Detalhes da iniciativa integrada de Conformidade Regulatória do Sistema e Controles da Organização (SOC) 2 (Microsoft Azure Governamental)
O artigo a seguir detalha como a definição de iniciativa integrada de Conformidade Regulatória da Política do Azure é mapeada para domínios de conformidade e controles em Controles de Sistema e Organização (SOC) 2 (Microsoft Azure Governamental). Para obter mais informações sobre este padrão de conformidade, veja Controles de sistema e organização (SOC) 2. Para entender a Propriedade, confira os artigos sobre tipo de política e Responsabilidade compartilhada na nuvem .
Os mapeamentos a seguir são para os controles de SOC (Controles de Sistema e Organização) 2. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, localize e selecione a definição de iniciativa integrada de Conformidade Regulatória de SOC 2 Tipo 2.
Importante
Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.
Critérios Adicionais para Disponibilidade
Gerenciamento de capacidade
ID: SOC 2 Tipo 2 A1.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar um planejamento de capacidade | CMA_C1252 - Faça um planejamento da capacidade | Manual, Desabilitado | 1.1.0 |
Proteções ambientais, software, processos de backup de dados e infraestrutura de recuperação
ID: SOC 2 Tipo 2 A1.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Backup do Azure deve ser habilitado para máquinas virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desabilitado | 3.0.0 |
Usar iluminação de emergência automática | CMA_0209 - Usar iluminação de emergência automática | Manual, Desabilitado | 1.1.0 |
Estabelecer um site de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desabilitado | 1.1.0 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
Implementar uma metodologia de teste de penetração | CMA_0306 – Implementar uma metodologia de teste de penetração | Manual, Desabilitado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Instalar um sistema de alarme | CMA_0338 - Instalar um sistema de alarme | Manual, Desabilitado | 1.1.0 |
Recuperar e reconstituir recursos após qualquer interrupção | CMA_C1295 – Recuperar e reconstituir recursos após qualquer interrupção | Manual, Desabilitado | 1.1.1 |
Executar ataques de simulação | CMA_0486 – Executar ataques de simulação | Manual, Desabilitado | 1.1.0 |
Armazenar informações de backup separadamente | CMA_C1293 - Armazenar informações de backup separadamente | Manual, Desabilitado | 1.1.0 |
Transferir informações de cópia de backup para um site de armazenamento alternativo | CMA_C1294 - Transferir informações de cópia de backup para um site de armazenamento alternativo | Manual, Desabilitado | 1.1.0 |
Teste do plano de recuperação
ID: SOC 2 Tipo 2 A1.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Coordenar os planos de contingência com os planos relacionados | CMA_0086 - Coordenar os planos de contingência com os planos relacionados | Manual, Desabilitado | 1.1.0 |
Iniciar o plano de contingência testando ações corretivas | CMA_C1263 - Iniciar as ações corretivas do teste de plano de contingência | Manual, Desabilitado | 1.1.0 |
Revisar os resultados do teste do plano de contingência | CMA_C1262 - Revisar os resultados do teste do plano de contingência | Manual, Desabilitado | 1.1.0 |
Testar o plano de continuidade dos negócios e recuperação de desastres | CMA_0509 – Testar o plano de continuidade dos negócios e recuperação de desastres | Manual, Desabilitado | 1.1.0 |
Critérios Adicionais de Confidencialidade
Proteção de informações confidenciais
ID: SOC 2 Tipo 2 C1.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
Eliminação de informações confidenciais
ID: SOC 2 Tipo 2 C1.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
Ambiente de Controle
Princípio 1 do COSO
ID: SOC 2 Tipo 2 CC1.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver procedimentos e políticas de uso aceitáveis | CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis | Manual, Desabilitado | 1.1.0 |
Desenvolver política de código da organização | CMA_0159 – Desenvolver política de código de conduta da organização | Manual, Desabilitado | 1.1.0 |
Documentar aceitação do pessoal de requisitos de privacidade | CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade | Manual, Desabilitado | 1.1.0 |
Aplicar regras de comportamento e contratos de acesso | CMA_0248 – Aplicar regras de comportamento e contratos de acesso | Manual, Desabilitado | 1.1.0 |
Proibir práticas injustas | CMA_0396 – Proibir práticas injustas | Manual, Desabilitado | 1.1.0 |
Revisar e assinar regras de comportamento revisadas | CMA_0465 – Revisar e assinar regras de comportamento revisadas | Manual, Desabilitado | 1.1.0 |
Atualizar regras de comportamento e contratos de acesso | CMA_0521 – Atualizar regras de comportamento e contratos de acesso | Manual, Desabilitado | 1.1.0 |
Atualizar regras de comportamento e contratos de acesso a cada três anos | CMA_0522 – Atualizar regras de comportamento e contratos de acesso a cada três anos | Manual, Desabilitado | 1.1.0 |
Princípio 2 do COSO
ID: SOC 2 Tipo 2 CC1.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Nomear um responsável pela segurança da informação sênior | CMA_C1733 – Nomear um responsável pela segurança da informação sênior | Manual, Desabilitado | 1.1.0 |
Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desabilitado | 1.1.0 |
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desabilitado | 1.1.0 |
Implementar princípios de engenharia de segurança para os sistemas de informações | CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações | Manual, Desabilitado | 1.1.0 |
Princípio 3 do COSO
ID: SOC 2 Tipo 2 CC1.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Nomear um responsável pela segurança da informação sênior | CMA_C1733 – Nomear um responsável pela segurança da informação sênior | Manual, Desabilitado | 1.1.0 |
Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desabilitado | 1.1.0 |
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desabilitado | 1.1.0 |
Implementar princípios de engenharia de segurança para os sistemas de informações | CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações | Manual, Desabilitado | 1.1.0 |
Princípio 4 do COSO
ID: SOC 2 Tipo 2 CC1.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer treinamento periódico de segurança baseada em funções | CMA_C1095 – Fornecer treinamento periódico de segurança baseada em funções | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento periódico sobre conscientização de segurança | CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança | Manual, Desabilitado | 1.1.0 |
Fornecer exercícios práticos baseados em funções | CMA_C1096 – Fornecer exercícios práticos baseados em funções | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desabilitado | 1.1.0 |
Princípio 5 do COSO
ID: SOC 2 Tipo 2 CC1.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver procedimentos e políticas de uso aceitáveis | CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis | Manual, Desabilitado | 1.1.0 |
Aplicar regras de comportamento e contratos de acesso | CMA_0248 – Aplicar regras de comportamento e contratos de acesso | Manual, Desabilitado | 1.1.0 |
Implementar processo formal de sanções | CMA_0317 – Implementar processo formal de sanções | Manual, Desabilitado | 1.1.0 |
Notificar o pessoal sobre as sanções | CMA_0380 – Notificar o pessoal sobre sanções | Manual, Desabilitado | 1.1.0 |
Comunicações e Informações
Princípio 13 do COSO
ID: SOC 2 Tipo 2 CC2.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
Princípio 14 do COSO
ID: SOC 2 Tipo 2 CC2.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver procedimentos e políticas de uso aceitáveis | CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis | Manual, Desabilitado | 1.1.0 |
A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.0.0 |
Aplicar regras de comportamento e contratos de acesso | CMA_0248 – Aplicar regras de comportamento e contratos de acesso | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento periódico de segurança baseada em funções | CMA_C1095 – Fornecer treinamento periódico de segurança baseada em funções | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento periódico sobre conscientização de segurança | CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desabilitado | 1.1.0 |
As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
Princípio 15 do COSO
ID: SOC 2 Tipo 2 CC2.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir as tarefas dos processadores | CMA_0127 – Definir as tarefas dos processadores | Manual, Desabilitado | 1.1.0 |
Fornecer resultados da avaliação de segurança | CMA_C1147 – Fornecer resultados da avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desabilitado | 1.1.0 |
A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.0.0 |
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de segurança de pessoal terceirizado | CMA_C1529 – Estabelecer requisitos de segurança de pessoal terceirizado | Manual, Desabilitado | 1.1.0 |
Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
Implementar princípios de engenharia de segurança para os sistemas de informações | CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações | Manual, Desabilitado | 1.1.0 |
Produzir relatórios de avaliação de segurança | CMA_C1146 – Produzir relatórios de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
Exigir que provedores terceiros cumpram as políticas e os procedimentos de segurança de pessoal | CMA_C1530 – Exigir que provedores terceiros cumpram as políticas e procedimentos de segurança de pessoal | Manual, Desabilitado | 1.1.0 |
Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desabilitado | 1.1.0 |
As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
Avaliação de risco
Princípio 6 do COSO
ID: SOC 2 Tipo 2 CC3.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Categorizar informações | CMA_0052 – Categorizar informações | Manual, Desabilitado | 1.1.0 |
Determinar as necessidades de proteção de informações | CMA_C1750 – Determinar as necessidades de proteção de informações | Manual, Desabilitado | 1.1.0 |
Desenvolver esquemas de classificação de negócios | CMA_0155 – Desenvolver esquemas de classificação de negócios | Manual, Desabilitado | 1.1.0 |
Desenvolver um SSP que atenda aos critérios | CMA_C1492 – Desenvolver um SSP que atenda aos critérios | Manual, Desabilitado | 1.1.0 |
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
Princípio 7 do COSO
ID: SOC 2 Tipo 2 CC3.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Categorizar informações | CMA_0052 – Categorizar informações | Manual, Desabilitado | 1.1.0 |
Determinar as necessidades de proteção de informações | CMA_C1750 – Determinar as necessidades de proteção de informações | Manual, Desabilitado | 1.1.0 |
Desenvolver esquemas de classificação de negócios | CMA_0155 – Desenvolver esquemas de classificação de negócios | Manual, Desabilitado | 1.1.0 |
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | Audite cada Instância Gerenciada de SQL que não tem verificações recorrentes de avaliação de vulnerabilidade habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 1.0.1 |
A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | Audite os servidores SQL do Azure sem verificações recorrentes de avaliação de vulnerabilidade ativadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 3.0.0 |
Princípio 8 do COSO
ID: SOC 2 Tipo 2 CC3.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Princípio 9 do COSO
ID: SOC 2 Tipo 2 CC3.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar o risco em relacionamentos de terceiros | CMA_0014 – Avaliar o risco em relacionamentos de terceiros | Manual, Desabilitado | 1.1.0 |
Definir requisitos para o fornecimento de bens e serviços | CMA_0126 – Definir requisitos para o fornecimento de bens e serviços | Manual, Desabilitado | 1.1.0 |
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Atividades de Monitoramento
Princípio 16 do COSO
ID: SOC 2 Tipo 2 CC4.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar controles de segurança | CMA_C1145 – Avaliar controles de segurança | Manual, Desabilitado | 1.1.0 |
Desenvolver plano de avaliação de segurança | CMA_C1144 – Desenvolver plano de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Selecionar testes adicionais para avaliações de controle de segurança | CMA_C1149 – Selecionar testes adicionais para avaliações de controle de segurança | Manual, Desabilitado | 1.1.0 |
Princípio 17 do COSO
ID: SOC 2 Tipo 2 CC4.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer resultados da avaliação de segurança | CMA_C1147 – Fornecer resultados da avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Produzir relatórios de avaliação de segurança | CMA_C1146 – Produzir relatórios de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Atividades de Controle
Princípio 10 do COSO
ID: SOC 2 Tipo 2 CC5.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Princípio 11 do COSO
ID: SOC 2 Tipo 2 CC5.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Deve haver mais de um proprietário atribuído à sua assinatura | Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desabilitado | 3.0.0 |
Princípio 12 do COSO
ID: SOC 2 Tipo 2 CC5.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Configurar lista de permissões de detecção | CMA_0068 – Configurar lista de permissões de detecção | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Ativar sensores para a solução de segurança de ponto de extremidade | CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade | Manual, Desabilitado | 1.1.0 |
Passar por revisão de segurança independente | CMA_0515 – Passar por revisão de segurança independente | Manual, Desabilitado | 1.1.0 |
Controles de Acesso Lógico e Físico
Software, infraestrutura e arquiteturas de segurança de acesso lógico
ID: SOC 2 Tipo 2 CC6.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
A autenticação para computadores Linux deve exigir chaves SSH | Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desabilitado | 2.4.0 |
Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
As variáveis da conta de automação devem ser criptografadas | É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais | Audit, Deny, desabilitado | 1.1.0 |
Os recursos dos Serviços de IA do Azure devem criptografar os dados inativos com uma chave gerenciada pelo cliente (CMK) | O uso de chaves gerenciadas pelo cliente para criptografar dados inativos oferece mais controle sobre o ciclo de vida da chave, incluindo rotação e gerenciamento. Isso é particularmente relevante para organizações com requisitos de conformidade relacionados. Isso não é avaliado por padrão e só deve ser aplicado quando exigido por requisitos de conformidade ou de política restritiva. Se não estiver habilitado, os dados serão criptografados usando chaves gerenciadas pela plataforma. Para implementar isso, atualize o parâmetro "Efeito" na Política de Segurança para o escopo aplicável. | Audit, Deny, desabilitado | 2.2.0 |
As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 1.1.0 |
Os workspaces do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente | Gerencie a criptografia em repouso dos dados do Workspace do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, desabilitado | 1.1.0 |
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. | Audit, Deny, desabilitado | 1.1.2 |
Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Criar um estoque de dados | CMA_0096 – Criar um estoque de dados | Manual, Desabilitado | 1.1.0 |
Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
Documentar o treinamento de mobilidade | CMA_0191 – Documentar o treinamento de mobilidade | Manual, Desabilitado | 1.1.0 |
Documentar as diretrizes de acesso remoto | CMA_0196 – Documentar as diretrizes de acesso remoto | Manual, Desabilitado | 1.1.0 |
Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
Estabelecer um procedimento de gerenciamento de vazamento de dados | CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados | Manual, Desabilitado | 1.1.0 |
Estabelecer padrões de configuração de firewall e roteador | CMA_0272 – Estabelecer padrões de configuração de firewall e roteador | Manual, Desabilitado | 1.1.0 |
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desabilitado | 1.1.0 |
Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.0.0 |
Os aplicativos de funções devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
Os aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 2.1.0 |
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
Identificar e gerenciar trocas de informações downstream | CMA_0298 – Identificar e gerenciar trocas de informações downstream | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
Os cofres de chaves devem ter a proteção contra exclusão habilitadas | A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão. | Audit, Deny, desabilitado | 2.1.0 |
Os cofres de chaves devem ter a exclusão temporária habilitada | A exclusão de um cofre de chaves sem a exclusão temporária habilitada permanentemente exclui todos os segredos, as chaves e os certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Audit, Deny, desabilitado | 3.0.0 |
Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.1.0 |
Manter registros de processamento de dados pessoais | CMA_0353 – Manter registros de processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
Notificar usuários sobre logon ou acesso do sistema | CMA_0382 – Notificar usuários sobre logon ou acesso do sistema | Manual, Desabilitado | 1.1.0 |
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas | Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão | Audit, Deny, desabilitado | 1.0.0 |
Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente | Audit, Deny, desabilitado | 1.1.0 |
As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.0 |
Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.1 |
A conta de armazenamento que possui o contêiner com os logs de atividade deve ser criptografada com BYOK | Essa política auditará se a conta de armazenamento que possui o contêiner com logs de atividades estiver criptografada com BYOK. A política funcionará apenas se a conta de armazenamento estiver na mesma assinatura dos logs de atividades por design. Mais informações sobre a criptografia de Armazenamento do Microsoft Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. | AuditIfNotExists, desabilitado | 1.0.0 |
As contas de armazenamento devem usar uma chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de blobs e arquivos com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Audit, desabilitado | 1.0.3 |
As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
Deve haver mais de um proprietário atribuído à sua assinatura | Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desabilitado | 3.0.0 |
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desabilitado | 2.0.0 |
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. | AuditIfNotExists, desabilitado | 3.0.1 |
Provisionamento e remoção de acesso
ID: SOC 2 Tipo 2 CC6.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Atribuir gerentes de conta | CMA_0015 – Atribuir gerentes de conta | Manual, Desabilitado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
Documentar privilégios de acesso | CMA_0186 – Documentar privilégios de acesso | Manual, Desabilitado | 1.1.0 |
Estabelecer condições para associação de função | CMA_0269 – Estabelecer condições para associação de função | Manual, Desabilitado | 1.1.0 |
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
Examinar contas de usuário | CMA_0480: – Examinar contas de usuário | Manual, Desabilitado | 1.1.0 |
Acesso baseado em função e privilégios mínimos
ID: SOC 2 Tipo 2 CC6.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
Monitorar atribuição de função com privilégios | CMA_0378 – Monitorar atribuição de função com privilégios | Manual, Desabilitado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
Examinar contas de usuário | CMA_0480: – Examinar contas de usuário | Manual, Desabilitado | 1.1.0 |
Examinar os privilégios do usuário | CMA_C1039 – Examinar os privilégios do usuário | Manual, Desabilitado | 1.1.0 |
Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes | Para fornecer filtragem granular das ações que os usuários podem executar, use o RBAC (controle de acesso baseado em função) para gerenciar permissões nos clusters do Serviço de Kubernetes e configurar políticas de autorização relevantes. | Audit, desabilitado | 1.0.4 |
Deve haver mais de um proprietário atribuído à sua assinatura | Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desabilitado | 3.0.0 |
Usar o Privileged Identity Management | CMA_0533 – Usar o Privileged Identity Management | Manual, Desabilitado | 1.1.0 |
Acesso físico restrito
ID: SOC 2 Tipo 2 CC6.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Proteções lógicas e físicas sobre ativos físicos
ID: SOC 2 Tipo 2 CC6.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Medidas de segurança contra ameaças fora dos limites do sistema
ID: SOC 2 Tipo 2 CC6.6 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
A autenticação para computadores Linux deve exigir chaves SSH | Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desabilitado | 2.4.0 |
Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
O Firewall de Aplicativo Web do Azure deve ser habilitado em pontos de entrada do Azure Front Door | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 1.0.2 |
Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
Documentar o treinamento de mobilidade | CMA_0191 – Documentar o treinamento de mobilidade | Manual, Desabilitado | 1.1.0 |
Documentar as diretrizes de acesso remoto | CMA_0196 – Documentar as diretrizes de acesso remoto | Manual, Desabilitado | 1.1.0 |
Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
Estabelecer padrões de configuração de firewall e roteador | CMA_0272 – Estabelecer padrões de configuração de firewall e roteador | Manual, Desabilitado | 1.1.0 |
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desabilitado | 1.1.0 |
Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.0.0 |
Os aplicativos de funções devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
Os aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 2.1.0 |
Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
Identificar e gerenciar trocas de informações downstream | CMA_0298 – Identificar e gerenciar trocas de informações downstream | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
O encaminhamento IP na máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists, desabilitado | 3.0.0 |
Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.1.0 |
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
Notificar usuários sobre logon ou acesso do sistema | CMA_0382 – Notificar usuários sobre logon ou acesso do sistema | Manual, Desabilitado | 1.1.0 |
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas | Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão | Audit, Deny, desabilitado | 1.0.0 |
Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 2.0.0 |
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. | AuditIfNotExists, desabilitado | 3.0.1 |
Restringir a movimentação de informações a usuários autorizados
ID: SOC 2 Tipo 2 CC6.7 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
Definir requisitos do dispositivo móvel | CMA_0122 - Definir requisitos do dispositivo móvel | Manual, Desabilitado | 1.1.0 |
Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Audit, desabilitado | 1.0.1 |
Estabelecer padrões de configuração de firewall e roteador | CMA_0272 – Estabelecer padrões de configuração de firewall e roteador | Manual, Desabilitado | 1.1.0 |
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desabilitado | 1.1.0 |
Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.0.0 |
Os aplicativos de funções devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
Os aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 2.1.0 |
Identificar e gerenciar trocas de informações downstream | CMA_0298 – Identificar e gerenciar trocas de informações downstream | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.1.0 |
Gerenciar o transporte de ativos | CMA_0370 - Gerenciar o transporte de ativos | Manual, Desabilitado | 1.1.0 |
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time | O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação | AuditIfNotExists, desabilitado | 3.0.0 |
Portas de gerenciamento devem ser fechadas nas máquinas virtuais | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desabilitado | 3.0.0 |
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desabilitado | 3.0.0 |
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas | Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão | Audit, Deny, desabilitado | 1.0.0 |
Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. | AuditIfNotExists, desabilitado | 3.0.1 |
Prevenir ou detectar software não autorizado ou malicioso
ID: SOC 2 Tipo 2 CC6.8 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Preterido]: Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes com certificados válidos poderão acessar o aplicativo. Essa política foi substituída por uma nova política com o mesmo nome porque o Http 2.0 não dá suporte a certificados de cliente. | Audit, desabilitado | 3.1.0-preterido |
Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desabilitado | 2.0.0 |
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
Auditar VMs que não usam discos gerenciados | Essa política audita VMs que não usam discos gerenciados | auditoria | 1.0.0 |
O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters | O Complemento do Azure Policy para o AKS (serviço de Kubernetes) estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent), para aplicar as garantias e imposições em escala aos seus clusters de maneira centralizada e consistente. | Audit, desabilitado | 1.0.2 |
Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
Os Aplicativos de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. | AuditIfNotExists, desabilitado | 2.0.0 |
Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.2 |
Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 10.2.0 |
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host | Impedir que os contêineres de pod compartilhem o namespace da ID do processo do host e o namespace do IPC do host em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.1.0 |
Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.1 |
Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.0 |
Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 10.2.0 |
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.0 |
Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.1 |
Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.1 |
Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | Restrinja o acesso do pod à rede do host e ao intervalo de portas de host permitido em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.0 |
Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.1.0 |
O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 10.1.0 |
Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática | Desabilite as credenciais da API de montagem automática para evitar que um recurso Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.0 |
Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.1.0 |
Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN | Para reduzir a superfície de ataque dos seus contêineres, restrinja as funcionalidades CAP_SYS_ADMIN do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.1.0 |
Os clusters do Kubernetes não devem usar o namespace padrão | Impeça o uso do namespace padrão em clusters do Kubernetes para proteger contra acesso não autorizado para tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.0 |
Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desabilitado | 1.5.0 |
Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
Somente as extensões aprovadas da VM devem ser instaladas | Essa política rege as extensões da máquina virtual que não foram aprovadas. | Audit, Deny, desabilitado | 1.0.0 |
Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
Examinar o relatório de detecções de malware semanalmente | CMA_0475 – Examinar o relatório de detecções de malware semanalmente | Manual, Desabilitado | 1.1.0 |
Examinar o status de proteção contra ameaças semanalmente | CMA_0479 – Examinar o status de proteção contra ameaças semanalmente | Manual, Desabilitado | 1.1.0 |
As contas de armazenamento devem permitir o acesso de serviços confiáveis da Microsoft | Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes que não podem ter o acesso concedido por meio de regras de rede. Para ajudar esse tipo de serviço a funcionar como esperado, você pode permitir que o conjunto de serviços Microsoft confiáveis ignore as regras de rede. Esses serviços usarão então a autenticação forte para acessar a conta de armazenamento. | Audit, Deny, desabilitado | 1.0.0 |
Atualizar definições de antivírus | CMA_0517 – Atualizar as definições de antivírus | Manual, Desabilitado | 1.1.0 |
Verificar integridade de software, firmware e informações | CMA_0542 – Verificar integridade de software, firmware e informações | Manual, Desabilitado | 1.1.0 |
Exibir e configurar dados de diagnóstico do sistema | CMA_0544 – Exibir e configurar dados de diagnóstico do sistema | Manual, Desabilitado | 1.1.0 |
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desabilitado | 1.0.0 |
Operações de sistema
Detecção e monitoramento de novas vulnerabilidades
ID: SOC 2 Tipo 2 CC7.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Configurar ações para os dispositivos sem conformidade | CMA_0062 – Configurar ações para os dispositivos sem conformidade | Manual, Desabilitado | 1.1.0 |
Desenvolver e manter configurações de linha de base | CMA_0153 – Desenvolver e manter configurações de linha de base | Manual, Desabilitado | 1.1.0 |
Habilitar a detecção de dispositivos de rede | CMA_0220 – Habilitar a detecção de dispositivos de rede | Manual, Desabilitado | 1.1.0 |
Impor definições de configuração de segurança | CMA_0249 – Impor definições de configuração de segurança | Manual, Desabilitado | 1.1.0 |
Estabelecer um comitê de controle de configuração | CMA_0254 – Estabelecer um comitê de controle de configuração | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Implementar uma ferramenta de gerenciamento de configuração automatizada | CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada | Manual, Desabilitado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Verificar integridade de software, firmware e informações | CMA_0542 – Verificar integridade de software, firmware e informações | Manual, Desabilitado | 1.1.0 |
Exibir e configurar dados de diagnóstico do sistema | CMA_0544 – Exibir e configurar dados de diagnóstico do sistema | Manual, Desabilitado | 1.1.0 |
A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL | Audite cada Instância Gerenciada de SQL que não tem verificações recorrentes de avaliação de vulnerabilidade habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 1.0.1 |
A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL | Audite os servidores SQL do Azure sem verificações recorrentes de avaliação de vulnerabilidade ativadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 3.0.0 |
Monitore os componentes do sistema em busca de comportamentos anômalos
ID: SOC 2 Tipo 2 CC7.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 4.0.1-preview |
Um alerta do log de atividades deve existir para Operações administrativas específicas | Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados. | AuditIfNotExists, desabilitado | 1.0.0 |
Um alerta do log de atividades deve existir para Operações de política específicas | Essa política audita Operações de política específicas sem alertas do log de atividades configurados. | AuditIfNotExists, desabilitado | 3.0.0 |
Um alerta do log de atividades deve existir para Operações de segurança específicas | Essa política audita Operações de segurança específicas sem alertas do log de atividades configurados. | AuditIfNotExists, desabilitado | 1.0.0 |
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desabilitado | 2.0.1 |
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. | AuditIfNotExists, desabilitado | 1.0.2 |
Detectar serviços de rede que não foram autorizados nem aprovados | CMA_C1700 – Detectar serviços de rede que não foram autorizados nem aprovados | Manual, Desabilitado | 1.1.0 |
Controlar e monitorar atividades de processamento de auditoria | CMA_0289 – Controlar e monitorar atividades de processamento de auditoria | Manual, Desabilitado | 1.1.0 |
O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
O Microsoft Defender para Armazenamento (Clássico) deve estar habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desabilitado | 1.0.4 |
Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
O Microsoft Defender Exploit Guard deve estar habilitado nos computadores | O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). | AuditIfNotExists, desabilitado | 1.1.1 |
Detecção de incidentes de segurança
ID: SOC 2 Tipo 2 CC7.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Revisar e atualizar as políticas e procedimentos de resposta a incidentes | CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Resposta a incidentes de segurança
ID: SOC 2 Tipo 2 CC7.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar eventos de segurança da informação | CMA_0013 – Avaliar eventos de segurança da informação | Manual, Desabilitado | 1.1.0 |
Coordenar os planos de contingência com os planos relacionados | CMA_0086 - Coordenar os planos de contingência com os planos relacionados | Manual, Desabilitado | 1.1.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Desenvolver proteções de segurança | CMA_0161 – Desenvolver proteções de segurança | Manual, Desabilitado | 1.1.0 |
A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.0.0 |
Habilitar a proteção de rede | CMA_0238 – Habilitar a proteção de rede | Manual, Desabilitado | 1.1.0 |
Erradicar informações contaminadas | CMA_0253 – Erradicar informações contaminadas | Manual, Desabilitado | 1.1.0 |
Executar ações em resposta a despejos de informações | CMA_0281 – Executar ações em resposta a despejos de informações | Manual, Desabilitado | 1.1.0 |
Identificar classes de incidentes e ações tomadas | CMA_C1365 – Identificar classes de incidentes e ações tomadas | Manual, Desabilitado | 1.1.0 |
Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
Inclui reconfiguração dinâmica de recursos implantados pelo cliente | CMA_C1364 - Inclui reconfiguração dinâmica de recursos implantados pelo cliente | Manual, Desabilitado | 1.1.0 |
Manter plano de resposta a incidentes | CMA_0352 – Manter plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
Exibir e investigar usuários restritos | CMA_0545 – Exibir e investigar usuários restritos | Manual, Desabilitado | 1.1.0 |
Recuperação de incidentes de segurança identificados
ID: SOC 2 Tipo 2 CC7.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar eventos de segurança da informação | CMA_0013 – Avaliar eventos de segurança da informação | Manual, Desabilitado | 1.1.0 |
Realizar testes de resposta a incidentes | CMA_0060 – Realizar testes de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Coordenar os planos de contingência com os planos relacionados | CMA_0086 - Coordenar os planos de contingência com os planos relacionados | Manual, Desabilitado | 1.1.0 |
Coordenar com organizações externas para obter uma perspectiva entre organizações | CMA_C1368 – Coordenar com organizações externas para obter uma perspectiva entre organizações | Manual, Desabilitado | 1.1.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Desenvolver proteções de segurança | CMA_0161 – Desenvolver proteções de segurança | Manual, Desabilitado | 1.1.0 |
A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.0.0 |
Habilitar a proteção de rede | CMA_0238 – Habilitar a proteção de rede | Manual, Desabilitado | 1.1.0 |
Erradicar informações contaminadas | CMA_0253 – Erradicar informações contaminadas | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de segurança da informação | CMA_0263 – Estabelecer um programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
Executar ações em resposta a despejos de informações | CMA_0281 – Executar ações em resposta a despejos de informações | Manual, Desabilitado | 1.1.0 |
Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
Manter plano de resposta a incidentes | CMA_0352 – Manter plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
Executar ataques de simulação | CMA_0486 – Executar ataques de simulação | Manual, Desabilitado | 1.1.0 |
As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
Exibir e investigar usuários restritos | CMA_0545 – Exibir e investigar usuários restritos | Manual, Desabilitado | 1.1.0 |
Gerenciamento de alterações
Alterações na infraestrutura, dados e software
ID: SOC 2 Tipo 2 CC8.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Preterido]: Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes com certificados válidos poderão acessar o aplicativo. Essa política foi substituída por uma nova política com o mesmo nome porque o Http 2.0 não dá suporte a certificados de cliente. | Audit, desabilitado | 3.1.0-preterido |
Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desabilitado | 2.0.0 |
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
Auditar VMs que não usam discos gerenciados | Essa política audita VMs que não usam discos gerenciados | auditoria | 1.0.0 |
O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters | O Complemento do Azure Policy para o AKS (serviço de Kubernetes) estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent), para aplicar as garantias e imposições em escala aos seus clusters de maneira centralizada e consistente. | Audit, desabilitado | 1.0.2 |
Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
Configurar ações para os dispositivos sem conformidade | CMA_0062 – Configurar ações para os dispositivos sem conformidade | Manual, Desabilitado | 1.1.0 |
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desabilitado | 1.1.0 |
Desenvolver e manter configurações de linha de base | CMA_0153 – Desenvolver e manter configurações de linha de base | Manual, Desabilitado | 1.1.0 |
Impor definições de configuração de segurança | CMA_0249 – Impor definições de configuração de segurança | Manual, Desabilitado | 1.1.0 |
Estabelecer um comitê de controle de configuração | CMA_0254 – Estabelecer um comitê de controle de configuração | Manual, Desabilitado | 1.1.0 |
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
Os Aplicativos de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. | AuditIfNotExists, desabilitado | 2.0.0 |
Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
A extensão de Configuração de Convidado deve ser instalada nos seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desabilitado | 1.0.2 |
Implementar uma ferramenta de gerenciamento de configuração automatizada | CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada | Manual, Desabilitado | 1.1.0 |
Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 10.2.0 |
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host | Impedir que os contêineres de pod compartilhem o namespace da ID do processo do host e o namespace do IPC do host em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.1.0 |
Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.1 |
Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.0 |
Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 10.2.0 |
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.0 |
Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.1 |
Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.1 |
Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | Restrinja o acesso do pod à rede do host e ao intervalo de portas de host permitido em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.0 |
Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.1.0 |
O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 10.1.0 |
Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática | Desabilite as credenciais da API de montagem automática para evitar que um recurso Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.0 |
Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.1.0 |
Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN | Para reduzir a superfície de ataque dos seus contêineres, restrinja as funcionalidades CAP_SYS_ADMIN do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.1.0 |
Os clusters do Kubernetes não devem usar o namespace padrão | Impeça o uso do namespace padrão em clusters do Kubernetes para proteger contra acesso não autorizado para tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.0 |
Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desabilitado | 1.5.0 |
Somente as extensões aprovadas da VM devem ser instaladas | Essa política rege as extensões da máquina virtual que não foram aprovadas. | Audit, Deny, desabilitado | 1.0.0 |
Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
As contas de armazenamento devem permitir o acesso de serviços confiáveis da Microsoft | Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes que não podem ter o acesso concedido por meio de regras de rede. Para ajudar esse tipo de serviço a funcionar como esperado, você pode permitir que o conjunto de serviços Microsoft confiáveis ignore as regras de rede. Esses serviços usarão então a autenticação forte para acessar a conta de armazenamento. | Audit, Deny, desabilitado | 1.0.0 |
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desabilitado | 1.0.1 |
Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desabilitado | 1.0.0 |
Mitigação de risco
Atividades de mitigação de riscos
ID: SOC 2 Tipo 2 CC9.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Determinar as necessidades de proteção de informações | CMA_C1750 – Determinar as necessidades de proteção de informações | Manual, Desabilitado | 1.1.0 |
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Gerenciamento de riscos de fornecedores e parceiros de negócios
ID: SOC 2 Tipo 2 CC9.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar o risco em relacionamentos de terceiros | CMA_0014 – Avaliar o risco em relacionamentos de terceiros | Manual, Desabilitado | 1.1.0 |
Definir requisitos para o fornecimento de bens e serviços | CMA_0126 – Definir requisitos para o fornecimento de bens e serviços | Manual, Desabilitado | 1.1.0 |
Definir as tarefas dos processadores | CMA_0127 – Definir as tarefas dos processadores | Manual, Desabilitado | 1.1.0 |
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de segurança de pessoal terceirizado | CMA_C1529 – Estabelecer requisitos de segurança de pessoal terceirizado | Manual, Desabilitado | 1.1.0 |
Monitorar a conformidade do provedor de terceiros | CMA_C1533 – Monitorar a conformidade do provedor de terceiros | Manual, Desabilitado | 1.1.0 |
Registrar divulgações de PII para terceiros | CMA_0422 – Registrar divulgações de PII para terceiros | Manual, Desabilitado | 1.1.0 |
Exigir que provedores terceiros cumpram as políticas e os procedimentos de segurança de pessoal | CMA_C1530 – Exigir que provedores terceiros cumpram as políticas e procedimentos de segurança de pessoal | Manual, Desabilitado | 1.1.0 |
Treinar pessoal sobre o compartilhamento de PII e suas consequências | CMA_C1871 – Treinar pessoal sobre o compartilhamento de PII e suas consequências | Manual, Desabilitado | 1.1.0 |
Critérios Adicionais de Privacidade
Aviso de privacidade
ID: SOC 2 Tipo 2 P1.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Documentar e distribuir uma política de privacidade | CMA_0188 - Documentar e distribuir uma política de privacidade | Manual, Desabilitado | 1.1.0 |
Garantir que as informações do programa de privacidade estejam disponíveis publicamente | CMA_C1867 - Garantir que as informações do programa de privacidade estejam disponíveis publicamente | Manual, Desabilitado | 1.1.0 |
Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
Fornecer aviso de privacidade ao público e aos indivíduos | CMA_C1861 – Fornecer aviso de privacidade ao público e aos indivíduos | Manual, Desabilitado | 1.1.0 |
Consentimento de privacidade
ID: SOC 2 Tipo 2 P2.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Documentar aceitação do pessoal de requisitos de privacidade | CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade | Manual, Desabilitado | 1.1.0 |
Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
Obter consentimento antes da coleta ou processamento de dados pessoais | CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
Coleta consistente de informações pessoais
ID: SOC 2 Tipo 2 P3.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Determinar a autoridade legal para coletar PII | CMA_C1800 – Determinar autoridade legal para coletar PII | Manual, Desabilitado | 1.1.0 |
Documentar processo para garantir a integridade das PII | CMA_C1827 – Documentar processo para garantir a integridade das PII | Manual, Desabilitado | 1.1.0 |
Avaliar e revisar regularmente as propriedades de dados pessoais | CMA_C1832 – Avaliar e revisar regularmente o acervo das PII | Manual, Desabilitado | 1.1.0 |
Obter consentimento antes da coleta ou processamento de dados pessoais | CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
Consentimento explícito de informações pessoais
ID: SOC 2 Tipo 2 P3.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Coletar PII diretamente do indivíduo | CMA_C1822 – Colete PII diretamente do indivíduo | Manual, Desabilitado | 1.1.0 |
Obter consentimento antes da coleta ou processamento de dados pessoais | CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
Uso de informações pessoais
ID: SOC 2 Tipo 2 P4.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 – Documentar a base jurídica para o processamento de informações pessoais | Manual, Desabilitado | 1.1.0 |
Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
Obter consentimento antes da coleta ou processamento de dados pessoais | CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desabilitado | 1.1.0 |
Retenção de informações pessoais
ID: SOC 2 Tipo 2 P4.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
Documentar processo para garantir a integridade das PII | CMA_C1827 – Documentar processo para garantir a integridade das PII | Manual, Desabilitado | 1.1.0 |
Eliminação de informações pessoais
ID: SOC 2 Tipo 2 P4.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Executar revisão de disposição | CMA_0391 - Executar revisão de disposição | Manual, Desabilitado | 1.1.0 |
Verificar se os dados pessoais foram excluídos ao final do processamento | CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento | Manual, Desabilitado | 1.1.0 |
Acesso a informações pessoais
ID: SOC 2 Tipo 2 P5.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar métodos para solicitações de consumidor | CMA_0319 - Implementar métodos para solicitações de consumidor | Manual, Desabilitado | 1.1.0 |
Publicar regras e regulamentos que acessem os registros da Lei de Privacidade | CMA_C1847 - Publicar regras e regulamentos que acessem os registros da Lei de Privacidade | Manual, Desabilitado | 1.1.0 |
Correção de informações pessoais
ID: SOC 2 Tipo 2 P5.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Responder a solicitações de retificação | CMA_0442 – Responder a solicitações de retificação | Manual, Desabilitado | 1.1.0 |
Divulgação de informações pessoais por terceiros
ID: SOC 2 Tipo 2 P6.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir as tarefas dos processadores | CMA_0127 – Definir as tarefas dos processadores | Manual, Desabilitado | 1.1.0 |
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de privacidade para prestadores e provedores de serviço | CMA_C1810 – Estabelecer requisitos de privacidade para prestadores e provedores de serviço | Manual, Desabilitado | 1.1.0 |
Registrar divulgações de PII para terceiros | CMA_0422 – Registrar divulgações de PII para terceiros | Manual, Desabilitado | 1.1.0 |
Treinar pessoal sobre o compartilhamento de PII e suas consequências | CMA_C1871 – Treinar pessoal sobre o compartilhamento de PII e suas consequências | Manual, Desabilitado | 1.1.0 |
Divulgação autorizada do registro de informações pessoais
ID: SOC 2 Tipo 2 P6.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Manter contabilidade precisa das divulgações de informações | CMA_C1818 – Manter contabilidade precisa das divulgações de informações | Manual, Desabilitado | 1.1.0 |
Divulgação não autorizada do registro de informações pessoais
ID: SOC 2 Tipo 2 P6.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Manter contabilidade precisa das divulgações de informações | CMA_C1818 – Manter contabilidade precisa das divulgações de informações | Manual, Desabilitado | 1.1.0 |
Contratos de terceiros
ID: SOC 2 Tipo 2 P6.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir as tarefas dos processadores | CMA_0127 – Definir as tarefas dos processadores | Manual, Desabilitado | 1.1.0 |
Notificação de divulgação não autorizada de terceiros
ID: SOC 2 Tipo 2 P6.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
Segurança da informação e proteção de dados pessoais | CMA_0332 – Segurança da informação e proteção de dados pessoais | Manual, Desabilitado | 1.1.0 |
Notificação de incidentes de privacidade
ID: SOC 2 Tipo 2 P6.6 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Segurança da informação e proteção de dados pessoais | CMA_0332 – Segurança da informação e proteção de dados pessoais | Manual, Desabilitado | 1.1.0 |
Contabilidade da divulgação de informações pessoais
ID: SOC 2 Tipo 2 P6.7 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar métodos de entrega de avisos de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
Manter contabilidade precisa das divulgações de informações | CMA_C1818 – Manter contabilidade precisa das divulgações de informações | Manual, Desabilitado | 1.1.0 |
Disponibilizar a contabilidade de divulgações mediante solicitação | CMA_C1820 – Disponibilizar a contabilidade de divulgações mediante solicitação | Manual, Desabilitado | 1.1.0 |
Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desabilitado | 1.1.0 |
Qualidade das informações pessoais
ID: SOC 2 Tipo 2 P7.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Confirmar a qualidade e a integridade das PII | CMA_C1821 – Confirmar a qualidade e a integridade das PII | Manual, Desabilitado | 1.1.0 |
Emitir diretrizes para garantir a qualidade e a integridade dos dados | CMA_C1824 – Emitir diretrizes para garantir a qualidade e a integridade dos dados | Manual, Desabilitado | 1.1.0 |
Verifique PII imprecisas ou desatualizadas | CMA_C1823 - Verifique PII imprecisas ou desatualizadas | Manual, Desabilitado | 1.1.0 |
Gerenciamento de reclamações de privacidade e gerenciamento de conformidade
ID: SOC 2 Tipo 2 P8.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Documentar e implementar procedimentos de reclamação de privacidade | CMA_0189 - Documentar e implementar procedimentos de reclamação de privacidade | Manual, Desabilitado | 1.1.0 |
Avaliar e revisar regularmente as propriedades de dados pessoais | CMA_C1832 – Avaliar e revisar regularmente o acervo das PII | Manual, Desabilitado | 1.1.0 |
Segurança da informação e proteção de dados pessoais | CMA_0332 – Segurança da informação e proteção de dados pessoais | Manual, Desabilitado | 1.1.0 |
Responder a reclamações, preocupações ou perguntas em tempo hábil | CMA_C1853 – Responder a reclamações, preocupações ou perguntas em tempo hábil | Manual, Desabilitado | 1.1.0 |
Treinar pessoal sobre o compartilhamento de PII e suas consequências | CMA_C1871 – Treinar pessoal sobre o compartilhamento de PII e suas consequências | Manual, Desabilitado | 1.1.0 |
Critérios adicionais para integridade de processamento
Definições de processamento de dados
ID: SOC 2 Tipo 2 PI1.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar métodos de entrega de avisos de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desabilitado | 1.1.0 |
Entradas do sistema sobre integridade e precisão
ID: SOC 2 Tipo 2 PI1.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Executar validação de entrada de informações | CMA_C1723 – Executar validação de entrada de informações | Manual, Desabilitado | 1.1.0 |
Processamento do sistema
ID: SOC 2 Tipo 2 PI1.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Gerar mensagens de erro | CMA_C1724 – Gerar mensagens de erro | Manual, Desabilitado | 1.1.0 |
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Executar validação de entrada de informações | CMA_C1723 – Executar validação de entrada de informações | Manual, Desabilitado | 1.1.0 |
Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
A saída do sistema é completa, precisa e oportuna
ID: SOC 2 Tipo 2 PI1.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
Armazene entradas e saídas de forma completa, precisa e oportuna
ID: SOC 2 Tipo 2 PI1.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Backup do Azure deve ser habilitado para máquinas virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desabilitado | 3.0.0 |
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Estabelecer políticas e procedimentos de backup | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desabilitado | 1.1.0 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. | Audit, desabilitado | 1.0.1 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
Armazenar informações de backup separadamente | CMA_C1293 - Armazenar informações de backup separadamente | Manual, Desabilitado | 1.1.0 |
Próximas etapas
Artigos adicionais sobre o Azure Policy:
- Visão geral da Conformidade Regulatória.
- Consulte a estrutura de definição da iniciativa.
- Veja outros exemplos em Amostras do Azure Policy.
- Revisar Compreendendo os efeitos da política.
- Saiba como corrigir recursos fora de conformidade.