Partilhar via


Detalhes da iniciativa integrada de Conformidade Regulatória PBMM Federal do Canadá

O artigo a seguir detalha como a definição de iniciativa interna de Conformidade Regulatória da Política do Azure mapeia para domínios e controles de conformidade no PBMM Federal do Canadá. Para obter mais informações sobre esse padrão de conformidade, consulte Canada Federal PBMM. Para compreender a Propriedade, reveja o tipo de política e a Responsabilidade partilhada na nuvem.

Os mapeamentos a seguir são para os controles PBMM federais do Canadá. Muitos dos controles são implementados com uma definição de iniciativa de Política do Azure. Para rever a definição completa da iniciativa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione a definição de iniciativa interna de Conformidade Regulatória do PBMM Federal do Canadá.

Importante

Cada controle abaixo está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle, no entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias definições de política, o que não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre domínios de conformidade, controles e definições de Política do Azure para esse padrão de conformidade podem mudar ao longo do tempo. Para visualizar o histórico de alterações, consulte o Histórico de confirmação do GitHub.

Controlo de Acesso

Gestão de Contas

Identificação: CCCS AC-2

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. AuditIfNotExists, desativado 1.0.0
Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. AuditIfNotExists, desativado 1.0.0
Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. AuditIfNotExists, desativado 1.0.0
Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. AuditIfNotExists, desativado 1.0.0
Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. AuditIfNotExists, desativado 1.0.0

Gestão de Contas | Esquemas baseados em funções

Identificação: CCCS AC-2(7)

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft AuditIfNotExists, desativado 1.0.0
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric Auditoria, Negar, Desativado 1.1.0

Aplicação do fluxo de informações

Identificação: CCCS AC-4

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. AuditIfNotExists, desativado 2.0.0

Separação de funções

Identificação: CCCS AC-5

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um máximo de 3 proprietários devem ser designados para a sua subscrição Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. AuditIfNotExists, desativado 3.0.0
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Auditar máquinas Windows sem qualquer um dos membros especificados no grupo Administradores Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local não contiver um ou mais membros listados no parâmetro de política. auditIfNotExists 2.0.0
Auditar máquinas Windows que tenham os membros especificados no grupo Administradores Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local contiver um ou mais dos membros listados no parâmetro de política. auditIfNotExists 2.0.0
Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Deve haver mais de um proprietário atribuído à sua assinatura É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. AuditIfNotExists, desativado 3.0.0

Privilégio mínimo

Identificação: CCCS AC-6

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um máximo de 3 proprietários devem ser designados para a sua subscrição Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. AuditIfNotExists, desativado 3.0.0
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Auditar máquinas Windows sem qualquer um dos membros especificados no grupo Administradores Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local não contiver um ou mais membros listados no parâmetro de política. auditIfNotExists 2.0.0
Auditar máquinas Windows que tenham os membros especificados no grupo Administradores Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se o grupo Administradores local contiver um ou mais dos membros listados no parâmetro de política. auditIfNotExists 2.0.0
Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Deve haver mais de um proprietário atribuído à sua assinatura É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. AuditIfNotExists, desativado 3.0.0

Acesso Remoto | Monitorização/Controlo Automatizado

Identificação: CCCS AC-17(1)

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. AuditIfNotExists, desativado 2.0.0
Auditar máquinas Linux que permitem conexões remotas de contas sem senhas Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que permitem conexões remotas de contas sem senhas AuditIfNotExists, desativado 3.1.0
Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. deployIfNotExists 3.1.0
Os aplicativos de função devem ter a depuração remota desativada A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. AuditIfNotExists, desativado 2.0.0
As contas de armazenamento devem restringir o acesso à rede O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública Auditoria, Negar, Desativado 1.1.1

Auditoria e Prestação de Contas

Conteúdo dos registos de auditoria

Identificação: CCCS AU-3

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. AuditIfNotExists, desativado 2.0.1-Pré-visualização
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. AuditIfNotExists, desativado 2.0.1
As máquinas virtuais devem ser conectadas a um espaço de trabalho especificado Relata máquinas virtuais como não compatíveis se elas não estiverem registrando no espaço de trabalho do Log Analytics especificado na atribuição de política/iniciativa. AuditIfNotExists, desativado 1.1.0

Resposta a falhas de processamento de auditoria

Identificação: CCCS AU-5

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Configuração de diagnóstico de auditoria para tipos de recursos selecionados Configuração de diagnóstico de auditoria para tipos de recursos selecionados. Certifique-se de selecionar apenas os tipos de recursos que suportam configurações de diagnóstico. AuditIfNotExists 2.0.1
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desativado 2.0.0
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos Audite servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desativado 2.0.1
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas Audite cada instância gerenciada SQL sem segurança de dados avançada. AuditIfNotExists, desativado 1.0.2

