Partilhar via


Detalhes da iniciativa interna de conformidade regulatória CIS Microsoft Azure Foundations Benchmark 1.1.0

O artigo a seguir detalha como a definição de iniciativa interna de Conformidade Regulatória da Política do Azure mapeia para domínios e controles de conformidade no CIS Microsoft Azure Foundations Benchmark 1.1.0. Para obter mais informações sobre esse padrão de conformidade, consulte CIS Microsoft Azure Foundations Benchmark 1.1.0. Para compreender a Propriedade, reveja o tipo de política e a Responsabilidade partilhada na nuvem.

Os mapeamentos a seguir são para os controles CIS Microsoft Azure Foundations Benchmark 1.1.0 . Muitos dos controles são implementados com uma definição de iniciativa de Política do Azure. Para rever a definição completa da iniciativa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione a definição de iniciativa interna de Conformidade Regulatória do CIS Microsoft Azure Foundations Benchmark v1.1.0 .

Importante

Cada controle abaixo está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle, no entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias definições de política, o que não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre domínios de conformidade, controles e definições de Política do Azure para esse padrão de conformidade podem mudar ao longo do tempo. Para visualizar o histórico de alterações, consulte o Histórico de confirmação do GitHub.

1 Gestão de Identidades e Acessos

Verifique se a autenticação multifator está habilitada para todos os usuários privilegiados

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.1 Propriedade: compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. AuditIfNotExists, desativado 1.0.0
Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. AuditIfNotExists, desativado 1.0.0
Adotar mecanismos de autenticação biométrica CMA_0005 - Adotar mecanismos de autenticação biométrica Manual, Desativado 1.1.0

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.10 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0

Certifique-se de que 'Os utilizadores podem registar aplicações' está definido como 'Não'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.11 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0

Verifique se 'As permissões de usuário convidado são limitadas' está definido como 'Sim'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.12 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Projetar um modelo de controle de acesso CMA_0129 - Projetar um modelo de controle de acesso Manual, Desativado 1.1.0
Empregar acesso com privilégios mínimos CMA_0212 - Empregar acesso com privilégios mínimos Manual, Desativado 1.1.0
Impor acesso lógico CMA_0245 - Impor acesso lógico Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0
Exigir aprovação para a criação de conta CMA_0431 - Requer aprovação para a criação de conta Manual, Desativado 1.1.0
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desativado 1.1.0

Certifique-se de que "Os membros podem convidar" está definido como "Não"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.13 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Projetar um modelo de controle de acesso CMA_0129 - Projetar um modelo de controle de acesso Manual, Desativado 1.1.0
Empregar acesso com privilégios mínimos CMA_0212 - Empregar acesso com privilégios mínimos Manual, Desativado 1.1.0
Impor acesso lógico CMA_0245 - Impor acesso lógico Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0
Exigir aprovação para a criação de conta CMA_0431 - Requer aprovação para a criação de conta Manual, Desativado 1.1.0
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desativado 1.1.0

Certifique-se de que 'Os hóspedes podem convidar' está definido como 'Não'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.14 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Projetar um modelo de controle de acesso CMA_0129 - Projetar um modelo de controle de acesso Manual, Desativado 1.1.0
Empregar acesso com privilégios mínimos CMA_0212 - Empregar acesso com privilégios mínimos Manual, Desativado 1.1.0
Impor acesso lógico CMA_0245 - Impor acesso lógico Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0
Exigir aprovação para a criação de conta CMA_0431 - Requer aprovação para a criação de conta Manual, Desativado 1.1.0
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desativado 1.1.0

Verifique se 'Restringir acesso ao portal de administração do Azure AD' está definido como 'Sim'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.15 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Impor acesso lógico CMA_0245 - Impor acesso lógico Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 - Estabelecer e documentar processos de controlo de alterações Manual, Desativado 1.1.0
Exigir aprovação para a criação de conta CMA_0431 - Requer aprovação para a criação de conta Manual, Desativado 1.1.0
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desativado 1.1.0

Verifique se 'Gerenciamento de grupo de autoatendimento habilitado' está definido como 'Não'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.16 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 - Estabelecer e documentar processos de controlo de alterações Manual, Desativado 1.1.0

Certifique-se de que 'Os utilizadores podem criar grupos de segurança' está definido como 'Não'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.17 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 - Estabelecer e documentar processos de controlo de alterações Manual, Desativado 1.1.0

Verifique se 'Usuários que podem gerenciar grupos de segurança' está definido como 'Nenhum'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.18 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 - Estabelecer e documentar processos de controlo de alterações Manual, Desativado 1.1.0

Certifique-se de que 'Os utilizadores podem criar grupos do Office 365' está definido como 'Não'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.19 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 - Estabelecer e documentar processos de controlo de alterações Manual, Desativado 1.1.0

Verifique se a autenticação multifator está habilitada para todos os usuários sem privilégios

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. AuditIfNotExists, desativado 1.0.0
Adotar mecanismos de autenticação biométrica CMA_0005 - Adotar mecanismos de autenticação biométrica Manual, Desativado 1.1.0

Verifique se 'Usuários que podem gerenciar grupos do Office 365' está definido como 'Nenhum'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.20 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 - Estabelecer e documentar processos de controlo de alterações Manual, Desativado 1.1.0

Certifique-se de que 'Exigir autenticação multifator para unir dispositivos' está definido como 'Sim'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.22 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Adotar mecanismos de autenticação biométrica CMA_0005 - Adotar mecanismos de autenticação biométrica Manual, Desativado 1.1.0
Autorizar acesso remoto CMA_0024 - Autorizar acesso remoto Manual, Desativado 1.1.0
Formação em mobilidade documental CMA_0191 - Formação em mobilidade documental Manual, Desativado 1.1.0
Documentar diretrizes de acesso remoto CMA_0196 - Documentar diretrizes de acesso remoto Manual, Desativado 1.1.0
Identificar e autenticar dispositivos de rede CMA_0296 - Identificar e autenticar dispositivos de rede Manual, Desativado 1.1.0
Implementar controles para proteger locais de trabalho alternativos CMA_0315 - Implementar controles para proteger locais de trabalho alternativos Manual, Desativado 1.1.0
Fornecer treinamento de privacidade CMA_0415 - Fornecer treinamento de privacidade Manual, Desativado 1.1.0
Satisfazer os requisitos de qualidade do token CMA_0487 - Satisfazer os requisitos de qualidade do token Manual, Desativado 1.1.0

Certifique-se de que nenhuma função de proprietário de assinatura personalizada seja criada

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.23 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Projetar um modelo de controle de acesso CMA_0129 - Projetar um modelo de controle de acesso Manual, Desativado 1.1.0
Empregar acesso com privilégios mínimos CMA_0212 - Empregar acesso com privilégios mínimos Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 - Estabelecer e documentar processos de controlo de alterações Manual, Desativado 1.1.0

