Detalhes da iniciativa SWIFT CSP v2021 Conformidade Regulamentar integrada

O seguinte artigo detalha como a Azure Policy conformidade regulamentar de definição de iniciativa incorporada mapeia para domínios e controlos de conformidade em [Preview]: SWIFT CSCF v2021. Para obter mais informações sobre esta norma de conformidade, consulte [Pré-visualização]: SWIFT CSCF v2021. Para compreender a Propriedade, consulte Azure Policy definição de política e responsabilidade partilhada na nuvem.

Os seguintes mapeamentos são para os controlos [Preview]: SWIFT CSCF v2021 . Utilize a navegação no direito de saltar diretamente para um domínio de conformidade específico. Muitos dos controlos são implementados com uma definição de iniciativa Azure Policy. Para rever a definição completa de iniciativa, abra a Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição de iniciativa incorporada [Preview]: SWIFT CSCF v2021 Conformidade Regulamentar incorporada.

Importante

Cada controlo abaixo está associado a uma ou mais definições Azure Policy. Estas políticas podem ajudá-lo a avaliar o cumprimento do controlo; no entanto, muitas vezes não há um para um ou um jogo completo entre um controlo e uma ou mais políticas. Como tal, o "Compliant in Azure Policy refere-se apenas às definições políticas em si; isto não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controlos que não são abordados por nenhuma Azure Policy definições neste momento. Portanto, o cumprimento em Azure Policy é apenas uma visão parcial do seu estado de conformidade geral. As associações entre domínios de conformidade, controlos e definições Azure Policy para esta norma de conformidade podem mudar ao longo do tempo. Para ver a história da mudança, veja o GitHub Commit History.

Proteção Ambiental SWIFT

Proteção Ambiental SWIFT

ID: SWIFT CSCF v2021 1.1

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Todo o tráfego de Internet deve ser encaminhado através do seu Azure Firewall implantado Centro de Segurança do Azure identificou que algumas das suas sub-redes não estão protegidas com uma firewall da próxima geração. Proteja as suas sub-redes de potenciais ameaças, restringindo-lhes o acesso com Azure Firewall ou uma firewall de próxima geração suportada AuditIfNotExists, Desativado 3.0.0-pré-visualização
[Pré-visualização]: A azure Key Vault deve desativar o acesso à rede pública Desative o acesso à rede pública para o seu cofre chave para que não seja acessível através da internet pública. Isto pode reduzir os riscos de fuga de dados. Saiba mais em: https://aka.ms/akvprivatelink. Auditoria, Negar, Deficientes 2.0.0-pré-visualização
[Pré-visualização]: O Registo de Contentores deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer registo de contentores não configurado para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0-pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais do Windows O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
[Pré-visualização]: O ponto final privado deve ser configurado para Key Vault O link privado fornece uma forma de ligar Key Vault aos seus recursos Azure sem enviar tráfego através da internet pública. A ligação privada fornece defesa em profundidade contra a exfiltração de dados. Auditoria, Negar, Deficientes 1.1.0-pré-visualização
Os controlos de aplicação adaptativos para definir aplicações seguras devem ser ativados nas suas máquinas Ative os controlos de aplicação para definir a lista de aplicações conhecidas e seguras em execução nas suas máquinas e alerte-o quando outras aplicações são executadas. Isto ajuda a endurecer as suas máquinas contra malware. Para simplificar o processo de configuração e manutenção das suas regras, o Security Center utiliza machine learning para analisar as aplicações em funcionamento em cada máquina e sugerir a lista de aplicações conhecidas e seguras. AuditIfNotExists, Desativado 3.0.0
Recomendações de endurecimento de rede adaptativas devem ser aplicadas na internet face a máquinas virtuais Centro de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais da Internet e fornece recomendações de regras do Grupo de Segurança da Rede que reduzem a potencial superfície de ataque AuditIfNotExists, Desativado 3.0.0
Todas as portas de rede devem ser restringidas em grupos de segurança de rede associados à sua máquina virtual Centro de Segurança do Azure identificou as regras de entrada de alguns dos seus grupos de segurança na rede como demasiado permissivas. As regras de entrada não devem permitir o acesso a partir das gamas "Qualquer" ou "Internet". Isto pode potencialmente permitir que os atacantes direcionem os seus recursos. AuditIfNotExists, Desativado 3.0.0
Serviço de Aplicações deve usar um ponto final de serviço de rede virtual Esta política audita quaisquer Serviço de Aplicações não configurados para utilizar um ponto final de serviço de rede virtual. AuditIfNotExists, Desativado 1.0.0
As gamas IP autorizadas devem ser definidas nos Serviços Kubernetes Restringir o acesso à API de Gestão de Serviços Kubernetes, concedendo acesso a API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso aos intervalos de IP autorizados para garantir que apenas aplicações de redes permitidas possam aceder ao cluster. Auditoria, Deficientes 2.0.1
A Padrão de Proteção Azure DDoS deve ser ativado A norma de proteção DDoS deve ser ativada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicações com um IP público. AuditIfNotExists, Desativado 3.0.0
Os registos de contentores devem utilizar ligação privada Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma de ligação privada trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus registos de contentores em vez de todo o serviço, também estará protegido contra riscos de fuga de dados. Saiba mais em: https://aka.ms/acr/private-link. Auditoria, Deficientes 1.0.1
Cosmos DB deve usar um ponto final de serviço de rede virtual Esta política audita qualquer DB cosmos não configurado para usar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
O Event Hub deve utilizar um ponto final de serviço de rede virtual Esta política audita qualquer Centro de Eventos não configurado para utilizar um ponto final de serviço de rede virtual. AuditIfNotExists, Desativado 1.0.0
Máquinas virtuais viradas para a Internet devem ser protegidas com grupos de segurança de rede Proteja as suas máquinas virtuais de potenciais ameaças, restringindo-lhes o acesso a grupos de segurança de rede (NSG). Saiba mais sobre o controlo do tráfego com os NSGs em https://aka.ms/nsg-doc AuditIfNotExists, Desativado 3.0.0
O encaminhamento IP na sua máquina virtual deve ser desativado Permitir o encaminhamento ip no NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O reencaminhamento IP raramente é necessário (por exemplo, quando se utiliza o VM como aparelho virtual de rede), pelo que este deve ser revisto pela equipa de segurança da rede. AuditIfNotExists, Desativado 3.0.0
Key Vault deve usar um ponto final de serviço de rede virtual Esta política audita quaisquer Key Vault não configuradas para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
Observador de Rede deve ser ativado Observador de Rede é um serviço regional que lhe permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, e a partir de Azure. A monitorização do nível do cenário permite diagnosticar problemas no final da vista do nível da rede. É necessário ter um grupo de recursos de observadores de rede a ser criado em todas as regiões onde uma rede virtual está presente. Um alerta é ativado se um grupo de recursos de observadores de rede não estiver disponível numa determinada região. AuditIfNotExists, Desativado 3.0.0
As ligações privadas de ponto final na base de dados SQL do Azure devem ser ativadas As ligações de ponto final privados impõem uma comunicação segura, permitindo a conectividade privada à SQL do Azure Base de Dados. Auditoria, Deficientes 1.1.0
O ponto final privado deve ser ativado para servidores MariaDB As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Azure Database for MariaDB. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O ponto final privado deve ser ativado para servidores MySQL As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Base de Dados do Azure para MySQL. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
O ponto final privado deve ser ativado para servidores PostgreSQL As ligações privadas de ponto final impõem uma comunicação segura, permitindo que a conectividade privada Base de Dados do Azure para PostgreSQL. Configure uma ligação de ponto final privado para permitir o acesso ao tráfego vindo apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo dentro do Azure. AuditIfNotExists, Desativado 1.0.2
Depuragem remota deve ser desligada para apps da API A depuragem remota requer a abertura de portas de entrada em aplicações API. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 1.0.0
Depuragem remota deve ser desligada para apps de funções A depuragem remota requer que as portas de entrada sejam abertas em aplicações de função. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 1.0.0
Depuragem remota deve ser desligada para aplicações web A depuragem remota requer a abertura de portas de entrada numa aplicação web. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 1.0.0
SQL Server deve usar um ponto final de serviço de rede virtual Esta política audita quaisquer SQL Server não configurados para utilizar um ponto final de serviço de rede virtual. AuditIfNotExists, Desativado 1.0.0
As contas de armazenamento devem restringir o acesso à rede O acesso à rede às contas de armazenamento deve ser restringido. Configure as regras de rede para que apenas aplicações de redes permitidas possam aceder à conta de armazenamento. Para permitir ligações de clientes específicos da Internet ou no local, o acesso pode ser concedido ao tráfego a partir de redes virtuais específicas do Azure ou de intervalos de endereços IP da Internet pública Auditoria, Negar, Deficientes 1.1.1
As Contas de Armazenamento devem utilizar um ponto final de serviço de rede virtual Esta política audita qualquer Conta de Armazenamento não configurada para utilizar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
As subnetas devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede de ameaças potenciais limitando-lhe o acesso a um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede à sua sub-rede. AuditIfNotExists, Desativado 3.0.0
Modelos de construtores de imagem VM devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus recursos de construção de VM Image Builder, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditoria, Deficientes, Negar 1.1.0

Controlo de Conta Privilegiada do Sistema Operativo

ID: SWIFT CSCF v2021 1.2

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um máximo de 3 proprietários deve ser designado para a sua subscrição Recomenda-se designar até 3 proprietários de subscrições para reduzir o potencial de violação por um proprietário comprometido. AuditIfNotExists, Desativado 3.0.0
Um administrador do Azure Ative Directory deve ser a provisionado para servidores SQL Fornecimento de auditoria de um administrador do Azure Ative Directory para o seu servidor SQL para permitir a autenticação Azure AD. Azure AD a autenticação permite uma gestão simplificada da permissão e uma gestão centralizada da identidade dos utilizadores de bases de dados e outros serviços da Microsoft AuditIfNotExists, Desativado 1.0.0
As contas precodidas devem ser removidas da sua subscrição As contas pregridas devem ser removidas das suas subscrições. Contas pregridadas são contas que foram impedidas de iniciar sessão. AuditIfNotExists, Desativado 3.0.0
Contas pregridas com permissões do proprietário devem ser removidas da sua subscrição As contas pregridas com permissões do proprietário devem ser removidas da sua subscrição. Contas pregridadas são contas que foram impedidas de iniciar sessão. AuditIfNotExists, Desativado 3.0.0
Contas externas com permissões do proprietário devem ser removidas da sua subscrição As contas externas com permissões do proprietário devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 3.0.0
As contas externas com permissões de leitura devem ser removidas da sua subscrição As contas externas com privilégios de leitura devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 3.0.0
As contas externas com permissões de escrita devem ser removidas da sua subscrição As contas externas com privilégios de escrita devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 3.0.0
As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time O acesso à rede Just In Time (JIT) será monitorizado por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
Depuragem remota deve ser desligada para apps da API A depuragem remota requer a abertura de portas de entrada em aplicações API. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 1.0.0
Depuragem remota deve ser desligada para apps de funções A depuragem remota requer que as portas de entrada sejam abertas em aplicações de função. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 1.0.0
Depuragem remota deve ser desligada para aplicações web A depuragem remota requer a abertura de portas de entrada numa aplicação web. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 1.0.0
Os clusters de tecido de serviço só devem utilizar o Azure Ative Directy para a autenticação do cliente Utilização de auditoria da autenticação do cliente apenas através do Azure Ative Directory in Service Fabric Auditoria, Negar, Deficientes 1.1.0
Deve haver mais de um proprietário atribuído à sua subscrição Recomenda-se designar mais do que um proprietário de subscrição para ter o administrador a ter acesso a despedimentos. AuditIfNotExists, Desativado 3.0.0

Proteção da Plataforma de Virtualização

ID: SWIFT CSCF v2021 1.3

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
VMs de auditoria que não utilizam discos geridos Esta política audita VMs que não usam discos geridos auditoria 1.0.0

Restrição do Acesso à Internet

ID: SWIFT CSCF v2021 1.4

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As gamas IP autorizadas devem ser definidas nos Serviços Kubernetes Restringir o acesso à API de Gestão de Serviços Kubernetes, concedendo acesso a API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso aos intervalos de IP autorizados para garantir que apenas aplicações de redes permitidas possam aceder ao cluster. Auditoria, Deficientes 2.0.1

Reduzir superfície de ataque e vulnerabilidades

Segurança interna Fluxo de Dados

ID: SWIFT CSCF v2021 2.1

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A API App só deve estar acessível em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 1.0.0
A autenticação nas máquinas Linux deve necessitar de chaves SSH Embora o próprio SSH forneça uma ligação encriptada, usar palavras-passe com SSH ainda deixa o VM vulnerável a ataques de força bruta. A opção mais segura para autenticar uma máquina virtual Azure Linux sobre SSH é com um par de chaves público-privado, também conhecido como teclas SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Desativado 3.0.0
As variáveis de conta de automação devem ser encriptadas É importante permitir a encriptação de ativos variáveis de conta de automação ao armazenar dados sensíveis Auditoria, Negar, Deficientes 1.1.0
SQL do Azure Database deve estar a executar a versão 1.2 ou mais recente do TLS Configurar a versão TLS para 1.2 ou mais recente melhora a segurança garantindo que a sua base de dados SQL do Azure só pode ser acedida a partir de clientes que utilizem TLS 1.2 ou mais recentes. A utilização de versões de TLS inferiores a 1.2 não é recomendada, uma vez que possuem vulnerabilidades de segurança bem documentadas. Auditoria, Deficientes, Negar 2.0.0
Garantir que a aplicação WEB tem "Certificados de Cliente (certificados de cliente incoming)" definidos para 'On' Os certificados de cliente permitem que a app solicite um certificado para pedidos de entrada. Apenas os clientes que tenham um certificado válido poderão chegar à aplicação. Auditoria, Deficientes 1.0.0
A App de função só deve estar acessível através do HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 1.0.0
Os clusters Kubernetes só devem estar acessíveis em HTTPS A utilização do HTTPS garante a autenticação e protege os dados em trânsito contra ataques de escutas de camadas de rede. Esta capacidade está atualmente disponível para o Serviço Kubernetes (AKS), e na pré-visualização para AKS Engine e Azure Arc ativado Kubernetes. Para mais informações, visite https://aka.ms/kubepolicydoc Auditoria, Negar, Deficientes 6.1.0
A versão TLS mais recente deve ser usada na sua App API Upgrade para a versão mais recente do TLS AuditIfNotExists, Desativado 1.0.0
A versão TLS mais recente deve ser usada na sua App de Função Upgrade para a versão mais recente do TLS AuditIfNotExists, Desativado 1.0.0
A versão mais recente do TLS deve ser usada na sua Web App Upgrade para a versão mais recente do TLS AuditIfNotExists, Desativado 1.0.0
A identidade gerida deve ser usada na sua App API Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 2.0.0
A identidade gerida deve ser usada na sua App de Função Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 2.0.0
A identidade gerida deve ser usada na sua Web App Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 2.0.0
Os clusters de tecido de serviço devem ter a propriedade ClusterProtectionLevel definida para EncryptAndSign O Tecido de Serviço fornece três níveis de proteção (Nenhum, Sinal e DesignAndSign) para comunicação nó-a-nó usando um certificado de cluster primário. Descreva o nível de proteção para garantir que todas as mensagens nó-a-nó sejam encriptadas e assinadas digitalmente Auditoria, Negar, Deficientes 1.1.0
SQL Managed Instance deve ter a versão TLS mínima de 1.2 Definir a versão mínima TLS para 1.2 melhora a segurança garantindo que o seu SQL Managed Instance só pode ser acedido a partir de clientes que utilizem O TLS 1.2. A utilização de versões de TLS inferiores a 1.2 não é recomendada, uma vez que possuem vulnerabilidades de segurança bem documentadas. Auditoria, Deficientes 1.0.1
A Aplicação Web só deve ser acessível em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 1.0.0
Os servidores web do Windows devem ser configurados para utilizar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas através da Internet, os seus servidores web devem utilizar a versão mais recente do protocolo criptográfico padrão da indústria, Transport Layer Security (TLS). O TLS assegura as comunicações através de uma rede utilizando certificados de segurança para encriptar uma ligação entre máquinas. AuditIfNotExists, Desativado 4.0.0

Atualizações de Segurança

ID: SWIFT CSCF v2021 2.2

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar VMs do Windows com um reboot pendente Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina estiver pendente de reiniciar por qualquer uma das seguintes razões: manutenção baseada em componentes, Windows Update, rebatizador de ficheiros pendentes, pendente de renomeamento do computador, gestor de configuração pendente de reinicialização. Cada deteção tem um caminho de registo único. auditIfNotExists 2.0.0
As atualizações do sistema em conjuntos de escala de máquinas virtuais devem ser instaladas Audite se existem atualizações de segurança do sistema em falta e atualizações críticas que deverão ser instaladas para garantir que os conjuntos de escala de máquinas virtuais Windows e Linux estão seguros. AuditIfNotExists, Desativado 3.0.0
As atualizações de sistema devem ser instaladas nos seus computadores As atualizações do sistema de segurança em falta nos seus servidores serão monitorizadas por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 4.0.0

Endurecimento do sistema

ID: SWIFT CSCF v2021 2.3

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar máquinas Linux que não têm as permissões de ficheiros passwd definidas para 0644 Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux não tiverem as permissões de ficheiros passwd definidas para 0644 AuditIfNotExists, Desativado 3.0.0
Auditar máquinas Windows que contenham certificados que expirem dentro do número especificado de dias Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se os certificados na loja especificada tiverem uma data de validade fora do alcance do número de dias dado como parâmetro. A apólice também oferece a opção de verificar apenas certificados específicos ou excluir certificados específicos, e se deve reportar sobre certificados caducados. auditIfNotExists 2.0.0
Auditar máquinas windows que não armazenam palavras-passe usando encriptação reversível Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas do Windows não armazenarem palavras-passe utilizando encriptação reversível AuditIfNotExists, Desativado 2.0.0
As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time O acesso à rede Just In Time (JIT) será monitorizado por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
Modelos de construtores de imagem VM devem usar link privado Azure Private Link permite-lhe ligar a sua rede virtual aos serviços Azure sem um endereço IP público na fonte ou destino. A plataforma Private Link trata da conectividade entre o consumidor e os serviços através da rede de espinha dorsal Azure. Ao mapear pontos finais privados para os seus recursos de construção de VM Image Builder, os riscos de fuga de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditoria, Deficientes, Negar 1.1.0

Segurança Fluxo de Dados de escritório

ID: SWIFT CSCF v2021 2.4A

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A API App só deve estar acessível em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 1.0.0
A autenticação nas máquinas Linux deve necessitar de chaves SSH Embora o próprio SSH forneça uma ligação encriptada, usar palavras-passe com SSH ainda deixa o VM vulnerável a ataques de força bruta. A opção mais segura para autenticar uma máquina virtual Azure Linux sobre SSH é com um par de chaves público-privado, também conhecido como teclas SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Desativado 3.0.0
As variáveis de conta de automação devem ser encriptadas É importante permitir a encriptação de ativos variáveis de conta de automação ao armazenar dados sensíveis Auditoria, Negar, Deficientes 1.1.0
Garantir que a aplicação WEB tem "Certificados de Cliente (certificados de cliente incoming)" definidos para 'On' Os certificados de cliente permitem que a app solicite um certificado para pedidos de entrada. Apenas os clientes que tenham um certificado válido poderão chegar à aplicação. Auditoria, Deficientes 1.0.0
A App de função só deve estar acessível através do HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 1.0.0
Apenas devem ser ativadas ligações seguras à sua Cache do Azure para Redis Auditoria que permite apenas ligações via SSL para Cache do Azure para Redis. A utilização de ligações seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, as escutas e o sequestro de sessão Auditoria, Negar, Deficientes 1.0.0
A Aplicação Web só deve ser acessível em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 1.0.0
Os servidores web do Windows devem ser configurados para utilizar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas através da Internet, os seus servidores web devem utilizar a versão mais recente do protocolo criptográfico padrão da indústria, Transport Layer Security (TLS). O TLS assegura as comunicações através de uma rede utilizando certificados de segurança para encriptar uma ligação entre máquinas. AuditIfNotExists, Desativado 4.0.0

Proteção de Dados de Transmissão Externa

ID: SWIFT CSCF v2021 2.5A

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A API App só deve estar acessível em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 1.0.0
Auditar máquinas virtuais sem recuperação de desastres configurada Auditar máquinas virtuais que não tenham recuperação de desastres configuradas. Para saber mais sobre a recuperação de desastres, visite https://aka.ms/asr-doc. auditIfNotExists 1.0.0
VMs de auditoria que não utilizam discos geridos Esta política audita VMs que não usam discos geridos auditoria 1.0.0
As variáveis de conta de automação devem ser encriptadas É importante permitir a encriptação de ativos variáveis de conta de automação ao armazenar dados sensíveis Auditoria, Negar, Deficientes 1.1.0
Azure Backup deve ser habilitado para Máquinas Virtuais Certifique-se de que o seu Azure Máquinas Virtuais, permitindo Azure Backup. Azure Backup é uma solução segura e eficaz de proteção de dados para a Azure. AuditIfNotExists, Desativado 3.0.0
Os registos de contentores devem ser encriptados com uma chave gerida pelo cliente Utilize as chaves geridas pelo cliente para gerir a encriptação no resto do conteúdo dos seus registos. Por padrão, os dados são encriptados em repouso com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são geralmente necessárias para cumprir as normas de conformidade regulatórias. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave Azure Key Vault criada e propriedade por si. Tem total controlo e responsabilidade pelo ciclo de vida chave, incluindo rotação e gestão. Saiba mais em https://aka.ms/acr/CMK. Auditoria, Negar, Deficientes 1.1.2
A App de função só deve estar acessível através do HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 1.0.0
O armazenamento geo-redundante deve ser ativado para contas de armazenamento Use geo-redundância para criar aplicações altamente disponíveis Auditoria, Deficientes 1.0.0
Backup geo-redundante a longo prazo deve ser ativado para SQL do Azure bases de dados Esta política audita qualquer SQL do Azure Base de Dados com cópias de segurança geo-redundantes a longo prazo não ativadas. AuditIfNotExists, Desativado 2.0.0
A transferência segura para contas de armazenamento deve ser ativada Requisito de auditoria de transferência Segura na sua conta de armazenamento. A transferência segura é uma opção que obriga a sua conta de armazenamento a aceitar pedidos apenas a partir de ligações seguras (HTTPS). A utilização do HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, a escuta e o sequestro de sessão Auditoria, Negar, Deficientes 2.0.0
A encriptação transparente de dados nas bases de dados SQL deve ser ativada A encriptação transparente de dados deve ser ativada para proteger os dados em repouso e cumprir os requisitos de conformidade AuditIfNotExists, Desativado 2.0.0
As máquinas virtuais devem encriptar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento Por padrão, o sistema operativo e os discos de dados de uma máquina virtual são encriptados em repouso utilizando chaves geridas pela plataforma. Os discos temporários, caches de dados e dados que fluem entre o cálculo e o armazenamento não são encriptados. Ignore esta recomendação se: 1. usando encriptação no hospedeiro, ou 2. a encriptação do lado do servidor no Managed Disks satisfaz os seus requisitos de segurança. Saiba mais em: Encriptação do lado do servidor do armazenamento do disco Azure: https://aka.ms/disksse, Diferentes ofertas de encriptação de discos: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Desativado 2.0.3
A Aplicação Web só deve ser acessível em HTTPS A utilização do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de escutas de camadas de rede. Auditoria, Deficientes 1.0.0

Confidencialidade e Integridade da Sessão do Operador

ID: SWIFT CSCF v2021 2.6

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
SQL do Azure Database deve estar a executar a versão 1.2 ou mais recente do TLS Configurar a versão TLS para 1.2 ou mais recente melhora a segurança garantindo que a sua base de dados SQL do Azure só pode ser acedida a partir de clientes que utilizem TLS 1.2 ou mais recentes. A utilização de versões de TLS inferiores a 1.2 não é recomendada, uma vez que possuem vulnerabilidades de segurança bem documentadas. Auditoria, Deficientes, Negar 2.0.0
A ligação SSL da Aplicação deve ser ativada para servidores de base de dados MySQL Base de Dados do Azure para MySQL suporta ligar o servidor Base de Dados do Azure para MySQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
A ligação SSL da Enforce deve ser ativada para servidores de base de dados PostgreSQL Base de Dados do Azure para PostgreSQL suporta ligar o servidor Base de Dados do Azure para PostgreSQL às aplicações do cliente utilizando a Camada de Tomadas Seguras (SSL). A aplicação das ligações SSL entre o servidor de base de dados e as aplicações do seu cliente ajuda a proteger contra ataques de "homem no meio", encriptando o fluxo de dados entre o servidor e a sua aplicação. Esta configuração impõe que o SSL esteja sempre ativado para aceder ao servidor de base de dados. Auditoria, Deficientes 1.0.1
A versão TLS mais recente deve ser usada na sua App API Upgrade para a versão mais recente do TLS AuditIfNotExists, Desativado 1.0.0
A versão TLS mais recente deve ser usada na sua App de Função Upgrade para a versão mais recente do TLS AuditIfNotExists, Desativado 1.0.0
A versão mais recente do TLS deve ser usada na sua Web App Upgrade para a versão mais recente do TLS AuditIfNotExists, Desativado 1.0.0
Apenas devem ser ativadas ligações seguras à sua Cache do Azure para Redis Auditoria que permite apenas ligações via SSL para Cache do Azure para Redis. A utilização de ligações seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, as escutas e o sequestro de sessão Auditoria, Negar, Deficientes 1.0.0
SQL Managed Instance deve ter a versão TLS mínima de 1.2 Definir a versão mínima TLS para 1.2 melhora a segurança garantindo que o seu SQL Managed Instance só pode ser acedido a partir de clientes que utilizem O TLS 1.2. A utilização de versões de TLS inferiores a 1.2 não é recomendada, uma vez que possuem vulnerabilidades de segurança bem documentadas. Auditoria, Deficientes 1.0.1
Os servidores web do Windows devem ser configurados para utilizar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas através da Internet, os seus servidores web devem utilizar a versão mais recente do protocolo criptográfico padrão da indústria, Transport Layer Security (TLS). O TLS assegura as comunicações através de uma rede utilizando certificados de segurança para encriptar uma ligação entre máquinas. AuditIfNotExists, Desativado 4.0.0

Digitalização de vulnerabilidades

ID: SWIFT CSCF v2021 2.7

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
Bases de dados SQL devem ter resultados de vulnerabilidade resolvidos Monitorize os resultados da avaliação da vulnerabilidade e recomendações sobre como remediar as vulnerabilidades da base de dados. AuditIfNotExists, Desativado 4.0.0
As vulnerabilidades nas configurações de segurança dos contentores devem ser remediadas Auditar vulnerabilidades na configuração de segurança em máquinas com Docker instalado e exibir como recomendações em Centro de Segurança do Azure. AuditIfNotExists, Desativado 3.0.0
As vulnerabilidades na configuração de segurança das suas máquinas devem ser remediadas Os servidores que não satisfaçam a linha de base configurada serão monitorizados por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0
As vulnerabilidades na configuração de segurança nos conjuntos de escala de máquina virtual devem ser remediadas Audite as vulnerabilidades do SO nos conjuntos de escala de máquinas virtuais para protegê-los de ataques. AuditIfNotExists, Desativado 3.0.0
As definições de Avaliação de Vulnerabilidade para servidor SQL devem conter um endereço de e-mail para receber relatórios de digitalização Certifique-se de que é fornecido um endereço de e-mail para o campo 'Enviar relatórios de verificação' nas definições de Avaliação de Vulnerabilidade. Este endereço de e-mail recebe o resumo do resultado da verificação depois de uma verificação periódica em servidores SQL. AuditIfNotExists, Desativado 2.0.0
A avaliação da vulnerabilidade deve ser ativada em SQL Managed Instance A auditoria a cada SQL Managed Instance que não tem avaliações de vulnerabilidade recorrentes ativadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir potenciais vulnerabilidades de base de dados. AuditIfNotExists, Desativado 1.0.1
A avaliação da vulnerabilidade deve ser ativada nos seus servidores SQL A auditoria SQL do Azure servidores que não têm verificações de avaliação de vulnerabilidade recorrentes ativadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir potenciais vulnerabilidades de base de dados. AuditIfNotExists, Desativado 2.0.0

Proteger fisicamente o Ambiente

Segurança Física

ID: SWIFT CSCF v2021 3.1

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
VMs de auditoria que não utilizam discos geridos Esta política audita VMs que não usam discos geridos auditoria 1.0.0

Impedir o Compromisso de Credenciais

Política de palavra-passe

ID: SWIFT CSCF v2021 4.1

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar máquinas Linux que permitem ligações remotas a partir de contas sem senhas Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux permitirem ligações remotas a partir de contas sem senhas AuditIfNotExists, Desativado 3.0.0
Auditar máquinas Linux que têm contas sem senhas Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux tiverem contas sem senhas AuditIfNotExists, Desativado 3.0.0
Auditar máquinas Windows que permitem reutilizar as 24 palavras-passe anteriores Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas windows permitirem a reutilização das 24 palavras-passe anteriores AuditIfNotExists, Desativado 2.0.0
Auditar máquinas Windows que não têm uma idade máxima de senha de 70 dias Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows não tiverem uma idade máxima de 70 dias de senha AuditIfNotExists, Desativado 2.0.0
Auditar máquinas Windows que não têm uma senha mínima de 1 dia Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows não tiverem uma idade mínima de 1 dia AuditIfNotExists, Desativado 2.0.0
Auditar máquinas Windows que não têm a definição de complexidade da palavra-passe ativada Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas windows que não têm a definição de complexidade da palavra-passe ativadas AuditIfNotExists, Desativado 2.0.0
Auditar máquinas Windows que não restringem o comprimento mínimo da palavra-passe a 14 caracteres Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas do Windows não restringirem o comprimento mínimo da palavra-passe a 14 caracteres AuditIfNotExists, Desativado 2.0.0

Multi-Factor Authentication

ID: SWIFT CSCF v2021 4.2

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A MFA deve ser ativada em contas com permissões de escrita na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de escrita para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0
MFA deve ser ativado em contas com permissões do proprietário na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com permissões do proprietário para evitar uma violação de contas ou recursos. AuditIfNotExists, Desativado 3.0.0
MFA deve ser ativado em contas com permissões de leitura na sua subscrição A Autenticação Multi-Factor (MFA) deve ser ativada para todas as contas de subscrição com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, Desativado 3.0.0

Gerir identidades e privilégios segregadores

Controlo de Acesso lógica

ID: SWIFT CSCF v2021 5.1

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um máximo de 3 proprietários deve ser designado para a sua subscrição Recomenda-se designar até 3 proprietários de subscrições para reduzir o potencial de violação por um proprietário comprometido. AuditIfNotExists, Desativado 3.0.0
As contas precodidas devem ser removidas da sua subscrição As contas pregridas devem ser removidas das suas subscrições. Contas pregridadas são contas que foram impedidas de iniciar sessão. AuditIfNotExists, Desativado 3.0.0
Contas pregridas com permissões do proprietário devem ser removidas da sua subscrição As contas pregridas com permissões do proprietário devem ser removidas da sua subscrição. Contas pregridadas são contas que foram impedidas de iniciar sessão. AuditIfNotExists, Desativado 3.0.0
Contas externas com permissões do proprietário devem ser removidas da sua subscrição As contas externas com permissões do proprietário devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 3.0.0
As contas externas com permissões de leitura devem ser removidas da sua subscrição As contas externas com privilégios de leitura devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 3.0.0
As contas externas com permissões de escrita devem ser removidas da sua subscrição As contas externas com privilégios de escrita devem ser removidas da sua subscrição de forma a evitar o acesso não monitorizado. AuditIfNotExists, Desativado 3.0.0
Deve haver mais de um proprietário atribuído à sua subscrição Recomenda-se designar mais do que um proprietário de subscrição para ter o administrador a ter acesso a despedimentos. AuditIfNotExists, Desativado 3.0.0

Gestão de Token

ID: SWIFT CSCF v2021 5.2

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A identidade gerida deve ser usada na sua App API Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 2.0.0
A identidade gerida deve ser usada na sua App de Função Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 2.0.0
A identidade gerida deve ser usada na sua Web App Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 2.0.0
As portas de gestão das máquinas virtuais devem ser protegidas com controlo de acesso à rede just-in-time O acesso à rede Just In Time (JIT) será monitorizado por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0

Armazenamento de senhas físicas e lógicas

ID: SWIFT CSCF v2021 5.4

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar máquinas windows que não armazenam palavras-passe usando encriptação reversível Requer que os pré-requisitos sejam aplicados no âmbito de atribuição de políticas. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas do Windows não armazenarem palavras-passe utilizando encriptação reversível AuditIfNotExists, Desativado 2.0.0
Os cofres-chave devem ter proteção de purga ativada A eliminação maliciosa de um cofre chave pode levar à perda permanente de dados. Um infiltrado malicioso na sua organização pode potencialmente apagar e purgar cofres de chaves. A proteção de purga protege-o de ataques de infiltrados, impondo um período de retenção obrigatório para cofres-chave apagados suaves. Ninguém dentro da sua organização ou microsoft será capaz de limpar os seus cofres chave durante o período de retenção de eliminação suave. Auditoria, Negar, Deficientes 2.0.0
A identidade gerida deve ser usada na sua App API Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 2.0.0
A identidade gerida deve ser usada na sua App de Função Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 2.0.0
A identidade gerida deve ser usada na sua Web App Utilize uma identidade gerida para segurança de autenticação reforçada AuditIfNotExists, Desativado 2.0.0

Detetar atividades anómalas em sistemas ou registos de transações

Proteção contra malware

ID: SWIFT CSCF v2021 6.1

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A solução de proteção do ponto final deve ser instalada em conjuntos de escala de máquina virtual Audite a existência e a saúde de uma solução de proteção de pontos finais nos conjuntos de escala de máquinas virtuais, para protegê-las de ameaças e vulnerabilidades. AuditIfNotExists, Desativado 3.0.0
Microsoft Antimalware para o Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção Esta política audita qualquer máquina virtual do Windows não configurada com a atualização automática de assinaturas de proteção Microsoft Antimalware. AuditIfNotExists, Desativado 1.0.0
Extensão Microsoft IaaSAntimalware deve ser implementada em servidores windows Esta política audita qualquer VM do servidor Windows sem a extensão microsoft IaaSAntimalware implementada. AuditIfNotExists, Desativado 1.0.0
Monitor que falta proteção de ponto final em Centro de Segurança do Azure Os servidores sem um agente instalado de Proteção de Pontos Finais serão monitorizados por Centro de Segurança do Azure como recomendações AuditIfNotExists, Desativado 3.0.0

Integridade do Software

ID: SWIFT CSCF v2021 6.2

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Tanto os sistemas operativos como os discos de dados em Azure Kubernetes Service clusters devem ser encriptados por chaves geridas pelo cliente Encriptar os discos de segurança e de dados utilizando as chaves geridas pelo cliente proporciona mais controlo e maior flexibilidade na gestão das chaves. Este é um requisito comum em muitas normas regulamentares e de conformidade da indústria. Auditoria, Negar, Deficientes 1.0.0
Depuragem remota deve ser desligada para apps da API A depuragem remota requer a abertura de portas de entrada em aplicações API. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 1.0.0
Depuragem remota deve ser desligada para apps de funções A depuragem remota requer que as portas de entrada sejam abertas em aplicações de função. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 1.0.0
Depuragem remota deve ser desligada para aplicações web A depuragem remota requer a abertura de portas de entrada numa aplicação web. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 1.0.0

Integridade da Base de Dados

ID: SWIFT CSCF v2021 6.3

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
A auditoria no servidor SQL deve ser ativada A auditoria ao seu SQL Server deve ser ativada para rastrear as atividades de base de dados em todas as bases de dados do servidor e guardá-las num registo de auditoria. AuditIfNotExists, Desativado 2.0.0
Cosmos DB deve usar um ponto final de serviço de rede virtual Esta política audita qualquer DB cosmos não configurado para usar um ponto final de serviço de rede virtual. Auditoria, Deficientes 1.0.0
As desconexões devem ser registadas para servidores de base de dados PostgreSQL. Esta política ajuda a auditar quaisquer bases de dados PostgreSQL no seu ambiente sem log_disconnections ativadas. AuditIfNotExists, Desativado 1.0.0
A cópia de segurança geo-redundante deve ser ativada para Azure Database for MariaDB Azure Database for MariaDB permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
A cópia de segurança geo-redundante deve ser ativada para Base de Dados do Azure para MySQL Base de Dados do Azure para MySQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
O backup geo-redundante deve ser ativado para Base de Dados do Azure para PostgreSQL Base de Dados do Azure para PostgreSQL permite-lhe escolher a opção de redundância para o seu servidor de base de dados. Pode ser definido para um armazenamento de backup geo redundante no qual os dados não são apenas armazenados dentro da região em que o seu servidor está hospedado, mas também é replicado para uma região emparelhada para fornecer opção de recuperação em caso de falha na região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Deficientes 1.0.1
O acesso à rede pública na Base de Dados SQL do Azure deve ser desativado A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que a sua base de dados SQL do Azure só pode ser acedida a partir de um ponto final privado. Esta configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou em rede virtual. Auditoria, Negar, Deficientes 1.1.0
O acesso à rede pública deve ser desativado para servidores MariaDB Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que o seu Azure Database for MariaDB só pode ser acedido a partir de um ponto final privado. Esta configuração desativa estritamente o acesso a partir de qualquer espaço de endereço público fora da gama IP Azure, e nega todos os logins que correspondam às regras de firewall IP ou virtual baseadas em rede. Auditoria, Deficientes 1.0.2
O acesso à rede pública deve ser desativado para servidores MySQL Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que o seu Base de Dados do Azure para MySQL só pode ser acedido a partir de um ponto final privado. Esta configuração desativa estritamente o acesso a partir de qualquer espaço de endereço público fora da gama IP Azure, e nega todos os logins que correspondam às regras de firewall IP ou virtual baseadas em rede. Auditoria, Deficientes 1.0.2
O acesso à rede pública deve ser desativado para servidores PostgreSQL Desativar a propriedade de acesso à rede pública para melhorar a segurança e garantir que o seu Base de Dados do Azure para PostgreSQL só pode ser acedido a partir de um ponto final privado. Esta configuração desativa o acesso a qualquer espaço de endereço público fora da gama IP Azure e nega todos os logins que correspondam às regras de firewall IP ou virtual baseadas em rede. Auditoria, Deficientes 1.0.2
Os servidores SQL com auditoria ao destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou superior Para efeitos de investigação de incidentes, recomendamos definir a retenção de dados para a sua SQL Server' auditoria ao destino da conta de armazenamento para pelo menos 90 dias. Confirme que está a cumprir as regras de retenção necessárias para as regiões em que está a operar. Isto é, por vezes, necessário para o cumprimento das normas regulamentares. AuditIfNotExists, Desativado 3.0.0
A encriptação transparente de dados nas bases de dados SQL deve ser ativada A encriptação transparente de dados deve ser ativada para proteger os dados em repouso e cumprir os requisitos de conformidade AuditIfNotExists, Desativado 2.0.0

Início de sessão e Monitorização

ID: SWIFT CSCF v2021 6.4

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: A extensão do Log Analytics deve ser ativada para imagens de máquinas virtuais listadas Relata as máquinas virtuais como incompatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não for instalada. AuditIfNotExists, Desativado 2.0.1 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais do Windows O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
O registo de atividade deve ser mantido por pelo menos um ano Esta política audita o registo de atividade se a retenção não for definida durante 365 dias ou para sempre (dias de retenção definidos para 0). AuditIfNotExists, Desativado 1.0.0
Adicione identidade gerida atribuída ao sistema para permitir atribuições de Configuração de Hóspedes em máquinas virtuais sem identidades Esta política adiciona uma identidade gerida atribuída ao sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidados mas não têm identidades geridas. Uma identidade gerida atribuída pelo sistema é um pré-requisito para todas as atribuições de Configuração de Hóspedes e deve ser adicionada às máquinas antes de utilizar quaisquer definições de política de Configuração de Convidados. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. modificar 4.0.0
Adicionar identidade gerida atribuída ao sistema para permitir atribuições de Configuração de Hóspedes em VMs com uma identidade atribuída ao utilizador Esta política adiciona uma identidade gerida atribuída ao sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração do Hóspede e têm pelo menos uma identidade atribuída ao utilizador, mas não têm uma identidade gerida atribuída ao sistema. Uma identidade gerida atribuída pelo sistema é um pré-requisito para todas as atribuições de Configuração de Hóspedes e deve ser adicionada às máquinas antes de utilizar quaisquer definições de política de Configuração de Convidados. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. modificar 4.0.0
Auditar máquinas virtuais sem recuperação de desastres configurada Auditar máquinas virtuais que não tenham recuperação de desastres configuradas. Para saber mais sobre a recuperação de desastres, visite https://aka.ms/asr-doc. auditIfNotExists 1.0.0
A auditoria no servidor SQL deve ser ativada A auditoria ao seu SQL Server deve ser ativada para rastrear as atividades de base de dados em todas as bases de dados do servidor e guardá-las num registo de auditoria. AuditIfNotExists, Desativado 2.0.0
O fornecimento automático do agente Log Analytics deve ser ativado na sua subscrição Para monitorizar vulnerabilidades e ameaças de segurança, Centro de Segurança do Azure recolhe dados das suas máquinas virtuais Azure. Os dados são recolhidos pelo agente Log Analytics, anteriormente conhecido como O Agente de Monitorização da Microsoft (MMA), que lê várias configurações relacionadas com a segurança e registos de eventos da máquina e copia os dados para o seu espaço de trabalho Log Analytics para análise. Recomendamos que o fornecimento automático de auto-implantar automaticamente o agente em todos os VMs Azure suportados e quaisquer novos que sejam criados. AuditIfNotExists, Desativado 1.0.1
Azure Backup deve ser habilitado para Máquinas Virtuais Certifique-se de que o seu Azure Máquinas Virtuais, permitindo Azure Backup. Azure Backup é uma solução segura e eficaz de proteção de dados para a Azure. AuditIfNotExists, Desativado 3.0.0
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
O perfil de registo do Azure Monitor deve recolher registos para categorias de 'escrever', 'excluir' e 'acção' Esta política garante que um perfil de registo recolhe registos para categorias de "escrever", "excluir" e "ação" AuditIfNotExists, Desativado 1.0.0
O Azure Monitor deve recolher registos de atividade de todas as regiões Esta política audita o perfil de registo do Azure Monitor que não exporta atividades de todas as regiões apoiadas pelo Azure, incluindo a nível global. AuditIfNotExists, Desativado 2.0.0
A solução Azure Monitor 'Segurança e Auditoria' deve ser implementada Esta política garante a implementação de Segurança e Auditoria. AuditIfNotExists, Desativado 1.0.0
Implemente a extensão de Configuração de Convidado do Linux para possibilitar atribuições de Configuração de Convidado em VMs do Linux Esta política implementa a extensão de Configuração de Hóspedes Linux para máquinas virtuais Linux hospedadas em Azure que são suportadas pela Configuração do Convidado. A extensão de Configuração do Convidado Linux é um pré-requisito para todas as atribuições de Configuração de Hóspedes Linux e deve ser implantada em máquinas antes de utilizar qualquer definição de política de configuração de convidados Linux. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. implementarIfNotExists 3.0.0
Implemente a extensão de Configuração de Convidado do Windows para possibilitar atribuições da Configuração de Convidado em VMs do Windows Esta política implementa a extensão de Configuração do Windows Guest para máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração do Convidado. A extensão de configuração do Windows Guest é um pré-requisito para todas as atribuições de Configuração do Windows Guest e deve ser implantada em máquinas antes de utilizar qualquer definição de política de configuração do Windows Guest. Para mais informações sobre a Configuração do Hóspede, visite https://aka.ms/gcpol. implementarIfNotExists 1.2.0
A extensão do Log Analytics deve ser ativada em conjuntos de escala de máquinas virtuais para imagens de máquinas virtuais listadas Relata conjuntos de escala de máquina virtual como incompatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não for instalada. AuditIfNotExists, Desativado 2.0.1
Os registos de recursos na Azure Data Lake Store devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Azure Stream Analytics devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos nas contas do Lote devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Data Lake Analytics devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Event Hub devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Hub IoT devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 3.0.1
Os registos de recursos em Key Vault devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar pistas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Aplicações Lógicas devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos nos serviços de pesquisa devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos no Service Bus devem ser ativados Auditoria habili possibilitando registos de recursos. Isto permite-lhe recriar percursos de atividade para uso para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, Desativado 5.0.0
Os registos de recursos em Conjuntos de Dimensionamento de Máquinas Virtuais devem ser ativados Recomenda-se que os Registos possam ser recriados quando são necessárias investigações em caso de incidente ou de compromisso. AuditIfNotExists, Desativado 2.1.0
A extensão Log Analytics deve ser instalada no Conjuntos de Dimensionamento de Máquinas Virtuais Esta política audita qualquer Conjuntos de Dimensionamento de Máquinas Virtuais Windows/Linux se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1
As máquinas virtuais devem ter a extensão Log Analytics instalada Esta política audita quaisquer máquinas virtuais Windows/Linux se a extensão Log Analytics não for instalada. AuditIfNotExists, Desativado 1.0.1

Deteção de intrusões

ID: SWIFT CSCF v2021 6.5A

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais do Windows O Security Center utiliza o agente da Microsoft Dependency para recolher dados de tráfego de rede das suas máquinas virtuais Azure para permitir funcionalidades avançadas de proteção da rede, tais como visualização de tráfego no mapa de rede, recomendações de endurecimento da rede e ameaças específicas de rede. AuditIfNotExists, Desativado 1.0.2 pré-visualização
Recomendações de endurecimento de rede adaptativas devem ser aplicadas na internet face a máquinas virtuais Centro de Segurança do Azure analisa os padrões de tráfego de máquinas virtuais da Internet e fornece recomendações de regras do Grupo de Segurança da Rede que reduzem a potencial superfície de ataque AuditIfNotExists, Desativado 3.0.0
Azure Defender para Serviço de Aplicações deve ser ativado O Azure Defender for Serviço de Aplicações aproveita a escala da nuvem e a visibilidade que o Azure tem como fornecedor de nuvem, para monitorizar os ataques comuns de aplicações web. AuditIfNotExists, Desativado 1.0.3
Azure Defender para SQL do Azure servidores de base de dados devem ser ativados O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para Key Vault deve ser ativado O Azure Defender for Key Vault fornece uma camada adicional de inteligência de proteção e segurança, detetando tentativas incomuns e potencialmente nocivas de aceder ou explorar contas-chave do cofre. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores deve ser ativado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de endurecimento, bem como alertas sobre atividades suspeitas. AuditIfNotExists, Desativado 1.0.3
O Azure Defender para servidores SQL em máquinas deve ser ativado O Azure Defender for SQL fornece funcionalidades para aacessibilização e mitigação de potenciais vulnerabilidades de base de dados, detetando atividades anómalas que possam indicar ameaças às bases de dados DO SQL e descobrir e classificar dados sensíveis. AuditIfNotExists, Desativado 1.0.2
Azure Defender para armazenamento deve ser ativado O Azure Defender for Storage fornece deteções de tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento. AuditIfNotExists, Desativado 1.0.3
Tanto os sistemas operativos como os discos de dados em Azure Kubernetes Service clusters devem ser encriptados por chaves geridas pelo cliente Encriptar os discos de segurança e de dados utilizando as chaves geridas pelo cliente proporciona mais controlo e maior flexibilidade na gestão das chaves. Este é um requisito comum em muitas normas regulamentares e de conformidade da indústria. Auditoria, Negar, Deficientes 1.0.0
O CORS não deve permitir que todos os recursos acedam à sua App API A Partilha de Recursos de Origem Cruzada (CORS) não deve permitir que todos os domínios acedam à sua aplicação API. Permitir que apenas os domínios necessários interajam com a sua aplicação API. AuditIfNotExists, Desativado 1.0.0
O CORS não deve permitir que todos os recursos acedam às suas Apps de Função A Partilha de Recursos de Origem Cruzada (CORS) não deve permitir que todos os domínios acedam à sua aplicação Function. Permitir que apenas os domínios necessários interajam com a sua aplicação Função. AuditIfNotExists, Desativado 1.0.0
O CORS não deve permitir que todos os recursos tenham acesso às suas Aplicações Web A Partilha de Recursos de Origem Cruzada (CORS) não deve permitir que todos os domínios acedam à sua aplicação web. Permitir que apenas os domínios necessários interajam com a sua aplicação web. AuditIfNotExists, Desativado 1.0.0
Observador de Rede deve ser ativado Observador de Rede é um serviço regional que lhe permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, e a partir de Azure. A monitorização do nível do cenário permite diagnosticar problemas no final da vista do nível da rede. É necessário ter um grupo de recursos de observadores de rede a ser criado em todas as regiões onde uma rede virtual está presente. Um alerta é ativado se um grupo de recursos de observadores de rede não estiver disponível numa determinada região. AuditIfNotExists, Desativado 3.0.0
Apenas devem ser ativadas ligações seguras à sua Cache do Azure para Redis Auditoria que permite apenas ligações via SSL para Cache do Azure para Redis. A utilização de ligações seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito de ataques de camadas de rede, tais como o homem no meio, as escutas e o sequestro de sessão Auditoria, Negar, Deficientes 1.0.0
Depuragem remota deve ser desligada para apps da API A depuragem remota requer a abertura de portas de entrada em aplicações API. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 1.0.0
Depuragem remota deve ser desligada para apps de funções A depuragem remota requer que as portas de entrada sejam abertas em aplicações de função. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 1.0.0
Depuragem remota deve ser desligada para aplicações web A depuragem remota requer a abertura de portas de entrada numa aplicação web. A depuragem remota deve ser desligada. AuditIfNotExists, Desativado 1.0.0

Plano de Resposta a Incidentes e Partilha de Informação

Planeamento de Resposta a Incidentes Cibernéticos

ID: SWIFT CSCF v2021 7.1

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Email notificação para alertas de alta gravidade deve ser ativada Para garantir que as pessoas relevantes da sua organização são notificadas quando há uma potencial falha de segurança numa das suas subscrições, ative notificações de e-mail para alertas de alta gravidade no Centro de Segurança. AuditIfNotExists, Desativado 1.0.1
Email notificação ao proprietário da subscrição para alertas de alta gravidade deve ser ativado Para garantir que os seus proprietários de subscrição são notificados quando houver uma potencial falha de segurança na sua subscrição, desemote notificações de e-mail aos proprietários de subscrições para alertas de alta gravidade no Security Center. AuditIfNotExists, Desativado 2.0.0
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança Para garantir que as pessoas relevantes da sua organização são notificadas quando há uma potencial falha de segurança numa das suas subscrições, desaça um contacto de segurança para receber notificações de e-mail do Security Center. AuditIfNotExists, Desativado 1.0.1

Passos seguintes

Artigos adicionais sobre Azure Policy: