Padrões de conformidade regulatória no Microsoft Defender for Cloud
O Microsoft Defender for Cloud simplifica o processo de conformidade regulamentar, ajudando-o a identificar problemas que o impedem de cumprir uma norma de conformidade específica ou de obter uma certificação de conformidade.
Os padrões do setor, os padrões regulatórios e as referências são representados no Defender for Cloud como padrões de segurança e aparecem no painel de conformidade regulamentar.
Controlos de conformidade
Cada padrão de segurança consiste em vários controles de conformidade, que são grupos lógicos de recomendações de segurança relacionadas.
O Defender for Cloud avalia continuamente o ambiente no escopo em relação a quaisquer controles de conformidade que possam ser avaliados automaticamente. Com base em avaliações, mostra os recursos como estando ou não em conformidade com os controlos.
Nota
É importante observar que, se os padrões tiverem controles de conformidade que não podem ser avaliados automaticamente, o Defender for Cloud não poderá decidir se um recurso está em conformidade com o controle. Nesse caso, o controle será exibido como acinzentado. Além disso, se uma assinatura não tiver recursos relevantes para um padrão específico, o padrão não será mostrado no painel de conformidade regulatória, mesmo que tenha sido atribuído.
Ver padrões de conformidade
O painel de conformidade regulatória fornece uma visão geral interativa do estado de conformidade.
No painel você pode:
- Obtenha um resumo dos controles de padrões que foram aprovados.
- Obtenha um resumo das normas que têm a menor taxa de aprovação de recursos.
- Analise os padrões aplicados dentro do escopo selecionado.
- Revisar avaliações para controles de conformidade dentro de cada norma aplicada.
- Obtenha um relatório resumido para um padrão específico.
- Gerencie as políticas de conformidade para ver os padrões atribuídos a um escopo específico.
- Executar uma consulta para criar um relatório de conformidade personalizado
- Crie uma "pasta de trabalho de conformidade ao longo do tempo" para acompanhar o status de conformidade ao longo do tempo.
- Faça o download dos relatórios de auditoria.
- Analise as ofertas de conformidade para auditorias da Microsoft e de terceiros.
Detalhes da norma de conformidade
Para cada padrão de conformidade, você pode visualizar:
- Âmbito de aplicação da norma.
- Cada norma é dividida em grupos de controlos e subcontrolos.
- Ao aplicar um padrão a um escopo, você pode ver um resumo da avaliação de conformidade para recursos dentro do escopo, para cada controle padrão.
- O status das avaliações reflete a conformidade com a norma. Existem três Estados:
- Um círculo verde indica que os recursos no escopo são compatíveis com o controle.
- Um círculo vermelho indica que os recursos não são compatíveis com o controle.
- Os controles indisponíveis são aqueles que não podem ser avaliados automaticamente e, portanto, o Defender for Cloud não consegue acessar se os recursos estão em conformidade.
Você pode detalhar os controles para obter informações sobre recursos que foram aprovados/reprovados nas avaliações e para as etapas de correção.
Padrões de conformidade padrão
Por padrão, quando você ativa o Defender for Cloud, os seguintes padrões são ativados:
- Para o Azure: Microsoft Cloud Security Benchmark (MCSB).
- Para AWS: Microsoft Cloud Security Benchmark (MCSB) e padrão AWS Foundational Security Best Practices.
- Para GCP: Microsoft Cloud Security Benchmark (MCSB) e GCP Default.
Normas de conformidade disponíveis
Os seguintes padrões estão disponíveis no Defender for Cloud:
| Normas | Nuvens |
|---|---|
| UE 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| Regulamento Geral sobre a Proteção de Dados (RGPD) 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS v4.0.1 | Azure, AWS, GCP |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| Controles CIS v8.1 | Azure, AWS, GCP |
| CIS GCP Fundações v3.0 | GCP |
| Benchmark da Fundação CIS Google Cloud Platform | GCP |
| CIS Azure Kubernetes Service (AKS) Benchmark | Azure |
| CIS Amazon Elastic Kubernetes Service (EKS) Benchmark | AWS |
| CIS Google Kubernetes Engine (GKE) Benchmark | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| Quadro de Controlos de Segurança do Cliente SWIFT 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| Certificação do Modelo de Maturidade em Cibersegurança (CMMC) Nível 2 v2.0 | Azure, AWS, GCP |
| AWS Well Architected Framework 2024 | AWS |
| Canadá Federal PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| Matriz de controles de nuvem CSA v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| Política de Segurança dos Serviços de Informação da Justiça Penal v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Lei Geral de Proteção de Dados (LGPD) 2018 | Azure, AWS, GCP |
| NZISM v3.7 | Azure, AWS, GCP |
| Lei Sarbanes Oxley 2022 (SOX) | Azure, AWS, GCP |
| Estrutura de Garantia Cibernética NCSC (CAF) v3.2 | Azure, AWS, GCP |
| Governo australiano protegido pelo ISM | Azure |
| FedRAMP 'H' & 'M' | Azure |
| HIPAA | Azure |
| RMIT Malásia | Azure |
| SOC 2 | Azure, GCP |
| Espanhol ENS | Azure |
| Lei de Privacidade do Consumidor da Califórnia (CCPA) | AWS, GCP |
| OFICIAL do Reino Unido e NHS do Reino Unido | Azure |
| Melhores práticas de segurança da AWS Foundational | AWS |
| Perfil CRI | AWS, GCP |
| NIST SP 800-172 | AWS, GCP |