Ferramenta de Automatização de Conformidade de Aplicações para o Microsoft 365
Neste artigo, irá aprender o que é a Ferramenta de Automatização de Conformidade de Aplicações para o Microsoft 365 (ACAT) e como simplifica a conformidade e a obtenção da Certificação do Microsoft 365.
Observação
O ACAT está atualmente em pré-visualização pública e só suporta aplicações criadas no Azure. No futuro, também suportará aplicações criadas noutras clouds ou misturas de clouds diferentes.
Observação
Se quiser fornecer comentários à pré-visualização pública do ACAT, preencha este formulário. A equipa de produtos ACAT irá contactá-lo o mais rapidamente possível assim que recebermos as suas mensagens.
O que é a Ferramenta de Automatização de Conformidade de Aplicações para o Microsoft 365
A Ferramenta de Automatização de Conformidade de Aplicações para o Microsoft 365 (ACAT) é um serviço no portal do Azure que ajuda a simplificar o percurso de conformidade para qualquer aplicação que consuma dados de clientes do Microsoft 365 e é publicada através do Centro de Parceiros. É uma ferramenta de automatização de conformidade centrada na aplicação que o ajuda a concluir a Certificação do Microsoft 365 com maior facilidade e conveniência. Em Pré-visualização Pública, o ACAT está disponível para aplicações em execução no Azure.
Com esta ferramenta, poderá definir rapidamente o limite de conformidade para as suas aplicações, monitorizar automaticamente os resultados de conformidade e concluir a auditoria de conformidade mais facilmente. O limite de conformidade é a infraestrutura de cloud que suporta a entrega da aplicação e quaisquer sistemas de back-end com os quais a aplicação possa estar a comunicar.
Além de fornecer um caminho mais rápido para a Certificação do Microsoft 365, o ACAT pode ajudá-lo em vários cenários de conformidade para aplicações do Microsoft 365:
- Passos detalhados de visualização e remediação das responsabilidades de Certificação do Microsoft 365.
- Relatórios diários automáticos para o ajudar a obter resultados de conformidade continuamente.
- Melhores práticas de segurança e conformidade que podem ser utilizadas como orientação na fase inicial do ciclo de vida da sua aplicação.
Benefícios do ACAT
Percurso de conformidade centrado na aplicação.
- O ACAT comunica avaliações de compatibilidade para o ambiente na cloud das suas aplicações, que pode integrar com a sua estratégia de conformidade de infraestrutura de cloud atual.
- Os programadores podem invocar a ACAT mesmo durante a fase de desenvolvimento de aplicações.
Acelera o processo de certificação do Microsoft 365.
- O ACAT automatiza totalmente determinados controlos de Certificação do Microsoft 365.
- Existe uma lista de automatização em constante crescimento que está a ser desenvolvida ativamente pela Microsoft.
Integração nativa com o fluxo de trabalho certificação do Microsoft 365.
- O ACAT está totalmente integrado no Centro de Parceiros para fins de Certificação do Microsoft 365.
Mantenha a aplicação ou o ambiente em conformidade continuamente.
- O ACAT garante atualizações diárias de avaliações de compatibilidade, adaptando-as à definição de hora do acionador especificada.
- O ACAT permite-lhe integrar de forma totalmente integrada as avaliações de compatibilidade no GitHub Actions ou noutros pipelines de CI/CD, garantindo a monitorização contínua.
Conceitos do ACAT
Relatório de Conformidade Regulamentar
No ACAT, pode auditar o estado de conformidade da aplicação ao criar um relatório de conformidade para o mesmo. Pode definir o limite de conformidade para a sua aplicação ao especificar os recursos do Azure que criam a aplicação. Crie vários relatórios para uma aplicação, com base em diferentes ambientes e fases de desenvolvimento.
Assim que o relatório é criado, o ACAT começa a recolher os dados de compatibilidade na hora predefinida do acionador e, em seguida, gera os resultados de compatibilidade como um relatório automaticamente. Entretanto, a ACAT continua a monitorizar continuamente as alterações de conformidade do relatório de conformidade até optar por eliminar o relatório.
Controlo de Certificação do Microsoft 365
O ACAT acelera a Certificação do Microsoft 365 ao automatizar os controlos de conformidade. Com base no estado de automatização, existem três tipos de controlos de conformidade definidos no ACAT.
- Controlo totalmente automatizado: o controlo de certificação da Microsoft é totalmente automatizado pelo ACAT.
- Controlo manual automatizado parcial: o ACAT pode automatizar responsabilidades parciais do controlo de Certificação do Microsoft 365. Tem de seguir as instruções fornecidas pelo ACAT para completar as restantes responsabilidades.
- Controlo totalmente manual: tem de seguir as instruções fornecidas pelo ACAT para completar todas as responsabilidades.
A longo prazo, o ACAT melhora continuamente a cobertura de automatização dos controlos de Certificação do Microsoft 365.
Responsabilidade do cliente
Existe um conjunto de responsabilidades do cliente associadas a cada controlo que tem de ser cumprido. São responsabilidades mantidas por si nas seguintes áreas: dados, pontos finais, conta, gestão de acesso, etc.
Responsabilidade manual do cliente: tem de preparar as provas de conformidade e carregá-la para o ACAT. Em seguida, o ACAT irá transferir as suas provas para o Centro de Parceiros quando submeter o relatório ACAT.
Responsabilidade automatizada do cliente de avaliação: o ACAT pode recolher dados para cada responsabilidade e fornecer um resultado de avaliação. Tem de resolver quaisquer recursos em mau estado de funcionamento ao remediar os mesmos ou ao fornecer provas de conformidade adicionais para justificar o estado atual do recurso.
Responsabilidade automatizada do cliente da recolha de provas: para relatórios que contêm recursos suportados pela funcionalidade de recolha automatizada de provas da ACAT, a ACAT oferece assistência simplificada na preparação de provas de conformidade através de um processo simples de clique com botão. Se a lista de recursos do relatório não tiver recursos suportados, continuará a manter a opção de carregar manualmente as provas de conformidade.
Tanto a avaliação automatizada como as responsabilidades automatizadas de recolha de provas do cliente fornecem ações de remediação, que são as nossas diretrizes para o ajudar a alinhar-se com as normas de Certificação do Microsoft 365.
Observação
As responsabilidades automatizadas do cliente de avaliação são reformuladas diariamente com base na hora do acionador agendada. No entanto, as responsabilidades automatizadas do cliente da recolha de provas só podem ser atualizadas a pedido ao clicar no botão "Recolha automatizada de provas por ACAT".
Compreender o estado de conformidade dos controlos de certificação do Microsoft 365
No Relatório de Conformidade Regulamentar, o ACAT define as responsabilidades dos clientes para cada controlo totalmente automatizado e controlo manual automatizado parcial. Existem dois estados de conformidade para a responsabilidade do cliente.
- Aprovado: os recursos da cloud aplicáveis a esta responsabilidade do cliente estão em bom estado de funcionamento.
- Falha: existe pelo menos um recurso na cloud em mau estado de funcionamento. Pode seguir os passos de remediação para resolver os recursos em mau estado de funcionamento.
- N/D: nenhum recurso da cloud é aplicável à responsabilidade do cliente ou esta responsabilidade do cliente é considerada inaplicável com base na configuração da aplicação para este relatório.
- Revisão da conformidade da aplicação necessária: recolhe manualmente provas e carrega-as para esta responsabilidade do cliente. Um analista realizará uma revisão exaustiva depois de submeter o pedido de Certificação do Microsoft 365 no Microsoft Partner Network.
Os estados de conformidade dos controlos de Certificação do Microsoft 365 dependem dos estados de conformidade das responsabilidades dos clientes.
- Aprovado: nenhuma responsabilidade do cliente está no estado "Com falhas" ou "Revisão da conformidade da aplicação necessária" para este controlo de Certificação do Microsoft 365.
- Falha: Pelo menos uma responsabilidade do cliente falhou em relação a este controlo de Certificação do Microsoft 365.
- N/D: todas as responsabilidades do cliente para este controlo de Certificação do Microsoft 365 estão no estado "N/D".
- Revisão da conformidade da aplicação necessária: pelo menos uma responsabilidade do cliente está no estado "Revisão da conformidade da aplicação necessária". Um analista realizará uma revisão exaustiva depois de submeter o pedido de Certificação do Microsoft 365 no Microsoft Partner Network.
Perguntas frequentes
O que são controlos manuais e controlos parcialmente automatizados?
Cada controlo de conformidade está associado a um conjunto específico de responsabilidades do cliente, com a ACAT a recolher dados de conformidade em conformidade. É importante ter em atenção que, agora, o ACAT não abrange todos os controlos da Certificação do Microsoft 365 (embora estejam em curso esforços para expandir a cobertura). No caso de controlos parcialmente automatizados, a ACAT automatiza aspetos específicos das responsabilidades dos clientes. Os resultados da avaliação de um controlo parcialmente automatizado contribuem para a auditoria de Certificação do Microsoft 365 e são necessárias mais ações da sua parte para cumprir quaisquer requisitos restantes. No entanto, para controlos manuais, atualmente, o ACAT não automatiza as responsabilidades dos clientes.
Como posso saber se o controlo é totalmente automatizado?
O ACAT melhora continuamente a automatização de controlo. Eis o estado atual da automatização de controlo.
| Domínio de Segurança | Família de Controlo | Número de Controlo | Estado da Automatização ACAT |
|---|---|---|---|
| Segurança Operacional | Formação de Sensibilização | Controlo 1 | Manual |
| Segurança Operacional | Proteção Contra Software Maligno - Antivírus | Controlo 2 | Totalmente Automatizado |
| Segurança Operacional | Proteção Contra Software Maligno - Controlo de Aplicações | Controlo 3 | Manual |
| Segurança Operacional | Gestão de Patches - Aplicação de patches & Classificação de Risco | Controlo 4 | Manual |
| Segurança Operacional | Gestão de Patches - Aplicação de patches & Classificação de Risco | Controlo 5 | Automatizada Parcial |
| Segurança Operacional | Verificação de vulnerabilidade | Controlo 6 | Totalmente Automatizado |
| Segurança Operacional | Verificação de vulnerabilidade | Controlo 7 | Totalmente Automatizado |
| Segurança Operacional | Controlos de Segurança de Rede (NSC) | Controlo 8 | Automatizada Parcial |
| Segurança Operacional | Controlos de Segurança de Rede (NSC) | Controlo 9 | Automatizada Parcial |
| Segurança Operacional | Alterar Controlo | Controlo 10 | Manual |
| Segurança Operacional | Alterar Controlo | Controlo 11 | Manual |
| Segurança Operacional | Desenvolvimento/Implementação de Software Seguro | Controlo 12 | Manual |
| Segurança Operacional | Desenvolvimento/Implementação de Software Seguro | Controlo 13 | Automatizada Parcial |
| Segurança Operacional | Gerenciamento de contas | Controlo 14 | Automatizada Parcial |
| Segurança Operacional | Gerenciamento de contas | Controlo 15 | Automatizada Parcial |
| Segurança Operacional | Gerenciamento de contas | Controlo 16 | Automatizada Parcial |
| Segurança Operacional | Registo de Eventos de Segurança, Revisão e Alertas | Controlo 17 | Totalmente Automatizado |
| Segurança Operacional | Registo de Eventos de Segurança, Revisão e Alertas | Controlo 18 | Totalmente Automatizado |
| Segurança Operacional | Registo de Eventos de Segurança, Revisão e Alertas | Controlo 19 | Manual |
| Segurança Operacional | Registo de Eventos de Segurança, Revisão e Alertas | Controlo 20 | Totalmente Automatizado |
| Segurança Operacional | Gestão de Riscos de Segurança de Informações | Controlo 21 | Manual |
| Segurança Operacional | Gestão de Riscos de Segurança de Informações | Controlo 22 | Manual |
| Segurança Operacional | Gestão de Riscos de Segurança de Informações | Controlo 23 | Manual |
| Segurança Operacional | Gestão de Riscos de Segurança de Informações | Controlo 24 | Manual |
| Segurança Operacional | Resposta a Incidentes de Segurança | Controlo 25 | Manual |
| Segurança Operacional | Resposta a Incidentes de Segurança | Controlo 26 | Manual |
| Segurança Operacional | Resposta a Incidentes de Segurança | Controlo 27 | Manual |
| Segurança Operacional | Plano de Continuidade de Negócio (BCP) e Plano de Recuperação Após Desastre | Controlo 28 | Automatizada Parcial |
| Segurança Operacional | Plano de Continuidade de Negócio (BCP) e Plano de Recuperação Após Desastre | Controlo 29 | Automatizada Parcial |
| Segurança Operacional | Plano de Continuidade de Negócio (BCP) e Plano de Recuperação Após Desastre | Controlo 30 | Manual |
| Privacidade do & de Segurança do Processamento de Dados | Dados em Trânsito | Controlo 1 | Totalmente Automatizado |
| Privacidade do & de Segurança do Processamento de Dados | Dados em Trânsito | Controlo 2 | Totalmente Automatizado* |
| Privacidade do & de Segurança do Processamento de Dados | Dados Inativos | Controlo 3 | Totalmente Automatizado |
| Privacidade do & de Segurança do Processamento de Dados | Retenção, Cópia de Segurança e Eliminação de Dados | Controlo 4 | Manual |
| Privacidade do & de Segurança do Processamento de Dados | Retenção, Cópia de Segurança e Eliminação de Dados | Controlo 5 | Manual |
| Privacidade do & de Segurança do Processamento de Dados | Retenção, Cópia de Segurança e Eliminação de Dados | Controlo 6 | Automatizada Parcial |
| Privacidade do & de Segurança do Processamento de Dados | Retenção, Cópia de Segurança e Eliminação de Dados | Controlo 7 | Automatizada Parcial |
| Privacidade do & de Segurança do Processamento de Dados | Gestão de Acesso a Dados | Controlo 8 | Automatizada Parcial |
| Privacidade do & de Segurança do Processamento de Dados | Gestão de Acesso a Dados | Controlo 9 | Manual |
| Privacidade do & de Segurança do Processamento de Dados | Privacidade | Controlo 10 | Manual |
| Privacidade do & de Segurança do Processamento de Dados | Privacidade | Controlo 11 | Automatizada Parcial |
| Privacidade do & de Segurança do Processamento de Dados | RGPD | Controlo 12 | Automatizada Parcial |
| Privacidade do & de Segurança do Processamento de Dados | RGPD | Controlo 13 | Manual |
| Privacidade do & de Segurança do Processamento de Dados | HIPAA | Controlo 14 | Manual |
| Privacidade do & de Segurança do Processamento de Dados | HIPAA | Controlo 15 | Manual |
Observação
O Estado da Automatização ACAT expressa que extensão de automatização pode a ACAT ajudá-lo a preparar as provas de conformidade para um controlo.
- Manual: tem de preparar manualmente todas as provas de conformidade para cada responsabilidade do cliente sob este controlo.
- Automatizado Parcial: este controlo tem uma combinação de responsabilidades do cliente, incluindo avaliações automatizadas, recolha automatizada de provas e responsabilidades manuais do cliente. Tem de remediar quaisquer responsabilidades falhadas do cliente e tirar partido da funcionalidade de recolha automatizada de provas para a recolha de provas. Para responsabilidades manuais, certifique-se de que fornece as provas de conformidade necessárias e carrega-as para o ACAT.
- Totalmente Automatizado: todas as responsabilidades do cliente sob este controlo são responsabilidades automatizadas do cliente de avaliação ou responsabilidades automatizadas do cliente de recolha de provas.
Fiz as alterações sugeridas com base na sugestão de remediação, mas o controlo continua a falhar
Depois de tomar medidas corretivas para resolver a falha, aguarde tempo do ACAT para obter os resultados da avaliação atualizados para o estado do controlo. As avaliações são realizadas a cada 24 horas, de acordo com a hora do acionador predeterminada.
Como é utilizado o relatório de conformidade no processo de certificação?
O ACAT está totalmente integrado no Centro de Parceiros para concluir o seu percurso de Certificação do Microsoft 365. Saiba mais sobre como utilizar o relatório de conformidade para acelerar a Certificação do Microsoft 365