Compartilhar via


Detalhes da iniciativa integrada de Conformidade Regulatória do Sistema e Controles da Organização (SOC) 2 (Microsoft Azure Governamental)

O artigo a seguir detalha como a definição de iniciativa integrada de Conformidade Regulatória da Política do Azure é mapeada para domínios de conformidade e controles em Controles de Sistema e Organização (SOC) 2 (Microsoft Azure Governamental). Para obter mais informações sobre este padrão de conformidade, veja Controles de sistema e organização (SOC) 2. Para entender a Propriedade, confira os artigos sobre tipo de política e Responsabilidade compartilhada na nuvem .

Os mapeamentos a seguir são para os controles de SOC (Controles de Sistema e Organização) 2. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, localize e selecione a definição de iniciativa integrada de Conformidade Regulatória de SOC 2 Tipo 2.

Importante

Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.

Critérios Adicionais para Disponibilidade

Gerenciamento de capacidade

ID: SOC 2 Tipo 2 A1.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar um planejamento de capacidade CMA_C1252 - Faça um planejamento da capacidade Manual, Desabilitado 1.1.0

Proteções ambientais, software, processos de backup de dados e infraestrutura de recuperação

ID: SOC 2 Tipo 2 A1.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Backup do Azure deve ser habilitado para máquinas virtuais Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. AuditIfNotExists, desabilitado 3.0.0
Usar iluminação de emergência automática CMA_0209 - Usar iluminação de emergência automática Manual, Desabilitado 1.1.0
Estabelecer um site de processamento alternativo CMA_0262 - Estabelecer um local de processamento alternativo Manual, Desabilitado 1.1.0
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
Implementar uma metodologia de teste de penetração CMA_0306 – Implementar uma metodologia de teste de penetração Manual, Desabilitado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0
Instalar um sistema de alarme CMA_0338 - Instalar um sistema de alarme Manual, Desabilitado 1.1.0
Recuperar e reconstituir recursos após qualquer interrupção CMA_C1295 – Recuperar e reconstituir recursos após qualquer interrupção Manual, Desabilitado 1.1.1
Executar ataques de simulação CMA_0486 – Executar ataques de simulação Manual, Desabilitado 1.1.0
Armazenar informações de backup separadamente CMA_C1293 - Armazenar informações de backup separadamente Manual, Desabilitado 1.1.0
Transferir informações de cópia de backup para um site de armazenamento alternativo CMA_C1294 - Transferir informações de cópia de backup para um site de armazenamento alternativo Manual, Desabilitado 1.1.0

Teste do plano de recuperação

ID: SOC 2 Tipo 2 A1.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Coordenar os planos de contingência com os planos relacionados CMA_0086 - Coordenar os planos de contingência com os planos relacionados Manual, Desabilitado 1.1.0
Iniciar o plano de contingência testando ações corretivas CMA_C1263 - Iniciar as ações corretivas do teste de plano de contingência Manual, Desabilitado 1.1.0
Revisar os resultados do teste do plano de contingência CMA_C1262 - Revisar os resultados do teste do plano de contingência Manual, Desabilitado 1.1.0
Testar o plano de continuidade dos negócios e recuperação de desastres CMA_0509 – Testar o plano de continuidade dos negócios e recuperação de desastres Manual, Desabilitado 1.1.0

Critérios Adicionais de Confidencialidade

Proteção de informações confidenciais

ID: SOC 2 Tipo 2 C1.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0

Eliminação de informações confidenciais

ID: SOC 2 Tipo 2 C1.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0

Ambiente de Controle

Princípio 1 do COSO

ID: SOC 2 Tipo 2 CC1.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver procedimentos e políticas de uso aceitáveis CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis Manual, Desabilitado 1.1.0
Desenvolver política de código da organização CMA_0159 – Desenvolver política de código de conduta da organização Manual, Desabilitado 1.1.0
Documentar aceitação do pessoal de requisitos de privacidade CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade Manual, Desabilitado 1.1.0
Aplicar regras de comportamento e contratos de acesso CMA_0248 – Aplicar regras de comportamento e contratos de acesso Manual, Desabilitado 1.1.0
Proibir práticas injustas CMA_0396 – Proibir práticas injustas Manual, Desabilitado 1.1.0
Revisar e assinar regras de comportamento revisadas CMA_0465 – Revisar e assinar regras de comportamento revisadas Manual, Desabilitado 1.1.0
Atualizar regras de comportamento e contratos de acesso CMA_0521 – Atualizar regras de comportamento e contratos de acesso Manual, Desabilitado 1.1.0
Atualizar regras de comportamento e contratos de acesso a cada três anos CMA_0522 – Atualizar regras de comportamento e contratos de acesso a cada três anos Manual, Desabilitado 1.1.0

Princípio 2 do COSO

ID: SOC 2 Tipo 2 CC1.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Nomear um responsável pela segurança da informação sênior CMA_C1733 – Nomear um responsável pela segurança da informação sênior Manual, Desabilitado 1.1.0
Desenvolver e estabelecer um plano de segurança do sistema CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados Manual, Desabilitado 1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações Manual, Desabilitado 1.1.0

Princípio 3 do COSO

ID: SOC 2 Tipo 2 CC1.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Nomear um responsável pela segurança da informação sênior CMA_C1733 – Nomear um responsável pela segurança da informação sênior Manual, Desabilitado 1.1.0
Desenvolver e estabelecer um plano de segurança do sistema CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados Manual, Desabilitado 1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações Manual, Desabilitado 1.1.0

Princípio 4 do COSO

ID: SOC 2 Tipo 2 CC1.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer treinamento periódico de segurança baseada em funções CMA_C1095 – Fornecer treinamento periódico de segurança baseada em funções Manual, Desabilitado 1.1.0
Fornecer treinamento periódico sobre conscientização de segurança CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança Manual, Desabilitado 1.1.0
Fornecer exercícios práticos baseados em funções CMA_C1096 – Fornecer exercícios práticos baseados em funções Manual, Desabilitado 1.1.0
Fornecer treinamento de segurança antes de fornecer acesso CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso Manual, Desabilitado 1.1.0
Fornecer treinamento de segurança para novos usuários CMA_0419 - Fornecer treinamento de segurança para novos usuários Manual, Desabilitado 1.1.0

Princípio 5 do COSO

ID: SOC 2 Tipo 2 CC1.5 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver procedimentos e políticas de uso aceitáveis CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis Manual, Desabilitado 1.1.0
Aplicar regras de comportamento e contratos de acesso CMA_0248 – Aplicar regras de comportamento e contratos de acesso Manual, Desabilitado 1.1.0
Implementar processo formal de sanções CMA_0317 – Implementar processo formal de sanções Manual, Desabilitado 1.1.0
Notificar o pessoal sobre as sanções CMA_0380 – Notificar o pessoal sobre sanções Manual, Desabilitado 1.1.0

Comunicações e Informações

Princípio 13 do COSO

ID: SOC 2 Tipo 2 CC2.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0

Princípio 14 do COSO

ID: SOC 2 Tipo 2 CC2.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver procedimentos e políticas de uso aceitáveis CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis Manual, Desabilitado 1.1.0
A notificação por email para alertas de severidade alta deve ser habilitada Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. AuditIfNotExists, desabilitado 1.0.1
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. AuditIfNotExists, desabilitado 2.0.0
Aplicar regras de comportamento e contratos de acesso CMA_0248 – Aplicar regras de comportamento e contratos de acesso Manual, Desabilitado 1.1.0
Fornecer treinamento periódico de segurança baseada em funções CMA_C1095 – Fornecer treinamento periódico de segurança baseada em funções Manual, Desabilitado 1.1.0
Fornecer treinamento periódico sobre conscientização de segurança CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança Manual, Desabilitado 1.1.0
Fornecer treinamento de segurança antes de fornecer acesso CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso Manual, Desabilitado 1.1.0
Fornecer treinamento de segurança para novos usuários CMA_0419 - Fornecer treinamento de segurança para novos usuários Manual, Desabilitado 1.1.0
As assinaturas devem ter um endereço de email de contato para problemas de segurança Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. AuditIfNotExists, desabilitado 1.0.1

Princípio 15 do COSO

ID: SOC 2 Tipo 2 CC2.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir as tarefas dos processadores CMA_0127 – Definir as tarefas dos processadores Manual, Desabilitado 1.1.0
Fornecer resultados da avaliação de segurança CMA_C1147 – Fornecer resultados da avaliação de segurança Manual, Desabilitado 1.1.0
Desenvolver e estabelecer um plano de segurança do sistema CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema Manual, Desabilitado 1.1.0
A notificação por email para alertas de severidade alta deve ser habilitada Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. AuditIfNotExists, desabilitado 1.0.1
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. AuditIfNotExists, desabilitado 2.0.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança de pessoal terceirizado CMA_C1529 – Estabelecer requisitos de segurança de pessoal terceirizado Manual, Desabilitado 1.1.0
Implementar métodos de entrega de aviso de privacidade CMA_0324 - Implementar métodos de entrega de avisos de privacidade Manual, Desabilitado 1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações Manual, Desabilitado 1.1.0
Produzir relatórios de avaliação de segurança CMA_C1146 – Produzir relatórios de avaliação de segurança Manual, Desabilitado 1.1.0
Fornecer aviso de privacidade CMA_0414 - Fornecer aviso de privacidade Manual, Desabilitado 1.1.0
Exigir que provedores terceiros cumpram as políticas e os procedimentos de segurança de pessoal CMA_C1530 – Exigir que provedores terceiros cumpram as políticas e procedimentos de segurança de pessoal Manual, Desabilitado 1.1.0
Restringir comunicações CMA_0449 - Restringir comunicações Manual, Desabilitado 1.1.0
As assinaturas devem ter um endereço de email de contato para problemas de segurança Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. AuditIfNotExists, desabilitado 1.0.1

Avaliação de risco

Princípio 6 do COSO

ID: SOC 2 Tipo 2 CC3.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Categorizar informações CMA_0052 – Categorizar informações Manual, Desabilitado 1.1.0
Determinar as necessidades de proteção de informações CMA_C1750 – Determinar as necessidades de proteção de informações Manual, Desabilitado 1.1.0
Desenvolver esquemas de classificação de negócios CMA_0155 – Desenvolver esquemas de classificação de negócios Manual, Desabilitado 1.1.0
Desenvolver um SSP que atenda aos critérios CMA_C1492 – Desenvolver um SSP que atenda aos critérios Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0

Princípio 7 do COSO

ID: SOC 2 Tipo 2 CC3.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Categorizar informações CMA_0052 – Categorizar informações Manual, Desabilitado 1.1.0
Determinar as necessidades de proteção de informações CMA_C1750 – Determinar as necessidades de proteção de informações Manual, Desabilitado 1.1.0
Desenvolver esquemas de classificação de negócios CMA_0155 – Desenvolver esquemas de classificação de negócios Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0
A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL Audite cada Instância Gerenciada de SQL que não tem verificações recorrentes de avaliação de vulnerabilidade habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 1.0.1
A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL Audite os servidores SQL do Azure sem verificações recorrentes de avaliação de vulnerabilidade ativadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 3.0.0

Princípio 8 do COSO

ID: SOC 2 Tipo 2 CC3.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0

Princípio 9 do COSO

ID: SOC 2 Tipo 2 CC3.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar o risco em relacionamentos de terceiros CMA_0014 – Avaliar o risco em relacionamentos de terceiros Manual, Desabilitado 1.1.0
Definir requisitos para o fornecimento de bens e serviços CMA_0126 – Definir requisitos para o fornecimento de bens e serviços Manual, Desabilitado 1.1.0
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0

Atividades de Monitoramento

Princípio 16 do COSO

ID: SOC 2 Tipo 2 CC4.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar controles de segurança CMA_C1145 – Avaliar controles de segurança Manual, Desabilitado 1.1.0
Desenvolver plano de avaliação de segurança CMA_C1144 – Desenvolver plano de avaliação de segurança Manual, Desabilitado 1.1.0
Selecionar testes adicionais para avaliações de controle de segurança CMA_C1149 – Selecionar testes adicionais para avaliações de controle de segurança Manual, Desabilitado 1.1.0

Princípio 17 do COSO

ID: SOC 2 Tipo 2 CC4.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer resultados da avaliação de segurança CMA_C1147 – Fornecer resultados da avaliação de segurança Manual, Desabilitado 1.1.0
Produzir relatórios de avaliação de segurança CMA_C1146 – Produzir relatórios de avaliação de segurança Manual, Desabilitado 1.1.0

Atividades de Controle

Princípio 10 do COSO

ID: SOC 2 Tipo 2 CC5.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0

Princípio 11 do COSO

ID: SOC 2 Tipo 2 CC5.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. AuditIfNotExists, desabilitado 3.0.0
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
Criar um modelo de controle de acesso CMA_0129 – Criar um modelo de controle de acesso Manual, Desabilitado 1.1.0
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Documentar critérios de aceitação do contrato de aquisição CMA_0187 – Documentar critérios de aceitação do contrato de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos Manual, Desabilitado 1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados Manual, Desabilitado 1.1.0
Empregar acesso de privilégio mínimo CMA_0212 – Empregar o acesso de privilégios mínimos Manual, Desabilitado 1.1.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0
Deve haver mais de um proprietário atribuído à sua assinatura Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. AuditIfNotExists, desabilitado 3.0.0

Princípio 12 do COSO

ID: SOC 2 Tipo 2 CC5.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar lista de permissões de detecção CMA_0068 – Configurar lista de permissões de detecção Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade Manual, Desabilitado 1.1.0
Passar por revisão de segurança independente CMA_0515 – Passar por revisão de segurança independente Manual, Desabilitado 1.1.0

Controles de Acesso Lógico e Físico

Software, infraestrutura e arquiteturas de segurança de acesso lógico

ID: SOC 2 Tipo 2 CC6.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. AuditIfNotExists, desabilitado 3.0.0
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. AuditIfNotExists, desabilitado 3.0.0
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 4.0.0
Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 3.0.0
A autenticação para computadores Linux deve exigir chaves SSH Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, desabilitado 2.4.0
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Autorizar o acesso remoto CMA_0024 – Autorizar o acesso remoto Manual, Desabilitado 1.1.0
As variáveis da conta de automação devem ser criptografadas É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais Audit, Deny, desabilitado 1.1.0
Os recursos dos Serviços de IA do Azure devem criptografar os dados inativos com uma chave gerenciada pelo cliente (CMK) O uso de chaves gerenciadas pelo cliente para criptografar dados inativos oferece mais controle sobre o ciclo de vida da chave, incluindo rotação e gerenciamento. Isso é particularmente relevante para organizações com requisitos de conformidade relacionados. Isso não é avaliado por padrão e só deve ser aplicado quando exigido por requisitos de conformidade ou de política restritiva. Se não estiver habilitado, os dados serão criptografados usando chaves gerenciadas pela plataforma. Para implementar isso, atualize o parâmetro "Efeito" na Política de Segurança para o escopo aplicável. Audit, Deny, desabilitado 2.2.0
As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Os workspaces do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente Gerencie a criptografia em repouso dos dados do Workspace do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. Audit, Deny, desabilitado 1.1.0
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. Audit, Deny, desabilitado 1.1.2
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Criar um estoque de dados CMA_0096 – Criar um estoque de dados Manual, Desabilitado 1.1.0
Definir um processo de gerenciamento de chave física CMA_0115 – Definir um processo de gerenciamento de chave física Manual, Desabilitado 1.1.0
Definir o uso de criptografia CMA_0120 – Definir o uso de criptografia Manual, Desabilitado 1.1.0
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia Manual, Desabilitado 1.1.0
Criar um modelo de controle de acesso CMA_0129 – Criar um modelo de controle de acesso Manual, Desabilitado 1.1.0
Determinar os requisitos da declaração CMA_0136 – Determinar os requisitos da declaração Manual, Desabilitado 1.1.0
Documentar o treinamento de mobilidade CMA_0191 – Documentar o treinamento de mobilidade Manual, Desabilitado 1.1.0
Documentar as diretrizes de acesso remoto CMA_0196 – Documentar as diretrizes de acesso remoto Manual, Desabilitado 1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desabilitado 1.1.0
Empregar acesso de privilégio mínimo CMA_0212 – Empregar o acesso de privilégios mínimos Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. Audit, desabilitado 1.0.1
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. Audit, desabilitado 1.0.1
Estabelecer um procedimento de gerenciamento de vazamento de dados CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados Manual, Desabilitado 1.1.0
Estabelecer padrões de configuração de firewall e roteador CMA_0272 – Estabelecer padrões de configuração de firewall e roteador Manual, Desabilitado 1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão Manual, Desabilitado 1.1.0
Os aplicativos de funções só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 5.0.0
Os aplicativos de funções devem exigir apenas o FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 3.0.0
Os aplicativos de funções devem usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. AuditIfNotExists, desabilitado 2.1.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
Identificar e gerenciar trocas de informações downstream CMA_0298 – Identificar e gerenciar trocas de informações downstream Manual, Desabilitado 1.1.0
Implementar controles para proteger sites de trabalho alternativos CMA_0315 – Implementar controles para proteger sites de trabalho alternativos Manual, Desabilitado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desabilitado 3.0.0
Emitir certificados de chave pública CMA_0347 – Emitir certificados de chave pública Manual, Desabilitado 1.1.0
Os cofres de chaves devem ter a proteção contra exclusão habilitadas A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão. Audit, Deny, desabilitado 2.1.0
Os cofres de chaves devem ter a exclusão temporária habilitada A exclusão de um cofre de chaves sem a exclusão temporária habilitada permanentemente exclui todos os segredos, as chaves e os certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável. Audit, Deny, desabilitado 3.0.0
Os clusters do Kubernetes devem ser acessíveis somente via HTTPS O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc auditar, Auditar, negar, Negar, desabilitado, Desabilitado 9.1.0
Manter registros de processamento de dados pessoais CMA_0353 – Manter registros de processamento de dados pessoais Manual, Desabilitado 1.1.0
Gerenciar chaves de criptografia simétricas CMA_0367 – Gerenciar chaves de criptografia simétricas Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação AuditIfNotExists, desabilitado 3.0.0
Portas de gerenciamento devem ser fechadas nas máquinas virtuais As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. AuditIfNotExists, desabilitado 3.0.0
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desabilitado 3.0.0
Notificar usuários sobre logon ou acesso do sistema CMA_0382 – Notificar usuários sobre logon ou acesso do sistema Manual, Desabilitado 1.1.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão Audit, Deny, desabilitado 1.0.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger informações especiais CMA_0409 – Proteger informações especiais Manual, Desabilitado 1.1.0
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Restringir o acesso a chaves privadas CMA_0445 – Restringir o acesso a chaves privadas Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0
A transferência segura para contas de armazenamento deve ser habilitada Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Audit, Deny, desabilitado 2.0.0
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente Audit, Deny, desabilitado 1.1.0
As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. Audit, Deny, desabilitado 2.0.0
Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. Audit, Deny, desabilitado 2.0.1
A conta de armazenamento que possui o contêiner com os logs de atividade deve ser criptografada com BYOK Essa política auditará se a conta de armazenamento que possui o contêiner com logs de atividades estiver criptografada com BYOK. A política funcionará apenas se a conta de armazenamento estiver na mesma assinatura dos logs de atividades por design. Mais informações sobre a criptografia de Armazenamento do Microsoft Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. AuditIfNotExists, desabilitado 1.0.0
As contas de armazenamento devem usar uma chave gerenciada pelo cliente para criptografia Proteja sua conta de armazenamento de blobs e arquivos com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. Audit, desabilitado 1.0.3
As sub-redes devem ser associadas a um Grupo de Segurança de Rede Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. AuditIfNotExists, desabilitado 3.0.0
Deve haver mais de um proprietário atribuído à sua assinatura Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. AuditIfNotExists, desabilitado 3.0.0
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desabilitado 2.0.0
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. AuditIfNotExists, desabilitado 3.0.1

Provisionamento e remoção de acesso

ID: SOC 2 Tipo 2 CC6.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Atribuir gerentes de conta CMA_0015 – Atribuir gerentes de conta Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
Documentar privilégios de acesso CMA_0186 – Documentar privilégios de acesso Manual, Desabilitado 1.1.0
Estabelecer condições para associação de função CMA_0269 – Estabelecer condições para associação de função Manual, Desabilitado 1.1.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 – Restringir o acesso a contas privilegiadas Manual, Desabilitado 1.1.0
Examinar logs de provisionamento de conta CMA_0460 – Examinar logs de provisionamento de conta Manual, Desabilitado 1.1.0
Examinar contas de usuário CMA_0480: – Examinar contas de usuário Manual, Desabilitado 1.1.0

Acesso baseado em função e privilégios mínimos

ID: SOC 2 Tipo 2 CC6.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. AuditIfNotExists, desabilitado 3.0.0
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditoria o uso de funções personalizadas do RBAC Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças Audit, desabilitado 1.0.1
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
Criar um modelo de controle de acesso CMA_0129 – Criar um modelo de controle de acesso Manual, Desabilitado 1.1.0
Empregar acesso de privilégio mínimo CMA_0212 – Empregar o acesso de privilégios mínimos Manual, Desabilitado 1.1.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
Monitorar atribuição de função com privilégios CMA_0378 – Monitorar atribuição de função com privilégios Manual, Desabilitado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 – Restringir o acesso a contas privilegiadas Manual, Desabilitado 1.1.0
Examinar logs de provisionamento de conta CMA_0460 – Examinar logs de provisionamento de conta Manual, Desabilitado 1.1.0
Examinar contas de usuário CMA_0480: – Examinar contas de usuário Manual, Desabilitado 1.1.0
Examinar os privilégios do usuário CMA_C1039 – Examinar os privilégios do usuário Manual, Desabilitado 1.1.0
Revogar funções com privilégios conforme a necessidade CMA_0483 – Revogar funções com privilégios conforme a necessidade Manual, Desabilitado 1.1.0
O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes Para fornecer filtragem granular das ações que os usuários podem executar, use o RBAC (controle de acesso baseado em função) para gerenciar permissões nos clusters do Serviço de Kubernetes e configurar políticas de autorização relevantes. Audit, desabilitado 1.0.4
Deve haver mais de um proprietário atribuído à sua assinatura Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. AuditIfNotExists, desabilitado 3.0.0
Usar o Privileged Identity Management CMA_0533 – Usar o Privileged Identity Management Manual, Desabilitado 1.1.0

Acesso físico restrito

ID: SOC 2 Tipo 2 CC6.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0

Proteções lógicas e físicas sobre ativos físicos

ID: SOC 2 Tipo 2 CC6.5 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0

Medidas de segurança contra ameaças fora dos limites do sistema

ID: SOC 2 Tipo 2 CC6.6 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. AuditIfNotExists, desabilitado 3.0.0
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 4.0.0
Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 3.0.0
A autenticação para computadores Linux deve exigir chaves SSH Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, desabilitado 2.4.0
Autorizar o acesso remoto CMA_0024 – Autorizar o acesso remoto Manual, Desabilitado 1.1.0
O Firewall de Aplicativo Web do Azure deve ser habilitado em pontos de entrada do Azure Front Door Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Audit, Deny, desabilitado 1.0.2
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
Documentar o treinamento de mobilidade CMA_0191 – Documentar o treinamento de mobilidade Manual, Desabilitado 1.1.0
Documentar as diretrizes de acesso remoto CMA_0196 – Documentar as diretrizes de acesso remoto Manual, Desabilitado 1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desabilitado 1.1.0
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. Audit, desabilitado 1.0.1
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. Audit, desabilitado 1.0.1
Estabelecer padrões de configuração de firewall e roteador CMA_0272 – Estabelecer padrões de configuração de firewall e roteador Manual, Desabilitado 1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão Manual, Desabilitado 1.1.0
Os aplicativos de funções só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 5.0.0
Os aplicativos de funções devem exigir apenas o FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 3.0.0
Os aplicativos de funções devem usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. AuditIfNotExists, desabilitado 2.1.0
Identificar e autenticar dispositivos de rede CMA_0296 – Identificar e autenticar dispositivos de rede Manual, Desabilitado 1.1.0
Identificar e gerenciar trocas de informações downstream CMA_0298 – Identificar e gerenciar trocas de informações downstream Manual, Desabilitado 1.1.0
Implementar controles para proteger sites de trabalho alternativos CMA_0315 – Implementar controles para proteger sites de trabalho alternativos Manual, Desabilitado 1.1.0
Implementar a proteção de limites do sistema CMA_0328 – Implementar a proteção de limites do sistema Manual, Desabilitado 1.1.0
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desabilitado 3.0.0
O encaminhamento IP na máquina virtual deve ser desabilitado A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. AuditIfNotExists, desabilitado 3.0.0
Os clusters do Kubernetes devem ser acessíveis somente via HTTPS O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc auditar, Auditar, negar, Negar, desabilitado, Desabilitado 9.1.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação AuditIfNotExists, desabilitado 3.0.0
Portas de gerenciamento devem ser fechadas nas máquinas virtuais As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. AuditIfNotExists, desabilitado 3.0.0
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desabilitado 3.0.0
Notificar usuários sobre logon ou acesso do sistema CMA_0382 – Notificar usuários sobre logon ou acesso do sistema Manual, Desabilitado 1.1.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão Audit, Deny, desabilitado 1.0.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0
A transferência segura para contas de armazenamento deve ser habilitada Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Audit, Deny, desabilitado 2.0.0
As sub-redes devem ser associadas a um Grupo de Segurança de Rede Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. AuditIfNotExists, desabilitado 3.0.0
O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Audit, Deny, desabilitado 2.0.0
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. AuditIfNotExists, desabilitado 3.0.1

Restringir a movimentação de informações a usuários autorizados

ID: SOC 2 Tipo 2 CC6.7 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. AuditIfNotExists, desabilitado 3.0.0
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 4.0.0
Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 3.0.0
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
Definir requisitos do dispositivo móvel CMA_0122 - Definir requisitos do dispositivo móvel Manual, Desabilitado 1.1.0
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desabilitado 1.1.0
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. Audit, desabilitado 1.0.1
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. Audit, desabilitado 1.0.1
Estabelecer padrões de configuração de firewall e roteador CMA_0272 – Estabelecer padrões de configuração de firewall e roteador Manual, Desabilitado 1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão Manual, Desabilitado 1.1.0
Os aplicativos de funções só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 5.0.0
Os aplicativos de funções devem exigir apenas o FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 3.0.0
Os aplicativos de funções devem usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. AuditIfNotExists, desabilitado 2.1.0
Identificar e gerenciar trocas de informações downstream CMA_0298 – Identificar e gerenciar trocas de informações downstream Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desabilitado 3.0.0
Os clusters do Kubernetes devem ser acessíveis somente via HTTPS O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc auditar, Auditar, negar, Negar, desabilitado, Desabilitado 9.1.0
Gerenciar o transporte de ativos CMA_0370 - Gerenciar o transporte de ativos Manual, Desabilitado 1.1.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação AuditIfNotExists, desabilitado 3.0.0
Portas de gerenciamento devem ser fechadas nas máquinas virtuais As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. AuditIfNotExists, desabilitado 3.0.0
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desabilitado 3.0.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão Audit, Deny, desabilitado 1.0.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0
A transferência segura para contas de armazenamento deve ser habilitada Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Audit, Deny, desabilitado 2.0.0
As sub-redes devem ser associadas a um Grupo de Segurança de Rede Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. AuditIfNotExists, desabilitado 3.0.1

Prevenir ou detectar software não autorizado ou malicioso

ID: SOC 2 Tipo 2 CC6.8 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Preterido]: Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes com certificados válidos poderão acessar o aplicativo. Essa política foi substituída por uma nova política com o mesmo nome porque o Http 2.0 não dá suporte a certificados de cliente. Audit, desabilitado 3.1.0-preterido
Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. AuditIfNotExists, desabilitado 1.0.0
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 2.0.0
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. AuditIfNotExists, desabilitado 2.0.0
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 4.0.0
Auditar VMs que não usam discos gerenciados Essa política audita VMs que não usam discos gerenciados auditoria 1.0.0
O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters O Complemento do Azure Policy para o AKS (serviço de Kubernetes) estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent), para aplicar as garantias e imposições em escala aos seus clusters de maneira centralizada e consistente. Audit, desabilitado 1.0.2
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Os Aplicativos de funções devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 2.0.0
Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. AuditIfNotExists, desabilitado 2.0.0
Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 4.0.0
A extensão de Configuração de Convidado deve ser instalada nos seus computadores Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, desabilitado 1.0.2
Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 10.2.0
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host Impedir que os contêineres de pod compartilhem o namespace da ID do processo do host e o namespace do IPC do host em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.1.0
Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.1
Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.0
Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 10.2.0
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.0
Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.1
Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.1
Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados Restrinja o acesso do pod à rede do host e ao intervalo de portas de host permitido em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.0
Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 9.1.0
O cluster do Kubernetes não deve permitir contêineres privilegiados Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 10.1.0
Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática Desabilite as credenciais da API de montagem automática para evitar que um recurso Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 5.1.0
Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 8.1.0
Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN Para reduzir a superfície de ataque dos seus contêineres, restrinja as funcionalidades CAP_SYS_ADMIN do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.1.0
Os clusters do Kubernetes não devem usar o namespace padrão Impeça o uso do namespace padrão em clusters do Kubernetes para proteger contra acesso não autorizado para tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 5.1.0
Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. AuditIfNotExists, desabilitado 1.5.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Somente as extensões aprovadas da VM devem ser instaladas Essa política rege as extensões da máquina virtual que não foram aprovadas. Audit, Deny, desabilitado 1.0.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Examinar o status de proteção contra ameaças semanalmente CMA_0479 – Examinar o status de proteção contra ameaças semanalmente Manual, Desabilitado 1.1.0
As contas de armazenamento devem permitir o acesso de serviços confiáveis da Microsoft Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes que não podem ter o acesso concedido por meio de regras de rede. Para ajudar esse tipo de serviço a funcionar como esperado, você pode permitir que o conjunto de serviços Microsoft confiáveis ignore as regras de rede. Esses serviços usarão então a autenticação forte para acessar a conta de armazenamento. Audit, Deny, desabilitado 1.0.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0
Verificar integridade de software, firmware e informações CMA_0542 – Verificar integridade de software, firmware e informações Manual, Desabilitado 1.1.0
Exibir e configurar dados de diagnóstico do sistema CMA_0544 – Exibir e configurar dados de diagnóstico do sistema Manual, Desabilitado 1.1.0
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, desabilitado 1.0.1
Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. AuditIfNotExists, desabilitado 1.0.0

Operações de sistema

Detecção e monitoramento de novas vulnerabilidades

ID: SOC 2 Tipo 2 CC7.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar ações para os dispositivos sem conformidade CMA_0062 – Configurar ações para os dispositivos sem conformidade Manual, Desabilitado 1.1.0
Desenvolver e manter configurações de linha de base CMA_0153 – Desenvolver e manter configurações de linha de base Manual, Desabilitado 1.1.0
Habilitar a detecção de dispositivos de rede CMA_0220 – Habilitar a detecção de dispositivos de rede Manual, Desabilitado 1.1.0
Impor definições de configuração de segurança CMA_0249 – Impor definições de configuração de segurança Manual, Desabilitado 1.1.0
Estabelecer um comitê de controle de configuração CMA_0254 – Estabelecer um comitê de controle de configuração Manual, Desabilitado 1.1.0
Estabelecer e documentar um plano de gerenciamento de configuração CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração Manual, Desabilitado 1.1.0
Implementar uma ferramenta de gerenciamento de configuração automatizada CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0
Verificar integridade de software, firmware e informações CMA_0542 – Verificar integridade de software, firmware e informações Manual, Desabilitado 1.1.0
Exibir e configurar dados de diagnóstico do sistema CMA_0544 – Exibir e configurar dados de diagnóstico do sistema Manual, Desabilitado 1.1.0
A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL Audite cada Instância Gerenciada de SQL que não tem verificações recorrentes de avaliação de vulnerabilidade habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 1.0.1
A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL Audite os servidores SQL do Azure sem verificações recorrentes de avaliação de vulnerabilidade ativadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 3.0.0

Monitore os componentes do sistema em busca de comportamentos anômalos

ID: SOC 2 Tipo 2 CC7.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, desabilitado 4.0.1-preview
Um alerta do log de atividades deve existir para Operações administrativas específicas Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados. AuditIfNotExists, desabilitado 1.0.0
Um alerta do log de atividades deve existir para Operações de política específicas Essa política audita Operações de política específicas sem alertas do log de atividades configurados. AuditIfNotExists, desabilitado 3.0.0
Um alerta do log de atividades deve existir para Operações de segurança específicas Essa política audita Operações de segurança específicas sem alertas do log de atividades configurados. AuditIfNotExists, desabilitado 1.0.0
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para Resource Manager deve ser habilitado O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. AuditIfNotExists, desabilitado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
Detectar serviços de rede que não foram autorizados nem aprovados CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados Manual, Desabilitado 1.1.0
Controlar e monitorar atividades de processamento de auditoria CMA_0289 – Controlar e monitorar atividades de processamento de auditoria Manual, Desabilitado 1.1.0
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. AuditIfNotExists, desabilitado 1.0.0
O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. AuditIfNotExists, desabilitado 1.0.4
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
O Microsoft Defender Exploit Guard deve estar habilitado nos computadores O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). AuditIfNotExists, desabilitado 1.1.1

Detecção de incidentes de segurança

ID: SOC 2 Tipo 2 CC7.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Revisar e atualizar as políticas e procedimentos de resposta a incidentes CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes Manual, Desabilitado 1.1.0

Resposta a incidentes de segurança

ID: SOC 2 Tipo 2 CC7.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar eventos de segurança da informação CMA_0013 – Avaliar eventos de segurança da informação Manual, Desabilitado 1.1.0
Coordenar os planos de contingência com os planos relacionados CMA_0086 - Coordenar os planos de contingência com os planos relacionados Manual, Desabilitado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Desenvolver proteções de segurança CMA_0161 – Desenvolver proteções de segurança Manual, Desabilitado 1.1.0
A notificação por email para alertas de severidade alta deve ser habilitada Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. AuditIfNotExists, desabilitado 1.0.1
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. AuditIfNotExists, desabilitado 2.0.0
Habilitar a proteção de rede CMA_0238 – Habilitar a proteção de rede Manual, Desabilitado 1.1.0
Erradicar informações contaminadas CMA_0253 – Erradicar informações contaminadas Manual, Desabilitado 1.1.0
Executar ações em resposta a despejos de informações CMA_0281 – Executar ações em resposta a despejos de informações Manual, Desabilitado 1.1.0
Identificar classes de incidentes e ações tomadas CMA_C1365 – Identificar classes de incidentes e ações tomadas Manual, Desabilitado 1.1.0
Implementar tratamento de incidentes CMA_0318 – Implementar tratamento de incidentes Manual, Desabilitado 1.1.0
Inclui reconfiguração dinâmica de recursos implantados pelo cliente CMA_C1364 - Inclui reconfiguração dinâmica de recursos implantados pelo cliente Manual, Desabilitado 1.1.0
Manter plano de resposta a incidentes CMA_0352 – Manter plano de resposta a incidentes Manual, Desabilitado 1.1.0
O Observador de Rede deve ser habilitado O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. AuditIfNotExists, desabilitado 3.0.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
As assinaturas devem ter um endereço de email de contato para problemas de segurança Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. AuditIfNotExists, desabilitado 1.0.1
Exibir e investigar usuários restritos CMA_0545 – Exibir e investigar usuários restritos Manual, Desabilitado 1.1.0

Recuperação de incidentes de segurança identificados

ID: SOC 2 Tipo 2 CC7.5 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar eventos de segurança da informação CMA_0013 – Avaliar eventos de segurança da informação Manual, Desabilitado 1.1.0
Realizar testes de resposta a incidentes CMA_0060 – Realizar testes de resposta a incidentes Manual, Desabilitado 1.1.0
Coordenar os planos de contingência com os planos relacionados CMA_0086 - Coordenar os planos de contingência com os planos relacionados Manual, Desabilitado 1.1.0
Coordenar com organizações externas para obter uma perspectiva entre organizações CMA_C1368 – Coordenar com organizações externas para obter uma perspectiva entre organizações Manual, Desabilitado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Desenvolver proteções de segurança CMA_0161 – Desenvolver proteções de segurança Manual, Desabilitado 1.1.0
A notificação por email para alertas de severidade alta deve ser habilitada Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. AuditIfNotExists, desabilitado 1.0.1
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. AuditIfNotExists, desabilitado 2.0.0
Habilitar a proteção de rede CMA_0238 – Habilitar a proteção de rede Manual, Desabilitado 1.1.0
Erradicar informações contaminadas CMA_0253 – Erradicar informações contaminadas Manual, Desabilitado 1.1.0
Estabelecer um programa de segurança da informação CMA_0263 – Estabelecer um programa de segurança da informação Manual, Desabilitado 1.1.0
Executar ações em resposta a despejos de informações CMA_0281 – Executar ações em resposta a despejos de informações Manual, Desabilitado 1.1.0
Implementar tratamento de incidentes CMA_0318 – Implementar tratamento de incidentes Manual, Desabilitado 1.1.0
Manter plano de resposta a incidentes CMA_0352 – Manter plano de resposta a incidentes Manual, Desabilitado 1.1.0
O Observador de Rede deve ser habilitado O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. AuditIfNotExists, desabilitado 3.0.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar ataques de simulação CMA_0486 – Executar ataques de simulação Manual, Desabilitado 1.1.0
As assinaturas devem ter um endereço de email de contato para problemas de segurança Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. AuditIfNotExists, desabilitado 1.0.1
Exibir e investigar usuários restritos CMA_0545 – Exibir e investigar usuários restritos Manual, Desabilitado 1.1.0

Gerenciamento de alterações

Alterações na infraestrutura, dados e software

ID: SOC 2 Tipo 2 CC8.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Preterido]: Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes com certificados válidos poderão acessar o aplicativo. Essa política foi substituída por uma nova política com o mesmo nome porque o Http 2.0 não dá suporte a certificados de cliente. Audit, desabilitado 3.1.0-preterido
Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. AuditIfNotExists, desabilitado 1.0.0
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 2.0.0
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. AuditIfNotExists, desabilitado 2.0.0
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 4.0.0
Auditar VMs que não usam discos gerenciados Essa política audita VMs que não usam discos gerenciados auditoria 1.0.0
O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters O Complemento do Azure Policy para o AKS (serviço de Kubernetes) estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent), para aplicar as garantias e imposições em escala aos seus clusters de maneira centralizada e consistente. Audit, desabilitado 1.0.2
Realizar uma análise de impacto de segurança CMA_0057 - Realizar uma análise de impacto de segurança Manual, Desabilitado 1.1.0
Configurar ações para os dispositivos sem conformidade CMA_0062 – Configurar ações para os dispositivos sem conformidade Manual, Desabilitado 1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades Manual, Desabilitado 1.1.0
Desenvolver e manter configurações de linha de base CMA_0153 – Desenvolver e manter configurações de linha de base Manual, Desabilitado 1.1.0
Impor definições de configuração de segurança CMA_0249 – Impor definições de configuração de segurança Manual, Desabilitado 1.1.0
Estabelecer um comitê de controle de configuração CMA_0254 – Estabelecer um comitê de controle de configuração Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Estabelecer e documentar um plano de gerenciamento de configuração CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Os Aplicativos de funções devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 2.0.0
Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. AuditIfNotExists, desabilitado 2.0.0
Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 4.0.0
A extensão de Configuração de Convidado deve ser instalada nos seus computadores Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, desabilitado 1.0.2
Implementar uma ferramenta de gerenciamento de configuração automatizada CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada Manual, Desabilitado 1.1.0
Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 10.2.0
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host Impedir que os contêineres de pod compartilhem o namespace da ID do processo do host e o namespace do IPC do host em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.1.0
Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.1
Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.0
Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 10.2.0
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.0
Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.1
Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.1
Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados Restrinja o acesso do pod à rede do host e ao intervalo de portas de host permitido em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.0
Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 9.1.0
O cluster do Kubernetes não deve permitir contêineres privilegiados Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 10.1.0
Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática Desabilite as credenciais da API de montagem automática para evitar que um recurso Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 5.1.0
Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 8.1.0
Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN Para reduzir a superfície de ataque dos seus contêineres, restrinja as funcionalidades CAP_SYS_ADMIN do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.1.0
Os clusters do Kubernetes não devem usar o namespace padrão Impeça o uso do namespace padrão em clusters do Kubernetes para proteger contra acesso não autorizado para tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 5.1.0
Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. AuditIfNotExists, desabilitado 1.5.0
Somente as extensões aprovadas da VM devem ser instaladas Essa política rege as extensões da máquina virtual que não foram aprovadas. Audit, Deny, desabilitado 1.0.0
Executar uma avaliação de impacto de privacidade CMA_0387 - Executar uma avaliação de impacto de privacidade Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0
As contas de armazenamento devem permitir o acesso de serviços confiáveis da Microsoft Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes que não podem ter o acesso concedido por meio de regras de rede. Para ajudar esse tipo de serviço a funcionar como esperado, você pode permitir que o conjunto de serviços Microsoft confiáveis ignore as regras de rede. Esses serviços usarão então a autenticação forte para acessar a conta de armazenamento. Audit, Deny, desabilitado 1.0.0
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, desabilitado 1.0.1
Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. AuditIfNotExists, desabilitado 1.0.0

Mitigação de risco

Atividades de mitigação de riscos

ID: SOC 2 Tipo 2 CC9.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Determinar as necessidades de proteção de informações CMA_C1750 – Determinar as necessidades de proteção de informações Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0

Gerenciamento de riscos de fornecedores e parceiros de negócios

ID: SOC 2 Tipo 2 CC9.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar o risco em relacionamentos de terceiros CMA_0014 – Avaliar o risco em relacionamentos de terceiros Manual, Desabilitado 1.1.0
Definir requisitos para o fornecimento de bens e serviços CMA_0126 – Definir requisitos para o fornecimento de bens e serviços Manual, Desabilitado 1.1.0
Definir as tarefas dos processadores CMA_0127 – Definir as tarefas dos processadores Manual, Desabilitado 1.1.0
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Documentar critérios de aceitação do contrato de aquisição CMA_0187 – Documentar critérios de aceitação do contrato de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos Manual, Desabilitado 1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados Manual, Desabilitado 1.1.0
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança de pessoal terceirizado CMA_C1529 – Estabelecer requisitos de segurança de pessoal terceirizado Manual, Desabilitado 1.1.0
Monitorar a conformidade do provedor de terceiros CMA_C1533 – Monitorar a conformidade do provedor de terceiros Manual, Desabilitado 1.1.0
Registrar divulgações de PII para terceiros CMA_0422 – Registrar divulgações de PII para terceiros Manual, Desabilitado 1.1.0
Exigir que provedores terceiros cumpram as políticas e os procedimentos de segurança de pessoal CMA_C1530 – Exigir que provedores terceiros cumpram as políticas e procedimentos de segurança de pessoal Manual, Desabilitado 1.1.0
Treinar pessoal sobre o compartilhamento de PII e suas consequências CMA_C1871 – Treinar pessoal sobre o compartilhamento de PII e suas consequências Manual, Desabilitado 1.1.0

Critérios Adicionais de Privacidade

Aviso de privacidade

ID: SOC 2 Tipo 2 P1.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar e distribuir uma política de privacidade CMA_0188 - Documentar e distribuir uma política de privacidade Manual, Desabilitado 1.1.0
Garantir que as informações do programa de privacidade estejam disponíveis publicamente CMA_C1867 - Garantir que as informações do programa de privacidade estejam disponíveis publicamente Manual, Desabilitado 1.1.0
Implementar métodos de entrega de aviso de privacidade CMA_0324 - Implementar métodos de entrega de avisos de privacidade Manual, Desabilitado 1.1.0
Fornecer aviso de privacidade CMA_0414 - Fornecer aviso de privacidade Manual, Desabilitado 1.1.0
Fornecer aviso de privacidade ao público e aos indivíduos CMA_C1861 – Fornecer aviso de privacidade ao público e aos indivíduos Manual, Desabilitado 1.1.0

ID: SOC 2 Tipo 2 P2.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar aceitação do pessoal de requisitos de privacidade CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade Manual, Desabilitado 1.1.0
Implementar métodos de entrega de aviso de privacidade CMA_0324 - Implementar métodos de entrega de avisos de privacidade Manual, Desabilitado 1.1.0
Obter consentimento antes da coleta ou processamento de dados pessoais CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais Manual, Desabilitado 1.1.0
Fornecer aviso de privacidade CMA_0414 - Fornecer aviso de privacidade Manual, Desabilitado 1.1.0

Coleta consistente de informações pessoais

ID: SOC 2 Tipo 2 P3.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Determinar a autoridade legal para coletar PII CMA_C1800 – Determinar autoridade legal para coletar PII Manual, Desabilitado 1.1.0
Documentar processo para garantir a integridade das PII CMA_C1827 – Documentar processo para garantir a integridade das PII Manual, Desabilitado 1.1.0
Avaliar e revisar regularmente as propriedades de dados pessoais CMA_C1832 – Avaliar e revisar regularmente o acervo das PII Manual, Desabilitado 1.1.0
Obter consentimento antes da coleta ou processamento de dados pessoais CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais Manual, Desabilitado 1.1.0

ID: SOC 2 Tipo 2 P3.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Coletar PII diretamente do indivíduo CMA_C1822 – Colete PII diretamente do indivíduo Manual, Desabilitado 1.1.0
Obter consentimento antes da coleta ou processamento de dados pessoais CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais Manual, Desabilitado 1.1.0

Uso de informações pessoais

ID: SOC 2 Tipo 2 P4.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar a base jurídica para o processamento de informações pessoais CMA_0206 – Documentar a base jurídica para o processamento de informações pessoais Manual, Desabilitado 1.1.0
Implementar métodos de entrega de aviso de privacidade CMA_0324 - Implementar métodos de entrega de avisos de privacidade Manual, Desabilitado 1.1.0
Obter consentimento antes da coleta ou processamento de dados pessoais CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais Manual, Desabilitado 1.1.0
Fornecer aviso de privacidade CMA_0414 - Fornecer aviso de privacidade Manual, Desabilitado 1.1.0
Restringir comunicações CMA_0449 - Restringir comunicações Manual, Desabilitado 1.1.0

Retenção de informações pessoais

ID: SOC 2 Tipo 2 P4.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Obedecer os períodos de retenção definidos CMA_0004 – Obedecer os períodos de retenção definidos Manual, Desabilitado 1.1.0
Documentar processo para garantir a integridade das PII CMA_C1827 – Documentar processo para garantir a integridade das PII Manual, Desabilitado 1.1.0

Eliminação de informações pessoais

ID: SOC 2 Tipo 2 P4.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Executar revisão de disposição CMA_0391 - Executar revisão de disposição Manual, Desabilitado 1.1.0
Verificar se os dados pessoais foram excluídos ao final do processamento CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento Manual, Desabilitado 1.1.0

Acesso a informações pessoais

ID: SOC 2 Tipo 2 P5.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar métodos para solicitações de consumidor CMA_0319 - Implementar métodos para solicitações de consumidor Manual, Desabilitado 1.1.0
Publicar regras e regulamentos que acessem os registros da Lei de Privacidade CMA_C1847 - Publicar regras e regulamentos que acessem os registros da Lei de Privacidade Manual, Desabilitado 1.1.0

Correção de informações pessoais

ID: SOC 2 Tipo 2 P5.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Responder a solicitações de retificação CMA_0442 – Responder a solicitações de retificação Manual, Desabilitado 1.1.0

Divulgação de informações pessoais por terceiros

ID: SOC 2 Tipo 2 P6.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir as tarefas dos processadores CMA_0127 – Definir as tarefas dos processadores Manual, Desabilitado 1.1.0
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Documentar critérios de aceitação do contrato de aquisição CMA_0187 – Documentar critérios de aceitação do contrato de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos Manual, Desabilitado 1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados Manual, Desabilitado 1.1.0
Estabelecer requisitos de privacidade para prestadores e provedores de serviço CMA_C1810 – Estabelecer requisitos de privacidade para prestadores e provedores de serviço Manual, Desabilitado 1.1.0
Registrar divulgações de PII para terceiros CMA_0422 – Registrar divulgações de PII para terceiros Manual, Desabilitado 1.1.0
Treinar pessoal sobre o compartilhamento de PII e suas consequências CMA_C1871 – Treinar pessoal sobre o compartilhamento de PII e suas consequências Manual, Desabilitado 1.1.0

Divulgação autorizada do registro de informações pessoais

ID: SOC 2 Tipo 2 P6.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Manter contabilidade precisa das divulgações de informações CMA_C1818 – Manter contabilidade precisa das divulgações de informações Manual, Desabilitado 1.1.0

Divulgação não autorizada do registro de informações pessoais

ID: SOC 2 Tipo 2 P6.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Manter contabilidade precisa das divulgações de informações CMA_C1818 – Manter contabilidade precisa das divulgações de informações Manual, Desabilitado 1.1.0

Contratos de terceiros

ID: SOC 2 Tipo 2 P6.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir as tarefas dos processadores CMA_0127 – Definir as tarefas dos processadores Manual, Desabilitado 1.1.0

Notificação de divulgação não autorizada de terceiros

ID: SOC 2 Tipo 2 P6.5 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Documentar critérios de aceitação do contrato de aquisição CMA_0187 – Documentar critérios de aceitação do contrato de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos Manual, Desabilitado 1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados Manual, Desabilitado 1.1.0
Segurança da informação e proteção de dados pessoais CMA_0332 – Segurança da informação e proteção de dados pessoais Manual, Desabilitado 1.1.0

Notificação de incidentes de privacidade

ID: SOC 2 Tipo 2 P6.6 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Segurança da informação e proteção de dados pessoais CMA_0332 – Segurança da informação e proteção de dados pessoais Manual, Desabilitado 1.1.0

Contabilidade da divulgação de informações pessoais

ID: SOC 2 Tipo 2 P6.7 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar métodos de entrega de avisos de privacidade CMA_0324 - Implementar métodos de entrega de avisos de privacidade Manual, Desabilitado 1.1.0
Manter contabilidade precisa das divulgações de informações CMA_C1818 – Manter contabilidade precisa das divulgações de informações Manual, Desabilitado 1.1.0
Disponibilizar a contabilidade de divulgações mediante solicitação CMA_C1820 – Disponibilizar a contabilidade de divulgações mediante solicitação Manual, Desabilitado 1.1.0
Fornecer aviso de privacidade CMA_0414 - Fornecer aviso de privacidade Manual, Desabilitado 1.1.0
Restringir comunicações CMA_0449 - Restringir comunicações Manual, Desabilitado 1.1.0

Qualidade das informações pessoais

ID: SOC 2 Tipo 2 P7.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Confirmar a qualidade e a integridade das PII CMA_C1821 – Confirmar a qualidade e a integridade das PII Manual, Desabilitado 1.1.0
Emitir diretrizes para garantir a qualidade e a integridade dos dados CMA_C1824 – Emitir diretrizes para garantir a qualidade e a integridade dos dados Manual, Desabilitado 1.1.0
Verifique PII imprecisas ou desatualizadas CMA_C1823 - Verifique PII imprecisas ou desatualizadas Manual, Desabilitado 1.1.0

Gerenciamento de reclamações de privacidade e gerenciamento de conformidade

ID: SOC 2 Tipo 2 P8.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar e implementar procedimentos de reclamação de privacidade CMA_0189 - Documentar e implementar procedimentos de reclamação de privacidade Manual, Desabilitado 1.1.0
Avaliar e revisar regularmente as propriedades de dados pessoais CMA_C1832 – Avaliar e revisar regularmente o acervo das PII Manual, Desabilitado 1.1.0
Segurança da informação e proteção de dados pessoais CMA_0332 – Segurança da informação e proteção de dados pessoais Manual, Desabilitado 1.1.0
Responder a reclamações, preocupações ou perguntas em tempo hábil CMA_C1853 – Responder a reclamações, preocupações ou perguntas em tempo hábil Manual, Desabilitado 1.1.0
Treinar pessoal sobre o compartilhamento de PII e suas consequências CMA_C1871 – Treinar pessoal sobre o compartilhamento de PII e suas consequências Manual, Desabilitado 1.1.0

Critérios adicionais para integridade de processamento

Definições de processamento de dados

ID: SOC 2 Tipo 2 PI1.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar métodos de entrega de avisos de privacidade CMA_0324 - Implementar métodos de entrega de avisos de privacidade Manual, Desabilitado 1.1.0
Fornecer aviso de privacidade CMA_0414 - Fornecer aviso de privacidade Manual, Desabilitado 1.1.0
Restringir comunicações CMA_0449 - Restringir comunicações Manual, Desabilitado 1.1.0

Entradas do sistema sobre integridade e precisão

ID: SOC 2 Tipo 2 PI1.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Executar validação de entrada de informações CMA_C1723 – Executar validação de entrada de informações Manual, Desabilitado 1.1.0

Processamento do sistema

ID: SOC 2 Tipo 2 PI1.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Gerar mensagens de erro CMA_C1724 – Gerar mensagens de erro Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0
Executar validação de entrada de informações CMA_C1723 – Executar validação de entrada de informações Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0

A saída do sistema é completa, precisa e oportuna

ID: SOC 2 Tipo 2 PI1.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0

Armazene entradas e saídas de forma completa, precisa e oportuna

ID: SOC 2 Tipo 2 PI1.5 Propriedade: Compartilhada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Backup do Azure deve ser habilitado para máquinas virtuais Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. AuditIfNotExists, desabilitado 3.0.0
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Estabelecer políticas e procedimentos de backup CMA_0268 - Estabelecer políticas e procedimentos de backup Manual, Desabilitado 1.1.0
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0
Armazenar informações de backup separadamente CMA_C1293 - Armazenar informações de backup separadamente Manual, Desabilitado 1.1.0

Próximas etapas

Artigos adicionais sobre o Azure Policy: