Compartilhar via


Detalhes da iniciativa interna de Conformidade Regulatória do FedRAMP High

O artigo a seguir fornece detalhes sobre como a definição da iniciativa interna de Conformidade Regulatória do Azure Policy é mapeada para domínios de conformidade e controles no FedRAMP High. Para obter mais informações sobre esse padrão de conformidade, confira FedRAMP High. Para entender Propriedade, confira os artigos sobre tipo de política e Responsabilidade compartilhada na nuvem .

Os mapeamentos a seguir referem-se aos controles do FedRAMP High. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição de iniciativa interna de conformidade regulatória FedRAMP High.

Importante

Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.

Controle de acesso

Procedimentos e Política de Controle de Acesso

ID: FedRAMP High AC-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver políticas e procedimentos de controle de acesso CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Controlar políticas e procedimentos CMA_0292 - Controlar políticas e procedimentos Manual, Desabilitado 1.1.0
Revisar políticas e procedimentos de controle de acesso CMA_0457 - Revisar políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0

Gerenciamento de Conta

ID: FedRAMP High AC-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. AuditIfNotExists, desabilitado 3.0.0
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.0.0
Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada Usar uma identidade gerenciada para uma segurança de autenticação aprimorada AuditIfNotExists, desabilitado 3.0.0
Atribuir gerentes de conta CMA_0015 – Atribuir gerentes de conta Manual, Desabilitado 1.1.0
Auditoria o uso de funções personalizadas do RBAC Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças Audit, desabilitado 1.0.1
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth Audit, Deny, desabilitado 1.1.0
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
Definir e impor condições para contas compartilhadas e de grupo CMA_0117 – Definir e aplicar condições para contas compartilhadas e de grupo Manual, Desabilitado 1.1.0
Definir tipos de conta do sistema de informações CMA_0121 – Definir tipos de contas do sistema de informação Manual, Desabilitado 1.1.0
Documentar privilégios de acesso CMA_0186 – Documentar privilégios de acesso Manual, Desabilitado 1.1.0
Estabelecer condições para associação de função CMA_0269 – Estabelecer condições para associação de função Manual, Desabilitado 1.1.0
Os aplicativos de funções devem usar a identidade gerenciada Usar uma identidade gerenciada para uma segurança de autenticação aprimorada AuditIfNotExists, desabilitado 3.0.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
Monitorar a atividade da conta CMA_0377 – Monitorar atividade da conta Manual, Desabilitado 1.1.0
Notificar os gerentes de conta das contas controladas pelo cliente CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente Manual, Desabilitado 1.1.0
Reemitir autenticadores para contas e grupos alterados CMA_0426 – Reemitir autenticadores para contas e grupos alterados Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 – Restringir o acesso a contas privilegiadas Manual, Desabilitado 1.1.0
Examinar logs de provisionamento de conta CMA_0460 – Examinar logs de provisionamento de conta Manual, Desabilitado 1.1.0
Examinar contas de usuário CMA_0480: – Examinar contas de usuário Manual, Desabilitado 1.1.0
Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric Audit, Deny, desabilitado 1.1.0

Gerenciamento automatizado de conta do sistema

ID: FedRAMP High AC-2 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.0.0
Automatizar o gerenciamento de contas CMA_0026 – Automatizar o gerenciamento de contas Manual, Desabilitado 1.1.0
Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth Audit, Deny, desabilitado 1.1.0
Gerenciar contas de administrador e sistema CMA_0368 – Gerenciar contas de administrador e sistema Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Notificar quando a conta não for necessária CMA_0383 – Notificar quando a conta não for necessária Manual, Desabilitado 1.1.0
Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric Audit, Deny, desabilitado 1.1.0

Desabilitar contas inativas

ID: FedRAMP High AC-2 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desabilitar os autenticadores após o encerramento CMA_0169 – Desabilitar os autenticadores após o encerramento Manual, Desabilitado 1.1.0
Revogar funções com privilégios conforme a necessidade CMA_0483 – Revogar funções com privilégios conforme a necessidade Manual, Desabilitado 1.1.0

Ações automatizadas de auditoria

ID: FedRAMP High AC-2 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
Automatizar o gerenciamento de contas CMA_0026 – Automatizar o gerenciamento de contas Manual, Desabilitado 1.1.0
Gerenciar contas de administrador e sistema CMA_0368 – Gerenciar contas de administrador e sistema Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Notificar quando a conta não for necessária CMA_0383 – Notificar quando a conta não for necessária Manual, Desabilitado 1.1.0

Logoff por inatividade

ID: FedRAMP High AC-2 (5) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir e impor a política de log de inatividade CMA_C1017 - Definir e impor a política de log de inatividade Manual, Desabilitado 1.1.0

Esquemas baseados em função

ID: FedRAMP High AC-2 (7) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.0.0
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditoria o uso de funções personalizadas do RBAC Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças Audit, desabilitado 1.0.1
Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth Audit, Deny, desabilitado 1.1.0
Monitorar a atividade da conta CMA_0377 – Monitorar atividade da conta Manual, Desabilitado 1.1.0
Monitorar atribuição de função com privilégios CMA_0378 – Monitorar atribuição de função com privilégios Manual, Desabilitado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 – Restringir o acesso a contas privilegiadas Manual, Desabilitado 1.1.0
Revogar funções com privilégios conforme a necessidade CMA_0483 – Revogar funções com privilégios conforme a necessidade Manual, Desabilitado 1.1.0
Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric Audit, Deny, desabilitado 1.1.0
Usar o Privileged Identity Management CMA_0533 – Usar o Privileged Identity Management Manual, Desabilitado 1.1.0

Restrições no Uso de Contas de Grupo/Compartilhadas

ID: FedRAMP High AC-2 (9) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir e impor condições para contas compartilhadas e de grupo CMA_0117 – Definir e aplicar condições para contas compartilhadas e de grupo Manual, Desabilitado 1.1.0

Encerramento de credencial de conta compartilhada/de grupo

ID: FedRAMP High AC-2 (10) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Encerrar as credenciais da conta controlada pelo cliente CMA_C1022 - Encerrar as credenciais da conta controlada pelo cliente Manual, Desabilitado 1.1.0

Condições de uso

ID: FedRAMP High AC-2 (11) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Impor o uso apropriado de todas as contas CMA_C1023 – Impor o uso apropriado de todas as contas Manual, Desabilitado 1.1.0

Monitoramento de conta/uso atípico

ID: FedRAMP High AC-2 (12) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, desabilitado 6.0.0-preview
O Azure Defender para o Serviço de Aplicativo deve estar habilitado O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para Key Vault deve estar habilitado O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para Resource Manager deve ser habilitado O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. AuditIfNotExists, desabilitado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores SQL em computadores deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação AuditIfNotExists, desabilitado 3.0.0
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. AuditIfNotExists, desabilitado 1.0.0
O Microsoft Defender para Armazenamento deve estar habilitado O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. AuditIfNotExists, desabilitado 1.0.0
Monitorar a atividade da conta CMA_0377 – Monitorar atividade da conta Manual, Desabilitado 1.1.0
Informar comportamento atípico nas contas de usuário CMA_C1025 - Informar comportamento atípico nas contas de usuário Manual, Desabilitado 1.1.0

Desabilitar contas de indivíduos de alto risco

ID: FedRAMP High AC-2 (13) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desabilitar contas de usuário que representam um risco significativo CMA_C1026 – Desabilitar contas de usuário que representam um risco significativo Manual, Desabilitado 1.1.0

Regras de acesso

ID: FedRAMP High AC-3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.0.0
Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada Usar uma identidade gerenciada para uma segurança de autenticação aprimorada AuditIfNotExists, desabilitado 3.0.0
Auditar os computadores Linux que têm contas sem senhas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem contas sem senhas AuditIfNotExists, desabilitado 3.1.0
A autenticação para computadores Linux deve exigir chaves SSH Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, desabilitado 3.2.0
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth Audit, Deny, desabilitado 1.1.0
Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 3.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Os aplicativos de funções devem usar a identidade gerenciada Usar uma identidade gerenciada para uma segurança de autenticação aprimorada AuditIfNotExists, desabilitado 3.0.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0
Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric Audit, Deny, desabilitado 1.1.0
As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: controle de acesso (RBAC) mais forte, melhor auditoria, implantação e controle com base no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves por segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança Audit, Deny, desabilitado 1.0.0
As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager Use o novo Azure Resource Manager para suas máquinas virtuais a fim de fornecer melhorias de segurança como: RBAC (controle de acesso) mais forte, melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos visando facilitar o gerenciamento da segurança Audit, Deny, desabilitado 1.0.0

Política de fluxo de informações

ID: FedRAMP High AC-4 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Preterido]: Os serviços do Azure Cognitive Search devem usar link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, desabilitado 1.0.1-preterido
[Preterido]: Os Serviços Cognitivos devem usar o link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, desabilitado 3.0.1-deprecated
[Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível AuditIfNotExists, desabilitado 3.0.0 – versão prévia
[Versão prévia]: O acesso público da conta de armazenamento não deve ser permitido O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 3.1.0 – versão prévia
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. AuditIfNotExists, desabilitado 3.0.0
Os serviços do Gerenciamento de API devem usar uma rede virtual A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. Audit, Deny, desabilitado 1.0.2
A Configuração de Aplicativos deve usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, desabilitado 1.0.2
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. AuditIfNotExists, desabilitado 2.0.0
Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. Audit, desabilitado 2.0.1
Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço de IA do Azure. Audit, Deny, desabilitado 3.2.0
A API do Azure para FHIR deve usar um link privado A API do Azure para FHIR deve ter, pelo menos, uma conexão de ponto de extremidade privado aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privado por meio de links privados. Para obter mais informações, visite: https://aka.ms/fhir-privatelink. Audit, desabilitado 1.0.0
O Cache do Azure para Redis deve usar um link privado Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, desabilitado 1.0.0
O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, desabilitado 1.0.0
Os serviços do Azure Cognitive Search devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o serviço Azure Cognitive Search não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Cognitive Search. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, desabilitado 1.0.0
As contas do Azure Cosmos DB devem ter regras de firewall As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para evitar o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra de IP definida com o filtro de rede virtual habilitado são consideradas em conformidade. As contas que desabilitam o acesso público também são consideradas em conformidade. Audit, Deny, desabilitado 2.1.0
O Azure Data Factory deve usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, desabilitado 1.0.0
Os domínios da Grade de Eventos do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Audit, desabilitado 1.0.2
Os tópicos da Grade de Eventos do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Audit, desabilitado 1.0.2
A Sincronização de Arquivos do Azure deve usar o link privado A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. AuditIfNotExists, desabilitado 1.0.0
O Azure Key Vault deve ter o firewall habilitado Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, desabilitado 3.2.1
Os Azure Key Vaults devem usar um link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Os workspaces do Azure Machine Learning devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, desabilitado 1.0.0
Os namespaces do Barramento de Serviço do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, desabilitado 1.0.0
O Serviço do Azure SignalR deve usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Audit, desabilitado 1.0.0
Os workspaces do Azure Synapse devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, desabilitado 1.0.1
O Serviço Azure Web PubSub deve usar o link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu serviço do Azure Web PubSub, será possível reduzir riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Audit, desabilitado 1.0.0
Os registros de contêiner não devem permitir acesso irrestrito à rede Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de pontos de extremidade privados, endereços IP públicos ou intervalos de endereços específicos. Se o Registro não tiver regras de rede configuradas, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. Audit, Deny, desabilitado 2.0.0
Os registros de contêiner devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. Audit, desabilitado 1.0.1
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
As contas do CosmosDB devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, desabilitado 1.0.0
Os recursos de acesso ao disco devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, desabilitado 1.0.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desabilitado 1.1.0
Os namespaces do Hub de Eventos devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, desabilitado 1.0.0
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desabilitado 3.0.0
As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Audit, desabilitado 1.0.0
O encaminhamento IP na máquina virtual deve ser desabilitado A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. AuditIfNotExists, desabilitado 3.0.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação AuditIfNotExists, desabilitado 3.0.0
Portas de gerenciamento devem ser fechadas nas máquinas virtuais As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. AuditIfNotExists, desabilitado 3.0.0
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desabilitado 3.0.0
As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. Audit, desabilitado 1.1.0
O ponto de extremidade privado deve ser habilitado para servidores MariaDB As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O ponto de extremidade privado deve ser habilitado para servidores MySQL As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. Audit, Deny, desabilitado 1.1.0
O acesso à rede pública deve ser desabilitado para servidores MariaDB Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. Audit, Deny, desabilitado 2.0.0
O acesso à rede pública deve ser desabilitado para servidores MySQL Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MySQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. Audit, Deny, desabilitado 2.0.0
O acesso à rede pública deve ser desabilitado para servidores PostgreSQL Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para PostgreSQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. Audit, Deny, desabilitado 2.0.1
As contas de armazenamento devem restringir o acesso da rede O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet Audit, Deny, desabilitado 1.1.1
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. Audit, Deny, desabilitado 1.0.1
As contas de armazenamento devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview AuditIfNotExists, desabilitado 2.0.0
As sub-redes devem ser associadas a um Grupo de Segurança de Rede Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. AuditIfNotExists, desabilitado 3.0.0
Os modelos do Construtor de Imagens de VM devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditoria, desabilitado, negação 1.1.0

Filtros de política de segurança

ID: FedRAMP High AC-4 (8) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controle de fluxo de informações usando filtros de política de segurança CMA_C1029 – Controle de fluxo de informações usando filtros de política de segurança Manual, Desabilitado 1.1.0

Separação física/lógica de fluxos de informações

ID: FedRAMP High AC-4 (21) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
Estabelecer padrões de configuração de firewall e roteador CMA_0272 – Estabelecer padrões de configuração de firewall e roteador Manual, Desabilitado 1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão Manual, Desabilitado 1.1.0
Identificar e gerenciar trocas de informações downstream CMA_0298 – Identificar e gerenciar trocas de informações downstream Manual, Desabilitado 1.1.0

Separação de tarefas

ID: FedRAMP High AC-5 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir autorizações de acesso para dar suporte à separação de tarefas CMA_0116 – Definir autorizações de acesso para dar suporte à separação de tarefas Manual, Desabilitado 1.1.0
Documentar separação de tarefas CMA_0204 – Documentar separação de tarefas Manual, Desabilitado 1.1.0
Separar tarefas de indivíduos CMA_0492 – Separar tarefas de indivíduos Manual, Desabilitado 1.1.0
Deve haver mais de um proprietário atribuído à sua assinatura Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. AuditIfNotExists, desabilitado 3.0.0

Privilégio mínimo

ID: FedRAMP High AC-6 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. AuditIfNotExists, desabilitado 3.0.0
Auditoria o uso de funções personalizadas do RBAC Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças Audit, desabilitado 1.0.1
Criar um modelo de controle de acesso CMA_0129 – Criar um modelo de controle de acesso Manual, Desabilitado 1.1.0
Empregar acesso de privilégio mínimo CMA_0212 – Empregar o acesso de privilégios mínimos Manual, Desabilitado 1.1.0

Autorizar o acesso à funções de segurança

ID: FedRAMP High AC-6 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0

Contas com privilégios

ID: FedRAMP High AC-6 (5) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Restringir o acesso a contas privilegiadas CMA_0446 – Restringir o acesso a contas privilegiadas Manual, Desabilitado 1.1.0

Análise dos privilégios do usuário

ID: FedRAMP High AC-6 (7) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. AuditIfNotExists, desabilitado 3.0.0
Auditoria o uso de funções personalizadas do RBAC Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças Audit, desabilitado 1.0.1
Reatribuir ou remover privilégios de usuário conforme o necessário CMA_C1040 – Reatribuir ou remover privilégios de usuário conforme o necessário Manual, Desabilitado 1.1.0
Examinar os privilégios do usuário CMA_C1039 – Examinar os privilégios do usuário Manual, Desabilitado 1.1.0

Níveis de privilégio para execução de código

ID: FedRAMP High AC-6 (8) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Impor privilégios de execução de software CMA_C1041 – Impor privilégios de execução de software Manual, Desabilitado 1.1.0

Uso de auditoria de funções com privilégios

ID: FedRAMP High AC-6 (9) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Realizar uma análise completa do texto de comandos privilegiados registrados CMA_0056 – Realizar uma análise completa do texto de comandos privilegiados registrados Manual, Desabilitado 1.1.0
Monitorar atribuição de função com privilégios CMA_0378 – Monitorar atribuição de função com privilégios Manual, Desabilitado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 – Restringir o acesso a contas privilegiadas Manual, Desabilitado 1.1.0
Revogar funções com privilégios conforme a necessidade CMA_0483 – Revogar funções com privilégios conforme a necessidade Manual, Desabilitado 1.1.0
Usar o Privileged Identity Management CMA_0533 – Usar o Privileged Identity Management Manual, Desabilitado 1.1.0

Tentativas de logon malsucedidas

ID: FedRAMP High AC-7 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Impor um limite de tentativas consecutivas de login com falha CMA_C1044 - Impor um limite de tentativas consecutivas de login com falha Manual, Desabilitado 1.1.0

Controle de sessões simultâneas

ID: FedRAMP High AC-10 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir e impor o limite de sessões simultâneas CMA_C1050 – Definir e impor o limite de sessões simultâneas Manual, Desabilitado 1.1.0

Encerramento da sessão

ID: FedRAMP High AC-12 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Encerrar a sessão do usuário automaticamente CMA_C1054 – Encerrar a sessão do usuário automaticamente Manual, Desabilitado 1.1.0

Logouts iniciados pelo usuário/exibições de mensagens

ID: FedRAMP High AC-12 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Exibir uma mensagem explícita de logoff CMA_C1056 - Exibir uma mensagem explícita de logoff Manual, Desabilitado 1.1.0
Fornecer a funcionalidade de logout CMA_C1055 - Fornecer a funcionalidade de logout Manual, Desabilitado 1.1.0

Ações permitidas sem identificação ou autenticação

ID: FedRAMP High AC-14 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Identificar ações permitidas sem autenticação CMA_0295 - Identificar ações permitidas sem autenticação Manual, Desabilitado 1.1.0

Acesso remoto

ID: FedRAMP High AC-17 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Preterido]: Os serviços do Azure Cognitive Search devem usar link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, desabilitado 1.0.1-preterido
[Preterido]: Os Serviços Cognitivos devem usar o link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, desabilitado 3.0.1-deprecated
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
A Configuração de Aplicativos deve usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, desabilitado 1.0.2
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 2.0.0
Auditar os computadores Linux que permitem conexões remotas de contas sem senhas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem conexões remotas de contas sem senhas AuditIfNotExists, desabilitado 3.1.0
Autorizar o acesso remoto CMA_0024 – Autorizar o acesso remoto Manual, Desabilitado 1.1.0
A API do Azure para FHIR deve usar um link privado A API do Azure para FHIR deve ter, pelo menos, uma conexão de ponto de extremidade privado aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privado por meio de links privados. Para obter mais informações, visite: https://aka.ms/fhir-privatelink. Audit, desabilitado 1.0.0
O Cache do Azure para Redis deve usar um link privado Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, desabilitado 1.0.0
O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, desabilitado 1.0.0
O Azure Data Factory deve usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, desabilitado 1.0.0
Os domínios da Grade de Eventos do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Audit, desabilitado 1.0.2
Os tópicos da Grade de Eventos do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Audit, desabilitado 1.0.2
A Sincronização de Arquivos do Azure deve usar o link privado A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. AuditIfNotExists, desabilitado 1.0.0
Os Azure Key Vaults devem usar um link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Os workspaces do Azure Machine Learning devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, desabilitado 1.0.0
Os namespaces do Barramento de Serviço do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, desabilitado 1.0.0
O Serviço do Azure SignalR deve usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Audit, desabilitado 1.0.0
O Azure Spring Cloud deve usar injeção de rede As instâncias do Azure Spring Cloud devem usar injeção de rede virtual para as seguintes finalidades: 1. Isole o Azure Spring Cloud da Internet. 2. Habilite a interação do Azure Spring Cloud com sistemas em data centers locais ou no serviço do Azure em outras redes virtuais. 3. Capacite os clientes a controlar comunicações de rede de entrada e saída para o Azure Spring Cloud. Auditoria, desabilitado, negação 1.2.0
Os workspaces do Azure Synapse devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, desabilitado 1.0.1
O Serviço Azure Web PubSub deve usar o link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu serviço do Azure Web PubSub, será possível reduzir riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Audit, desabilitado 1.0.0
Os registros de contêiner devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. Audit, desabilitado 1.0.1
As contas do CosmosDB devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, desabilitado 1.0.0
Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 3.1.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 1.2.0
Os recursos de acesso ao disco devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, desabilitado 1.0.0
Documentar o treinamento de mobilidade CMA_0191 – Documentar o treinamento de mobilidade Manual, Desabilitado 1.1.0
Documentar as diretrizes de acesso remoto CMA_0196 – Documentar as diretrizes de acesso remoto Manual, Desabilitado 1.1.0
Os namespaces do Hub de Eventos devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, desabilitado 1.0.0
Os Aplicativos de funções devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 2.0.0
Implementar controles para proteger sites de trabalho alternativos CMA_0315 – Implementar controles para proteger sites de trabalho alternativos Manual, Desabilitado 1.1.0
As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Audit, desabilitado 1.0.0
As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. Audit, desabilitado 1.1.0
O ponto de extremidade privado deve ser habilitado para servidores MariaDB As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O ponto de extremidade privado deve ser habilitado para servidores MySQL As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0
As contas de armazenamento devem restringir o acesso da rede O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet Audit, Deny, desabilitado 1.1.1
As contas de armazenamento devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview AuditIfNotExists, desabilitado 2.0.0
Os modelos do Construtor de Imagens de VM devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditoria, desabilitado, negação 1.1.0