Certifique-se de que não há usuários convidados

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar o status da conta de usuário CMA_0020 - Auditar o status da conta de usuário Manual, Desativado 1.1.0
Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. AuditIfNotExists, desativado 1.0.0
Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. AuditIfNotExists, desativado 1.0.0
Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. AuditIfNotExists, desativado 1.0.0
Reatribuir ou remover privilégios de usuário conforme necessário CMA_C1040 - Reatribuir ou remover privilégios de usuário conforme necessário Manual, Desativado 1.1.0
Revisar logs de provisionamento de conta CMA_0460 - Revisar logs de provisionamento de conta Manual, Desativado 1.1.0
Rever contas de utilizador CMA_0480 - Rever contas de utilizador Manual, Desativado 1.1.0
Rever os privilégios de utilizador CMA_C1039 - Rever os privilégios do utilizador Manual, Desativado 1.1.0

Certifique-se de que "Permitir que os usuários se lembrem da autenticação multifator em dispositivos em que confiam" é "Desativado"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Adotar mecanismos de autenticação biométrica CMA_0005 - Adotar mecanismos de autenticação biométrica Manual, Desativado 1.1.0
Identificar e autenticar dispositivos de rede CMA_0296 - Identificar e autenticar dispositivos de rede Manual, Desativado 1.1.0
Satisfazer os requisitos de qualidade do token CMA_0487 - Satisfazer os requisitos de qualidade do token Manual, Desativado 1.1.0

Certifique-se de que 'Número de dias antes que os usuários sejam solicitados a confirmar novamente suas informações de autenticação' não esteja definido como '0'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.6 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Automatize o gerenciamento de contas CMA_0026 - Automatize o gerenciamento de contas Manual, Desativado 1.1.0
Gerenciar contas de sistema e de administrador CMA_0368 - Gerenciar contas de sistema e de administrador Manual, Desativado 1.1.0
Monitore o acesso em toda a organização CMA_0376 - Monitorar o acesso em toda a organização Manual, Desativado 1.1.0
Notificar quando a conta não for necessária CMA_0383 - Notificar quando a conta não for necessária Manual, Desativado 1.1.0

Certifique-se de que "Notificar os usuários sobre redefinições de senha?" está definido como 'Sim'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.7 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Automatize o gerenciamento de contas CMA_0026 - Automatize o gerenciamento de contas Manual, Desativado 1.1.0
Implementar treinamento para proteger autenticadores CMA_0329 - Implementar treinamento para proteger autenticadores Manual, Desativado 1.1.0
Gerenciar contas de sistema e de administrador CMA_0368 - Gerenciar contas de sistema e de administrador Manual, Desativado 1.1.0
Monitore o acesso em toda a organização CMA_0376 - Monitorar o acesso em toda a organização Manual, Desativado 1.1.0
Notificar quando a conta não for necessária CMA_0383 - Notificar quando a conta não for necessária Manual, Desativado 1.1.0

Certifique-se de que "Notificar todos os administradores quando outros administradores redefinirem sua senha?" está definido como 'Sim'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.8 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Funções privilegiadas de auditoria CMA_0019 - Funções privilegiadas de auditoria Manual, Desativado 1.1.0
Automatize o gerenciamento de contas CMA_0026 - Automatize o gerenciamento de contas Manual, Desativado 1.1.0
Implementar treinamento para proteger autenticadores CMA_0329 - Implementar treinamento para proteger autenticadores Manual, Desativado 1.1.0
Gerenciar contas de sistema e de administrador CMA_0368 - Gerenciar contas de sistema e de administrador Manual, Desativado 1.1.0
Monitore o acesso em toda a organização CMA_0376 - Monitorar o acesso em toda a organização Manual, Desativado 1.1.0
Monitorar atribuição de função privilegiada CMA_0378 - Monitorar atribuição de função privilegiada Manual, Desativado 1.1.0
Notificar quando a conta não for necessária CMA_0383 - Notificar quando a conta não for necessária Manual, Desativado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 - Restringir o acesso a contas privilegiadas Manual, Desativado 1.1.0
Revogar funções privilegiadas conforme apropriado CMA_0483 - Revogar funções privilegiadas conforme apropriado Manual, Desativado 1.1.0
Usar o gerenciamento privilegiado de identidades CMA_0533 - Use o gerenciamento privilegiado de identidades Manual, Desativado 1.1.0

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.9 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0

2 Centro de Segurança

Certifique-se de que o nível de preço padrão está selecionado

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Defender for App Service deve estar habilitado O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. AuditIfNotExists, desativado 1.0.3
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for Key Vault deve ser habilitado O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. AuditIfNotExists, desativado 1.0.3
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desativado 1.0.3
Azure Defender para SQL servidores em máquinas deve ser habilitado O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB Manual, Desativado 1.1.0
Detetar serviços de rede que não foram autorizados ou aprovados CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados Manual, Desativado 1.1.0
Gerenciar gateways CMA_0363 - Gerenciar gateways Manual, Desativado 1.1.0
Microsoft Defender for Containers deve estar habilitado O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. AuditIfNotExists, desativado 1.0.0
O Microsoft Defender for Storage deve estar habilitado O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. AuditIfNotExists, desativado 1.0.0
Realizar uma análise de tendência sobre ameaças CMA_0389 - Realizar uma análise de tendência sobre ameaças Manual, Desativado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 - Executar verificações de vulnerabilidade Manual, Desativado 1.1.0
Revise o relatório de deteções de malware semanalmente CMA_0475 - Revise o relatório de deteções de malware semanalmente Manual, Desativado 1.1.0
Revise o status de proteção contra ameaças semanalmente CMA_0479 - Revise o status de proteção contra ameaças semanalmente Manual, Desativado 1.1.0
Atualizar definições de antivírus CMA_0517 - Atualizar definições de antivírus Manual, Desativado 1.1.0

Verifique se a configuração de política padrão ASC "Monitor Vulnerability Assessment" não está "Desabilitada"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.10 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. AuditIfNotExists, desativado 3.0.0

Verifique se a configuração de política padrão ASC "Monitorar criptografia de Blob de armazenamento" não está "Desabilitada"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.11 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer um procedimento de gestão de fugas de dados CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Proteja informações especiais CMA_0409 - Proteja informações especiais Manual, Desativado 1.1.0

Verifique se a configuração de política padrão ASC "Monitorar acesso à rede JIT" não está "Desabilitada"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.12 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Detetar serviços de rede que não foram autorizados ou aprovados CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados Manual, Desativado 1.1.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações AuditIfNotExists, desativado 3.0.0

Verifique se a configuração de política padrão ASC "Monitor SQL Auditing" não está "Desabilitada"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.14 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Funções privilegiadas de auditoria CMA_0019 - Funções privilegiadas de auditoria Manual, Desativado 1.1.0
Auditar o status da conta de usuário CMA_0020 - Auditar o status da conta de usuário Manual, Desativado 1.1.0
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desativado 2.0.0
Determinar eventos auditáveis CMA_0137 - Determinar eventos auditáveis Manual, Desativado 1.1.0
Rever os dados de auditoria CMA_0466 - Rever os dados de auditoria Manual, Desativado 1.1.0

Verifique se a configuração de política padrão ASC "Monitorar criptografia SQL" não está "Desabilitada"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.15 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer um procedimento de gestão de fugas de dados CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Proteja informações especiais CMA_0409 - Proteja informações especiais Manual, Desativado 1.1.0
A criptografia de dados transparente em bancos de dados SQL deve ser habilitada A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desativado 2.0.0

Certifique-se de que 'E-mails de contato de segurança' está definido

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.16 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. AuditIfNotExists, desativado 1.0.1

Certifique-se de que 'Enviar notificação por e-mail para alertas de alta gravidade' está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.18 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
A notificação por e-mail para alertas de alta gravidade deve ser ativada Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. AuditIfNotExists, desativado 1.2.0

Certifique-se de que 'Enviar e-mail também para proprietários de assinaturas' está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.19 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. AuditIfNotExists, desativado 2.1.0

Certifique-se de que 'Provisionamento automático do agente de monitoramento' esteja definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Operações de segurança de documentos CMA_0202 - Operações de segurança documental Manual, Desativado 1.1.0
Ligue sensores para solução de segurança de endpoint CMA_0514 - Ligue sensores para solução de segurança de endpoint Manual, Desativado 1.1.0

Verifique se a configuração de política padrão ASC "Monitorar atualizações do sistema" não está "Desabilitada"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0

Verifique se a configuração de política padrão ASC "Monitorar vulnerabilidades do sistema operacional" não está "Desabilitada"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Executar verificações de vulnerabilidade CMA_0393 - Executar verificações de vulnerabilidade Manual, Desativado 1.1.0
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0
As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desativado 3.1.0

Verifique se a configuração de política padrão ASC "Monitor Endpoint Protection" não está "Desabilitada"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.5 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB Manual, Desativado 1.1.0
Gerenciar gateways CMA_0363 - Gerenciar gateways Manual, Desativado 1.1.0
Realizar uma análise de tendência sobre ameaças CMA_0389 - Realizar uma análise de tendência sobre ameaças Manual, Desativado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 - Executar verificações de vulnerabilidade Manual, Desativado 1.1.0
Revise o relatório de deteções de malware semanalmente CMA_0475 - Revise o relatório de deteções de malware semanalmente Manual, Desativado 1.1.0
Revise o status de proteção contra ameaças semanalmente CMA_0479 - Revise o status de proteção contra ameaças semanalmente Manual, Desativado 1.1.0
Atualizar definições de antivírus CMA_0517 - Atualizar definições de antivírus Manual, Desativado 1.1.0

Verifique se a configuração de política padrão ASC "Monitorar criptografia de disco" não está "Desabilitada"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.6 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer um procedimento de gestão de fugas de dados CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Proteja informações especiais CMA_0409 - Proteja informações especiais Manual, Desativado 1.1.0

Verifique se a configuração de política padrão ASC "Monitorar grupos de segurança de rede" não está "Desabilitada"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.7 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar o fluxo de informações CMA_0079 - Controlar o fluxo de informações Manual, Desativado 1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desativado 1.1.0

Verifique se a configuração de política padrão ASC "Monitor Web Application Firewall" não está "Desabilitada"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.8 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar o fluxo de informações CMA_0079 - Controlar o fluxo de informações Manual, Desativado 1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desativado 1.1.0

Verifique se a configuração de política padrão ASC "Ativar monitoramento de firewall de próxima geração (NGFW)" não está "Desabilitada"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.9 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar o fluxo de informações CMA_0079 - Controlar o fluxo de informações Manual, Desativado 1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desativado 1.1.0
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desativado 3.0.0
As sub-redes devem estar associadas a um Grupo de Segurança de Rede Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. AuditIfNotExists, desativado 3.0.0

3 Contas de armazenamento

Certifique-se de que 'Transferência segura necessária' está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Configurar estações de trabalho para verificar certificados digitais CMA_0073 - Configurar estações de trabalho para verificar certificados digitais Manual, Desativado 1.1.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Proteja senhas com criptografia CMA_0408 - Proteja senhas com criptografia Manual, Desativado 1.1.0
A transferência segura para contas de armazenamento deve ser ativada Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão Auditoria, Negar, Desativado 2.0.0

Certifique-se de que as chaves de acesso da conta de armazenamento sejam regeneradas periodicamente

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Definir um processo de gerenciamento de chaves físicas CMA_0115 - Definir um processo de gestão de chaves físicas Manual, Desativado 1.1.0
Definir cryptographic use CMA_0120 - Definir uso criptográfico Manual, Desativado 1.1.0
Definir requisitos organizacionais para gerenciamento de chaves criptográficas CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas Manual, Desativado 1.1.0
Determinar requisitos de asserção CMA_0136 - Determinar os requisitos de asserção Manual, Desativado 1.1.0
Emitir certificados de chave pública CMA_0347 - Emitir certificados de chave pública Manual, Desativado 1.1.0
Gerenciar chaves criptográficas simétricas CMA_0367 - Gerenciar chaves criptográficas simétricas Manual, Desativado 1.1.0
Restringir o acesso a chaves privadas CMA_0445 - Restringir o acesso a chaves privadas Manual, Desativado 1.1.0

Verifique se o log de armazenamento está habilitado para o serviço de fila para solicitações de leitura, gravação e exclusão

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Funções privilegiadas de auditoria CMA_0019 - Funções privilegiadas de auditoria Manual, Desativado 1.1.0
Auditar o status da conta de usuário CMA_0020 - Auditar o status da conta de usuário Manual, Desativado 1.1.0
Configurar recursos de Auditoria do Azure CMA_C1108 - Configurar os recursos de Auditoria do Azure Manual, Desativado 1.1.1
Determinar eventos auditáveis CMA_0137 - Determinar eventos auditáveis Manual, Desativado 1.1.0
Rever os dados de auditoria CMA_0466 - Rever os dados de auditoria Manual, Desativado 1.1.0

Certifique-se de que os tokens de assinatura de acesso compartilhado expirem dentro de uma hora

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Desativar autenticadores após a rescisão CMA_0169 - Desativar autenticadores após a rescisão Manual, Desativado 1.1.0
Revogar funções privilegiadas conforme apropriado CMA_0483 - Revogar funções privilegiadas conforme apropriado Manual, Desativado 1.1.0
Encerrar sessão de usuário automaticamente CMA_C1054 - Encerrar sessão de usuário automaticamente Manual, Desativado 1.1.0