Geração de auditoria

Identificação: CCCS AU-12

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. AuditIfNotExists, desativado 2.0.1-Pré-visualização
Configuração de diagnóstico de auditoria para tipos de recursos selecionados Configuração de diagnóstico de auditoria para tipos de recursos selecionados. Certifique-se de selecionar apenas os tipos de recursos que suportam configurações de diagnóstico. AuditIfNotExists 2.0.1
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desativado 2.0.0
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos Audite servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desativado 2.0.1
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas Audite cada instância gerenciada SQL sem segurança de dados avançada. AuditIfNotExists, desativado 1.0.2
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. AuditIfNotExists, desativado 2.0.1
As máquinas virtuais devem ser conectadas a um espaço de trabalho especificado Relata máquinas virtuais como não compatíveis se elas não estiverem registrando no espaço de trabalho do Log Analytics especificado na atribuição de política/iniciativa. AuditIfNotExists, desativado 1.1.0

Planos de Contingência

Local de processamento alternativo

Identificação: CCCS CP-7

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar máquinas virtuais sem recuperação de desastres configurada Audite máquinas virtuais que não tenham a recuperação de desastres configurada. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. auditIfNotExists 1.0.0

Identificação e Autenticação

Identificação e Autenticação (Utilizadores Organizacionais) | Acesso de rede a contas privilegiadas

Identificação: CCCS IA-2(1)

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. AuditIfNotExists, desativado 1.0.0
Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. AuditIfNotExists, desativado 1.0.0

Gerenciamento de autenticador

Identificação: CCCS IA-5

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 AuditIfNotExists, desativado 3.1.0
Auditar máquinas Linux que têm contas sem senhas Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que têm contas sem senhas AuditIfNotExists, desativado 3.1.0
Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. deployIfNotExists 3.1.0

Gestão de Autenticadores | Autenticação baseada em senha

Identificação: CCCS IA-5(1)

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Auditar máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 AuditIfNotExists, desativado 2.1.0
Auditar máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias. O valor padrão para a idade máxima da senha é 70 dias AuditIfNotExists, desativado 2.1.0
Auditar máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias. O valor padrão para a idade mínima da senha é de 1 dia AuditIfNotExists, desativado 2.1.0
Auditar máquinas Windows que não têm a configuração de complexidade de senha habilitada Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a configuração de complexidade de senha habilitada AuditIfNotExists, desativado 2.0.0
Auditar máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres. O valor padrão para o comprimento mínimo da senha é de 14 caracteres AuditIfNotExists, desativado 2.1.0
Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0

Avaliação de Riscos

Análise de vulnerabilidades

Identificação: CCCS RA-5

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. AuditIfNotExists, desativado 3.0.0
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos Audite servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desativado 2.0.1
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas Audite cada instância gerenciada SQL sem segurança de dados avançada. AuditIfNotExists, desativado 1.0.2
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. AuditIfNotExists, desativado 4.1.0
As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desativado 3.1.0

Proteção de Sistemas e Comunicações

Proteção contra Negação de Serviço

Identificação: CCCS SC-5

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
A Proteção contra DDoS do Azure deve ser habilitada A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público. AuditIfNotExists, desativado 3.0.1

Proteção de Fronteiras

Identificação: CCCS SC-7

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. AuditIfNotExists, desativado 3.0.0
As contas de armazenamento devem restringir o acesso à rede O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública Auditoria, Negar, Desativado 1.1.1

Proteção de Fronteiras | Pontos de Acesso

Identificação: CCCS SC-7(3)

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações AuditIfNotExists, desativado 3.0.0

Proteção de Fronteiras | Serviços de Telecomunicações Externas

Identificação: CCCS SC-7(4)

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações AuditIfNotExists, desativado 3.0.0

Confidencialidade e Integridade da Transmissão | Proteção física criptográfica ou alternativa

Identificação: CCCS SC-8(1)

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. Auditar, Desabilitar, Negar 4.0.0
Os aplicativos de função só devem ser acessíveis por HTTPS O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. Auditar, Desabilitar, Negar 5.0.0
Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão Auditoria, Negar, Desativado 1.0.0
A transferência segura para contas de armazenamento deve ser ativada Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão Auditoria, Negar, Desativado 2.0.0
As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. AuditIfNotExists, desativado 4.1.1

Proteção de informações em repouso

Identificação: CCCS SC-28

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos Audite servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desativado 2.0.1
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas Audite cada instância gerenciada SQL sem segurança de dados avançada. AuditIfNotExists, desativado 1.0.2
A criptografia de dados transparente em bancos de dados SQL deve ser habilitada A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desativado 2.0.0

Integridade do Sistema e da Informação

Remediação de falhas

Identificação: CCCS SI-2

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. AuditIfNotExists, desativado 4.1.0
As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desativado 3.1.0

Monitorização do Sistema de Informação

Identificação: CCCS SI-4

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. AuditIfNotExists, desativado 2.0.1-Pré-visualização
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos Audite servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desativado 2.0.1
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas Audite cada instância gerenciada SQL sem segurança de dados avançada. AuditIfNotExists, desativado 1.0.2
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. AuditIfNotExists, desativado 2.0.1
As máquinas virtuais devem ser conectadas a um espaço de trabalho especificado Relata máquinas virtuais como não compatíveis se elas não estiverem registrando no espaço de trabalho do Log Analytics especificado na atribuição de política/iniciativa. AuditIfNotExists, desativado 1.1.0

Próximos passos

Artigos adicionais sobre a Política do Azure: