Recomendações de segurança

Artigo
04/01/2024

Este artigo lista todas as recomendações de segurança que você pode ver no Microsoft Defender for Cloud. As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada.

As recomendações no Defender for Cloud baseiam-se no benchmark de segurança na nuvem da Microsoft. O benchmark de segurança na nuvem da Microsoft é o conjunto de diretrizes criado pela Microsoft para práticas recomendadas de segurança e conformidade. Esta referência amplamente respeitada baseia-se nos controlos do Center for Internet Security (CIS) e do National Institute of Standards and Technology (NIST), com foco na segurança centrada na nuvem.

Para saber mais sobre as ações que você pode tomar em resposta a essas recomendações, consulte Corrigir recomendações no Defender for Cloud.

Sua pontuação segura é baseada no número de recomendações de segurança que você concluiu. Para decidir quais recomendações resolver primeiro, observe a gravidade de cada recomendação e seu impacto potencial na sua pontuação segura.

Gorjeta

Se a descrição de uma recomendação diz Nenhuma política relacionada, geralmente é porque essa recomendação depende de uma recomendação diferente e de sua política.

Por exemplo, a recomendação Falhas de integridade do endpoint protection devem ser corrigidas baseia-se na recomendação de que verifica se uma solução de endpoint protection está mesmo instalada (a solução de endpoint protection deve ser instalada). A recomendação subjacente tem uma política. Limitar as políticas apenas à recomendação fundamental simplifica o gerenciamento de políticas.

Recomendações do AppServices

O aplicativo de API só deve ser acessível por HTTPS

Descrição: O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. (Política relacionada: API App só deve ser acessível através de HTTPS).

Gravidade: Média

O CORS não deve permitir que todos os recursos acessem aplicativos de API

Descrição: O compartilhamento de recursos entre origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo de API. Permita que apenas os domínios necessários interajam com seu aplicativo de API. (Política relacionada: O CORS não deve permitir que todos os recursos acessem seu aplicativo de API).

Gravidade: Baixa

O CORS não deve permitir que todos os recursos acessem Aplicativos de Função

Descrição: O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. (Política relacionada: O CORS não deve permitir que todos os recursos acessem seus aplicativos de função).

Gravidade: Baixa

O CORS não deve permitir que todos os recursos acessem aplicativos Web

Descrição: O compartilhamento de recursos entre origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo Web. Permita que apenas os domínios necessários interajam com seu aplicativo Web. (Política relacionada: O CORS não deve permitir que todos os recursos acessem seus aplicativos Web).

Gravidade: Baixa

Os logs de diagnóstico no Serviço de Aplicativo devem ser habilitados

Descrição: Ativação de auditoria de logs de diagnóstico no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou sua rede for comprometida (Nenhuma política relacionada).

Gravidade: Média

Verifique se o aplicativo de API tem certificados de cliente de entrada de certificados de cliente definidos como Ativado

Descrição: Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. (Política relacionada: Verifique se o aplicativo de API tem 'Certificados de cliente (certificados de cliente de entrada)' definido como 'Ativado').

Gravidade: Média

FTPS deve ser necessário em aplicativos de API

Descrição: habilite a imposição de FTPS para segurança aprimorada (Política relacionada: FTPS só deve ser necessário em seu aplicativo de API).

Gravidade: Alta

FTPS deve ser necessário em aplicativos de função

Descrição: Habilite a imposição de FTPS para segurança aprimorada (Política relacionada: FTPS só deve ser necessário em seu aplicativo de função).

Gravidade: Alta

FTPS deve ser necessário em aplicativos Web

Descrição: habilite a imposição de FTPS para segurança aprimorada (Política relacionada: FTPS deve ser necessário em seu aplicativo Web).

Gravidade: Alta

O aplicativo de função só deve ser acessível por HTTPS

Descrição: O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. (Política relacionada: Função App só deve ser acessível através de HTTPS).

Gravidade: Média

Os aplicativos de função devem ter os Certificados de Cliente (Certificados de cliente de entrada) habilitados

Descrição: Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente clientes com certificados válidos poderão acessar o aplicativo. (Política relacionada: Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitado).

Gravidade: Média

Java deve ser atualizado para a versão mais recente para aplicativos de API

Descrição: Periodicamente, versões mais recentes são lançadas para Java devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Python para aplicativos de API é recomendado para se beneficiar de correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. (Política relacionada: Certifique-se de que a 'versão Java' é a mais recente, se usada como parte do aplicativo API).

Gravidade: Média

A identidade gerenciada deve ser usada em aplicativos de API

Descrição: Para segurança de autenticação aprimorada, use uma identidade gerenciada. No Azure, as identidades gerenciadas eliminam a necessidade de os desenvolvedores terem que gerenciar credenciais fornecendo uma identidade para o recurso do Azure no Azure AD e usando-a para obter tokens do Azure Ative Directory (Azure AD). (Política relacionada: A identidade gerenciada deve ser usada em seu aplicativo de API).

Gravidade: Média

A identidade gerenciada deve ser usada em aplicativos de função

Gravidade: Média

A identidade gerenciada deve ser usada em aplicativos Web

Gravidade: Média

O Microsoft Defender para Serviço de Aplicativo deve estar habilitado

Descrição: O Microsoft Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como provedor de nuvem para monitorar ataques comuns a aplicativos Web. O Microsoft Defender for App Service pode descobrir ataques em seus aplicativos e identificar ataques emergentes.

Importante: corrigir essa recomendação resultará em cobranças pela proteção de seus planos do Serviço de Aplicativo. Se você não tiver nenhum plano do Serviço de Aplicativo nesta assinatura, nenhuma cobrança será cobrada. Se você criar planos do Serviço de Aplicativo nesta assinatura no futuro, eles serão automaticamente protegidos e as cobranças começarão nesse momento. Saiba mais em Proteja seus aplicativos Web e APIs. (Política relacionada: O Azure Defender for App Service deve estar habilitado).

Gravidade: Alta

PHP deve ser atualizado para a versão mais recente para aplicativos de API

Descrição: Periodicamente, versões mais recentes são lançadas para software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do PHP para aplicativos de API é recomendado para se beneficiar de correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. (Política relacionada: Certifique-se de que a 'versão PHP' é a mais recente, se usada como parte do aplicativo API).

Gravidade: Média

Python deve ser atualizado para a versão mais recente para aplicativos de API

Descrição: Periodicamente, versões mais recentes são lançadas para software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Python para aplicativos de API é recomendado para se beneficiar de correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. (Política relacionada: Certifique-se de que a 'versão Python' é a mais recente, se usada como parte do aplicativo API).

Gravidade: Média

A depuração remota deve ser desativada para o API App

Descrição: A depuração remota requer que as portas de entrada sejam abertas em um aplicativo de API. A depuração remota deve ser desativada. (Política relacionada: A depuração remota deve ser desativada para aplicativos de API).

Gravidade: Baixa

A depuração remota deve ser desativada para o Function App

Descrição: A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Azure Function. A depuração remota deve ser desativada. (Política relacionada: A depuração remota deve ser desativada para Aplicativos de Função).

Gravidade: Baixa

A depuração remota deve ser desativada para aplicativos Web

Descrição: A depuração remota requer que as portas de entrada sejam abertas em um aplicativo Web. A depuração remota está atualmente ativada. Se você não precisar mais usar a depuração remota, ela deverá ser desativada. (Política relacionada: A depuração remota deve ser desativada para Aplicativos Web).

Gravidade: Baixa

TLS deve ser atualizado para a versão mais recente para aplicativos de API

Descrição: atualize para a versão mais recente do TLS. (Política relacionada: A versão mais recente do TLS deve ser usada em seu aplicativo de API).

Gravidade: Alta

TLS deve ser atualizado para a versão mais recente para aplicativos de função

Descrição: atualize para a versão mais recente do TLS. (Política relacionada: A versão mais recente do TLS deve ser usada no seu aplicativo de função).

Gravidade: Alta

TLS deve ser atualizado para a versão mais recente para aplicativos Web

Descrição: atualize para a versão mais recente do TLS. (Política relacionada: A versão mais recente do TLS deve ser usada em seu aplicativo Web).

Gravidade: Alta

O Aplicativo Web só deve ser acessível por HTTPS

Gravidade: Média

Os aplicativos Web devem solicitar um certificado SSL para todas as solicitações de entrada

Descrição: Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. (Política relacionada: Verifique se o aplicativo WEB tem 'Certificados de cliente (certificados de cliente de entrada)' definido como 'Ativado').

Gravidade: Média

Recomendações de computação

Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas

Descrição: habilite os controles de aplicativo para definir a lista de aplicativos seguros conhecidos em execução em suas máquinas e alertá-lo quando outros aplicativos forem executados. Isso ajuda a proteger suas máquinas contra malware. Para simplificar o processo de configuração e manutenção de suas regras, o Defender for Cloud usa aprendizado de máquina para analisar os aplicativos em execução em cada máquina e sugerir a lista de aplicativos seguros conhecidos. (Política relacionada: Controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas).

Gravidade: Alta

As regras de lista de permissões em sua política de controle de aplicativo adaptável devem ser atualizadas

Descrição: monitore alterações no comportamento em grupos de máquinas configuradas para auditoria pelos controles de aplicativos adaptáveis do Defender for Cloud. O Defender for Cloud usa aprendizado de máquina para analisar os processos em execução em suas máquinas e sugerir uma lista de aplicativos seguros conhecidos. Eles são apresentados como aplicativos recomendados para permitir políticas de controle de aplicativos adaptáveis. (Política relacionada: As regras de lista de permissões em sua política de controle de aplicativo adaptável devem ser atualizadas).

Gravidade: Alta

A autenticação em máquinas Linux deve exigir chaves SSH

Descrição: Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais em Etapas detalhadas: Criar e gerenciar chaves SSH para autenticação em uma VM Linux no Azure. (Política relacionada: Auditar máquinas Linux que não estão usando a chave SSH para autenticação).

Gravidade: Média

As variáveis de conta de automação devem ser criptografadas

Descrição: É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais. (Política relacionada: As variáveis de conta de automação devem ser criptografadas).

Gravidade: Alta

O Backup do Azure deve ser habilitado para máquinas virtuais

Descrição: Proteja os dados em suas máquinas virtuais do Azure com o Backup do Azure. O Backup do Azure é uma solução de proteção de dados nativa do Azure, econômica. Ele cria pontos de recuperação que são armazenados em cofres de recuperação com redundância geográfica. Quando restaura a partir de um ponto de recuperação, pode restaurar a VM completa ou ficheiros específicos. (Política relacionada: O Backup do Azure deve ser habilitado para Máquinas Virtuais).

Gravidade: Baixa

Os hosts de contêiner devem ser configurados com segurança

Descrição: corrija vulnerabilidades na configuração de segurança em máquinas com o Docker instalado para protegê-las contra ataques. (Política relacionada: As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas).

Gravidade: Alta

Os logs de diagnóstico no Azure Stream Analytics devem ser habilitados

Descrição: habilite os logs e mantenha-os por até um ano. Isso permite que você recrie trilhas de atividade para fins de investigação quando ocorre um incidente de segurança ou sua rede é comprometida. (Política relacionada: Os logs de diagnóstico no Azure Stream Analytics devem ser habilitados).

Gravidade: Baixa

Os logs de diagnóstico em contas de lote devem ser habilitados

Gravidade: Baixa

Os logs de diagnóstico nos Hubs de Eventos devem ser habilitados

Gravidade: Baixa

Os logs de diagnóstico em aplicativos lógicos devem ser habilitados

Descrição: para garantir que você possa recriar trilhas de atividade para fins de investigação quando ocorrer um incidente de segurança ou sua rede for comprometida, habilite o registro. Se seus logs de diagnóstico não estiverem sendo enviados para um espaço de trabalho do Log Analytics, uma conta de Armazenamento do Azure ou Hubs de Eventos do Azure, certifique-se de ter configurado as configurações de diagnóstico para enviar métricas e logs da plataforma para os destinos relevantes. Saiba mais em Criar configurações de diagnóstico para enviar logs e métricas da plataforma para destinos diferentes. (Política relacionada: Os logs de diagnóstico em aplicativos lógicos devem ser habilitados).

Gravidade: Baixa

Os logs de diagnóstico nos serviços de Pesquisa devem ser habilitados

Gravidade: Baixa

Os logs de diagnóstico no Service Bus devem ser habilitados

Gravidade: Baixa

Os logs de diagnóstico em Conjuntos de Dimensionamento de Máquina Virtual devem ser habilitados

Gravidade: Alta

Problemas de configuração de EDR devem ser resolvidos em máquinas virtuais

Descrição: Para proteger as máquinas virtuais contra as ameaças e vulnerabilidades mais recentes, resolva todos os problemas de configuração identificados com a solução EDR (Endpoint Detection and Response) instalada.
Nota: Atualmente, esta recomendação só se aplica a recursos com o Microsoft Defender for Endpoint (MDE) ativado.

Gravidade: Baixa

A solução EDR deve ser instalada em máquinas virtuais

Descrição: A instalação de uma solução EDR (Endpoint Detection and Response) em máquinas virtuais é importante para a proteção contra ameaças avançadas. Os EDRs ajudam a prevenir, detetar, investigar e responder a essas ameaças. O Microsoft Defender for Servers pode ser usado para implantar o Microsoft Defender for Endpoint. Se um recurso for classificado como "Não íntegro", isso indica a ausência de uma solução EDR suportada. Se uma solução EDR estiver instalada, mas não puder ser detetada por esta recomendação, ela pode ser isenta. Sem uma solução EDR, as máquinas virtuais correm o risco de ameaças avançadas.

Gravidade: Alta

Problemas de integridade da proteção de ponto de extremidade em conjuntos de dimensionamento de máquina virtual devem ser resolvidos

Descrição: corrija falhas de integridade da proteção de ponto de extremidade em seus conjuntos de dimensionamento de máquina virtual para protegê-los contra ameaças e vulnerabilidades. (Política relacionada: A solução de proteção de ponto final deve ser instalada em conjuntos de dimensionamento de máquinas virtuais).

Gravidade: Baixa

A proteção de ponto de extremidade deve ser instalada em conjuntos de dimensionamento de máquinas virtuais

Descrição: instale uma solução de proteção de ponto final em seus conjuntos de dimensionamento de máquinas virtuais para protegê-los contra ameaças e vulnerabilidades. (Política relacionada: A solução de proteção de ponto final deve ser instalada em conjuntos de dimensionamento de máquinas virtuais).

Gravidade: Alta

O monitoramento da integridade de arquivos deve ser habilitado em máquinas

Descrição: O Defender for Cloud identificou máquinas que não possuem uma solução de monitoramento de integridade de arquivos. Para monitorar alterações em arquivos críticos, chaves do Registro e muito mais em seus servidores, habilite o monitoramento da integridade de arquivos. Quando a solução de monitoramento de integridade de arquivos estiver habilitada, crie regras de coleta de dados para definir os arquivos a serem monitorados. Para definir regras ou ver os arquivos alterados em máquinas com regras existentes, vá para a página de gerenciamento de monitoramento de integridade de arquivos. (Nenhuma política relacionada)

Gravidade: Alta

A extensão de Atestado de Convidado deve ser instalada em conjuntos de dimensionamento de máquina virtual Linux suportados

Descrição: Instale a extensão Guest Attestation em conjuntos de escala de máquina virtual Linux suportados para permitir que o Microsoft Defender for Cloud ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se apenas a conjuntos de dimensionamento de máquinas virtuais Linux habilitados para inicialização confiável.

Importante: A inicialização confiável requer a criação de novas máquinas virtuais. Não é possível habilitar a inicialização confiável em máquinas virtuais existentes que foram criadas inicialmente sem ela. Saiba mais sobre o Início confiável para máquinas virtuais do Azure. (Nenhuma política relacionada)

Gravidade: Baixa

A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Linux suportadas

Descrição: Instale a extensão Guest Attestation em máquinas virtuais Linux suportadas para permitir que o Microsoft Defender for Cloud ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Essa avaliação só se aplica a máquinas virtuais Linux habilitadas para inicialização confiável.

Gravidade: Baixa

A extensão de Atestado de Convidado deve ser instalada em conjuntos de dimensionamento de máquina virtual Windows suportados

Descrição: Instale a extensão Atestado de Convidado em conjuntos de escala de máquina virtual suportados para permitir que o Microsoft Defender for Cloud ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Essa avaliação só se aplica a conjuntos de dimensionamento de máquina virtual habilitados para inicialização confiável.

Gravidade: Baixa

A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Windows suportadas

Descrição: Instale a extensão Guest Attestation em máquinas virtuais suportadas para permitir que o Microsoft Defender for Cloud ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Essa avaliação só se aplica a máquinas virtuais habilitadas para inicialização confiável.

Gravidade: Baixa

A extensão Configuração do Convidado deve ser instalada em máquinas

Descrição: Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como o Windows Exploit guard deve ser habilitado. (Política relacionada: As máquinas virtuais devem ter a extensão Configuração de Convidado).

Gravidade: Média

Instalar a solução de proteção de pontos finais em máquinas virtuais

Descrição: Instale uma solução de proteção de ponto de extremidade em suas máquinas virtuais, para protegê-las contra ameaças e vulnerabilidades. (Política relacionada: Monitore o Endpoint Protection ausente na Central de Segurança do Azure).

Gravidade: Alta

As máquinas virtuais Linux devem impor a validação de assinatura do módulo do kernel

Descrição: Para ajudar a mitigar a execução de código mal-intencionado ou não autorizado no modo kernel, imponha a validação de assinatura do módulo kernel em máquinas virtuais Linux suportadas. A validação da assinatura do módulo do kernel garante que apenas os módulos confiáveis do kernel terão permissão para serem executados. Esta avaliação só se aplica a máquinas virtuais Linux que tenham o Azure Monitor Agent instalado. (Nenhuma política relacionada)

Gravidade: Baixa

As máquinas virtuais Linux devem usar apenas componentes de inicialização assinados e confiáveis

Descrição: Com a Inicialização Segura habilitada, todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por editores confiáveis. O Defender for Cloud identificou componentes de inicialização do sistema operacional não confiáveis em uma ou mais de suas máquinas Linux. Para proteger suas máquinas de componentes potencialmente mal-intencionados, adicione-os à sua lista de permissões ou remova os componentes identificados. (Nenhuma política relacionada)

Gravidade: Baixa

As máquinas virtuais Linux devem usar a Inicialização Segura

Descrição: Para proteger contra a instalação de rootkits baseados em malware e kits de inicialização, habilite a Inicialização Segura em máquinas virtuais Linux suportadas. A Inicialização Segura garante que apenas os sistemas operacionais e drivers assinados terão permissão para serem executados. Esta avaliação só se aplica a máquinas virtuais Linux que tenham o Azure Monitor Agent instalado. (Nenhuma política relacionada)

Gravidade: Baixa

O agente do Log Analytics deve ser instalado em máquinas habilitadas para Azure Arc baseadas em Linux

Descrição: o Defender for Cloud usa o agente do Log Analytics (também conhecido como OMS) para coletar eventos de segurança de suas máquinas Azure Arc. Para implantar o agente em todas as suas máquinas Azure Arc, siga as etapas de correção. (Nenhuma política relacionada)

Gravidade: Alta

O agente do Log Analytics deve ser instalado em conjuntos de dimensionamento de máquinas virtuais

Descrição: o Defender for Cloud coleta dados de suas máquinas virtuais (VMs) do Azure para monitorar vulnerabilidades e ameaças de segurança. Os dados são coletados usando o agente do Log Analytics, anteriormente conhecido como Microsoft Monitoring Agent (MMA), que lê várias configurações relacionadas à segurança e logs de eventos da máquina e copia os dados para seu espaço de trabalho para análise. Você também precisará seguir esse procedimento se suas VMs forem usadas por um serviço gerenciado do Azure, como o Serviço Kubernetes do Azure ou o Azure Service Fabric. Não é possível configurar o provisionamento automático do agente para conjuntos de dimensionamento de máquina virtual do Azure. Para implantar o agente em conjuntos de dimensionamento de máquina virtual (incluindo aqueles usados pelos serviços gerenciados do Azure, como o Serviço Kubernetes do Azure e o Azure Service Fabric), siga o procedimento nas etapas de correção. (Política relacionada: O agente do Log Analytics deve ser instalado em seus conjuntos de escala de máquina virtual para monitoramento da Central de Segurança do Azure).

Gravidade: Alta

O agente do Log Analytics deve ser instalado em máquinas virtuais

Descrição: o Defender for Cloud coleta dados de suas máquinas virtuais (VMs) do Azure para monitorar vulnerabilidades e ameaças de segurança. Os dados são coletados usando o agente do Log Analytics, anteriormente conhecido como Microsoft Monitoring Agent (MMA), que lê várias configurações relacionadas à segurança e logs de eventos da máquina e copia os dados para o espaço de trabalho do Log Analytics para análise. Esse agente também é necessário se suas VMs forem usadas por um serviço gerenciado do Azure, como o Serviço Kubernetes do Azure ou o Azure Service Fabric. Recomendamos configurar o provisionamento automático para implantar automaticamente o agente. Se você optar por não usar o provisionamento automático, implante manualmente o agente em suas VMs usando as instruções nas etapas de correção. (Política relacionada: O agente do Log Analytics deve ser instalado em sua máquina virtual para monitoramento da Central de Segurança do Azure).

Gravidade: Alta

O agente do Log Analytics deve ser instalado em máquinas habilitadas para Azure Arc baseadas no Windows

Descrição: o Defender for Cloud usa o agente do Log Analytics (também conhecido como MMA) para coletar eventos de segurança de suas máquinas Azure Arc. Para implantar o agente em todas as suas máquinas Azure Arc, siga as etapas de correção. (Nenhuma política relacionada)

Gravidade: Alta

As máquinas devem ser configuradas de forma segura

Descrição: corrija vulnerabilidades na configuração de segurança em suas máquinas para protegê-las de ataques. (Política relacionada: As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas).

Gravidade: Baixa

As máquinas devem ser reiniciadas para aplicar atualizações de configuração de segurança

Descrição: Para aplicar atualizações de configuração de segurança e proteger contra vulnerabilidades, reinicie as máquinas. Esta avaliação só se aplica a máquinas virtuais Linux que tenham o Azure Monitor Agent instalado. (Nenhuma política relacionada)

Gravidade: Baixa

As máquinas devem ter uma solução de avaliação de vulnerabilidade

Descrição: O Defender for Cloud verifica regularmente as suas máquinas ligadas para garantir que estão a executar ferramentas de avaliação de vulnerabilidades. Use esta recomendação para implantar uma solução de avaliação de vulnerabilidade. (Política relacionada: Uma solução de avaliação de vulnerabilidades deve ser habilitada em suas máquinas virtuais).

Gravidade: Média

As máquinas devem ter as descobertas de vulnerabilidade resolvidas

Descrição: resolva as descobertas das soluções de avaliação de vulnerabilidade em suas máquinas virtuais. (Política relacionada: Uma solução de avaliação de vulnerabilidades deve ser habilitada em suas máquinas virtuais).

Gravidade: Baixa

As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time

Descrição: o Defender for Cloud identificou algumas regras de entrada excessivamente permissivas para portas de gerenciamento em seu Grupo de Segurança de Rede. Habilite o controle de acesso just-in-time para proteger sua VM contra ataques de força bruta baseados na Internet. Saiba mais em Noções básicas sobre o acesso à VM just-in-time (JIT). (Política relacionada: As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time).

Gravidade: Alta

Microsoft Defender para servidores deve estar habilitado

Descrição: O Microsoft Defender para servidores fornece proteção contra ameaças em tempo real para as cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Você pode usar essas informações para corrigir rapidamente problemas de segurança e melhorar a segurança de seus servidores.

Importante: Corrigir essa recomendação resultará em cobranças para proteger seus servidores. Se não tiver servidores nesta subscrição, não serão cobrados encargos. Se você criar quaisquer servidores nesta assinatura no futuro, eles serão automaticamente protegidos e as cobranças começarão nesse momento. Saiba mais em Introdução ao Microsoft Defender para servidores. (Política relacionada: O Azure Defender para servidores deve estar habilitado).

Gravidade: Alta

O Microsoft Defender para servidores deve ser habilitado em espaços de trabalho

Descrição: O Microsoft Defender para servidores oferece deteção de ameaças e defesas avançadas para suas máquinas Windows e Linux. Com este plano Defender ativado em suas assinaturas, mas não em seus espaços de trabalho, você está pagando pela capacidade total do Microsoft Defender para servidores, mas perdendo alguns dos benefícios. Quando você habilita o Microsoft Defender para servidores em um espaço de trabalho, todas as máquinas que se reportam a esse espaço de trabalho serão cobradas pelo Microsoft Defender para servidores, mesmo que estejam em assinaturas sem os planos do Defender habilitados. A menos que você também habilite o Microsoft Defender para servidores na assinatura, essas máquinas não poderão aproveitar o acesso de VM just-in-time, controles de aplicativos adaptáveis e deteções de rede para recursos do Azure. Saiba mais em Introdução ao Microsoft Defender para servidores. (Nenhuma política relacionada)

Gravidade: Média

A Inicialização Segura deve ser habilitada em máquinas virtuais Windows suportadas

Descrição: Habilite a Inicialização Segura em máquinas virtuais Windows suportadas para mitigar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders, kernel e drivers de kernel confiáveis poderão ser executados. Essa avaliação só se aplica a máquinas virtuais Windows habilitadas para inicialização confiável.

Gravidade: Baixa

Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign

Descrição: O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente. (Política relacionada: Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign).

Gravidade: Alta

Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente

Descrição: Execute a autenticação de Cliente somente por meio do Azure Ative Directory no Service Fabric (Política relacionada: os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente).

Gravidade: Alta

As atualizações do sistema em conjuntos de dimensionamento de máquinas virtuais devem ser instaladas

Descrição: Instale a segurança do sistema e as atualizações críticas ausentes para proteger seus conjuntos de dimensionamento de máquinas virtuais Windows e Linux. (Política relacionada: As atualizações do sistema em conjuntos de dimensionamento de máquinas virtuais devem ser instaladas).

Gravidade: Alta

As atualizações do sistema devem ser instaladas em suas máquinas

Descrição: Instale a segurança do sistema e as atualizações críticas ausentes para proteger suas máquinas virtuais e computadores Windows e Linux (Política relacionada: as atualizações do sistema devem ser instaladas em suas máquinas).

Gravidade: Alta

As atualizações do sistema devem ser instaladas em suas máquinas (alimentadas pela Central de Atualizações)

Descrição: Suas máquinas estão faltando atualizações de sistema, segurança e críticas. As atualizações de software geralmente incluem patches críticos para falhas de segurança. Essas falhas são frequentemente exploradas em ataques de malware, por isso é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger suas máquinas, siga as etapas de correção. (Nenhuma política relacionada)

Gravidade: Alta

Os conjuntos de dimensionamento de máquinas virtuais devem ser configurados com segurança

Descrição: corrija vulnerabilidades na configuração de segurança em seus conjuntos de escala de máquina virtual para protegê-los de ataques. (Política relacionada: As vulnerabilidades na configuração de segurança em seus conjuntos de escala de máquina virtual devem ser corrigidas).

Gravidade: Alta

O status do atestado de convidado de máquinas virtuais deve estar íntegro

Descrição: O atestado de convidado é realizado enviando um log confiável (TCGLog) para um servidor de atestado. O servidor usa esses logs para determinar se os componentes de inicialização são confiáveis. Esta avaliação destina-se a detetar comprometimentos da cadeia de inicialização, que podem ser o resultado de uma infeção por bootkit ou rootkit. Essa avaliação só se aplica a máquinas virtuais habilitadas para Inicialização Confiável que tenham a extensão Atestado de Convidado instalada. (Nenhuma política relacionada)

Gravidade: Média

A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema

Descrição: A extensão Configuração de convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais (Política relacionada: a extensão de Configuração de Convidado deve ser implantada em máquinas virtuais do Azure com identidade gerenciada atribuída ao sistema).

Gravidade: Média

As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager

Descrição: As Máquinas Virtuais (clássicas) foram preteridas e essas VMs devem ser migradas para o Gerenciador de Recursos do Azure. Como o Azure Resource Manager agora tem recursos completos de IaaS e outros avanços, substituímos o gerenciamento de máquinas virtuais (VMs) IaaS por meio do Azure Service Manager (ASM) em 28 de fevereiro de 2020. Esta funcionalidade será totalmente desativada em 1º de março de 2023.

Para exibir todas as VMs clássicas afetadas, selecione todas as suas assinaturas do Azure na guia 'diretórios + assinaturas'.

Recursos disponíveis e informações sobre esta ferramenta & migração: Visão geral da descontinuação de máquinas virtuais (clássicas), processo passo a passo para migração e recursos disponíveis da Microsoft.Detalhes sobre a ferramenta de migração Migrar para o Azure Resource Manager.Migre para a ferramenta de migração do Azure Resource Manager usando o PowerShell. (Política relacionada: As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager).

Gravidade: Alta

As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre recursos de computação e armazenamento

Descrição: Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma, os discos temporários e caches de dados não são criptografados e os dados não são criptografados quando fluem entre recursos de computação e armazenamento. Para obter uma comparação de diferentes tecnologias de criptografia de disco no Azure, consulte https://aka.ms/diskencryptioncomparison. Use o Azure Disk Encryption para criptografar todos esses dados. Não tenha em conta esta recomendação se:

Você está usando o recurso de criptografia no host ou 2. A encriptação do lado do servidor em Discos Geridos satisfaz os seus requisitos de segurança. Saiba mais em Criptografia do lado do servidor do Armazenamento em Disco do Azure. (Política relacionada: A criptografia de disco deve ser aplicada em máquinas virtuais)

Gravidade: Alta

vTPM deve ser habilitado em máquinas virtuais suportadas

Descrição: habilite o dispositivo TPM virtual em máquinas virtuais suportadas para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para inicialização confiável.

Gravidade: Baixa

Vulnerabilidades na configuração de segurança em suas máquinas Linux devem ser corrigidas (alimentado pela Configuração de convidado)

Descrição: Corrija vulnerabilidades na configuração de segurança em suas máquinas Linux para protegê-las de ataques. (Política relacionada: As máquinas Linux devem atender aos requisitos da linha de base de segurança do Azure).

Gravidade: Baixa

As vulnerabilidades na configuração de segurança em suas máquinas Windows devem ser corrigidas (alimentadas pela Configuração de convidado)

Descrição: corrija vulnerabilidades na configuração de segurança em suas máquinas Windows para protegê-las de ataques. (Nenhuma política relacionada)

Gravidade: Baixa

O Windows Defender Exploit Guard deve ser habilitado em computadores

Descrição: O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). (Política relacionada: Auditar máquinas Windows nas quais o Windows Defender Exploit Guard não está habilitado).

Gravidade: Média

Os servidores Web do Windows devem ser configurados para usar protocolos de comunicação seguros

Descrição: Para proteger a privacidade das informações comunicadas pela Internet, seus servidores Web devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede usando certificados de segurança para criptografar uma conexão entre máquinas. (Política relacionada: Auditar servidores Web Windows que não estão usando protocolos de comunicação seguros).

Gravidade: Alta

[Preview]: As máquinas virtuais Linux devem habilitar o Azure Disk Encryption ou EncryptionAtHost

Descrição: Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma, os discos temporários e caches de dados não são criptografados e os dados não são criptografados quando fluem entre recursos de computação e armazenamento. Use o Azure Disk Encryption ou EncryptionAtHost para criptografar todos esses dados. Visite https://aka.ms/diskencryptioncomparison para comparar ofertas de criptografia. Essa política requer dois pré-requisitos para ser implantada no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. (Política relacionada: [Pré-visualização]: As máquinas virtuais Linux devem ativar a Encriptação de Disco do Azure ou EncryptionAtHost).

Gravidade: Alta

[Pré-visualização]: As máquinas virtuais do Windows devem ativar a Encriptação de Disco do Azure ou EncryptionAtHost

Descrição: Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma, os discos temporários e caches de dados não são criptografados e os dados não são criptografados quando fluem entre recursos de computação e armazenamento. Use o Azure Disk Encryption ou EncryptionAtHost para criptografar todos esses dados. Visite https://aka.ms/diskencryptioncomparison para comparar ofertas de criptografia. Essa política requer dois pré-requisitos para ser implantada no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. (Política relacionada: [Pré-visualização]: as máquinas virtuais do Windows devem ativar a Encriptação de Disco do Azure ou EncryptionAtHost).

Gravidade: Alta

Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada

Descrição: Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento da máquina virtual. A criptografia no host permite a criptografia em repouso para seus caches de disco temporário e SO/disco de dados. Os discos temporários e efêmeros do sistema operacional são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está ativada. Os caches de disco de SO/dados são criptografados em repouso com chave gerenciada pelo cliente ou gerenciada pela plataforma, dependendo do tipo de criptografia selecionado no disco. Saiba mais em Usar o portal do Azure para habilitar a criptografia de ponta a ponta usando a criptografia no host. (Política relacionada: As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada).

Gravidade: Média

(Pré-visualização) Os servidores HCI do Azure Stack devem atender aos requisitos de núcleo seguro

Descrição: Certifique-se de que todos os servidores HCI do Azure Stack atendam aos requisitos de núcleo seguro. (Política relacionada: A extensão Configuração do Convidado deve ser instalada em máquinas - Microsoft Azure).

Gravidade: Baixa

(Pré-visualização) Os servidores HCI do Azure Stack devem ter políticas de controle de aplicativo aplicadas de forma consistente

Descrição: No mínimo, aplique a política base do Microsoft WDAC no modo imposto em todos os servidores HCI do Azure Stack. As diretivas WDAC (Controle de Aplicativo do Windows Defender) aplicadas devem ser consistentes entre servidores no mesmo cluster. (Política relacionada: A extensão Configuração do Convidado deve ser instalada em máquinas - Microsoft Azure).

Gravidade: Alta

(Pré-visualização) Os sistemas HCI do Azure Stack devem ter volumes criptografados

Descrição: Use o BitLocker para criptografar o sistema operacional e os volumes de dados nos sistemas HCI do Azure Stack. (Política relacionada: A extensão Configuração do Convidado deve ser instalada em máquinas - Microsoft Azure).

Gravidade: Alta

(Pré-visualização) A rede de host e VM deve ser protegida em sistemas HCI do Azure Stack

Descrição: Proteja dados na rede do host HCI do Azure Stack e em conexões de rede de máquina virtual. (Política relacionada: A extensão Configuração do Convidado deve ser instalada em máquinas - Microsoft Azure).

Gravidade: Baixa

Recomendações do contentor

[Pré-visualização] As imagens de contêiner no registro do Azure devem ter as descobertas de vulnerabilidade resolvidas

Descrição: o Defender for Cloud verifica as imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem digitalizada. A verificação e correção de vulnerabilidades para imagens de contêiner no registro ajuda a manter uma cadeia de suprimentos de software segura e confiável, reduz o risco de incidentes de segurança e garante a conformidade com os padrões do setor.

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

[Pré-visualização] Os contêineres em execução no Azure devem ter as descobertas de vulnerabilidade resolvidas

Descrição: o Defender for Cloud cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução em seus clusters Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho combinando as imagens que estão sendo usadas e os relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e correção de vulnerabilidades de cargas de trabalho de contêineres é fundamental para garantir uma cadeia de suprimentos de software robusta e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor.

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

(Ativar, se necessário) Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitação para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando exigido por requisitos de conformidade ou políticas restritivas. Para habilitar essa recomendação, navegue até sua Política de Segurança para obter o escopo aplicável e atualize o parâmetro Effect para a política correspondente para auditar ou impor o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerir políticas de segurança. Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. As CMKs permitem que os dados sejam criptografados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em https://aka.ms/acr/CMK. (Política relacionada: Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente (CMK)).

Gravidade: Baixa

Tipo: Plano de controle

Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada

Descrição: A extensão da Política do Azure para Kubernetes estende o Gatekeeper v3, um webhook do controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. (Nenhuma política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Defender instalada

Descrição: A extensão do Defender para o Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós do plano de controle (mestre) no cluster e os envia para o back-end do Microsoft Defender for Kubernetes na nuvem para análise posterior. (Nenhuma política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado

Descrição: O Microsoft Defender for Containers fornece recursos de segurança do Kubernetes nativos da nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o perfil SecurityProfile.AzureDefender no cluster do Serviço Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais em Introdução ao Microsoft Defender for Containers. (Nenhuma política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Os clusters do Serviço Kubernetes do Azure devem ter o complemento de Política do Azure para Kubernetes instalado

Descrição: O complemento de Política do Azure para Kubernetes estende o Gatekeeper v3, um webhook de controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e salvaguardas em escala em seus clusters de maneira centralizada e consistente. O Defender for Cloud requer o complemento para auditar e aplicar recursos de segurança e conformidade dentro de seus clusters. Mais informações. Requer Kubernetes v1.14.0 ou posterior. (Política relacionada: O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters).

Gravidade: Alta

Tipo: Plano de controle

Os registos de contentores não devem permitir o acesso irrestrito à rede

Descrição: Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de endereços IP públicos específicos ou intervalos de endereços. Se o seu registro não tiver uma regra de IP/firewall ou uma rede virtual configurada, ela aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/portal/public-network e aqui https://aka.ms/acr/vnet. (Política relacionada: Os registos de contentores não devem permitir o acesso irrestrito à rede).

Gravidade: Média

Tipo: Plano de controle

Os registos de contentores devem utilizar a ligação privada

Descrição: O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. (Política relacionada: Os registos de contentores devem utilizar ligação privada).

Gravidade: Média

Tipo: Plano de controle

Os logs de diagnóstico nos serviços do Kubernetes devem ser habilitados

Descrição: habilite os logs de diagnóstico em seus serviços do Kubernetes e mantenha-os por até um ano. Isso permite recriar trilhas de atividade para fins de investigação quando ocorre um incidente de segurança. (Nenhuma política relacionada)

Gravidade: Baixa

Tipo: Plano de controle

O servidor de API do Kubernetes deve ser configurado com acesso restrito

Descrição: Para garantir que apenas aplicativos de redes, máquinas ou sub-redes permitidas possam acessar seu cluster, restrinja o acesso ao seu servidor de API do Kubernetes. Você pode restringir o acesso definindo intervalos de IP autorizados ou configurando seus servidores de API como clusters privados, conforme explicado em Criar um cluster privado do Serviço Kubernetes do Azure. (Política relacionada: Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes).

Gravidade: Alta

Tipo: Plano de controle

O Controle de Acesso Baseado em Função deve ser usado nos Serviços Kubernetes

Descrição: Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. (Política relacionada: O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes).

Gravidade: Alta

Tipo: Plano de controle

Microsoft Defender for Containers deve estar habilitado

Descrição: O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidade e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multicloud. Pode utilizar estas informações para remediar rapidamente problemas de segurança e aumentar a segurança dos contentores.

Importante: Corrigir essa recomendação resultará em cobranças para proteger seus clusters Kubernetes. Se você não tiver nenhum cluster Kubernetes nesta assinatura, nenhuma cobrança será cobrada. Se você criar clusters Kubernetes nesta assinatura no futuro, eles serão automaticamente protegidos e as cobranças começarão nesse momento. Saiba mais em Introdução ao Microsoft Defender for Containers. (Nenhuma política relacionada)

Gravidade: Alta

Tipo: Plano de controle

Os limites de CPU e memória do contêiner devem ser impostos

Descrição: A imposição de limites de CPU e memória evita ataques de esgotamento de recursos (uma forma de ataque de negação de serviço).

Recomendamos definir limites para contêineres para garantir que o tempo de execução impeça que o contêiner use mais do que o limite de recursos configurado.

(Política relacionada: Certifique-se de que os limites de recursos de CPU e memória do contêiner não excedam os limites especificados no cluster do Kubernetes).

Gravidade: Média

Tipo: Kubernetes Plano de dados

As imagens de contêiner devem ser implantadas apenas a partir de registros confiáveis

Descrição: As imagens em execução no cluster do Kubernetes devem vir de registros de imagens de contêiner conhecidos e monitorados. Os registos fidedignos reduzem o risco de exposição do cluster, limitando o potencial de introdução de vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas.

(Política relacionada: Certifique-se de que apenas imagens de contêiner permitidas no cluster do Kubernetes).

Gravidade: Alta

Tipo: Kubernetes Plano de dados

Contêiner com escalonamento de privilégios deve ser evitado

Descrição: os contêineres não devem ser executados com escalonamento de privilégios para fazer root no cluster do Kubernetes. O atributo AllowPrivilegeEscalation controla se um processo pode obter mais privilégios do que seu processo pai. (Política relacionada: Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

Descrição: Para proteger contra o escalonamento de privilégios fora do contêiner, evite o acesso do pod a namespaces de host confidenciais (ID do processo do host e IPC do host) em um cluster Kubernetes. (Política relacionada: Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

Os contêineres só devem usar perfis AppArmor permitidos

Descrição: Os contêineres executados em clusters Kubernetes devem ser limitados apenas aos perfis permitidos do AppArmor. ; AppArmor (Application Armor) é um módulo de segurança Linux que protege um sistema operacional e seus aplicativos contra ameaças à segurança. Para usá-lo, um administrador de sistema associa um perfil de segurança do AppArmor a cada programa. (Política relacionada: Os contêineres de cluster do Kubernetes devem usar apenas perfis permitidos do AppArmor).

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

O sistema de arquivos raiz imutável (somente leitura) deve ser imposto para contêineres

Descrição: Os contêineres devem ser executados com um sistema de arquivos raiz somente leitura no cluster do Kubernetes. O sistema de arquivos imutável protege os contêineres contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH. (Política relacionada: Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

Os clusters Kubernetes devem ser acessíveis somente por HTTPS

Descrição: O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Atualmente, esse recurso está disponível para o Serviço Kubernetes (AKS) e em visualização para o Motor AKS e o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc (Política relacionada: Impor a entrada HTTPS no cluster do Kubernetes).

Gravidade: Alta

Tipo: Kubernetes Plano de dados

Os clusters Kubernetes devem desativar as credenciais de API de montagem automática

Descrição: desative as credenciais da API de montagem automática para impedir que um recurso Pod potencialmente comprometido execute comandos de API em clusters Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. (Política relacionada: Os clusters Kubernetes devem desativar as credenciais de API de montagem automática).

Gravidade: Alta

Tipo: Kubernetes Plano de dados

Os clusters Kubernetes não devem conceder recursos de segurança CAPSYSADMIN

Descrição: Para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, veja https://aka.ms/kubepolicydoc. (Nenhuma política relacionada)

Gravidade: Alta

Tipo: Plano de dados do Kubernetes

Os clusters Kubernetes não devem usar o namespace padrão

Descrição: Impeça o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, veja https://aka.ms/kubepolicydoc. (Política relacionada: Os clusters Kubernetes não devem usar o namespace padrão).

Gravidade: Baixa

Tipo: Plano de dados do Kubernetes

Recursos Linux menos privilegiados devem ser aplicados para contêineres

Descrição: Para reduzir a superfície de ataque do seu contêiner, restrinja os recursos do Linux e conceda privilégios específicos aos contêineres sem conceder todos os privilégios do usuário raiz. Recomendamos descartar todos os recursos e, em seguida, adicionar aqueles que são necessários (Política relacionada: os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

Devem ser evitados contentores privilegiados

Descrição: Para evitar o acesso irrestrito do host, evite contêineres privilegiados sempre que possível.

Os contêineres privilegiados têm todos os recursos raiz de uma máquina host. Eles podem ser usados como pontos de entrada para ataques e para espalhar código malicioso ou malware para aplicativos, hosts e redes comprometidos. (Política relacionada: Não permita contêineres privilegiados no cluster do Kubernetes).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

A execução de contêineres como usuário raiz deve ser evitada

Descrição: Os contêineres não devem ser executados como usuários raiz no cluster do Kubernetes. A execução de um processo como o usuário raiz dentro de um contêiner o executa como root no host. Se houver um comprometimento, um invasor tem root no contêiner e qualquer configuração incorreta se torna mais fácil de explorar. (Política relacionada: Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados).

Gravidade: Alta

Tipo: Kubernetes Plano de dados

Os serviços devem escutar apenas nas portas permitidas

Descrição: Para reduzir a superfície de ataque do cluster Kubernetes, restrinja o acesso ao cluster limitando o acesso dos serviços às portas configuradas. (Política relacionada: Certifique-se de que os serviços escutam somente nas portas permitidas no cluster do Kubernetes).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

O uso de portas e rede de host deve ser restrito

Descrição: Restrinja o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster Kubernetes. Os pods criados com o atributo hostNetwork ativado compartilharão o espaço de rede do nó. Para evitar que o contêiner comprometido detete o tráfego da rede, recomendamos não colocar seus pods na rede host. Se você precisar expor uma porta de contêiner na rede do nó e usar uma porta de nó do Serviço Kubernetes não atender às suas necessidades, outra possibilidade é especificar uma hostPort para o contêiner na especificação do pod (Política relacionada: os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas).

Gravidade: Média

Tipo: Plano de dados do Kubernetes

O uso de montagens de volume do pod HostPath deve ser restrito a uma lista conhecida para restringir o acesso ao nó a partir de contêineres comprometidos

Descrição: Recomendamos limitar as montagens de volume do pod HostPath em seu cluster Kubernetes aos caminhos de host permitidos configurados. Se houver um comprometimento, o acesso do nó do contêiner a partir dos contêineres deve ser restrito. (Política relacionada: Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos).

Gravidade: Média

Tipo: Kubernetes Plano de dados

As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia Qualys)

Descrição: A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades de segurança e expõe descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los de ataques. (Política relacionada: As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas).

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management)

Importante

Esta recomendação está no caminho da reforma. Ele está sendo substituído pela recomendação [[Preview] As imagens de contêiner no registro do Azure devem ter as descobertas de vulnerabilidade resolvidas](#preview-container-images-in-azure-registry-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey33422d8f-ab1e-42be-bc9a-38685bb567b9).

Descrição: A avaliação de vulnerabilidade de imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. (Política relacionada: As vulnerabilidades nas imagens do Registro de Contêiner do Azure devem ser corrigidas).

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management)

Importante

Esta recomendação está no caminho da reforma. Ele está sendo substituído pela recomendação [[Preview] Os contêineres em execução no Azure devem ter as descobertas de vulnerabilidade resolvidas](#preview-containers-running-in-azure-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeye9acaf48-d2cf-45a3-a6e7-3caa2ef769e0).

Descrição: A avaliação de vulnerabilidade de imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas.

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

Recomendações de dados

(Ativar, se necessário) As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitação para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando exigido por requisitos de conformidade ou políticas restritivas. Para habilitar essa recomendação, navegue até sua Política de Segurança para obter o escopo aplicável e atualize o parâmetro Effect para a política correspondente para auditar ou impor o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerir políticas de segurança. Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. As CMKs permitem que os dados sejam criptografados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em https://aka.ms/cosmosdb-cmk. (Política relacionada: As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso).

Gravidade: Baixa

(Ativar, se necessário) Os espaços de trabalho do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente (CMK)

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitação para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando exigido por requisitos de conformidade ou políticas restritivas. Para habilitar essa recomendação, navegue até sua Política de Segurança para obter o escopo aplicável e atualize o parâmetro Effect para a política correspondente para auditar ou impor o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerir políticas de segurança. Gerencie a criptografia no restante dos dados do espaço de trabalho do Azure Machine Learning com chaves gerenciadas pelo cliente (CMK). Por padrão, os dados do cliente são criptografados com chaves gerenciadas por serviço, mas as CMKs geralmente são necessárias para atender aos padrões de conformidade regulamentar. As CMKs permitem que os dados sejam criptografados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em https://aka.ms/azureml-workspaces-cmk. (Política relacionada: Os espaços de trabalho do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente (CMK)).

Gravidade: Baixa

(Ativar, se necessário) As contas dos Serviços Cognitivos devem permitir a encriptação de dados com uma chave gerida pelo cliente (CMK)

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitação para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando exigido por requisitos de conformidade ou políticas restritivas. Para habilitar essa recomendação, navegue até sua Política de Segurança para obter o escopo aplicável e atualize o parâmetro Effect para a política correspondente para auditar ou impor o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerir políticas de segurança. As chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. As CMKs permitem que os dados armazenados nos Serviços Cognitivos sejam criptografados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre a criptografia CMK em https://aka.ms/cosmosdb-cmk. (Política relacionada: As contas dos Serviços Cognitivos devem permitir a encriptação de dados com uma chave gerida pelo cliente? (CMK))

Gravidade: Baixa

(Ativar, se necessário) Os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitação para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando exigido por requisitos de conformidade ou políticas restritivas. Para habilitar essa recomendação, navegue até sua Política de Segurança para obter o escopo aplicável e atualize o parâmetro Effect para a política correspondente para auditar ou impor o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerir políticas de segurança. Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores MySQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. As CMKs permitem que os dados sejam criptografados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. (Política relacionada: Traga sua própria chave de proteção de dados deve ser ativado para servidores MySQL).

Gravidade: Baixa

(Ativar, se necessário) Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitação para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando exigido por requisitos de conformidade ou políticas restritivas. Para habilitar essa recomendação, navegue até sua Política de Segurança para obter o escopo aplicável e atualize o parâmetro Effect para a política correspondente para auditar ou impor o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerir políticas de segurança. Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. As CMKs permitem que os dados sejam criptografados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. (Política relacionada: Traga sua própria chave de proteção de dados deve ser habilitada para servidores PostgreSQL).

Gravidade: Baixa

(Ativar, se necessário) As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitação para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando exigido por requisitos de conformidade ou políticas restritivas. Para habilitar essa recomendação, navegue até sua Política de Segurança para obter o escopo aplicável e atualize o parâmetro Effect para a política correspondente para auditar ou impor o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerir políticas de segurança. A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. (Política relacionada: As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso).

Gravidade: Baixa

(Ativar, se necessário) Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitação para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando exigido por requisitos de conformidade ou políticas restritivas. Para habilitar essa recomendação, navegue até sua Política de Segurança para obter o escopo aplicável e atualize o parâmetro Effect para a política correspondente para auditar ou impor o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerir políticas de segurança. A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. (Política relacionada: Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso).

Gravidade: Baixa

(Ativar, se necessário) As contas de armazenamento devem usar a chave gerenciada pelo cliente (CMK) para criptografia

Descrição: as recomendações para usar chaves gerenciadas pelo cliente para criptografia de dados em repouso não são avaliadas por padrão, mas estão disponíveis para habilitação para cenários aplicáveis. Os dados são criptografados automaticamente usando chaves gerenciadas pela plataforma, portanto, o uso de chaves gerenciadas pelo cliente só deve ser aplicado quando exigido por requisitos de conformidade ou políticas restritivas. Para habilitar essa recomendação, navegue até sua Política de Segurança para obter o escopo aplicável e atualize o parâmetro Effect para a política correspondente para auditar ou impor o uso de chaves gerenciadas pelo cliente. Saiba mais em Gerir políticas de segurança. Proteja sua conta de armazenamento com maior flexibilidade usando chaves gerenciadas pelo cliente (CMKs). Quando você especifica uma CMK, essa chave é usada para proteger e controlar o acesso à chave que criptografa seus dados. O uso de CMKs fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. (Política relacionada: As contas de armazenamento devem usar a chave gerenciada pelo cliente (CMK) para criptografia).

Gravidade: Baixa

Todos os tipos avançados de proteção contra ameaças devem ser habilitados nas configurações avançadas de segurança de dados da instância gerenciada SQL

Descrição: é recomendável habilitar todos os tipos avançados de proteção contra ameaças em suas instâncias gerenciadas pelo SQL. Habilitar todos os tipos protege contra injeção de SQL, vulnerabilidades de banco de dados e quaisquer outras atividades anômalas. (Nenhuma política relacionada)

Gravidade: Média

Todos os tipos avançados de proteção contra ameaças devem ser habilitados nas configurações avançadas de segurança de dados do SQL Server

Descrição: Recomenda-se habilitar todos os tipos avançados de proteção contra ameaças em seus servidores SQL. Habilitar todos os tipos protege contra injeção de SQL, vulnerabilidades de banco de dados e quaisquer outras atividades anômalas. (Nenhuma política relacionada)

Gravidade: Média

Os serviços de gerenciamento de API devem usar uma rede virtual

Descrição: A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável não relacionada à Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou somente dentro da rede virtual. (Política relacionada: Os serviços de Gerenciamento de API devem usar uma rede virtual).

Gravidade: Média

A configuração do aplicativo deve usar link privado

Descrição: O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. (Política relacionada: A Configuração do Aplicativo deve usar link privado).

Gravidade: Média

A retenção de auditoria para servidores SQL deve ser definida como pelo menos 90 dias

Descrição: Auditar servidores SQL configurados com um período de retenção de auditoria inferior a 90 dias. (Política relacionada: Os servidores SQL devem ser configurados com retenção de auditoria de 90 dias ou superior.)

Gravidade: Baixa

A auditoria no SQL Server deve ser habilitada

Descrição: habilite a auditoria no SQL Server para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. (Política relacionada: A auditoria no servidor SQL deve ser habilitada).

Gravidade: Baixa

O provisionamento automático do agente do Log Analytics deve ser habilitado em assinaturas

Descrição: Para monitorar vulnerabilidades e ameaças de segurança, o Microsoft Defender for Cloud coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como Microsoft Monitoring Agent (MMA), que lê várias configurações relacionadas à segurança e logs de eventos da máquina e copia os dados para o espaço de trabalho do Log Analytics para análise. Recomendamos habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e em quaisquer novas que sejam criadas. (Política relacionada: O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura).

Gravidade: Baixa

O Cache Redis do Azure deve residir em uma rede virtual

Descrição: A implantação da Rede Virtual do Azure (VNet) fornece segurança e isolamento aprimorados para seu Cache do Azure para Redis, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Quando uma instância do Cache Redis do Azure é configurada com uma VNet, ela não é endereçável publicamente e só pode ser acessada de máquinas virtuais e aplicativos dentro da VNet. (Política relacionada: O Cache Redis do Azure deve residir em uma rede virtual).

Gravidade: Média

O Banco de Dados do Azure para MySQL deve ter um administrador do Azure Ative Directory provisionado

Descrição: provisione um administrador do Azure AD para seu Banco de Dados do Azure para MySQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft (Política relacionada: um administrador do Ative Directory do Azure deve ser provisionado para servidores MySQL).

Gravidade: Média

O Banco de Dados do Azure para PostgreSQL deve ter um administrador do Azure Ative Directory provisionado

Descrição: provisione um administrador do Azure AD para seu Banco de Dados do Azure para PostgreSQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft
(Política relacionada: Um administrador do Azure Ative Directory deve ser provisionado para servidores PostgreSQL).

Gravidade: Média

As contas do Azure Cosmos DB devem ter regras de firewall

Descrição: as regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra IP definida com o filtro de rede virtual ativado são consideradas compatíveis. As contas que desativam o acesso público também são consideradas compatíveis. (Política relacionada: As contas do Azure Cosmos DB devem ter regras de firewall).

Gravidade: Média

Os domínios da Grade de Eventos do Azure devem usar link privado

Descrição: O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus domínios de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. (Política relacionada: Os domínios da Grade de Eventos do Azure devem usar link privado).

Gravidade: Média

Os tópicos da Grade de Eventos do Azure devem usar o link privado

Descrição: O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear endpoints privados para seus tópicos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. (Política relacionada: Os tópicos da Grade de Eventos do Azure devem usar link privado).

Gravidade: Média

Os espaços de trabalho do Azure Machine Learning devem usar link privado

Descrição: O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus espaços de trabalho do Azure Machine Learning em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/azureml-workspaces-privatelink. (Política relacionada: Os espaços de trabalho do Azure Machine Learning devem usar link privado).

Gravidade: Média

O Serviço Azure SignalR deve usar link privado

Descrição: O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos do SignalR em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/asrs/privatelink. (Política relacionada: O Serviço Azure SignalR deve usar link privado).

Gravidade: Média

Azure Spring Cloud deve usar injeção de rede

Descrição: As instâncias do Azure Spring Cloud devem usar a injeção de rede virtual para as seguintes finalidades: 1. Isole o Azure Spring Cloud da Internet. 2. Habilite o Azure Spring Cloud para interagir com sistemas em data centers locais ou com o serviço do Azure em outras redes virtuais. 3. Capacite os clientes para controlar as comunicações de rede de entrada e saída para o Azure Spring Cloud. (Política relacionada: O Azure Spring Cloud deve usar a injeção de rede).

Gravidade: Média

Os servidores SQL devem ter um administrador do Azure Ative Directory provisionado

Descrição: provisione um administrador do Azure AD para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft. (Política relacionada: Um administrador do Azure Ative Directory deve ser provisionado para servidores SQL).

Gravidade: Alta

O modo de autenticação do Azure Synapse Workspace deve ser Somente Azure Ative Directory

Descrição: O modo de autenticação do Azure Synapse Workspace deve ser Somente Azure Ative Directory Os métodos de autenticação somente do Azure Ative Directory melhoram a segurança, garantindo que os Espaços de Trabalho Synapse exijam exclusivamente identidades do Azure AD para autenticação. Mais informações. (Política relacionada: Os Espaços de Trabalho Synapse devem usar apenas identidades do Azure Ative Directory para autenticação).

Gravidade: Média

As contas dos Serviços Cognitivos devem permitir a encriptação de dados

Descrição: esta política audita qualquer conta de Serviços Cognitivos que não utilize encriptação de dados. Para cada conta de Serviços Cognitivos com armazenamento, deve habilitar a criptografia de dados com chave gerenciada pelo cliente ou gerenciada pela Microsoft. (Política relacionada: As contas dos Serviços Cognitivos devem permitir a encriptação de dados).

Gravidade: Baixa

As contas de Serviços Cognitivos devem usar o armazenamento de propriedade do cliente ou habilitar a criptografia de dados

Descrição: esta política audita qualquer conta de Serviços Cognitivos que não utilize armazenamento de propriedade do cliente nem encriptação de dados. Para cada conta de Serviços Cognitivos com armazenamento, use o armazenamento de propriedade do cliente ou habilite a criptografia de dados. (Política relacionada: As contas dos Serviços Cognitivos devem usar o armazenamento de propriedade do cliente ou habilitar a criptografia de dados.)

Gravidade: Baixa

Os logs de diagnóstico no Repositório Azure Data Lake devem ser habilitados

Gravidade: Baixa

Os logs de diagnóstico no Data Lake Analytics devem ser habilitados

Gravidade: Baixa

A notificação por e-mail para alertas de alta gravidade deve ser ativada

Descrição: para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite notificações por e-mail para alertas de alta gravidade no Defender for Cloud. (Política relacionada: A notificação por e-mail para alertas de alta gravidade deve ser ativada).

Gravidade: Baixa

A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada

Descrição: para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Defender for Cloud. (Política relacionada: A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser ativada).

Gravidade: Média

Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL

Descrição: O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. (Política relacionada: Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL).

Gravidade: Média

Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL

Descrição: O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. (Política relacionada: Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL).

Gravidade: Média

Os aplicativos de função devem ter as descobertas de vulnerabilidade resolvidas

Descrição: A verificação de vulnerabilidades em tempo de execução para funções verifica seus aplicativos funcionais em busca de vulnerabilidades de segurança e expõe descobertas detalhadas. Resolver as vulnerabilidades pode melhorar muito a postura de segurança de seus aplicativos sem servidor e protegê-los de ataques. (Nenhuma política relacionada)

Gravidade: Alta

O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB

Descrição: O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opções de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida ao criar um servidor. (Política relacionada: O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB).

Gravidade: Baixa

O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL

Descrição: O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opções de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida ao criar um servidor. (Política relacionada: O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL).

Gravidade: Baixa

O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL

Descrição: O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opções de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida ao criar um servidor. (Política relacionada: O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL).

Gravidade: Baixa

Os repositórios do GitHub devem ter a verificação de código habilitada

Descrição: O GitHub usa a verificação de código para analisar o código a fim de encontrar vulnerabilidades de segurança e erros no código. A verificação de código pode ser usada para localizar, triar e priorizar correções para problemas existentes em seu código. A verificação de código também pode impedir que os desenvolvedores introduzam novos problemas. As verificações podem ser agendadas para dias e horários específicos, ou podem ser acionadas quando ocorre um evento específico no repositório, como um push. Se a verificação de código encontrar uma vulnerabilidade ou erro potencial no código, o GitHub exibirá um alerta no repositório. Uma vulnerabilidade é um problema no código de um projeto que pode ser explorado para danificar a confidencialidade, integridade ou disponibilidade do projeto. (Nenhuma política relacionada)

Gravidade: Média

Os repositórios do GitHub devem ter a verificação Dependabot ativada

Descrição: O GitHub envia alertas do Dependabot quando deteta vulnerabilidades nas dependências de código que afetam os repositórios. Uma vulnerabilidade é um problema no código de um projeto que pode ser explorado para danificar a confidencialidade, integridade ou disponibilidade do projeto ou de outros projetos que usam seu código. As vulnerabilidades variam em tipo, gravidade e método de ataque. Quando o código depende de um pacote que tem uma vulnerabilidade de segurança, essa dependência vulnerável pode causar uma série de problemas. (Nenhuma política relacionada)

Gravidade: Média

Os repositórios do GitHub devem ter a verificação secreta ativada

Descrição: O GitHub verifica os repositórios em busca de tipos conhecidos de segredos, para evitar o uso fraudulento de segredos que foram acidentalmente cometidos em repositórios. A verificação secreta verificará todo o histórico do Git em todas as ramificações presentes no repositório GitHub em busca de quaisquer segredos. Exemplos de segredos são tokens e chaves privadas que um provedor de serviços pode emitir para autenticação. Se um segredo for verificado em um repositório, qualquer pessoa que tenha acesso de leitura ao repositório poderá usá-lo para acessar o serviço externo com esses privilégios. Os segredos devem ser armazenados em um local dedicado e seguro fora do repositório do projeto. (Nenhuma política relacionada)

Gravidade: Alta

Os servidores do Banco de Dados SQL do Microsoft Defender for Azure devem ser habilitados

Descrição: O Microsoft Defender for SQL é um pacote unificado que fornece recursos avançados de segurança SQL. Ele inclui funcionalidade para revelar e mitigar possíveis vulnerabilidades do banco de dados, detetar atividades anômalas que possam indicar uma ameaça ao seu banco de dados e descobrir e classificar dados confidenciais. Importante: As proteções deste plano são cobradas conforme mostrado na página de planos do Defender. Se você não tiver nenhum servidor do Banco de Dados SQL do Azure nesta assinatura, não será cobrado. Se, posteriormente, criar servidores da Base de Dados SQL do Azure nesta subscrição, estes serão automaticamente protegidos e as cobranças começarão. Saiba mais sobre os detalhes de preços por região. Saiba mais em Introdução ao Microsoft Defender para SQL. (Política relacionada: Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados).

Gravidade: Alta

Microsoft Defender para DNS deve estar habilitado

Descrição: O Microsoft Defender para DNS fornece uma camada adicional de proteção para seus recursos de nuvem monitorando continuamente todas as consultas DNS de seus recursos do Azure. O Defender for DNS alerta-o sobre atividades suspeitas na camada DNS. Saiba mais em Introdução ao Microsoft Defender para DNS. Habilitar este plano Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços do Defender for Cloud: Preços do Defender for Cloud. (Nenhuma política relacionada)

Gravidade: Alta

O Microsoft Defender para bancos de dados relacionais de código aberto deve ser habilitado

Descrição: O Microsoft Defender para bancos de dados relacionais de código aberto deteta atividades anômalas indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais em Introdução ao Microsoft Defender para bancos de dados relacionais de código aberto.

Importante: habilitar esse plano resultará em cobranças para proteger seus bancos de dados relacionais de código aberto. Se você não tiver nenhum banco de dados relacional de código aberto nesta assinatura, nenhuma cobrança será cobrada. Se você criar bancos de dados relacionais de código aberto nesta assinatura no futuro, eles serão automaticamente protegidos e as cobranças começarão nesse momento. (Nenhuma política relacionada)

Gravidade: Alta

O Microsoft Defender for Resource Manager deve estar habilitado

Descrição: O Microsoft Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Defender for Cloud deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais em Introdução ao Microsoft Defender for Resource Manager. Habilitar este plano Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços do Defender for Cloud: Preços do Defender for Cloud. (Nenhuma política relacionada)

Gravidade: Alta

O Microsoft Defender para SQL em máquinas deve ser habilitado em espaços de trabalho

Gravidade: Média

Microsoft Defender para SQL servidores em máquinas deve ser habilitado

Importante: Corrigir essa recomendação resultará em cobranças para proteger seus servidores SQL em máquinas. Se você não tiver nenhum servidor SQL em máquinas nesta assinatura, nenhuma cobrança será cobrada. Se você criar quaisquer servidores SQL em máquinas com essa assinatura no futuro, eles serão automaticamente protegidos e as cobranças começarão nesse momento. Saiba mais sobre o Microsoft Defender para servidores SQL em máquinas. (Política relacionada: O Azure Defender para SQL servers em máquinas deve ser habilitado).

Gravidade: Alta

O Microsoft Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos

Descrição: O Microsoft Defender for SQL é um pacote unificado que fornece recursos avançados de segurança SQL. Ele revela e mitiga possíveis vulnerabilidades do banco de dados e deteta atividades anômalas que podem indicar uma ameaça ao seu banco de dados. O Microsoft Defender for SQL é cobrado conforme mostrado nos detalhes de preços por região. (Política relacionada: A segurança avançada de dados deve ser habilitada em seus servidores SQL).

Gravidade: Alta

O Microsoft Defender for SQL deve ser habilitado para instâncias gerenciadas SQL desprotegidas

Gravidade: Alta

O Microsoft Defender for Storage deve estar habilitado

Descrição: O Microsoft Defender para armazenamento deteta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. Importante: As proteções deste plano são cobradas conforme mostrado na página de planos do Defender. Se não tiver quaisquer contas de Armazenamento do Azure nesta subscrição, não será cobrado. Se, posteriormente, criar contas de Armazenamento do Azure nesta subscrição, estas serão automaticamente protegidas e as cobranças começarão. Saiba mais sobre os detalhes de preços por região. Saiba mais em Introdução ao Microsoft Defender for Storage. (Política relacionada: O Azure Defender for Storage deve estar habilitado).

Gravidade: Alta

O Inspetor de Rede deve estar ativado

Descrição: o Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma exibição de nível de rede de ponta a ponta. As ferramentas de diagnóstico e visualização de rede disponíveis com o Observador de Rede ajudam-no a compreender, diagnosticar e obter informações sobre a sua rede no Azure. (Política relacionada: O Inspetor de Rede deve estar ativado).

Gravidade: Baixa

As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas

Descrição: As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. (Política relacionada: As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas).

Gravidade: Média

Ponto de extremidade privado deve ser habilitado para servidores MariaDB

Descrição: As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. (Política relacionada: O ponto de extremidade privado deve ser habilitado para servidores MariaDB).

Gravidade: Média

Ponto de extremidade privado deve ser habilitado para servidores MySQL

Descrição: As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. (Política relacionada: O ponto de extremidade privado deve ser habilitado para servidores MySQL).

Gravidade: Média

Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL

Descrição: As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. (Política relacionada: O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL).

Gravidade: Média

O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado

Descrição: desabilitar a propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. (Política relacionada: O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado).

Gravidade: Média

O acesso à rede pública deve ser desativado para servidores MariaDB

Descrição: desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MariaDB só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. (Política relacionada: O acesso à rede pública deve ser desativado para servidores MariaDB).

Gravidade: Média

O acesso à rede pública deve ser desativado para servidores MySQL

Descrição: desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MySQL só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. (Política relacionada: O acesso à rede pública deve ser desativado para servidores MySQL).

Gravidade: Média

O acesso à rede pública deve ser desabilitado para servidores PostgreSQL

Descrição: desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para PostgreSQL só possa ser acessado a partir de um ponto de extremidade privado. Esta configuração desativa o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os inícios de sessão que correspondam a regras de firewall baseadas em IP ou rede virtual. (Política relacionada: O acesso à rede pública deve ser desativado para servidores PostgreSQL).

Gravidade: Média

O Cache Redis deve permitir acesso somente via SSL

Descrição: Habilite apenas conexões via SSL para Cache Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão. (Política relacionada: Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas).

Gravidade: Alta

Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas

Descrição: A avaliação de vulnerabilidades do SQL verifica o banco de dados em busca de vulnerabilidades de segurança e expõe quaisquer desvios das práticas recomendadas, como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança do seu banco de dados. Saiba mais (Política relacionada: as vulnerabilidades em seus bancos de dados SQL devem ser corrigidas).

Gravidade: Alta

As instâncias gerenciadas pelo SQL devem ter a avaliação de vulnerabilidades configurada

Descrição: a avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. (Política relacionada: A avaliação de vulnerabilidades deve ser habilitada na Instância Gerenciada SQL).

Gravidade: Alta

Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas

Gravidade: Alta

Os servidores SQL devem ter um administrador do Azure Ative Directory provisionado

Gravidade: Alta

Os servidores SQL devem ter a avaliação de vulnerabilidades configurada

Gravidade: Alta

A conta de armazenamento deve usar uma conexão de link privado

Descrição: Os links privados impõem uma comunicação segura, fornecendo conectividade privada à conta de armazenamento (Política relacionada: a conta de armazenamento deve usar uma conexão de link privado).

Gravidade: Média

As contas de armazenamento devem ser migradas para novos recursos do Azure Resource Manager

Descrição: para se beneficiar dos novos recursos do Azure Resource Manager, você pode migrar implantações existentes do modelo de implantação Clássico. O Resource Manager permite aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas em ARM, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança. Saiba mais (Política relacionada: as contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager).

Gravidade: Baixa

As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual

Descrição: proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como método preferencial em vez de filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. (Política relacionada: As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual).

Gravidade: Média

As subscrições devem ter um endereço de e-mail de contacto para questões de segurança

Descrição: para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, defina um contato de segurança para receber notificações por e-mail do Defender for Cloud. (Política relacionada: As subscrições devem ter um endereço de e-mail de contacto para questões de segurança)

Gravidade: Baixa

A criptografia de dados transparente em bancos de dados SQL deve ser habilitada

Descrição: habilite a criptografia de dados transparente para proteger os dados em repouso e atender aos requisitos de conformidade (Política relacionada: a criptografia de dados transparente em bancos de dados SQL deve ser habilitada).

Gravidade: Baixa

Os modelos do Construtor de Imagens de VM devem usar link privado

Descrição: Auditar modelos do Construtor de Imagens de VM que não têm uma rede virtual configurada. Quando uma rede virtual não é configurada, um IP público é criado e usado, o que pode expor diretamente os recursos à Internet e aumentar a superfície de ataque potencial. (Política relacionada: Os modelos do VM Image Builder devem usar link privado).

Gravidade: Média

O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway

Descrição: Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Também pode restringir o acesso às suas aplicações Web por países/regiões, intervalos de endereços IP e outros parâmetros http(s) através de regras personalizadas. (Política relacionada: O Web Application Firewall (WAF) deve estar habilitado para o Application Gateway).

Gravidade: Baixa

O Web Application Firewall (WAF) deve ser habilitado para o serviço Azure Front Door Service

Gravidade: Baixa

Os Serviços Cognitivos devem usar link privado

Descrição: O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados. (Política relacionada: Os Serviços Cognitivos devem usar link privado).

Gravidade: Média

O Azure Cosmos DB deve desabilitar o acesso à rede pública

Descrição: Desativar o acesso à rede pública melhora a segurança, garantindo que sua conta do Cosmos DB não seja exposta na Internet pública. A criação de endpoints privados pode limitar a exposição da sua conta do Cosmos DB. Mais informações. (Política relacionada: O Azure Cosmos DB deve desabilitar o acesso à rede pública).

Gravidade: Média

As contas do Cosmos DB devem usar link privado

Descrição: O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do Cosmos DB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados. (Política relacionada: As contas do Cosmos DB devem usar link privado).

Gravidade: Média

O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente

Descrição: Definir a versão TLS como 1.2 ou mais recente melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado de clientes que usam TLS 1.2 ou mais recente. O uso de versões do TLS inferiores a 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. (Política relacionada: O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente).

Gravidade: Média

As Instâncias Gerenciadas SQL do Azure devem desabilitar o acesso à rede pública

Descrição: A desativação do acesso à rede pública (ponto de extremidade público) nas Instâncias Gerenciadas SQL do Azure melhora a segurança, garantindo que elas só possam ser acessadas de dentro de suas redes virtuais ou por meio de Pontos de Extremidade Privados. Saiba mais sobre o acesso à rede pública. (Política relacionada: As Instâncias Gerenciadas SQL do Azure devem desabilitar o acesso à rede pública).

Gravidade: Média

As contas de armazenamento devem impedir o acesso à chave compartilhada

Descrição: Requisito de auditoria do Azure Ative Directory (Azure AD) para autorizar solicitações para sua conta de armazenamento. Por padrão, as solicitações podem ser autorizadas com credenciais do Azure Ative Directory ou usando a chave de acesso da conta para autorização de Chave Compartilhada. Desses dois tipos de autorização, o Azure AD oferece segurança superior e facilidade de uso em relação à chave compartilhada e é recomendado pela Microsoft. (Política relacionada: política)

Gravidade: Média

Recomendações de identidade e acesso

Devem ser designados um máximo de 3 proprietários para subscrições

Descrição: para reduzir o potencial de violações por contas de proprietário comprometidas, recomendamos limitar o número de contas de proprietário a um máximo de 3 (Política relacionada: um máximo de 3 proprietários devem ser designados para sua assinatura).

Gravidade: Alta

Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA

Descrição: Se você usar apenas senhas para autenticar seus usuários, estará deixando um vetor de ataque aberto. Os usuários geralmente usam senhas fracas para vários serviços. Ao habilitar a autenticação multifator (MFA), você fornece melhor segurança para suas contas, ao mesmo tempo em que permite que seus usuários se autentiquem em praticamente qualquer aplicativo com logon único (SSO). A autenticação multifator é um processo pelo qual os usuários são solicitados, durante o processo de login, para outra forma de identificação. Por exemplo, um código pode ser enviado para o telemóvel ou pode ser-lhes pedido um escaneamento de impressões digitais. Recomendamos que você habilite a MFA para todas as contas que têm permissões de proprietário nos recursos do Azure, para evitar violações e ataques. Mais detalhes e perguntas frequentes estão disponíveis aqui: Gerenciar a imposição de autenticação multifator (MFA) em suas assinaturas (Nenhuma política relacionada).

Gravidade: Alta

Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA

Descrição: Se você usar apenas senhas para autenticar seus usuários, estará deixando um vetor de ataque aberto. Os usuários geralmente usam senhas fracas para vários serviços. Ao habilitar a autenticação multifator (MFA), você fornece melhor segurança para suas contas, ao mesmo tempo em que permite que seus usuários se autentiquem em praticamente qualquer aplicativo com logon único (SSO). A autenticação multifator é um processo pelo qual os usuários são solicitados, durante o processo de entrada, para uma forma adicional de identificação. Por exemplo, um código pode ser enviado para o telemóvel ou pode ser-lhes pedido um escaneamento de impressões digitais. Recomendamos que você habilite o MFA para todas as contas que têm permissões de leitura nos recursos do Azure, para evitar violações e ataques. Mais detalhes e perguntas frequentes estão disponíveis aqui. (Nenhuma política relacionada)

Gravidade: Alta

Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA

Descrição: Se você usar apenas senhas para autenticar seus usuários, estará deixando um vetor de ataque aberto. Os usuários geralmente usam senhas fracas para vários serviços. Ao habilitar a autenticação multifator (MFA), você fornece melhor segurança para suas contas, ao mesmo tempo em que permite que seus usuários se autentiquem em praticamente qualquer aplicativo com logon único (SSO). A autenticação multifator é um processo pelo qual os usuários são solicitados, durante o processo de entrada, para uma forma adicional de identificação. Por exemplo, um código pode ser enviado para o telemóvel ou pode ser-lhes pedido um escaneamento de impressões digitais. Recomendamos que você habilite a MFA para todas as contas que têm permissões de gravação nos recursos do Azure, para evitar violações e ataques. Mais detalhes e perguntas frequentes estão disponíveis aqui: Gerenciar a imposição de autenticação multifator (MFA) em suas assinaturas (Nenhuma política relacionada).

Gravidade: Alta

As contas do Azure Cosmos DB devem usar o Azure Ative Directory como o único método de autenticação

Descrição: A melhor maneira de autenticar nos serviços do Azure é usando o RBAC (Controle de Acesso Baseado em Função). O RBAC permite manter o princípio de privilégio mínimo e suporta a capacidade de revogar permissões como um método eficaz de resposta quando comprometido. Você pode configurar sua conta do Azure Cosmos DB para impor o RBAC como o único método de autenticação. Quando a imposição é configurada, todos os outros métodos de acesso serão negados (chaves primárias/secundárias e tokens de acesso). (Nenhuma política relacionada)

Gravidade: Média

Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas

Descrição: as contas que foram bloqueadas para iniciar sessão no Ative Directory devem ser removidas dos seus recursos do Azure. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem notados. (Nenhuma política relacionada)

Gravidade: Alta

Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas

Gravidade: Alta

Contas preteridas devem ser removidas de assinaturas

Descrição: As contas de utilizador que foram bloqueadas para iniciar sessão devem ser removidas das suas subscrições. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem notados. (Política relacionada: As contas preteridas devem ser removidas da sua subscrição).

Gravidade: Alta

Contas preteridas com permissões de proprietário devem ser removidas das assinaturas

Descrição: As contas de utilizador que foram bloqueadas para iniciar sessão devem ser removidas das suas subscrições. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem notados. (Política relacionada: Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura).

Gravidade: Alta

Os logs de diagnóstico no Cofre da Chave devem ser habilitados

Gravidade: Baixa

Contas externas com permissões de proprietário devem ser removidas das assinaturas

Descrição: As contas com permissões de proprietário com nomes de domínio diferentes (contas externas) devem ser removidas da sua subscrição. Isso evita o acesso não monitorado. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem notados. (Política relacionada: As contas externas com permissões de proprietário devem ser removidas da sua subscrição).

Gravidade: Alta

Contas externas com permissões de leitura devem ser removidas das assinaturas

Descrição: As contas com permissões de leitura com nomes de domínio diferentes (contas externas) devem ser removidas da sua subscrição. Isso evita o acesso não monitorado. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem notados. (Política relacionada: Contas externas com permissões de leitura devem ser removidas da sua assinatura).

Gravidade: Alta

Contas externas com permissões de gravação devem ser removidas das assinaturas

Descrição: As contas com permissões de escrita com nomes de domínio diferentes (contas externas) devem ser removidas da sua subscrição. Isso evita o acesso não monitorado. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem notados. (Política relacionada: Contas externas com permissões de gravação devem ser removidas da sua assinatura).

Gravidade: Alta

O firewall deve ser ativado no Cofre da Chave

Descrição: O firewall do cofre de chaves impede que o tráfego não autorizado chegue ao cofre de chaves e fornece uma camada adicional de proteção para seus segredos. Habilite o firewall para garantir que apenas o tráfego de redes permitidas possa acessar seu cofre de chaves. (Política relacionada: O firewall deve ser ativado no Cofre da Chave).

Gravidade: Média

Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas

Descrição: as contas com permissões de proprietário que foram provisionadas fora do locatário do Azure Ative Directory (nomes de domínio diferentes) devem ser removidas dos recursos do Azure. As contas de convidado não são gerenciadas com os mesmos padrões que as identidades de locatário corporativo. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem notados. (Nenhuma política relacionada)

Gravidade: Alta

Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas

Descrição: as contas com permissões de leitura que foram provisionadas fora do locatário do Azure Ative Directory (nomes de domínio diferentes) devem ser removidas dos recursos do Azure. As contas de convidado não são gerenciadas com os mesmos padrões que as identidades de locatário corporativo. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem notados. (Nenhuma política relacionada)

Gravidade: Alta

Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas

Descrição: Contas com permissões de gravação que foram provisionadas fora do locatário do Azure Ative Directory (nomes de domínio diferentes) devem ser removidas dos recursos do Azure. As contas de convidado não são gerenciadas com os mesmos padrões que as identidades de locatário corporativo. Essas contas podem ser alvos de invasores que procuram encontrar maneiras de acessar seus dados sem serem notados. (Nenhuma política relacionada)

Gravidade: Alta

As chaves do Cofre da Chave devem ter uma data de expiração

Descrição: As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas. (Política relacionada: As chaves do Cofre da Chave devem ter uma data de validade).

Gravidade: Alta

Os segredos do Cofre de Chaves devem ter uma data de validade

Descrição: Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um atacante em potencial mais tempo para comprometê-los. É uma prática de segurança recomendada definir datas de validade em segredos. (Política relacionada: Os segredos do Cofre de Chaves devem ter uma data de validade).

Gravidade: Alta

Os cofres de chaves devem ter a proteção contra limpeza ativada

Descrição: A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Um insider mal-intencionado em sua organização pode potencialmente excluir e limpar cofres de chaves. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. (Política relacionada: Os cofres de chaves devem ter a proteção contra limpeza ativada).

Gravidade: Média

Os cofres de chaves devem ter a exclusão suave ativada

Descrição: A exclusão de um cofre de chaves sem a exclusão automática habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão suave permite que você recupere um cofre de chaves excluído acidentalmente por um período de retenção configurável. (Política relacionada: Os cofres de chaves devem ter a exclusão suave ativada).

Gravidade: Alta

O MFA deve ser habilitado em contas com permissões de proprietário em assinaturas

Descrição: A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. (Política relacionada: MFA deve ser habilitado em contas com permissões de proprietário em sua assinatura).

Gravidade: Alta

O MFA deve ser habilitado em contas com permissões de leitura em assinaturas

Descrição: A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. (Política relacionada: MFA deve ser habilitado em contas com permissões de leitura em sua assinatura).

Gravidade: Alta

O MFA deve ser habilitado em contas com permissões de gravação em assinaturas

Descrição: A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. (Política relacionada: MFA deve ser habilitado contas com permissões de gravação em sua assinatura).

Gravidade: Alta

O Microsoft Defender for Key Vault deve estar habilitado

Descrição: O Microsoft Defender for Cloud inclui o Microsoft Defender for Key Vault, fornecendo uma camada adicional de inteligência de segurança. O Microsoft Defender for Key Vault deteta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas do Key Vault. Importante: As proteções deste plano são cobradas conforme mostrado na página de planos do Defender. Se não tiver cofres de chaves nesta subscrição, não lhe será cobrado. Se, mais tarde, criar cofres de chaves nesta subscrição, estes serão automaticamente protegidos e as cobranças começarão. Saiba mais sobre os detalhes de preços por região. Saiba mais em Introdução ao Microsoft Defender for Key Vault. (Política relacionada: O Azure Defender for Key Vault deve estar habilitado).

Gravidade: Alta

Ponto de extremidade privado deve ser configurado para o Cofre da Chave

Descrição: O link privado fornece uma maneira de conectar o Cofre da Chave aos seus recursos do Azure sem enviar tráfego pela Internet pública. O link privado fornece proteção de defesa em profundidade contra a exfiltração de dados. (Política relacionada: O ponto de extremidade privado deve ser configurado para o Cofre da Chave).

Gravidade: Média

O acesso público da conta de armazenamento não deve ser permitido

Descrição: o acesso público de leitura anónimo a contentores e blobs no Armazenamento do Azure é uma forma conveniente de partilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. (Política relacionada: O acesso público da conta de armazenamento deve ser proibido).

Gravidade: Média

Deve haver mais de um proprietário atribuído a assinaturas

Descrição: Designe mais de um proprietário de assinatura para ter redundância de acesso de administrador. (Política relacionada: Deve haver mais de um proprietário atribuído à sua assinatura).

Gravidade: Alta

O período de validade dos certificados armazenados no Azure Key Vault não deve exceder 12 meses

Descrição: Certifique-se de que os seus certificados não têm um período de validade superior a 12 meses. (Política relacionada: Os certificados devem ter o período de validade máximo especificado).

Gravidade: Média

As identidades superprovisionadas do Azure devem ter apenas as permissões necessárias (Visualização)

Descrição: Identidades superprovisionadas, ou sobre identidades permitidas, não usam muitas das permissões concedidas. Regularmente permissões de tamanho correto dessas identidades para reduzir o risco de uso indevido de permissões, acidentais ou mal-intencionadas. Esta ação diminui o raio de explosão potencial durante um incidente de segurança.

Gravidade: Média

As superidentidades em seu ambiente do Azure devem ser removidas (Visualização)

Descrição: Super Identidade é qualquer identidade humana ou de carga de trabalho, como usuários, Entidades de Serviço e funções sem servidor que tenham permissões de administrador e possam executar qualquer ação em qualquer recurso na infraestrutura. As Super Identidades são de risco extremamente alto, pois qualquer uso indevido de permissões maliciosas ou acidentais pode resultar em interrupção catastrófica do serviço, degradação do serviço ou vazamento de dados. As Super Identidades representam uma enorme ameaça à infraestrutura de nuvem. Muitas superidentidades podem criar riscos excessivos e aumentar o raio de explosão durante uma violação.

Gravidade: Média

As identidades não utilizadas em seu ambiente do Azure devem ser removidas (Visualização)

Descrição: Identidades Inativas são as identidades que não executaram nenhuma ação em nenhum recurso de infraestrutura nos últimos 90 dias. As identidades inativas representam um risco significativo para sua organização, pois podem ser usadas por invasores para obter acesso e executar tarefas em seu ambiente.

Gravidade: Média

Recomendações de IoT

A Política de Filtro IP Padrão deve ser Negar

Descrição: A Configuração do Filtro IP deve ter regras definidas para o tráfego permitido e deve negar todos os outros tráfegos por padrão (Nenhuma política relacionada).

Gravidade: Média

Os logs de diagnóstico no Hub IoT devem ser habilitados

Gravidade: Baixa

Credenciais de autenticação idênticas

Descrição: credenciais de autenticação idênticas ao Hub IoT usado por vários dispositivos. Isso pode indicar um dispositivo ilegítimo se passando por um dispositivo legítimo. Ele também expõe o risco de representação do dispositivo por um invasor (Nenhuma política relacionada).

Gravidade: Alta

Regra de filtro de IP de grande intervalo de IP

Descrição: O intervalo de IP de origem de uma regra Permitir Filtro IP é muito grande. Regras excessivamente permissivas podem expor seu hub IoT a intenders mal-intencionados (sem política relacionada).

Gravidade: Média

Recomendações de redes

O acesso a contas de armazenamento com firewall e configurações de rede virtual deve ser restrito

Descrição: Reveja as definições de acesso à rede nas definições da firewall da sua conta de armazenamento. Recomendamos configurar regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP públicos da Internet. (Política relacionada: As contas de armazenamento devem restringir o acesso à rede).

Gravidade: Baixa

As recomendações de proteção de rede adaptável devem ser aplicadas em máquinas virtuais voltadas para a Internet

Descrição: O Defender for Cloud analisou os padrões de comunicação de tráfego da Internet das máquinas virtuais listadas abaixo e determinou que as regras existentes nos NSGs associados a elas são excessivamente permissivas, resultando em um aumento da superfície de ataque potencial. Isso normalmente ocorre quando esse endereço IP não se comunica regularmente com esse recurso. Como alternativa, o endereço IP foi sinalizado como malicioso pelas fontes de inteligência de ameaças do Defender for Cloud. Saiba mais em Melhore sua postura de segurança de rede com proteção de rede adaptável. (Política relacionada: As recomendações de proteção de rede adaptativa devem ser aplicadas em máquinas virtuais voltadas para a Internet).

Gravidade: Alta

Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual

Descrição: o Defender for Cloud identificou algumas das regras de entrada dos seus grupos de segurança de rede como sendo demasiado permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. (Política relacionada: Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual).

Gravidade: Alta

O Azure DDoS Protection Standard deve ser habilitado

Descrição: O Defender for Cloud descobriu redes virtuais com recursos do Application Gateway desprotegidos pelo serviço de proteção contra DDoS. Esses recursos contêm IPs públicos. Habilite a mitigação de ataques volumétricos e de protocolo de rede. (Política relacionada: O Azure DDoS Protection Standard deve estar habilitado).

Gravidade: Média

As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede

Descrição: proteja sua VM contra ameaças potenciais restringindo o acesso a ela com um NSG (grupo de segurança de rede). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua VM de outras instâncias, dentro ou fora da mesma sub-rede. Para manter sua máquina o mais segura possível, o acesso da VM à Internet deve ser restrito e um NSG deve ser habilitado na sub-rede. As VMs com severidade 'Alta' são VMs voltadas para a Internet. (Política relacionada: As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede).

Gravidade: Alta

O encaminhamento de IP em sua máquina virtual deve ser desabilitado

Descrição: O Defender for Cloud descobriu que o encaminhamento de IP está habilitado em algumas de suas máquinas virtuais. Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. (Política relacionada: O Encaminhamento de IP na sua máquina virtual deve ser desativado).

Gravidade: Média

As máquinas devem ter portas fechadas que possam expor vetores de ataque

Descrição: os termos de utilização do Azure proíbem a utilização dos serviços do Azure de formas que possam danificar, desativar, sobrecarregar ou prejudicar qualquer servidor da Microsoft ou a rede. Esta recomendação lista as portas expostas que precisam ser fechadas para sua segurança contínua. Também ilustra a ameaça potencial a cada porto. (Nenhuma política relacionada)

Gravidade: Alta

As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time

Gravidade: Alta

As portas de gerenciamento devem ser fechadas em suas máquinas virtuais

Descrição: As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. (Política relacionada: As portas de gerenciamento devem ser fechadas em suas máquinas virtuais).

Gravidade: Média

As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede

Descrição: proteja sua máquina virtual não voltada para a Internet contra ameaças potenciais restringindo o acesso a ela com um NSG (grupo de segurança de rede). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua VM de outras instâncias, estejam elas na mesma sub-rede ou não. Observe que, para manter sua máquina o mais segura possível, o acesso da VM à Internet deve ser restrito e um NSG deve ser habilitado na sub-rede. (Política relacionada: As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede).

Gravidade: Baixa

A transferência segura para contas de armazenamento deve ser ativada

Descrição: A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques de camada de rede, como man-in-the-middle, escutas e sequestro de sessão. (Política relacionada: A transferência segura para contas de armazenamento deve ser ativada).

Gravidade: Alta

As sub-redes devem ser associadas a um grupo de segurança de rede

Descrição: proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um grupo de segurança de rede (NSG). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. Quando um NSG é associado a uma sub-rede, as regras de ACL se aplicam a todas as instâncias de VM e serviços integrados nessa sub-rede, mas não se aplicam ao tráfego interno dentro da sub-rede. Para proteger recursos na mesma sub-rede uns dos outros, habilite o NSG diretamente nos recursos também. Observe que os seguintes tipos de sub-rede serão listados como não aplicáveis: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Política relacionada: As sub-redes devem estar associadas a um Grupo de Segurança de Rede).

Gravidade: Baixa

As redes virtuais devem ser protegidas pelo Firewall do Azure

Descrição: Algumas das suas redes virtuais não estão protegidas por uma firewall. Utilize a Firewall do Azure para restringir o acesso às suas redes virtuais e prevenir potenciais ameaças. (Política relacionada: Todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado).

Gravidade: Baixa

Recomendações da API

O Microsoft Defender para APIs deve estar habilitado

Descrição da política relacionada a APIs: habilite o plano do Defender for APIs para descobrir e proteger recursos da API contra ataques e configurações incorretas de segurança. Mais informações

Gravidade: Alta

As APIs de Gerenciamento de API do Azure devem ser integradas ao Defender for APIs

Descrição da política relacionada a s.: a integração de APIs ao Defender for APIs requer computação e utilização de memória no serviço de Gerenciamento de API do Azure. Monitore o desempenho do seu serviço de Gerenciamento de API do Azure enquanto integra APIs e dimensione seus recursos de Gerenciamento de API do Azure conforme necessário.

Gravidade: Alta

Os pontos de extremidade de API que não são usados devem ser desabilitados e removidos do serviço de Gerenciamento de API do Azure

Descrição da política relacionada a s.: como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço de Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança. Essas podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas acidentalmente foram deixadas ativas. Essas APIs normalmente não recebem a cobertura de segurança mais atualizada.

Gravidade: Baixa

Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados

Descrição da política relacionada a s.: os pontos de extremidade de API publicados no Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Por vezes, os mecanismos de autenticação são implementados incorretamente ou estão em falta. Isso permite que os invasores explorem falhas de implementação e acessem dados. Para APIs publicadas no Gerenciamento de API do Azure, essa recomendação avalia a autenticação por meio da verificação da presença de chaves de assinatura do Gerenciamento de API do Azure para APIs ou produtos em que a assinatura é necessária e a execução de políticas para validar JWT, certificados de cliente e tokens Microsoft Entra. Se nenhum desses mecanismos de autenticação for executado durante a chamada de API, a API receberá essa recomendação.

Gravidade: Alta

Recomendações de gerenciamento de API

As assinaturas de Gerenciamento de API não devem ter escopo para todas as APIs

Descrição da política relacionada a API: as assinaturas do Gerenciamento de API devem ter como escopo um produto ou uma API individual em vez de todas as APIs, o que pode resultar em exposição excessiva de dados.

Gravidade: Média

As chamadas de gerenciamento de API para back-ends de API não devem ignorar a impressão digital do certificado ou a validação de nome

Descrição & política relacionada: O Gerenciamento de API deve validar o certificado do servidor back-end para todas as chamadas de API. Habilite a impressão digital do certificado SSL e a validação de nome para melhorar a segurança da API.

Gravidade: Média

O ponto de extremidade de gerenciamento direto do Gerenciamento de API não deve ser habilitado

Descrição Política relacionada a s.: A API REST de gerenciamento direto no Gerenciamento de API do Azure ignora os mecanismos de controle de acesso, autorização e limitação baseados em função do Azure Resource Manager, aumentando assim a vulnerabilidade do seu serviço.

Gravidade: Baixa

As APIs de gerenciamento de API devem usar apenas protocolos criptografados

Descrição & política relacionada: As APIs devem estar disponíveis apenas por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos não seguros, como HTTP ou WS para garantir a segurança dos dados em trânsito.

Gravidade: Alta

Os valores nomeados do segredo do Gerenciamento de API devem ser armazenados no Cofre de Chaves do Azure

Descrição & política relacionada: Os valores nomeados são uma coleção de pares de nome e valor em cada serviço de Gerenciamento de API. Os valores secretos podem ser armazenados como texto criptografado no Gerenciamento de API (segredos personalizados) ou fazendo referência a segredos no Cofre de Chaves do Azure. Referenciar valores nomeados de segredo do Azure Key Vault para melhorar a segurança do Gerenciamento de API e segredos. O Azure Key Vault dá suporte a gerenciamento de acesso granular e políticas de rotação de segredos.

Gravidade: Média

O Gerenciamento de API deve desabilitar o acesso de rede pública aos pontos de extremidade de configuração do serviço

Descrição da política relacionada a Ads: Para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade a pontos de extremidade de configuração de serviço, como API de gerenciamento de acesso direto, ponto de extremidade de gerenciamento de configuração Git ou ponto de extremidade de configuração de gateways auto-hospedados.

Gravidade: Média

A versão mínima da API de Gerenciamento de API deve ser definida como 2019-12-01 ou superior

Descrição da política relacionada a Ads: Para evitar que segredos de serviço sejam compartilhados com usuários somente leitura, a versão mínima da API deve ser definida como 2019-12-01 ou superior.

Gravidade: Média

As chamadas de gerenciamento de API para back-ends de API devem ser autenticadas

Descrição da política relacionada a s.: As chamadas do Gerenciamento de API para back-ends devem usar alguma forma de autenticação, seja por meio de certificados ou credenciais. Não se aplica a back-ends do Service Fabric.

Gravidade: Média

Recomendações de IA

Os logs de recursos nos Espaços de Trabalho do Azure Machine Learning devem ser habilitados (Visualização)

Descrição da política relacionada a s.: os logs de recursos permitem a recriação de trilhas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida.

Gravidade: Média

Os Espaços de Trabalho do Azure Machine Learning devem desativar o acesso à rede pública (Pré-visualização)

Descrição Política relacionada a s.: A desativação do acesso à rede pública melhora a segurança, garantindo que os espaços de trabalho de Machine Learning não sejam expostos na Internet pública. Em vez disso, você pode controlar a exposição de seus espaços de trabalho criando pontos de extremidade privados. Para obter mais informações, consulte Configurar um ponto de extremidade privado para um espaço de trabalho do Azure Machine Learning.

Gravidade: Média

Os Cálculos do Azure Machine Learning devem estar em uma rede virtual (Visualização)

Descrição da política relacionada a s.: as Redes Virtuais do Azure fornecem segurança e isolamento aprimorados para seus Clusters e Instâncias de Computação do Azure Machine Learning, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Quando uma computação é configurada com uma rede virtual, ela não é endereçável publicamente e só pode ser acessada de máquinas virtuais e aplicativos dentro da rede virtual.

Gravidade: Média

Os Cálculos do Azure Machine Learning devem ter métodos de autenticação local desativados (Pré-visualização)

Descrição Política relacionada a s.: A desativação de métodos de autenticação local melhora a segurança, garantindo que os Cálculos de Aprendizado de Máquina exijam identidades do Azure Ative Directory exclusivamente para autenticação. Para obter mais informações, consulte Controles de conformidade regulatória da política do Azure para o Azure Machine Learning.

Gravidade: Média

As instâncias de computação do Azure Machine Learning devem ser recriadas para obter as atualizações de software mais recentes (Pré-visualização)

Descrição da política relacionada ao Azure: garanta que as instâncias de computação do Aprendizado de Máquina do Azure sejam executadas no sistema operacional disponível mais recente. A segurança é melhorada e as vulnerabilidades reduzidas através da execução com os patches de segurança mais recentes. Para obter mais informações, consulte Gerenciamento de vulnerabilidades para o Azure Machine Learning.

Gravidade: Média

Os logs de recursos no Azure Databricks Workspaces devem ser habilitados (Visualização)

Gravidade: Média

Os Espaços de Trabalho do Azure Databricks devem desativar o acesso à rede pública (Pré-visualização)

Descrição Política relacionada a s.: A desativação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode controlar a exposição de seus recursos criando pontos de extremidade privados. Para obter mais informações, consulte Habilitar o link privado do Azure.

Gravidade: Média

Os Clusters do Azure Databricks devem desativar o IP público (Pré-visualização)

Descrição Política relacionada a s.: A desativação do IP público de clusters nos Espaços de Trabalho do Azure Databricks melhora a segurança, garantindo que os clusters não sejam expostos na Internet pública. Para obter mais informações, consulte Conectividade segura de cluster.

Gravidade: Média

Os Espaços de Trabalho do Azure Databricks devem estar em uma rede virtual (Visualização)

Descrição da política relacionada a s.: as Redes Virtuais do Azure fornecem segurança e isolamento aprimorados para seus Espaços de Trabalho do Azure Databricks, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Para obter mais informações, consulte Implantar o Azure Databricks em sua rede virtual do Azure.

Gravidade: Média

Os Espaços de Trabalho do Azure Databricks devem usar link privado (Visualização)

Descrição da política relacionada a s.: o Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Databricks, você pode reduzir os riscos de vazamento de dados. Para obter mais informações, consulte Criar o espaço de trabalho e os pontos de extremidade privados na interface do usuário do portal do Azure.

Gravidade: Média

Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede

Descrição: Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o recurso de serviço de IA do Azure.

Gravidade: Média

Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local)

Descrição: Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Mais informações.

Gravidade: Média

Recomendações preteridas

Identidades provisionadas em excesso em assinaturas devem ser investigadas para reduzir o PCI (Permission Creep Index)

Descrição: identidades provisionadas em excesso na assinatura devem ser investigadas para reduzir o PCI (Permission Creep Index) e proteger sua infraestrutura. Reduza o PCI removendo as atribuições de permissão de alto risco não utilizadas. PCI alto reflete o risco associado às identidades com permissões que excedem seu uso normal ou necessário (Nenhuma política relacionada).

Gravidade: Média

Identidades provisionadas em excesso em contas devem ser investigadas para reduzir o PCI (Permission Creep Index)

Descrição: identidades provisionadas em excesso em contas devem ser investigadas para reduzir o PCI (Permission Creep Index) e proteger sua infraestrutura. Reduza o PCI removendo as atribuições de permissão de alto risco não utilizadas. PCI alto reflete o risco associado às identidades com permissões que excedem seu uso normal ou necessário.

Gravidade: Média

O acesso aos Serviços de Aplicativos deve ser restrito

Descrição da política relacionada: restrinja o acesso aos seus Serviços de Aplicativo alterando a configuração de rede para negar o tráfego de entrada de intervalos muito amplos. (Política relacionada: [Pré-visualização]: o acesso aos Serviços da Aplicação deve ser restringido).

Gravidade: Alta

As regras para aplicativos Web em NSGs IaaS devem ser reforçadas

Descrição da política relacionada a Ads: Proteja o NSG (grupo de segurança de rede) de suas máquinas virtuais que executam aplicativos Web, com regras NSG excessivamente permissivas em relação às portas de aplicativos Web. (Política relacionada: As regras dos NSGs para aplicações Web em IaaS devem ser reforçadas).

Gravidade: Alta

As Políticas de Segurança do Pod devem ser definidas para reduzir o vetor de ataque removendo privilégios de aplicativos desnecessários (Visualização)

Descrição & política relacionada: Defina políticas de segurança do pod para reduzir o vetor de ataque removendo privilégios de aplicativos desnecessários. Recomenda-se configurar políticas de segurança de pods para que os pods só possam acessar recursos que eles têm permissão para acessar. (Política relacionada: [Visualização]: as Políticas de Segurança do Pod devem ser definidas nos Serviços Kubernetes).

Gravidade: Média

Instale o módulo de segurança da Central de Segurança do Azure para IoT para obter mais visibilidade em seus dispositivos IoT

Descrição da política relacionada a Ads: instale o módulo de segurança da Central de Segurança do Azure para IoT para obter mais visibilidade em seus dispositivos IoT.

Gravidade: Baixa

Suas máquinas devem ser reiniciadas para aplicar atualizações do sistema

Descrição & política relacionada: Reinicie suas máquinas para aplicar as atualizações do sistema e proteger a máquina contra vulnerabilidades. (Política relacionada: As atualizações do sistema devem ser instaladas em suas máquinas).

Gravidade: Média

O agente de monitoramento deve ser instalado em suas máquinas

Descrição & política relacionada: Esta ação instala um agente de monitoramento nas máquinas virtuais selecionadas. Selecione um espaço de trabalho para o agente reportar. (Nenhuma política relacionada)

Gravidade: Alta

Java deve ser atualizado para a versão mais recente para aplicativos Web

Descrição & política relacionada: Periodicamente, versões mais recentes são lançadas para software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se o uso da versão mais recente do Java para aplicativos Web para se beneficiar de correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. (Política relacionada: Certifique-se de que a 'versão Java' é a mais recente, se usada como parte do aplicativo Web).

Gravidade: Média

Python deve ser atualizado para a versão mais recente para aplicativos de função

Descrição & política relacionada: Periodicamente, versões mais recentes são lançadas para software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Python para aplicativos funcionais é recomendado para se beneficiar de correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. (Política relacionada: Certifique-se de que a 'versão Python' é a mais recente, se usada como parte do aplicativo Function).

Gravidade: Média

Python deve ser atualizado para a versão mais recente para aplicativos web

Descrição & política relacionada: Periodicamente, versões mais recentes são lançadas para software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se usar a versão mais recente do Python para aplicativos Web para se beneficiar de correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. (Política relacionada: Certifique-se de que a 'versão Python' é a mais recente, se usada como parte do aplicativo Web).

Gravidade: Média

Java deve ser atualizado para a versão mais recente para aplicativos de função

Descrição & política relacionada: Periodicamente, versões mais recentes são lançadas para software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se o uso da versão mais recente do Java para aplicativos funcionais para se beneficiar de correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. (Política relacionada: Certifique-se de que a 'versão Java' é a mais recente, se usada como parte do aplicativo Função).

Gravidade: Média

PHP deve ser atualizado para a versão mais recente para aplicativos web

Descrição & política relacionada: Periodicamente, versões mais recentes são lançadas para software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se usar a versão mais recente do PHP para aplicativos Web para se beneficiar de correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. (Política relacionada: Certifique-se de que a 'versão PHP' é a mais recente, se usada como parte do aplicativo WEB).

Gravidade: Média

Problemas de integridade da proteção de endpoint em máquinas devem ser resolvidos

Descrição: resolva problemas de integridade da proteção de endpoint em suas máquinas virtuais para protegê-las contra as ameaças e vulnerabilidades mais recentes. Consulte a documentação das soluções de proteção de endpoint suportadas pelo Defender for Cloud e as avaliações de proteção de endpoint. (Nenhuma política relacionada)

Gravidade: Média

A proteção de ponto final deve ser instalada em máquinas

Descrição: Para proteger as máquinas contra ameaças e vulnerabilidades, instale uma solução de proteção de endpoint suportada. Saiba mais sobre como a proteção de endpoint para máquinas é avaliada em Avaliação e recomendações de proteção de endpoint no Microsoft Defender for Cloud. (Nenhuma política relacionada)

Gravidade: Alta

O acesso à rede pública deve ser desativado para contas de Serviços Cognitivos

Descrição: esta política audita qualquer conta de Serviços Cognitivos em seu ambiente com o acesso à rede pública habilitado. O acesso à rede pública deve ser desativado para que apenas sejam permitidas ligações a partir de terminais privados. (Política relacionada: O acesso à rede pública deve ser desativado para contas de Serviços Cognitivos).

Gravidade: Média