Certifique-se de que os tokens de assinatura de acesso compartilhado sejam permitidos somente por https

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.5 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Configurar estações de trabalho para verificar certificados digitais CMA_0073 - Configurar estações de trabalho para verificar certificados digitais Manual, Desativado 1.1.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Proteja senhas com criptografia CMA_0408 - Proteja senhas com criptografia Manual, Desativado 1.1.0

Verifique se 'Nível de acesso público' está definido como Privado para contêineres de blob

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.6 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O acesso público à conta de armazenamento não deve ser permitido O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. auditoria, auditoria, negar, negar, desativado, desativado 3.1.0-Pré-visualização
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Impor acesso lógico CMA_0245 - Impor acesso lógico Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0
Exigir aprovação para a criação de conta CMA_0431 - Requer aprovação para a criação de conta Manual, Desativado 1.1.0
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desativado 1.1.0

Verifique se a regra de acesso à rede padrão para Contas de Armazenamento está definida como negar

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.7 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
As contas de armazenamento devem restringir o acesso à rede O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública Auditoria, Negar, Desativado 1.1.1

Verifique se os 'Serviços Confiáveis da Microsoft' estão habilitados para acesso à Conta de Armazenamento

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.8 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar o fluxo de informações CMA_0079 - Controlar o fluxo de informações Manual, Desativado 1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desativado 1.1.0
Estabeleça padrões de configuração de firewall e roteador CMA_0272 - Estabelecer padrões de configuração de firewall e roteador Manual, Desativado 1.1.0
Estabelecer segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão Manual, Desativado 1.1.0
Identificar e gerir os intercâmbios de informações a jusante CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante Manual, Desativado 1.1.0
As contas de armazenamento devem permitir o acesso a partir de serviços confiáveis da Microsoft Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes às quais não é possível conceder acesso através de regras de rede. Para ajudar esse tipo de serviço a funcionar como pretendido, permita que o conjunto de serviços confiáveis da Microsoft ignore as regras de rede. Esses serviços usarão autenticação forte para acessar a conta de armazenamento. Auditoria, Negar, Desativado 1.0.0

4 Serviços de Base de Dados

Certifique-se de que 'Auditoria' está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Funções privilegiadas de auditoria CMA_0019 - Funções privilegiadas de auditoria Manual, Desativado 1.1.0
Auditar o status da conta de usuário CMA_0020 - Auditar o status da conta de usuário Manual, Desativado 1.1.0
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desativado 2.0.0
Determinar eventos auditáveis CMA_0137 - Determinar eventos auditáveis Manual, Desativado 1.1.0
Rever os dados de auditoria CMA_0466 - Rever os dados de auditoria Manual, Desativado 1.1.0

Verifique se o protetor TDE do servidor SQL está criptografado com BYOK (Use sua própria chave)

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.10 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer um procedimento de gestão de fugas de dados CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Proteja informações especiais CMA_0409 - Proteja informações especiais Manual, Desativado 1.1.0
As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. Auditoria, Negar, Desativado 2.0.0
Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. Auditoria, Negar, Desativado 2.0.1

Verifique se 'Enforce SSL connection' está definido como 'ENABLED' para o MySQL Database Server

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.11 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Configurar estações de trabalho para verificar certificados digitais CMA_0073 - Configurar estações de trabalho para verificar certificados digitais Manual, Desativado 1.1.0
Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. Auditoria, Desativado 1.0.1
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Proteja senhas com criptografia CMA_0408 - Proteja senhas com criptografia Manual, Desativado 1.1.0

Verifique se o parâmetro do servidor 'log_checkpoints' está definido como 'ON' para o Servidor de Banco de Dados PostgreSQL

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.12 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Funções privilegiadas de auditoria CMA_0019 - Funções privilegiadas de auditoria Manual, Desativado 1.1.0
Auditar o status da conta de usuário CMA_0020 - Auditar o status da conta de usuário Manual, Desativado 1.1.0
Determinar eventos auditáveis CMA_0137 - Determinar eventos auditáveis Manual, Desativado 1.1.0
Os pontos de verificação de log devem ser habilitados para servidores de banco de dados PostgreSQL Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_checkpoints configuração habilitada. AuditIfNotExists, desativado 1.0.0
Rever os dados de auditoria CMA_0466 - Rever os dados de auditoria Manual, Desativado 1.1.0

Verifique se 'Enforce SSL connection' está definido como 'ENABLED' para o PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.13 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Configurar estações de trabalho para verificar certificados digitais CMA_0073 - Configurar estações de trabalho para verificar certificados digitais Manual, Desativado 1.1.0
Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. Auditoria, Desativado 1.0.1
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Proteja senhas com criptografia CMA_0408 - Proteja senhas com criptografia Manual, Desativado 1.1.0

Verifique se o parâmetro do servidor 'log_connections' está definido como 'ON' para o PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.14 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Funções privilegiadas de auditoria CMA_0019 - Funções privilegiadas de auditoria Manual, Desativado 1.1.0
Auditar o status da conta de usuário CMA_0020 - Auditar o status da conta de usuário Manual, Desativado 1.1.0
Determinar eventos auditáveis CMA_0137 - Determinar eventos auditáveis Manual, Desativado 1.1.0
As conexões de log devem ser habilitadas para servidores de banco de dados PostgreSQL Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_connections configuração habilitada. AuditIfNotExists, desativado 1.0.0
Rever os dados de auditoria CMA_0466 - Rever os dados de auditoria Manual, Desativado 1.1.0

Verifique se o parâmetro do servidor 'log_disconnections' está definido como 'ON' para o Servidor de Banco de Dados PostgreSQL

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.15 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Funções privilegiadas de auditoria CMA_0019 - Funções privilegiadas de auditoria Manual, Desativado 1.1.0
Auditar o status da conta de usuário CMA_0020 - Auditar o status da conta de usuário Manual, Desativado 1.1.0
Determinar eventos auditáveis CMA_0137 - Determinar eventos auditáveis Manual, Desativado 1.1.0
As desconexões devem ser registradas para servidores de banco de dados PostgreSQL. Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_disconnections habilitado. AuditIfNotExists, desativado 1.0.0
Rever os dados de auditoria CMA_0466 - Rever os dados de auditoria Manual, Desativado 1.1.0

Verifique se o parâmetro do servidor 'log_duration' está definido como 'ON' para o PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.16 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Funções privilegiadas de auditoria CMA_0019 - Funções privilegiadas de auditoria Manual, Desativado 1.1.0
Auditar o status da conta de usuário CMA_0020 - Auditar o status da conta de usuário Manual, Desativado 1.1.0
Determinar eventos auditáveis CMA_0137 - Determinar eventos auditáveis Manual, Desativado 1.1.0
Rever os dados de auditoria CMA_0466 - Rever os dados de auditoria Manual, Desativado 1.1.0

Verifique se o parâmetro do servidor 'connection_throttling' está definido como 'ON' para o Servidor de Banco de Dados PostgreSQL

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.17 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Funções privilegiadas de auditoria CMA_0019 - Funções privilegiadas de auditoria Manual, Desativado 1.1.0
Auditar o status da conta de usuário CMA_0020 - Auditar o status da conta de usuário Manual, Desativado 1.1.0
A limitação de conexão deve ser habilitada para servidores de banco de dados PostgreSQL Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem a limitação de conexão habilitada. Essa configuração permite a limitação temporária de conexão por IP para muitas falhas de login de senha inválidas. AuditIfNotExists, desativado 1.0.0
Determinar eventos auditáveis CMA_0137 - Determinar eventos auditáveis Manual, Desativado 1.1.0
Rever os dados de auditoria CMA_0466 - Rever os dados de auditoria Manual, Desativado 1.1.0

Verifique se o parâmetro do servidor 'log_retention_days' é superior a 3 dias para o PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.18 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Aderir aos períodos de retenção definidos CMA_0004 - Respeitar os períodos de retenção definidos Manual, Desativado 1.1.0
Governar e monitorar as atividades de processamento de auditoria CMA_0289 - Governar e monitorar as atividades de processamento de auditoria Manual, Desativado 1.1.0
Manter políticas e procedimentos de segurança CMA_0454 - Reter políticas e procedimentos de segurança Manual, Desativado 1.1.0
Reter dados de usuários encerrados CMA_0455 - Reter dados de usuários encerrados Manual, Desativado 1.1.0

Verifique se o administrador do Ative Directory do Azure está configurado

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.19 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Automatize o gerenciamento de contas CMA_0026 - Automatize o gerenciamento de contas Manual, Desativado 1.1.0
Gerenciar contas de sistema e de administrador CMA_0368 - Gerenciar contas de sistema e de administrador Manual, Desativado 1.1.0
Monitore o acesso em toda a organização CMA_0376 - Monitorar o acesso em toda a organização Manual, Desativado 1.1.0
Notificar quando a conta não for necessária CMA_0383 - Notificar quando a conta não for necessária Manual, Desativado 1.1.0

Verifique se 'AuditActionGroups' na política de 'auditoria' para um servidor SQL está definido corretamente

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Funções privilegiadas de auditoria CMA_0019 - Funções privilegiadas de auditoria Manual, Desativado 1.1.0
Auditar o status da conta de usuário CMA_0020 - Auditar o status da conta de usuário Manual, Desativado 1.1.0
Determinar eventos auditáveis CMA_0137 - Determinar eventos auditáveis Manual, Desativado 1.1.0
Rever os dados de auditoria CMA_0466 - Rever os dados de auditoria Manual, Desativado 1.1.0
As configurações de Auditoria SQL devem ter Grupos de Ações configurados para capturar atividades críticas A propriedade AuditActionsAndGroups deve conter pelo menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP para garantir um log de auditoria completo AuditIfNotExists, desativado 1.0.0

Garantir que a retenção de "auditoria" seja "superior a 90 dias"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Aderir aos períodos de retenção definidos CMA_0004 - Respeitar os períodos de retenção definidos Manual, Desativado 1.1.0
Governar e monitorar as atividades de processamento de auditoria CMA_0289 - Governar e monitorar as atividades de processamento de auditoria Manual, Desativado 1.1.0
Manter políticas e procedimentos de segurança CMA_0454 - Reter políticas e procedimentos de segurança Manual, Desativado 1.1.0
Reter dados de usuários encerrados CMA_0455 - Reter dados de usuários encerrados Manual, Desativado 1.1.0
Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou superior Para fins de investigação de incidentes, recomendamos definir a retenção de dados para a auditoria do SQL Server para o destino da conta de armazenamento para pelo menos 90 dias. Confirme se você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Isso às vezes é necessário para a conformidade com as normas regulamentares. AuditIfNotExists, desativado 3.0.0

Verifique se 'Segurança avançada de dados' em um servidor SQL está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos Audite servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desativado 2.0.1
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas Audite cada instância gerenciada SQL sem segurança de dados avançada. AuditIfNotExists, desativado 1.0.2
Realizar uma análise de tendência sobre ameaças CMA_0389 - Realizar uma análise de tendência sobre ameaças Manual, Desativado 1.1.0

Certifique-se de que 'Tipos de deteção de ameaças' esteja definido como 'Todos'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.5 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Realizar uma análise de tendência sobre ameaças CMA_0389 - Realizar uma análise de tendência sobre ameaças Manual, Desativado 1.1.0

Certifique-se de que 'Enviar alertas para' está definido

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.6 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Pessoal de alerta sobre derrames de informação CMA_0007 - Pessoal de alerta sobre derrames de informação Manual, Desativado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização Manual, Desativado 1.1.0

Certifique-se de que 'Serviço de e-mail e coadministradores' está 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.7 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Pessoal de alerta sobre derrames de informação CMA_0007 - Pessoal de alerta sobre derrames de informação Manual, Desativado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização Manual, Desativado 1.1.0

Verifique se o administrador do Ative Directory do Azure está configurado

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.8 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft AuditIfNotExists, desativado 1.0.0
Automatize o gerenciamento de contas CMA_0026 - Automatize o gerenciamento de contas Manual, Desativado 1.1.0
Gerenciar contas de sistema e de administrador CMA_0368 - Gerenciar contas de sistema e de administrador Manual, Desativado 1.1.0
Monitore o acesso em toda a organização CMA_0376 - Monitorar o acesso em toda a organização Manual, Desativado 1.1.0
Notificar quando a conta não for necessária CMA_0383 - Notificar quando a conta não for necessária Manual, Desativado 1.1.0

Verifique se 'Criptografia de dados' está definido como 'Ativado' em um Banco de Dados SQL

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.9 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer um procedimento de gestão de fugas de dados CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Proteja informações especiais CMA_0409 - Proteja informações especiais Manual, Desativado 1.1.0
A criptografia de dados transparente em bancos de dados SQL deve ser habilitada A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desativado 2.0.0

5 Registo e monitorização

Verifique se existe um Perfil de Log

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Aderir aos períodos de retenção definidos CMA_0004 - Respeitar os períodos de retenção definidos Manual, Desativado 1.1.0
As assinaturas do Azure devem ter um perfil de log para o Log de Atividades Esta política garante se um perfil de log está habilitado para exportar logs de atividades. Ele audita se não há nenhum perfil de log criado para exportar os logs para uma conta de armazenamento ou para um hub de eventos. AuditIfNotExists, desativado 1.0.0
Governar e monitorar as atividades de processamento de auditoria CMA_0289 - Governar e monitorar as atividades de processamento de auditoria Manual, Desativado 1.1.0
Manter políticas e procedimentos de segurança CMA_0454 - Reter políticas e procedimentos de segurança Manual, Desativado 1.1.0
Reter dados de usuários encerrados CMA_0455 - Reter dados de usuários encerrados Manual, Desativado 1.1.0

Verifique se a retenção do log de atividades está definida para 365 dias ou mais

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
O registo de atividades deve ser conservado durante, pelo menos, um ano Esta política audita o registo de atividades se a retenção não estiver definida para 365 dias ou para sempre (dias de retenção definidos como 0). AuditIfNotExists, desativado 1.0.0
Aderir aos períodos de retenção definidos CMA_0004 - Respeitar os períodos de retenção definidos Manual, Desativado 1.1.0
Manter políticas e procedimentos de segurança CMA_0454 - Reter políticas e procedimentos de segurança Manual, Desativado 1.1.0
Reter dados de usuários encerrados CMA_0455 - Reter dados de usuários encerrados Manual, Desativado 1.1.0

Garantir que o perfil de auditoria capture todas as atividades

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Aderir aos períodos de retenção definidos CMA_0004 - Respeitar os períodos de retenção definidos Manual, Desativado 1.1.0
O perfil de log do Azure Monitor deve coletar logs para as categorias 'gravar', 'excluir' e 'ação' Essa política garante que um perfil de log colete logs para as categorias 'gravar', 'excluir' e 'agir' AuditIfNotExists, desativado 1.0.0
Governar e monitorar as atividades de processamento de auditoria CMA_0289 - Governar e monitorar as atividades de processamento de auditoria Manual, Desativado 1.1.0
Manter políticas e procedimentos de segurança CMA_0454 - Reter políticas e procedimentos de segurança Manual, Desativado 1.1.0
Reter dados de usuários encerrados CMA_0455 - Reter dados de usuários encerrados Manual, Desativado 1.1.0

Certifique-se de que o perfil de log capture logs de atividades para todas as regiões, incluindo globais

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Aderir aos períodos de retenção definidos CMA_0004 - Respeitar os períodos de retenção definidos Manual, Desativado 1.1.0
O Azure Monitor deve coletar logs de atividades de todas as regiões Esta política audita o perfil de log do Azure Monitor que não exporta atividades de todas as regiões com suporte do Azure, incluindo globais. AuditIfNotExists, desativado 2.0.0
Governar e monitorar as atividades de processamento de auditoria CMA_0289 - Governar e monitorar as atividades de processamento de auditoria Manual, Desativado 1.1.0
Manter políticas e procedimentos de segurança CMA_0454 - Reter políticas e procedimentos de segurança Manual, Desativado 1.1.0
Reter dados de usuários encerrados CMA_0455 - Reter dados de usuários encerrados Manual, Desativado 1.1.0

Verifique se o contêiner de armazenamento que armazena os logs de atividades não está acessível publicamente

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.5 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: O acesso público à conta de armazenamento não deve ser permitido O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. auditoria, auditoria, negar, negar, desativado, desativado 3.1.0-Pré-visualização
Habilitar autorização dupla ou conjunta CMA_0226 - Permitir autorização dupla ou conjunta Manual, Desativado 1.1.0
Proteger as informações de auditoria CMA_0401 - Proteger as informações de auditoria Manual, Desativado 1.1.0

Verifique se a conta de armazenamento que contém o contêiner com registros de atividades está criptografada com BYOK (Use Your Own Key)

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.6 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Habilitar autorização dupla ou conjunta CMA_0226 - Permitir autorização dupla ou conjunta Manual, Desativado 1.1.0
Manter a integridade do sistema de auditoria CMA_C1133 - Manter a integridade do sistema de auditoria Manual, Desativado 1.1.0
Proteger as informações de auditoria CMA_0401 - Proteger as informações de auditoria Manual, Desativado 1.1.0
A conta de armazenamento que contém o contêiner com registros de atividades deve ser criptografada com BYOK Esta política audita se a conta de armazenamento que contém o contêiner com logs de atividade está criptografada com BYOK. A política só funciona se a conta de armazenamento estiver na mesma assinatura que os logs de atividade por design. Mais informações sobre a criptografia do Armazenamento do Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. AuditIfNotExists, desativado 1.0.0

Verifique se o registro em log do Azure KeyVault está 'Habilitado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.7 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Funções privilegiadas de auditoria CMA_0019 - Funções privilegiadas de auditoria Manual, Desativado 1.1.0
Auditar o status da conta de usuário CMA_0020 - Auditar o status da conta de usuário Manual, Desativado 1.1.0
Determinar eventos auditáveis CMA_0137 - Determinar eventos auditáveis Manual, Desativado 1.1.0
Os logs de recursos no HSM gerenciado do Azure Key Vault devem ser habilitados Para recriar trilhas de atividade para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida, convém auditar habilitando logs de recursos em HSMs gerenciados. Por favor, siga as instruções aqui: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, desativado 1.1.0
Os logs de recursos no Cofre da Chave devem ser habilitados Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desativado 5.0.0
Rever os dados de auditoria CMA_0466 - Rever os dados de auditoria Manual, Desativado 1.1.0

Verifique se o Alerta de Registro de Atividades existe para Criar Atribuição de Política

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Pessoal de alerta sobre derrames de informação CMA_0007 - Pessoal de alerta sobre derrames de informação Manual, Desativado 1.1.0
Deve existir um alerta de registo de atividades para operações de Política específicas Esta política audita operações de política específicas sem alertas de registro de atividades configurados. AuditIfNotExists, desativado 3.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização Manual, Desativado 1.1.0

Verifique se o Alerta de Log de Atividades existe para Criar ou Atualizar Grupo de Segurança de Rede

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Pessoal de alerta sobre derrames de informação CMA_0007 - Pessoal de alerta sobre derrames de informação Manual, Desativado 1.1.0
Deve existir um alerta de registo de atividades para operações administrativas específicas Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados. AuditIfNotExists, desativado 1.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização Manual, Desativado 1.1.0

Verifique se o Alerta de Registro de Atividades existe para Excluir Grupo de Segurança de Rede

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Pessoal de alerta sobre derrames de informação CMA_0007 - Pessoal de alerta sobre derrames de informação Manual, Desativado 1.1.0
Deve existir um alerta de registo de atividades para operações administrativas específicas Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados. AuditIfNotExists, desativado 1.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização Manual, Desativado 1.1.0

Verifique se o Alerta de Log de Atividades existe para Criar ou Atualizar Regra de Grupo de Segurança de Rede

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Pessoal de alerta sobre derrames de informação CMA_0007 - Pessoal de alerta sobre derrames de informação Manual, Desativado 1.1.0
Deve existir um alerta de registo de atividades para operações administrativas específicas Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados. AuditIfNotExists, desativado 1.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização Manual, Desativado 1.1.0

Verifique se existe um alerta de log de atividades para a Regra Excluir Grupo de Segurança de Rede

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.5 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Pessoal de alerta sobre derrames de informação CMA_0007 - Pessoal de alerta sobre derrames de informação Manual, Desativado 1.1.0
Deve existir um alerta de registo de atividades para operações administrativas específicas Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados. AuditIfNotExists, desativado 1.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização Manual, Desativado 1.1.0

Verifique se o Alerta de Registro de Atividades existe para Criar ou Atualizar Solução de Segurança

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.6 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Pessoal de alerta sobre derrames de informação CMA_0007 - Pessoal de alerta sobre derrames de informação Manual, Desativado 1.1.0
Deve existir um alerta de registo de atividades para operações de segurança específicas Esta política audita operações de segurança específicas sem alertas de registro de atividades configurados. AuditIfNotExists, desativado 1.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização Manual, Desativado 1.1.0

Verifique se o Alerta de Registro de Atividades existe para Excluir Solução de Segurança

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.7 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Pessoal de alerta sobre derrames de informação CMA_0007 - Pessoal de alerta sobre derrames de informação Manual, Desativado 1.1.0
Deve existir um alerta de registo de atividades para operações de segurança específicas Esta política audita operações de segurança específicas sem alertas de registro de atividades configurados. AuditIfNotExists, desativado 1.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização Manual, Desativado 1.1.0

Verifique se existe um alerta de log de atividades para criar, atualizar ou excluir a regra de firewall do SQL Server

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.8 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Pessoal de alerta sobre derrames de informação CMA_0007 - Pessoal de alerta sobre derrames de informação Manual, Desativado 1.1.0
Deve existir um alerta de registo de atividades para operações administrativas específicas Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados. AuditIfNotExists, desativado 1.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização Manual, Desativado 1.1.0

Verifique se o Alerta de Registro de Atividades existe para Atualizar Política de Segurança

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.9 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Pessoal de alerta sobre derrames de informação CMA_0007 - Pessoal de alerta sobre derrames de informação Manual, Desativado 1.1.0
Deve existir um alerta de registo de atividades para operações de segurança específicas Esta política audita operações de segurança específicas sem alertas de registro de atividades configurados. AuditIfNotExists, desativado 1.0.0
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização Manual, Desativado 1.1.0

6 Ligação em rede

Certifique-se de que nenhum Banco de Dados SQL permita a entrada 0.0.0.0/0 (QUALQUER IP)

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 6.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar o fluxo de informações CMA_0079 - Controlar o fluxo de informações Manual, Desativado 1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desativado 1.1.0

Verifique se o período de retenção do Log de Fluxo do Grupo de Segurança de Rede é "superior a 90 dias"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 6.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Aderir aos períodos de retenção definidos CMA_0004 - Respeitar os períodos de retenção definidos Manual, Desativado 1.1.0
Manter políticas e procedimentos de segurança CMA_0454 - Reter políticas e procedimentos de segurança Manual, Desativado 1.1.0
Reter dados de usuários encerrados CMA_0455 - Reter dados de usuários encerrados Manual, Desativado 1.1.0

Verifique se o Inspetor de Rede está 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 6.5 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Inspetor de Rede deve estar ativado O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. AuditIfNotExists, desativado 3.0.0
Verificar funções de segurança CMA_C1708 - Verificar funções de segurança Manual, Desativado 1.1.0

7 Máquinas Virtuais

Certifique-se de que o 'disco do SO' está encriptado

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer um procedimento de gestão de fugas de dados CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Proteja informações especiais CMA_0409 - Proteja informações especiais Manual, Desativado 1.1.0

Certifique-se de que os 'Discos de dados' estão encriptados

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer um procedimento de gestão de fugas de dados CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Proteja informações especiais CMA_0409 - Proteja informações especiais Manual, Desativado 1.1.0

Certifique-se de que os 'Discos não anexados' estão encriptados

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer um procedimento de gestão de fugas de dados CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Proteja informações especiais CMA_0409 - Proteja informações especiais Manual, Desativado 1.1.0

Certifique-se de que apenas as extensões aprovadas estão instaladas

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Somente extensões de VM aprovadas devem ser instaladas Esta política rege as extensões de máquina virtual que não são aprovadas. Auditoria, Negar, Desativado 1.0.0

Certifique-se de que os patches mais recentes do sistema operacional para todas as máquinas virtuais sejam aplicados

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.5 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0

Verifique se a proteção de ponto de extremidade para todas as máquinas virtuais está instalada

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.6 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB Manual, Desativado 1.1.0
Operações de segurança de documentos CMA_0202 - Operações de segurança documental Manual, Desativado 1.1.0
Gerenciar gateways CMA_0363 - Gerenciar gateways Manual, Desativado 1.1.0
Realizar uma análise de tendência sobre ameaças CMA_0389 - Realizar uma análise de tendência sobre ameaças Manual, Desativado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 - Executar verificações de vulnerabilidade Manual, Desativado 1.1.0
Revise o relatório de deteções de malware semanalmente CMA_0475 - Revise o relatório de deteções de malware semanalmente Manual, Desativado 1.1.0
Revise o status de proteção contra ameaças semanalmente CMA_0479 - Revise o status de proteção contra ameaças semanalmente Manual, Desativado 1.1.0
Ligue sensores para solução de segurança de endpoint CMA_0514 - Ligue sensores para solução de segurança de endpoint Manual, Desativado 1.1.0
Atualizar definições de antivírus CMA_0517 - Atualizar definições de antivírus Manual, Desativado 1.1.0
Verificar a integridade do software, firmware e informações CMA_0542 - Verificar a integridade do software, firmware e informação Manual, Desativado 1.1.0

8 Outras considerações de segurança

Certifique-se de que a data de validade está definida em todas as chaves

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Definir um processo de gerenciamento de chaves físicas CMA_0115 - Definir um processo de gestão de chaves físicas Manual, Desativado 1.1.0
Definir cryptographic use CMA_0120 - Definir uso criptográfico Manual, Desativado 1.1.0
Definir requisitos organizacionais para gerenciamento de chaves criptográficas CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas Manual, Desativado 1.1.0
Determinar requisitos de asserção CMA_0136 - Determinar os requisitos de asserção Manual, Desativado 1.1.0
Emitir certificados de chave pública CMA_0347 - Emitir certificados de chave pública Manual, Desativado 1.1.0
As chaves do Cofre da Chave devem ter uma data de expiração As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas. Auditoria, Negar, Desativado 1.0.2
Gerenciar chaves criptográficas simétricas CMA_0367 - Gerenciar chaves criptográficas simétricas Manual, Desativado 1.1.0
Restringir o acesso a chaves privadas CMA_0445 - Restringir o acesso a chaves privadas Manual, Desativado 1.1.0

Certifique-se de que a data de validade está definida em todos os segredos

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Definir um processo de gerenciamento de chaves físicas CMA_0115 - Definir um processo de gestão de chaves físicas Manual, Desativado 1.1.0
Definir cryptographic use CMA_0120 - Definir uso criptográfico Manual, Desativado 1.1.0
Definir requisitos organizacionais para gerenciamento de chaves criptográficas CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas Manual, Desativado 1.1.0
Determinar requisitos de asserção CMA_0136 - Determinar os requisitos de asserção Manual, Desativado 1.1.0
Emitir certificados de chave pública CMA_0347 - Emitir certificados de chave pública Manual, Desativado 1.1.0
Os segredos do Cofre de Chaves devem ter uma data de validade Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um atacante em potencial mais tempo para comprometê-los. É uma prática de segurança recomendada definir datas de validade em segredos. Auditoria, Negar, Desativado 1.0.2
Gerenciar chaves criptográficas simétricas CMA_0367 - Gerenciar chaves criptográficas simétricas Manual, Desativado 1.1.0
Restringir o acesso a chaves privadas CMA_0445 - Restringir o acesso a chaves privadas Manual, Desativado 1.1.0

Verifique se os Bloqueios de Recursos estão definidos para recursos de missão crítica do Azure

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer e documentar processos de controle de alterações CMA_0265 - Estabelecer e documentar processos de controlo de alterações Manual, Desativado 1.1.0

Verifique se o cofre de chaves é recuperável

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
O HSM gerenciado do Azure Key Vault deve ter a proteção contra limpeza habilitada A exclusão maliciosa de um HSM gerenciado do Azure Key Vault pode levar à perda permanente de dados. Um insider mal-intencionado em sua organização pode potencialmente excluir e limpar o Azure Key Vault Managed HSM. A proteção contra limpeza protege você contra ataques internos impondo um período de retenção obrigatório para o HSM gerenciado do Azure Key Vault excluído suavemente. Ninguém dentro da sua organização ou da Microsoft poderá limpar o HSM gerenciado do Azure Key Vault durante o período de retenção de exclusão suave. Auditoria, Negar, Desativado 1.0.0
Os cofres de chaves devem ter a proteção contra exclusão ativada A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra limpeza e a exclusão suave. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão suave habilitada por padrão. Auditoria, Negar, Desativado 2.1.0
Manter a disponibilidade das informações CMA_C1644 - Manter a disponibilidade da informação Manual, Desativado 1.1.0

Habilitar o controle de acesso baseado em função (RBAC) nos Serviços Kubernetes do Azure

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.5 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Impor acesso lógico CMA_0245 - Impor acesso lógico Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0
Exigir aprovação para a criação de conta CMA_0431 - Requer aprovação para a criação de conta Manual, Desativado 1.1.0
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desativado 1.1.0
O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. Auditoria, Desativado 1.0.4

9 AppService

Verifique se a Autenticação do Serviço de Aplicativo está definida no Serviço de Aplicativo do Azure

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.1 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Web ou autenticar aqueles que têm tokens antes de chegarem ao aplicativo Web. AuditIfNotExists, desativado 2.0.1
Autenticar no módulo criptográfico CMA_0021 - Autenticar no módulo criptográfico Manual, Desativado 1.1.0
Impor a exclusividade do usuário CMA_0250 - Reforçar a exclusividade do utilizador Manual, Desativado 1.1.0
Os aplicativos de função devem ter a autenticação habilitada A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Função ou autenticar aqueles que têm tokens antes de chegarem ao aplicativo Função. AuditIfNotExists, desativado 3.0.0
Suporte a credenciais de verificação pessoal emitidas por autoridades legais CMA_0507 - Apoiar credenciais de verificação pessoal emitidas por autoridades legais Manual, Desativado 1.1.0

Certifique-se de que 'Versão HTTP' é a mais recente, se usada para executar o aplicativo Web

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.10 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 4.0.0
Os aplicativos de função devem usar a 'Versão HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 4.0.0
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0

Garantir que o aplicativo Web redirecione todo o tráfego HTTP para HTTPS no Serviço de Aplicativo do Azure

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. Auditar, Desabilitar, Negar 4.0.0
Configurar estações de trabalho para verificar certificados digitais CMA_0073 - Configurar estações de trabalho para verificar certificados digitais Manual, Desativado 1.1.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Proteja senhas com criptografia CMA_0408 - Proteja senhas com criptografia Manual, Desativado 1.1.0

Verifique se o aplicativo Web está usando a versão mais recente da criptografia TLS

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.3 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 2.1.0
Configurar estações de trabalho para verificar certificados digitais CMA_0073 - Configurar estações de trabalho para verificar certificados digitais Manual, Desativado 1.1.0
Os aplicativos de função devem usar a versão TLS mais recente Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 2.1.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Proteja senhas com criptografia CMA_0408 - Proteja senhas com criptografia Manual, Desativado 1.1.0

Verifique se o aplicativo Web tem 'Certificados de cliente (certificados de cliente de entrada)' definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Preterido]: Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitados Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente clientes com certificados válidos poderão acessar o aplicativo. Esta política foi substituída por uma nova política com o mesmo nome porque Http 2.0 não suporta certificados de cliente. Auditoria, Desativado 3.1.0-preterido
Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. AuditIfNotExists, desativado 1.0.0
Autenticar no módulo criptográfico CMA_0021 - Autenticar no módulo criptográfico Manual, Desativado 1.1.0

Verifique se Registrar no Azure Ative Directory está habilitado no Serviço de Aplicativo

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.5 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada Usar uma identidade gerenciada para segurança de autenticação aprimorada AuditIfNotExists, desativado 3.0.0
Automatize o gerenciamento de contas CMA_0026 - Automatize o gerenciamento de contas Manual, Desativado 1.1.0
Os aplicativos de função devem usar identidade gerenciada Usar uma identidade gerenciada para segurança de autenticação aprimorada AuditIfNotExists, desativado 3.0.0
Gerenciar contas de sistema e de administrador CMA_0368 - Gerenciar contas de sistema e de administrador Manual, Desativado 1.1.0
Monitore o acesso em toda a organização CMA_0376 - Monitorar o acesso em toda a organização Manual, Desativado 1.1.0
Notificar quando a conta não for necessária CMA_0383 - Notificar quando a conta não for necessária Manual, Desativado 1.1.0

Certifique-se de que a versão '.Net Framework' é a mais recente, se usada como parte do aplicativo Web

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.6 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0

Certifique-se de que a 'versão PHP' é a mais recente, se usada para executar o aplicativo Web

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.7 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0

Certifique-se de que a 'versão Python' é a mais recente, se usada para executar o aplicativo Web

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.8 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0

Certifique-se de que a 'versão Java' é a mais recente, se usada para executar o aplicativo Web

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.9 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0

Próximos passos

Artigos adicionais sobre a Política do Azure: