Linha de base de segurança do Azure para Azure Policy
Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 à Azure Policy. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Azure Policy.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
As funcionalidades não aplicáveis aos Azure Policy foram excluídas. Para ver como Azure Policy mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro completo de mapeamento da linha de base de segurança Azure Policy.
Perfil de segurança
O perfil de segurança resume comportamentos de alto impacto de Azure Policy, o que pode resultar em considerações de segurança acrescidas.
| Atributo comportamento do serviço | Valor |
|---|---|
| Product Category (Categoria de Produto) | MGMT/Governação |
| O cliente pode aceder ao HOST/SO | Sem Acesso |
| O serviço pode ser implementado na rede virtual do cliente | Falso |
| Armazena o conteúdo do cliente inativo | Falso |
Gestão de identidades
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Notas de funcionalidades: Azure Policy utiliza uma identidade gerida para a remediação de recursos não conformes.
Orientação de Configuração: cada atribuição de Azure Policy só pode ser associada a uma identidade gerida. No entanto, a identidade gerida pode ser atribuída a múltiplas funções. A configuração ocorre em dois passos: primeiro crie uma identidade gerida atribuída pelo sistema ou atribuída pelo utilizador e, em seguida, conceda-lhe as funções necessárias.
Referência: Remediar recursos não conformes com Azure Policy
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: Azure Policy tira partido da encriptação predefinida da Microsoft para dados em trânsito.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Encriptação dupla
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.GuestConfiguration:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As máquinas Windows devem ser configuradas para utilizar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas através da Internet, os seus computadores devem utilizar a versão mais recente do protocolo criptográfico padrão da indústria, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede ao encriptar uma ligação entre máquinas. | AuditIfNotExists, Desativado | 4.1.1 |
DP-4: Ativar a encriptação inativa por predefinição
Funcionalidades
Dados na Encriptação Rest Com Chaves de Plataforma
Descrição: a encriptação inativa de dados com chaves de plataforma é suportada, qualquer conteúdo do cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: Azure Policy tira partido da encriptação predefinida da Microsoft para dados inativos.
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Encriptação dupla
Passos seguintes
- Veja a descrição geral da referência de segurança da cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure