais

ID: SOC 2 Tipo 2 P4.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Documentar a base jurídica para o processamento de informações pessoais	CMA_0206 - Documentar a base jurídica para o processamento de informações pessoais	Manual, Desativado	1.1.0
Implementar métodos de entrega de aviso de privacidade	CMA_0324 - Implementar métodos de entrega de avisos de privacidade	Manual, Desativado	1.1.0
Obter consentimento antes da recolha ou tratamento de dados pessoais	CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais	Manual, Desativado	1.1.0
Fornecer aviso de privacidade	CMA_0414 - Fornecer aviso de privacidade	Manual, Desativado	1.1.0
Restringir comunicações	CMA_0449 - Restringir comunicações	Manual, Desativado	1.1.0

Retenção de informações pessoais

ID: SOC 2 Tipo 2 P4.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Aderir aos períodos de retenção definidos	CMA_0004 - Respeitar os períodos de retenção definidos	Manual, Desativado	1.1.0
Processo documental para garantir a integridade das PII	CMA_C1827 - Processo documental para garantir a integridade das PII	Manual, Desativado	1.1.0

Eliminação de informações pessoais

ID: SOC 2 Tipo 2 P4.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Realizar revisão de disposição	CMA_0391 - Realizar revisão de disposição	Manual, Desativado	1.1.0
Verificar se os dados pessoais são apagados no final do processamento	CMA_0540 - Verificar se os dados pessoais são apagados no final do tratamento	Manual, Desativado	1.1.0

Acesso a informações pessoais

ID: SOC 2 Tipo 2 P5.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Implementar métodos para solicitações de consumidores	CMA_0319 - Implementar métodos para solicitações de consumidores	Manual, Desativado	1.1.0
Publicar regras e regulamentos que acessam os registros da Lei de Privacidade	CMA_C1847 - Publicar regras e regulamentos acessando os registros da Lei de Privacidade	Manual, Desativado	1.1.0

Correção de informações pessoais

ID: SOC 2 Tipo 2 P5.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Responder a pedidos de retificação	CMA_0442 - Responder a pedidos de retificação	Manual, Desativado	1.1.0

Divulgação de informações pessoais por terceiros

ID: SOC 2 Tipo 2 P6.1 Propriedade: Compartilhada

Divulgação autorizada de registro de informações pessoais

ID: SOC 2 Tipo 2 P6.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Manter uma contabilidade precisa das divulgações de informações	CMA_C1818 - Manter a contabilidade precisa das divulgações de informações	Manual, Desativado	1.1.0

Divulgação não autorizada de registro de informações pessoais

ID: SOC 2 Tipo 2 P6.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Manter uma contabilidade precisa das divulgações de informações	CMA_C1818 - Manter a contabilidade precisa das divulgações de informações	Manual, Desativado	1.1.0

Contratos com terceiros

ID: SOC 2 Tipo 2 P6.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Definir as funções dos transformadores	CMA_0127 - Definir as funções dos transformadores	Manual, Desativado	1.1.0

Notificação de divulgação não autorizada de terceiros

ID: SOC 2 Tipo 2 P6.5 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Determinar as obrigações contratuais do fornecedor	CMA_0140 - Determinar as obrigações contratuais do fornecedor	Manual, Desativado	1.1.0
Critérios de aceitação do contrato de aquisição de documentos	CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos	Manual, Desativado	1.1.0
Proteção documental de dados pessoais em contratos de aquisição	CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição	Manual, Desativado	1.1.0
Proteção de documentos de informações de segurança em contratos de aquisição	CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição	Manual, Desativado	1.1.0
Documentar os requisitos para a utilização de dados partilhados em contratos	CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos	Manual, Desativado	1.1.0
Documentar os requisitos de garantia de segurança nos contratos de aquisição	CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição	Manual, Desativado	1.1.0
Documentar os requisitos de documentação de segurança no contrato de aquisição	CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição	Manual, Desativado	1.1.0
Requisitos funcionais de segurança documental em contratos de aquisição	CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição	Manual, Desativado	1.1.0
Documentar os requisitos de segurança nos contratos de aquisição	CMA_0203 - Documentar requisitos de segurança em contratos de aquisição	Manual, Desativado	1.1.0
Documentar o ambiente do sistema de informação nos contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição	Manual, Desativado	1.1.0
Documentar a proteção dos dados do titular do cartão em contratos com terceiros	CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros	Manual, Desativado	1.1.0
Segurança da informação e proteção de dados pessoais	CMA_0332 - Segurança da informação e proteção de dados pessoais	Manual, Desativado	1.1.0

Notificação de incidentes de privacidade

ID: SOC 2 Tipo 2 P6.6 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Desenvolver um plano de resposta a incidentes	CMA_0145 - Desenvolver um plano de resposta a incidentes	Manual, Desativado	1.1.0
Segurança da informação e proteção de dados pessoais	CMA_0332 - Segurança da informação e proteção de dados pessoais	Manual, Desativado	1.1.0

Contabilização da divulgação de informações pessoais

ID: SOC 2 Tipo 2 P6.7 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Implementar métodos de entrega de aviso de privacidade	CMA_0324 - Implementar métodos de entrega de avisos de privacidade	Manual, Desativado	1.1.0
Manter uma contabilidade precisa das divulgações de informações	CMA_C1818 - Manter a contabilidade precisa das divulgações de informações	Manual, Desativado	1.1.0
Disponibilizar a contabilização das divulgações mediante solicitação	CMA_C1820 - Disponibilizar a contabilização das divulgações mediante solicitação	Manual, Desativado	1.1.0
Fornecer aviso de privacidade	CMA_0414 - Fornecer aviso de privacidade	Manual, Desativado	1.1.0
Restringir comunicações	CMA_0449 - Restringir comunicações	Manual, Desativado	1.1.0

Qualidade da informação pessoal

ID: SOC 2 Tipo 2 P7.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Confirmar a qualidade e integridade das PII	CMA_C1821 - Confirmar a qualidade e integridade das PII	Manual, Desativado	1.1.0
Emitir diretrizes para garantir a qualidade e integridade dos dados	CMA_C1824 - Emitir diretrizes para garantir a qualidade e integridade dos dados	Manual, Desativado	1.1.0
Verificar PII imprecisas ou desatualizadas	CMA_C1823 - Verificar PII imprecisas ou desatualizadas	Manual, Desativado	1.1.0

Gestão de reclamações de privacidade e gestão de conformidade

ID: SOC 2 Tipo 2 P8.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Documentar e implementar procedimentos de reclamação de privacidade	CMA_0189 - Documentar e implementar procedimentos de reclamação de privacidade	Manual, Desativado	1.1.0
Avaliar e rever regularmente as participações em PII	CMA_C1832 - Avaliar e rever regularmente as participações em PII	Manual, Desativado	1.1.0
Segurança da informação e proteção de dados pessoais	CMA_0332 - Segurança da informação e proteção de dados pessoais	Manual, Desativado	1.1.0
Responda a reclamações, preocupações ou perguntas em tempo hábil	CMA_C1853 - Responda a reclamações, preocupações ou perguntas em tempo hábil	Manual, Desativado	1.1.0
Treinar a equipe sobre o compartilhamento de PII e suas consequências	CMA_C1871 - Treinar a equipe sobre o compartilhamento de PII e suas consequências	Manual, Desativado	1.1.0

Critérios adicionais para a integridade do processamento

Definições de processamento de dados

ID: SOC 2 Tipo 2 PI1.1 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Implementar métodos de entrega de aviso de privacidade	CMA_0324 - Implementar métodos de entrega de avisos de privacidade	Manual, Desativado	1.1.0
Fornecer aviso de privacidade	CMA_0414 - Fornecer aviso de privacidade	Manual, Desativado	1.1.0
Restringir comunicações	CMA_0449 - Restringir comunicações	Manual, Desativado	1.1.0

Entradas do sistema sobre completude e precisão

ID: SOC 2 Tipo 2 PI1.2 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Executar validação de entrada de informações	CMA_C1723 - Realizar validação de entrada de informações	Manual, Desativado	1.1.0

Processamento do sistema

ID: SOC 2 Tipo 2 PI1.3 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Controlar o acesso físico	CMA_0081 - Controle o acesso físico	Manual, Desativado	1.1.0
Gerar mensagens de erro	CMA_C1724 - Gerar mensagens de erro	Manual, Desativado	1.1.0
Gerencie a entrada, saída, processamento e armazenamento de dados	CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados	Manual, Desativado	1.1.0
Executar validação de entrada de informações	CMA_C1723 - Realizar validação de entrada de informações	Manual, Desativado	1.1.0
Revisar a atividade e a análise de rótulos	CMA_0474 - Revisar a atividade e a análise de rótulos	Manual, Desativado	1.1.0

A saída do sistema é completa, precisa e oportuna

ID: SOC 2 Tipo 2 PI1.4 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
Controlar o acesso físico	CMA_0081 - Controle o acesso físico	Manual, Desativado	1.1.0
Gerencie a entrada, saída, processamento e armazenamento de dados	CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados	Manual, Desativado	1.1.0
Revisar a atividade e a análise de rótulos	CMA_0474 - Revisar a atividade e a análise de rótulos	Manual, Desativado	1.1.0

Armazene entradas e saídas de forma completa, precisa e oportuna

ID: SOC 2 Tipo 2 PI1.5 Propriedade: Compartilhada

Nome _{(Portal do Azure)}	Description	Efeito(s)	Versão _(GitHub)
O Backup do Azure deve ser habilitado para Máquinas Virtuais	Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure.	AuditIfNotExists, desativado	3.0.0
Controlar o acesso físico	CMA_0081 - Controle o acesso físico	Manual, Desativado	1.1.0
Estabeleça políticas e procedimentos de backup	CMA_0268 - Estabelecer políticas e procedimentos de backup	Manual, Desativado	1.1.0
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB	O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor.	Auditoria, Desativado	1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL	O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor.	Auditoria, Desativado	1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL	O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor.	Auditoria, Desativado	1.0.1
Implementar controles para proteger todas as mídias	CMA_0314 - Implementar controles para proteger todas as mídias	Manual, Desativado	1.1.0
Gerencie a entrada, saída, processamento e armazenamento de dados	CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados	Manual, Desativado	1.1.0
Revisar a atividade e a análise de rótulos	CMA_0474 - Revisar a atividade e a análise de rótulos	Manual, Desativado	1.1.0
Armazene separadamente as informações de backup	CMA_C1293 - Armazene separadamente as informações de backup	Manual, Desativado	1.1.0

Próximos passos

Artigos adicionais sobre a Política do Azure:

Visão geral da conformidade regulamentar.
Consulte a estrutura de definição da iniciativa.
Analise outros exemplos em Exemplos de Política do Azure.
Veja Compreender os efeitos do Policy.
Saiba como corrigir recursos não compatíveis.