Detalhes da iniciativa integrada FedRAMP High Regulatory Compliance
O artigo a seguir detalha como a definição de iniciativa interna de Conformidade Regulatória da Política do Azure mapeia para domínios e controles de conformidade no FedRAMP High. Para obter mais informações sobre esse padrão de conformidade, consulte FedRAMP High. Para compreender a Propriedade, reveja o tipo de política e a Responsabilidade partilhada na nuvem.
Os mapeamentos a seguir são para os controles FedRAMP High . Muitos dos controles são implementados com uma definição de iniciativa de Política do Azure. Para rever a definição completa da iniciativa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione a definição de iniciativa interna FedRAMP High Regulatory Compliance.
Importante
Cada controle abaixo está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle, no entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias definições de política, o que não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre domínios de conformidade, controles e definições de Política do Azure para esse padrão de conformidade podem mudar ao longo do tempo. Para visualizar o histórico de alterações, consulte o Histórico de confirmação do GitHub.
Controlo de Acesso
Política e Procedimentos de Controle de Acesso
ID: FedRAMP Alta Propriedade AC-1: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
Gestão de Contas
ID: FedRAMP Alta Propriedade AC-2: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
Atribuir gerentes de conta | CMA_0015 - Atribuir gerentes de conta | Manual, Desativado | 1.1.0 |
Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
Definir e impor condições para contas compartilhadas e de grupo | CMA_0117 - Definir e impor condições para contas compartilhadas e de grupo | Manual, Desativado | 1.1.0 |
Definir tipos de conta do sistema de informação | CMA_0121 - Definir tipos de conta do sistema de informação | Manual, Desativado | 1.1.0 |
Privilégios de acesso a documentos | CMA_0186 - Privilégios de acesso a documentos | Manual, Desativado | 1.1.0 |
Estabelecer condições para a participação em funções | CMA_0269 - Estabelecer condições para a participação em funções | Manual, Desativado | 1.1.0 |
Os aplicativos de função devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Monitorar a atividade da conta | CMA_0377 - Monitore a atividade da conta | Manual, Desativado | 1.1.0 |
Notificar os gerentes de conta sobre contas controladas pelo cliente | CMA_C1009 - Notificar os gerentes de conta sobre contas controladas pelo cliente | Manual, Desativado | 1.1.0 |
Reemitir autenticadores para grupos e contas alterados | CMA_0426 - Reemitir autenticadores para grupos e contas alterados | Manual, Desativado | 1.1.0 |
Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
Rever contas de utilizador | CMA_0480 - Rever contas de utilizador | Manual, Desativado | 1.1.0 |
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente | Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
Gestão Automatizada de Contas do Sistema
ID: FedRAMP Alto AC-2 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente | Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
Desativar contas inativas
ID: FedRAMP Alto AC-2 (3) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desativar autenticadores após a rescisão | CMA_0169 - Desativar autenticadores após a rescisão | Manual, Desativado | 1.1.0 |
Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
Ações de auditoria automatizadas
ID: FedRAMP Alto AC-2 (4) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
Logout de inatividade
ID: FedRAMP Alto AC-2 (5) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir e aplicar a política de log de inatividade | CMA_C1017 - Definir e aplicar a política de log de inatividade | Manual, Desativado | 1.1.0 |
Esquemas baseados em funções
ID: FedRAMP Alto AC-2 (7) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
Monitorar a atividade da conta | CMA_0377 - Monitore a atividade da conta | Manual, Desativado | 1.1.0 |
Monitorar atribuição de função privilegiada | CMA_0378 - Monitorar atribuição de função privilegiada | Manual, Desativado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente | Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
Usar o gerenciamento privilegiado de identidades | CMA_0533 - Use o gerenciamento privilegiado de identidades | Manual, Desativado | 1.1.0 |
Restrições ao uso de grupos/contas compartilhados
ID: FedRAMP Alto AC-2 (9) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir e impor condições para contas compartilhadas e de grupo | CMA_0117 - Definir e impor condições para contas compartilhadas e de grupo | Manual, Desativado | 1.1.0 |
Encerramento de Credenciais de Conta Compartilhada / de Grupo
ID: FedRAMP Alto AC-2 (10) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Encerrar credenciais de conta controladas pelo cliente | CMA_C1022 - Encerrar credenciais de conta controladas pelo cliente | Manual, Desativado | 1.1.0 |
Condições de Utilização
ID: FedRAMP Alto AC-2 (11) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Impor o uso apropriado de todas as contas | CMA_C1023 - Impor o uso apropriado de todas as contas | Manual, Desativado | 1.1.0 |
Monitorização de Conta / Utilização Atípica
ID: FedRAMP Alto AC-2 (12) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 6.0.0-pré-visualização |
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
Monitorar a atividade da conta | CMA_0377 - Monitore a atividade da conta | Manual, Desativado | 1.1.0 |
Relatar comportamento atípico de contas de usuário | CMA_C1025 - Relatar comportamento atípico de contas de usuário | Manual, Desativado | 1.1.0 |
Desativar contas para indivíduos de alto risco
ID: FedRAMP Alto AC-2 (13) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desativar contas de utilizador que representem um risco significativo | CMA_C1026 - Desativar contas de usuário que representam um risco significativo | Manual, Desativado | 1.1.0 |
Imposição de acesso
ID: FedRAMP Alta Propriedade AC-3: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
Auditar máquinas Linux que têm contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que têm contas sem senhas | AuditIfNotExists, desativado | 3.1.0 |
A autenticação em máquinas Linux deve exigir chaves SSH | Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desativado | 3.2.0 |
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Os aplicativos de função devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente | Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
As contas de armazenamento devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
Aplicação do fluxo de informações
ID: FedRAMP Alta Propriedade AC-4: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Preterido]: os serviços de Pesquisa Cognitiva do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Desativado | 1.0.1-preterido |
[Preterido]: Serviços Cognitivos devem usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Auditoria, Desativado | 3.0.1-preterido |
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte | AuditIfNotExists, desativado | 3.0.0-Pré-visualização |
[Pré-visualização]: O acesso público à conta de armazenamento não deve ser permitido | O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. | auditoria, auditoria, negar, negar, desativado, desativado | 3.1.0-Pré-visualização |
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
Os serviços de gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que não seja da Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. | Auditoria, Negar, Desativado | 1.0.2 |
A configuração do aplicativo deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desativado | 1.0.2 |
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desativado | 2.0.0 |
Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. | Auditoria, Desativado | 2.0.1 |
Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede | Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço Azure AI. | Auditoria, Negar, Desativado | 3.2.0 |
A API do Azure para FHIR deve usar o link privado | A API do Azure para FHIR deve ter pelo menos uma conexão de ponto de extremidade privada aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privadas por meio de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. | Auditoria, Desativado | 1.0.0 |
O Cache Redis do Azure deve usar o link privado | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desativado | 1.0.0 |
O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado | Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
Os serviços da Pesquisa Cognitiva do Azure devem desativar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que seu serviço de Pesquisa Cognitiva do Azure não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do seu serviço de Pesquisa. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra IP definida com o filtro de rede virtual ativado são consideradas compatíveis. As contas que desativam o acesso público também são consideradas compatíveis. | Auditoria, Negar, Desativado | 2.1.0 |
O Azure Data Factory deve usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desativado | 1.0.0 |
Os domínios da Grade de Eventos do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
Os tópicos da Grade de Eventos do Azure devem usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
O Azure File Sync deve usar o link privado | A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desativado | 1.0.0 |
O Azure Key Vault deve ter firewall ativado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Auditoria, Negar, Desativado | 3.2.1 |
Os Cofres de Chaves do Azure devem usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parâmetros(«audit_effect»)] | 1.2.1 |
Os espaços de trabalho do Azure Machine Learning devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Auditoria, Desativado | 1.0.0 |
Os namespaces do Barramento de Serviço do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
O Serviço Azure SignalR deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Auditoria, Desativado | 1.0.0 |
Os espaços de trabalho do Azure Synapse devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Auditoria, Desativado | 1.0.1 |
O Serviço Azure Web PubSub deve usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu Serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Auditoria, Desativado | 1.0.0 |
Os registos de contentores não devem permitir o acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de terminais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registro não tiver regras de rede configuradas, ele aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Auditoria, Negar, Desativado | 2.0.0 |
Os registos de contentores devem utilizar a ligação privada | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Auditoria, Desativado | 1.0.1 |
Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
As contas do CosmosDB devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Auditoria, Desativado | 1.0.0 |
Os recursos de acesso ao disco devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desativado | 1.0.0 |
Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
Os namespaces do Hub de Eventos devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Auditoria, Desativado | 1.0.0 |
O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desativado | 1.1.0 |
Ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
Ponto de extremidade privado deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 1.1.0 |
O acesso à rede pública deve ser desativado para servidores MariaDB | Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.0 |
O acesso à rede pública deve ser desativado para servidores MySQL | Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MySQL só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.0 |
O acesso à rede pública deve ser desabilitado para servidores PostgreSQL | Desabilite a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para PostgreSQL só possa ser acessado a partir de um ponto de extremidade privado. Esta configuração desativa o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os inícios de sessão que correspondam a regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.1 |
As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Auditoria, Negar, Desativado | 1.0.1 |
As contas de armazenamento devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 2.0.0 |
As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
Os modelos do Construtor de Imagens de VM devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditar, Desabilitar, Negar | 1.1.0 |
Filtros de política de segurança
ID: FedRAMP Alto AC-4 (8) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controle de fluxo de informações usando filtros de política de segurança | CMA_C1029 - Controle do fluxo de informações usando filtros de política de segurança | Manual, Desativado | 1.1.0 |
Separação Física/Lógica dos Fluxos de Informação
ID: FedRAMP Alto AC-4 (21) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
Estabeleça padrões de configuração de firewall e roteador | CMA_0272 - Estabelecer padrões de configuração de firewall e roteador | Manual, Desativado | 1.1.0 |
Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desativado | 1.1.0 |
Identificar e gerir os intercâmbios de informações a jusante | CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante | Manual, Desativado | 1.1.0 |
Separação de funções
ID: FedRAMP Alta Propriedade AC-5: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir autorizações de acesso para suportar a separação de funções | CMA_0116 - Definir autorizações de acesso para suportar a separação de funções | Manual, Desativado | 1.1.0 |
Documento de separação de funções | CMA_0204 - Documento de separação de funções | Manual, Desativado | 1.1.0 |
Deveres distintos dos indivíduos | CMA_0492 - Deveres distintos dos indivíduos | Manual, Desativado | 1.1.0 |
Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
Privilégio mínimo
ID: FedRAMP High AC-6 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
Empregar acesso com privilégios mínimos | CMA_0212 - Empregar acesso com privilégios mínimos | Manual, Desativado | 1.1.0 |
Autorizar o acesso a funções de segurança
ID: FedRAMP Alto AC-6 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Contas privilegiadas
ID: FedRAMP Alto AC-6 (5) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
Revisão dos privilégios de usuário
ID: FedRAMP Alto AC-6 (7) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
Reatribuir ou remover privilégios de usuário conforme necessário | CMA_C1040 - Reatribuir ou remover privilégios de usuário conforme necessário | Manual, Desativado | 1.1.0 |
Rever os privilégios de utilizador | CMA_C1039 - Rever os privilégios do utilizador | Manual, Desativado | 1.1.0 |
Níveis de privilégio para execução de código
ID: FedRAMP Alto AC-6 (8) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Impor privilégios de execução de software | CMA_C1041 - Impor privilégios de execução de software | Manual, Desativado | 1.1.0 |
Auditando o uso de funções privilegiadas
ID: FedRAMP Alto AC-6 (9) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Conduzir uma análise de texto completo de comandos privilegiados registrados | CMA_0056 - Realizar uma análise de texto completo de comandos privilegiados registrados | Manual, Desativado | 1.1.0 |
Monitorar atribuição de função privilegiada | CMA_0378 - Monitorar atribuição de função privilegiada | Manual, Desativado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
Usar o gerenciamento privilegiado de identidades | CMA_0533 - Use o gerenciamento privilegiado de identidades | Manual, Desativado | 1.1.0 |
Tentativas de logon malsucedidas
ID: FedRAMP Alta AC-7 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Impor um limite de tentativas consecutivas de login com falha | CMA_C1044 - Impor um limite de tentativas de login falhadas consecutivas | Manual, Desativado | 1.1.0 |
Controle de sessão simultânea
ID: FedRAMP Alta AC-10 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir e impor o limite de sessões simultâneas | CMA_C1050 - Definir e impor o limite de sessões simultâneas | Manual, Desativado | 1.1.0 |
Encerramento da sessão
ID: FedRAMP Alta AC-12 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Encerrar sessão de usuário automaticamente | CMA_C1054 - Encerrar sessão de usuário automaticamente | Manual, Desativado | 1.1.0 |
Logouts iniciados pelo usuário / exibições de mensagens
ID: FedRAMP Alto AC-12 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Exibir uma mensagem de logout explícita | CMA_C1056 - Exibir uma mensagem de logout explícita | Manual, Desativado | 1.1.0 |
Fornecer o recurso de logout | CMA_C1055 - Fornecer a capacidade de logout | Manual, Desativado | 1.1.0 |
Ações permitidas sem identificação ou autenticação
ID: FedRAMP Alta AC-14 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Identificar ações permitidas sem autenticação | CMA_0295 - Identificar ações permitidas sem autenticação | Manual, Desativado | 1.1.0 |
Acesso Remoto
ID: FedRAMP High AC-17 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Preterido]: os serviços de Pesquisa Cognitiva do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Desativado | 1.0.1-preterido |
[Preterido]: Serviços Cognitivos devem usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Auditoria, Desativado | 3.0.1-preterido |
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
A configuração do aplicativo deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desativado | 1.0.2 |
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desativado | 3.1.0 |
Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
A API do Azure para FHIR deve usar o link privado | A API do Azure para FHIR deve ter pelo menos uma conexão de ponto de extremidade privada aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privadas por meio de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. | Auditoria, Desativado | 1.0.0 |
O Cache Redis do Azure deve usar o link privado | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desativado | 1.0.0 |
O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado | Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
O Azure Data Factory deve usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desativado | 1.0.0 |
Os domínios da Grade de Eventos do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
Os tópicos da Grade de Eventos do Azure devem usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
O Azure File Sync deve usar o link privado | A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desativado | 1.0.0 |
Os Cofres de Chaves do Azure devem usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parâmetros(«audit_effect»)] | 1.2.1 |
Os espaços de trabalho do Azure Machine Learning devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Auditoria, Desativado | 1.0.0 |
Os namespaces do Barramento de Serviço do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
O Serviço Azure SignalR deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Auditoria, Desativado | 1.0.0 |
Azure Spring Cloud deve usar injeção de rede | As instâncias do Azure Spring Cloud devem usar a injeção de rede virtual para as seguintes finalidades: 1. Isole o Azure Spring Cloud da Internet. 2. Habilite o Azure Spring Cloud para interagir com sistemas em data centers locais ou com o serviço do Azure em outras redes virtuais. 3. Capacite os clientes para controlar as comunicações de rede de entrada e saída para o Azure Spring Cloud. | Auditar, Desabilitar, Negar | 1.2.0 |
Os espaços de trabalho do Azure Synapse devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Auditoria, Desativado | 1.0.1 |
O Serviço Azure Web PubSub deve usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu Serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Auditoria, Desativado | 1.0.0 |
Os registos de contentores devem utilizar a ligação privada | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Auditoria, Desativado | 1.0.1 |
As contas do CosmosDB devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Auditoria, Desativado | 1.0.0 |
Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Os recursos de acesso ao disco devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desativado | 1.0.0 |
Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
Documentar diretrizes de acesso remoto | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
Os namespaces do Hub de Eventos devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
Os aplicativos de função devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Auditoria, Desativado | 1.0.0 |
As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desativado | 1.1.0 |
Ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
Ponto de extremidade privado deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
As contas de armazenamento devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 2.0.0 |
Os modelos do Construtor de Imagens de VM devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditar, Desabilitar, Negar | 1.1.0 |
Monitorização/Controlo Automatizado
ID: FedRAMP Alto AC-17 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Preterido]: os serviços de Pesquisa Cognitiva do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Desativado | 1.0.1-preterido |
[Preterido]: Serviços Cognitivos devem usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Auditoria, Desativado | 3.0.1-preterido |
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
A configuração do aplicativo deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desativado | 1.0.2 |
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desativado | 3.1.0 |
A API do Azure para FHIR deve usar o link privado | A API do Azure para FHIR deve ter pelo menos uma conexão de ponto de extremidade privada aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privadas por meio de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. | Auditoria, Desativado | 1.0.0 |
O Cache Redis do Azure deve usar o link privado | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desativado | 1.0.0 |
O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado | Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
O Azure Data Factory deve usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desativado | 1.0.0 |
Os domínios da Grade de Eventos do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
Os tópicos da Grade de Eventos do Azure devem usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
O Azure File Sync deve usar o link privado | A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desativado | 1.0.0 |
Os Cofres de Chaves do Azure devem usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parâmetros(«audit_effect»)] | 1.2.1 |
Os espaços de trabalho do Azure Machine Learning devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Auditoria, Desativado | 1.0.0 |
Os namespaces do Barramento de Serviço do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
O Serviço Azure SignalR deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Auditoria, Desativado | 1.0.0 |
Azure Spring Cloud deve usar injeção de rede | As instâncias do Azure Spring Cloud devem usar a injeção de rede virtual para as seguintes finalidades: 1. Isole o Azure Spring Cloud da Internet. 2. Habilite o Azure Spring Cloud para interagir com sistemas em data centers locais ou com o serviço do Azure em outras redes virtuais. 3. Capacite os clientes para controlar as comunicações de rede de entrada e saída para o Azure Spring Cloud. | Auditar, Desabilitar, Negar | 1.2.0 |
Os espaços de trabalho do Azure Synapse devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Auditoria, Desativado | 1.0.1 |
O Serviço Azure Web PubSub deve usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu Serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Auditoria, Desativado | 1.0.0 |
Os registos de contentores devem utilizar a ligação privada | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Auditoria, Desativado | 1.0.1 |
As contas do CosmosDB devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Auditoria, Desativado | 1.0.0 |
Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Os recursos de acesso ao disco devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desativado | 1.0.0 |
Os namespaces do Hub de Eventos devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
Os aplicativos de função devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Auditoria, Desativado | 1.0.0 |
Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desativado | 1.1.0 |
Ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
Ponto de extremidade privado deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
As contas de armazenamento devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 2.0.0 |
Os modelos do Construtor de Imagens de VM devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditar, Desabilitar, Negar | 1.1.0 |
Proteção de Confidencialidade / Integridade Usando Criptografia
ID: FedRAMP Alto AC-17 (2) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Notificar os usuários sobre o logon ou acesso ao sistema | CMA_0382 - Notificar os usuários sobre o logon ou acesso ao sistema | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Pontos de controle de acesso gerenciados
ID: FedRAMP Alto AC-17 (3) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Encaminhar o tráfego através de pontos de acesso de rede gerenciados | CMA_0484 - Encaminhe o tráfego através de pontos de acesso de rede gerenciados | Manual, Desativado | 1.1.0 |
Comandos Privilegiados / Acesso
ID: FedRAMP Alto AC-17 (4) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
Autorizar o acesso remoto a comandos privilegiados | CMA_C1064 - Autorizar o acesso remoto a comandos privilegiados | Manual, Desativado | 1.1.0 |
Documentar diretrizes de acesso remoto | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
Desconectar / Desativar Acesso
ID: FedRAMP Alto AC-17 (9) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer capacidade para desconectar ou desabilitar o acesso remoto | CMA_C1066 - Fornecer capacidade para desconectar ou desativar o acesso remoto | Manual, Desativado | 1.1.0 |
Acesso sem fio
ID: FedRAMP Alta Propriedade AC-18: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Documentar e implementar diretrizes de acesso sem fio | CMA_0190 - Documentar e implementar diretrizes de acesso sem fio | Manual, Desativado | 1.1.0 |
Proteja o acesso sem fio | CMA_0411 - Proteja o acesso sem fio | Manual, Desativado | 1.1.0 |
Autenticação e criptografia
ID: FedRAMP Alto AC-18 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Documentar e implementar diretrizes de acesso sem fio | CMA_0190 - Documentar e implementar diretrizes de acesso sem fio | Manual, Desativado | 1.1.0 |
Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
Proteja o acesso sem fio | CMA_0411 - Proteja o acesso sem fio | Manual, Desativado | 1.1.0 |
Controle de acesso para dispositivos móveis
ID: FedRAMP Alta AC-19 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir requisitos de dispositivos móveis | CMA_0122 - Definir requisitos de dispositivos móveis | Manual, Desativado | 1.1.0 |
Criptografia completa baseada em dispositivo / contêiner
ID: FedRAMP Alto AC-19 (5) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir requisitos de dispositivos móveis | CMA_0122 - Definir requisitos de dispositivos móveis | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Utilização de Sistemas de Informação Externos
ID: FedRAMP Alta Propriedade AC-20: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer termos e condições de acesso aos recursos | CMA_C1076 - Estabelecer termos e condições de acesso aos recursos | Manual, Desativado | 1.1.0 |
Estabelecer termos e condições para o processamento de recursos | CMA_C1077 - Estabelecer termos e condições para o processamento de recursos | Manual, Desativado | 1.1.0 |
Limites de Utilização Autorizada
ID: FedRAMP Alto AC-20 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Verificar os controlos de segurança dos sistemas de informação externos | CMA_0541 - Verificar os controlos de segurança dos sistemas de informação externos | Manual, Desativado | 1.1.0 |
Dispositivos de armazenamento portáteis
ID: FedRAMP Alto AC-20 (2) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Controlar a utilização de dispositivos de armazenamento portáteis | CMA_0083 - Controlar a utilização de dispositivos de armazenamento portáteis | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Partilha de informações
ID: FedRAMP Alta AC-21 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Automatize as decisões de compartilhamento de informações | CMA_0028 - Automatize as decisões de compartilhamento de informações | Manual, Desativado | 1.1.0 |
Facilitar a partilha de informações | CMA_0284 - Facilitar a partilha de informações | Manual, Desativado | 1.1.0 |
Conteúdo acessível ao público
ID: FedRAMP Alta AC-22 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Designar pessoal autorizado para publicar informações acessíveis ao público | CMA_C1083 - Designar pessoal autorizado para publicar informações acessíveis ao público | Manual, Desativado | 1.1.0 |
Rever o conteúdo antes de publicar informações acessíveis ao público | CMA_C1085 - Revise o conteúdo antes de publicar informações acessíveis publicamente | Manual, Desativado | 1.1.0 |
Rever conteúdo acessível ao público para obter informações não públicas | CMA_C1086 - Rever conteúdo acessível ao público para informação não pública | Manual, Desativado | 1.1.0 |
Formar o pessoal em matéria de divulgação de informações confidenciais | CMA_C1084 - Formar o pessoal em matéria de divulgação de informações não públicas | Manual, Desativado | 1.1.0 |
Sensibilização e Formação
Política e procedimentos de sensibilização e formação em matéria de segurança
ID: FedRAMP Alta Propriedade AT-1: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
Formação de Sensibilização para a Segurança
ID: FedRAMP Alta Propriedade AT-2: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer treinamento periódico de conscientização sobre segurança | CMA_C1091 - Fornecer treinamento periódico de conscientização sobre segurança | Manual, Desativado | 1.1.0 |
Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desativado | 1.1.0 |
Fornecer treinamento atualizado de conscientização sobre segurança | CMA_C1090 - Fornecer treinamento atualizado de conscientização sobre segurança | Manual, Desativado | 1.1.0 |
Ameaça interna
ID: FedRAMP Alto AT-2 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer treinamento de conscientização de segurança para ameaças internas | CMA_0417 - Fornecer treinamento de conscientização de segurança para ameaças internas | Manual, Desativado | 1.1.0 |
Treinamento de segurança baseado em funções
ID: FedRAMP Alta Propriedade AT-3: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer treinamento periódico de segurança baseado em funções | CMA_C1095 - Fornecer treinamento periódico de segurança baseado em funções | Manual, Desativado | 1.1.0 |
Fornecer treinamento de segurança baseado em funções | CMA_C1094 - Fornecer treinamento de segurança baseado em funções | Manual, Desativado | 1.1.0 |
Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 - Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desativado | 1.1.0 |
Exercícios Práticos
ID: FedRAMP Alto AT-3 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer exercícios práticos baseados em funções | CMA_C1096 - Fornecer exercícios práticos baseados em funções | Manual, Desativado | 1.1.0 |
Comunicações suspeitas e comportamento anômalo do sistema
ID: FedRAMP Alto AT-3 (4) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer treinamento baseado em funções sobre atividades suspeitas | CMA_C1097 - Fornecer treinamento baseado em funções sobre atividades suspeitas | Manual, Desativado | 1.1.0 |
Registos de Formação em Segurança
ID: FedRAMP Alta Propriedade AT-4: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
Monitore a conclusão do treinamento de segurança e privacidade | CMA_0379 - Monitorar a conclusão do treinamento de segurança e privacidade | Manual, Desativado | 1.1.0 |
Reter registros de treinamento | CMA_0456 - Reter registos de formação | Manual, Desativado | 1.1.0 |
Auditoria e prestação de contas
Política e Procedimentos de Auditoria e Prestação de Contas
ID: FedRAMP Alta AU-1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver políticas e procedimentos de auditoria e prestação de contas | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e prestação de contas | Manual, Desativado | 1.1.0 |
Desenvolver políticas e procedimentos de segurança da informação | CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação | Manual, Desativado | 1.1.0 |
Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
Eventos de Auditoria
ID: FedRAMP Alta Propriedade AU-2: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Avaliações e atualizações
ID: FedRAMP Alto AU-2 (3) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Rever e atualizar os eventos definidos em AU-02 | CMA_C1106 - Rever e atualizar os eventos definidos em AU-02 | Manual, Desativado | 1.1.0 |
Conteúdo dos registos de auditoria
ID: FedRAMP Alta AU-3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Informações adicionais de auditoria
ID: FedRAMP Alto AU-3 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Configurar recursos de Auditoria do Azure | CMA_C1108 - Configurar os recursos de Auditoria do Azure | Manual, Desativado | 1.1.1 |
Auditar a capacidade de armazenamento
ID: FedRAMP Alta Propriedade AU-4: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Governar e monitorar as atividades de processamento de auditoria | CMA_0289 - Governar e monitorar as atividades de processamento de auditoria | Manual, Desativado | 1.1.0 |
Resposta a falhas de processamento de auditoria
ID: FedRAMP Alta Propriedade AU-5: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Governar e monitorar as atividades de processamento de auditoria | CMA_0289 - Governar e monitorar as atividades de processamento de auditoria | Manual, Desativado | 1.1.0 |
Alertas em tempo real
ID: FedRAMP Alto AU-5 (2) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer alertas em tempo real para falhas de eventos de auditoria | CMA_C1114 - Fornecer alertas em tempo real para falhas de eventos de auditoria | Manual, Desativado | 1.1.0 |
Revisão, análise e relatórios de auditoria
ID: FedRAMP Alta Propriedade AU-6: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 6.0.0-pré-visualização |
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
Correlacione registros de auditoria | CMA_0087 - Correlacionar registos de auditoria | Manual, Desativado | 1.1.0 |
Estabelecer requisitos para revisão de auditoria e relatórios | CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios | Manual, Desativado | 1.1.0 |
Integre a revisão, análise e emissão de relatórios de auditoria | CMA_0339 - Integre a revisão, análise e relatórios de auditoria | Manual, Desativado | 1.1.0 |
Integre a segurança de aplicativos na nuvem com um siem | CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem | Manual, Desativado | 1.1.0 |
Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
Revise as atribuições do administrador semanalmente | CMA_0461 - Revisar as atribuições do administrador semanalmente | Manual, Desativado | 1.1.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Revise a visão geral do relatório de identidade na nuvem | CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem | Manual, Desativado | 1.1.0 |
Rever eventos de acesso controlado a pastas | CMA_0471 - Revisar eventos de acesso controlado a pastas | Manual, Desativado | 1.1.0 |
Rever a atividade de ficheiros e pastas | CMA_0473 - Revisar a atividade de arquivos e pastas | Manual, Desativado | 1.1.0 |
Revisar as alterações do grupo de funções semanalmente | CMA_0476 - Revisar as mudanças do grupo de funções semanalmente | Manual, Desativado | 1.1.0 |
Integração de Processos
ID: FedRAMP Alto AU-6 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Correlacione registros de auditoria | CMA_0087 - Correlacionar registos de auditoria | Manual, Desativado | 1.1.0 |
Estabelecer requisitos para revisão de auditoria e relatórios | CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios | Manual, Desativado | 1.1.0 |
Integre a revisão, análise e emissão de relatórios de auditoria | CMA_0339 - Integre a revisão, análise e relatórios de auditoria | Manual, Desativado | 1.1.0 |
Integre a segurança de aplicativos na nuvem com um siem | CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem | Manual, Desativado | 1.1.0 |
Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
Revise as atribuições do administrador semanalmente | CMA_0461 - Revisar as atribuições do administrador semanalmente | Manual, Desativado | 1.1.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Revise a visão geral do relatório de identidade na nuvem | CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem | Manual, Desativado | 1.1.0 |
Rever eventos de acesso controlado a pastas | CMA_0471 - Revisar eventos de acesso controlado a pastas | Manual, Desativado | 1.1.0 |
Rever a atividade de ficheiros e pastas | CMA_0473 - Revisar a atividade de arquivos e pastas | Manual, Desativado | 1.1.0 |
Revisar as alterações do grupo de funções semanalmente | CMA_0476 - Revisar as mudanças do grupo de funções semanalmente | Manual, Desativado | 1.1.0 |
Correlacione repositórios de auditoria
ID: FedRAMP Alto AU-6 (3) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Correlacione registros de auditoria | CMA_0087 - Correlacionar registos de auditoria | Manual, Desativado | 1.1.0 |
Integre a segurança de aplicativos na nuvem com um siem | CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem | Manual, Desativado | 1.1.0 |
Revisão e análise central
ID: FedRAMP Alto AU-6 (4) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 6.0.0-pré-visualização |
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc | Esta política audita máquinas Linux Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
[Preview]: A extensão do Log Analytics deve ser instalada em suas máquinas Windows Azure Arc | Esta política audita máquinas Windows Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.3 |
Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
Os logs de recursos no Repositório Azure Data Lake devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Azure Stream Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos em contas em lote devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Data Lake Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Hub de Eventos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Hub IoT devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 3.1.0 |
Os logs de recursos no Cofre da Chave devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos em aplicativos lógicos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.1.0 |
Os logs de recursos nos serviços de Pesquisa devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Service Bus devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
Integração / Digitalização e Capacidades de Monitorização
ID: FedRAMP Alto AU-6 (5) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 6.0.0-pré-visualização |
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc | Esta política audita máquinas Linux Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
[Preview]: A extensão do Log Analytics deve ser instalada em suas máquinas Windows Azure Arc | Esta política audita máquinas Windows Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.3 |
Integre a análise de registros de auditoria | CMA_C1120 - Integrar a análise de registos de auditoria | Manual, Desativado | 1.1.0 |
Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
Os logs de recursos no Repositório Azure Data Lake devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Azure Stream Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos em contas em lote devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Data Lake Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Hub de Eventos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Hub IoT devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 3.1.0 |
Os logs de recursos no Cofre da Chave devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos em aplicativos lógicos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.1.0 |
Os logs de recursos nos serviços de Pesquisa devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Service Bus devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
Ações permitidas
ID: FedRAMP Alto AU-6 (7) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Especificar ações permitidas associadas às informações de auditoria do cliente | CMA_C1122 - Especificar ações permitidas associadas às informações de auditoria do cliente | Manual, Desativado | 1.1.0 |
Ajuste do Nível de Auditoria
ID: FedRAMP Alto AU-6 (10) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Ajustar o nível de revisão, análise e emissão de relatórios de auditoria | CMA_C1123 - Ajustar o nível de revisão, análise e relatórios de auditoria | Manual, Desativado | 1.1.0 |
Redução de auditoria e geração de relatórios
ID: FedRAMP Alta AU-7 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Garantir que os registros de auditoria não sejam alterados | CMA_C1125 - Garantir que os registos de auditoria não são alterados | Manual, Desativado | 1.1.0 |
Fornecer recursos de revisão, análise e emissão de relatórios de auditoria | CMA_C1124 - Fornecer recursos de revisão, análise e emissão de relatórios de auditoria | Manual, Desativado | 1.1.0 |
Tratamento informatizado
ID: FedRAMP Alto AU-7 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer capacidade para processar registros de auditoria controlados pelo cliente | CMA_C1126 - Fornecer capacidade para processar registros de auditoria controlados pelo cliente | Manual, Desativado | 1.1.0 |
Carimbos de data/hora
ID: FedRAMP Alta Propriedade AU-8: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Usar relógios do sistema para registros de auditoria | CMA_0535 - Usar relógios do sistema para registros de auditoria | Manual, Desativado | 1.1.0 |
Sincronização com fonte de tempo autoritativa
ID: FedRAMP Alto AU-8 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Usar relógios do sistema para registros de auditoria | CMA_0535 - Usar relógios do sistema para registros de auditoria | Manual, Desativado | 1.1.0 |
Proteção das informações de auditoria
ID: FedRAMP Alta Propriedade AU-9: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Habilitar autorização dupla ou conjunta | CMA_0226 - Permitir autorização dupla ou conjunta | Manual, Desativado | 1.1.0 |
Proteger as informações de auditoria | CMA_0401 - Proteger as informações de auditoria | Manual, Desativado | 1.1.0 |
Backup de auditoria em sistemas/componentes físicos separados
ID: FedRAMP Alto AU-9 (2) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabeleça políticas e procedimentos de backup | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desativado | 1.1.0 |
Proteção criptográfica
ID: FedRAMP Alto AU-9 (3) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Manter a integridade do sistema de auditoria | CMA_C1133 - Manter a integridade do sistema de auditoria | Manual, Desativado | 1.1.0 |
Acesso por subconjunto de usuários privilegiados
ID: FedRAMP Alto AU-9 (4) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Proteger as informações de auditoria | CMA_0401 - Proteger as informações de auditoria | Manual, Desativado | 1.1.0 |
Não rejeição
ID: FedRAMP Alta AU-10 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer requisitos de assinatura eletrônica e certificado | CMA_0271 - Estabelecer requisitos de assinatura eletrônica e certificado | Manual, Desativado | 1.1.0 |
Retenção de registros de auditoria
ID: FedRAMP Alta AU-11 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
Manter políticas e procedimentos de segurança | CMA_0454 - Reter políticas e procedimentos de segurança | Manual, Desativado | 1.1.0 |
Reter dados de usuários encerrados | CMA_0455 - Reter dados de usuários encerrados | Manual, Desativado | 1.1.0 |
Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou superior | Para fins de investigação de incidentes, recomendamos definir a retenção de dados para a auditoria do SQL Server para o destino da conta de armazenamento para pelo menos 90 dias. Confirme se você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Isso às vezes é necessário para a conformidade com as normas regulamentares. | AuditIfNotExists, desativado | 3.0.0 |
Geração de auditoria
ID: FedRAMP Alta AU-12 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 6.0.0-pré-visualização |
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc | Esta política audita máquinas Linux Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
[Preview]: A extensão do Log Analytics deve ser instalada em suas máquinas Windows Azure Arc | Esta política audita máquinas Windows Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.3 |
Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
Os logs de recursos no Repositório Azure Data Lake devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Azure Stream Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos em contas em lote devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Data Lake Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Hub de Eventos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Hub IoT devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 3.1.0 |
Os logs de recursos no Cofre da Chave devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos em aplicativos lógicos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.1.0 |
Os logs de recursos nos serviços de Pesquisa devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Service Bus devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
Trilha de auditoria em todo o sistema/correlacionada ao tempo
ID: FedRAMP Alto AU-12 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 6.0.0-pré-visualização |
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc | Esta política audita máquinas Linux Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
[Preview]: A extensão do Log Analytics deve ser instalada em suas máquinas Windows Azure Arc | Esta política audita máquinas Windows Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
Compilar registros de auditoria em auditoria em todo o sistema | CMA_C1140 - Compilar registros de auditoria em auditoria em todo o sistema | Manual, Desativado | 1.1.0 |
A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.3 |
Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
Os logs de recursos no Repositório Azure Data Lake devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Azure Stream Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos em contas em lote devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Data Lake Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Hub de Eventos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Hub IoT devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 3.1.0 |
Os logs de recursos no Cofre da Chave devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos em aplicativos lógicos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.1.0 |
Os logs de recursos nos serviços de Pesquisa devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Service Bus devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
Alterações por Indivíduos Autorizados
ID: FedRAMP Alto AU-12 (3) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer a capacidade de estender ou limitar a auditoria em recursos implantados pelo cliente | CMA_C1141 - Fornecer a capacidade de estender ou limitar a auditoria em recursos implantados pelo cliente | Manual, Desativado | 1.1.0 |
Avaliação de Segurança e Autorização
Política e procedimentos de autorização e avaliação de segurança
ID: FedRAMP Alta Propriedade CA-1: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Rever as políticas e procedimentos de avaliação de segurança e autorização | CMA_C1143 - Rever as políticas e procedimentos de avaliação de segurança e autorização | Manual, Desativado | 1.1.0 |
Avaliações de Segurança
ID: FedRAMP Alta CA-2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
Forneça resultados de avaliação de segurança | CMA_C1147 - Fornecer resultados de avaliação de segurança | Manual, Desativado | 1.1.0 |
Desenvolver um plano de avaliação de segurança | CMA_C1144 - Desenvolver plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
Produzir relatório de avaliação de segurança | CMA_C1146 - Produzir relatório de avaliação de segurança | Manual, Desativado | 1.1.0 |
Avaliadores Independentes
ID: FedRAMP Alto CA-2 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar avaliadores independentes para conduzir avaliações de controle de segurança | CMA_C1148 - Empregar avaliadores independentes para realizar avaliações de controle de segurança | Manual, Desativado | 1.1.0 |
Avaliações Especializadas
ID: FedRAMP Alto CA-2 (2) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Selecionar testes adicionais para avaliações de controle de segurança | CMA_C1149 - Selecione testes adicionais para avaliações de controle de segurança | Manual, Desativado | 1.1.0 |
Organizações Externas
ID: FedRAMP Alto CA-2 (3) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Aceitar os resultados da avaliação | CMA_C1150 - Aceitar os resultados da avaliação | Manual, Desativado | 1.1.0 |
Interconexões do sistema
ID: FedRAMP Alta Propriedade CA-3: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Exigir acordos de segurança de interconexão | CMA_C1151 - Exigir acordos de segurança de interligação | Manual, Desativado | 1.1.0 |
Atualizar contratos de segurança de interconexão | CMA_0519 - Atualizar os acordos de segurança de interconexão | Manual, Desativado | 1.1.0 |
Conexões não classificadas do sistema de segurança nacional
ID: FedRAMP Alto CA-3 (3) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
Restrições em conexões externas do sistema
ID: FedRAMP Alto CA-3 (5) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar restrições em interconexões externas do sistema | CMA_C1155 - Aplicar restrições às interconexões externas do sistema | Manual, Desativado | 1.1.0 |
Plano de ação e marcos
ID: FedRAMP Alta CA-5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Autorização de Segurança
ID: FedRAMP Alta Propriedade CA-6: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Atribuir um funcionário de autorização (AO) | CMA_C1158 - Atribuir um funcionário de autorização (AO) | Manual, Desativado | 1.1.0 |
Garantir que os recursos sejam autorizados | CMA_C1159 - Garantir que os recursos são autorizados | Manual, Desativado | 1.1.0 |
Atualizar a autorização de segurança | CMA_C1160 - Atualizar a autorização de segurança | Manual, Desativado | 1.1.0 |
Monitorização Contínua
ID: FedRAMP Alta Propriedade CA-7: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Configurar a lista de permissões de deteção | CMA_0068 - Configurar a lista branca de deteção | Manual, Desativado | 1.1.0 |
Ligue sensores para solução de segurança de endpoint | CMA_0514 - Ligue sensores para solução de segurança de endpoint | Manual, Desativado | 1.1.0 |
Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
Avaliação independente
ID: FedRAMP Alto CA-7 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar avaliadores independentes para monitoramento contínuo | CMA_C1168 - Empregar avaliadores independentes para monitoramento contínuo | Manual, Desativado | 1.1.0 |
Análises de Tendências
ID: FedRAMP Alto CA-7 (3) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Analisar dados obtidos a partir da monitorização contínua | CMA_C1169 - Analisar dados obtidos a partir da monitorização contínua | Manual, Desativado | 1.1.0 |
Agente de Penetração Independente ou Equipa
ID: FedRAMP Alto CA-8 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar equipe independente para testes de penetração | CMA_C1171 - Empregar equipe independente para testes de penetração | Manual, Desativado | 1.1.0 |
Conexões internas do sistema
ID: FedRAMP Alta Propriedade CA-9: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | CMA_0053 - Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | Manual, Desativado | 1.1.0 |
Gestão da Configuração
Política e procedimentos de gerenciamento de configuração
ID: FedRAMP Alta Propriedade CM-1: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Configuração de linha de base
ID: FedRAMP Alta Propriedade CM-2: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Configurar ações para dispositivos não compatíveis | CMA_0062 - Configurar ações para dispositivos não compatíveis | Manual, Desativado | 1.1.0 |
Desenvolver e manter configurações de linha de base | CMA_0153 - Desenvolver e manter configurações de linha de base | Manual, Desativado | 1.1.0 |
Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
Estabelecer uma placa de controle de configuração | CMA_0254 - Estabelecer uma placa de controle de configuração | Manual, Desativado | 1.1.0 |
Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Implementar uma ferramenta automatizada de gerenciamento de configuração | CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Suporte de automação para precisão / moeda
ID: FedRAMP Alto CM-2 (2) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Configurar ações para dispositivos não compatíveis | CMA_0062 - Configurar ações para dispositivos não compatíveis | Manual, Desativado | 1.1.0 |
Desenvolver e manter configurações de linha de base | CMA_0153 - Desenvolver e manter configurações de linha de base | Manual, Desativado | 1.1.0 |
Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
Estabelecer uma placa de controle de configuração | CMA_0254 - Estabelecer uma placa de controle de configuração | Manual, Desativado | 1.1.0 |
Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Implementar uma ferramenta automatizada de gerenciamento de configuração | CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Retenção de configurações anteriores
ID: FedRAMP Alto CM-2 (3) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Manter versões anteriores das configurações de linha de base | CMA_C1181 - Manter versões anteriores das configurações de linha de base | Manual, Desativado | 1.1.0 |
Configurar sistemas, componentes ou dispositivos para áreas de alto risco
ID: FedRAMP Alto CM-2 (7) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Garantir salvaguardas de segurança não necessárias quando as pessoas regressam | CMA_C1183 - Garantir salvaguardas de segurança não necessárias quando as pessoas regressam | Manual, Desativado | 1.1.0 |
Não permitir que os sistemas de informação acompanhem os indivíduos | CMA_C1182 - Não permitir que os sistemas de informação acompanhem os indivíduos | Manual, Desativado | 1.1.0 |
Controlo de alterações de configuração
ID: FedRAMP Alta Propriedade CM-3: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desativado | 1.1.0 |
Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
Documento Automatizado / Notificação / Proibição de Alterações
ID: FedRAMP Alto CM-3 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Automatize a solicitação de aprovação para alterações propostas | CMA_C1192 - Automatize a solicitação de aprovação de alterações propostas | Manual, Desativado | 1.1.0 |
Automatize a implementação de notificações de alteração aprovadas | CMA_C1196 - Automatize a implementação de notificações de alteração aprovadas | Manual, Desativado | 1.1.0 |
Automatize o processo para documentar as alterações implementadas | CMA_C1195 - Automatize o processo para documentar as alterações implementadas | Manual, Desativado | 1.1.0 |
Automatize o processo para destacar propostas de alteração não revisadas | CMA_C1193 - Automatize o processo para destacar propostas de alteração não revisadas | Manual, Desativado | 1.1.0 |
Automatize o processo para proibir a implementação de alterações não aprovadas | CMA_C1194 - Automatize o processo para proibir a implementação de alterações não aprovadas | Manual, Desativado | 1.1.0 |
Automatize as alterações documentadas propostas | CMA_C1191 - Automatize as alterações documentadas propostas | Manual, Desativado | 1.1.0 |
Testar / Validar / Alterações de Documentos
ID: FedRAMP Alto CM-3 (2) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
Representante de Segurança
ID: FedRAMP Alto CM-3 (4) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Atribuir representante de segurança da informação para controle de alterações | CMA_C1198 - Atribuir representante de segurança da informação para controle de alterações | Manual, Desativado | 1.1.0 |
Gestão de Criptografia
ID: FedRAMP Alto CM-3 (6) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Garantir que os mecanismos criptográficos estejam sob gerenciamento de configuração | CMA_C1199 - Garantir que os mecanismos criptográficos estejam sob gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Análise de impacto na segurança
ID: FedRAMP Alta CM-4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desativado | 1.1.0 |
Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
Ambientes de teste separados
ID: FedRAMP Alto CM-4 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
Restrições de acesso para alteração
ID: FedRAMP Alta Propriedade CM-5: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
Aplicação / auditoria de acesso automatizado
ID: FedRAMP Alto CM-5 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Aplicar e auditar restrições de acesso | CMA_C1203 - Aplicar e auditar restrições de acesso | Manual, Desativado | 1.1.0 |
Rever as alterações do sistema
ID: FedRAMP Alto CM-5 (2) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Rever as alterações para verificar se há alterações não autorizadas | CMA_C1204 - Revise as alterações para quaisquer alterações não autorizadas | Manual, Desativado | 1.1.0 |
Componentes assinados
ID: FedRAMP Alto CM-5 (3) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Restringir a instalação não autorizada de software e firmware | CMA_C1205 - Restringir a instalação não autorizada de software e firmware | Manual, Desativado | 1.1.0 |
Limitar a produção/privilégios operacionais
ID: FedRAMP Alto CM-5 (5) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Limitar privilégios para fazer alterações no ambiente de produção | CMA_C1206 - Limitar privilégios para fazer alterações no ambiente de produção | Manual, Desativado | 1.1.0 |
Rever e reavaliar privilégios | CMA_C1207 - Rever e reavaliar privilégios | Manual, Desativado | 1.1.0 |
Definições de configuração
ID: FedRAMP High CM-6 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desativado | 2.0.0 |
O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters | O Complemento de Política do Azure para o serviço Kubernetes (AKS) estende o Gatekeeper v3, um webhook de controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. | Auditoria, Desativado | 1.0.2 |
Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
Os aplicativos de função devem ter os Certificados de Cliente (Certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
Os aplicativos de função devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
Os aplicativos de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. | AuditIfNotExists, desativado | 2.0.0 |
Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados | Imponha limites de recursos de CPU e memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.3.0 |
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host | Bloqueie os contêineres de pod de compartilhar o namespace de ID de processo do host e o namespace IPC do host em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.2.0 |
Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor | Os contêineres só devem usar perfis AppArmor permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos | Restrinja os recursos para reduzir a superfície de ataque de contêineres em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
Os contêineres de cluster do Kubernetes só devem usar imagens permitidas | Use imagens de registros confiáveis para reduzir o risco de exposição do cluster Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.3.0 |
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para proteger contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.3.0 |
Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos | Limite as montagens de volume do pod HostPath aos caminhos de host permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados | Controle os IDs de usuário, grupo primário, grupo suplementar e grupo do sistema de arquivos que pods e contêineres podem usar para executar em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas | Restrinja o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas | Restrinja os serviços para escutar apenas nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 8.2.0 |
O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres privilegiados em um cluster do Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.2.0 |
Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner | Não permita que contêineres sejam executados com escalonamento de privilégios para enraizar em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.2.0 |
As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 2.2.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 2.0.0 |
Gestão Central Automatizada / Aplicação / Verificação
ID: FedRAMP Alto CM-6 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
Controlar a conformidade dos fornecedores de serviços na nuvem | CMA_0290 - Controlar a conformidade dos fornecedores de serviços na nuvem | Manual, Desativado | 1.1.0 |
Exibir e configurar dados de diagnóstico do sistema | CMA_0544 - Exibir e configurar dados de diagnóstico do sistema | Manual, Desativado | 1.1.0 |
Menos funcionalidade
ID: FedRAMP Alta Propriedade CM-7: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Inventário de componentes do sistema de informação
ID: FedRAMP Alta CM-8 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Criar um inventário de dados | CMA_0096 - Criar um inventário de dados | Manual, Desativado | 1.1.0 |
Manter registos do tratamento de dados pessoais | CMA_0353 - Manter registos do tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
Atualizações durante instalações / remoções
ID: FedRAMP Alto CM-8 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Criar um inventário de dados | CMA_0096 - Criar um inventário de dados | Manual, Desativado | 1.1.0 |
Manter registos do tratamento de dados pessoais | CMA_0353 - Manter registos do tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
Deteção automatizada de componentes não autorizados
ID: FedRAMP Alto CM-8 (3) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Habilitar a deteção de dispositivos de rede | CMA_0220 - Permitir a deteção de dispositivos de rede | Manual, Desativado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
Informações sobre prestação de contas
ID: FedRAMP Alto CM-8 (4) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Criar um inventário de dados | CMA_0096 - Criar um inventário de dados | Manual, Desativado | 1.1.0 |
Estabelecer e manter um inventário de ativos | CMA_0266 - Estabelecer e manter um inventário de ativos | Manual, Desativado | 1.1.0 |
Plano de gerenciamento de configuração
ID: FedRAMP Alta Propriedade CM-9: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Criar proteção de plano de configuração | CMA_C1233 - Criar proteção de plano de configuração | Manual, Desativado | 1.1.0 |
Desenvolver e manter configurações de linha de base | CMA_0153 - Desenvolver e manter configurações de linha de base | Manual, Desativado | 1.1.0 |
Desenvolver plano de identificação de item de configuração | CMA_C1231 - Desenvolver plano de identificação de itens de configuração | Manual, Desativado | 1.1.0 |
Desenvolver plano de gerenciamento de configuração | CMA_C1232 - Desenvolver plano de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Implementar uma ferramenta automatizada de gerenciamento de configuração | CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Restrições de uso de software
ID: FedRAMP Alta Propriedade CM-10: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Exigir o cumprimento dos direitos de propriedade intelectual | CMA_0432 - Exigir o cumprimento dos direitos de propriedade intelectual | Manual, Desativado | 1.1.0 |
Rastreie o uso da licença de software | CMA_C1235 - Rastreie o uso da licença de software | Manual, Desativado | 1.1.0 |
Software de código aberto
ID: FedRAMP Alto CM-10 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Restringir o uso de software de código aberto | CMA_C1237 - Restringir o uso de software de código aberto | Manual, Desativado | 1.1.0 |
Planos de Contingência
Política e Procedimentos de Planeamento de Contingência
ID: FedRAMP Alta Propriedade CP-1: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Rever e atualizar políticas e procedimentos de planeamento de contingência | CMA_C1243 - Rever e atualizar políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
Plano de Contingência
ID: FedRAMP Alta Propriedade CP-2: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Comunicar alterações ao plano de contingência | CMA_C1249 - Comunicar alterações ao plano de contingência | Manual, Desativado | 1.1.0 |
Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
Desenvolver e documentar um plano de continuidade de negócios e recuperação de desastres | CMA_0146 - Desenvolver e documentar um plano de continuidade de negócios e recuperação de desastres | Manual, Desativado | 1.1.0 |
Desenvolver um plano de contingência | CMA_C1244 - Elaborar plano de contingência | Manual, Desativado | 1.1.0 |
Desenvolver políticas e procedimentos de planeamento de contingência | CMA_0156 - Desenvolver políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
Distribuir políticas e procedimentos | CMA_0185 - Distribuir políticas e procedimentos | Manual, Desativado | 1.1.0 |
Rever o plano de contingência | CMA_C1247 - Revisão do plano de contingência | Manual, Desativado | 1.1.0 |
Atualizar plano de contingência | CMA_C1248 - Atualizar o plano de contingência | Manual, Desativado | 1.1.0 |
Coordenar com planos relacionados
ID: FedRAMP High CP-2 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
Planeamento da Capacidade
ID: FedRAMP High CP-2 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Conduzir o planejamento de capacidade | CMA_C1252 - Conduzir o planejamento de capacidade | Manual, Desativado | 1.1.0 |
Retomar Missões Essenciais / Funções Empresariais
ID: FedRAMP High CP-2 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Plano de retomada de funções essenciais do negócio | CMA_C1253 - Plano de retomada de funções essenciais do negócio | Manual, Desativado | 1.1.0 |
Retomar todas as missões / funções de negócios
ID: FedRAMP High CP-2 (4) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Retomar todas as funções de missão e negócio | CMA_C1254 - Retomar todas as funções de missão e negócio | Manual, Desativado | 1.1.0 |
Continuar Missões Essenciais / Funções Empresariais
ID: FedRAMP High CP-2 (5) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Planejar a continuidade de funções essenciais de negócios | CMA_C1255 - Plano de continuidade das funções essenciais do negócio | Manual, Desativado | 1.1.0 |
Identificar ativos críticos
ID: FedRAMP High CP-2 (8) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar uma avaliação de impacto nos negócios e uma avaliação de criticidade do aplicativo | CMA_0386 - Realizar uma avaliação de impacto nos negócios e uma avaliação de criticidade do aplicativo | Manual, Desativado | 1.1.0 |
Formação de Contingência
ID: FedRAMP Alta Propriedade CP-3: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer treinamento de contingência | CMA_0412 - Fornecer formação em contingência | Manual, Desativado | 1.1.0 |
Eventos Simulados
ID: FedRAMP High CP-3 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Incorporar treinamento de contingência simulado | CMA_C1260 - Incorporar treinamento de contingência simulado | Manual, Desativado | 1.1.0 |
Testes de planos de contingência