Controle/monitoramento automatizado

ID: FedRAMP High AC-17 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Preterido]: Os serviços do Azure Cognitive Search devem usar link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, desabilitado 1.0.1-preterido
[Preterido]: Os Serviços Cognitivos devem usar o link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, desabilitado 3.0.1-deprecated
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
A Configuração de Aplicativos deve usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, desabilitado 1.0.2
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 2.0.0
Auditar os computadores Linux que permitem conexões remotas de contas sem senhas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem conexões remotas de contas sem senhas AuditIfNotExists, desabilitado 3.1.0
A API do Azure para FHIR deve usar um link privado A API do Azure para FHIR deve ter, pelo menos, uma conexão de ponto de extremidade privado aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privado por meio de links privados. Para obter mais informações, visite: https://aka.ms/fhir-privatelink. Audit, desabilitado 1.0.0
O Cache do Azure para Redis deve usar um link privado Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, desabilitado 1.0.0
O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, desabilitado 1.0.0
O Azure Data Factory deve usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, desabilitado 1.0.0
Os domínios da Grade de Eventos do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Audit, desabilitado 1.0.2
Os tópicos da Grade de Eventos do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Audit, desabilitado 1.0.2
A Sincronização de Arquivos do Azure deve usar o link privado A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. AuditIfNotExists, desabilitado 1.0.0
Os Azure Key Vaults devem usar um link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Os workspaces do Azure Machine Learning devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, desabilitado 1.0.0
Os namespaces do Barramento de Serviço do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, desabilitado 1.0.0
O Serviço do Azure SignalR deve usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Audit, desabilitado 1.0.0
O Azure Spring Cloud deve usar injeção de rede As instâncias do Azure Spring Cloud devem usar injeção de rede virtual para as seguintes finalidades: 1. Isole o Azure Spring Cloud da Internet. 2. Habilite a interação do Azure Spring Cloud com sistemas em data centers locais ou no serviço do Azure em outras redes virtuais. 3. Capacite os clientes a controlar comunicações de rede de entrada e saída para o Azure Spring Cloud. Auditoria, desabilitado, negação 1.2.0
Os workspaces do Azure Synapse devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, desabilitado 1.0.1
O Serviço Azure Web PubSub deve usar o link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu serviço do Azure Web PubSub, será possível reduzir riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Audit, desabilitado 1.0.0
Os registros de contêiner devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. Audit, desabilitado 1.0.1
As contas do CosmosDB devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, desabilitado 1.0.0
Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 3.1.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 1.2.0
Os recursos de acesso ao disco devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, desabilitado 1.0.0
Os namespaces do Hub de Eventos devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, desabilitado 1.0.0
Os Aplicativos de funções devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 2.0.0
As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Audit, desabilitado 1.0.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. Audit, desabilitado 1.1.0
O ponto de extremidade privado deve ser habilitado para servidores MariaDB As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O ponto de extremidade privado deve ser habilitado para servidores MySQL As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
As contas de armazenamento devem restringir o acesso da rede O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet Audit, Deny, desabilitado 1.1.1
As contas de armazenamento devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview AuditIfNotExists, desabilitado 2.0.0
Os modelos do Construtor de Imagens de VM devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditoria, desabilitado, negação 1.1.0

Proteção da confidencialidade/integridade usando criptografia

ID: FedRAMP High AC-17 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Notificar usuários sobre logon ou acesso ao sistema CMA_0382 – Notificar usuários sobre logon ou acesso do sistema Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0

Pontos de controle de acesso gerenciados

ID: FedRAMP High AC-17 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Rotear o tráfego por meio de pontos de acesso à rede gerenciada CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada Manual, Desabilitado 1.1.0

Acesso e comandos com privilégios

ID: FedRAMP High AC-17 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso remoto CMA_0024 – Autorizar o acesso remoto Manual, Desabilitado 1.1.0
Autorizar acesso remoto a comandos privilegiados CMA_C1064 – Autorizar acesso remoto a comandos privilegiados Manual, Desabilitado 1.1.0
Documentar as diretrizes de acesso remoto CMA_0196 – Documentar as diretrizes de acesso remoto Manual, Desabilitado 1.1.0
Implementar controles para proteger sites de trabalho alternativos CMA_0315 – Implementar controles para proteger sites de trabalho alternativos Manual, Desabilitado 1.1.0
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0

Desconectar/desabilitar o acesso

ID: FedRAMP High AC-17 (9) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer a capacidade de desconectar ou desabilitar o acesso remoto CMA_C1066 – Fornecer a capacidade de desconectar ou desabilitar o acesso remoto Manual, Desabilitado 1.1.0

Acesso sem fio

ID: FedRAMP High AC-18 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar e implementar diretrizes de acesso sem fio CMA_0190 – Documentar e implementar diretrizes de acesso sem fio Manual, Desabilitado 1.1.0
Proteger acesso sem fio CMA_0411 – Proteger acesso sem fio Manual, Desabilitado 1.1.0

Autenticação e criptografia

ID: FedRAMP High AC-18 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar e implementar diretrizes de acesso sem fio CMA_0190 – Documentar e implementar diretrizes de acesso sem fio Manual, Desabilitado 1.1.0
Identificar e autenticar dispositivos de rede CMA_0296 – Identificar e autenticar dispositivos de rede Manual, Desabilitado 1.1.0
Proteger acesso sem fio CMA_0411 – Proteger acesso sem fio Manual, Desabilitado 1.1.0

Controle de acesso para dispositivos móveis

ID: FedRAMP High AC-19 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir requisitos do dispositivo móvel CMA_0122 - Definir requisitos do dispositivo móvel Manual, Desabilitado 1.1.0

Criptografia completa baseada em contêiner/dispositivo

ID: FedRAMP High AC-19 (5) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir requisitos do dispositivo móvel CMA_0122 - Definir requisitos do dispositivo móvel Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0

Uso de sistemas de informações externas

ID: FedRAMP High AC-20 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer termos e condições para acessar recursos CMA_C1076 - Estabelecer termos e condições para acessar recursos Manual, Desabilitado 1.1.0
Estabelecer termos e condições para o processamento de recursos CMA_C1077 - Estabelecer termos e condições para o processamento de recursos Manual, Desabilitado 1.1.0

Limites do uso autorizado

ID: FedRAMP High AC-20 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Verificar controles de segurança para sistemas de informações externos CMA_0541 - Verificar controles de segurança para sistemas de informações externos Manual, Desabilitado 1.1.0

Dispositivos portáteis de armazenamento

ID: FedRAMP High AC-20 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Controlar o uso de dispositivos de armazenamento portáteis CMA_0083 – Controlar o uso de dispositivos de armazenamento portáteis Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0

Compartilhamento de informações

ID: FedRAMP High AC-21 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Automatizar decisões de compartilhamento de informações CMA_0028 – Automatizar decisões de compartilhamento de informações Manual, Desabilitado 1.1.0
Facilitar o compartilhamento de informações CMA_0284 – Facilitar o compartilhamento de informações Manual, Desabilitado 1.1.0

Conteúdo publicamente acessível

ID: FedRAMP High AC-22 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Designar pessoal autorizado para postar informações publicamente acessíveis CMA_C1083 – Designar pessoal autorizado para postar informações publicamente acessíveis Manual, Desabilitado 1.1.0
Revisar conteúdo antes de postar informações publicamente acessíveis CMA_C1085 – Revisar conteúdo antes de postar informações publicamente acessíveis Manual, Desabilitado 1.1.0
Revisar conteúdo publicamente acessível para obter informações não públicas CMA_C1086 – Revisar conteúdo publicamente acessível para obter informações não públicas Manual, Desabilitado 1.1.0
Treinar o pessoal sobre a divulgação de informações não públicas CMA_C1084 – Treinar o pessoal sobre a divulgação de informações não públicas Manual, Desabilitado 1.1.0

Reconhecimento e treinamento

Política e Procedimentos de Treinamento e Conscientização de Segurança

ID: FedRAMP High AT-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar atividades de treinamento de privacidade e segurança CMA_0198 - Documentar atividades de treinamento de privacidade e segurança Manual, Desabilitado 1.1.0
Atualizar políticas de segurança de informações CMA_0518 – Atualizar políticas de segurança da informação Manual, Desabilitado 1.1.0

Treinamento de reconhecimento de segurança

ID: FedRAMP High AT-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer treinamento periódico de conscientização de segurança CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança Manual, Desabilitado 1.1.0
Fornecer treinamento de segurança para novos usuários CMA_0419 - Fornecer treinamento de segurança para novos usuários Manual, Desabilitado 1.1.0
Fornecer treinamento de conscientização de segurança atualizado CMA_C1090 - Fornecer treinamento de conscientização de segurança atualizado Manual, Desabilitado 1.1.0

Ameaças internas

ID: FedRAMP High AT-2 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer treinamento de conscientização de segurança para ameaças internas CMA_0417 – Fornecer treinamento de conscientização de segurança para ameaças internas Manual, Desabilitado 1.1.0

Treinamento de segurança baseada em funções

ID: FedRAMP High AT-3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer treinamento periódico de segurança baseada em funções CMA_C1095 – Fornecer treinamento periódico de segurança baseada em funções Manual, Desabilitado 1.1.0
Fornecer treinamento de segurança baseada em funções CMA_C1094 – Fornecer treinamentos de segurança baseada em funções Manual, Desabilitado 1.1.0
Fornecer treinamento de segurança antes de fornecer acesso CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso Manual, Desabilitado 1.1.0

Exercícios práticos

ID: FedRAMP High AT-3 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer exercícios práticos baseados em funções CMA_C1096 – Fornecer exercícios práticos baseados em funções Manual, Desabilitado 1.1.0

Comunicações suspeitas e comportamento anormal do sistema

ID: FedRAMP High AT-3 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer treinamentos baseados em funções sobre atividades suspeitas CMA_C1097 – Fornecer treinamentos baseados em funções sobre atividades suspeitas Manual, Desabilitado 1.1.0

Registros de treinamento de segurança

ID: FedRAMP High AT-4 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar atividades de treinamento de privacidade e segurança CMA_0198 - Documentar atividades de treinamento de privacidade e segurança Manual, Desabilitado 1.1.0
Monitorar a conclusão dos treinamentos de segurança e privacidade CMA_0379 – Monitorar a conclusão dos treinamentos de segurança e privacidade Manual, Desabilitado 1.1.0
Reter registros de treinamento CMA_0456 – Reter registros de treinamento Manual, Desabilitado 1.1.0

Auditoria e contabilidade

Política e procedimentos de auditoria e responsabilidade

ID: FedRAMP High AU-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver políticas e procedimentos de auditoria e responsabilidade CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de segurança de informações CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações Manual, Desabilitado 1.1.0
Controlar políticas e procedimentos CMA_0292 - Controlar políticas e procedimentos Manual, Desabilitado 1.1.0
Atualizar políticas de segurança de informações CMA_0518 – Atualizar políticas de segurança da informação Manual, Desabilitado 1.1.0

Eventos de Auditoria

ID: FedRAMP High AU-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0

Avaliações e atualizações

ID: FedRAMP High AU-2 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar e atualizar os eventos definidos em AU-02 CMA_C1106 – Revisar e atualizar os eventos definidos em AU-02 Manual, Desabilitado 1.1.0

Conteúdo de registros de auditoria

ID: FedRAMP High AU-3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0

Informações adicionais de auditoria

ID: FedRAMP High AU-3 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar as funcionalidades da Auditoria do Azure CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure Manual, Desabilitado 1.1.1

Capacidade de armazenamento de auditoria

ID: FedRAMP High AU-4 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar e monitorar atividades de processamento de auditoria CMA_0289 – Controlar e monitorar atividades de processamento de auditoria Manual, Desabilitado 1.1.0

Resposta a Falhas de Processamento de Auditoria

ID: FedRAMP High AU-5 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar e monitorar atividades de processamento de auditoria CMA_0289 – Controlar e monitorar atividades de processamento de auditoria Manual, Desabilitado 1.1.0

Alertas em tempo real

ID: FedRAMP High AU-5 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer alertas em tempo real para falhas de eventos de auditoria CMA_C1114 - Fornecer alertas em tempo real para falhas de eventos de auditoria Manual, Desabilitado 1.1.0

Revisão de auditoria, análise e relatórios

ID: FedRAMP High AU-6 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, desabilitado 6.0.0-preview
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desabilitado 1.0.2 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desabilitado 1.0.2 – versão prévia
O Azure Defender para o Serviço de Aplicativo deve estar habilitado O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para Key Vault deve estar habilitado O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para Resource Manager deve ser habilitado O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. AuditIfNotExists, desabilitado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores SQL em computadores deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
Correlacionar os registros de auditoria CMA_0087 – Correlacionar registros de auditoria Manual, Desabilitado 1.1.0
Estabelecer requisitos para revisão e relatórios de auditoria CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria Manual, Desabilitado 1.1.0
Integrar revisão de auditoria, análise e relatórios CMA_0339 – Integrar revisão de auditoria, análise e relatórios Manual, Desabilitado 1.1.0
Integrar a segurança do aplicativo em nuvem a um SIEM CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM Manual, Desabilitado 1.1.0
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. AuditIfNotExists, desabilitado 1.0.0
O Microsoft Defender para Armazenamento deve estar habilitado O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. AuditIfNotExists, desabilitado 1.0.0
O Observador de Rede deve ser habilitado O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. AuditIfNotExists, desabilitado 3.0.0
Examinar logs de provisionamento de conta CMA_0460 – Examinar logs de provisionamento de conta Manual, Desabilitado 1.1.0
Revisar atribuições de administrador semanalmente CMA_0461 – Revisar atribuições de administrador semanalmente Manual, Desabilitado 1.1.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0
Revisar a visão geral do relatório de identidade na nuvem CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem Manual, Desabilitado 1.1.0
Revisar eventos de acesso controlado a pastas CMA_0471 – Revisar eventos de acesso controlado a pastas Manual, Desabilitado 1.1.0
Revisar a atividade de arquivo e pasta CMA_0473 – Revisar a atividade de arquivo e pasta Manual, Desabilitado 1.1.0
Revisar alterações de grupo de funções semanalmente CMA_0476 – Revisar alterações de grupo de funções semanalmente Manual, Desabilitado 1.1.0

Integração de processos

ID: FedRAMP High AU-6 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Correlacionar os registros de auditoria CMA_0087 – Correlacionar registros de auditoria Manual, Desabilitado 1.1.0
Estabelecer requisitos para revisão e relatórios de auditoria CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria Manual, Desabilitado 1.1.0
Integrar revisão de auditoria, análise e relatórios CMA_0339 – Integrar revisão de auditoria, análise e relatórios Manual, Desabilitado 1.1.0
Integrar a segurança do aplicativo em nuvem a um SIEM CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM Manual, Desabilitado 1.1.0
Examinar logs de provisionamento de conta CMA_0460 – Examinar logs de provisionamento de conta Manual, Desabilitado 1.1.0
Revisar atribuições de administrador semanalmente CMA_0461 – Revisar atribuições de administrador semanalmente Manual, Desabilitado 1.1.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0
Revisar a visão geral do relatório de identidade na nuvem CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem Manual, Desabilitado 1.1.0
Revisar eventos de acesso controlado a pastas CMA_0471 – Revisar eventos de acesso controlado a pastas Manual, Desabilitado 1.1.0
Revisar a atividade de arquivo e pasta CMA_0473 – Revisar a atividade de arquivo e pasta Manual, Desabilitado 1.1.0
Revisar alterações de grupo de funções semanalmente CMA_0476 – Revisar alterações de grupo de funções semanalmente Manual, Desabilitado 1.1.0

Correlacionar repositórios de auditoria

ID: FedRAMP High AU-6 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Correlacionar os registros de auditoria CMA_0087 – Correlacionar registros de auditoria Manual, Desabilitado 1.1.0
Integrar a segurança do aplicativo em nuvem a um SIEM CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM Manual, Desabilitado 1.1.0

Revisão e análise centrais

ID: FedRAMP High AU-6 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, desabilitado 6.0.0-preview
[Pré-visualização]: a extensão do Log Analytics deve ser instalada nos computadores Linux do Azure Arc Esta política audita computadores Linux do Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desabilitado 1.0.1 – versão prévia
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nos computadores Windows do Azure Arc Esta política auditará os computadores Windows do Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desabilitado 1.0.1 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desabilitado 1.0.2 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desabilitado 1.0.2 – versão prévia
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. AuditIfNotExists, desabilitado 2.0.1
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desabilitado 2.0.0
O Azure Defender para o Serviço de Aplicativo deve estar habilitado O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para Key Vault deve estar habilitado O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para Resource Manager deve ser habilitado O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. AuditIfNotExists, desabilitado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores SQL em computadores deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
A extensão de Configuração de Convidado deve ser instalada nos seus computadores Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, desabilitado 1.0.3
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. AuditIfNotExists, desabilitado 1.0.0
O Microsoft Defender para Armazenamento deve estar habilitado O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. AuditIfNotExists, desabilitado 1.0.0
O Observador de Rede deve ser habilitado O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. AuditIfNotExists, desabilitado 3.0.0
Os logs de recurso no Azure Data Lake Storage devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Azure Stream Analytics devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso em contas do Lote devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Data Lake Analytics devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Hub de Eventos devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Hub IoT devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 3.1.0
Os logs de recurso no Key Vault devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso nos Aplicativos Lógicos devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.1.0
Os logs de recurso nos serviços de pesquisa devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Barramento de Serviço devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, desabilitado 1.0.1

Funcionalidades de integração, verificação e monitoramento

ID: FedRAMP High AU-6 (5) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, desabilitado 6.0.0-preview
[Pré-visualização]: a extensão do Log Analytics deve ser instalada nos computadores Linux do Azure Arc Esta política audita computadores Linux do Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desabilitado 1.0.1 – versão prévia
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nos computadores Windows do Azure Arc Esta política auditará os computadores Windows do Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desabilitado 1.0.1 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desabilitado 1.0.2 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desabilitado 1.0.2 – versão prévia
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. AuditIfNotExists, desabilitado 2.0.1
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desabilitado 2.0.0
O Azure Defender para o Serviço de Aplicativo deve estar habilitado O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para Key Vault deve estar habilitado O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para Resource Manager deve ser habilitado O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. AuditIfNotExists, desabilitado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores SQL em computadores deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
A extensão de Configuração de Convidado deve ser instalada nos seus computadores Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, desabilitado 1.0.3
Integrar análise de registro de auditoria CMA_C1120 – Integrar análise de registro de auditoria Manual, Desabilitado 1.1.0
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. AuditIfNotExists, desabilitado 1.0.0
O Microsoft Defender para Armazenamento deve estar habilitado O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. AuditIfNotExists, desabilitado 1.0.0
O Observador de Rede deve ser habilitado O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. AuditIfNotExists, desabilitado 3.0.0
Os logs de recurso no Azure Data Lake Storage devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Azure Stream Analytics devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso em contas do Lote devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Data Lake Analytics devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Hub de Eventos devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Hub IoT devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 3.1.0
Os logs de recurso no Key Vault devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso nos Aplicativos Lógicos devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.1.0
Os logs de recurso nos serviços de pesquisa devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Barramento de Serviço devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, desabilitado 1.0.1

Ações permitidas

ID: FedRAMP High AU-6 (7) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Especificar ações permitidas associadas às informações de auditoria do cliente CMA_C1122 – Especificar ações permitidas associadas às informações de auditoria do cliente Manual, Desabilitado 1.1.0

Ajuste do nível de auditoria

ID: FedRAMP High AU-6 (10) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Ajustar o nível de revisão, análise e relatórios de auditoria CMA_C1123 – Ajustar o nível de revisão, análise e relatórios de auditoria Manual, Desabilitado 1.1.0

Redução de Auditoria e Geração de Relatórios

ID: FedRAMP High AU-7 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Garantir que registros de auditoria não sejam alterados CMA_C1125 – Garantir que registros de auditoria não sejam alterados Manual, Desabilitado 1.1.0
Fornecer capacidade de revisão, análise e relatório de auditoria CMA_C1124 – Fornecer capacidade de revisão, análise e relatório de auditoria Manual, Desabilitado 1.1.0

Processamento automático

ID: FedRAMP High AU-7 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer capacidade para processar registros de auditoria controlados pelo cliente CMA_C1126 – Fornecer capacidade para processar registros de auditoria controlados pelo cliente Manual, Desabilitado 1.1.0

Carimbos de Data/Hora

ID: FedRAMP High AU-8 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Usar relógios do sistema para registros de auditoria CMA_0535 – Usar relógios do sistema para registros de auditoria Manual, Desabilitado 1.1.0

Sincronização de fonte de tempo autoritativa

ID: FedRAMP High AU-8 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Usar relógios do sistema para registros de auditoria CMA_0535 – Usar relógios do sistema para registros de auditoria Manual, Desabilitado 1.1.0

Proteção de Informações de Auditoria

ID: FedRAMP High AU-9 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Habilitar a autorização dupla ou conjunta CMA_0226 – Habilitar a autorização dupla ou conjunta Manual, Desabilitado 1.1.0
Proteger informações de auditoria CMA_0401 – Proteger informações de auditoria Manual, Desabilitado 1.1.0

Auditoria do backup em componentes/sistemas físicos separados

ID: FedRAMP High AU-9 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer backup de políticas e procedimentos CMA_0268 - Estabelecer políticas e procedimentos de backup Manual, Desabilitado 1.1.0

Proteção criptográfica

ID: FedRAMP High AU-9 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Manter a integridade do sistema de auditoria CMA_C1133 – Manter a integridade do sistema de auditoria Manual, Desabilitado 1.1.0

Acesso por subconjunto de usuários com privilégios

ID: FedRAMP High AU-9 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Proteger informações de auditoria CMA_0401 – Proteger informações de auditoria Manual, Desabilitado 1.1.0

Não recusa

ID: FedRAMP High AU-10 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer requisitos de certificado e assinatura eletrônica CMA_0271 - Estabelecer requisitos de certificado e assinatura eletrônica Manual, Desabilitado 1.1.0

Retenção de registros de auditoria

ID: FedRAMP High AU-11 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Obedecer os períodos de retenção definidos CMA_0004 – Obedecer os períodos de retenção definidos Manual, Desabilitado 1.1.0
Reter procedimentos e políticas de segurança CMA_0454 – Reter procedimentos e políticas de segurança Manual, Desabilitado 1.1.0
Reter dados de usuário removido CMA_0455 – Reter dados de usuário removido Manual, Desabilitado 1.1.0
Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais Para fins de investigação de incidentes, é recomendável configurar a retenção de dados para a auditoria do SQL Server no destino de conta de armazenamento para pelo menos 90 dias. Confirme que você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. AuditIfNotExists, desabilitado 3.0.0

Geração de auditoria

ID: FedRAMP High AU-12 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, desabilitado 6.0.0-preview
[Pré-visualização]: a extensão do Log Analytics deve ser instalada nos computadores Linux do Azure Arc Esta política audita computadores Linux do Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desabilitado 1.0.1 – versão prévia
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nos computadores Windows do Azure Arc Esta política auditará os computadores Windows do Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desabilitado 1.0.1 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desabilitado 1.0.2 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desabilitado 1.0.2 – versão prévia
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. AuditIfNotExists, desabilitado 2.0.1
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desabilitado 2.0.0
O Azure Defender para o Serviço de Aplicativo deve estar habilitado O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para Key Vault deve estar habilitado O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para Resource Manager deve ser habilitado O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. AuditIfNotExists, desabilitado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores SQL em computadores deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
A extensão de Configuração de Convidado deve ser instalada nos seus computadores Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, desabilitado 1.0.3
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. AuditIfNotExists, desabilitado 1.0.0
O Microsoft Defender para Armazenamento deve estar habilitado O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. AuditIfNotExists, desabilitado 1.0.0
O Observador de Rede deve ser habilitado O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. AuditIfNotExists, desabilitado 3.0.0
Os logs de recurso no Azure Data Lake Storage devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Azure Stream Analytics devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso em contas do Lote devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Data Lake Analytics devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Hub de Eventos devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Hub IoT devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 3.1.0
Os logs de recurso no Key Vault devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso nos Aplicativos Lógicos devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.1.0
Os logs de recurso nos serviços de pesquisa devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Barramento de Serviço devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, desabilitado 1.0.1

Trilha de auditoria do sistema/com correlação temporal

ID: FedRAMP High AU-12 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, desabilitado 6.0.0-preview
[Pré-visualização]: a extensão do Log Analytics deve ser instalada nos computadores Linux do Azure Arc Esta política audita computadores Linux do Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desabilitado 1.0.1 – versão prévia
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nos computadores Windows do Azure Arc Esta política auditará os computadores Windows do Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desabilitado 1.0.1 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desabilitado 1.0.2 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desabilitado 1.0.2 – versão prévia
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. AuditIfNotExists, desabilitado 2.0.1
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desabilitado 2.0.0
O Azure Defender para o Serviço de Aplicativo deve estar habilitado O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para Key Vault deve estar habilitado O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para Resource Manager deve ser habilitado O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. AuditIfNotExists, desabilitado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores SQL em computadores deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
Compilar registros de auditoria em auditoria de todo o sistema CMA_C1140 - Compilar registros de auditoria na Auditoria de todo o sistema Manual, Desabilitado 1.1.0
A extensão de Configuração de Convidado deve ser instalada nos seus computadores Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, desabilitado 1.0.3
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. AuditIfNotExists, desabilitado 1.0.0
O Microsoft Defender para Armazenamento deve estar habilitado O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. AuditIfNotExists, desabilitado 1.0.0
O Observador de Rede deve ser habilitado O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. AuditIfNotExists, desabilitado 3.0.0
Os logs de recurso no Azure Data Lake Storage devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Azure Stream Analytics devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso em contas do Lote devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Data Lake Analytics devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Hub de Eventos devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Hub IoT devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 3.1.0
Os logs de recurso no Key Vault devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso nos Aplicativos Lógicos devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.1.0
Os logs de recurso nos serviços de pesquisa devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Barramento de Serviço devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, desabilitado 1.0.1

Alterações feitas por indivíduos autorizados

ID: FedRAMP High AU-12 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer a capacidade de estender ou limitar a auditoria em recursos implantados pelo cliente CMA_C1141 - Forneça a capacidade de estender ou limitar a auditoria em recursos implantados pelo cliente Manual, Desabilitado 1.1.0

Avaliação da Segurança e Autorização

Procedimentos e políticas de avaliação e autorização de segurança

ID: FedRAMP High RA-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar políticas e procedimentos de autorização e avaliação de segurança CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança Manual, Desabilitado 1.1.0

Avaliações de Segurança

ID: FedRAMP High RA-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar controles de segurança CMA_C1145 – Avaliar controles de segurança Manual, Desabilitado 1.1.0
Fornecer resultados da avaliação de segurança CMA_C1147 – Fornecer resultados da avaliação de segurança Manual, Desabilitado 1.1.0
Desenvolver plano de avaliação de segurança CMA_C1144 – Desenvolver plano de avaliação de segurança Manual, Desabilitado 1.1.0
Produzir relatórios de avaliação de segurança CMA_C1146 – Produzir relatórios de avaliação de segurança Manual, Desabilitado 1.1.0

Auditores independentes

ID: FedRAMP High RA-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar assessores independentes para realizar avaliações de controle de segurança CMA_C1148 – Contratar assessores independentes para realizar avaliações de controle de segurança Manual, Desabilitado 1.1.0

Avaliações especializadas

ID: FedRAMP High RA-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Selecionar testes adicionais para avaliações de controle de segurança CMA_C1149 – Selecionar testes adicionais para avaliações de controle de segurança Manual, Desabilitado 1.1.0

Organizações externas

ID: FedRAMP High RA-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Aceitar resultados da avaliação CMA_C1150 – Aceitar resultados da avaliação Manual, Desabilitado 1.1.0

Interconexões de Sistema

ID: FedRAMP High RA-3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Exigir contratos de segurança de interconexão CMA_C1151 – Exigir contratos de segurança de interconexão Manual, Desabilitado 1.1.0
Atualizar contratos de segurança de interconexão CMA_0519 – Atualizar contratos de segurança de interconexão Manual, Desabilitado 1.1.0

Conexões não classificadas de sistema de segurança não nacional

ID: FedRAMP High CA-3 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar a proteção de limites do sistema CMA_0328 – Implementar a proteção de limites do sistema Manual, Desabilitado 1.1.0

Restrições em conexões de sistema externo

ID: FedRAMP High CA-3 (5) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar restrições nas interligações do sistema externo CMA_C1155 – Empregar restrições nas interligações do sistema externo Manual, Desabilitado 1.1.0

Plano de Ação e Etapas

ID: FedRAMP High CA-5 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver POA&M CMA_C1156 - Desenvolver POA&M Manual, Desabilitado 1.1.0
Atualizar itens de POA&M CMA_C1157 - Atualizar os itens de POA&M Manual, Desabilitado 1.1.0

Autorização de Segurança

ID: FedRAMP High CA-6 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Atribuir um funcionário de autorização (AO) CMA_C1158 – Atribuir um funcionário de autorização (AO) Manual, Desabilitado 1.1.0
Garantir que os recursos sejam autorizados CMA_C1159 – Garantir que os recursos sejam autorizados Manual, Desabilitado 1.1.0
Atualizar a autorização de segurança CMA_C1160 – Atualizar a autorização de segurança Manual, Desabilitado 1.1.0

Monitoramento Contínuo

ID: FedRAMP High CA-7 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar lista de permissões de detecção CMA_0068 – Configurar lista de permissões de detecção Manual, Desabilitado 1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade Manual, Desabilitado 1.1.0
Passar por revisão de segurança independente CMA_0515 – Passar por revisão de segurança independente Manual, Desabilitado 1.1.0

Avaliação independente

ID: FedRAMP High CA-7 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar assessores independentes para monitoramento contínuo CMA_C1168 – Empregar assessores independentes para monitoramento contínuo Manual, Desabilitado 1.1.0

Análises de tendências

ID: FedRAMP High CA-7 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Analisar os dados obtidos do monitoramento contínuo CMA_C1169 – Analisar os dados obtidos do monitoramento contínuo Manual, Desabilitado 1.1.0

Agente ou equipe de invasão independente

ID: FedRAMP High CA-8 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar uma equipe independente para teste de penetração CMA_C1171 – Empregar uma equipe independente para teste de penetração Manual, Desabilitado 1.1.0

Conexões de Sistema Interno

ID: FedRAMP High CA-9 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas Manual, Desabilitado 1.1.0

Gerenciamento de configuração

Procedimentos e política de gerenciamento de configuração

ID: FedRAMP High CM-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar a atualizar políticas e procedimentos de gerenciamento de configuração CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração Manual, Desabilitado 1.1.0

Configuração de Linha de Base

ID: FedRAMP High CM-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar ações para os dispositivos sem conformidade CMA_0062 – Configurar ações para os dispositivos sem conformidade Manual, Desabilitado 1.1.0
Desenvolver e manter configurações de linha de base CMA_0153 – Desenvolver e manter configurações de linha de base Manual, Desabilitado 1.1.0
Impor definições de configuração de segurança CMA_0249 – Impor definições de configuração de segurança Manual, Desabilitado 1.1.0
Estabelecer um comitê de controle de configuração CMA_0254 – Estabelecer um comitê de controle de configuração Manual, Desabilitado 1.1.0
Estabelecer e documentar um plano de gerenciamento de configuração CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração Manual, Desabilitado 1.1.0
Implementar uma ferramenta de gerenciamento de configuração automatizada CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada Manual, Desabilitado 1.1.0

Suporte de automação para precisão/moeda

ID: FedRAMP High CM-2 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar ações para os dispositivos sem conformidade CMA_0062 – Configurar ações para os dispositivos sem conformidade Manual, Desabilitado 1.1.0
Desenvolver e manter configurações de linha de base CMA_0153 – Desenvolver e manter configurações de linha de base Manual, Desabilitado 1.1.0
Impor definições de configuração de segurança CMA_0249 – Impor definições de configuração de segurança Manual, Desabilitado 1.1.0
Estabelecer um comitê de controle de configuração CMA_0254 – Estabelecer um comitê de controle de configuração Manual, Desabilitado 1.1.0
Estabelecer e documentar um plano de gerenciamento de configuração CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração Manual, Desabilitado 1.1.0
Implementar uma ferramenta de gerenciamento de configuração automatizada CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada Manual, Desabilitado 1.1.0

Retenção de configurações anteriores

ID: FedRAMP High CM-2 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Reter versões anteriores de configurações de linha de base CMA_C1181 – Reter versões anteriores de configurações de linha de base Manual, Desabilitado 1.1.0

Configurar sistemas, componentes ou dispositivos para áreas de alto risco

ID: FedRAMP High CM-2 (7) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Garantir que não sejam necessárias garantias de segurança quando as pessoas retornarem CMA_C1183 - Garantir que não sejam necessárias garantias de segurança quando do retorno das pessoas Manual, Desabilitado 1.1.0
Não permitir que os sistemas de informação acompanhem pessoas CMA_C1182 - Não permitir que os sistemas de informação acompanhem pessoas Manual, Desabilitado 1.1.0

Controle de Alteração de Configuração

ID: FedRAMP High CM-3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar uma análise de impacto de segurança CMA_0057 - Realizar uma análise de impacto de segurança Manual, Desabilitado 1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Executar uma avaliação de impacto de privacidade CMA_0387 - Executar uma avaliação de impacto de privacidade Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0

Documentação, notificação e proibição automatizadas de alterações

ID: FedRAMP High CM-3 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Automatizar a solicitação de aprovação para alterações propostas CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas Manual, Desabilitado 1.1.0
Automatizar a implementação de notificações de alterações aprovadas CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas Manual, Desabilitado 1.1.0
Automatizar o processo para documentar as alterações implementadas CMA_C1195 - Automatizar o processo para documentar alterações implementadas Manual, Desabilitado 1.1.0
Automatizar o processo para destacar propostas de alteração não visualizadas CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas Manual, Desabilitado 1.1.0
Automatizar o processo para proibir a implementação de alterações não aprovadas CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas Manual, Desabilitado 1.1.0
Automatizar as alterações documentadas propostas CMA_C1191 - Automatizar as alterações documentadas propostas Manual, Desabilitado 1.1.0

Testar, validar e documentar alterações

ID: FedRAMP High CM-3 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0

Representante de segurança

ID: FedRAMP High CM-3 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Atribuir um representante de segurança de informação para o controle de alterações CMA_C1198 - Atribuir um representante de segurança de informação para o controle de alterações Manual, Desabilitado 1.1.0

Gerenciamento de criptografia

ID: FedRAMP High CM-3 (6) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Verificar se os mecanismos de criptografia estão sob o gerenciamento de configuração CMA_C1199 – Verificar se os mecanismos de criptografia estão sob o gerenciamento de configuração Manual, Desabilitado 1.1.0

Análise de Impacto de Segurança

ID: FedRAMP High CM-4 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar uma análise de impacto de segurança CMA_0057 - Realizar uma análise de impacto de segurança Manual, Desabilitado 1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Executar uma avaliação de impacto de privacidade CMA_0387 - Executar uma avaliação de impacto de privacidade Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0

Separar ambientes de teste

ID: FedRAMP High CM-4 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar uma análise de impacto de segurança CMA_0057 - Realizar uma análise de impacto de segurança Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Executar uma avaliação de impacto de privacidade CMA_0387 - Executar uma avaliação de impacto de privacidade Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0

Restrições de Acesso para Alteração

ID: FedRAMP High CM-5 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0

Auditoria e aplicação automatizadas de acesso

ID: FedRAMP High CM-5 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Aplicar e auditar restrições de acesso CMA_C1203 - Aplicar e auditar restrições de acesso Manual, Desabilitado 1.1.0

Revisar alterações do sistema

ID: FedRAMP High CM-5 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Analisar alterações em toda alteração não autorizada CMA_C1204 – Analisar alterações em toda alteração não autorizada Manual, Desabilitado 1.1.0

Componentes assinados

ID: FedRAMP High CM-5 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Restringir a instalação não autorizada de software e firmware CMA_C1205 - Restringir a instalação não autorizada de software e firmware Manual, Desabilitado 1.1.0

Limitar os privilégios operacionais e de produção

ID: FedRAMP High CM-5 (5) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Limitar privilégios para fazer alterações no ambiente de produção CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção Manual, Desabilitado 1.1.0
Revisar e reavaliar privilégios CMA_C1207 – Revisar e reavaliar privilégios Manual, Desabilitado 1.1.0

Definições de configuração

ID: FedRAMP High CM-6 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. AuditIfNotExists, desabilitado 1.0.0
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 2.0.0
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. AuditIfNotExists, desabilitado 2.0.0
O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters O Complemento do Azure Policy para o AKS (serviço de Kubernetes) estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent), para aplicar as garantias e imposições em escala aos seus clusters de maneira centralizada e consistente. Audit, desabilitado 1.0.2
Impor definições de configuração de segurança CMA_0249 – Impor definições de configuração de segurança Manual, Desabilitado 1.1.0
Os aplicativos de funções devem ter a opção Certificados do Cliente (Certificados do cliente de entrada) habilitada Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. AuditIfNotExists, desabilitado 1.0.0
Os Aplicativos de funções devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 2.0.0
Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. AuditIfNotExists, desabilitado 2.0.0
Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 9.3.0
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host Impedir que os contêineres de pod compartilhem o namespace da ID do processo do host e o namespace do IPC do host em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 5.2.0
Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.2.0
Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.2.0
Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 9.3.0
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.3.0
Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.2.0
Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.2.0
Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados Restrinja o acesso do pod à rede do host e ao intervalo de portas de host permitido em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.2.0
Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 8.2.0
O cluster do Kubernetes não deve permitir contêineres privilegiados Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 9.2.0
Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.2.0
Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. AuditIfNotExists, desabilitado 2.2.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. AuditIfNotExists, desabilitado 2.0.0

Gerenciamento/aplicação/verificação centrais automatizados

ID: FedRAMP High CM-6 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Impor definições de configuração de segurança CMA_0249 – Impor definições de configuração de segurança Manual, Desabilitado 1.1.0
Controlar a conformidade de provedores dos serviço de nuvem CMA_0290 – Controlar a conformidade de provedores dos serviço de nuvem Manual, Desabilitado 1.1.0
Exibir e configurar dados de diagnóstico do sistema CMA_0544 – Exibir e configurar dados de diagnóstico do sistema Manual, Desabilitado 1.1.0

Funcionalidade Mínima

ID: FedRAMP High CM-7 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3

Inventário de Componentes do Sistema de Informação

ID: FedRAMP High CM-8 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Criar um estoque de dados CMA_0096 – Criar um estoque de dados Manual, Desabilitado 1.1.0
Manter registros de processamento de dados pessoais CMA_0353 – Manter registros de processamento de dados pessoais Manual, Desabilitado 1.1.0

Atualizações durante instalações/remoções

ID: FedRAMP High CM-8 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Criar um estoque de dados CMA_0096 – Criar um estoque de dados Manual, Desabilitado 1.1.0
Manter registros de processamento de dados pessoais CMA_0353 – Manter registros de processamento de dados pessoais Manual, Desabilitado 1.1.0

Detecção automatizada de componente não autorizado

ID: FedRAMP High CM-8 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Habilitar a detecção de dispositivos de rede CMA_0220 – Habilitar a detecção de dispositivos de rede Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0

Informações de responsabilidade

ID: FedRAMP High CM-8 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Criar um estoque de dados CMA_0096 – Criar um estoque de dados Manual, Desabilitado 1.1.0
Estabelecer e manter um inventário de ativos CMA_0266 - Estabelecer e manter um inventário de ativos Manual, Desabilitado 1.1.0

Plano de Gerenciamento de Configuração

ID: FedRAMP High CM-9 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Criar proteção para o plano de configurações CMA_C1233 – Criar proteção para o plano de configurações Manual, Desabilitado 1.1.0
Desenvolver e manter configurações de linha de base CMA_0153 – Desenvolver e manter configurações de linha de base Manual, Desabilitado 1.1.0
Desenvolver um plano de identificação do item de configuração CMA_C1231 – Desenvolver um plano de identificação do item de configuração Manual, Desabilitado 1.1.0
Desenvolver um plano de gerenciamento de configuração CMA_C1232 – Desenvolver um plano de gerenciamento de configuração Manual, Desabilitado 1.1.0
Estabelecer e documentar um plano de gerenciamento de configuração CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração Manual, Desabilitado 1.1.0
Implementar uma ferramenta de gerenciamento de configuração automatizada CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada Manual, Desabilitado 1.1.0

Restrições de Uso de Software

ID: FedRAMP High CM-10 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Exigir conformidade com direitos de propriedade intelectual CMA_0432 – Exigir conformidade com os direitos de propriedade intelectual Manual, Desabilitado 1.1.0
Acompanhar o uso de licenças de software CMA_C1235 – Acompanhar o uso de licenças de software Manual, Desabilitado 1.1.0

Software livre

ID: FedRAMP High CM-10 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Restringir o uso de softwares de código aberto CMA_C1237 – Restringir o uso de softwares de código aberto Manual, Desabilitado 1.1.0

Planejamento de Contingência

Política e procedimentos de planejamento de contingência

ID: FedRAMP High CP-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos de planejamento de contingência CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência Manual, Desabilitado 1.1.0

Plano de contingência

ID: FedRAMP High CP-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Comunicar alterações no plano de contingência CMA_C1249 - Comunicar alterações no plano de contingência Manual, Desabilitado 1.1.0
Coordenar os planos de contingência com os planos relacionados CMA_0086 - Coordenar os planos de contingência com os planos relacionados Manual, Desabilitado 1.1.0
Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres CMA_0146 – Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres Manual, Desabilitado 1.1.0
Desenvolver plano de contingência CMA_C1244 – Desenvolver plano de contingência Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de planejamento de contingências CMA_0156 – Desenvolver procedimentos e políticas de planejamento de contingências Manual, Desabilitado 1.1.0
Distribuir procedimentos e políticas CMA_0185 - Distribuir procedimentos e políticas Manual, Desabilitado 1.1.0
Revisar o plano de contingência CMA_C1247 – Revisar o plano de contingência Manual, Desabilitado 1.1.0
Atualizar o plano de contingência CMA_C1248 – Atualizar o plano de contingência Manual, Desabilitado 1.1.0

ID: FedRAMP High CP-2 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Coordenar os planos de contingência com os planos relacionados CMA_0086 - Coordenar os planos de contingência com os planos relacionados Manual, Desabilitado 1.1.0

Planejamento da capacidade

ID: FedRAMP High CP-2 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar um planejamento de capacidade CMA_C1252 - Faça um planejamento da capacidade Manual, Desabilitado 1.1.0

Retomar funções de negócios e missões essenciais

ID: FedRAMP High CP-2 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Planejar a retomada das funções essenciais do negócio CMA_C1253 – Planejar a retomada das funções essenciais do negócio Manual, Desabilitado 1.1.0

Retomar todas as funções de negócios/missões

ID: FedRAMP High CP-2 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Retomar todas as funções da missão e do negócio CMA_C1254 - Retomar todas as funções da missão e do negócio Manual, Desabilitado 1.1.0

Continuar funções de negócios/missões essenciais

ID: FedRAMP High CP-2 (5) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Planejar a continuação de funções de negócios essenciais CMA_C1255 – Planejar a continuação de funções de negócios essenciais Manual, Desabilitado 1.1.0

Identificação de ativos essenciais

ID: FedRAMP High CP-2 (8) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar uma avaliação de impacto nos negócios e uma avaliação de criticidade do aplicativo CMA_0386 – Realizar uma avaliação de impacto nos negócios e uma avaliação de criticidade do aplicativo Manual, Desabilitado 1.1.0

Treinamento de contingência

ID: FedRAMP High CP-3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer treinamento de contingência CMA_0412 – Fornecer treinamento de contingência Manual, Desabilitado 1.1.0

Eventos simulados

ID: FedRAMP High CP-3 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Incorporar treinamento de contingência simulado CMA_C1260 – Incorporar treinamento de contingência simulado Manual, Desabilitado 1.1.0

Teste do plano de contingência

ID: FedRAMP High CP-4 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Iniciar o plano de contingência testando ações corretivas CMA_C1263 - Iniciar as ações corretivas do teste de plano de contingência Manual, Desabilitado 1.1.0
Revisar os resultados do teste do plano de contingência CMA_C1262 - Revisar os resultados do teste do plano de contingência Manual, Desabilitado 1.1.0
Testar o plano de continuidade dos negócios e recuperação de desastres CMA_0509 – Testar o plano de continuidade dos negócios e recuperação de desastres Manual, Desabilitado 1.1.0

ID: FedRAMP High CP-4 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Coordenar os planos de contingência com os planos relacionados CMA_0086 - Coordenar os planos de contingência com os planos relacionados Manual, Desabilitado 1.1.0

Site de processamento alternativo

ID: FedRAMP High CP-4 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar os recursos do site de processamento alternativo CMA_C1266 - Avaliar as funcionalidades do site de processamento alternativo Manual, Desabilitado 1.1.0
Testar o plano de contingência em um local de processamento alternativo CMA_C1265 – Testar o plano de contingência em um local de processamento alternativo Manual, Desabilitado 1.1.0

Site de armazenamento alternativo

ID: FedRAMP High CP-6 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Garantir que as proteções do site de armazenamento alternativo sejam equivalentes às do site primário CMA_C1268 - Garantir que as proteções alternativas do site de armazenamento sejam equivalentes ao site primário Manual, Desabilitado 1.1.0
Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup CMA_C1267 - Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup Manual, Desabilitado 1.1.0
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
O armazenamento com redundância geográfica deve ser habilitado para Contas de Armazenamento Usar a redundância geográfica para criar aplicativos altamente disponíveis Audit, desabilitado 1.0.0
O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure Esta política audita qualquer Banco de Dados SQL do Azure em que a opção de backup com redundância geográfica de longo prazo não está habilitada. AuditIfNotExists, desabilitado 2.0.0

Separação do site primário

ID: FedRAMP High CP-6 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Criar sites de armazenamento alternativos e primários separados CMA_C1269 - Criar sites de armazenamento alternativos e primários separados Manual, Desabilitado 1.1.0
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
O armazenamento com redundância geográfica deve ser habilitado para Contas de Armazenamento Usar a redundância geográfica para criar aplicativos altamente disponíveis Audit, desabilitado 1.0.0
O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure Esta política audita qualquer Banco de Dados SQL do Azure em que a opção de backup com redundância geográfica de longo prazo não está habilitada. AuditIfNotExists, desabilitado 2.0.0

Objetivos de tempo/ponto de recuperação

ID: FedRAMP High CP-6 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer site de armazenamento alternativo que facilita operações de recuperação CMA_C1270 - Estabelecer site de armazenamento alternativo que facilita operações de recuperação Manual, Desabilitado 1.1.0

Acessibilidade

ID: FedRAMP High CP-6 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Identificar e reduzir possíveis problemas no site de armazenamento alternativo CMA_C1271 - Identificar e reduzir possíveis problemas no site de armazenamento alternativo Manual, Desabilitado 1.1.0

Site de processamento alternativo

ID: FedRAMP High CP-7 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar máquinas virtuais sem a recuperação de desastre configurada Audite máquinas virtuais sem a recuperação de desastre configurada. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Estabelecer um site de processamento alternativo CMA_0262 - Estabelecer um local de processamento alternativo Manual, Desabilitado 1.1.0

Separação do site primário

ID: FedRAMP High CP-7 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer um site de processamento alternativo CMA_0262 - Estabelecer um local de processamento alternativo Manual, Desabilitado 1.1.0

Acessibilidade

ID: FedRAMP High CP-7 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer um site de processamento alternativo CMA_0262 - Estabelecer um local de processamento alternativo Manual, Desabilitado 1.1.0

Prioridade de serviço

ID: FedRAMP High CP-7 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer um site de processamento alternativo CMA_0262 - Estabelecer um local de processamento alternativo Manual, Desabilitado 1.1.0
Estabelecer requisitos para provedores de serviços de Internet CMA_0278 - Estabelecer requisitos para provedores de serviços de Internet Manual, Desabilitado 1.1.0

Preparação para uso

ID: FedRAMP High CP-7 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Preparar o local de processamento alternativo para uso como local operacional CMA_C1278 - Preparar um site de processamento alternativo para uso como site operacional Manual, Desabilitado 1.1.0

Prioridade de provisionamentos de serviço

ID: FedRAMP High CP-8 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer requisitos para provedores de serviço de internet CMA_0278 - Estabelecer requisitos para provedores de serviços de Internet Manual, Desabilitado 1.1.0

Backup do sistema de informações

ID: FedRAMP High CP-9 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Backup do Azure deve ser habilitado para máquinas virtuais Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. AuditIfNotExists, desabilitado 3.0.0
Realizar backup da documentação do sistema de informação CMA_C1289 - Realizar backup da documentação do sistema de informações Manual, Desabilitado 1.1.0
Estabelecer políticas e procedimentos de backup CMA_0268 - Estabelecer políticas e procedimentos de backup Manual, Desabilitado 1.1.0
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Os cofres de chaves devem ter a proteção contra exclusão habilitadas A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão. Audit, Deny, desabilitado 2.1.0
Os cofres de chaves devem ter a exclusão temporária habilitada A exclusão de um cofre de chaves sem a exclusão temporária habilitada permanentemente exclui todos os segredos, as chaves e os certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável. Audit, Deny, desabilitado 3.0.0

Armazenamento separado para informações críticas

ID: FedRAMP High CP-9 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Armazenar informações de backup separadamente CMA_C1293 - Armazenar informações de backup separadamente Manual, Desabilitado 1.1.0

Transferir para site de armazenamento alternativo

ID: FedRAMP High CP-9 (5) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Transferir informações de cópia de backup para um site de armazenamento alternativo CMA_C1294 - Transferir informações de cópia de backup para um site de armazenamento alternativo Manual, Desabilitado 1.1.0

Recuperação e reconstituição do sistema de informações

ID: FedRAMP High CP-10 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Recuperar e reconstituir recursos após qualquer interrupção CMA_C1295 – Recuperar e reconstituir recursos após qualquer interrupção Manual, Desabilitado 1.1.1

Recuperação de transação

ID: FedRAMP High CP-10 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar a recuperação baseada em transação CMA_C1296 - Implementar a recuperação com base na transação Manual, Desabilitado 1.1.0

Restaurar em um período de tempo

ID: FedRAMP High CP-10 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Restaurar os recursos para o estado operacional CMA_C1297 – Restaurar recursos para o estado operacional Manual, Desabilitado 1.1.1

Identificação e autenticação

Política de Identificação e Autenticação e Procedimentos

ID: FedRAMP High IA-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos de identificação e autenticação CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação Manual, Desabilitado 1.1.0

Identificação e autenticação (usuários organizacionais)

ID: FedRAMP High IA-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.0.0
Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada Usar uma identidade gerenciada para uma segurança de autenticação aprimorada AuditIfNotExists, desabilitado 3.0.0
Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth Audit, Deny, desabilitado 1.1.0
Impor exclusividade do usuário CMA_0250 – Impor exclusividade do usuário Manual, Desabilitado 1.1.0
Os aplicativos de funções devem usar a identidade gerenciada Usar uma identidade gerenciada para uma segurança de autenticação aprimorada AuditIfNotExists, desabilitado 3.0.0
Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric Audit, Deny, desabilitado 1.1.0
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais Manual, Desabilitado 1.1.0

Acesso à rede para contas com privilégios

ID: FedRAMP High IA-2 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0

Acesso à rede para contas sem privilégios

ID: FedRAMP High IA-2 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0

Acesso local para contas com privilégios

ID: FedRAMP High IA-2 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0

Autenticação de grupo

ID: FedRAMP High IA-2 (5) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Exigir o uso de autenticadores individuais CMA_C1305 – Exigir o uso de autenticadores individuais Manual, Desabilitado 1.1.0

Acesso remoto - Dispositivo separado

ID: FedRAMP High IA-2 (11) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Identificar e autenticar dispositivos de rede CMA_0296 – Identificar e autenticar dispositivos de rede Manual, Desabilitado 1.1.0

Aceitação de credenciais PIV

ID: FedRAMP High IA-2 (12) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais Manual, Desabilitado 1.1.0

Gerenciamento de Identificador

ID: FedRAMP High IA-4 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.0.0
Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada Usar uma identidade gerenciada para uma segurança de autenticação aprimorada AuditIfNotExists, desabilitado 3.0.0
Atribuir identificadores de sistema CMA_0018 – Atribuir identificadores de sistema Manual, Desabilitado 1.1.0
Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth Audit, Deny, desabilitado 1.1.0
Os aplicativos de funções devem usar a identidade gerenciada Usar uma identidade gerenciada para uma segurança de autenticação aprimorada AuditIfNotExists, desabilitado 3.0.0
Impedir a reutilização do identificador pelo período de tempo definido CMA_C1314 – Impedir a reutilização do identificador pelo período de tempo definido Manual, Desabilitado 1.1.0
Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric Audit, Deny, desabilitado 1.1.0

Identificar status do usuário

ID: FedRAMP High IA-4 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Identificar o status de usuários individuais CMA_C1316 – Identificar o status de usuários individuais Manual, Desabilitado 1.1.0

Gerenciamento de autenticador

ID: FedRAMP High IA-5 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 AuditIfNotExists, desabilitado 3.1.0
Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não armazenam senhas usando a criptografia reversível AuditIfNotExists, desabilitado 2.0.0
A autenticação para computadores Linux deve exigir chaves SSH Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, desabilitado 3.2.0
Os certificados devem ter o período máximo de validade especificado Gerenciar seus requisitos de conformidade organizacional especificando o período de tempo máximo em que um certificado permanece válido no cofre de chaves. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 2.2.1
Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 3.1.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 1.2.0
Estabelecer processos e tipos de autenticador CMA_0267 – Estabelecer processos e tipos de autenticador Manual, Desabilitado 1.1.0
Estabelecer procedimentos para a distribuição inicial do autenticador CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador Manual, Desabilitado 1.1.0
Implementar treinamento para proteção de autenticadores CMA_0329 – Implementar treinamento para proteção de autenticadores Manual, Desabilitado 1.1.0
As chaves do Key Vault devem ter uma data de validade As chaves de criptografia devem ter uma data de validade definida e não ser permanentes. As chaves válidas para sempre dão a um invasor potencial mais tempo para comprometer a chave. Uma prática de segurança recomendada é definir as datas de validade em chaves de criptografia. Audit, Deny, desabilitado 1.0.2
Os segredos do Key Vault devem ter uma data de validade Os segredos devem ter uma data de validade definida e não ser permanentes. Os segredos são válidos para sempre dão a um invasor potencial mais tempo para comprometê-las. Uma prática de segurança recomendada é definir datas de validade nos segredos. Audit, Deny, desabilitado 1.0.2
Gerenciar tempo de vida e reutilização do autenticador CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador Manual, Desabilitado 1.1.0
Gerenciar autenticadores CMA_C1321 – Gerenciar autenticadores Manual, Desabilitado 1.1.0
Atualizar autenticadores CMA_0425 – Atualizar autenticadores Manual, Desabilitado 1.1.0
Reemitir autenticadores para contas e grupos alterados CMA_0426 – Reemitir autenticadores para contas e grupos alterados Manual, Desabilitado 1.1.0
Verificar identidade antes de distribuir autenticadores CMA_0538 – Verificar identidade antes de distribuir autenticadores Manual, Desabilitado 1.1.0

Autenticação baseada em senha

ID: FedRAMP High IA-5 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 AuditIfNotExists, desabilitado 3.1.0
Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 AuditIfNotExists, desabilitado 2.1.0
Auditar computadores Windows que não têm a idade máxima da senha definida como o número especificado de dias Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows não tiverem a idade máxima da senha definida como o número especificado de dias. O valor padrão para a idade máxima da senha é de 70 dias AuditIfNotExists, desabilitado 2.1.0
Auditar computadores Windows que não têm a idade mínima da senha definida como o número especificado de dias Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se computadores Windows não têm a idade mínima da senha definida como o número especificado de dias. O valor padrão para a idade mínima da senha é 1 dia AuditIfNotExists, desabilitado 2.1.0
Auditar os computadores Windows que não têm a configuração de complexidade de senha habilitada Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não têm a configuração de complexidade de senha habilitada AuditIfNotExists, desabilitado 2.0.0
Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres. O valor padrão no comprimento mínimo da senha é de 14 caracteres AuditIfNotExists, desabilitado 2.1.0
Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não armazenam senhas usando a criptografia reversível AuditIfNotExists, desabilitado 2.0.0
Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 3.1.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 1.2.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Estabelecer uma política de senha CMA_0256 - Estabelecer uma política de senha Manual, Desabilitado 1.1.0
Implementar parâmetros para verificadores de segredo memorizados CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0

Autenticação baseada em PKI

ID: FedRAMP High IA-5 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Associar autenticadores e identidades dinamicamente CMA_0035 - Associar dinamicamente autenticadores e identidades Manual, Desabilitado 1.1.0
Estabelecer processos e tipos de autenticador CMA_0267 – Estabelecer processos e tipos de autenticador Manual, Desabilitado 1.1.0
Estabelecer parâmetros para pesquisar autenticadores secretos e verificadores CMA_0274 - Estabelecer parâmetros para pesquisa de autenticadores e verificadores secretos Manual, Desabilitado 1.1.0
Estabelecer procedimentos para a distribuição inicial do autenticador CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador Manual, Desabilitado 1.1.0
Mapear identidades autenticadas para indivíduos CMA_0372 - mapear identidades autenticadas para indivíduos Manual, Desabilitado 1.1.0
Restringir o acesso a chaves privadas CMA_0445 – Restringir o acesso a chaves privadas Manual, Desabilitado 1.1.0
Verificar identidade antes de distribuir autenticadores CMA_0538 – Verificar identidade antes de distribuir autenticadores Manual, Desabilitado 1.1.0

Registro presencial ou feito por terceiros confiáveis

ID: FedRAMP High IA-5 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Distribuir autenticadores CMA_0184 – Distribuir autenticadores Manual, Desabilitado 1.1.0

Suporte automatizado para determinação do nível de segurança de senha

ID: FedRAMP High IA-5 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Estabelecer uma política de senha CMA_0256 - Estabelecer uma política de senha Manual, Desabilitado 1.1.0
Implementar parâmetros para verificadores de segredo memorizados CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados Manual, Desabilitado 1.1.0

Proteção de autenticadores

ID: FedRAMP High IA-5 (6) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Garantir que os usuários autorizados protejam os autenticadores fornecidos CMA_C1339 – Garantir que os usuários autorizados protejam os autenticadores fornecidos Manual, Desabilitado 1.1.0

Nenhum autenticador estático não criptografado inserido

ID: FedRAMP High IA-5 (7) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Garantir que não existam autenticadores estáticos sem criptografia CMA_C1340 - Garantir que não existam autenticadores estáticos sem criptografia Manual, Desabilitado 1.1.0

Autenticação baseada em token de hardware

ID: FedRAMP High IA-5 (11) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Atender aos requisitos de qualidade do token CMA_0487 – Atender aos requisitos de qualidade do token Manual, Desabilitado 1.1.0

Expiração dos autenticadores em cache

ID: FedRAMP High IA-5 (13) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Impor a expiração de autenticadores armazenados em cache CMA_C1343 – Impor a expiração de autenticadores armazenados em cache Manual, Desabilitado 1.1.0

Comentários do autenticador

ID: FedRAMP High IA-6 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Informações de feedback desconhecido durante o processo de autenticação CMA_C1344 – Informações de feedback desconhecido durante o processo de autenticação Manual, Desabilitado 1.1.0

Autenticação de Módulo Criptográfico

ID: FedRAMP High IA-7 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autenticar-se no módulo de criptografia CMA_0021 – Autenticar-se no módulo de criptografia Manual, Desabilitado 1.1.0

Identificação e Autenticação (usuários não organizacionais)

ID: FedRAMP High IA-8 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Identificar e autenticar usuários não organizacionais CMA_C1346 – Identificar e autenticar usuários não organizacionais Manual, Desabilitado 1.1.0

Aceitação de credenciais PIV de outras agências

ID: FedRAMP High IA-8 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Aceitar credenciais PIV CMA_C1347 – Aceitar credenciais PIV Manual, Desabilitado 1.1.0

Aceitação de credenciais de terceiros

ID: FedRAMP High IA-8 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Aceitar somente credenciais de terceiros aprovadas pelo FICAM CMA_C1348 – Aceitar somente credenciais de terceiros aprovadas pelo FICAM Manual, Desabilitado 1.1.0

Uso de produtos aprovados pela Ficam

ID: FedRAMP High IA-8 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar recursos aprovados pelo FICAM para aceitar credenciais de terceiros CMA_C1349 – Empregar recursos aprovados pelo FICAM para aceitar credenciais de terceiros Manual, Desabilitado 1.1.0

Uso de perfis emitidos pela Ficam

ID: FedRAMP High IA-8 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estar em conformidade com os perfis emitidos pelo FICAM CMA_C1350 – Estar em conformidade com os perfis emitidos pelo FICAM Manual, Desabilitado 1.1.0

Resposta a incidentes

Política e procedimentos de resposta a incidentes

ID: FedRAMP High IR-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar e atualizar as políticas e procedimentos de resposta a incidentes CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes Manual, Desabilitado 1.1.0

Treinamento de resposta a incidentes

ID: FedRAMP High IR-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer treinamento de vazamento de informações CMA_0413 – Fornecer treinamento de vazamento de informações Manual, Desabilitado 1.1.0

Eventos simulados

ID: FedRAMP High IR-2 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Incorporar eventos simulados ao treinamento de resposta a incidentes CMA_C1356 – Incorporar eventos simulados ao treinamento de resposta a incidentes Manual, Desabilitado 1.1.0

Ambientes de treinamento automatizado

ID: FedRAMP High IR-2 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Aplicar ambiente de treinamento automatizado CMA_C1357 – Aplicar ambiente de treinamento automatizado Manual, Desabilitado 1.1.0

Teste de resposta a incidentes

ID: FedRAMP High IR-3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar testes de resposta a incidentes CMA_0060 – Realizar testes de resposta a incidentes Manual, Desabilitado 1.1.0
Estabelecer um programa de segurança da informação CMA_0263 – Estabelecer um programa de segurança da informação Manual, Desabilitado 1.1.0
Executar ataques de simulação CMA_0486 – Executar ataques de simulação Manual, Desabilitado 1.1.0

ID: FedRAMP High IR-3 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar testes de resposta a incidentes CMA_0060 – Realizar testes de resposta a incidentes Manual, Desabilitado 1.1.0
Estabelecer um programa de segurança da informação CMA_0263 – Estabelecer um programa de segurança da informação Manual, Desabilitado 1.1.0
Executar ataques de simulação CMA_0486 – Executar ataques de simulação Manual, Desabilitado 1.1.0

Tratamento de incidentes

ID: FedRAMP High IR-4 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar eventos de segurança da informação CMA_0013 – Avaliar eventos de segurança da informação Manual, Desabilitado 1.1.0
O Azure Defender para o Serviço de Aplicativo deve estar habilitado O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para Key Vault deve estar habilitado O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para Resource Manager deve ser habilitado O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. AuditIfNotExists, desabilitado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores SQL em computadores deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
Coordenar os planos de contingência com os planos relacionados CMA_0086 - Coordenar os planos de contingência com os planos relacionados Manual, Desabilitado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Desenvolver proteções de segurança CMA_0161 – Desenvolver proteções de segurança Manual, Desabilitado 1.1.0
A notificação por email para alertas de severidade alta deve ser habilitada Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. AuditIfNotExists, desabilitado 1.2.0
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. AuditIfNotExists, desabilitado 2.1.0
Habilitar a proteção de rede CMA_0238 – Habilitar a proteção de rede Manual, Desabilitado 1.1.0
Erradicar informações contaminadas CMA_0253 – Erradicar informações contaminadas Manual, Desabilitado 1.1.0
Executar ações em resposta a despejos de informações CMA_0281 – Executar ações em resposta a despejos de informações Manual, Desabilitado 1.1.0
Implementar tratamento de incidentes CMA_0318 – Implementar tratamento de incidentes Manual, Desabilitado 1.1.0
Manter plano de resposta a incidentes CMA_0352 – Manter plano de resposta a incidentes Manual, Desabilitado 1.1.0
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. AuditIfNotExists, desabilitado 1.0.0
O Microsoft Defender para Armazenamento deve estar habilitado O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. AuditIfNotExists, desabilitado 1.0.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
As assinaturas devem ter um endereço de email de contato para problemas de segurança Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. AuditIfNotExists, desabilitado 1.0.1
Exibir e investigar usuários restritos CMA_0545 – Exibir e investigar usuários restritos Manual, Desabilitado 1.1.0

Processos automatizados de manipulação de incidentes

ID: FedRAMP High IR-4 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Habilitar a proteção de rede CMA_0238 – Habilitar a proteção de rede Manual, Desabilitado 1.1.0
Implementar tratamento de incidentes CMA_0318 – Implementar tratamento de incidentes Manual, Desabilitado 1.1.0

Reconfiguração dinâmica

ID: FedRAMP High IR-4 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Inclui reconfiguração dinâmica de recursos implantados pelo cliente CMA_C1364 - Inclui reconfiguração dinâmica de recursos implantados pelo cliente Manual, Desabilitado 1.1.0

Continuidade das operações

ID: FedRAMP High IR-4 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Identificar classes de incidentes e ações tomadas CMA_C1365 – Identificar classes de incidentes e ações tomadas Manual, Desabilitado 1.1.0

Correlação de informações

ID: FedRAMP High IR-4 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar tratamento de incidentes CMA_0318 – Implementar tratamento de incidentes Manual, Desabilitado 1.1.0

Ameaças internas - Recursos específicos

ID: FedRAMP High IR-4 (6) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar a capacidade de tratamento de incidentes CMA_C1367 – Implementar a capacidade de tratamento de incidentes Manual, Desabilitado 1.1.0

Correlação com organizações externas

ID: FedRAMP High IR-4 (8) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Coordenar com organizações externas para obter uma perspectiva entre organizações CMA_C1368 – Coordenar com organizações externas para obter uma perspectiva entre organizações Manual, Desabilitado 1.1.0

Monitoramento de incidentes

ID: FedRAMP High IR-5 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Azure Defender para o Serviço de Aplicativo deve estar habilitado O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para Key Vault deve estar habilitado O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para Resource Manager deve ser habilitado O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. AuditIfNotExists, desabilitado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores SQL em computadores deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
A notificação por email para alertas de severidade alta deve ser habilitada Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. AuditIfNotExists, desabilitado 1.2.0
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. AuditIfNotExists, desabilitado 2.1.0
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. AuditIfNotExists, desabilitado 1.0.0
O Microsoft Defender para Armazenamento deve estar habilitado O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. AuditIfNotExists, desabilitado 1.0.0
As assinaturas devem ter um endereço de email de contato para problemas de segurança Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. AuditIfNotExists, desabilitado 1.0.1

Criação automatizada de relatórios

ID: FedRAMP High IR-6 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar operações de segurança CMA_0202 – Documentar operações de segurança Manual, Desabilitado 1.1.0

Assistência de resposta a incidentes

ID: FedRAMP High IR-7 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar operações de segurança CMA_0202 – Documentar operações de segurança Manual, Desabilitado 1.1.0

Suporte de automação para disponibilidade de informações/suporte

ID: FedRAMP High IR-7 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Habilitar a proteção de rede CMA_0238 – Habilitar a proteção de rede Manual, Desabilitado 1.1.0
Erradicar informações contaminadas CMA_0253 – Erradicar informações contaminadas Manual, Desabilitado 1.1.0
Executar ações em resposta a despejos de informações CMA_0281 – Executar ações em resposta a despejos de informações Manual, Desabilitado 1.1.0
Implementar tratamento de incidentes CMA_0318 – Implementar tratamento de incidentes Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Exibir e investigar usuários restritos CMA_0545 – Exibir e investigar usuários restritos Manual, Desabilitado 1.1.0

Coordenação com provedores externos

ID: FedRAMP High IR-7 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer relação entre a capacidade de resposta a incidentes e provedores externos CMA_C1376 – Estabelecer relação entre a capacidade de resposta a incidentes e provedores externos Manual, Desabilitado 1.1.0
Identificar o pessoal de resposta a incidentes CMA_0301 – Identificar o pessoal de resposta a incidentes Manual, Desabilitado 1.1.0

Plano de resposta a incidentes

ID: FedRAMP High IR-8 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar eventos de segurança da informação CMA_0013 – Avaliar eventos de segurança da informação Manual, Desabilitado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Implementar tratamento de incidentes CMA_0318 – Implementar tratamento de incidentes Manual, Desabilitado 1.1.0
Manter registros de violação de dados CMA_0351 – Manter registros de violação de dados Manual, Desabilitado 1.1.0
Manter plano de resposta a incidentes CMA_0352 – Manter plano de resposta a incidentes Manual, Desabilitado 1.1.0
Proteger o plano de resposta a incidentes CMA_0405 – Proteger o plano de resposta a incidentes Manual, Desabilitado 1.1.0

Resposta ao vazamento de informações

ID: FedRAMP High IR-9 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Alertar o pessoal sobre vazamento de informações CMA_0007 – Alertar o pessoal sobre vazamento de informações Manual, Desabilitado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Erradicar informações contaminadas CMA_0253 – Erradicar informações contaminadas Manual, Desabilitado 1.1.0
Executar ações em resposta a despejos de informações CMA_0281 – Executar ações em resposta a despejos de informações Manual, Desabilitado 1.1.0
Identificar componentes e sistemas não identificados CMA_0300 - Identificar sistemas e componentes contaminados Manual, Desabilitado 1.1.0
Identificar informações despejadas CMA_0303 - Identificar informações despejadas Manual, Desabilitado 1.1.0
Isolar vazamentos de informações CMA_0346 - Isolar vazamentos de informações Manual, Desabilitado 1.1.0

Equipe responsável

ID: FedRAMP High IR-9 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Identificar o pessoal de resposta a incidentes CMA_0301 – Identificar o pessoal de resposta a incidentes Manual, Desabilitado 1.1.0

Treinamento

ID: FedRAMP High IR-9 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer treinamento de vazamento de informações CMA_0413 – Fornecer treinamento de vazamento de informações Manual, Desabilitado 1.1.0

Operações de pós-derramamento

ID: FedRAMP High IR-9 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver procedimentos de resposta de vazamento CMA_0162 - Desenvolver procedimentos de resposta a despejo Manual, Desabilitado 1.1.0

Exposição a indivíduos não autorizados

ID: FedRAMP High IR-9 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver proteções de segurança CMA_0161 – Desenvolver proteções de segurança Manual, Desabilitado 1.1.0

Manutenção

Política e procedimentos de manutenção do sistema

ID: FedRAMP High MA-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos de manutenção do sistema CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema Manual, Desabilitado 1.1.0

Manutenção controlada

ID: FedRAMP High MA-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar as atividades de manutenção e reparo CMA_0080 - Controlar as atividades de manutenção e reparo Manual, Desabilitado 1.1.0
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Gerenciar atividades de diagnóstico e manutenção não locais CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais Manual, Desabilitado 1.1.0

Atividades de manutenção automatizada

ID: FedRAMP High MA-2 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Automatizar atividades de manutenção remota CMA_C1402 - Automatizar atividades de manutenção remota Manual, Desabilitado 1.1.0
Produzir registros completos das atividades de manutenção remota CMA_C1403 - Produzir registros completos das atividades de manutenção remota Manual, Desabilitado 1.1.0

Ferramentas de manutenção

ID: FedRAMP High MA-3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar as atividades de manutenção e reparo CMA_0080 - Controlar as atividades de manutenção e reparo Manual, Desabilitado 1.1.0
Gerenciar atividades de diagnóstico e manutenção não locais CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais Manual, Desabilitado 1.1.0

Inspecionar ferramentas

ID: FedRAMP High MA-3 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar as atividades de manutenção e reparo CMA_0080 - Controlar as atividades de manutenção e reparo Manual, Desabilitado 1.1.0
Gerenciar atividades de diagnóstico e manutenção não locais CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais Manual, Desabilitado 1.1.0

Inspecionar mídia

ID: FedRAMP High MA-3 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar as atividades de manutenção e reparo CMA_0080 - Controlar as atividades de manutenção e reparo Manual, Desabilitado 1.1.0
Gerenciar atividades de diagnóstico e manutenção não locais CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais Manual, Desabilitado 1.1.0

Impedir a remoção não autorizada

ID: FedRAMP High MA-3 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar as atividades de manutenção e reparo CMA_0080 - Controlar as atividades de manutenção e reparo Manual, Desabilitado 1.1.0
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Gerenciar atividades de diagnóstico e manutenção não locais CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais Manual, Desabilitado 1.1.0

Manutenção não local

ID: FedRAMP High MA-4 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Gerenciar atividades de diagnóstico e manutenção não locais CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais Manual, Desabilitado 1.1.0

Documentar manutenção não local

ID: FedRAMP High MA-4 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Gerenciar atividades de diagnóstico e manutenção não locais CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais Manual, Desabilitado 1.1.0

Segurança/limpeza comparável

ID: FedRAMP High MA-4 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar todas as manutenções não locais CMA_C1417 – Realizar todas as manutenções não locais Manual, Desabilitado 1.1.0

Proteção criptográfica

ID: FedRAMP High MA-4 (6) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar mecanismos de criptografia CMA_C1419 – Implementar mecanismos de criptografia Manual, Desabilitado 1.1.0

Equipe de manutenção

ID: FedRAMP High MA-5 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Designar pessoal para supervisionar as atividades de manutenção não autorizada CMA_C1422 - Designar pessoal para supervisionar as atividades de manutenção não autorizada Manual, Desabilitado 1.1.0
Manter lista de pessoal de manutenção remota autorizado CMA_C1420 - Manter lista de pessoal de manutenção remota autorizado Manual, Desabilitado 1.1.0
Gerenciar a equipe de manutenção CMA_C1421 - Gerenciar a equipe de manutenção Manual, Desabilitado 1.1.0

Indivíduos sem acesso apropriado

ID: FedRAMP High MA-5 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0

Manutenção oportuna

ID: FedRAMP High MA-6 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer suporte de manutenção dentro do prazo CMA_C1425 - Fornecer suporte de manutenção dentro do prazo Manual, Desabilitado 1.1.0

Proteção de Mídia

Procedimentos e política de proteção de mídia

ID: FedRAMP High MP-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos de proteção de mídia CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia Manual, Desabilitado 1.1.0

Acesso à mídia

ID: FedRAMP High CP-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0

Marcação de mídia

ID: FedRAMP High MP-3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0

Armazenamento de mídia

ID: FedRAMP High MP-4 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0

Transporte de dados

ID: FedRAMP High MP-5 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Gerenciar o transporte de ativos CMA_0370 - Gerenciar o transporte de ativos Manual, Desabilitado 1.1.0

Proteção criptográfica

ID: FedRAMP High MP-5 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Gerenciar o transporte de ativos CMA_0370 - Gerenciar o transporte de ativos Manual, Desabilitado 1.1.0

Limpeza de mídia

ID: FedRAMP High MP-6 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0

Revisar, aprovar, acompanhar, documentar e verificar

ID: FedRAMP High MP-6 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0

Teste de equipamento

ID: FedRAMP High MP-6 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0

Uso de mídia

ID: FedRAMP High MP-7 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Controlar o uso de dispositivos de armazenamento portáteis CMA_0083 – Controlar o uso de dispositivos de armazenamento portáteis Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Restringir uso de mídia CMA_0450 – Restringir uso de mídia Manual, Desabilitado 1.1.0

Proibir o uso sem proprietário

ID: FedRAMP High MP-7 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Controlar o uso de dispositivos de armazenamento portáteis CMA_0083 – Controlar o uso de dispositivos de armazenamento portáteis Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Restringir uso de mídia CMA_0450 – Restringir uso de mídia Manual, Desabilitado 1.1.0

Proteção física e ambiental

Política e Procedimentos de Proteção Física e Ambiental

ID: FedRAMP High PE-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos físicos e ambientais CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais Manual, Desabilitado 1.1.0

Autorizações de Acesso Físico

ID: FedRAMP High PE-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0

Controles de Acesso Físico

ID: FedRAMP High PE-3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Definir um processo de gerenciamento de chave física CMA_0115 – Definir um processo de gerenciamento de chave física Manual, Desabilitado 1.1.0
Estabelecer e manter um inventário de ativos CMA_0266 - Estabelecer e manter um inventário de ativos Manual, Desabilitado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0

Controle de Acesso de Média de Transmissão

ID: FedRAMP High PE-4 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0

Controle de Acesso para Dispositivos de Saída

ID: FedRAMP High PE-5 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0

Alarmes de invasão e equipamentos de vigilância

ID: FedRAMP High PE-6 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Instalar um sistema de alarme CMA_0338 - Instalar um sistema de alarme Manual, Desabilitado 1.1.0
Gerenciar um sistema de câmera de vigilância seguro CMA_0354 - Gerenciar um sistema de câmera de vigilância seguro Manual, Desabilitado 1.1.0

Registros de Acesso de Visitante

ID: FedRAMP High PE-8 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0

Iluminação de Emergência

ID: FedRAMP High PE-12 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Usar iluminação de emergência automática CMA_0209 - Usar iluminação de emergência automática Manual, Desabilitado 1.1.0

Proteção ao Fogo

ID: FedRAMP High PE-13 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0

Dispositivos/sistemas de detecção

ID: FedRAMP High PE-13 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar uma metodologia de teste de penetração CMA_0306 – Implementar uma metodologia de teste de penetração Manual, Desabilitado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0
Executar ataques de simulação CMA_0486 – Executar ataques de simulação Manual, Desabilitado 1.1.0

Dispositivos/sistemas de supressão

ID: FedRAMP High PE-13 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0

Supressão de incêndio automática

ID: FedRAMP High PE-13 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0

Controles de Umidade e Temperatura

ID: FedRAMP High PE-14 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0

Monitoramento com alarmes/notificações

ID: FedRAMP High PE-14 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0
Instalar um sistema de alarme CMA_0338 - Instalar um sistema de alarme Manual, Desabilitado 1.1.0

Proteção contra Danos de Água

ID: FedRAMP High PE-15 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0

Entrega e Remoção

ID: FedRAMP High PE-16 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir requisitos para gerenciar ativos CMA_0125 - Definir requisitos para gerenciar ativos Manual, Desabilitado 1.1.0
Gerenciar o transporte de ativos CMA_0370 - Gerenciar o transporte de ativos Manual, Desabilitado 1.1.0

Site de Trabalho Alternado

ID: FedRAMP High PE-17 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar controles para proteger sites de trabalho alternativos CMA_0315 – Implementar controles para proteger sites de trabalho alternativos Manual, Desabilitado 1.1.0

Local dos componentes do sistema de informações

ID: FedRAMP High PE-18 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0

Planejamento

Política e procedimentos de planejamento de segurança

ID: FedRAMP High PL-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos de planejamento CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento Manual, Desabilitado 1.1.0

Plano de segurança do sistema

ID: FedRAMP High PL-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver e estabelecer um plano de segurança do sistema CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de segurança de informações CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações Manual, Desabilitado 1.1.0
Desenvolver um SSP que atenda aos critérios CMA_C1492 – Desenvolver um SSP que atenda aos critérios Manual, Desabilitado 1.1.0
Estabelecer um programa de privacidade CMA_0257 – Estabelecer um programa de privacidade Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados Manual, Desabilitado 1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações Manual, Desabilitado 1.1.0

Planejar/coordenar com outras entidades organizacionais

ID: FedRAMP High PL-2 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver e estabelecer um plano de segurança do sistema CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados Manual, Desabilitado 1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações Manual, Desabilitado 1.1.0

Regras de comportamento

ID: FedRAMP High PL-4 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver procedimentos e políticas de uso aceitáveis CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis Manual, Desabilitado 1.1.0
Desenvolver política de código da organização CMA_0159 – Desenvolver política de código de conduta da organização Manual, Desabilitado 1.1.0
Documentar aceitação do pessoal de requisitos de privacidade CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade Manual, Desabilitado 1.1.0
Aplicar regras de comportamento e contratos de acesso CMA_0248 – Aplicar regras de comportamento e contratos de acesso Manual, Desabilitado 1.1.0
Proibir práticas injustas CMA_0396 – Proibir práticas injustas Manual, Desabilitado 1.1.0
Revisar e assinar regras de comportamento revisadas CMA_0465 – Revisar e assinar regras de comportamento revisadas Manual, Desabilitado 1.1.0
Atualizar políticas de segurança de informações CMA_0518 – Atualizar políticas de segurança da informação Manual, Desabilitado 1.1.0
Atualizar regras de comportamento e contratos de acesso CMA_0521 – Atualizar regras de comportamento e contratos de acesso Manual, Desabilitado 1.1.0
Atualizar regras de comportamento e contratos de acesso a cada três anos CMA_0522 – Atualizar regras de comportamento e contratos de acesso a cada três anos Manual, Desabilitado 1.1.0

Restrições de rede e mídias sociais

ID: FedRAMP High PL-4 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver procedimentos e políticas de uso aceitáveis CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis Manual, Desabilitado 1.1.0

Arquitetura de segurança da informação

ID: FedRAMP High PL-8 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver um conceito de operações (CONOPS) CMA_0141 – Desenvolver um conceito de operações (CONOPS) Manual, Desabilitado 1.1.0
Revisar e atualizar a arquitetura de segurança da informação CMA_C1504 – Revisar e atualizar a arquitetura de segurança da informação Manual, Desabilitado 1.1.0

Segurança de pessoal

Política e procedimentos de segurança de pessoal

ID: FedRAMP High PS-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos de segurança de pessoal CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal Manual, Desabilitado 1.1.0

Designação de risco de posição

ID: FedRAMP High PS-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Atribuir designações de risco CMA_0016 – Atribuir designações de risco Manual, Desabilitado 1.1.0

Equipe de triagem

ID: FedRAMP High PS-3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desmarcar o pessoal com acesso às informações confidenciais CMA_0054 – Desmarcar o pessoal com acesso às informações classificadas Manual, Desabilitado 1.1.0
Implementar triagem de pessoal CMA_0322 – Implementar triagem de pessoal Manual, Desabilitado 1.1.0
Reexaminar indivíduos em uma frequência definida CMA_C1512 – Reexaminar indivíduos em uma frequência definida Manual, Desabilitado 1.1.0

Informações com medidas de proteção especiais

ID: FedRAMP High PS-3 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Proteger informações especiais CMA_0409 – Proteger informações especiais Manual, Desabilitado 1.1.0

Encerramento de equipe

ID: FedRAMP High PS-4 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar entrevista de saída após a rescisão CMA_0058 – Realizar entrevista de saída após a rescisão Manual, Desabilitado 1.1.0
Desabilitar os autenticadores após o encerramento CMA_0169 – Desabilitar os autenticadores após o encerramento Manual, Desabilitado 1.1.0
Notificar após a rescisão ou transferência CMA_0381 – Notificar após a rescisão ou transferência Manual, Desabilitado 1.1.0
Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo CMA_0398 – Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo Manual, Desabilitado 1.1.0
Reter dados de usuário removido CMA_0455 – Reter dados de usuário removido Manual, Desabilitado 1.1.0

Notificação automatizada

ID: FedRAMP High PS-4 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Automatizar a notificação de rescisão do funcionário CMA_C1521 - Automatizar a notificação de rescisão do empregado Manual, Desabilitado 1.1.0

Transferência de pessoal

ID: FedRAMP High PS-5 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Iniciar ações de transferência ou reatribuição CMA_0333 – Iniciar ações de transferência ou reatribuição Manual, Desabilitado 1.1.0
Modificar autorizações de acesso após a transferência de pessoal CMA_0374 – Modificar autorizações de acesso após a transferência de pessoal Manual, Desabilitado 1.1.0
Notificar após a rescisão ou transferência CMA_0381 – Notificar após a rescisão ou transferência Manual, Desabilitado 1.1.0
Reavaliar o acesso após a transferência de pessoal CMA_0424 – Reavaliar o acesso após a transferência de pessoal Manual, Desabilitado 1.1.0

Contratos de acesso

ID: FedRAMP High PS-6 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar contratos de acesso organizacional CMA_0192 – Documentar contratos de acesso organizacional Manual, Desabilitado 1.1.0
Aplicar regras de comportamento e contratos de acesso CMA_0248 – Aplicar regras de comportamento e contratos de acesso Manual, Desabilitado 1.1.0
Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo CMA_C1528 - Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo Manual, Desabilitado 1.1.0
Exigir que os usuários assinem o contrato de acesso CMA_0440 – Exigir que os usuários assinem o contrato de acesso Manual, Desabilitado 1.1.0
Atualizar contratos de acesso organizacional CMA_0520 – Atualizar contratos de acesso organizacional Manual, Desabilitado 1.1.0

Segurança de pessoal de terceiros

ID: FedRAMP High PE-7 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar requisitos de segurança de pessoal terceirizado CMA_C1531 – Documentar requisitos de segurança de pessoal terceirizado Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança de pessoal terceirizado CMA_C1529 – Estabelecer requisitos de segurança de pessoal terceirizado Manual, Desabilitado 1.1.0
Monitorar a conformidade do provedor de terceiros CMA_C1533 – Monitorar a conformidade do provedor de terceiros Manual, Desabilitado 1.1.0
Exigir notificação da transferência ou rescisão de pessoal terceirizado CMA_C1532 – Exigir notificação de transferência ou rescisão de pessoal terceirizado Manual, Desabilitado 1.1.0
Exigir que provedores terceiros cumpram as políticas e os procedimentos de segurança de pessoal CMA_C1530 – Exigir que provedores terceiros cumpram as políticas e procedimentos de segurança de pessoal Manual, Desabilitado 1.1.0

Sanções ao pessoal

ID: FedRAMP High PS-8 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar processo formal de sanções CMA_0317 – Implementar processo formal de sanções Manual, Desabilitado 1.1.0
Notificar o pessoal sobre as sanções CMA_0380 – Notificar o pessoal sobre sanções Manual, Desabilitado 1.1.0

Avaliação de risco

Política e procedimentos de avaliação de risco

ID: FedRAMP High RA-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos de avaliação de risco CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco Manual, Desabilitado 1.1.0

Categorização de segurança

ID: FedRAMP High RA-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Categorizar informações CMA_0052 – Categorizar informações Manual, Desabilitado 1.1.0
Desenvolver esquemas de classificação de negócios CMA_0155 – Desenvolver esquemas de classificação de negócios Manual, Desabilitado 1.1.0
Garantir a aprovação da categorização de segurança CMA_C1540 – Garantir a aprovação da categorização de segurança Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0

Avaliação de risco

ID: FedRAMP High RA-3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar a Avaliação de Risco CMA_C1543 – Realizar a avaliação de risco Manual, Desabilitado 1.1.0
Realizar a avaliação de risco e distribuir os resultados CMA_C1544 – Realizar a avaliação de risco e distribuir os resultados Manual, Desabilitado 1.1.0
Realizar a avaliação de risco e documentar resultados CMA_C1542 – Realizar a avaliação de risco e documentar resultados Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0

Verificação de vulnerabilidade

ID: FedRAMP High RA-5 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. AuditIfNotExists, desabilitado 3.0.0
O Azure Defender para o Serviço de Aplicativo deve estar habilitado O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para Key Vault deve estar habilitado O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para Resource Manager deve ser habilitado O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. AuditIfNotExists, desabilitado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores SQL em computadores deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. AuditIfNotExists, desabilitado 1.0.0
O Microsoft Defender para Armazenamento deve estar habilitado O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. AuditIfNotExists, desabilitado 1.0.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 4.1.0
Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas A avaliação de vulnerabilidades do SQL examina o banco de dados em busca de vulnerabilidades de segurança e expõe os desvios das melhores práticas como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança de seu banco de dados. AuditIfNotExists, desabilitado 1.0.0
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desabilitado 3.1.0
A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL Audite cada Instância Gerenciada de SQL que não tem verificações recorrentes de avaliação de vulnerabilidade habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 1.0.1
A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL Audite os servidores SQL do Azure sem verificações recorrentes de avaliação de vulnerabilidade ativadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 3.0.0
A avaliação de vulnerabilidade deve ser habilitada em seus workspaces do Azure Synapse Descubra, acompanhe e corrija potenciais vulnerabilidades configurando verificações de avaliação de vulnerabilidades SQL recorrentes em seus workspaces do Azure Synapse. AuditIfNotExists, desabilitado 1.0.0

Recurso da ferramenta de atualização

ID: FedRAMP High RA-5 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Atualizar por frequência/antes de uma nova verificação/quando identificado

ID: FedRAMP High RA-5 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Amplitude/profundidade de cobertura

ID: FedRAMP High RA-5 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Informações identificáveis

ID: FedRAMP High RA-5 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Tomar medidas em resposta às informações do cliente CMA_C1554 - Tomar medidas em resposta às informações do cliente Manual, Desabilitado 1.1.0

Acesso privilegiado

ID: FedRAMP High RA-5 (5) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades CMA_C1555 – Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades Manual, Desabilitado 1.1.0

Análise automatizada de tendências

ID: FedRAMP High RA-5 (6) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Observar e relatar vulnerabilidades de segurança CMA_0384 – Observar e relatar vulnerabilidades de segurança Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Realizar modelagem de ameaças CMA_0392 – Realizar modelagem de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Analisar logs de auditoria históricos

ID: FedRAMP High RA-5 (8) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
Correlacionar registros de auditoria CMA_0087 – Correlacionar registros de auditoria Manual, Desabilitado 1.1.0
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
Estabelecer requisitos para revisão e relatórios de auditoria CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria Manual, Desabilitado 1.1.0
Integrar revisão de auditoria, análise e relatórios CMA_0339 – Integrar revisão de auditoria, análise e relatórios Manual, Desabilitado 1.1.0
Integrar a segurança do aplicativo em nuvem a um SIEM CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM Manual, Desabilitado 1.1.0
Examinar logs de provisionamento de conta CMA_0460 – Examinar logs de provisionamento de conta Manual, Desabilitado 1.1.0
Revisar atribuições de administrador semanalmente CMA_0461 – Revisar atribuições de administrador semanalmente Manual, Desabilitado 1.1.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0
Revisar a visão geral do relatório de identidade na nuvem CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem Manual, Desabilitado 1.1.0
Revisar eventos de acesso controlado a pastas CMA_0471 – Revisar eventos de acesso controlado a pastas Manual, Desabilitado 1.1.0
Revisar eventos de proteção contra exploração CMA_0472 – Revisar eventos de proteção contra exploração Manual, Desabilitado 1.1.0
Revisar a atividade de arquivo e pasta CMA_0473 – Revisar a atividade de arquivo e pasta Manual, Desabilitado 1.1.0
Revisar alterações de grupo de funções semanalmente CMA_0476 – Revisar alterações de grupo de funções semanalmente Manual, Desabilitado 1.1.0

Correlacionar informações de verificação

ID: FedRAMP High RA-5 (10) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Correlacionar as informações da verificação de vulnerabilidade CMA_C1558 – Correlacionar as informações da verificação de vulnerabilidade Manual, Desabilitado 1.1.1

Aquisições do sistema e de serviços

Política e procedimentos de aquisições do sistema e de serviços

ID: FedRAMP High SA-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços Manual, Desabilitado 1.1.0

Alocação de recursos

ID: FedRAMP High SA-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Alinhar os objetivos de negócios e os objetivos de TI CMA_0008 – Alinhar os objetivos de negócios e os objetivos de TI Manual, Desabilitado 1.1.0
Alocar recursos para determinar os requisitos do sistema de informações CMA_C1561 – Alocar recursos para determinar os requisitos do sistema de informações Manual, Desabilitado 1.1.0
Estabelecer um item de linha discreto na documentação do orçamento CMA_C1563 – Estabelecer um item de linha discreto na documentação do orçamento Manual, Desabilitado 1.1.0
Estabelecer um programa de privacidade CMA_0257 – Estabelecer um programa de privacidade Manual, Desabilitado 1.1.0
Controlar a alocação de recursos CMA_0293 – Controlar a alocação de recursos Manual, Desabilitado 1.1.0
Garantir o comprometimento da liderança CMA_0489 – Garantir o comprometimento da liderança Manual, Desabilitado 1.1.0

Ciclo de vida de desenvolvimento de sistemas

ID: FedRAMP High SA-3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir responsabilidades e funções de segurança da informação CMA_C1565 – Definir funções e responsabilidades de segurança da informação Manual, Desabilitado 1.1.0
Identificar os indivíduos com funções e responsabilidades de segurança CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança Manual, Desabilitado 1.1.1
Integrar o processo de gerenciamento de riscos ao SDLC CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC Manual, Desabilitado 1.1.0

Processo de aquisição

ID: FedRAMP High SA-4 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Documentar critérios de aceitação do contrato de aquisição CMA_0187 – Documentar critérios de aceitação do contrato de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos Manual, Desabilitado 1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados Manual, Desabilitado 1.1.0

Propriedades funcionais de controles de segurança

ID: FedRAMP High SA-4 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Obter propriedades funcionais de controles de segurança CMA_C1575 – Obter propriedades funcionais de controles de segurança Manual, Desabilitado 1.1.0

Informações de design e implementação para controles de segurança

ID: FedRAMP High SA-4 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Obter informações de design e implementação para os controles de segurança CMA_C1576 – Obter informações de design e implementação para os controles de segurança Manual, Desabilitado 1.1.1

Planejamento de monitoramento contínuo

ID: FedRAMP High SA-4 (8) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Obter um plano de monitoramento contínuo para controles de segurança CMA_C1577 – Obter um plano de monitoramento contínuo para controles de segurança Manual, Desabilitado 1.1.0

Funções, portas, protocolos e serviços em uso

ID: FedRAMP High SA-4 (9) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Exigir que o desenvolvedor identifique portas, protocolos e serviços SDLC CMA_C1578 – Exigir que o desenvolvedor identifique portas, protocolos e serviços SDLC Manual, Desabilitado 1.1.0

Uso de produtos PIV aprovados

ID: FedRAMP High SA-4 (10) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar tecnologias aprovadas pelo FIPS 201 para PIV CMA_C1579 – Empregar tecnologias aprovadas pelo FIPS 201 para PIV Manual, Desabilitado 1.1.0

Documentação do sistema de informações

ID: FedRAMP High SA-5 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Distribuir a documentação do sistema de informações CMA_C1584 - Distribuir a documentação do sistema de informações Manual, Desabilitado 1.1.0
Documentar ações definidas pelo cliente CMA_C1582 - Documentar ações definidas pelo cliente Manual, Desabilitado 1.1.0
Obter documentação de administração CMA_C1580 - Obter documentação de administração Manual, Desabilitado 1.1.0
Obter documentação da função de segurança do usuário CMA_C1581 - Obter documentação da função de segurança do usuário Manual, Desabilitado 1.1.0
Proteger documentação do administrador e do usuário CMA_C1583 - Proteger documentação do administrador e do usuário Manual, Desabilitado 1.1.0

Serviços do sistema de informações externas

ID: FedRAMP High SA-9 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir e documentar supervisão governamental CMA_C1587 – Definir e documentar supervisão governamental Manual, Desabilitado 1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança Manual, Desabilitado 1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem Manual, Desabilitado 1.1.0
Passar por revisão de segurança independente CMA_0515 – Passar por revisão de segurança independente Manual, Desabilitado 1.1.0

Avaliações de risco/aprovações organizacionais

ID: FedRAMP High SA-9 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar o risco em relacionamentos de terceiros CMA_0014 – Avaliar o risco em relacionamentos de terceiros Manual, Desabilitado 1.1.0
Obter aprovações para aquisições e terceirização CMA_C1590 – Obter aprovações para aquisições e terceirização Manual, Desabilitado 1.1.0

Identificação de funções, portas, protocolos e serviços

ID: FedRAMP High SA-9 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Identificar provedores de serviços externos CMA_C1591 – Identificar provedores de serviços externos Manual, Desabilitado 1.1.0

Interesses consistentes de consumidores e provedores

ID: FedRAMP High SA-9 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Garantir que os provedores externos atendam de forma consistente aos interesses dos clientes CMA_C1592 – Garantir que os provedores externos atendam de forma consistente aos interesses dos clientes Manual, Desabilitado 1.1.0

Processamento, armazenamento e localização de serviço

ID: FedRAMP High SI-9 (5) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Restringir a localização de serviços, armazenamento e processamento de informações CMA_C1593 – Restringir a localização de serviços, armazenamento e processamento de informações Manual, Desabilitado 1.1.0

Gerenciamento de configurações do desenvolvedor

ID: FedRAMP High SA-10 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Resolver vulnerabilidades de codificação CMA_0003 - Resolver vulnerabilidades de codificação Manual, Desabilitado 1.1.0
Desenvolver e documentar requisitos de segurança de aplicativos CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Estabelecer um programa de desenvolvimento de software seguro CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores implementem somente alterações aprovadas CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores gerenciem a integridade da alteração CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração Manual, Desabilitado 1.1.0

Verificação de integridade de software e firmware

ID: FedRAMP High SA-10 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Verificar integridade de software, firmware e informações CMA_0542 – Verificar integridade de software, firmware e informações Manual, Desabilitado 1.1.0

Testes e avaliações de segurança do desenvolvedor

ID: FedRAMP High SA-11 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança CMA_C1602 – Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança Manual, Desabilitado 1.1.0

Proteção da cadeia suprimentos

ID: FedRAMP High SA-12 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar o risco em relacionamentos de terceiros CMA_0014 – Avaliar o risco em relacionamentos de terceiros Manual, Desabilitado 1.1.0
Definir requisitos para o fornecimento de bens e serviços CMA_0126 – Definir requisitos para o fornecimento de bens e serviços Manual, Desabilitado 1.1.0
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos Manual, Desabilitado 1.1.0

Processo, padrões e ferramentas de desenvolvimento

ID: FedRAMP High SA-15 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar o processo, os padrões e as ferramentas de desenvolvimento CMA_C1610 – Revisar o processo, os padrões e as ferramentas de desenvolvimento Manual, Desabilitado 1.1.0

Treinamento disponibilizado pelo desenvolvedor

ID: FedRAMP High SA-16 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Exigir que os desenvolvedores forneçam treinamento CMA_C1611 – Exigir que os desenvolvedores forneçam treinamento Manual, Desabilitado 1.1.0

Arquitetura e design de segurança do desenvolvedor

ID: FedRAMP High SA-17 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Exigir que os desenvolvedores criem uma arquitetura de segurança CMA_C1612 – Exigir que os desenvolvedores criem uma arquitetura de segurança Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança CMA_C1613 – Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança CMA_C1614 – Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança Manual, Desabilitado 1.1.0

Proteção do sistema e das comunicações

Política e procedimentos de proteção do sistema e das comunicações

ID: FedRAMP High SC-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações Manual, Desabilitado 1.1.0

Particionamento do aplicativo

ID: FedRAMP High SC-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso remoto CMA_0024 – Autorizar o acesso remoto Manual, Desabilitado 1.1.0
Separar funcionalidade de gerenciamento de usuário e sistema de informações CMA_0493 – Separar funcionalidade de gerenciamento de usuário e sistema de informações Manual, Desabilitado 1.1.0
Usar computadores dedicados para tarefas administrativas CMA_0527 – Usar computadores dedicados para tarefas administrativas Manual, Desabilitado 1.1.0

Isolamento de função de segurança

ID: FedRAMP High SC-3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
O Microsoft Defender Exploit Guard deve estar habilitado nos computadores O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). AuditIfNotExists, desabilitado 2.0.0

Proteção contra negação de serviço

ID: FedRAMP High SC-5 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
A Proteção contra DDoS do Azure deve ser habilitada A Proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que seja parte de um gateway de aplicativo com um IP público. AuditIfNotExists, desabilitado 3.0.1
O Firewall do Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Audit, Deny, desabilitado 1.0.2
Desenvolver e documentar um plano de resposta de DDoS CMA_0147 - desenvolver e documentar um plano de resposta de DDoS Manual, Desabilitado 1.1.0
O encaminhamento IP na máquina virtual deve ser desabilitado A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. AuditIfNotExists, desabilitado 3.0.0
O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Audit, Deny, desabilitado 2.0.0

Disponibilidade de recursos

ID: FedRAMP High SC-6 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar a alocação de recursos CMA_0293 – Controlar a alocação de recursos Manual, Desabilitado 1.1.0
Gerenciar disponibilidade e capacidade CMA_0356 – Gerenciar disponibilidade e capacidade Manual, Desabilitado 1.1.0
Garantir o comprometimento da liderança CMA_0489 – Garantir o comprometimento da liderança Manual, Desabilitado 1.1.0

Proteção de limite

ID: FedRAMP High SC-7 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Preterido]: Os serviços do Azure Cognitive Search devem usar link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, desabilitado 1.0.1-preterido
[Preterido]: Os Serviços Cognitivos devem usar o link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, desabilitado 3.0.1-deprecated
[Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível AuditIfNotExists, desabilitado 3.0.0 – versão prévia
[Versão prévia]: O acesso público da conta de armazenamento não deve ser permitido O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 3.1.0 – versão prévia
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. AuditIfNotExists, desabilitado 3.0.0
Os serviços do Gerenciamento de API devem usar uma rede virtual A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. Audit, Deny, desabilitado 1.0.2
A Configuração de Aplicativos deve usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, desabilitado 1.0.2
Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. Audit, desabilitado 2.0.1
Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço de IA do Azure. Audit, Deny, desabilitado 3.2.0
A API do Azure para FHIR deve usar um link privado A API do Azure para FHIR deve ter, pelo menos, uma conexão de ponto de extremidade privado aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privado por meio de links privados. Para obter mais informações, visite: https://aka.ms/fhir-privatelink. Audit, desabilitado 1.0.0
O Cache do Azure para Redis deve usar um link privado Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, desabilitado 1.0.0
O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, desabilitado 1.0.0
Os serviços do Azure Cognitive Search devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o serviço Azure Cognitive Search não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Cognitive Search. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, desabilitado 1.0.0
As contas do Azure Cosmos DB devem ter regras de firewall As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para evitar o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra de IP definida com o filtro de rede virtual habilitado são consideradas em conformidade. As contas que desabilitam o acesso público também são consideradas em conformidade. Audit, Deny, desabilitado 2.1.0
O Azure Data Factory deve usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, desabilitado 1.0.0
Os domínios da Grade de Eventos do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Audit, desabilitado 1.0.2
Os tópicos da Grade de Eventos do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Audit, desabilitado 1.0.2
A Sincronização de Arquivos do Azure deve usar o link privado A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. AuditIfNotExists, desabilitado 1.0.0
O Azure Key Vault deve ter o firewall habilitado Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, desabilitado 3.2.1
Os Azure Key Vaults devem usar um link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Os workspaces do Azure Machine Learning devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, desabilitado 1.0.0
Os namespaces do Barramento de Serviço do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, desabilitado 1.0.0
O Serviço do Azure SignalR deve usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Audit, desabilitado 1.0.0
Os workspaces do Azure Synapse devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, desabilitado 1.0.1
O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Audit, Deny, desabilitado 1.0.2
O Serviço Azure Web PubSub deve usar o link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu serviço do Azure Web PubSub, será possível reduzir riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Audit, desabilitado 1.0.0
Os registros de contêiner não devem permitir acesso irrestrito à rede Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de pontos de extremidade privados, endereços IP públicos ou intervalos de endereços específicos. Se o Registro não tiver regras de rede configuradas, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. Audit, Deny, desabilitado 2.0.0
Os registros de contêiner devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. Audit, desabilitado 1.0.1
As contas do CosmosDB devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, desabilitado 1.0.0
Os recursos de acesso ao disco devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, desabilitado 1.0.0
Os namespaces do Hub de Eventos devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, desabilitado 1.0.0
Implementar a proteção de limites do sistema CMA_0328 – Implementar a proteção de limites do sistema Manual, Desabilitado 1.1.0
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desabilitado 3.0.0
As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Audit, desabilitado 1.0.0
O encaminhamento IP na máquina virtual deve ser desabilitado A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. AuditIfNotExists, desabilitado 3.0.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação AuditIfNotExists, desabilitado 3.0.0
Portas de gerenciamento devem ser fechadas nas máquinas virtuais As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. AuditIfNotExists, desabilitado 3.0.0
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desabilitado 3.0.0
As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. Audit, desabilitado 1.1.0
O ponto de extremidade privado deve ser habilitado para servidores MariaDB As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O ponto de extremidade privado deve ser habilitado para servidores MySQL As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. Audit, Deny, desabilitado 1.1.0
O acesso à rede pública deve ser desabilitado para servidores MariaDB Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. Audit, Deny, desabilitado 2.0.0
O acesso à rede pública deve ser desabilitado para servidores MySQL Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MySQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. Audit, Deny, desabilitado 2.0.0
O acesso à rede pública deve ser desabilitado para servidores PostgreSQL Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para PostgreSQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. Audit, Deny, desabilitado 2.0.1
As contas de armazenamento devem restringir o acesso da rede O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet Audit, Deny, desabilitado 1.1.1
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. Audit, Deny, desabilitado 1.0.1
As contas de armazenamento devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview AuditIfNotExists, desabilitado 2.0.0
As sub-redes devem ser associadas a um Grupo de Segurança de Rede Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. AuditIfNotExists, desabilitado 3.0.0
Os modelos do Construtor de Imagens de VM devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditoria, desabilitado, negação 1.1.0
O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Audit, Deny, desabilitado 2.0.0

Pontos de acesso

ID: FedRAMP High SC-7 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Preterido]: Os serviços do Azure Cognitive Search devem usar link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, desabilitado 1.0.1-preterido
[Preterido]: Os Serviços Cognitivos devem usar o link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, desabilitado 3.0.1-deprecated
[Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível AuditIfNotExists, desabilitado 3.0.0 – versão prévia
[Versão prévia]: O acesso público da conta de armazenamento não deve ser permitido O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 3.1.0 – versão prévia
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. AuditIfNotExists, desabilitado 3.0.0
Os serviços do Gerenciamento de API devem usar uma rede virtual A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. Audit, Deny, desabilitado 1.0.2
A Configuração de Aplicativos deve usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, desabilitado 1.0.2
Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. Audit, desabilitado 2.0.1
Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço de IA do Azure. Audit, Deny, desabilitado 3.2.0
A API do Azure para FHIR deve usar um link privado A API do Azure para FHIR deve ter, pelo menos, uma conexão de ponto de extremidade privado aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privado por meio de links privados. Para obter mais informações, visite: https://aka.ms/fhir-privatelink. Audit, desabilitado 1.0.0
O Cache do Azure para Redis deve usar um link privado Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, desabilitado 1.0.0
O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, desabilitado 1.0.0
Os serviços do Azure Cognitive Search devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o serviço Azure Cognitive Search não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Cognitive Search. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, desabilitado 1.0.0
As contas do Azure Cosmos DB devem ter regras de firewall As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para evitar o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra de IP definida com o filtro de rede virtual habilitado são consideradas em conformidade. As contas que desabilitam o acesso público também são consideradas em conformidade. Audit, Deny, desabilitado 2.1.0
O Azure Data Factory deve usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, desabilitado 1.0.0
Os domínios da Grade de Eventos do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Audit, desabilitado 1.0.2
Os tópicos da Grade de Eventos do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Audit, desabilitado 1.0.2
A Sincronização de Arquivos do Azure deve usar o link privado A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. AuditIfNotExists, desabilitado 1.0.0
O Azure Key Vault deve ter o firewall habilitado Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, desabilitado 3.2.1
Os Azure Key Vaults devem usar um link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Os workspaces do Azure Machine Learning devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, desabilitado 1.0.0
Os namespaces do Barramento de Serviço do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, desabilitado 1.0.0
O Serviço do Azure SignalR deve usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Audit, desabilitado 1.0.0
Os workspaces do Azure Synapse devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, desabilitado 1.0.1
O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Audit, Deny, desabilitado 1.0.2
O Serviço Azure Web PubSub deve usar o link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu serviço do Azure Web PubSub, será possível reduzir riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Audit, desabilitado 1.0.0
Os registros de contêiner não devem permitir acesso irrestrito à rede Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de pontos de extremidade privados, endereços IP públicos ou intervalos de endereços específicos. Se o Registro não tiver regras de rede configuradas, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. Audit, Deny, desabilitado 2.0.0
Os registros de contêiner devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. Audit, desabilitado 1.0.1
As contas do CosmosDB devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, desabilitado 1.0.0
Os recursos de acesso ao disco devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, desabilitado 1.0.0
Os namespaces do Hub de Eventos devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, desabilitado 1.0.0
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desabilitado 3.0.0
As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Audit, desabilitado 1.0.0
O encaminhamento IP na máquina virtual deve ser desabilitado A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. AuditIfNotExists, desabilitado 3.0.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação AuditIfNotExists, desabilitado 3.0.0
Portas de gerenciamento devem ser fechadas nas máquinas virtuais As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. AuditIfNotExists, desabilitado 3.0.0
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desabilitado 3.0.0
As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. Audit, desabilitado 1.1.0
O ponto de extremidade privado deve ser habilitado para servidores MariaDB As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O ponto de extremidade privado deve ser habilitado para servidores MySQL As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. Audit, Deny, desabilitado 1.1.0
O acesso à rede pública deve ser desabilitado para servidores MariaDB Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. Audit, Deny, desabilitado 2.0.0
O acesso à rede pública deve ser desabilitado para servidores MySQL Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MySQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. Audit, Deny, desabilitado 2.0.0
O acesso à rede pública deve ser desabilitado para servidores PostgreSQL Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para PostgreSQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. Audit, Deny, desabilitado 2.0.1
As contas de armazenamento devem restringir o acesso da rede O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet Audit, Deny, desabilitado 1.1.1
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. Audit, Deny, desabilitado 1.0.1
As contas de armazenamento devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview AuditIfNotExists, desabilitado 2.0.0
As sub-redes devem ser associadas a um Grupo de Segurança de Rede Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. AuditIfNotExists, desabilitado 3.0.0
Os modelos do Construtor de Imagens de VM devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditoria, desabilitado, negação 1.1.0
O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Audit, Deny, desabilitado 2.0.0

Serviços externos de telecomunicações

ID: FedRAMP High SC-7 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar a interface gerenciada para cada serviço externo CMA_C1626 – Implementar a interface gerenciada para cada serviço externo Manual, Desabilitado 1.1.0
Implementar a proteção de limites do sistema CMA_0328 – Implementar a proteção de limites do sistema Manual, Desabilitado 1.1.0
Proteger a interface para sistemas externos CMA_0491 – Proteger a interface para sistemas externos Manual, Desabilitado 1.1.0

Impedir criação de túnel dividido para dispositivos remotos

ID: FedRAMP High SC-7 (7) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Impedir criação de túnel dividido para dispositivos remotos CMA_C1632 – Impedir a divisão de túneis para dispositivos remotos Manual, Desabilitado 1.1.0

Rotear o tráfego para os servidores proxy autenticados

ID: FedRAMP High SC-7 (8) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Rotear o tráfego por meio da rede proxy autenticada CMA_C1633 – Rotear o tráfego por meio da rede proxy autenticada Manual, Desabilitado 1.1.0

Proteção baseada em host

ID: FedRAMP High SC-7 (12) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar a proteção de limites do sistema CMA_0328 – Implementar a proteção de limites do sistema Manual, Desabilitado 1.1.0

Isolamento de ferramentas de segurança, mecanismos e componentes de suporte

ID: FedRAMP High SC-7 (13) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Isolar sistemas SecurID, sistemas de gerenciamento de incidentes de segurança CMA_C1636 – Isolar sistemas SecurID, sistemas de gerenciamento de incidentes de segurança Manual, Desabilitado 1.1.0

Falha na segurança

ID: FedRAMP High SC-7 (18) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar a proteção de limites do sistema CMA_0328 – Implementar a proteção de limites do sistema Manual, Desabilitado 1.1.0
Gerenciar transferências entre componentes do sistema ativos e em espera CMA_0371 - Gerenciar transferências entre componentes do sistema em espera e ativos Manual, Desabilitado 1.1.0

Divisão/isolamento dinâmicos

ID: FedRAMP High SC-7 (20) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Garantir que o sistema seja capaz de isolar dinamicamente os recursos CMA_C1638 – Garantir que o sistema seja capaz de isolar dinamicamente os recursos Manual, Desabilitado 1.1.0

Isolamento dos componentes do sistema de informações

ID: FedRAMP High SC-7 (21) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar proteção de limite para isolar sistemas da informação CMA_C1639 – Empregar proteção de limite para isolar sistemas da informação Manual, Desabilitado 1.1.0

Confidencialidade e integridade de transmissão

ID: FedRAMP High SC-8 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 4.0.0
Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 3.0.0
Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 2.1.0
Os clusters do Azure HDInsight devem usar a criptografia em trânsito para criptografar a comunicação entre os nós de cluster do Azure HDInsight Os dados podem ser adulterados durante a transmissão entre os nós de cluster do Azure HDInsight. A habilitação da criptografia em trânsito resolve problemas de uso indevido e violação durante essa transmissão. Audit, Deny, desabilitado 1.0.0
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. Audit, desabilitado 1.0.1
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. Audit, desabilitado 1.0.1
Os aplicativos de funções só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 5.0.0
Os aplicativos de funções devem exigir apenas o FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 3.0.0
Os aplicativos de funções devem usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. AuditIfNotExists, desabilitado 2.1.0
Os clusters do Kubernetes devem ser acessíveis somente via HTTPS O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc auditar, Auditar, negar, Negar, desabilitado, Desabilitado 8.2.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão Audit, Deny, desabilitado 1.0.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0
A transferência segura para contas de armazenamento deve ser habilitada Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Audit, Deny, desabilitado 2.0.0
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. AuditIfNotExists, desabilitado 4.1.1

Proteção física criptográfica ou alternativa

ID: FedRAMP High SC-8 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 4.0.0
Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 3.0.0
Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 2.1.0
Os clusters do Azure HDInsight devem usar a criptografia em trânsito para criptografar a comunicação entre os nós de cluster do Azure HDInsight Os dados podem ser adulterados durante a transmissão entre os nós de cluster do Azure HDInsight. A habilitação da criptografia em trânsito resolve problemas de uso indevido e violação durante essa transmissão. Audit, Deny, desabilitado 1.0.0
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. Audit, desabilitado 1.0.1
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. Audit, desabilitado 1.0.1
Os aplicativos de funções só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 5.0.0
Os aplicativos de funções devem exigir apenas o FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 3.0.0
Os aplicativos de funções devem usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. AuditIfNotExists, desabilitado 2.1.0
Os clusters do Kubernetes devem ser acessíveis somente via HTTPS O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc auditar, Auditar, negar, Negar, desabilitado, Desabilitado 8.2.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão Audit, Deny, desabilitado 1.0.0
A transferência segura para contas de armazenamento deve ser habilitada Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Audit, Deny, desabilitado 2.0.0
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. AuditIfNotExists, desabilitado 4.1.1

Desconexão da rede

ID: FedRAMP High SC-10 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autenticar novamente ou encerrar uma sessão de usuário CMA_0421 – Autenticar novamente ou encerrar uma sessão de usuário Manual, Desabilitado 1.1.0

Estabelecimento de chave de criptografia e gerenciamento

ID: FedRAMP High SC-12 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: os cofres dos Serviços de Recuperação do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados de backup Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos seus dados de backup. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/AB-CmkEncryption. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os dados do Serviço de Provisionamento de Dispositivos do Hub IoT devem ser criptografados usando CMKs (chaves gerenciadas pelo cliente) Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do Serviço de Provisionamento de Dispositivos no Hub IoT. Os dados são automaticamente criptografados em repouso com chaves gerenciadas pelo serviço, mas as CMK (chaves gerenciada pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Saiba mais sobre a criptografia CMK em https://aka.ms/dps/CMK. Audit, Deny, desabilitado 1.0.0 – versão prévia
Os recursos dos Serviços de IA do Azure devem criptografar os dados inativos com uma chave gerenciada pelo cliente (CMK) O uso de chaves gerenciadas pelo cliente para criptografar dados inativos oferece mais controle sobre o ciclo de vida da chave, incluindo rotação e gerenciamento. Isso é particularmente relevante para organizações com requisitos de conformidade relacionados. Isso não é avaliado por padrão e só deve ser aplicado quando exigido por requisitos de conformidade ou de política restritiva. Se não estiver habilitado, os dados serão criptografados usando chaves gerenciadas pela plataforma. Para implementar isso, atualize o parâmetro "Efeito" na Política de Segurança para o escopo aplicável. Audit, Deny, desabilitado 2.2.0
A API do Azure para FHIR deve usar uma chave gerenciada pelo cliente para criptografar dados inativos Use uma chave gerenciada pelo cliente para controlar a criptografia em repouso dos dados armazenados na API do Azure para FHIR quando esse for um requisito regulatório ou de conformidade. As chaves gerenciadas pelo cliente também fornecem criptografia dupla adicionando uma segunda camada de criptografia além do padrão um feito com chaves gerenciadas por serviço. auditar, Auditar, desabilitado, Desabilitado 1.1.0
As contas da Automação do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso das suas Contas de Automação do Azure. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/automation-cmk. Audit, Deny, desabilitado 1.0.0
A conta do Lote do Azure deve usar chaves gerenciadas pelo cliente para criptografar dados Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos dados da sua conta do Lote. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/Batch-CMK. Audit, Deny, desabilitado 1.0.1
O grupo de contêineres da Instância de Contêiner do Azure deve usar a chave gerenciada pelo cliente para criptografia Proteja seus contêineres com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. Auditoria, desabilitado, negação 1.0.0
As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Os trabalhos do Azure Data Box devem usar uma chave gerenciada pelo cliente para criptografar a senha de desbloqueio do dispositivo Use uma chave gerenciada pelo cliente para controlar a criptografia da senha de desbloqueio do dispositivo para o Azure Data Box. As chaves gerenciadas pelo cliente também ajudam a gerenciar o acesso à senha de desbloqueio do dispositivo pelo serviço Data Box para preparar o dispositivo e copiar dados de maneira automatizada. Os dados no próprio dispositivo já estão criptografados em repouso com a criptografia AES de 256 bits e a senha de desbloqueio do dispositivo é criptografada por padrão com uma chave gerenciada da Microsoft. Audit, Deny, desabilitado 1.0.0
A criptografia em repouso do Azure Data Explorer deve usar uma chave gerenciada pelo cliente A habilitação da criptografia em repouso por meio de uma chave gerenciada pelo cliente no cluster do Azure Data Explorer fornece controle adicional sobre a chave que está sendo usada pela criptografia em repouso. Esse recurso é muitas vezes aplicável a clientes com requisitos de conformidade especiais e exige um Key Vault para gerenciar as chaves. Audit, Deny, desabilitado 1.0.0
Os Azure Data Factories devem ser criptografados com uma chave gerenciada pelo cliente Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Data Factory. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/adf-cmk. Audit, Deny, desabilitado 1.0.1
Os clusters do Azure HDInsight devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos seus clusters do Azure HDInsight. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/hdi.cmk. Audit, Deny, desabilitado 1.0.1
Os clusters do Azure HDInsight devem usar criptografia no host para criptografar dados inativos A habilitação da criptografia no host ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando você habilita a criptografia no host, os dados armazenados no host da VM são criptografados em repouso e os fluxos são criptografados para o serviço de armazenamento. Audit, Deny, desabilitado 1.0.0
Os workspaces do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente Gerencie a criptografia em repouso dos dados do Workspace do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. Audit, Deny, desabilitado 1.1.0
Os clusters de Logs do Azure Monitor devem ser criptografados com uma chave gerenciada pelo cliente Crie o cluster de logs do Azure Monitor com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados do log são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender à conformidade regulatória. A chave gerenciada pelo cliente no Azure Monitor oferece mais controle sobre o acesso aos dados, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Os trabalhos do Azure Stream Analytics devem usar chaves gerenciadas pelo cliente para criptografar dados Use chaves gerenciadas pelo cliente quando desejar armazenar com segurança qualquer ativo de dados privados e de metadados dos seus trabalhos do Stream Analytics na sua conta de armazenamento. Isso dá a você controle total sobre como os seus dados do Stream Analytics são criptografados. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Os workspaces do Azure Synapse devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso Use chaves gerenciadas pelo cliente para controlar a criptografia em repouso dos dados armazenados nos workspaces do Azure Synapse. As chaves gerenciadas pelo cliente também fornecem criptografia dupla adicionando uma segunda camada de criptografia além da criptografia padrão com chaves gerenciadas pelo serviço. Audit, Deny, desabilitado 1.0.0
O Serviço de Bot deve ser criptografado com uma chave gerenciada pelo cliente O Serviço de Bot do Azure criptografa automaticamente o seu recurso para proteger os seus dados e atender aos compromissos de conformidade e segurança da organização. Por padrão, são usadas as chaves de criptografia gerenciadas pela Microsoft. Para obter mais flexibilidade no gerenciamento de chaves ou no controle de acesso à sua assinatura, selecione as chaves gerenciadas pelo cliente, também conhecidas como BYOK (Bring Your Own Key). Saiba mais sobre a criptografia do Serviço de Bot do Azure: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente Criptografar o sistema operacional e os discos de dados usando chaves gerenciadas pelo cliente dá mais controle e flexibilidade no gerenciamento de chaves. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. Audit, Deny, desabilitado 1.0.1
Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. Audit, Deny, desabilitado 1.1.2
Definir um processo de gerenciamento de chave física CMA_0115 – Definir um processo de gerenciamento de chave física Manual, Desabilitado 1.1.0
Definir o uso de criptografia CMA_0120 – Definir o uso de criptografia Manual, Desabilitado 1.1.0
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia Manual, Desabilitado 1.1.0
Determinar os requisitos da declaração CMA_0136 – Determinar os requisitos da declaração Manual, Desabilitado 1.1.0
Os namespaces do Hub de Eventos devem usar uma chave gerenciada pelo cliente para criptografia Os Hubs de Eventos do Azure dão suporte à opção de criptografar dados inativos com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite que você atribua, gire, desabilite e revogue o acesso às chaves que o Hub de Eventos usará para criptografar dados em seu namespace. Observe que o Hub de Eventos dá suporte apenas à criptografia com chaves gerenciadas pelo cliente para namespaces em clusters dedicados. Audit, desabilitado 1.0.0
As contas do HPC Cache devem usar uma chave gerenciada pelo cliente para criptografia Gerencie a criptografia em repouso do Azure HPC Cache com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Auditoria, desabilitado, negação 2.0.0
Emitir certificados de chave pública CMA_0347 – Emitir certificados de chave pública Manual, Desabilitado 1.1.0
O Ambiente de Serviço de Integração dos Aplicativos Lógicos deve ser criptografado com chaves gerenciadas pelo cliente Faça a implantação no Ambiente de Serviço de Integração para gerenciar a criptografia em repouso de dados de Aplicativos Lógicos usando chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Audit, Deny, desabilitado 1.0.0
Gerenciar chaves de criptografia simétricas CMA_0367 – Gerenciar chaves de criptografia simétricas Manual, Desabilitado 1.1.0
Os discos gerenciados devem ter criptografia dupla, com chaves gerenciadas pelo cliente e pela plataforma Os clientes confidenciais de alta segurança que estão preocupados com o risco associado a qualquer determinado algoritmo de criptografia, implementação ou chave sendo comprometido podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar a criptografia dupla. Saiba mais em https://aka.ms/disks-doubleEncryption. Audit, Deny, desabilitado 1.0.0
Os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores MySQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. AuditIfNotExists, desabilitado 1.0.4
O sistema operacional e os discos de dados devem ser criptografados com uma chave gerenciada pelo cliente Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus discos gerenciados. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pela plataforma, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/disks-cmk. Audit, Deny, desabilitado 3.0.0
Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. AuditIfNotExists, desabilitado 1.0.4
Restringir o acesso a chaves privadas CMA_0445 – Restringir o acesso a chaves privadas Manual, Desabilitado 1.1.0
As consultas salvas no Azure Monitor devem ser salvas na conta de armazenamento do cliente para criptografia de logs Vincule a conta de armazenamento ao workspace do Log Analytics para proteger as consultas salvas com criptografia de conta de armazenamento. Normalmente, as chaves gerenciadas pelo cliente são necessárias para atender à conformidade regulatória e obter mais controle sobre o acesso às consultas salvas no Azure Monitor. Para obter mais detalhes sobre os itens acima, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Os namespaces do Barramento de Serviço Premium devem usar uma chave gerenciada pelo cliente para criptografia O Barramento de Serviço do Azure dá suporte à opção de criptografar dados inativos com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite que você atribua, gire, desabilite e revogue o acesso às chaves que o Barramento de Serviço usará para criptografar dados em seu namespace. Observe que o Barramento de Serviço dá suporte apenas à criptografia com chaves gerenciadas pelo cliente para namespaces premium. Audit, desabilitado 1.0.0
As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. Audit, Deny, desabilitado 2.0.0
Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. Audit, Deny, desabilitado 2.0.1
Os escopos de criptografia de conta de armazenamento devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos Use as chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos escopos de criptografia da conta de armazenamento. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre os escopos de criptografia da conta de armazenamento em https://aka.ms/encryption-scopes-overview. Audit, Deny, desabilitado 1.0.0
As contas de armazenamento devem usar uma chave gerenciada pelo cliente para criptografia Proteja sua conta de armazenamento de blobs e arquivos com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. Audit, desabilitado 1.0.3

Disponibilidade

ID: FedRAMP High SC-12 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Manter a disponibilidade de informações CMA_C1644 – Manter a disponibilidade de informações Manual, Desabilitado 1.1.0

Chaves simétricas

ID: FedRAMP High SC-12 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Produzir, controlar e distribuir chaves criptográficas simétricas CMA_C1645 – Produzir, controlar e distribuir chaves criptográficas simétricas Manual, Desabilitado 1.1.0

Chaves assimétricas

ID: FedRAMP High SC-12 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Produzir, controlar e distribuir chaves criptográficas assimétricas CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas Manual, Desabilitado 1.1.0

Proteção criptográfica

ID: FedRAMP High SC-13 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir o uso de criptografia CMA_0120 – Definir o uso de criptografia Manual, Desabilitado 1.1.0

Dispositivos de computação colaborativos

ID: FedRAMP High SC-15 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Notificação explícita do uso de dispositivos de computação colaborativa CMA_C1649 – Notificação explícita do uso de dispositivos de computação colaborativa Manual, Desabilitado 1.1.1
Proibir a ativação remota de dispositivos de computação colaborativa CMA_C1648 – Proibir a ativação remota de dispositivos de computação colaborativa Manual, Desabilitado 1.1.0

Certificados de infraestrutura de chave pública

ID: FedRAMP High SC-17 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Emitir certificados de chave pública CMA_0347 – Emitir certificados de chave pública Manual, Desabilitado 1.1.0

Código móvel

ID: FedRAMP High SC-18 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar, monitorar e controlar o uso de tecnologias de código móvel CMA_C1653 – Autorizar, monitorar e controlar o uso de tecnologias de código móvel Manual, Desabilitado 1.1.0
Definir tecnologias de código móvel aceitáveis e inaceitáveis CMA_C1651 – Definir tecnologias de código móvel aceitáveis e inaceitáveis Manual, Desabilitado 1.1.0
Estabelecer restrições de uso para tecnologias de código móvel CMA_C1652 – Estabelecer restrições de uso para tecnologias de código móvel Manual, Desabilitado 1.1.0

Protocolo IP de Voice Over

ID: FedRAMP High SC-19 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar, monitorar e controlar VoIP CMA_0025 – Autorizar, monitorar e controlar VoIP Manual, Desabilitado 1.1.0
Estabelecer restrições de uso de VoIP CMA_0280 – Estabelecer restrições de uso do VoIP Manual, Desabilitado 1.1.0

Serviço de resolução de nome/endereço seguro (fonte autoritativa)

ID: FedRAMP High SC-20 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar um serviço de nome/endereço tolerante a falhas CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas Manual, Desabilitado 1.1.0
Fornecer serviços seguros de resolução de endereço e nome CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome Manual, Desabilitado 1.1.0

Serviço de resolução de nome/endereço seguro (Resolvedor recursivo ou de cache)

ID: FedRAMP High SC-21 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar um serviço de nome/endereço tolerante a falhas CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas Manual, Desabilitado 1.1.0
Verificar integridade de software, firmware e informações CMA_0542 – Verificar integridade de software, firmware e informações Manual, Desabilitado 1.1.0

Arquitetura e provisionamento para serviço de resolução de nome/endereço

ID: FedRAMP High SC-22 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar um serviço de nome/endereço tolerante a falhas CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas Manual, Desabilitado 1.1.0

Autenticidade de sessão

ID: FedRAMP High SC-23 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
Impor identificadores de sessão exclusivos aleatórios CMA_0247 – Forçar identificadores de sessão exclusivos e aleatórios Manual, Desabilitado 1.1.0

Invalidar identificadores de sessão no logoff

ID: FedRAMP High SC-23 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Invalidar identificadores de sessão no logoff CMA_C1661 - invalidar identificadores de sessão ao fazer logoff Manual, Desabilitado 1.1.0

Falha no estado conhecido

ID: FedRAMP High SC-24 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Garantir que houve falha no sistema de informações do estado conhecido CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido Manual, Desabilitado 1.1.0

Proteção de informações em repouso

ID: FedRAMP High SC-28 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada A definição de InternalEncryption como verdadeiro criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interno entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, veja https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, desabilitado 1.0.1
As variáveis da conta de automação devem ser criptografadas É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais Audit, Deny, desabilitado 1.1.0
Os trabalhos do Azure Data Box devem habilitar a criptografia dupla para dados inativos no dispositivo Habilite uma segunda camada de criptografia baseada em software para dados inativos no dispositivo. O dispositivo já está protegido por meio da criptografia AES de 256 bits para dados inativos. Essa opção adiciona uma segunda camada de criptografia de dados. Audit, Deny, desabilitado 1.0.0
Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) Para garantir que a criptografia de dados segura esteja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Essa opção é habilitada por padrão quando há suporte na região, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Os dispositivos do Azure Stack Edge devem usar criptografia dupla Para proteger os dados inativos no dispositivo, ele deve ser duplamente criptografado, o acesso aos dados deve ser controlado e, depois que o dispositivo for desativado, os dados devem ser apagados com segurança dos discos de dados. A criptografia dupla é o uso de duas camadas de criptografia: Criptografia de 256 bits BitLocker XTS-AES nos volumes de dados e criptografia interna dos discos rígidos. Saiba mais na documentação de visão geral de segurança para o dispositivo Stack Edge específico. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
A criptografia de disco deve ser habilitada no Azure Data Explorer A habilitação da criptografia de disco ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Audit, Deny, desabilitado 2.0.0
A criptografia dupla deve ser habilitada no Azure Data Explorer A habilitação da criptografia dupla ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando a criptografia dupla é habilitada, os dados da conta de armazenamento são criptografados duas vezes, uma vez no nível de serviço e outro no nível de infraestrutura, por meio de dois algoritmos de criptografia diferentes e duas chaves distintas. Audit, Deny, desabilitado 2.0.0
Estabelecer um procedimento de gerenciamento de vazamento de dados CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados Manual, Desabilitado 1.1.0
A criptografia de infraestrutura deve ser habilitada para servidores do Banco de Dados do Azure para MySQL Habilite a criptografia de infraestrutura para os servidores do Banco de Dados do Azure para MySQL terem um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas da Microsoft em conformidade com o FIPS 140-2. Audit, Deny, desabilitado 1.0.0
A criptografia de infraestrutura deve ser habilitada para servidores do Banco de Dados do Azure para PostgreSQL Habilite a criptografia de infraestrutura para os servidores do Banco de Dados do Azure para PostgreSQL terem um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas da Microsoft em conformidade com o FIPS 140-2 Audit, Deny, desabilitado 1.0.0
Proteger informações especiais CMA_0409 – Proteger informações especiais Manual, Desabilitado 1.1.0
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente Audit, Deny, desabilitado 1.1.0
As contas de armazenamento devem ter criptografia de infraestrutura Habilite a criptografia de infraestrutura para um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. Audit, Deny, desabilitado 1.0.0
Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host Para aprimorar a segurança dos dados, os dados armazenados no host da VM (máquina virtual) de suas VMs dos nós do Serviço de Kubernetes do Azure devem ser criptografados em repouso. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. Audit, Deny, desabilitado 1.0.1
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desabilitado 2.0.0
As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento de máquinas virtuais. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. Audit, Deny, desabilitado 1.0.0

Proteção criptográfica

ID: FedRAMP High SC-28 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada A definição de InternalEncryption como verdadeiro criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interno entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, veja https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, desabilitado 1.0.1
As variáveis da conta de automação devem ser criptografadas É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais Audit, Deny, desabilitado 1.1.0
Os trabalhos do Azure Data Box devem habilitar a criptografia dupla para dados inativos no dispositivo Habilite uma segunda camada de criptografia baseada em software para dados inativos no dispositivo. O dispositivo já está protegido por meio da criptografia AES de 256 bits para dados inativos. Essa opção adiciona uma segunda camada de criptografia de dados. Audit, Deny, desabilitado 1.0.0
Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) Para garantir que a criptografia de dados segura esteja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Essa opção é habilitada por padrão quando há suporte na região, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Os dispositivos do Azure Stack Edge devem usar criptografia dupla Para proteger os dados inativos no dispositivo, ele deve ser duplamente criptografado, o acesso aos dados deve ser controlado e, depois que o dispositivo for desativado, os dados devem ser apagados com segurança dos discos de dados. A criptografia dupla é o uso de duas camadas de criptografia: Criptografia de 256 bits BitLocker XTS-AES nos volumes de dados e criptografia interna dos discos rígidos. Saiba mais na documentação de visão geral de segurança para o dispositivo Stack Edge específico. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
A criptografia de disco deve ser habilitada no Azure Data Explorer A habilitação da criptografia de disco ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Audit, Deny, desabilitado 2.0.0
A criptografia dupla deve ser habilitada no Azure Data Explorer A habilitação da criptografia dupla ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando a criptografia dupla é habilitada, os dados da conta de armazenamento são criptografados duas vezes, uma vez no nível de serviço e outro no nível de infraestrutura, por meio de dois algoritmos de criptografia diferentes e duas chaves distintas. Audit, Deny, desabilitado 2.0.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
A criptografia de infraestrutura deve ser habilitada para servidores do Banco de Dados do Azure para MySQL Habilite a criptografia de infraestrutura para os servidores do Banco de Dados do Azure para MySQL terem um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas da Microsoft em conformidade com o FIPS 140-2. Audit, Deny, desabilitado 1.0.0
A criptografia de infraestrutura deve ser habilitada para servidores do Banco de Dados do Azure para PostgreSQL Habilite a criptografia de infraestrutura para os servidores do Banco de Dados do Azure para PostgreSQL terem um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas da Microsoft em conformidade com o FIPS 140-2 Audit, Deny, desabilitado 1.0.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente Audit, Deny, desabilitado 1.1.0
As contas de armazenamento devem ter criptografia de infraestrutura Habilite a criptografia de infraestrutura para um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. Audit, Deny, desabilitado 1.0.0
Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host Para aprimorar a segurança dos dados, os dados armazenados no host da VM (máquina virtual) de suas VMs dos nós do Serviço de Kubernetes do Azure devem ser criptografados em repouso. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. Audit, Deny, desabilitado 1.0.1
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desabilitado 2.0.0
As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento de máquinas virtuais. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. Audit, Deny, desabilitado 1.0.0

Isolamento do processo

ID: FedRAMP High SC-39 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Manter domínios de execução separados para executar processos CMA_C1665 – Manter domínios de execução separados para executar processos Manual, Desabilitado 1.1.0

Integridade do sistema e das informações

Política e procedimentos de integridade do sistema e das informações

ID: FedRAMP High SI-1 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos de integridade das informações CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações Manual, Desabilitado 1.1.0

Correção de falhas

ID: FedRAMP High SI-2 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. AuditIfNotExists, desabilitado 3.0.0
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 4.0.0
O Azure Defender para o Serviço de Aplicativo deve estar habilitado O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para Key Vault deve estar habilitado O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para Resource Manager deve ser habilitado O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. AuditIfNotExists, desabilitado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores SQL em computadores deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 4.0.0
Incorporar a correção de falhas no gerenciamento de configuração CMA_C1671 – Incorporar a correção de falhas no gerenciamento de configuração Manual, Desabilitado 1.1.0
Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes Atualize o cluster do serviço de Kubernetes para a última versão do Kubernetes a fim de fornecer proteção contra as vulnerabilidades conhecidas na versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões do Kubernetes 1.11.9 e posterior, 1.12.7 e posterior, 1.13.5 e posterior e 1.14.0 e posterior Audit, desabilitado 1.0.2
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. AuditIfNotExists, desabilitado 1.0.0
O Microsoft Defender para Armazenamento deve estar habilitado O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. AuditIfNotExists, desabilitado 1.0.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 4.1.0
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desabilitado 3.1.0

Status da correção automática de falhas

ID: FedRAMP High SI-2 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Automatizar a correção de falhas CMA_0027 – Automatizar a correção de falhas Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Tempo para corrigir falhas/parâmetro de comparação para ações corretivas

ID: FedRAMP High SI-2 (3) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer parâmetros de comparação para correção de falhas CMA_C1675 – Estabelecer parâmetros de comparação para correção de falhas Manual, Desabilitado 1.1.0
Medir o tempo entre a identificação e a correção das falhas CMA_C1674 – Medir o tempo entre a identificação e a correção das falhas Manual, Desabilitado 1.1.0

Proteção contra código mal-intencionado

ID: FedRAMP High SI-3 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Examinar o status de proteção contra ameaças semanalmente CMA_0479 – Examinar o status de proteção contra ameaças semanalmente Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0
O Microsoft Defender Exploit Guard deve estar habilitado nos computadores O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). AuditIfNotExists, desabilitado 2.0.0

Gerenciamento central

ID: FedRAMP High SI-3 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0
O Microsoft Defender Exploit Guard deve estar habilitado nos computadores O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). AuditIfNotExists, desabilitado 2.0.0

Atualizações Automáticas

ID: FedRAMP High SI-3 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0

Detecção baseada em não assinatura

ID: FedRAMP High SI-3 (7) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0

Monitoramento do sistema de informações

ID: FedRAMP High SI-4 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível AuditIfNotExists, desabilitado 3.0.0 – versão prévia
[Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, desabilitado 6.0.0-preview
[Pré-visualização]: a extensão do Log Analytics deve ser instalada nos computadores Linux do Azure Arc Esta política audita computadores Linux do Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desabilitado 1.0.1 – versão prévia
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nos computadores Windows do Azure Arc Esta política auditará os computadores Windows do Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desabilitado 1.0.1 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desabilitado 1.0.2 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desabilitado 1.0.2 – versão prévia
O Azure Defender para o Serviço de Aplicativo deve estar habilitado O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para Key Vault deve estar habilitado O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para Resource Manager deve ser habilitado O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. AuditIfNotExists, desabilitado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores SQL em computadores deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
A extensão de Configuração de Convidado deve ser instalada nos seus computadores Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, desabilitado 1.0.3
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. AuditIfNotExists, desabilitado 1.0.0
O Microsoft Defender para Armazenamento deve estar habilitado O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. AuditIfNotExists, desabilitado 1.0.0
O Observador de Rede deve ser habilitado O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. AuditIfNotExists, desabilitado 3.0.0
Obter opinião jurídica para monitorar atividades do sistema CMA_C1688 – Obter opinião jurídica para monitorar atividades do sistema Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Fornecer informações de monitoramento conforme o necessário CMA_C1689 – Fornecer informações de monitoramento conforme o necessário Manual, Desabilitado 1.1.0
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, desabilitado 1.0.1

Ferramentas automatizadas para análise em tempo real

ID: FedRAMP High SI-4 (2) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar operações de segurança CMA_0202 – Documentar operações de segurança Manual, Desabilitado 1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade Manual, Desabilitado 1.1.0

Tráfego de comunicações de entrada e saída

ID: FedRAMP High SI-4 (4) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar, monitorar e controlar VoIP CMA_0025 – Autorizar, monitorar e controlar VoIP Manual, Desabilitado 1.1.0
Implementar a proteção de limites do sistema CMA_0328 – Implementar a proteção de limites do sistema Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Rotear o tráfego por meio de pontos de acesso à rede gerenciada CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada Manual, Desabilitado 1.1.0

Alertas gerados pelo sistema

ID: FedRAMP High SI-4 (5) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Alertar o pessoal sobre vazamento de informações CMA_0007 – Alertar o pessoal sobre vazamento de informações Manual, Desabilitado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0

Detecção de intrusões sem fio

ID: FedRAMP High SI-4 (14) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar controles de segurança de acesso sem fio CMA_C1695 – Documentar controles de segurança de acesso sem fio Manual, Desabilitado 1.1.0

Serviços de rede não autorizados

ID: FedRAMP High SI-4 (22) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Detectar serviços de rede que não foram autorizados nem aprovados CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados Manual, Desabilitado 1.1.0

Indicadores de comprometimento

ID: FedRAMP High SI-4 (24) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Descobrir os indicadores de comprometimento CMA_C1702 – Descobrir os indicadores de comprometimento Manual, Desabilitado 1.1.0

Alertas, avisos e diretivas de segurança

ID: FedRAMP High SI-5 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Divulgar alertas de segurança para o pessoal CMA_C1705 – Divulgar alertas de segurança para o pessoal Manual, Desabilitado 1.1.0
Estabelecer um programa de inteligência contra ameaças CMA_0260 – Estabelecer um programa de inteligência contra ameaças Manual, Desabilitado 1.1.0
Gerar alertas de segurança internos CMA_C1704 – Gerar alertas de segurança internos Manual, Desabilitado 1.1.0
Implementar diretivas de segurança CMA_C1706 – Implementar diretivas de segurança Manual, Desabilitado 1.1.0

Alertas e comunicados automatizados

ID: FedRAMP High SI-5 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Usar mecanismos automatizados de alertas de segurança CMA_C1707 – Usar mecanismos automatizados de alertas de segurança Manual, Desabilitado 1.1.0

Verificação de função de segurança

ID: FedRAMP High SI-6 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Criar ações alternativas para anomalias identificadas CMA_C1711 – Criar ações alternativas para anomalias identificadas Manual, Desabilitado 1.1.0
Notificar pessoal sobre testes de verificação de segurança com falha CMA_C1710 – Notificar pessoal sobre testes de verificação de segurança com falha Manual, Desabilitado 1.1.0
Executar a verificação da função de segurança em uma frequência definida CMA_C1709 – Executar verificação de função de segurança em uma frequência definida Manual, Desabilitado 1.1.0
Verificar funções de segurança CMA_C1708 – Verificar funções de segurança Manual, Desabilitado 1.1.0

Integridade de software, firmware e informações

ID: FedRAMP High SI-7 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Verificar integridade de software, firmware e informações CMA_0542 – Verificar integridade de software, firmware e informações Manual, Desabilitado 1.1.0

Verificações de integridade

ID: FedRAMP High SI-7 (1) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Verificar integridade de software, firmware e informações CMA_0542 – Verificar integridade de software, firmware e informações Manual, Desabilitado 1.1.0
Exibir e configurar dados de diagnóstico do sistema CMA_0544 – Exibir e configurar dados de diagnóstico do sistema Manual, Desabilitado 1.1.0

Resposta automatizada a violações de integridade

ID: FedRAMP High SI-7 (5) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar desligamento/reinicialização automática quando forem detectadas violações CMA_C1715 – Empregar desligamento/reinicialização automática quando forem detectadas violações Manual, Desabilitado 1.1.0

Código binário ou executável por máquina

ID: FedRAMP High SI-7 (14) Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Proibir código binário/executável por computador CMA_C1717 – Proibir código binário/executável por computador Manual, Desabilitado 1.1.0

Validação de entrada de informações

ID: FedRAMP High SI-10 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Executar validação de entrada de informações CMA_C1723 – Executar validação de entrada de informações Manual, Desabilitado 1.1.0

Tratamento de erros

ID: FedRAMP High SI-11 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Gerar mensagens de erro CMA_C1724 – Gerar mensagens de erro Manual, Desabilitado 1.1.0
Revelar mensagens de erro CMA_C1725 - Revelar mensagens de erro Manual, Desabilitado 1.1.0

Manipulação e retenção de informações

ID: FedRAMP High SI-12 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0

Proteção de memória

ID: FedRAMP High SI-16 Propriedade: compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
O Microsoft Defender Exploit Guard deve estar habilitado nos computadores O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). AuditIfNotExists, desabilitado 2.0.0

Próximas etapas

Artigos adicionais sobre o Azure Policy: