Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O artigo a seguir detalha como a definição de iniciativa interna de conformidade regulatória da Azure Policy mapeia para domínios e controles de conformidade no SWIFT CSP-CSCF v2022. Para obter mais informações sobre esse padrão de conformidade, consulte SWIFT CSP-CSCF v2022. Para compreender a Propriedade, reveja o tipo de política e a Responsabilidade partilhada na nuvem.
Os mapeamentos a seguir são para os controles SWIFT CSP-CSCF v2022 . Muitos dos controlos são implementados através de uma definição de iniciativa Azure Policy. Para rever a definição completa da iniciativa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione a definição interna da Iniciativa de Conformidade Regulatória SWIFT CSP-CSCF v2022.
Importante
Cada controle abaixo está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle, no entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias definições de política, o que não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre domínios de conformidade, controles e definições de Política do Azure para esse padrão de conformidade podem mudar ao longo do tempo. Para visualizar o histórico de alterações, consulte o Histórico de confirmação do GitHub.
1. Restrinja o acesso à Internet e proteja sistemas críticos do ambiente geral de TI
Assegurar a proteção da infraestrutura SWIFT local do utilizador contra elementos potencialmente comprometidos do ambiente informático geral e do ambiente externo.
ID: SWIFT CSCF v2022 1.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte | AuditIfNotExists, desativado | 3.0.0-Pré-visualização |
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos como 'Qualquer' ou 'Internet'. Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
As aplicações do Serviço de Aplicações devem usar um endpoint de serviço de rede virtual | Use endereços de serviço de rede virtual para restringir o acesso à sua aplicação a partir de sub-redes selecionadas de uma rede virtual do Azure. Para saber mais sobre os endpoints de serviço do App Service, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, desativado | 2.0.1 |
O Azure Key Vault deve ter firewall habilitado ou acesso à rede pública desabilitado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público ou desabilite o acesso à rede pública do cofre de chaves para que ele não esteja acessível pela Internet pública. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security e https://aka.ms/akvprivatelink | Auditar, Negar, Desativar | 3.3.0 |
Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | CMA_0053 - Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | Manual, Desativado | 1.1.0 |
Garantir que os fornecedores externos satisfaçam consistentemente os interesses dos clientes | CMA_C1592 - Garantir que os fornecedores externos satisfaçam consistentemente os interesses dos clientes | Manual, Desativado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
O Cofre de Chaves deve utilizar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Cofre de Chaves que não esteja configurado para utilizar um ponto de extremidade de serviço de rede virtual. | Modo de Auditoria, Desativado | 1.0.0 |
O Inspetor de Rede deve estar ativado | O Network Watcher é um serviço regional que permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, para e a partir do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
Analisar a conformidade do provedor de serviços de nuvem com políticas e contratos | CMA_0469 - Analisar a conformidade do fornecedor de serviços na nuvem com políticas e acordos | Manual, Desativado | 1.1.0 |
As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditar, Negar, Desativar | 1.1.1 |
Contas de Armazenamento devem usar um endpoint de serviço de rede virtual | Esta política audita qualquer Conta de Armazenamento que não esteja configurada para usar um ponto de extremidade de serviço de rede virtual. | Modo de Auditoria, Desativado | 1.0.0 |
As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
Os modelos do Construtor de Imagens de VM devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para os seus recursos de criação do VM Image Builder, reduz-se o risco de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditar, Desativar, Recusar | 1.1.0 |
Restrinja e controle a alocação e o uso de contas de sistema operacional de nível de administrador.
ID: SWIFT CSCF v2022 1.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas desativadas são contas que foram bloqueadas de iniciar sessão. | AuditIfNotExists, desativado | 1.0.0 |
Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas desativadas são contas que foram bloqueadas de iniciar sessão. | AuditIfNotExists, desativado | 1.0.0 |
Definir e impor condições para contas compartilhadas e de grupo | CMA_0117 - Definir e impor condições para contas compartilhadas e de grupo | Manual, Desativado | 1.1.0 |
Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
Desenvolver políticas e procedimentos de segurança da informação | CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação | Manual, Desativado | 1.1.0 |
Empregar acesso com privilégios mínimos | CMA_0212 - Utilizar acesso com mínimos privilégios | Manual, Desativado | 1.1.0 |
Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure em forma de recomendações. | AuditIfNotExists, desativado | 3.0.0 |
Monitorar a atividade da conta | CMA_0377 - Monitore a atividade da conta | Manual, Desativado | 1.1.0 |
Monitorar atribuição de função privilegiada | CMA_0378 - Monitorar atribuição de função privilegiada | Manual, Desativado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
Usar o gerenciamento privilegiado de identidades | CMA_0533 - Use o gerenciamento privilegiado de identidades | Manual, Desativado | 1.1.0 |
Proteja a plataforma de virtualização e as máquinas virtuais (VMs) que hospedam componentes relacionados ao SWIFT no mesmo nível dos sistemas físicos.
ID: SWIFT CSCF v2022 1.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Auditar VMs que não usam discos gerenciados | Esta política audita VMs que não utilizam discos geridos | auditoria | 1.0.0 |
Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
Controlar/Proteger o acesso à Internet a partir de PCs e sistemas de operadores dentro da zona segura.
ID: SWIFT CSCF v2022 1.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte | AuditIfNotExists, desativado | 3.0.0-Pré-visualização |
Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
Definir uso criptográfico | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
Documentar e implementar diretrizes de acesso sem fio | CMA_0190 - Documentar e implementar diretrizes de acesso sem fio | Manual, Desativado | 1.1.0 |
Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
Diretrizes de acesso remoto de documentos | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
Proteja o acesso sem fio | CMA_0411 - Proteja o acesso sem fio | Manual, Desativado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
Garantir a proteção da infraestrutura de conectividade do cliente contra o ambiente externo e elementos potencialmente comprometidos do ambiente geral de TI.
ID: SWIFT CSCF v2022 1.5A Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte | AuditIfNotExists, desativado | 3.0.0-Pré-visualização |
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos como 'Qualquer' ou 'Internet'. Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
As aplicações do Serviço de Aplicações devem usar um endpoint de serviço de rede virtual | Use endereços de serviço de rede virtual para restringir o acesso à sua aplicação a partir de sub-redes selecionadas de uma rede virtual do Azure. Para saber mais sobre os endpoints de serviço do App Service, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, desativado | 2.0.1 |
A Proteção contra DDoS do Azure deve ser habilitada | A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desativado | 3.0.1 |
O Azure Key Vault deve ter firewall habilitado ou acesso à rede pública desabilitado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público ou desabilite o acesso à rede pública do cofre de chaves para que ele não esteja acessível pela Internet pública. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security e https://aka.ms/akvprivatelink | Auditar, Negar, Desativar | 3.3.0 |
Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
Empregar proteção de limites para isolar sistemas de informação | CMA_C1639 - Empregar proteção de fronteiras para isolar sistemas de informação | Manual, Desativado | 1.1.0 |
Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
Empregar restrições em interconexões externas do sistema | CMA_C1155 - Aplicar restrições às interconexões externas do sistema | Manual, Desativado | 1.1.0 |
Estabeleça padrões de configuração de firewall e roteador | CMA_0272 - Estabelecer padrões de configuração de firewall e roteador | Manual, Desativado | 1.1.0 |
Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desativado | 1.1.0 |
Identificar e gerir os intercâmbios de informações a jusante | CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante | Manual, Desativado | 1.1.0 |
Implementar interface gerenciada para cada serviço externo | CMA_C1626 - Implementar interface gerenciada para cada serviço externo | Manual, Desativado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
O Cofre de Chaves deve utilizar um ponto de extremidade de serviço de rede virtual | Esta política audita qualquer Cofre de Chaves que não esteja configurado para utilizar um ponto de extremidade de serviço de rede virtual. | Modo de Auditoria, Desativado | 1.0.0 |
O Inspetor de Rede deve estar ativado | O Network Watcher é um serviço regional que permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, para e a partir do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditar, Negar, Desativar | 1.1.1 |
Contas de Armazenamento devem usar um endpoint de serviço de rede virtual | Esta política audita qualquer Conta de Armazenamento que não esteja configurada para usar um ponto de extremidade de serviço de rede virtual. | Modo de Auditoria, Desativado | 1.0.0 |
As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
Os modelos do Construtor de Imagens de VM devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para os seus recursos de criação do VM Image Builder, reduz-se o risco de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditar, Desativar, Recusar | 1.1.0 |
2. Reduza a superfície de ataque e as vulnerabilidades
Garantir a confidencialidade, integridade e autenticidade dos fluxos de dados de aplicativos entre componentes locais relacionados ao SWIFT.
ID: SWIFT CSCF v2022 2.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
A autenticação em máquinas Linux deve exigir chaves SSH | Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desativado | 3.2.0 |
As variáveis de conta de automação devem ser criptografadas | É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais | Auditar, Negar, Desativar | 1.1.0 |
Configurar ações para dispositivos não compatíveis | CMA_0062 - Configurar ações para dispositivos não compatíveis | Manual, Desativado | 1.1.0 |
Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
Definir uso criptográfico | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
Desenvolver e manter configurações de linha de base | CMA_0153 - Desenvolver e manter configurações de linha de base | Manual, Desativado | 1.1.0 |
Empregar proteção de limites para isolar sistemas de informação | CMA_C1639 - Empregar proteção de fronteiras para isolar sistemas de informação | Manual, Desativado | 1.1.0 |
Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
Impor identificadores de sessão exclusivos aleatórios | CMA_0247 - Impor identificadores de sessão únicos aleatórios | Manual, Desativado | 1.1.0 |
Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
Estabelecer uma placa de controle de configuração | CMA_0254 - Estabelecer uma placa de controle de configuração | Manual, Desativado | 1.1.0 |
Estabelecer um procedimento de gestão de fugas de dados | CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados | Manual, Desativado | 1.1.0 |
Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Estabeleça políticas e procedimentos de backup | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desativado | 1.1.0 |
Implementar uma ferramenta automatizada de gerenciamento de configuração | CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
Controle de fluxo de informações usando filtros de política de segurança | CMA_C1029 - Controle do fluxo de informações usando filtros de política de segurança | Manual, Desativado | 1.1.0 |
Isolar os sistemas SecurID e os sistemas de Gestão de Incidentes de Segurança | CMA_C1636 - Isolamento dos sistemas SecurID, sistemas de Gestão de Incidentes de Segurança | Manual, Desativado | 1.1.0 |
Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
Manter a disponibilidade das informações | CMA_C1644 - Manter a disponibilidade da informação | Manual, Desativado | 1.1.0 |
Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
Notificar os usuários sobre o logon ou acesso ao sistema | CMA_0382 - Notificar os usuários sobre o logon ou acesso ao sistema | Manual, Desativado | 1.1.0 |
Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 - Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desativado | 1.1.0 |
Produzir, controlar e distribuir chaves criptográficas simétricas | CMA_C1645 - Produzir, controlar e distribuir chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Proteja a interface para sistemas externos | CMA_0491 - Proteger a interface para sistemas externos | Manual, Desativado | 1.1.0 |
As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 4.1.1 |
Minimize a ocorrência de vulnerabilidades técnicas conhecidas nos PCs dos operadores e na infraestrutura SWIFT local, garantindo o suporte do fornecedor, aplicando atualizações de software obrigatórias e atualizações de segurança oportunas alinhadas ao risco avaliado.
ID: SWIFT CSCF v2022 2.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adicionar identidade gerida atribuída pelo sistema para habilitar atribuições de Configuração de Hóspede em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Adicionar identidade gerida pelo sistema para habilitar as atribuições de configuração de convidados em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Auditar VMs do Windows pendentes de reinicialização | Requer que os pré-requisitos sejam implantados no escopo de atribuição da política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se a máquina estiver pendente de reinicialização por qualquer um dos seguintes motivos: manutenção baseada em componentes, Windows Update, renomeação de arquivo pendente, renomeação de computador pendente, gerente de configuração pendente de reinicialização. Cada deteção tem um caminho de registro exclusivo. | auditarSeNãoExiste | 2.0.0 |
Correlacione informações de verificação de vulnerabilidade | CMA_C1558 - Correlacione informações de verificação de vulnerabilidade | Manual, Desativado | 1.1.1 |
Implementar a extensão de Configuração de Utilizador do Windows para ativar atribuições de Configuração de Utilizador em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | ImplantarSeNãoExistir | 1.3.0 |
Disseminar alertas de segurança para o pessoal | CMA_C1705 - Divulgar alertas de segurança ao pessoal | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Usar mecanismos automatizados para alertas de segurança | CMA_C1707 - Utilizar mecanismos automatizados para alertas de segurança | Manual, Desativado | 1.1.0 |
Reduza a superfície de ataque cibernético de componentes relacionados ao SWIFT executando o fortalecimento do sistema.
ID: SWIFT CSCF v2022 2.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adicionar identidade gerida atribuída pelo sistema para habilitar atribuições de Configuração de Hóspede em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Adicionar identidade gerida pelo sistema para habilitar as atribuições de configuração de convidados em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo de atribuição da política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas Linux não estão em conformidade se não têm as permissões do arquivo passwd definidas como 0644. | AuditIfNotExists, desativado | 3.1.0 |
Auditar máquinas Windows que contêm certificados que expiram dentro do número de dias especificado | Requer que os pré-requisitos sejam implantados no escopo de atribuição da política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas estão em não conformidade se os certificados na loja especificada tiverem uma data de expiração fora do intervalo do número de dias dado como parâmetro. A política também fornece a opção de verificar apenas se há certificados específicos ou excluir certificados específicos e se deseja relatar certificados expirados. | auditarSeNãoExiste | 2.0.0 |
Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo de atribuição da política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas são consideradas não compatíveis se forem máquinas Windows que não armazenam senhas usando criptografia reversível. | AuditIfNotExists, desativado | 2.0.0 |
Automatize as alterações documentadas propostas | CMA_C1191 - Automatize as alterações documentadas propostas | Manual, Desativado | 1.1.0 |
Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
Configurar ações para dispositivos não compatíveis | CMA_0062 - Configurar ações para dispositivos não compatíveis | Manual, Desativado | 1.1.0 |
Implante a extensão Guest Configuration do Linux para habilitar atribuições de Guest Configuration em VMs Linux | Esta política implanta a extensão de Configuração de Visitante do Linux em máquinas virtuais Linux hospedadas no Azure com suporte de Configuração de Visitante. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | ImplantarSeNãoExistir | 3.2.0 |
Implementar a extensão de Configuração de Utilizador do Windows para ativar atribuições de Configuração de Utilizador em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | ImplantarSeNãoExistir | 1.3.0 |
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desativado | 1.1.0 |
Desenvolver e manter configurações de linha de base | CMA_0153 - Desenvolver e manter configurações de linha de base | Manual, Desativado | 1.1.0 |
Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
Estabelecer uma placa de controle de configuração | CMA_0254 - Estabelecer uma placa de controle de configuração | Manual, Desativado | 1.1.0 |
Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
Implementar uma ferramenta automatizada de gerenciamento de configuração | CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure em forma de recomendações. | AuditIfNotExists, desativado | 3.0.0 |
Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
Manter versões anteriores das configurações de linha de base | CMA_C1181 - Manter versões anteriores das configurações de linha de base | Manual, Desativado | 1.1.0 |
Os modelos do Construtor de Imagens de VM devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para os seus recursos de criação do VM Image Builder, reduz-se o risco de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditar, Desativar, Recusar | 1.1.0 |
Garanta a confidencialidade, integridade e autenticidade mútua dos fluxos de dados entre os componentes da infraestrutura SWIFT local ou remota e os primeiros saltos de back-office aos quais eles se conectam.
ID: SWIFT CSCF v2022 2.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar backup da documentação do sistema de informação | CMA_C1289 - Realizar backup da documentação do sistema de informação | Manual, Desativado | 1.1.0 |
Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
Estabeleça políticas e procedimentos de backup | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Notificar os usuários sobre o logon ou acesso ao sistema | CMA_0382 - Notificar os usuários sobre o logon ou acesso ao sistema | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
Segurança do fluxo de dados de back-office
ID: SWIFT CSCF v2022 2.4A Propriedade: Cliente
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
A autenticação em máquinas Linux deve exigir chaves SSH | Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desativado | 3.2.0 |
As variáveis de conta de automação devem ser criptografadas | É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais | Auditar, Negar, Desativar | 1.1.0 |
As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 4.1.1 |
Proteger a confidencialidade dos dados relacionados com o SWIFT transmitidos ou armazenados fora da zona segura como parte dos processos operacionais.
ID: SWIFT CSCF v2022 2.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar backup da documentação do sistema de informação | CMA_C1289 - Realizar backup da documentação do sistema de informação | Manual, Desativado | 1.1.0 |
Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
Estabeleça políticas e procedimentos de backup | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Gerir o transporte de ativos | CMA_0370 - Gerir o transporte de ativos | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
Proteção de dados de transmissão externa
ID: SWIFT CSCF v2022 2.5A Propriedade: Cliente
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Auditar máquinas virtuais sem recuperação de desastres configurada | Audite máquinas virtuais que não tenham a recuperação de desastres configurada. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. | auditarSeNãoExiste | 1.0.0 |
Auditar VMs que não usam discos gerenciados | Esta política audita VMs que não utilizam discos geridos | auditoria | 1.0.0 |
As variáveis de conta de automação devem ser criptografadas | É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais | Auditar, Negar, Desativar | 1.1.0 |
O Backup do Azure deve ser habilitado para Máquinas Virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desativado | 3.0.0 |
O armazenamento com redundância geográfica deve ser habilitado para contas de armazenamento | Utilize redundância geográfica para criar aplicações com alta disponibilidade | Modo de Auditoria, Desativado | 1.0.0 |
A transferência segura para contas de armazenamento deve ser ativada | Auditoria do requisito de transferência segura na sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditar, Negar, Desativar | 2.0.0 |
Proteger a confidencialidade e a integridade das sessões interativas do operador que se conectam à infraestrutura SWIFT local ou remota (operada por um provedor de serviços) ou às aplicações relacionadas ao SWIFT
ID: SWIFT CSCF v2022 2.6 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adicionar identidade gerida atribuída pelo sistema para habilitar atribuições de Configuração de Hóspede em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Adicionar identidade gerida pelo sistema para habilitar as atribuições de configuração de convidados em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
Implementar a extensão de Configuração de Utilizador do Windows para ativar atribuições de Configuração de Utilizador em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | ImplantarSeNãoExistir | 1.3.0 |
Documentar e implementar diretrizes de acesso sem fio | CMA_0190 - Documentar e implementar diretrizes de acesso sem fio | Manual, Desativado | 1.1.0 |
Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
Diretrizes de acesso remoto de documentos | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
Proteja o acesso sem fio | CMA_0411 - Proteja o acesso sem fio | Manual, Desativado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
Reautenticar ou encerrar uma sessão de usuário | CMA_0421 - Reautenticar ou encerrar uma sessão de usuário | Manual, Desativado | 1.1.0 |
As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 4.1.1 |
As máquinas Windows devem atender aos requisitos de 'Opções de Segurança - Logon Interativo' | As máquinas Windows devem ter as configurações de Diretiva de Grupo especificadas na categoria 'Opções de Segurança - Logon Interativo' para exibir o último nome de usuário e exigir ctrl-alt-del. Esta política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 3.0.0 |
Identifique vulnerabilidades conhecidas no ambiente SWIFT local implementando um processo regular de verificação de vulnerabilidades e aja de acordo com os resultados.
ID: SWIFT CSCF v2022 2.7 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Correlacione informações de verificação de vulnerabilidade | CMA_C1558 - Correlacione informações de verificação de vulnerabilidade | Manual, Desativado | 1.1.1 |
Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades | CMA_C1555 - Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades | Manual, Desativado | 1.1.0 |
Incorporar a correção de falhas no gerenciamento de configuração | CMA_C1671 - Incorporar a correção de falhas no gerenciamento de configuração | Manual, Desativado | 1.1.0 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
Observar e comunicar falhas de segurança | CMA_0384 - Observar e comunicar falhas de segurança | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar modelagem de ameaças | CMA_0392 - Executar modelagem de ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Garanta uma abordagem consistente e eficaz para o monitoramento de mensagens dos clientes.
ID: SWIFT CSCF v2022 2.8.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar o risco em relações com terceiros | CMA_0014 - Avaliar o risco nas relações com terceiros | Manual, Desativado | 1.1.0 |
Definir e documentar a supervisão governamental | CMA_C1587 - Definir e documentar a supervisão governamental | Manual, Desativado | 1.1.0 |
Definir requisitos para o fornecimento de bens e serviços | CMA_0126 - Definir requisitos para o fornecimento de bens e serviços | Manual, Desativado | 1.1.0 |
Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
Estabelecer políticas para a gestão de riscos da cadeia de valor | CMA_0275 - Estabelecer políticas para a gestão de riscos da cadeia de abastecimento | Manual, Desativado | 1.1.0 |
Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | Manual, Desativado | 1.1.0 |
Analisar a conformidade do provedor de serviços de nuvem com políticas e contratos | CMA_0469 - Analisar a conformidade do fornecedor de serviços na nuvem com políticas e acordos | Manual, Desativado | 1.1.0 |
Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
Assegurar a proteção da infraestrutura local SWIFT contra os riscos expostos pela externalização de atividades críticas.
ID: SWIFT CSCF v2022 2.8A Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
Proteção de informações de segurança nos documentos de contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
Documentar os requisitos de força da segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
Assegurar que a atividade de transações de saída esteja dentro dos limites esperados da atividade empresarial normal.
ID: SWIFT CSCF v2022 2.9 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar, monitorizar e controlar VoIP | CMA_0025 - Autorizar, monitorar e controlar voip | Manual, Desativado | 1.1.0 |
Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Encaminhar o tráfego através de pontos de acesso de rede gerenciados | CMA_0484 - Encaminhe o tráfego através de pontos de acesso de rede gerenciados | Manual, Desativado | 1.1.0 |
Restringir a atividade de transação a contrapartes comerciais validadas e aprovadas.
ID: SWIFT CSCF v2022 2.11A Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
Empregar acesso com privilégios mínimos | CMA_0212 - Utilizar acesso com mínimos privilégios | Manual, Desativado | 1.1.0 |
Reforçar acesso lógico | CMA_0245 - Aplicar acesso lógico | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Reatribuir ou remover privilégios de usuário conforme necessário | CMA_C1040 - Reatribuir ou remover privilégios de usuário conforme necessário | Manual, Desativado | 1.1.0 |
Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
Rever os privilégios de utilizador | CMA_C1039 - Rever os privilégios do utilizador | Manual, Desativado | 1.1.0 |
3. Proteger fisicamente o ambiente
Impeça o acesso físico não autorizado a equipamentos sensíveis, ambientes de trabalho, locais de hospedagem e armazenamento.
ID: SWIFT CSCF v2022 3.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Auditar VMs que não usam discos gerenciados | Esta política audita VMs que não utilizam discos geridos | auditoria | 1.0.0 |
Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
Estabelecer e manter um inventário de ativos | CMA_0266 - Estabelecer e manter um inventário de ativos | Manual, Desativado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Instalar um sistema de alarme | CMA_0338 - Instalar um sistema de alarme | Manual, Desativado | 1.1.0 |
Gerencie um sistema de câmera de vigilância seguro | CMA_0354 - Gerencie um sistema de câmera de vigilância seguro | Manual, Desativado | 1.1.0 |
Rever e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais | Manual, Desativado | 1.1.0 |
4. Evite o comprometimento das credenciais
Certifique-se de que as senhas são suficientemente resistentes contra ataques comuns de senha, implementando e aplicando uma política de senha eficaz.
ID: SWIFT CSCF v2022 4.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adicionar identidade gerida atribuída pelo sistema para habilitar atribuições de Configuração de Hóspede em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Adicionar identidade gerida pelo sistema para habilitar as atribuições de configuração de convidados em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição da política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não estão em conformidade se permitirem conexões remotas a partir de contas sem senhas em máquinas Linux. | AuditIfNotExists, desativado | 3.1.0 |
Auditar máquinas Linux que têm contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição da política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se forem máquinas Linux com contas sem senhas | AuditIfNotExists, desativado | 3.1.0 |
Auditar máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas | Requer que os pré-requisitos sejam implantados no escopo de atribuição da política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não estão em conformidade se os computadores Windows permitirem a reutilização das palavras-passe após o número especificado de palavras-passe exclusivas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desativado | 2.1.0 |
Auditar máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição da política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não estão em conformidade se não tiverem a idade máxima da senha nas máquinas Windows definida para o número especificado de dias. O valor padrão para a idade máxima da senha é 70 dias | AuditIfNotExists, desativado | 2.1.0 |
Auditar máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição da política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas Windows não são compatíveis se não tiverem a idade mínima da senha definida para o número especificado de dias. O valor padrão para a idade mínima da senha é de 1 dia | AuditIfNotExists, desativado | 2.1.0 |
Auditar máquinas Windows que não têm a configuração de complexidade de senha habilitada | Requer que os pré-requisitos sejam implantados no escopo de atribuição da política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se nas máquinas Windows não estiver ativada a configuração de complexidade de senha. | AuditIfNotExists, desativado | 2.0.0 |
Auditar máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo de atribuição da política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows não restringirem o comprimento mínimo da senha ao número de caracteres especificado. O valor padrão para o comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desativado | 2.1.0 |
Implante a extensão Guest Configuration do Linux para habilitar atribuições de Guest Configuration em VMs Linux | Esta política implanta a extensão de Configuração de Visitante do Linux em máquinas virtuais Linux hospedadas no Azure com suporte de Configuração de Visitante. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | ImplantarSeNãoExistir | 3.2.0 |
Implementar a extensão de Configuração de Utilizador do Windows para ativar atribuições de Configuração de Utilizador em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | ImplantarSeNãoExistir | 1.3.0 |
Documentar os requisitos de força da segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
Estabelecer uma política de senha | CMA_0256 - Estabeleça uma política de senha | Manual, Desativado | 1.1.0 |
Estabelecer tipos e processos de autenticador | CMA_0267 - Estabelecer tipos e processos de autenticadores | Manual, Desativado | 1.1.0 |
Implementar parâmetros para verificadores secretos memorizados | CMA_0321 - Implementar parâmetros para verificadores secretos memorizados | Manual, Desativado | 1.1.0 |
Gerencie o tempo de vida e a reutilização do autenticador | CMA_0355 - Gerencie o tempo de vida e a reutilização do autenticador | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
Evite que o comprometimento de um único fator de autenticação permita o acesso a sistemas ou aplicativos relacionados ao SWIFT implementando a autenticação multifator.
ID: SWIFT CSCF v2022 4.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
5. Gerencie identidades e segregue privilégios
Implementar os princípios de segurança de acesso baseado na necessidade, privilégios mínimos e separação de funções para contas de operador.
ID: SWIFT CSCF v2022 5.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
Adicionar identidade gerida atribuída pelo sistema para habilitar atribuições de Configuração de Hóspede em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Adicionar identidade gerida pelo sistema para habilitar as atribuições de configuração de convidados em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Atribuir gestores de conta | CMA_0015 - Atribuir gestores de conta | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Auditar máquinas Windows que contêm certificados que expiram dentro do número de dias especificado | Requer que os pré-requisitos sejam implantados no escopo de atribuição da política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas estão em não conformidade se os certificados na loja especificada tiverem uma data de expiração fora do intervalo do número de dias dado como parâmetro. A política também fornece a opção de verificar apenas se há certificados específicos ou excluir certificados específicos e se deseja relatar certificados expirados. | auditarSeNãoExiste | 2.0.0 |
Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas desativadas são contas que foram bloqueadas de iniciar sessão. | AuditIfNotExists, desativado | 1.0.0 |
Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas desativadas são contas que foram bloqueadas de iniciar sessão. | AuditIfNotExists, desativado | 1.0.0 |
Definir autorizações de acesso para suportar a separação de funções | CMA_0116 - Definir autorizações de acesso para suportar a separação de funções | Manual, Desativado | 1.1.0 |
Definir tipos de conta do sistema de informação | CMA_0121 - Definir tipos de conta do sistema de informação | Manual, Desativado | 1.1.0 |
Implementar a extensão de Configuração de Utilizador do Windows para ativar atribuições de Configuração de Utilizador em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | ImplantarSeNãoExistir | 1.3.0 |
Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
Desativar autenticadores após a rescisão | CMA_0169 - Desativar autenticadores após a rescisão | Manual, Desativado | 1.1.0 |
Privilégios de acesso a documentos | CMA_0186 - Privilégios de acesso a documentos | Manual, Desativado | 1.1.0 |
Documento de separação de funções | CMA_0204 - Documento de separação de funções | Manual, Desativado | 1.1.0 |
Empregar acesso com privilégios mínimos | CMA_0212 - Utilizar acesso com mínimos privilégios | Manual, Desativado | 1.1.0 |
Estabelecer condições para a participação em funções | CMA_0269 - Estabelecer condições para a participação em funções | Manual, Desativado | 1.1.0 |
Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
Monitorar a atividade da conta | CMA_0377 - Monitore a atividade da conta | Manual, Desativado | 1.1.0 |
Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
Proteger as informações de auditoria | CMA_0401 - Proteger as informações de auditoria | Manual, Desativado | 1.1.0 |
Reatribuir ou remover privilégios de usuário conforme necessário | CMA_C1040 - Reatribuir ou remover privilégios de usuário conforme necessário | Manual, Desativado | 1.1.0 |
Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
Revisar os registos de provisionamento da conta | CMA_0460 - Rever registos de provisionamento da conta | Manual, Desativado | 1.1.0 |
Rever contas de utilizador | CMA_0480 - Rever contas de utilizador | Manual, Desativado | 1.1.0 |
Rever os privilégios de utilizador | CMA_C1039 - Rever os privilégios do utilizador | Manual, Desativado | 1.1.0 |
Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
Deveres distintos dos indivíduos | CMA_0492 - Deveres distintos dos indivíduos | Manual, Desativado | 1.1.0 |
Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
Garanta o gerenciamento, o rastreamento e o uso adequados de autenticação de hardware conectado e desconectado ou tokens pessoais (quando os tokens são usados).
ID: SWIFT CSCF v2022 5.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Distribuir autenticadores | CMA_0184 - Distribuir autenticadores | Manual, Desativado | 1.1.0 |
Estabelecer tipos e processos de autenticador | CMA_0267 - Estabelecer tipos e processos de autenticadores | Manual, Desativado | 1.1.0 |
Estabelecer procedimentos para a distribuição inicial do autenticador | CMA_0276 - Estabelecer procedimentos para a distribuição inicial do autenticador | Manual, Desativado | 1.1.0 |
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure em forma de recomendações. | AuditIfNotExists, desativado | 3.0.0 |
Verificar a identidade antes de distribuir autenticadores | CMA_0538 - Verificar a identidade antes de distribuir autenticadores | Manual, Desativado | 1.1.0 |
Na medida do permitido e exequível, garantir a fiabilidade do pessoal que opera o ambiente local SWIFT através de um rastreio regular do pessoal.
ID: SWIFT CSCF v2022 5.3A Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Pessoal autorizado com acesso a informações classificadas | CMA_0054 - Verificar pessoal com acesso a informação classificada | Manual, Desativado | 1.1.0 |
Garantir que os acordos de acesso sejam assinados ou renunciados em tempo hábil | CMA_C1528 - Garantir que os acordos de acesso sejam assinados ou renunciados em tempo hábil | Manual, Desativado | 1.1.0 |
Implementar a triagem de pessoal | CMA_0322 - Implementar a triagem de pessoal | Manual, Desativado | 1.1.0 |
Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
Reavaliar indivíduos com uma frequência definida | CMA_C1512 - Reavaliar indivíduos com uma frequência definida | Manual, Desativado | 1.1.0 |
Proteja física e logicamente o repositório de senhas gravadas.
ID: SWIFT CSCF v2022 5.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo de atribuição da política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas são consideradas não compatíveis se forem máquinas Windows que não armazenam senhas usando criptografia reversível. | AuditIfNotExists, desativado | 2.0.0 |
Documentar os requisitos de força da segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
Estabelecer uma política de senha | CMA_0256 - Estabeleça uma política de senha | Manual, Desativado | 1.1.0 |
Implementar parâmetros para verificadores secretos memorizados | CMA_0321 - Implementar parâmetros para verificadores secretos memorizados | Manual, Desativado | 1.1.0 |
Os cofres de chaves devem ter a proteção contra exclusão habilitada | A eliminação maliciosa de um cofre de chaves pode resultar na perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra eliminação e a eliminação temporária. A proteção contra purga protege o utilizador contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves eliminados por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a funcionalidade de eliminação reversível ativada por defeito. | Auditar, Negar, Desativar | 2.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
6. Detetar atividades anômalas em sistemas ou registros de transações
Certifique-se de que a infraestrutura SWIFT local está protegida contra malware e aja de acordo com os resultados.
ID: SWIFT CSCF v2022 6.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Correlacione registros de auditoria | CMA_0087 - Correlacionar registos de auditoria | Manual, Desativado | 1.1.0 |
Correlacione informações de verificação de vulnerabilidade | CMA_C1558 - Correlacione informações de verificação de vulnerabilidade | Manual, Desativado | 1.1.1 |
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Estabelecer requisitos para revisão de auditoria e relatórios | CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios | Manual, Desativado | 1.1.0 |
Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades | CMA_C1555 - Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades | Manual, Desativado | 1.1.0 |
Integre a revisão, análise e emissão de relatórios de auditoria | CMA_0339 - Integre a revisão, análise e relatórios de auditoria | Manual, Desativado | 1.1.0 |
Integre a segurança de aplicativos na nuvem com um siem | CMA_0340 - Integre a segurança de aplicações de cloud com um SIEM | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
O Microsoft Antimalware para Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção | Esta política audita qualquer máquina virtual do Windows não configurada com a atualização automática das assinaturas de proteção antimalware da Microsoft. | AuditIfNotExists, desativado | 1.0.0 |
A extensão Microsoft IaaSAntimalware deve ser implantada em servidores Windows | Esta política audita qualquer VM de servidor Windows sem a extensão Microsoft IaaSAntimalware implantada. | AuditIfNotExists, desativado | 1.1.0 |
Observar e comunicar falhas de segurança | CMA_0384 - Observar e comunicar falhas de segurança | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar modelagem de ameaças | CMA_0392 - Executar modelagem de ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Revisar os registos de provisionamento da conta | CMA_0460 - Rever registos de provisionamento da conta | Manual, Desativado | 1.1.0 |
Revise as atribuições do administrador semanalmente | CMA_0461 - Revisar as atribuições do administrador semanalmente | Manual, Desativado | 1.1.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Revisão da visão geral do relatório de identidade da nuvem | CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem | Manual, Desativado | 1.1.0 |
Rever eventos de acesso controlado a pastas | CMA_0471 - Revisar eventos de acesso controlado a pastas | Manual, Desativado | 1.1.0 |
Rever eventos de protecção contra exploits | CMA_0472 - Analisar eventos de proteção contra exploração | Manual, Desativado | 1.1.0 |
Rever a atividade de ficheiros e pastas | CMA_0473 - Revisar a atividade de arquivos e pastas | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Revisar as alterações do grupo de funções semanalmente | CMA_0476 - Revisar as mudanças do grupo de funções semanalmente | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Verificar a integridade do software, firmware e informações | CMA_0542 - Verificar a integridade do software, firmware e informação | Manual, Desativado | 1.1.0 |
Garantir a integridade do software dos componentes relacionados ao SWIFT e agir de acordo com os resultados.
ID: SWIFT CSCF v2022 6.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
Empregar desligamento/reinício automático quando violações forem detetadas | CMA_C1715 - Empregar desligamento/reinício automático quando violações são detetadas | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
Verificar a integridade do software, firmware e informações | CMA_0542 - Verificar a integridade do software, firmware e informação | Manual, Desativado | 1.1.0 |
Exibir e configurar dados de diagnóstico do sistema | CMA_0544 - Exibir e configurar dados de diagnóstico do sistema | Manual, Desativado | 1.1.0 |
Garantir a integridade dos registos da base de dados para a interface de mensagens SWIFT ou o conector do cliente e tomar medidas com base nos resultados.
ID: SWIFT CSCF v2022 6.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Verificar a integridade do software, firmware e informações | CMA_0542 - Verificar a integridade do software, firmware e informação | Manual, Desativado | 1.1.0 |
Exibir e configurar dados de diagnóstico do sistema | CMA_0544 - Exibir e configurar dados de diagnóstico do sistema | Manual, Desativado | 1.1.0 |
Registre eventos de segurança e detete ações e operações anômalas dentro do ambiente SWIFT local.
ID: SWIFT CSCF v2022 6.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
O registo de atividades deve ser conservado durante, pelo menos, um ano | Esta política audita o registo de atividades se a retenção não estiver definida para 365 dias ou para sempre (dias de retenção definidos como 0). | AuditIfNotExists, desativado | 1.0.0 |
Adicionar identidade gerida atribuída pelo sistema para habilitar atribuições de Configuração de Hóspede em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Adicionar identidade gerida pelo sistema para habilitar as atribuições de configuração de convidados em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Todos os recursos do log de fluxo devem estar no estado habilitado | Auditoria aos recursos de registo de fluxo para verificar se o estado do registo de fluxo está ativado. Habilitar logs de fluxo permite registrar informações sobre o tráfego IP. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Modo de Auditoria, Desativado | 1.0.1 |
As aplicações do App Service devem ter os registos de recursos ativados | Habilitação de auditoria dos registos de recursos na aplicação. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Auditar máquinas virtuais sem recuperação de desastres configurada | Audite máquinas virtuais que não tenham a recuperação de desastres configurada. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. | auditarSeNãoExiste | 1.0.0 |
O Backup do Azure deve ser habilitado para Máquinas Virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desativado | 3.0.0 |
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
O perfil de log do Azure Monitor deve coletar logs para as categorias 'gravar', 'excluir' e 'ação' | Essa política garante que um perfil de registo colete registos para as categorias 'gravar', 'excluir' e 'ação' | AuditIfNotExists, desativado | 1.0.0 |
Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) | Para garantir que a criptografia de dados segura seja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Esta opção é ativada por padrão quando suportada na região, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | auditar, Auditar, negar, Negar, desativado, Desativado | 1.1.0 |
Os clusters do Azure Monitor Logs devem ser criptografados com chave gerenciada pelo cliente | Crie o cluster de logs do Azure Monitor com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados de log são criptografados com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulamentar. A chave gerida pelo cliente no Azure Monitor dá-lhe mais controlo sobre o acesso aos seus dados, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditar, Auditar, negar, Negar, desativado, Desativado | 1.1.0 |
Os Logs do Azure Monitor para Application Insights devem ser vinculados a um espaço de trabalho do Log Analytics | Vincule o componente Application Insights a um espaço de trabalho do Log Analytics para criptografia de logs. As chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulatória e para obter mais controle sobre o acesso aos seus dados no Azure Monitor. Vincular seu componente a um espaço de trabalho do Log Analytics habilitado com uma chave gerenciada pelo cliente garante que os logs do Application Insights atendam a esse requisito de conformidade, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditar, Auditar, negar, Negar, desativado, Desativado | 1.1.0 |
O Azure Monitor deve coletar logs de atividades de todas as regiões | Esta política audita o perfil de log do Azure Monitor que não exporta atividades de todas as regiões com suporte do Azure, incluindo globais. | AuditIfNotExists, desativado | 2.0.0 |
Correlacione registros de auditoria | CMA_0087 - Correlacionar registos de auditoria | Manual, Desativado | 1.1.0 |
Implementar a extensão de Configuração de Utilizador do Windows para ativar atribuições de Configuração de Utilizador em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | ImplantarSeNãoExistir | 1.3.0 |
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Estabelecer requisitos para revisão de auditoria e relatórios | CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios | Manual, Desativado | 1.1.0 |
Os logs de fluxo devem ser configurados para cada grupo de segurança de rede | Auditoria aos grupos de segurança de rede com o objetivo de verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui por um grupo de segurança de rede. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Modo de Auditoria, Desativado | 1.1.0 |
Integre a revisão, análise e emissão de relatórios de auditoria | CMA_0339 - Integre a revisão, análise e relatórios de auditoria | Manual, Desativado | 1.1.0 |
Integre a segurança de aplicativos na nuvem com um siem | CMA_0340 - Integre a segurança de aplicações de cloud com um SIEM | Manual, Desativado | 1.1.0 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
Os logs de fluxo do Inspetor de Rede devem ter a análise de tráfego habilitada | A análise de tráfego analisa os logs de fluxo para fornecer informações sobre o fluxo de tráfego na sua nuvem do Azure. Ele pode ser usado para visualizar a atividade de rede em suas assinaturas do Azure e identificar pontos de acesso, identificar ameaças à segurança, entender padrões de fluxo de tráfego, identificar configurações incorretas de rede e muito mais. | Modo de Auditoria, Desativado | 1.0.1 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Fornecer alertas em tempo real para falhas de eventos de auditoria | CMA_C1114 - Fornecer alertas em tempo real para falhas de eventos de auditoria | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Os registos de recursos nas contas Batch devem ser habilitados | Ativação da auditoria de registos de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Key Vault devem ser ativados | Ativação da auditoria de registos de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os registos de recursos nos Logic Apps devem ser ativados | Ativação da auditoria de registos de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.1.0 |
Os logs de recursos nos serviços de Pesquisa devem ser ativados | Ativação da auditoria de registos de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Service Bus devem ser habilitados | Ativação da auditoria de registos de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Revisar os registos de provisionamento da conta | CMA_0460 - Rever registos de provisionamento da conta | Manual, Desativado | 1.1.0 |
Revise as atribuições do administrador semanalmente | CMA_0461 - Revisar as atribuições do administrador semanalmente | Manual, Desativado | 1.1.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Revisão da visão geral do relatório de identidade da nuvem | CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem | Manual, Desativado | 1.1.0 |
Rever eventos de acesso controlado a pastas | CMA_0471 - Revisar eventos de acesso controlado a pastas | Manual, Desativado | 1.1.0 |
Rever eventos de protecção contra exploits | CMA_0472 - Analisar eventos de proteção contra exploração | Manual, Desativado | 1.1.0 |
Rever a atividade de ficheiros e pastas | CMA_0473 - Revisar a atividade de arquivos e pastas | Manual, Desativado | 1.1.0 |
Revisar as alterações do grupo de funções semanalmente | CMA_0476 - Revisar as mudanças do grupo de funções semanalmente | Manual, Desativado | 1.1.0 |
As consultas salvas no Azure Monitor devem ser salvas na conta de armazenamento do cliente para criptografia de logs | Vincule a conta de armazenamento ao espaço de trabalho do Log Analytics para proteger consultas salvas com criptografia de conta de armazenamento. As chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulatória e para ter mais controle sobre o acesso às suas consultas salvas no Azure Monitor. Para obter mais detalhes sobre o acima, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | auditar, Auditar, negar, Negar, desativado, Desativado | 1.1.0 |
A conta de armazenamento que contém o contêiner com registros de atividades deve ser criptografada com BYOK | Esta política audita se a conta de armazenamento que contém o contêiner com logs de atividade está criptografada com BYOK. A política só funciona se, por configuração, a conta de armazenamento estiver na mesma assinatura que os logs de atividade. Mais informações sobre a criptografia do Armazenamento do Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. | AuditIfNotExists, desativado | 1.0.0 |
A extensão Log Analytics deve ser instalada em Conjuntos de Máquinas Virtuais | Esta política audita quaisquer Conjuntos de Dimensionamento de Máquinas Virtuais Windows/Linux se a extensão Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1 |
Detetar e conter atividade de rede anómala no e dentro do ambiente SWIFT local ou remoto.
ID: SWIFT CSCF v2022 6.5A Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
Alertar o pessoal sobre o vazamento de informação | CMA_0007 - Alertar o pessoal sobre vazamento de informação | Manual, Desativado | 1.1.0 |
Autorizar, monitorizar e controlar VoIP | CMA_0025 - Autorizar, monitorar e controlar voip | Manual, Desativado | 1.1.0 |
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Detetar serviços de rede que não foram autorizados ou aprovados | CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados | Manual, Desativado | 1.1.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Operações de segurança de documentos | CMA_0202 - Operações de segurança documental | Manual, Desativado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
O Inspetor de Rede deve estar ativado | O Network Watcher é um serviço regional que permite monitorizar e diagnosticar condições a um nível de cenário de rede dentro, para e a partir do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
Encaminhar o tráfego através de pontos de acesso de rede gerenciados | CMA_0484 - Encaminhe o tráfego através de pontos de acesso de rede gerenciados | Manual, Desativado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
Ative os sensores para a solução de segurança do terminal | CMA_0514 - Ativar sensores para solução de segurança de terminais | Manual, Desativado | 1.1.0 |
7. Plano de Resposta a Incidentes e Partilha de Informações
Assegurar uma abordagem coerente e eficaz para a gestão de ciberincidentes.
ID: SWIFT CSCF v2022 7.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Resolver problemas de segurança da informação | CMA_C1742 - Abordar questões de segurança da informação | Manual, Desativado | 1.1.0 |
A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.2.0 |
A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.1.0 |
Identificar classes de incidentes e ações tomadas | CMA_C1365 - Identificar classes de incidentes e ações tomadas | Manual, Desativado | 1.1.0 |
Incorpore eventos simulados no treinamento de resposta a incidentes | CMA_C1356 - Incorporar eventos simulados no treinamento de resposta a incidentes | Manual, Desativado | 1.1.0 |
Fornecer formação sobre a proteção contra fugas de informações | CMA_0413 - Fornecer formação sobre vazamento de informação | Manual, Desativado | 1.1.0 |
Rever e atualizar políticas e procedimentos de resposta a incidentes | CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes | Manual, Desativado | 1.1.0 |
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
Assegurar que todos os funcionários estão cientes e cumprem as suas responsabilidades de segurança, realizando atividades regulares de sensibilização, e manter o conhecimento de segurança do pessoal com acesso privilegiado.
ID: SWIFT CSCF v2022 7.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
Fornecer treinamento periódico de segurança baseado em funções | CMA_C1095 - Fornecer treinamento periódico de segurança baseado em funções | Manual, Desativado | 1.1.0 |
Fornecer treinamento periódico de conscientização sobre segurança | CMA_C1091 - Fornecer treinamento periódico de conscientização sobre segurança | Manual, Desativado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
Fornecer exercícios práticos baseados em funções | CMA_C1096 - Fornecer exercícios práticos baseados em funções | Manual, Desativado | 1.1.0 |
Fornecer treinamento de segurança baseado em funções | CMA_C1094 - Fornecer treinamento de segurança baseado em funções | Manual, Desativado | 1.1.0 |
Fornecer treinamento baseado em funções sobre atividades suspeitas | CMA_C1097 - Fornecer treinamento baseado em funções sobre atividades suspeitas | Manual, Desativado | 1.1.0 |
Fornecer treinamento de conscientização de segurança para ameaças internas | CMA_0417 - Fornecer treinamento de conscientização de segurança para ameaças internas | Manual, Desativado | 1.1.0 |
Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 - Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desativado | 1.1.0 |
Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desativado | 1.1.0 |
Fornecer treinamento atualizado de conscientização sobre segurança | CMA_C1090 - Fornecer treinamento atualizado de conscientização sobre segurança | Manual, Desativado | 1.1.0 |
Valide a configuração de segurança operacional e identifique lacunas de segurança executando testes de penetração.
ID: SWIFT CSCF v2022 7.3A Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar equipe independente para testes de penetração | CMA_C1171 - Empregar equipe independente para testes de penetração | Manual, Desativado | 1.1.0 |
Exigir que os desenvolvedores criem uma arquitetura de segurança | CMA_C1612 - Exigir que os desenvolvedores criem uma arquitetura de segurança | Manual, Desativado | 1.1.0 |
Avaliar o risco e a prontidão da organização com base em cenários plausíveis de ciberataque.
ID: SWIFT CSCF v2022 7.4A Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar Avaliação de Risco | CMA_C1543 - Realizar Avaliação de Risco | Manual, Desativado | 1.1.0 |
Realizar a avaliação de riscos e distribuir os seus resultados | CMA_C1544 - Realizar a avaliação de riscos e distribuir os seus resultados | Manual, Desativado | 1.1.0 |
Realizar avaliações de risco e documentar seus resultados | CMA_C1542 - Realizar a avaliação de riscos e documentar os seus resultados | Manual, Desativado | 1.1.0 |
Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Rever e atualizar as políticas e procedimentos de avaliação de riscos | CMA_C1537 - Rever e atualizar as políticas e procedimentos de avaliação de riscos | Manual, Desativado | 1.1.0 |
8. Definir e monitorar o desempenho
Assegurar a disponibilidade através da definição formal e do acompanhamento dos objetivos a atingir
ID: SWIFT CSCF v2022 8.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
Desenvolver um plano de contingência | CMA_C1244 - Elaborar plano de contingência | Manual, Desativado | 1.1.0 |
Obter parecer jurídico para monitorizar as atividades do sistema | CMA_C1688 - Obter parecer jurídico para acompanhamento das atividades do sistema | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Planejar a continuidade de funções essenciais de negócios | CMA_C1255 - Plano de continuidade das funções essenciais do negócio | Manual, Desativado | 1.1.0 |
Plano de retomada de funções essenciais do negócio | CMA_C1253 - Plano de retomada de funções essenciais do negócio | Manual, Desativado | 1.1.0 |
Fornecer informações de monitoramento, conforme necessário | CMA_C1689 - Fornecer informações de monitoramento, conforme necessário | Manual, Desativado | 1.1.0 |
Retomar todas as atividades de missão e negócio | CMA_C1254 - Retomar todas as funções de missão e de negócios | Manual, Desativado | 1.1.0 |
Garantir disponibilidade, capacidade e qualidade dos serviços prestados aos clientes
ID: SWIFT CSCF v2022 8.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Conduzir o planejamento de capacidade | CMA_C1252 - Conduzir o planejamento de capacidade | Manual, Desativado | 1.1.0 |
Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
Criar ações alternativas para anomalias identificadas | CMA_C1711 - Criar ações alternativas para anomalias identificadas | Manual, Desativado | 1.1.0 |
Desenvolver um plano de contingência | CMA_C1244 - Elaborar plano de contingência | Manual, Desativado | 1.1.0 |
Notificar o pessoal de qualquer falha nos testes de verificação de segurança | CMA_C1710 - Notificar o pessoal de qualquer falha nos testes de verificação de segurança | Manual, Desativado | 1.1.0 |
Executar a verificação da função de segurança com uma frequência definida | CMA_C1709 - Realizar a verificação da função de segurança com uma frequência definida | Manual, Desativado | 1.1.0 |
Planejar a continuidade de funções essenciais de negócios | CMA_C1255 - Plano de continuidade das funções essenciais do negócio | Manual, Desativado | 1.1.0 |
Garantir a disponibilidade antecipada das versões SWIFTNet e dos padrões FIN para testes adequados pelo cliente antes de entrar em operação.
ID: SWIFT CSCF v2022 8.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Abordar vulnerabilidades de código | CMA_0003 - Resolver vulnerabilidades de codificação | Manual, Desativado | 1.1.0 |
Desenvolver e documentar requisitos de segurança de aplicativos | CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos | Manual, Desativado | 1.1.0 |
Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
Estabeleça um programa seguro de desenvolvimento de software | CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | Manual, Desativado | 1.1.0 |
Exigir que os desenvolvedores implementem apenas as alterações aprovadas | CMA_C1596 - Exigir que os desenvolvedores implementem apenas as alterações aprovadas | Manual, Desativado | 1.1.0 |
Exigir que os desenvolvedores gerenciem a integridade das alterações | CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade das alterações | Manual, Desativado | 1.1.0 |
Exigir que os desenvolvedores apresentem provas da execução do plano de avaliação de segurança | CMA_C1602 - Exigir que os desenvolvedores apresentem provas da execução do plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
Verificar a integridade do software, firmware e informações | CMA_0542 - Verificar a integridade do software, firmware e informação | Manual, Desativado | 1.1.0 |
9. Garantir a disponibilidade através da resiliência
Os prestadores devem assegurar que o serviço permanece disponível para os clientes em caso de perturbação ou mau funcionamento local.
ID: SWIFT CSCF v2022 9.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar testes de resposta a incidentes | CMA_0060 - Realizar testes de resposta a incidentes | Manual, Desativado | 1.1.0 |
Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
Desenvolver um plano de contingência | CMA_C1244 - Elaborar plano de contingência | Manual, Desativado | 1.1.0 |
Desenvolver políticas e procedimentos de planeamento de contingência | CMA_0156 - Desenvolver políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
Distribuir políticas e procedimentos | CMA_0185 - Distribuir políticas e procedimentos | Manual, Desativado | 1.1.0 |
Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
Fornecer treinamento de contingência | CMA_0412 - Fornecer formação em contingência | Manual, Desativado | 1.1.0 |
Executar ataques de simulação | CMA_0486 - Executar ataques de simulação | Manual, Desativado | 1.1.0 |
Os provedores devem garantir que o serviço permaneça disponível para os clientes no caso de um desastre no local.
ID: SWIFT CSCF v2022 9.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar backup da documentação do sistema de informação | CMA_C1289 - Realizar backup da documentação do sistema de informação | Manual, Desativado | 1.1.0 |
Crie locais de armazenamento alternativos e primários separados | CMA_C1269 - Crie locais de armazenamento alternativos e primários separados | Manual, Desativado | 1.1.0 |
Garantir que as proteções alternativas do local de armazenamento sejam equivalentes às do local principal | CMA_C1268 - Garantir que as proteções alternativas do local de armazenamento sejam equivalentes às do local principal | Manual, Desativado | 1.1.0 |
Estabelecer local de armazenamento alternativo que facilite as operações de recuperação | CMA_C1270 - Estabelecer locais de armazenamento alternativos que facilitem as operações de recuperação | Manual, Desativado | 1.1.0 |
Estabeleça um local de armazenamento alternativo para armazenar e recuperar informações de backup | CMA_C1267 - Estabeleça um local de armazenamento alternativo para armazenar e recuperar informações de backup | Manual, Desativado | 1.1.0 |
Estabelecer um local de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desativado | 1.1.0 |
Estabelecer requisitos para os fornecedores de serviços Internet | CMA_0278 - Estabelecer requisitos para os fornecedores de serviços Internet | Manual, Desativado | 1.1.0 |
Identificar e mitigar possíveis problemas em locais de armazenamento alternativos | CMA_C1271 - Identificar e mitigar possíveis problemas em locais de armazenamento alternativos | Manual, Desativado | 1.1.0 |
Preparar local de processamento alternativo para uso como local operacional | CMA_C1278 - Preparar local de processamento alternativo para uso como local operacional | Manual, Desativado | 1.1.0 |
Recupere e reconstitua recursos após qualquer interrupção | CMA_C1295 - Recuperar e reconstituir recursos após qualquer interrupção | Manual, Desativado | 1.1.1 |
Restaurar recursos ao estado operacional | CMA_C1297 - Restaurar os recursos ao estado operacional | Manual, Desativado | 1.1.1 |
Armazene separadamente as informações de backup | CMA_C1293 - Armazene separadamente as informações de backup | Manual, Desativado | 1.1.0 |
Transferir informações de backup para um local de armazenamento alternativo | CMA_C1294 - Transfira informações de backup para um local de armazenamento alternativo | Manual, Desativado | 1.1.0 |
Os serviços de serviços devem assegurar que o serviço permanece disponível para os seus clientes em caso de perturbação, perigo ou incidente.
ID: SWIFT CSCF v2022 9.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver e documentar um plano de continuidade de negócios e recuperação de desastres | CMA_0146 - Desenvolver e documentar um plano de continuidade de negócios e recuperação de desastres | Manual, Desativado | 1.1.0 |
Desenvolver um plano de contingência | CMA_C1244 - Elaborar plano de contingência | Manual, Desativado | 1.1.0 |
Utilize iluminação de emergência automática | CMA_0209 - Utilizar iluminação de emergência automática | Manual, Desativado | 1.1.0 |
Implementar uma metodologia de teste de penetração | CMA_0306 - Implementar uma metodologia de testes de penetração | Manual, Desativado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Rever e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais | Manual, Desativado | 1.1.0 |
Executar ataques de simulação | CMA_0486 - Executar ataques de simulação | Manual, Desativado | 1.1.0 |
A disponibilidade e a qualidade do serviço dos fornecedores são asseguradas através da utilização dos pacotes de conectividade SWIFT recomendados e da largura de banda de linha adequada
ID: SWIFT CSCF v2022 9.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar, monitorizar e controlar VoIP | CMA_0025 - Autorizar, monitorar e controlar voip | Manual, Desativado | 1.1.0 |
Conduzir o planejamento de capacidade | CMA_C1252 - Conduzir o planejamento de capacidade | Manual, Desativado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Encaminhar o tráfego através de pontos de acesso de rede gerenciados | CMA_0484 - Encaminhe o tráfego através de pontos de acesso de rede gerenciados | Manual, Desativado | 1.1.0 |
10. Esteja pronto em caso de desastre de grandes proporções
A continuidade dos negócios é assegurada através de um plano documentado comunicado às partes potencialmente afetadas (bureau de serviços e clientes).
ID: SWIFT CSCF v2022 10.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
Desenvolver um plano de contingência | CMA_C1244 - Elaborar plano de contingência | Manual, Desativado | 1.1.0 |
Planejar a continuidade de funções essenciais de negócios | CMA_C1255 - Plano de continuidade das funções essenciais do negócio | Manual, Desativado | 1.1.0 |
Plano de retomada de funções essenciais do negócio | CMA_C1253 - Plano de retomada de funções essenciais do negócio | Manual, Desativado | 1.1.0 |
Retomar todas as atividades de missão e negócio | CMA_C1254 - Retomar todas as funções de missão e de negócios | Manual, Desativado | 1.1.0 |
11. Monitorização em caso de catástrofe de grandes proporções
Garantir uma abordagem consistente e eficaz para o monitoramento e escalonamento de eventos.
ID: SWIFT CSCF v2022 11.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Operações de segurança de documentos | CMA_0202 - Operações de segurança documental | Manual, Desativado | 1.1.0 |
Obter parecer jurídico para monitorizar as atividades do sistema | CMA_C1688 - Obter parecer jurídico para acompanhamento das atividades do sistema | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Fornecer informações de monitoramento, conforme necessário | CMA_C1689 - Fornecer informações de monitoramento, conforme necessário | Manual, Desativado | 1.1.0 |
Ative os sensores para a solução de segurança do terminal | CMA_0514 - Ativar sensores para solução de segurança de terminais | Manual, Desativado | 1.1.0 |
Assegurar uma abordagem consistente e eficaz para a gestão de incidentes (Problem Management).
ID: SWIFT CSCF v2022 11.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar eventos de segurança da informação | CMA_0013 - Avaliar eventos de segurança da informação | Manual, Desativado | 1.1.0 |
Realizar testes de resposta a incidentes | CMA_0060 - Realizar testes de resposta a incidentes | Manual, Desativado | 1.1.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Desenvolver proteções de segurança | CMA_0161 - Desenvolver salvaguardas de segurança | Manual, Desativado | 1.1.0 |
Operações de segurança de documentos | CMA_0202 - Operações de segurança documental | Manual, Desativado | 1.1.0 |
Ativar a proteção de rede | CMA_0238 - Ativar a proteção de rede | Manual, Desativado | 1.1.0 |
Erradicar a informação contaminada | CMA_0253 - Erradicar a informação contaminada | Manual, Desativado | 1.1.0 |
Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
Executar ações em resposta a vazamentos de informações | CMA_0281 - Executar ações em resposta a vazamentos de informações | Manual, Desativado | 1.1.0 |
Identificar classes de incidentes e ações tomadas | CMA_C1365 - Identificar classes de incidentes e ações tomadas | Manual, Desativado | 1.1.0 |
Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
Incorpore eventos simulados no treinamento de resposta a incidentes | CMA_C1356 - Incorporar eventos simulados no treinamento de resposta a incidentes | Manual, Desativado | 1.1.0 |
Manter registros de violação de dados | CMA_0351 - Manter registos de violação de dados | Manual, Desativado | 1.1.0 |
Manter o plano de resposta a incidentes | CMA_0352 - Manter o plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Proteja o plano de resposta a incidentes | CMA_0405 - Proteger o plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Fornecer formação sobre a proteção contra fugas de informações | CMA_0413 - Fornecer formação sobre vazamento de informação | Manual, Desativado | 1.1.0 |
Rever e atualizar políticas e procedimentos de resposta a incidentes | CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes | Manual, Desativado | 1.1.0 |
Executar ataques de simulação | CMA_0486 - Executar ataques de simulação | Manual, Desativado | 1.1.0 |
Exibir e investigar usuários restritos | CMA_0545 - Ver e investigar utilizadores restritos | Manual, Desativado | 1.1.0 |
Garantir um escalonamento adequado de avarias operacionais em caso de impacto no cliente.
ID: SWIFT CSCF v2022 11.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Automatize o processo para documentar as alterações implementadas | CMA_C1195 - Automatize o processo para documentar as alterações implementadas | Manual, Desativado | 1.1.0 |
Automatize o processo para destacar propostas de alteração não revisadas | CMA_C1193 - Automatize o processo para destacar propostas de alteração não revisadas | Manual, Desativado | 1.1.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Operações de segurança de documentos | CMA_0202 - Operações de segurança documental | Manual, Desativado | 1.1.0 |
Ativar a proteção de rede | CMA_0238 - Ativar a proteção de rede | Manual, Desativado | 1.1.0 |
Erradicar a informação contaminada | CMA_0253 - Erradicar a informação contaminada | Manual, Desativado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
Estabelecer relação entre a capacidade de resposta a incidentes e fornecedores externos | CMA_C1376 - Estabelecer relações entre a capacidade de resposta a incidentes e fornecedores externos | Manual, Desativado | 1.1.0 |
Executar ações em resposta a vazamentos de informações | CMA_0281 - Executar ações em resposta a vazamentos de informações | Manual, Desativado | 1.1.0 |
Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
Exibir e investigar usuários restritos | CMA_0545 - Ver e investigar utilizadores restritos | Manual, Desativado | 1.1.0 |
Um suporte eficaz é oferecido aos clientes no caso de enfrentarem problemas durante o horário comercial.
ID: SWIFT CSCF v2022 11.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Operações de segurança de documentos | CMA_0202 - Operações de segurança documental | Manual, Desativado | 1.1.0 |
Ativar a proteção de rede | CMA_0238 - Ativar a proteção de rede | Manual, Desativado | 1.1.0 |
Erradicar a informação contaminada | CMA_0253 - Erradicar a informação contaminada | Manual, Desativado | 1.1.0 |
Estabelecer relação entre a capacidade de resposta a incidentes e fornecedores externos | CMA_C1376 - Estabelecer relações entre a capacidade de resposta a incidentes e fornecedores externos | Manual, Desativado | 1.1.0 |
Executar ações em resposta a vazamentos de informações | CMA_0281 - Executar ações em resposta a vazamentos de informações | Manual, Desativado | 1.1.0 |
Identificar o pessoal de resposta a incidentes | CMA_0301 - Identificar o pessoal de resposta a incidentes | Manual, Desativado | 1.1.0 |
Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Exibir e investigar usuários restritos | CMA_0545 - Ver e investigar utilizadores restritos | Manual, Desativado | 1.1.0 |
12. Garantir que o conhecimento está disponível
Garantir a qualidade do serviço prestado aos clientes através de colaboradores certificados SWIFT.
ID: SWIFT CSCF v2022 12.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer treinamento periódico de segurança baseado em funções | CMA_C1095 - Fornecer treinamento periódico de segurança baseado em funções | Manual, Desativado | 1.1.0 |
Fornecer treinamento de segurança baseado em funções | CMA_C1094 - Fornecer treinamento de segurança baseado em funções | Manual, Desativado | 1.1.0 |
Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 - Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desativado | 1.1.0 |
Próximos passos
Artigos adicionais sobre a Política do Azure:
- Visão geral da conformidade regulamentar.
- Consulte a estrutura de definição da iniciativa.
- Analise outros exemplos em Exemplos de Política do Azure.
- Veja Compreender os efeitos da política.
- Saiba como corrigir recursos não compatíveis.