ID: FedRAMP Alta Propriedade CP-4: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Iniciar o plano de contingência testando ações corretivas | CMA_C1263 - Iniciar o plano de contingência testando ações corretivas | Manual, Desativado | 1.1.0 |
Rever os resultados dos testes dos planos de contingência | CMA_C1262 - Rever os resultados dos testes dos planos de contingência | Manual, Desativado | 1.1.0 |
Testar a continuidade de negócios e o plano de recuperação de desastres | CMA_0509 - Testar a continuidade de negócios e o plano de recuperação de desastres | Manual, Desativado | 1.1.0 |
Coordenar com planos relacionados
ID: FedRAMP High CP-4 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
Local de processamento alternativo
ID: FedRAMP High CP-4 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar os recursos alternativos do local de processamento | CMA_C1266 - Avaliar os recursos alternativos do local de processamento | Manual, Desativado | 1.1.0 |
Plano de contingência de teste em um local de processamento alternativo | CMA_C1265 - Plano de contingência de teste em um local de processamento alternativo | Manual, Desativado | 1.1.0 |
Local de armazenamento alternativo
ID: FedRAMP Alta Propriedade CP-6: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Garantir que as proteções alternativas do local de armazenamento sejam equivalentes às do local principal | CMA_C1268 - Garantir que as proteções alternativas do local de armazenamento sejam equivalentes às do local principal | Manual, Desativado | 1.1.0 |
Estabeleça um local de armazenamento alternativo para armazenar e recuperar informações de backup | CMA_C1267 - Estabeleça um local de armazenamento alternativo para armazenar e recuperar informações de backup | Manual, Desativado | 1.1.0 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
O armazenamento com redundância geográfica deve ser habilitado para contas de armazenamento | Use redundância geográfica para criar aplicativos altamente disponíveis | Auditoria, Desativado | 1.0.0 |
O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | Esta política audita qualquer Banco de Dados SQL do Azure com backup com redundância geográfica de longo prazo não habilitado. | AuditIfNotExists, desativado | 2.0.0 |
Separação do local primário
ID: FedRAMP High CP-6 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Crie locais de armazenamento alternativos e primários separados | CMA_C1269 - Crie locais de armazenamento alternativos e primários separados | Manual, Desativado | 1.1.0 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
O armazenamento com redundância geográfica deve ser habilitado para contas de armazenamento | Use redundância geográfica para criar aplicativos altamente disponíveis | Auditoria, Desativado | 1.0.0 |
O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | Esta política audita qualquer Banco de Dados SQL do Azure com backup com redundância geográfica de longo prazo não habilitado. | AuditIfNotExists, desativado | 2.0.0 |
Objetivos de Tempo de Recuperação/Ponto
ID: FedRAMP High CP-6 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer local de armazenamento alternativo que facilite as operações de recuperação | CMA_C1270 - Estabelecer locais de armazenamento alternativos que facilitem as operações de recuperação | Manual, Desativado | 1.1.0 |
Acessibilidade
ID: FedRAMP High CP-6 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Identificar e mitigar possíveis problemas em locais de armazenamento alternativos | CMA_C1271 - Identificar e mitigar possíveis problemas em locais de armazenamento alternativos | Manual, Desativado | 1.1.0 |
Local de processamento alternativo
ID: FedRAMP Alta Propriedade CP-7: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Auditar máquinas virtuais sem recuperação de desastres configurada | Audite máquinas virtuais que não tenham a recuperação de desastres configurada. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Estabelecer um local de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desativado | 1.1.0 |
Separação do local primário
ID: FedRAMP High CP-7 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer um local de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desativado | 1.1.0 |
Acessibilidade
ID: FedRAMP High CP-7 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer um local de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desativado | 1.1.0 |
Prioridade de Serviço
ID: FedRAMP High CP-7 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer um local de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desativado | 1.1.0 |
Estabelecer requisitos para os fornecedores de serviços Internet | CMA_0278 - Estabelecer requisitos para os fornecedores de serviços Internet | Manual, Desativado | 1.1.0 |
Preparação para uso
ID: FedRAMP High CP-7 (4) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Preparar local de processamento alternativo para uso como local operacional | CMA_C1278 - Preparar local de processamento alternativo para uso como local operacional | Manual, Desativado | 1.1.0 |
Prioridade da prestação de serviços
ID: FedRAMP High CP-8 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer requisitos para os fornecedores de serviços Internet | CMA_0278 - Estabelecer requisitos para os fornecedores de serviços Internet | Manual, Desativado | 1.1.0 |
Backup do sistema de informações
ID: FedRAMP Alta Propriedade CP-9: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Backup do Azure deve ser habilitado para Máquinas Virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desativado | 3.0.0 |
Realizar backup da documentação do sistema de informação | CMA_C1289 - Realizar backup da documentação do sistema de informação | Manual, Desativado | 1.1.0 |
Estabeleça políticas e procedimentos de backup | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desativado | 1.1.0 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Os cofres de chaves devem ter a proteção contra exclusão ativada | A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra limpeza e a exclusão suave. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão suave habilitada por padrão. | Auditoria, Negar, Desativado | 2.1.0 |
Os cofres de chaves devem ter a exclusão suave ativada | A exclusão de um cofre de chaves sem a exclusão automática habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão suave permite que você recupere um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Auditoria, Negar, Desativado | 3.0.0 |
Armazenamento separado para informações críticas
ID: FedRAMP High CP-9 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Armazene separadamente as informações de backup | CMA_C1293 - Armazene separadamente as informações de backup | Manual, Desativado | 1.1.0 |
Transferência para local de armazenamento alternativo
ID: FedRAMP High CP-9 (5) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Transferir informações de backup para um local de armazenamento alternativo | CMA_C1294 - Transfira informações de backup para um local de armazenamento alternativo | Manual, Desativado | 1.1.0 |
Recuperação e Reconstituição do Sistema de Informação
ID: FedRAMP Alta Propriedade CP-10: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Recupere e reconstitua recursos após qualquer interrupção | CMA_C1295 - Recuperar e reconstituir recursos após qualquer interrupção | Manual, Desativado | 1.1.1 |
Recuperação de transações
ID: FedRAMP High CP-10 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar recuperação baseada em transações | CMA_C1296 - Implementar recuperação baseada em transações | Manual, Desativado | 1.1.0 |
Restaurar dentro do período de tempo
ID: FedRAMP High CP-10 (4) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Restaurar recursos para o estado operacional | CMA_C1297 - Restaurar os recursos para o estado operacional | Manual, Desativado | 1.1.1 |
Identificação e autenticação
Política e procedimentos de identificação e autenticação
ID: FedRAMP Alta Propriedade IA-1: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Rever e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Rever e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desativado | 1.1.0 |
Identificação e autenticação (usuários organizacionais)
ID: FedRAMP Alta Propriedade IA-2: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
Impor a exclusividade do usuário | CMA_0250 - Reforçar a exclusividade do utilizador | Manual, Desativado | 1.1.0 |
Os aplicativos de função devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente | Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
Suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 - Apoiar credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desativado | 1.1.0 |
Acesso de rede a contas privilegiadas
ID: FedRAMP High IA-2 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
Acesso de rede a contas não privilegiadas
ID: FedRAMP High IA-2 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
Acesso local a contas privilegiadas
ID: FedRAMP High IA-2 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
Autenticação de grupo
ID: FedRAMP Alta IA-2 (5) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Exigir o uso de autenticadores individuais | CMA_C1305 - Exigir o uso de autenticadores individuais | Manual, Desativado | 1.1.0 |
Acesso Remoto - Dispositivo separado
ID: FedRAMP High IA-2 (11) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
Aceitação de credenciais Piv
ID: FedRAMP High IA-2 (12) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 - Apoiar credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desativado | 1.1.0 |
Gestão de Identificadores
ID: FedRAMP Alta IA-4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
Atribuir identificadores do sistema | CMA_0018 - Atribuir identificadores do sistema | Manual, Desativado | 1.1.0 |
Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
Os aplicativos de função devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
Impedir a reutilização do identificador durante o período de tempo definido | CMA_C1314 - Impedir a reutilização do identificador durante o período de tempo definido | Manual, Desativado | 1.1.0 |
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente | Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
Identificar o status do usuário
ID: FedRAMP High IA-4 (4) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Identificar o status de usuários individuais | CMA_C1316 - Identificar o status de usuários individuais | Manual, Desativado | 1.1.0 |
Gerenciamento de autenticador
ID: FedRAMP Alta Propriedade IA-5: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | AuditIfNotExists, desativado | 3.1.0 |
Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não armazenam senhas usando criptografia reversível | AuditIfNotExists, desativado | 2.0.0 |
A autenticação em máquinas Linux deve exigir chaves SSH | Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desativado | 3.2.0 |
Os certificados devem ter o período de validade máximo especificado | Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo que um certificado pode ser válido em seu cofre de chaves. | auditoria, auditoria, negar, negar, desativado, desativado | 2.2.1 |
Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Estabelecer tipos e processos de autenticador | CMA_0267 - Estabelecer tipos e processos de autenticadores | Manual, Desativado | 1.1.0 |
Estabelecer procedimentos para a distribuição inicial do autenticador | CMA_0276 - Estabelecer procedimentos para a distribuição inicial do autenticador | Manual, Desativado | 1.1.0 |
Implementar treinamento para proteger autenticadores | CMA_0329 - Implementar treinamento para proteger autenticadores | Manual, Desativado | 1.1.0 |
As chaves do Cofre da Chave devem ter uma data de expiração | As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas. | Auditoria, Negar, Desativado | 1.0.2 |
Os segredos do Cofre de Chaves devem ter uma data de validade | Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um atacante em potencial mais tempo para comprometê-los. É uma prática de segurança recomendada definir datas de validade em segredos. | Auditoria, Negar, Desativado | 1.0.2 |
Gerencie o tempo de vida e a reutilização do autenticador | CMA_0355 - Gerencie o tempo de vida e a reutilização do autenticador | Manual, Desativado | 1.1.0 |
Gerenciar autenticadores | CMA_C1321 - Gerenciar autenticadores | Manual, Desativado | 1.1.0 |
Atualizar autenticadores | CMA_0425 - Atualizar autenticadores | Manual, Desativado | 1.1.0 |
Reemitir autenticadores para grupos e contas alterados | CMA_0426 - Reemitir autenticadores para grupos e contas alterados | Manual, Desativado | 1.1.0 |
Verificar a identidade antes de distribuir autenticadores | CMA_0538 - Verificar a identidade antes de distribuir autenticadores | Manual, Desativado | 1.1.0 |
Autenticação baseada em senha
ID: FedRAMP High IA-5 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 4.1.0 |
Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | AuditIfNotExists, desativado | 3.1.0 |
Auditar máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desativado | 2.1.0 |
Auditar máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias. O valor padrão para a idade máxima da senha é 70 dias | AuditIfNotExists, desativado | 2.1.0 |
Auditar máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias. O valor padrão para a idade mínima da senha é de 1 dia | AuditIfNotExists, desativado | 2.1.0 |
Auditar máquinas Windows que não têm a configuração de complexidade de senha habilitada | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a configuração de complexidade de senha habilitada | AuditIfNotExists, desativado | 2.0.0 |
Auditar máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres. O valor padrão para o comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desativado | 2.1.0 |
Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não armazenam senhas usando criptografia reversível | AuditIfNotExists, desativado | 2.0.0 |
Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
Estabelecer uma política de senha | CMA_0256 - Estabeleça uma política de senha | Manual, Desativado | 1.1.0 |
Implementar parâmetros para verificadores secretos memorizados | CMA_0321 - Implementar parâmetros para verificadores secretos memorizados | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
Autenticação baseada em Pki
ID: FedRAMP High IA-5 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Vincular autenticadores e identidades dinamicamente | CMA_0035 - Vincular autenticadores e identidades dinamicamente | Manual, Desativado | 1.1.0 |
Estabelecer tipos e processos de autenticador | CMA_0267 - Estabelecer tipos e processos de autenticadores | Manual, Desativado | 1.1.0 |
Estabelecer parâmetros para pesquisar autenticadores e verificadores secretos | CMA_0274 - Estabelecer parâmetros para pesquisar autenticadores e verificadores secretos | Manual, Desativado | 1.1.0 |
Estabelecer procedimentos para a distribuição inicial do autenticador | CMA_0276 - Estabelecer procedimentos para a distribuição inicial do autenticador | Manual, Desativado | 1.1.0 |
Mapear identidades autenticadas para indivíduos | CMA_0372 - Mapear identidades autenticadas para indivíduos | Manual, Desativado | 1.1.0 |
Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Verificar a identidade antes de distribuir autenticadores | CMA_0538 - Verificar a identidade antes de distribuir autenticadores | Manual, Desativado | 1.1.0 |
Registo Presencial ou de Terceiros Fidedignos
ID: FedRAMP High IA-5 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Distribuir autenticadores | CMA_0184 - Distribuir autenticadores | Manual, Desativado | 1.1.0 |
Suporte automatizado para determinação da força da senha
ID: FedRAMP Alta IA-5 (4) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
Estabelecer uma política de senha | CMA_0256 - Estabeleça uma política de senha | Manual, Desativado | 1.1.0 |
Implementar parâmetros para verificadores secretos memorizados | CMA_0321 - Implementar parâmetros para verificadores secretos memorizados | Manual, Desativado | 1.1.0 |
Proteção de autenticadores
ID: FedRAMP Alta IA-5 (6) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Garantir que os usuários autorizados protejam os autenticadores fornecidos | CMA_C1339 - Garantir que os usuários autorizados protejam os autenticadores fornecidos | Manual, Desativado | 1.1.0 |
Sem autenticadores estáticos não criptografados incorporados
ID: FedRAMP High IA-5 (7) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Verifique se não há autenticadores estáticos não criptografados | CMA_C1340 - Certifique-se de que não há autenticadores estáticos não criptografados | Manual, Desativado | 1.1.0 |
Autenticação baseada em token de hardware
ID: FedRAMP High IA-5 (11) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Satisfazer os requisitos de qualidade do token | CMA_0487 - Satisfazer os requisitos de qualidade do token | Manual, Desativado | 1.1.0 |
Expiração de autenticadores em cache
ID: FedRAMP High IA-5 (13) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Impor a expiração de autenticadores armazenados em cache | CMA_C1343 - Impor a expiração de autenticadores armazenados em cache | Manual, Desativado | 1.1.0 |
Feedback do autenticador
ID: FedRAMP Alta Propriedade IA-6: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Informações de feedback obscuras durante o processo de autenticação | CMA_C1344 - Informações de feedback obscuras durante o processo de autenticação | Manual, Desativado | 1.1.0 |
Autenticação de módulo criptográfico
ID: FedRAMP Alta Propriedade IA-7: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autenticar no módulo criptográfico | CMA_0021 - Autenticar no módulo criptográfico | Manual, Desativado | 1.1.0 |
Identificação e autenticação (usuários não organizacionais)
ID: FedRAMP High IA-8 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Identificar e autenticar usuários não organizacionais | CMA_C1346 - Identificar e autenticar usuários não organizacionais | Manual, Desativado | 1.1.0 |
Aceitação de credenciais Piv de outras agências
ID: FedRAMP High IA-8 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Aceitar credenciais PIV | CMA_C1347 - Aceitar credenciais PIV | Manual, Desativado | 1.1.0 |
Aceitação de credenciais de terceiros
ID: FedRAMP High IA-8 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Aceitar apenas credenciais de terceiros aprovadas pela FICAM | CMA_C1348 - Aceite apenas credenciais de terceiros aprovadas pela FICAM | Manual, Desativado | 1.1.0 |
Uso de produtos aprovados pela Ficam
ID: FedRAMP High IA-8 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar recursos aprovados pela FICAM para aceitar credenciais de terceiros | CMA_C1349 - Empregar recursos aprovados pela FICAM para aceitar credenciais de terceiros | Manual, Desativado | 1.1.0 |
Uso de perfis emitidos pela Ficam
ID: FedRAMP High IA-8 (4) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Em conformidade com os perfis emitidos pela FICAM | CMA_C1350 - Em conformidade com os perfis emitidos pela FICAM | Manual, Desativado | 1.1.0 |
Resposta ao Incidente
Política e procedimentos de resposta a incidentes
ID: FedRAMP Alta IR-1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Rever e atualizar políticas e procedimentos de resposta a incidentes | CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes | Manual, Desativado | 1.1.0 |
Treinamento de resposta a incidentes
ID: FedRAMP Alta IR-2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer treinamento de derramamento de informações | CMA_0413 - Fornecer treinamento de derramamento de informações | Manual, Desativado | 1.1.0 |
Eventos Simulados
ID: FedRAMP IR-2 alto (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Incorpore eventos simulados no treinamento de resposta a incidentes | CMA_C1356 - Incorporar eventos simulados no treinamento de resposta a incidentes | Manual, Desativado | 1.1.0 |
Ambientes de treinamento automatizados
ID: FedRAMP IR-2 alto (2) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar ambiente de treinamento automatizado | CMA_C1357 - Empregar ambiente de treinamento automatizado | Manual, Desativado | 1.1.0 |
Testes de resposta a incidentes
ID: FedRAMP Alta IR-3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar testes de resposta a incidentes | CMA_0060 - Realizar testes de resposta a incidentes | Manual, Desativado | 1.1.0 |
Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
Executar ataques de simulação | CMA_0486 - Executar ataques de simulação | Manual, Desativado | 1.1.0 |
Coordenação com planos relacionados
ID: FedRAMP IR-3 alto (2) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar testes de resposta a incidentes | CMA_0060 - Realizar testes de resposta a incidentes | Manual, Desativado | 1.1.0 |
Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
Executar ataques de simulação | CMA_0486 - Executar ataques de simulação | Manual, Desativado | 1.1.0 |
Tratamento de Incidentes
ID: FedRAMP Alta IR-4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar eventos de segurança da informação | CMA_0013 - Avaliar eventos de segurança da informação | Manual, Desativado | 1.1.0 |
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Desenvolver proteções de segurança | CMA_0161 - Desenvolver salvaguardas de segurança | Manual, Desativado | 1.1.0 |
A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.2.0 |
A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.1.0 |
Ativar a proteção de rede | CMA_0238 - Ativar a proteção de rede | Manual, Desativado | 1.1.0 |
Erradicar a informação contaminada | CMA_0253 - Erradicar a informação contaminada | Manual, Desativado | 1.1.0 |
Executar ações em resposta a vazamentos de informações | CMA_0281 - Executar ações em resposta a vazamentos de informações | Manual, Desativado | 1.1.0 |
Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
Manter o plano de resposta a incidentes | CMA_0352 - Manter o plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
Exibir e investigar usuários restritos | CMA_0545 - Ver e investigar utilizadores restritos | Manual, Desativado | 1.1.0 |
Processos automatizados de tratamento de incidentes
ID: FedRAMP IR-4 alto (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Ativar a proteção de rede | CMA_0238 - Ativar a proteção de rede | Manual, Desativado | 1.1.0 |
Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
Reconfiguração dinâmica
ID: FedRAMP IR-4 alto (2) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Incluir reconfiguração dinâmica de recursos implantados pelo cliente | CMA_C1364 - Incluir a reconfiguração dinâmica dos recursos implantados pelo cliente | Manual, Desativado | 1.1.0 |
Continuidade das operações
ID: FedRAMP IR-4 alto (3) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Identificar classes de incidentes e ações tomadas | CMA_C1365 - Identificar classes de incidentes e ações tomadas | Manual, Desativado | 1.1.0 |
Correlação de informações
ID: FedRAMP IR-4 alto (4) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
Ameaças internas - capacidades específicas
ID: FedRAMP IR-4 alto (6) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar a capacidade de tratamento de incidentes | CMA_C1367 - Implementar a capacidade de tratamento de incidentes | Manual, Desativado | 1.1.0 |
Correlação com organizações externas
ID: FedRAMP IR-4 alto (8) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Coordenar com organizações externas para alcançar a perspetiva transversal da organização | CMA_C1368 - Coordenar com organizações externas para alcançar uma perspetiva transversal à organização | Manual, Desativado | 1.1.0 |
Monitorização de Incidentes
ID: FedRAMP Alta IR-5 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.2.0 |
A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.1.0 |
Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
Relatórios automatizados
ID: FedRAMP IR-6 alto (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Operações de segurança de documentos | CMA_0202 - Operações de segurança documental | Manual, Desativado | 1.1.0 |
Assistência de Resposta a Incidentes
ID: FedRAMP Alta IR-7 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Operações de segurança de documentos | CMA_0202 - Operações de segurança documental | Manual, Desativado | 1.1.0 |
Suporte de automação para disponibilidade de informações / suporte
ID: FedRAMP IR-7 alto (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Ativar a proteção de rede | CMA_0238 - Ativar a proteção de rede | Manual, Desativado | 1.1.0 |
Erradicar a informação contaminada | CMA_0253 - Erradicar a informação contaminada | Manual, Desativado | 1.1.0 |
Executar ações em resposta a vazamentos de informações | CMA_0281 - Executar ações em resposta a vazamentos de informações | Manual, Desativado | 1.1.0 |
Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Exibir e investigar usuários restritos | CMA_0545 - Ver e investigar utilizadores restritos | Manual, Desativado | 1.1.0 |
Coordenação com fornecedores externos
ID: FedRAMP IR-7 alto (2) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer relação entre a capacidade de resposta a incidentes e fornecedores externos | CMA_C1376 - Estabelecer relações entre a capacidade de resposta a incidentes e fornecedores externos | Manual, Desativado | 1.1.0 |
Identificar o pessoal de resposta a incidentes | CMA_0301 - Identificar o pessoal de resposta a incidentes | Manual, Desativado | 1.1.0 |
Plano de Resposta a Incidentes
ID: FedRAMP Alta IR-8 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar eventos de segurança da informação | CMA_0013 - Avaliar eventos de segurança da informação | Manual, Desativado | 1.1.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
Manter registros de violação de dados | CMA_0351 - Manter registos de violação de dados | Manual, Desativado | 1.1.0 |
Manter o plano de resposta a incidentes | CMA_0352 - Manter o plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Proteja o plano de resposta a incidentes | CMA_0405 - Proteger o plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Resposta a derrames de informação
ID: FedRAMP Alta IR-9 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Pessoal de alerta sobre derrames de informação | CMA_0007 - Pessoal de alerta sobre derrames de informação | Manual, Desativado | 1.1.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Erradicar a informação contaminada | CMA_0253 - Erradicar a informação contaminada | Manual, Desativado | 1.1.0 |
Executar ações em resposta a vazamentos de informações | CMA_0281 - Executar ações em resposta a vazamentos de informações | Manual, Desativado | 1.1.0 |
Identificar sistemas e componentes contaminados | CMA_0300 - Identificar sistemas e componentes contaminados | Manual, Desativado | 1.1.0 |
Identificar informações derramadas | CMA_0303 - Identificar informações derramadas | Manual, Desativado | 1.1.0 |
Isolar derrames de informação | CMA_0346 - Isolar derrames de informação | Manual, Desativado | 1.1.0 |
Pessoal Responsável
ID: FedRAMP IR-9 alto (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Identificar o pessoal de resposta a incidentes | CMA_0301 - Identificar o pessoal de resposta a incidentes | Manual, Desativado | 1.1.0 |
Formação
ID: FedRAMP IR-9 alto (2) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer treinamento de derramamento de informações | CMA_0413 - Fornecer treinamento de derramamento de informações | Manual, Desativado | 1.1.0 |
Operações pós-derramamento
ID: FedRAMP IR-9 alto (3) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver procedimentos de resposta a derrames | CMA_0162 - Desenvolver procedimentos de resposta a derrames | Manual, Desativado | 1.1.0 |
Exposição a pessoal não autorizado
ID: FedRAMP IR-9 alto (4) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver proteções de segurança | CMA_0161 - Desenvolver salvaguardas de segurança | Manual, Desativado | 1.1.0 |
Manutenção
Política e Procedimentos de Manutenção do Sistema
ID: FedRAMP High MA-1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desativado | 1.1.0 |
Manutenção Controlada
ID: FedRAMP High MA-2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar as atividades de manutenção e reparação | CMA_0080 - Controlar as atividades de manutenção e reparação | Manual, Desativado | 1.1.0 |
Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Gerencie atividades de manutenção e diagnóstico não locais | CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais | Manual, Desativado | 1.1.0 |
Atividades de manutenção automatizadas
ID: FedRAMP High MA-2 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Automatize as atividades de manutenção remotas | CMA_C1402 - Automatize as atividades de manutenção remotas | Manual, Desativado | 1.1.0 |
Produzir registros completos das atividades de manutenção remotas | CMA_C1403 - Produzir registros completos das atividades de manutenção remota | Manual, Desativado | 1.1.0 |
Ferramentas de Manutenção
ID: FedRAMP High MA-3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar as atividades de manutenção e reparação | CMA_0080 - Controlar as atividades de manutenção e reparação | Manual, Desativado | 1.1.0 |
Gerencie atividades de manutenção e diagnóstico não locais | CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais | Manual, Desativado | 1.1.0 |
Inspecionar ferramentas
ID: FedRAMP High MA-3 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar as atividades de manutenção e reparação | CMA_0080 - Controlar as atividades de manutenção e reparação | Manual, Desativado | 1.1.0 |
Gerencie atividades de manutenção e diagnóstico não locais | CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais | Manual, Desativado | 1.1.0 |
Inspecionar Mídia
ID: FedRAMP High MA-3 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar as atividades de manutenção e reparação | CMA_0080 - Controlar as atividades de manutenção e reparação | Manual, Desativado | 1.1.0 |
Gerencie atividades de manutenção e diagnóstico não locais | CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais | Manual, Desativado | 1.1.0 |
Impedir a remoção não autorizada
ID: FedRAMP High MA-3 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar as atividades de manutenção e reparação | CMA_0080 - Controlar as atividades de manutenção e reparação | Manual, Desativado | 1.1.0 |
Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Gerencie atividades de manutenção e diagnóstico não locais | CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais | Manual, Desativado | 1.1.0 |
Manutenção não local
ID: FedRAMP High MA-4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Gerencie atividades de manutenção e diagnóstico não locais | CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais | Manual, Desativado | 1.1.0 |
Manutenção não local de documentos
ID: FedRAMP High MA-4 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Gerencie atividades de manutenção e diagnóstico não locais | CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais | Manual, Desativado | 1.1.0 |
Segurança / Sanitização Comparável
ID: FedRAMP High MA-4 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Executar todas as manutenções não locais | CMA_C1417 - Realizar toda a manutenção não local | Manual, Desativado | 1.1.0 |
Proteção criptográfica
ID: FedRAMP Alto MA-4 (6) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar mecanismos criptográficos | CMA_C1419 - Implementar mecanismos criptográficos | Manual, Desativado | 1.1.0 |
Pessoal de Manutenção
ID: FedRAMP High MA-5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Designar pessoal para supervisionar as atividades de manutenção não autorizadas | CMA_C1422 - Designar pessoal para supervisionar as atividades de manutenção não autorizadas | Manual, Desativado | 1.1.0 |
Manter a lista de pessoal de manutenção remoto autorizado | CMA_C1420 - Manter lista de pessoal de manutenção remoto autorizado | Manual, Desativado | 1.1.0 |
Gerir o pessoal de manutenção | CMA_C1421 - Gerir o pessoal de manutenção | Manual, Desativado | 1.1.0 |
Indivíduos sem acesso adequado
ID: FedRAMP Alto MA-5 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Manutenção atempada
ID: FedRAMP High MA-6 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer suporte de manutenção em tempo hábil | CMA_C1425 - Fornecer suporte de manutenção em tempo hábil | Manual, Desativado | 1.1.0 |
Proteção dos meios de comunicação social
Política e procedimentos de proteção dos meios de comunicação social
ID: FedRAMP High MP-1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Rever e atualizar políticas e procedimentos de proteção de mídia | Manual, Desativado | 1.1.0 |
Acesso à Mídia
ID: FedRAMP High MP-2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Marcação de mídia
ID: FedRAMP High MP-3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Armazenamento de mídia
ID: FedRAMP High MP-4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Transporte de Mídia
ID: FedRAMP High MP-5 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Gerir o transporte de ativos | CMA_0370 - Gerir o transporte de ativos | Manual, Desativado | 1.1.0 |
Proteção criptográfica
ID: FedRAMP High MP-5 (4) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Gerir o transporte de ativos | CMA_0370 - Gerir o transporte de ativos | Manual, Desativado | 1.1.0 |
Higienização de Mídia
ID: FedRAMP High MP-6 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Rever / Aprovar / Acompanhar / Documentar / Verificar
ID: FedRAMP High MP-6 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Testes de Equipamentos
ID: FedRAMP High MP-6 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Utilização dos meios de comunicação social
ID: FedRAMP High MP-7 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Controlar a utilização de dispositivos de armazenamento portáteis | CMA_0083 - Controlar a utilização de dispositivos de armazenamento portáteis | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Restringir o uso de mídia | CMA_0450 - Restringir o uso de mídia | Manual, Desativado | 1.1.0 |
Proibir Uso Sem Proprietário
ID: FedRAMP High MP-7 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Controlar a utilização de dispositivos de armazenamento portáteis | CMA_0083 - Controlar a utilização de dispositivos de armazenamento portáteis | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Restringir o uso de mídia | CMA_0450 - Restringir o uso de mídia | Manual, Desativado | 1.1.0 |
Proteção Física e Ambiental
Política e Procedimentos de Proteção Física e Ambiental
ID: FedRAMP Alta Propriedade PE-1: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Rever e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais | Manual, Desativado | 1.1.0 |
Autorizações de acesso físico
ID: FedRAMP Alta Propriedade PE-2: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
Controlo de Acesso Físico
ID: FedRAMP Alta Propriedade PE-3: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
Estabelecer e manter um inventário de ativos | CMA_0266 - Estabelecer e manter um inventário de ativos | Manual, Desativado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Controle de acesso para meio de transmissão
ID: FedRAMP Alta Propriedade PE-4: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Controle de acesso para dispositivos de saída
ID: FedRAMP Alta Propriedade PE-5: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
Alarmes de Intrusão / Equipamentos de Vigilância
ID: FedRAMP High PE-6 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Instalar um sistema de alarme | CMA_0338 - Instalar um sistema de alarme | Manual, Desativado | 1.1.0 |
Gerencie um sistema de câmera de vigilância seguro | CMA_0354 - Gerencie um sistema de câmera de vigilância seguro | Manual, Desativado | 1.1.0 |
Registos de Acesso de Visitantes
ID: FedRAMP Alta Propriedade PE-8: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Iluminação de emergência
ID: FedRAMP Alta Propriedade PE-12: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Utilize iluminação de emergência automática | CMA_0209 - Utilizar iluminação de emergência automática | Manual, Desativado | 1.1.0 |
Proteção Contra Incêndios
ID: FedRAMP Alta Propriedade PE-13: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Dispositivos / Sistemas de Deteção
ID: FedRAMP High PE-13 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar uma metodologia de teste de penetração | CMA_0306 - Implementar uma metodologia de testes de penetração | Manual, Desativado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Executar ataques de simulação | CMA_0486 - Executar ataques de simulação | Manual, Desativado | 1.1.0 |
Dispositivos / Sistemas de Supressão
ID: FedRAMP High PE-13 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Supressão Automática de Incêndios
ID: FedRAMP High PE-13 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Controles de temperatura e umidade
ID: FedRAMP Alta Propriedade PE-14: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Monitorização com Alarmes / Notificações
ID: FedRAMP High PE-14 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Instalar um sistema de alarme | CMA_0338 - Instalar um sistema de alarme | Manual, Desativado | 1.1.0 |
Proteção contra danos causados pela água
ID: FedRAMP High PE-15 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Entrega E Remoção
ID: FedRAMP Alta PE-16 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir requisitos para o gerenciamento de ativos | CMA_0125 - Definir requisitos para a gestão de ativos | Manual, Desativado | 1.1.0 |
Gerir o transporte de ativos | CMA_0370 - Gerir o transporte de ativos | Manual, Desativado | 1.1.0 |
Local de Trabalho Alternativo
ID: FedRAMP Alta PE-17 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
Localização dos componentes do sistema de informação
ID: FedRAMP Alta PE-18 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Planeamento
Política e procedimentos de planejamento de segurança
ID: FedRAMP Alta Propriedade PL-1: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Rever e atualizar políticas e procedimentos de planeamento | Manual, Desativado | 1.1.0 |
Plano de Segurança do Sistema
ID: FedRAMP High PL-2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
Desenvolver políticas e procedimentos de segurança da informação | CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação | Manual, Desativado | 1.1.0 |
Desenvolver SSP que atenda aos critérios | CMA_C1492 - Desenvolver SSP que atenda aos critérios | Manual, Desativado | 1.1.0 |
Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
Planear/coordenar com outras entidades organizacionais
ID: FedRAMP High PL-2 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
Regras de Comportamento
ID: FedRAMP Alta Propriedade PL-4: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver políticas e procedimentos de uso aceitável | CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável | Manual, Desativado | 1.1.0 |
Desenvolver a política de código de conduta da organização | CMA_0159 - Desenvolver a política de código de conduta da organização | Manual, Desativado | 1.1.0 |
Documentar a aceitação dos requisitos de privacidade pelo pessoal | CMA_0193 - Documentar a aceitação dos requisitos de privacidade pelo pessoal | Manual, Desativado | 1.1.0 |
Aplicar regras de comportamento e acordos de acesso | CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
Proibir práticas desleais | CMA_0396 - Proibir as práticas desleais | Manual, Desativado | 1.1.0 |
Rever e assinar regras de comportamento revistas | CMA_0465 - Rever e assinar regras de comportamento revistas | Manual, Desativado | 1.1.0 |
Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
Atualizar regras de comportamento e acordos de acesso | CMA_0521 - Atualizar regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
Atualizar regras de comportamento e acordos de acesso a cada 3 anos | CMA_0522 - Atualizar regras de comportamento e acordos de acesso a cada 3 anos | Manual, Desativado | 1.1.0 |
Restrições de redes sociais e redes sociais
ID: FedRAMP High PL-4 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver políticas e procedimentos de uso aceitável | CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável | Manual, Desativado | 1.1.0 |
Arquitetura de Segurança da Informação
ID: FedRAMP Alta Propriedade PL-8: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver um conceito de operações (CONOPS) | CMA_0141 - Desenvolver um conceito de operações (CONOPS) | Manual, Desativado | 1.1.0 |
Revisar e atualizar a arquitetura de segurança da informação | CMA_C1504 - Rever e atualizar a arquitetura de segurança da informação | Manual, Desativado | 1.1.0 |
Segurança Pessoal
Política e Procedimentos de Segurança Pessoal
ID: FedRAMP Alta Propriedade PS-1: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Rever e atualizar políticas e procedimentos de segurança pessoal | CMA_C1507 - Rever e atualizar políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
Designação do Risco de Posição
ID: FedRAMP Alta Propriedade PS-2: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Atribuir designações de risco | CMA_0016 - Atribuir designações de risco | Manual, Desativado | 1.1.0 |
Triagem de pessoal
ID: FedRAMP Alta Propriedade PS-3: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Pessoal claro com acesso a informações classificadas | CMA_0054 - Pessoal claro com acesso a informação classificada | Manual, Desativado | 1.1.0 |
Implementar a triagem de pessoal | CMA_0322 - Implementar a triagem de pessoal | Manual, Desativado | 1.1.0 |
Retriagem de indivíduos em uma frequência definida | CMA_C1512 - Retriagem de indivíduos em uma frequência definida | Manual, Desativado | 1.1.0 |
Informações com medidas especiais de proteção
ID: FedRAMP High PS-3 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
Rescisão de Pessoal
ID: FedRAMP Alta Propriedade PS-4: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Conduzir entrevista de saída após a rescisão | CMA_0058 - Conduzir entrevista de saída após a rescisão | Manual, Desativado | 1.1.0 |
Desativar autenticadores após a rescisão | CMA_0169 - Desativar autenticadores após a rescisão | Manual, Desativado | 1.1.0 |
Notificar após a rescisão ou transferência | CMA_0381 - Notificar após a rescisão ou transferência | Manual, Desativado | 1.1.0 |
Proteja e impeça o roubo de dados de funcionários que saem | CMA_0398 - Proteja e impeça o roubo de dados da saída de funcionários | Manual, Desativado | 1.1.0 |
Reter dados de usuários encerrados | CMA_0455 - Reter dados de usuários encerrados | Manual, Desativado | 1.1.0 |
Notificação automatizada
ID: FedRAMP High PS-4 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Automatize a notificação de rescisão de funcionários | CMA_C1521 - Automatize a notificação de rescisão de funcionários | Manual, Desativado | 1.1.0 |
Transferência de Pessoal
ID: FedRAMP Alta Propriedade PS-5: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Iniciar ações de transferência ou reatribuição | CMA_0333 - Iniciar ações de transferência ou reatribuição | Manual, Desativado | 1.1.0 |
Modificar autorizações de acesso após transferência de pessoal | CMA_0374 - Modificar as autorizações de acesso após a transferência de pessoal | Manual, Desativado | 1.1.0 |
Notificar após a rescisão ou transferência | CMA_0381 - Notificar após a rescisão ou transferência | Manual, Desativado | 1.1.0 |
Reavaliar o acesso após a transferência de pessoal | CMA_0424 - Reavaliar o acesso após a transferência de pessoal | Manual, Desativado | 1.1.0 |
Acordos de Acesso
ID: FedRAMP Alta Propriedade PS-6: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Documentar contratos de acesso organizacional | CMA_0192 - Documentar acordos de acesso organizacional | Manual, Desativado | 1.1.0 |
Aplicar regras de comportamento e acordos de acesso | CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
Garantir que os acordos de acesso sejam assinados ou renunciados em tempo hábil | CMA_C1528 - Garantir que os acordos de acesso sejam assinados ou renunciados em tempo hábil | Manual, Desativado | 1.1.0 |
Exigir que os usuários assinem o contrato de acesso | CMA_0440 - Exigir que os usuários assinem o contrato de acesso | Manual, Desativado | 1.1.0 |
Atualizar contratos de acesso organizacional | CMA_0520 - Atualizar acordos de acesso organizacional | Manual, Desativado | 1.1.0 |
Segurança de pessoal de terceiros
ID: FedRAMP Alta Propriedade PS-7: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Documentar requisitos de segurança de pessoal de terceiros | CMA_C1531 - Documentar requisitos de segurança de pessoal de terceiros | Manual, Desativado | 1.1.0 |
Estabelecer requisitos de segurança de pessoal de terceiros | CMA_C1529 - Estabelecer requisitos de segurança de pessoal de terceiros | Manual, Desativado | 1.1.0 |
Monitore a conformidade de provedores terceirizados | CMA_C1533 - Monitorar a conformidade de provedores terceirizados | Manual, Desativado | 1.1.0 |
Exigir notificação de transferência ou rescisão de pessoal de terceiros | CMA_C1532 - Exigir notificação de transferência ou rescisão de pessoal de terceiros | Manual, Desativado | 1.1.0 |
Exigir que provedores terceirizados cumpram as políticas e procedimentos de segurança pessoal | CMA_C1530 - Exigir que fornecedores terceirizados cumpram as políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
Sanções contra o pessoal
ID: FedRAMP Alta PS-8 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar um processo formal de sanções | CMA_0317 - Implementar um processo formal de sanções | Manual, Desativado | 1.1.0 |
Notificar o pessoal sobre sanções | CMA_0380 - Notificar o pessoal sobre sanções | Manual, Desativado | 1.1.0 |
Avaliação de Riscos
Política e Procedimentos de Avaliação de Riscos
ID: FedRAMP Alta RA-1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Rever e atualizar as políticas e procedimentos de avaliação de riscos | CMA_C1537 - Rever e atualizar as políticas e procedimentos de avaliação de riscos | Manual, Desativado | 1.1.0 |
Categorização de Segurança
ID: FedRAMP High RA-2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Categorizar informações | CMA_0052 - Categorizar informações | Manual, Desativado | 1.1.0 |
Desenvolver sistemas de classificação de empresas | CMA_0155 - Desenvolver sistemas de classificação de empresas | Manual, Desativado | 1.1.0 |
Garantir que a categorização de segurança seja aprovada | CMA_C1540 - Garantir que a categorização de segurança seja aprovada | Manual, Desativado | 1.1.0 |
Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
Avaliação de Riscos
ID: FedRAMP Alta Propriedade RA-3: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar Avaliação de Risco | CMA_C1543 - Realizar Avaliação de Risco | Manual, Desativado | 1.1.0 |
Realizar a avaliação de riscos e distribuir os seus resultados | CMA_C1544 - Realizar a avaliação de riscos e distribuir os seus resultados | Manual, Desativado | 1.1.0 |
Realizar avaliações de risco e documentar seus resultados | CMA_C1542 - Realizar a avaliação de riscos e documentar os seus resultados | Manual, Desativado | 1.1.0 |
Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Análise de vulnerabilidades
ID: FedRAMP High RA-5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidade do SQL verifica seu banco de dados em busca de vulnerabilidades de segurança e expõe quaisquer desvios das práticas recomendadas, como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança do seu banco de dados. | AuditIfNotExists, desativado | 1.0.0 |
As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
A avaliação de vulnerabilidade deve ser habilitada na Instância Gerenciada SQL | Audite cada Instância Gerenciada do SQL que não tenha verificações recorrentes de avaliação de vulnerabilidades habilitadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 1.0.1 |
A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL | Audite os servidores SQL do Azure que não têm a avaliação de vulnerabilidades configurada corretamente. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 3.0.0 |
A avaliação de vulnerabilidades deve ser ativada em seus espaços de trabalho Synapse | Descubra, rastreie e corrija possíveis vulnerabilidades configurando verificações recorrentes de avaliação de vulnerabilidades SQL em seus espaços de trabalho Synapse. | AuditIfNotExists, desativado | 1.0.0 |
Capacidade da ferramenta de atualização
ID: FedRAMP Alto RA-5 (1) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Atualização por frequência / Antes de nova varredura / Quando identificado
ID: FedRAMP High RA-5 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Amplitude / Profundidade de Cobertura
ID: FedRAMP Alto RA-5 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Informações detetáveis
ID: FedRAMP Alto RA-5 (4) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Tome medidas em resposta às informações do cliente | CMA_C1554 - Tome medidas em resposta às informações do cliente | Manual, Desativado | 1.1.0 |
Acesso Privilegiado
ID: FedRAMP High RA-5 (5) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades | CMA_C1555 - Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades | Manual, Desativado | 1.1.0 |
Análises de tendências automatizadas
ID: FedRAMP Alto RA-5 (6) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Observar e comunicar falhas de segurança | CMA_0384 - Observar e comunicar falhas de segurança | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar modelagem de ameaças | CMA_0392 - Executar modelagem de ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Revisar registros históricos de auditoria
ID: FedRAMP Alto RA-5 (8) Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Correlacione registros de auditoria | CMA_0087 - Correlacionar registos de auditoria | Manual, Desativado | 1.1.0 |
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Estabelecer requisitos para revisão de auditoria e relatórios | CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios | Manual, Desativado | 1.1.0 |
Integre a revisão, análise e emissão de relatórios de auditoria | CMA_0339 - Integre a revisão, análise e relatórios de auditoria | Manual, Desativado | 1.1.0 |
Integre a segurança de aplicativos na nuvem com um siem | CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem | Manual, Desativado | 1.1.0 |
Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
Revise as atribuições do administrador semanalmente | CMA_0461 - Revisar as atribuições do administrador semanalmente | Manual, Desativado | 1.1.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Revise a visão geral do relatório de identidade na nuvem | CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem | Manual, Desativado | 1.1.0 |
Rever eventos de acesso controlado a pastas | CMA_0471 - Revisar eventos de acesso controlado a pastas | Manual, Desativado | 1.1.0 |
Rever eventos de proteção de exploração | CMA_0472 - Analisar eventos de proteção de exploração | Manual, Desativado | 1.1.0 |
Rever a atividade de ficheiros e pastas | CMA_0473 - Revisar a atividade de arquivos e pastas | Manual, Desativado | 1.1.0 |
Revisar as alterações do grupo de funções semanalmente | CMA_0476 - Revisar as mudanças do grupo de funções semanalmente | Manual, Desativado | 1.1.0 |
Correlacione informações de varredura
ID: FedRAMP High RA-5 (10) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Correlacione informações de verificação de vulnerabilidade | CMA_C1558 - Correlacione informações de verificação de vulnerabilidade | Manual, Desativado | 1.1.1 |
Aquisição de Sistemas e Serviços
Política e Procedimentos de Aquisição de Sistemas e Serviços
ID: FedRAMP High SA-1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desativado | 1.1.0 |
Alocação de recursos
ID: FedRAMP Alta SA-2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Alinhe os objetivos de negócios e as metas de TI | CMA_0008 - Alinhar objetivos de negócios e metas de TI | Manual, Desativado | 1.1.0 |
Alocar recursos na determinação dos requisitos do sistema de informações | CMA_C1561 - Alocar recursos na determinação dos requisitos do sistema de informação | Manual, Desativado | 1.1.0 |
Estabelecer um item de linha discreto na documentação de orçamento | CMA_C1563 - Estabelecer um item de linha discreto na documentação de orçamento | Manual, Desativado | 1.1.0 |
Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
Governar a alocação de recursos | CMA_0293 - Governar a afetação de recursos | Manual, Desativado | 1.1.0 |
Garantir o compromisso da liderança | CMA_0489 - Garantir o compromisso da liderança | Manual, Desativado | 1.1.0 |
Ciclo de Vida de Desenvolvimento do Sistema
ID: FedRAMP Alta SA-3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir funções e responsabilidades de segurança da informação | CMA_C1565 - Definir funções e responsabilidades de segurança da informação | Manual, Desativado | 1.1.0 |
Identificar indivíduos com funções e responsabilidades de segurança | CMA_C1566 - Identificar indivíduos com funções e responsabilidades de segurança | Manual, Desativado | 1.1.1 |
Integre o processo de gerenciamento de riscos ao SDLC | CMA_C1567 - Integrar o processo de gestão de riscos no SDLC | Manual, Desativado | 1.1.0 |
Processo de Aquisição
ID: FedRAMP Alta SA-4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
Propriedades funcionais dos controles de segurança
ID: FedRAMP High SA-4 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Obter propriedades funcionais dos controles de segurança | CMA_C1575 - Obter propriedades funcionais dos controlos de segurança | Manual, Desativado | 1.1.0 |
Informações de projeto/implementação para controles de segurança
ID: FedRAMP High SA-4 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Obter informações de projeto e implementação para os controles de segurança | CMA_C1576 - Obter informações de projeto e implementação para os controles de segurança | Manual, Desativado | 1.1.1 |
Plano de Monitorização Contínua
ID: FedRAMP Alto SA-4 (8) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Obter um plano de monitoramento contínuo para controles de segurança | CMA_C1577 - Obter um plano de monitorização contínua dos controlos de segurança | Manual, Desativado | 1.1.0 |
Funções / Portas / Protocolos / Serviços em Uso
ID: FedRAMP High SA-4 (9) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Exigir que o desenvolvedor identifique portas, protocolos e serviços SDLC | CMA_C1578 - Exigir que o desenvolvedor identifique portas, protocolos e serviços SDLC | Manual, Desativado | 1.1.0 |
Uso de produtos Piv aprovados
ID: FedRAMP High SA-4 (10) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar tecnologia aprovada pelo FIPS 201 para PIV | CMA_C1579 - Empregar tecnologia aprovada pelo FIPS 201 para PIV | Manual, Desativado | 1.1.0 |
Documentação do Sistema de Informação
ID: FedRAMP Alta SA-5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Distribuir a documentação do sistema de informação | CMA_C1584 - Distribuir a documentação do sistema de informação | Manual, Desativado | 1.1.0 |
Documentar ações definidas pelo cliente | CMA_C1582 - Documentar ações definidas pelo cliente | Manual, Desativado | 1.1.0 |
Obter documentação do administrador | CMA_C1580 - Obter documentação do administrador | Manual, Desativado | 1.1.0 |
Obter documentação da função de segurança do usuário | CMA_C1581 - Obter documentação da função de segurança do usuário | Manual, Desativado | 1.1.0 |
Proteja a documentação do administrador e do usuário | CMA_C1583 - Proteja a documentação do administrador e do usuário | Manual, Desativado | 1.1.0 |
Serviços de Sistemas de Informação Externos
ID: FedRAMP High SA-9 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir e documentar a supervisão governamental | CMA_C1587 - Definir e documentar a supervisão governamental | Manual, Desativado | 1.1.0 |
Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | Manual, Desativado | 1.1.0 |
Analisar a conformidade do provedor de serviços de nuvem com políticas e contratos | CMA_0469 - Analisar a conformidade do fornecedor de serviços na nuvem com políticas e acordos | Manual, Desativado | 1.1.0 |
Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
Avaliações de Risco / Aprovações Organizacionais
ID: FedRAMP High SA-9 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar o risco em relações com terceiros | CMA_0014 - Avaliar o risco nas relações com terceiros | Manual, Desativado | 1.1.0 |
Obter aprovações para aquisições e terceirização | CMA_C1590 - Obter aprovações para aquisições e outsourcing | Manual, Desativado | 1.1.0 |
Identificação de Funções / Portas / Protocolos / Serviços
ID: FedRAMP High SA-9 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Identificar fornecedores de serviços externos | CMA_C1591 - Identificar prestadores de serviços externos | Manual, Desativado | 1.1.0 |
Interesses consistentes de consumidores e fornecedores
ID: FedRAMP High SA-9 (4) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Garantir que os fornecedores externos satisfaçam consistentemente os interesses dos clientes | CMA_C1592 - Garantir que os fornecedores externos satisfaçam consistentemente os interesses dos clientes | Manual, Desativado | 1.1.0 |
Local de processamento, armazenamento e serviço
ID: FedRAMP High SA-9 (5) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Restringir a localização do processamento, armazenamento e serviços de informações | CMA_C1593 - Restringir a localização do processamento, armazenamento e serviços de informações | Manual, Desativado | 1.1.0 |
Gerenciamento de configuração do desenvolvedor
ID: FedRAMP Alta SA-10 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Resolver vulnerabilidades de codificação | CMA_0003 - Resolver vulnerabilidades de codificação | Manual, Desativado | 1.1.0 |
Desenvolver e documentar requisitos de segurança de aplicativos | CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos | Manual, Desativado | 1.1.0 |
Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
Estabeleça um programa seguro de desenvolvimento de software | CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | Manual, Desativado | 1.1.0 |
Exigir que os desenvolvedores implementem apenas as alterações aprovadas | CMA_C1596 - Exigir que os desenvolvedores implementem apenas as alterações aprovadas | Manual, Desativado | 1.1.0 |
Exigir que os desenvolvedores gerenciem a integridade das alterações | CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade das alterações | Manual, Desativado | 1.1.0 |
Verificação de Integridade de Software/Firmware
ID: FedRAMP High SA-10 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Verificar a integridade do software, firmware e informações | CMA_0542 - Verificar a integridade do software, firmware e informação | Manual, Desativado | 1.1.0 |
Testes e avaliação de segurança do desenvolvedor
ID: FedRAMP Alta SA-11 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Exigir que os desenvolvedores apresentem provas da execução do plano de avaliação de segurança | CMA_C1602 - Exigir que os desenvolvedores apresentem provas da execução do plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
Proteção da cadeia de suprimentos
ID: FedRAMP High SA-12 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar o risco em relações com terceiros | CMA_0014 - Avaliar o risco nas relações com terceiros | Manual, Desativado | 1.1.0 |
Definir requisitos para o fornecimento de bens e serviços | CMA_0126 - Definir requisitos para o fornecimento de bens e serviços | Manual, Desativado | 1.1.0 |
Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
Estabelecer políticas para a gestão de riscos da cadeia de valor | CMA_0275 - Estabelecer políticas para a gestão de riscos da cadeia de abastecimento | Manual, Desativado | 1.1.0 |
Processo de desenvolvimento, padrões e ferramentas
ID: FedRAMP High SA-15 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Rever o processo de desenvolvimento, normas e ferramentas | CMA_C1610 - Rever o processo de desenvolvimento, normas e ferramentas | Manual, Desativado | 1.1.0 |
Treinamento fornecido pelo desenvolvedor
ID: FedRAMP Alta SA-16 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Exigir que os desenvolvedores forneçam treinamento | CMA_C1611 - Exigir que os desenvolvedores forneçam treinamento | Manual, Desativado | 1.1.0 |
Arquitetura e design de segurança do desenvolvedor
ID: FedRAMP Alta SA-17 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Exigir que os desenvolvedores criem uma arquitetura de segurança | CMA_C1612 - Exigir que os desenvolvedores criem uma arquitetura de segurança | Manual, Desativado | 1.1.0 |
Exigir que os desenvolvedores descrevam funcionalidades de segurança precisas | CMA_C1613 - Exigir que os desenvolvedores descrevam funcionalidades de segurança precisas | Manual, Desativado | 1.1.0 |
Exigir que os desenvolvedores forneçam uma abordagem unificada de proteção de segurança | CMA_C1614 - Exigir que os desenvolvedores forneçam uma abordagem unificada de proteção de segurança | Manual, Desativado | 1.1.0 |
Proteção de Sistemas e Comunicações
Política e Procedimentos de Proteção de Sistemas e Comunicações
ID: FedRAMP Alta Propriedade SC-1: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
Particionamento de aplicativos
ID: FedRAMP Alta Propriedade SC-2: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
Funcionalidade separada de gerenciamento de usuários e sistemas de informação | CMA_0493 - Separe a funcionalidade de gestão do utilizador e do sistema de informação | Manual, Desativado | 1.1.0 |
Usar máquinas dedicadas para tarefas administrativas | CMA_0527 - Use máquinas dedicadas para tarefas administrativas | Manual, Desativado | 1.1.0 |
Isolamento da função de segurança
ID: FedRAMP Alta Propriedade SC-3: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). | AuditIfNotExists, desativado | 2.0.0 |
Proteção contra negação de serviço
ID: FedRAMP Alta Propriedade SC-5: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
A Proteção contra DDoS do Azure deve ser habilitada | A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desativado | 3.0.1 |
O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
Desenvolver e documentar um plano de resposta a DDoS | CMA_0147 - Desenvolver e documentar um plano de resposta a DDoS | Manual, Desativado | 1.1.0 |
O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
Disponibilidade do Recurso
ID: FedRAMP Alta Propriedade SC-6: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Governar a alocação de recursos | CMA_0293 - Governar a afetação de recursos | Manual, Desativado | 1.1.0 |
Gerencie a disponibilidade e a capacidade | CMA_0356 - Gerencie disponibilidade e capacidade | Manual, Desativado | 1.1.0 |
Garantir o compromisso da liderança | CMA_0489 - Garantir o compromisso da liderança | Manual, Desativado | 1.1.0 |
Proteção de Fronteiras
ID: FedRAMP Alta Propriedade SC-7: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Preterido]: os serviços de Pesquisa Cognitiva do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Desativado | 1.0.1-preterido |
[Preterido]: Serviços Cognitivos devem usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Auditoria, Desativado | 3.0.1-preterido |
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte | AuditIfNotExists, desativado | 3.0.0-Pré-visualização |
[Pré-visualização]: O acesso público à conta de armazenamento não deve ser permitido | O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. | auditoria, auditoria, negar, negar, desativado, desativado | 3.1.0-Pré-visualização |
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
Os serviços de gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que não seja da Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. | Auditoria, Negar, Desativado | 1.0.2 |
A configuração do aplicativo deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desativado | 1.0.2 |
Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. | Auditoria, Desativado | 2.0.1 |
Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede | Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço Azure AI. | Auditoria, Negar, Desativado | 3.2.0 |
A API do Azure para FHIR deve usar o link privado | A API do Azure para FHIR deve ter pelo menos uma conexão de ponto de extremidade privada aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privadas por meio de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. | Auditoria, Desativado | 1.0.0 |
O Cache Redis do Azure deve usar o link privado | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desativado | 1.0.0 |
O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado | Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
Os serviços da Pesquisa Cognitiva do Azure devem desativar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que seu serviço de Pesquisa Cognitiva do Azure não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do seu serviço de Pesquisa. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra IP definida com o filtro de rede virtual ativado são consideradas compatíveis. As contas que desativam o acesso público também são consideradas compatíveis. | Auditoria, Negar, Desativado | 2.1.0 |
O Azure Data Factory deve usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desativado | 1.0.0 |
Os domínios da Grade de Eventos do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
Os tópicos da Grade de Eventos do Azure devem usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
O Azure File Sync deve usar o link privado | A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desativado | 1.0.0 |
O Azure Key Vault deve ter firewall ativado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Auditoria, Negar, Desativado | 3.2.1 |
Os Cofres de Chaves do Azure devem usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parâmetros(«audit_effect»)] | 1.2.1 |
Os espaços de trabalho do Azure Machine Learning devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Auditoria, Desativado | 1.0.0 |
Os namespaces do Barramento de Serviço do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
O Serviço Azure SignalR deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Auditoria, Desativado | 1.0.0 |
Os espaços de trabalho do Azure Synapse devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Auditoria, Desativado | 1.0.1 |
O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
O Serviço Azure Web PubSub deve usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu Serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Auditoria, Desativado | 1.0.0 |
Os registos de contentores não devem permitir o acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de terminais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registro não tiver regras de rede configuradas, ele aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Auditoria, Negar, Desativado | 2.0.0 |
Os registos de contentores devem utilizar a ligação privada | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Auditoria, Desativado | 1.0.1 |
As contas do CosmosDB devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Auditoria, Desativado | 1.0.0 |
Os recursos de acesso ao disco devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desativado | 1.0.0 |
Os namespaces do Hub de Eventos devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Auditoria, Desativado | 1.0.0 |
O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desativado | 1.1.0 |
Ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
Ponto de extremidade privado deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 1.1.0 |
O acesso à rede pública deve ser desativado para servidores MariaDB | Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.0 |
O acesso à rede pública deve ser desativado para servidores MySQL | Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MySQL só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.0 |
O acesso à rede pública deve ser desabilitado para servidores PostgreSQL | Desabilite a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para PostgreSQL só possa ser acessado a partir de um ponto de extremidade privado. Esta configuração desativa o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os inícios de sessão que correspondam a regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.1 |
As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Auditoria, Negar, Desativado | 1.0.1 |
As contas de armazenamento devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 2.0.0 |
As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
Os modelos do Construtor de Imagens de VM devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditar, Desabilitar, Negar | 1.1.0 |
O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
Pontos de Acesso
ID: FedRAMP High SC-7 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Preterido]: os serviços de Pesquisa Cognitiva do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Desativado | 1.0.1-preterido |
[Preterido]: Serviços Cognitivos devem usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Auditoria, Desativado | 3.0.1-preterido |
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte | AuditIfNotExists, desativado | 3.0.0-Pré-visualização |
[Pré-visualização]: O acesso público à conta de armazenamento não deve ser permitido | O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. | auditoria, auditoria, negar, negar, desativado, desativado | 3.1.0-Pré-visualização |
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
Os serviços de gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que não seja da Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. | Auditoria, Negar, Desativado | 1.0.2 |
A configuração do aplicativo deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desativado | 1.0.2 |
Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. | Auditoria, Desativado | 2.0.1 |
Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede | Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço Azure AI. | Auditoria, Negar, Desativado | 3.2.0 |
A API do Azure para FHIR deve usar o link privado | A API do Azure para FHIR deve ter pelo menos uma conexão de ponto de extremidade privada aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privadas por meio de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. | Auditoria, Desativado | 1.0.0 |
O Cache Redis do Azure deve usar o link privado | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desativado | 1.0.0 |
O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado | Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
Os serviços da Pesquisa Cognitiva do Azure devem desativar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que seu serviço de Pesquisa Cognitiva do Azure não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do seu serviço de Pesquisa. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra IP definida com o filtro de rede virtual ativado são consideradas compatíveis. As contas que desativam o acesso público também são consideradas compatíveis. | Auditoria, Negar, Desativado | 2.1.0 |
O Azure Data Factory deve usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desativado | 1.0.0 |
Os domínios da Grade de Eventos do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
Os tópicos da Grade de Eventos do Azure devem usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
O Azure File Sync deve usar o link privado | A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desativado | 1.0.0 |
O Azure Key Vault deve ter firewall ativado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Auditoria, Negar, Desativado | 3.2.1 |
Os Cofres de Chaves do Azure devem usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parâmetros(«audit_effect»)] | 1.2.1 |
Os espaços de trabalho do Azure Machine Learning devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Auditoria, Desativado | 1.0.0 |
Os namespaces do Barramento de Serviço do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
O Serviço Azure SignalR deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Auditoria, Desativado | 1.0.0 |
Os espaços de trabalho do Azure Synapse devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Auditoria, Desativado | 1.0.1 |
O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
O Serviço Azure Web PubSub deve usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu Serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. | Auditoria, Desativado | 1.0.0 |
Os registos de contentores não devem permitir o acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de terminais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registro não tiver regras de rede configuradas, ele aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Auditoria, Negar, Desativado | 2.0.0 |
Os registos de contentores devem utilizar a ligação privada | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Auditoria, Desativado | 1.0.1 |
As contas do CosmosDB devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Auditoria, Desativado | 1.0.0 |
Os recursos de acesso ao disco devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desativado | 1.0.0 |
Os namespaces do Hub de Eventos devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Auditoria, Desativado | 1.0.0 |
O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desativado | 1.1.0 |
Ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
Ponto de extremidade privado deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 1.1.0 |
O acesso à rede pública deve ser desativado para servidores MariaDB | Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.0 |
O acesso à rede pública deve ser desativado para servidores MySQL | Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MySQL só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.0 |
O acesso à rede pública deve ser desabilitado para servidores PostgreSQL | Desabilite a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para PostgreSQL só possa ser acessado a partir de um ponto de extremidade privado. Esta configuração desativa o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os inícios de sessão que correspondam a regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.1 |
As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Auditoria, Negar, Desativado | 1.0.1 |
As contas de armazenamento devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 2.0.0 |
As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
Os modelos do Construtor de Imagens de VM devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditar, Desabilitar, Negar | 1.1.0 |
O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
Serviços de Telecomunicações Externas
ID: FedRAMP High SC-7 (4) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar interface gerenciada para cada serviço externo | CMA_C1626 - Implementar interface gerenciada para cada serviço externo | Manual, Desativado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
Proteja a interface para sistemas externos | CMA_0491 - Proteger a interface para sistemas externos | Manual, Desativado | 1.1.0 |
Impedir tunelamento dividido para dispositivos remotos
ID: FedRAMP High SC-7 (7) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Impedir o túnel dividido para dispositivos remotos | CMA_C1632 - Evitar tunelamento dividido para dispositivos remotos | Manual, Desativado | 1.1.0 |
Rotear tráfego para servidores proxy autenticados
ID: FedRAMP High SC-7 (8) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Encaminhar o tráfego através da rede proxy autenticada | CMA_C1633 - Encaminhar o tráfego através da rede proxy autenticada | Manual, Desativado | 1.1.0 |
Proteção baseada em host
ID: FedRAMP High SC-7 (12) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
Isolamento de ferramentas de segurança / mecanismos / componentes de suporte
ID: FedRAMP High SC-7 (13) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Isolar sistemas SecurID, sistemas de Gestão de Incidentes de Segurança | CMA_C1636 - Isolar sistemas SecurID, sistemas de Gestão de Incidentes de Segurança | Manual, Desativado | 1.1.0 |
Falha Segura
ID: FedRAMP High SC-7 (18) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
Gerencie transferências entre componentes do sistema em espera e ativos | CMA_0371 - Gerencie transferências entre componentes ativos e em espera do sistema | Manual, Desativado | 1.1.0 |
Isolamento Dinâmico / Segregação
ID: FedRAMP High SC-7 (20) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Garantir sistema capaz de isolamento dinâmico de recursos | CMA_C1638 - Garantir sistema capaz de isolamento dinâmico de recursos | Manual, Desativado | 1.1.0 |
Isolamento de componentes do sistema de informação
ID: FedRAMP High SC-7 (21) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar proteção de limites para isolar sistemas de informação | CMA_C1639 - Empregar proteção de fronteiras para isolar sistemas de informação | Manual, Desativado | 1.1.0 |
Confidencialidade e integridade da transmissão
ID: FedRAMP Alta Propriedade SC-8: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 4.0.0 |
Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.1.0 |
Os clusters do Azure HDInsight devem usar criptografia em trânsito para criptografar a comunicação entre nós de cluster do Azure HDInsight | Os dados podem ser adulterados durante a transmissão entre nós de cluster do Azure HDInsight. Habilitar a criptografia em trânsito resolve problemas de uso indevido e adulteração durante essa transmissão. | Auditoria, Negar, Desativado | 1.0.0 |
Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 5.0.0 |
Os aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
Os aplicativos de função devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.1.0 |
Os clusters Kubernetes devem ser acessíveis somente por HTTPS | O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc | auditoria, auditoria, negar, negar, desativado, desativado | 8.2.0 |
Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas | Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 1.0.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 4.1.1 |
Proteção física criptográfica ou alternativa
ID: FedRAMP High SC-8 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 4.0.0 |
Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.1.0 |
Os clusters do Azure HDInsight devem usar criptografia em trânsito para criptografar a comunicação entre nós de cluster do Azure HDInsight | Os dados podem ser adulterados durante a transmissão entre nós de cluster do Azure HDInsight. Habilitar a criptografia em trânsito resolve problemas de uso indevido e adulteração durante essa transmissão. | Auditoria, Negar, Desativado | 1.0.0 |
Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 5.0.0 |
Os aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
Os aplicativos de função devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.1.0 |
Os clusters Kubernetes devem ser acessíveis somente por HTTPS | O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc | auditoria, auditoria, negar, negar, desativado, desativado | 8.2.0 |
Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas | Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 1.0.0 |
A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 4.1.1 |
Desconexão de rede
ID: FedRAMP Alta Propriedade SC-10: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Reautenticar ou encerrar uma sessão de usuário | CMA_0421 - Reautenticar ou encerrar uma sessão de usuário | Manual, Desativado | 1.1.0 |
Estabelecimento e gerenciamento de chaves criptográficas
ID: FedRAMP Alta Propriedade SC-12: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: Os cofres dos Serviços de Recuperação do Azure devem utilizar chaves geridas pelo cliente para encriptar dados de cópia de segurança | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos dados de backup. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/AB-CmkEncryption. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
[Visualização]: os dados do serviço de provisionamento de dispositivos do Hub IoT devem ser criptografados usando chaves gerenciadas pelo cliente (CMK) | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do serviço de provisionamento de dispositivos do Hub IoT. Os dados são automaticamente criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. As CMKs permitem que os dados sejam criptografados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Saiba mais sobre a criptografia CMK em https://aka.ms/dps/CMK. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
Os recursos dos Serviços de IA do Azure devem criptografar dados em repouso com uma chave gerenciada pelo cliente (CMK) | O uso de chaves gerenciadas pelo cliente para criptografar dados em repouso fornece mais controle sobre o ciclo de vida da chave, incluindo rotação e gerenciamento. Isso é particularmente relevante para organizações com requisitos de conformidade relacionados. Isso não é avaliado por padrão e só deve ser aplicado quando exigido por requisitos de conformidade ou de política restritiva. Se não estiverem habilitados, os dados serão criptografados usando chaves gerenciadas pela plataforma. Para implementar isso, atualize o parâmetro 'Effect' na Política de Segurança para o escopo aplicável. | Auditoria, Negar, Desativado | 2.2.0 |
A API do Azure para FHIR deve usar uma chave gerenciada pelo cliente para criptografar dados em repouso | Use uma chave gerenciada pelo cliente para controlar a criptografia em repouso dos dados armazenados na API do Azure para FHIR quando isso for um requisito regulatório ou de conformidade. As chaves gerenciadas pelo cliente também oferecem criptografia dupla, adicionando uma segunda camada de criptografia à padrão feita com chaves gerenciadas por serviço. | auditoria, Auditoria, desativado, Desativado | 1.1.0 |
As contas de Automação do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de suas Contas de Automação do Azure. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/automation-cmk. | Auditoria, Negar, Desativado | 1.0.0 |
A conta do Lote do Azure deve usar chaves gerenciadas pelo cliente para criptografar dados | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos dados da sua conta Batch. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/Batch-CMK. | Auditoria, Negar, Desativado | 1.0.1 |
O grupo de contêineres da Instância de Contêiner do Azure deve usar a chave gerenciada pelo cliente para criptografia | Proteja seus contêineres com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditar, Desabilitar, Negar | 1.0.0 |
As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
Os trabalhos do Azure Data Box devem usar uma chave gerenciada pelo cliente para criptografar a senha de desbloqueio do dispositivo | Use uma chave gerenciada pelo cliente para controlar a criptografia da senha de desbloqueio do dispositivo para o Azure Data Box. As chaves gerenciadas pelo cliente também ajudam a gerenciar o acesso à senha de desbloqueio do dispositivo pelo serviço Data Box, a fim de preparar o dispositivo e copiar dados de forma automatizada. Os dados no próprio dispositivo já estão criptografados em repouso com criptografia de 256 bits Advanced Encryption Standard e a senha de desbloqueio do dispositivo é criptografada por padrão com uma chave gerenciada pela Microsoft. | Auditoria, Negar, Desativado | 1.0.0 |
A criptografia do Azure Data Explorer em repouso deve usar uma chave gerenciada pelo cliente | Habilitar a criptografia em repouso usando uma chave gerenciada pelo cliente em seu cluster do Azure Data Explorer fornece controle adicional sobre a chave que está sendo usada pela criptografia em repouso. Esse recurso geralmente é aplicável a clientes com requisitos especiais de conformidade e requer um Cofre de Chaves para gerenciar as chaves. | Auditoria, Negar, Desativado | 1.0.0 |
As fábricas de dados do Azure devem ser criptografadas com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do Azure Data Factory. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/adf-cmk. | Auditoria, Negar, Desativado | 1.0.1 |
Os clusters do Azure HDInsight devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus clusters do Azure HDInsight. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/hdi.cmk. | Auditoria, Negar, Desativado | 1.0.1 |
Os clusters do Azure HDInsight devem usar criptografia no host para criptografar dados em repouso | Habilitar a criptografia no host ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Quando você habilita a criptografia no host, os dados armazenados no host da VM são criptografados em repouso e fluem criptografados para o serviço de armazenamento. | Auditoria, Negar, Desativado | 1.0.0 |
Os espaços de trabalho do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente | Gerencie a criptografia no restante dos dados do espaço de trabalho do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. | Auditoria, Negar, Desativado | 1.1.0 |
Os clusters do Azure Monitor Logs devem ser criptografados com chave gerenciada pelo cliente | Crie o cluster de logs do Azure Monitor com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados de log são criptografados com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulamentar. A chave gerida pelo cliente no Azure Monitor dá-lhe mais controlo sobre o acesso aos seus dados, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
Os trabalhos do Azure Stream Analytics devem usar chaves gerenciadas pelo cliente para criptografar dados | Use chaves gerenciadas pelo cliente quando quiser armazenar com segurança quaisquer metadados e ativos de dados privados de seus trabalhos do Stream Analytics em sua conta de armazenamento. Isso lhe dá controle total sobre como seus dados do Stream Analytics são criptografados. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
Os espaços de trabalho do Azure Synapse devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para controlar a criptografia em repouso dos dados armazenados nos espaços de trabalho do Azure Synapse. As chaves gerenciadas pelo cliente oferecem criptografia dupla adicionando uma segunda camada de criptografia sobre a criptografia padrão com chaves gerenciadas por serviço. | Auditoria, Negar, Desativado | 1.0.0 |
O Serviço de Bot deve ser criptografado com uma chave gerenciada pelo cliente | O Serviço de Bot do Azure criptografa automaticamente seu recurso para proteger seus dados e cumprir os compromissos organizacionais de segurança e conformidade. Por padrão, as chaves de criptografia gerenciadas pela Microsoft são usadas. Para maior flexibilidade na gestão de chaves ou no controlo do acesso à sua subscrição, selecione chaves geridas pelo cliente, também conhecidas como traga a sua própria chave (BYOK). Saiba mais sobre a criptografia do Serviço de Bot do Azure: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | A encriptação do SO e dos discos de dados utilizando chaves geridas pelo cliente proporciona mais controlo e maior flexibilidade na gestão de chaves. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. | Auditoria, Negar, Desativado | 1.0.1 |
Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. | Auditoria, Negar, Desativado | 1.1.2 |
Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
Os namespaces do Hub de Eventos devem usar uma chave gerenciada pelo cliente para criptografia | Os Hubs de Eventos do Azure dão suporte à opção de criptografar dados em repouso com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite atribuir, girar, desabilitar e revogar o acesso às chaves que o Hub de Eventos usará para criptografar dados em seu namespace. Observe que o Hub de Eventos só oferece suporte à criptografia com chaves gerenciadas pelo cliente para namespaces em clusters dedicados. | Auditoria, Desativado | 1.0.0 |
As contas de cache HPC devem usar a chave gerenciada pelo cliente para criptografia | Gerencie a criptografia em repouso do Cache HPC do Azure com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditar, Desabilitar, Negar | 2.0.0 |
Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
O Ambiente do Serviço de Integração de Aplicativos Lógicos deve ser criptografado com chaves gerenciadas pelo cliente | Implante no Integration Service Environment para gerenciar a criptografia no restante dos dados dos Aplicativos Lógicos usando chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditoria, Negar, Desativado | 1.0.0 |
Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
Os discos gerenciados devem ser duplamente criptografados com chaves gerenciadas pela plataforma e gerenciadas pelo cliente | Os clientes sensíveis à alta segurança que estão preocupados com o risco associado a qualquer algoritmo de criptografia específico, implementação ou chave comprometida podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar criptografia dupla. Saiba mais em https://aka.ms/disks-doubleEncryption. | Auditoria, Negar, Desativado | 1.0.0 |
Os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores MySQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desativado | 1.0.4 |
OS e discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus discos gerenciados. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pela plataforma, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/disks-cmk. | Auditoria, Negar, Desativado | 3.0.0 |
Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desativado | 1.0.4 |
Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
As consultas salvas no Azure Monitor devem ser salvas na conta de armazenamento do cliente para criptografia de logs | Vincule a conta de armazenamento ao espaço de trabalho do Log Analytics para proteger consultas salvas com criptografia de conta de armazenamento. As chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulatória e para ter mais controle sobre o acesso às suas consultas salvas no Azure Monitor. Para obter mais detalhes sobre o acima, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
Os namespaces Premium do Service Bus devem usar uma chave gerenciada pelo cliente para criptografia | O Barramento de Serviço do Azure dá suporte à opção de criptografar dados em repouso com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite atribuir, girar, desabilitar e revogar o acesso às chaves que o Service Bus usará para criptografar dados em seu namespace. Observe que o Service Bus só oferece suporte à criptografia com chaves gerenciadas pelo cliente para namespaces premium. | Auditoria, Desativado | 1.0.0 |
As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.0 |
Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.1 |
Os escopos de criptografia de conta de armazenamento devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos escopos de criptografia da conta de armazenamento. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do cofre de chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre os escopos de criptografia de conta de armazenamento em https://aka.ms/encryption-scopes-overview. | Auditoria, Negar, Desativado | 1.0.0 |
As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de arquivos e blob com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditoria, Desativado | 1.0.3 |
Disponibilidade
ID: FedRAMP High SC-12 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Manter a disponibilidade das informações | CMA_C1644 - Manter a disponibilidade da informação | Manual, Desativado | 1.1.0 |
Chaves simétricas
ID: FedRAMP High SC-12 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Produzir, controlar e distribuir chaves criptográficas simétricas | CMA_C1645 - Produzir, controlar e distribuir chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
Chaves assimétricas
ID: FedRAMP High SC-12 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 - Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desativado | 1.1.0 |
Proteção criptográfica
ID: FedRAMP Alta Propriedade SC-13: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
Dispositivos de computação colaborativa
ID: FedRAMP High SC-15 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Notificar explicitamente o uso de dispositivos de computação colaborativa | CMA_C1649 - Notificar explicitamente o uso de dispositivos de computação colaborativa | Manual, Desativado | 1.1.1 |
Proibir a ativação remota de dispositivos de computação colaborativa | CMA_C1648 - Proibir a ativação remota de dispositivos de computação colaborativa | Manual, Desativado | 1.1.0 |
Certificados de infraestrutura de chave pública
ID: FedRAMP Alta Propriedade SC-17: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
Código Móvel
ID: FedRAMP Alta Propriedade SC-18: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar, monitorar e controlar o uso de tecnologias de código móvel | CMA_C1653 - Autorizar, monitorar e controlar o uso de tecnologias de código móvel | Manual, Desativado | 1.1.0 |
Definir tecnologias de código móvel aceitáveis e inaceitáveis | CMA_C1651 - Definir tecnologias de código móvel aceitáveis e inaceitáveis | Manual, Desativado | 1.1.0 |
Estabelecer restrições de uso para tecnologias de código móvel | CMA_C1652 - Estabelecer restrições de uso para tecnologias de código móvel | Manual, Desativado | 1.1.0 |
Voz sobre Protocolo Internet
ID: FedRAMP Alta Propriedade SC-19: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar, monitorar e controlar voip | CMA_0025 - Autorizar, monitorar e controlar voip | Manual, Desativado | 1.1.0 |
Estabelecer restrições de uso de voip | CMA_0280 - Estabelecer restrições de uso de voip | Manual, Desativado | 1.1.0 |
Serviço de Resolução de Nome/Endereço Seguro (Fonte Autorizada)
ID: FedRAMP Alta Propriedade SC-20: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 - Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desativado | 1.1.0 |
Fornecer serviços seguros de resolução de nomes e endereços | CMA_0416 - Fornecer serviços seguros de resolução de nomes e endereços | Manual, Desativado | 1.1.0 |
Serviço de resolução segura de nomes/endereços (resolvedor recursivo ou de cache)
ID: FedRAMP High SC-21 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 - Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desativado | 1.1.0 |
Verificar a integridade do software, firmware e informações | CMA_0542 - Verificar a integridade do software, firmware e informação | Manual, Desativado | 1.1.0 |
Arquitetura e provisionamento para serviço de resolução de nome/endereço
ID: FedRAMP Alta Propriedade SC-22: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 - Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desativado | 1.1.0 |
Autenticidade da sessão
ID: FedRAMP High SC-23 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
Impor identificadores de sessão exclusivos aleatórios | CMA_0247 - Impor identificadores de sessão únicos aleatórios | Manual, Desativado | 1.1.0 |
Invalidar identificadores de sessão ao sair
ID: FedRAMP High SC-23 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Invalidar identificadores de sessão no logout | CMA_C1661 - Invalidar identificadores de sessão no logout | Manual, Desativado | 1.1.0 |
Falha no estado conhecido
ID: FedRAMP High SC-24 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Garantir que o sistema de informações falhe no estado conhecido | CMA_C1662 - Garantir que o sistema de informação falha no estado conhecido | Manual, Desativado | 1.1.0 |
Proteção de informações em repouso
ID: FedRAMP Alta Propriedade SC-28: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada | Definir InternalEncryption como true criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interna entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Auditoria, Desativado | 1.0.1 |
As variáveis de conta de automação devem ser criptografadas | É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais | Auditoria, Negar, Desativado | 1.1.0 |
Os trabalhos do Azure Data Box devem habilitar a criptografia dupla para dados em repouso no dispositivo | Habilite uma segunda camada de criptografia baseada em software para dados em repouso no dispositivo. O dispositivo já está protegido através da encriptação Advanced Encryption Standard de 256 bits para dados em repouso. Esta opção adiciona uma segunda camada de encriptação de dados. | Auditoria, Negar, Desativado | 1.0.0 |
Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) | Para garantir que a criptografia de dados segura seja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Esta opção é ativada por padrão quando suportada na região, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
Os dispositivos do Azure Stack Edge devem usar criptografia dupla | Para proteger os dados em repouso no dispositivo, certifique-se de que está duplamente encriptado, que o acesso aos dados é controlado e, uma vez que o dispositivo é desativado, os dados são apagados com segurança dos discos de dados. A criptografia dupla é o uso de duas camadas de criptografia: criptografia BitLocker XTS-AES de 256 bits nos volumes de dados e criptografia interna dos discos rígidos. Saiba mais na documentação de visão geral de segurança para o dispositivo Stack Edge específico. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
A criptografia de disco deve ser habilitada no Azure Data Explorer | Habilitar a criptografia de disco ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. | Auditoria, Negar, Desativado | 2.0.0 |
A criptografia dupla deve ser habilitada no Azure Data Explorer | Habilitar a criptografia dupla ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Quando a criptografia dupla é habilitada, os dados na conta de armazenamento são criptografados duas vezes, uma no nível de serviço e outra no nível de infraestrutura, usando dois algoritmos de criptografia diferentes e duas chaves diferentes. | Auditoria, Negar, Desativado | 2.0.0 |
Estabelecer um procedimento de gestão de fugas de dados | CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados | Manual, Desativado | 1.1.0 |
A criptografia de infraestrutura deve ser habilitada para o Banco de Dados do Azure para servidores MySQL | Habilite a criptografia de infraestrutura para o Banco de Dados do Azure para servidores MySQL para ter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas pela Microsoft compatíveis com FIPS 140-2. | Auditoria, Negar, Desativado | 1.0.0 |
A criptografia de infraestrutura deve ser habilitada para o Banco de Dados do Azure para servidores PostgreSQL | Habilite a criptografia de infraestrutura para o Banco de Dados do Azure para servidores PostgreSQL para ter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas pela Microsoft compatíveis com FIPS 140-2 | Auditoria, Negar, Desativado | 1.0.0 |
Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Assinar e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente | Auditoria, Negar, Desativado | 1.1.0 |
As contas de armazenamento devem ter criptografia de infraestrutura | Habilite a criptografia de infraestrutura para obter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. | Auditoria, Negar, Desativado | 1.0.0 |
Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host | Para melhorar a segurança dos dados, os dados armazenados no host da máquina virtual (VM) das VMs dos nós do Serviço Kubernetes do Azure devem ser criptografados em repouso. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. | Auditoria, Negar, Desativado | 1.0.1 |
A criptografia de dados transparente em bancos de dados SQL deve ser habilitada | A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desativado | 2.0.0 |
Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento da máquina virtual. A criptografia no host permite a criptografia em repouso para seus caches de disco temporário e SO/disco de dados. Os discos temporários e efêmeros do sistema operacional são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está ativada. Os caches de disco de SO/dados são criptografados em repouso com chave gerenciada pelo cliente ou gerenciada pela plataforma, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Auditoria, Negar, Desativado | 1.0.0 |
Proteção criptográfica
ID: FedRAMP High SC-28 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada | Definir InternalEncryption como true criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interna entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Auditoria, Desativado | 1.0.1 |
As variáveis de conta de automação devem ser criptografadas | É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais | Auditoria, Negar, Desativado | 1.1.0 |
Os trabalhos do Azure Data Box devem habilitar a criptografia dupla para dados em repouso no dispositivo | Habilite uma segunda camada de criptografia baseada em software para dados em repouso no dispositivo. O dispositivo já está protegido através da encriptação Advanced Encryption Standard de 256 bits para dados em repouso. Esta opção adiciona uma segunda camada de encriptação de dados. | Auditoria, Negar, Desativado | 1.0.0 |
Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) | Para garantir que a criptografia de dados segura seja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Esta opção é ativada por padrão quando suportada na região, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
Os dispositivos do Azure Stack Edge devem usar criptografia dupla | Para proteger os dados em repouso no dispositivo, certifique-se de que está duplamente encriptado, que o acesso aos dados é controlado e, uma vez que o dispositivo é desativado, os dados são apagados com segurança dos discos de dados. A criptografia dupla é o uso de duas camadas de criptografia: criptografia BitLocker XTS-AES de 256 bits nos volumes de dados e criptografia interna dos discos rígidos. Saiba mais na documentação de visão geral de segurança para o dispositivo Stack Edge específico. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
A criptografia de disco deve ser habilitada no Azure Data Explorer | Habilitar a criptografia de disco ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. | Auditoria, Negar, Desativado | 2.0.0 |
A criptografia dupla deve ser habilitada no Azure Data Explorer | Habilitar a criptografia dupla ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Quando a criptografia dupla é habilitada, os dados na conta de armazenamento são criptografados duas vezes, uma no nível de serviço e outra no nível de infraestrutura, usando dois algoritmos de criptografia diferentes e duas chaves diferentes. | Auditoria, Negar, Desativado | 2.0.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
A criptografia de infraestrutura deve ser habilitada para o Banco de Dados do Azure para servidores MySQL | Habilite a criptografia de infraestrutura para o Banco de Dados do Azure para servidores MySQL para ter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas pela Microsoft compatíveis com FIPS 140-2. | Auditoria, Negar, Desativado | 1.0.0 |
A criptografia de infraestrutura deve ser habilitada para o Banco de Dados do Azure para servidores PostgreSQL | Habilite a criptografia de infraestrutura para o Banco de Dados do Azure para servidores PostgreSQL para ter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas pela Microsoft compatíveis com FIPS 140-2 | Auditoria, Negar, Desativado | 1.0.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Assinar e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente | Auditoria, Negar, Desativado | 1.1.0 |
As contas de armazenamento devem ter criptografia de infraestrutura | Habilite a criptografia de infraestrutura para obter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. | Auditoria, Negar, Desativado | 1.0.0 |
Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host | Para melhorar a segurança dos dados, os dados armazenados no host da máquina virtual (VM) das VMs dos nós do Serviço Kubernetes do Azure devem ser criptografados em repouso. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. | Auditoria, Negar, Desativado | 1.0.1 |
A criptografia de dados transparente em bancos de dados SQL deve ser habilitada | A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desativado | 2.0.0 |
Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento da máquina virtual. A criptografia no host permite a criptografia em repouso para seus caches de disco temporário e SO/disco de dados. Os discos temporários e efêmeros do sistema operacional são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está ativada. Os caches de disco de SO/dados são criptografados em repouso com chave gerenciada pelo cliente ou gerenciada pela plataforma, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Auditoria, Negar, Desativado | 1.0.0 |
Isolamento de processos
ID: FedRAMP Alta SC-39 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Manter domínios de execução separados para processos em execução | CMA_C1665 - Manter domínios de execução separados para processos em execução | Manual, Desativado | 1.1.0 |
Integridade do Sistema e da Informação
Política e Procedimentos de Integridade de Sistemas e Informações
ID: FedRAMP Alta SI-1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Revisar e atualizar políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade da informação | Manual, Desativado | 1.1.0 |
Remediação de falhas
ID: FedRAMP High SI-2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
Os aplicativos de função devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
Incorporar a correção de falhas no gerenciamento de configuração | CMA_C1671 - Incorporar a correção de falhas no gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | Atualize seu cluster de serviço do Kubernetes para uma versão posterior do Kubernetes para proteger contra vulnerabilidades conhecidas na sua versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ do Kubernetes | Auditoria, Desativado | 1.0.2 |
Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
Status de correção automatizada de falhas
ID: FedRAMP High SI-2 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Automatize a correção de falhas | CMA_0027 - Automatize a correção de falhas | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Tempo para corrigir falhas / benchmarks para ações corretivas
ID: FedRAMP High SI-2 (3) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer parâmetros de referência para a correção de falhas | CMA_C1675 - Estabelecer parâmetros de referência para a correção de falhas | Manual, Desativado | 1.1.0 |
Meça o tempo entre a identificação de falhas e a correção de falhas | CMA_C1674 - Meça o tempo entre a identificação de falhas e a correção de falhas | Manual, Desativado | 1.1.0 |
Proteção de código malicioso
ID: FedRAMP Alta Propriedade SI-3: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). | AuditIfNotExists, desativado | 2.0.0 |
Administração Central
ID: FedRAMP High SI-3 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). | AuditIfNotExists, desativado | 2.0.0 |
Atualizações Automáticas
ID: FedRAMP High SI-3 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Deteção não baseada em assinatura
ID: FedRAMP High SI-3 (7) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Monitorização do Sistema de Informação
ID: FedRAMP Alta SI-4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte | AuditIfNotExists, desativado | 3.0.0-Pré-visualização |
[Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 6.0.0-pré-visualização |
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc | Esta política audita máquinas Linux Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
[Preview]: A extensão do Log Analytics deve ser instalada em suas máquinas Windows Azure Arc | Esta política audita máquinas Windows Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.3 |
Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
Obter parecer jurídico para monitorizar as atividades do sistema | CMA_C1688 - Obter parecer jurídico para acompanhamento das atividades do sistema | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Fornecer informações de monitoramento, conforme necessário | CMA_C1689 - Fornecer informações de monitoramento, conforme necessário | Manual, Desativado | 1.1.0 |
A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
Ferramentas automatizadas para análise em tempo real
ID: FedRAMP High SI-4 (2) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Operações de segurança de documentos | CMA_0202 - Operações de segurança documental | Manual, Desativado | 1.1.0 |
Ligue sensores para solução de segurança de endpoint | CMA_0514 - Ligue sensores para solução de segurança de endpoint | Manual, Desativado | 1.1.0 |
Tráfego de comunicações de entrada e saída
ID: FedRAMP High SI-4 (4) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar, monitorar e controlar voip | CMA_0025 - Autorizar, monitorar e controlar voip | Manual, Desativado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Encaminhar o tráfego através de pontos de acesso de rede gerenciados | CMA_0484 - Encaminhe o tráfego através de pontos de acesso de rede gerenciados | Manual, Desativado | 1.1.0 |
Alertas gerados pelo sistema
ID: FedRAMP High SI-4 (5) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Pessoal de alerta sobre derrames de informação | CMA_0007 - Pessoal de alerta sobre derrames de informação | Manual, Desativado | 1.1.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
Deteção de intrusão sem fio
ID: FedRAMP High SI-4 (14) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Documente os controles de segurança de acesso sem fio | CMA_C1695 - Documente os controles de segurança de acesso sem fio | Manual, Desativado | 1.1.0 |
Serviços de rede não autorizados
ID: FedRAMP High SI-4 (22) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Detetar serviços de rede que não foram autorizados ou aprovados | CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados | Manual, Desativado | 1.1.0 |
Indicadores de compromisso
ID: FedRAMP High SI-4 (24) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Descubra quaisquer indicadores de compromisso | CMA_C1702 - Descubra quaisquer indicadores de compromisso | Manual, Desativado | 1.1.0 |
Alertas, avisos e diretivas de segurança
ID: FedRAMP High SI-5 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Disseminar alertas de segurança para o pessoal | CMA_C1705 - Divulgar alertas de segurança ao pessoal | Manual, Desativado | 1.1.0 |
Estabeleça um programa de inteligência contra ameaças | CMA_0260 - Estabelecer um programa de inteligência de ameaças | Manual, Desativado | 1.1.0 |
Gerar alertas internos de segurança | CMA_C1704 - Gerar alertas internos de segurança | Manual, Desativado | 1.1.0 |
Implementar diretivas de segurança | CMA_C1706 - Implementar diretivas de segurança | Manual, Desativado | 1.1.0 |
Alertas e avisos automatizados
ID: FedRAMP High SI-5 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Usar mecanismos automatizados para alertas de segurança | CMA_C1707 - Utilizar mecanismos automatizados para alertas de segurança | Manual, Desativado | 1.1.0 |
Verificação da função de segurança
ID: FedRAMP Alta SI-6 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Criar ações alternativas para anomalias identificadas | CMA_C1711 - Criar ações alternativas para anomalias identificadas | Manual, Desativado | 1.1.0 |
Notificar o pessoal de qualquer falha nos testes de verificação de segurança | CMA_C1710 - Notificar o pessoal de qualquer falha nos testes de verificação de segurança | Manual, Desativado | 1.1.0 |
Executar a verificação da função de segurança com uma frequência definida | CMA_C1709 - Realizar a verificação da função de segurança com uma frequência definida | Manual, Desativado | 1.1.0 |
Verificar funções de segurança | CMA_C1708 - Verificar funções de segurança | Manual, Desativado | 1.1.0 |
Software, firmware e integridade da informação
ID: FedRAMP High SI-7 Propriedade: Compartilhado
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Verificar a integridade do software, firmware e informações | CMA_0542 - Verificar a integridade do software, firmware e informação | Manual, Desativado | 1.1.0 |
Verificações de integridade
ID: FedRAMP High SI-7 (1) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Verificar a integridade do software, firmware e informações | CMA_0542 - Verificar a integridade do software, firmware e informação | Manual, Desativado | 1.1.0 |
Exibir e configurar dados de diagnóstico do sistema | CMA_0544 - Exibir e configurar dados de diagnóstico do sistema | Manual, Desativado | 1.1.0 |
Resposta automatizada a violações de integridade
ID: FedRAMP High SI-7 (5) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar desligamento/reinício automático quando violações forem detetadas | CMA_C1715 - Empregar desligamento/reinício automático quando violações são detetadas | Manual, Desativado | 1.1.0 |
Código binário ou executável de máquina
ID: FedRAMP High SI-7 (14) Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Proibir código binário/executável por máquina | CMA_C1717 - Proibir código binário/executável por máquina | Manual, Desativado | 1.1.0 |
Validação de entrada de informações
ID: FedRAMP Alta SI-10 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Executar validação de entrada de informações | CMA_C1723 - Realizar validação de entrada de informações | Manual, Desativado | 1.1.0 |
Processamento de Erros
ID: FedRAMP Alta SI-11 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Gerar mensagens de erro | CMA_C1724 - Gerar mensagens de erro | Manual, Desativado | 1.1.0 |
Revelar mensagens de erro | CMA_C1725 - Revelar mensagens de erro | Manual, Desativado | 1.1.0 |
Tratamento e retenção de informações
ID: FedRAMP Alta SI-12 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
Proteção de memória
ID: FedRAMP Alta SI-16 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). | AuditIfNotExists, desativado | 2.0.0 |
Próximos passos
Artigos adicionais sobre a Política do Azure:
- Visão geral da conformidade regulamentar.
- Consulte a estrutura de definição da iniciativa.
- Analise outros exemplos em Exemplos de Política do Azure.
- Veja Compreender os efeitos do Policy.
- Saiba como corrigir recursos não compatíveis.