Partilhar via


Detalhes da iniciativa integrada FedRAMP Moderate Regulatory Compliance

O artigo a seguir detalha como a definição de iniciativa interna de Conformidade Regulatória da Política do Azure mapeia para domínios e controles de conformidade no FedRAMP Moderate. Para obter mais informações sobre esse padrão de conformidade, consulte FedRAMP Moderate. Para compreender a Propriedade, reveja o tipo de política e a Responsabilidade partilhada na nuvem.

Os mapeamentos a seguir são para os controles FedRAMP Moderate . Muitos dos controles são implementados com uma definição de iniciativa de Política do Azure. Para rever a definição completa da iniciativa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione a definição de iniciativa interna FedRAMP Moderate Regulatory Compliance.

Importante

Cada controle abaixo está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle, no entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias definições de política, o que não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre domínios de conformidade, controles e definições de Política do Azure para esse padrão de conformidade podem mudar ao longo do tempo. Para visualizar o histórico de alterações, consulte o Histórico de confirmação do GitHub.

Controlo de Acesso

Política e Procedimentos de Controle de Acesso

ID: FedRAMP Moderado AC-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Desenvolver políticas e procedimentos de controle de acesso CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0
Governar políticas e procedimentos CMA_0292 - Governar políticas e procedimentos Manual, Desativado 1.1.0
Revisar políticas e procedimentos de controle de acesso CMA_0457 - Revisar políticas e procedimentos de controle de acesso Manual, Desativado 1.1.0

Gestão de Contas

ID: FedRAMP Moderado AC-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um máximo de 3 proprietários devem ser designados para a sua subscrição Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. AuditIfNotExists, desativado 3.0.0
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft AuditIfNotExists, desativado 1.0.0
Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada Usar uma identidade gerenciada para segurança de autenticação aprimorada AuditIfNotExists, desativado 3.0.0
Atribuir gerentes de conta CMA_0015 - Atribuir gerentes de conta Manual, Desativado 1.1.0
Auditar o uso de funções RBAC personalizadas Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças Auditoria, Desativado 1.0.1
Auditar o status da conta de usuário CMA_0020 - Auditar o status da conta de usuário Manual, Desativado 1.1.0
Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth Auditoria, Negar, Desativado 1.1.0
Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. AuditIfNotExists, desativado 1.0.0
Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. AuditIfNotExists, desativado 1.0.0
Definir e impor condições para contas compartilhadas e de grupo CMA_0117 - Definir e impor condições para contas compartilhadas e de grupo Manual, Desativado 1.1.0
Definir tipos de conta do sistema de informação CMA_0121 - Definir tipos de conta do sistema de informação Manual, Desativado 1.1.0
Privilégios de acesso a documentos CMA_0186 - Privilégios de acesso a documentos Manual, Desativado 1.1.0
Estabelecer condições para a participação em funções CMA_0269 - Estabelecer condições para a participação em funções Manual, Desativado 1.1.0
Os aplicativos de função devem usar identidade gerenciada Usar uma identidade gerenciada para segurança de autenticação aprimorada AuditIfNotExists, desativado 3.0.0
Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. AuditIfNotExists, desativado 1.0.0
Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. AuditIfNotExists, desativado 1.0.0
Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. AuditIfNotExists, desativado 1.0.0
Monitorar a atividade da conta CMA_0377 - Monitore a atividade da conta Manual, Desativado 1.1.0
Notificar os gerentes de conta sobre contas controladas pelo cliente CMA_C1009 - Notificar os gerentes de conta sobre contas controladas pelo cliente Manual, Desativado 1.1.0
Reemitir autenticadores para grupos e contas alterados CMA_0426 - Reemitir autenticadores para grupos e contas alterados Manual, Desativado 1.1.0
Exigir aprovação para a criação de conta CMA_0431 - Requer aprovação para a criação de conta Manual, Desativado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 - Restringir o acesso a contas privilegiadas Manual, Desativado 1.1.0
Revisar logs de provisionamento de conta CMA_0460 - Revisar logs de provisionamento de conta Manual, Desativado 1.1.0
Rever contas de utilizador CMA_0480 - Rever contas de utilizador Manual, Desativado 1.1.0
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric Auditoria, Negar, Desativado 1.1.0

Gestão Automatizada de Contas do Sistema

ID: FedRAMP Moderado AC-2 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft AuditIfNotExists, desativado 1.0.0
Automatize o gerenciamento de contas CMA_0026 - Automatize o gerenciamento de contas Manual, Desativado 1.1.0
Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth Auditoria, Negar, Desativado 1.1.0
Gerenciar contas de sistema e de administrador CMA_0368 - Gerenciar contas de sistema e de administrador Manual, Desativado 1.1.0
Monitore o acesso em toda a organização CMA_0376 - Monitorar o acesso em toda a organização Manual, Desativado 1.1.0
Notificar quando a conta não for necessária CMA_0383 - Notificar quando a conta não for necessária Manual, Desativado 1.1.0
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric Auditoria, Negar, Desativado 1.1.0

Desativar contas inativas

ID: FedRAMP Moderado AC-2 (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Desativar autenticadores após a rescisão CMA_0169 - Desativar autenticadores após a rescisão Manual, Desativado 1.1.0
Revogar funções privilegiadas conforme apropriado CMA_0483 - Revogar funções privilegiadas conforme apropriado Manual, Desativado 1.1.0

Ações de auditoria automatizadas

ID: FedRAMP Moderado AC-2 (4) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar o status da conta de usuário CMA_0020 - Auditar o status da conta de usuário Manual, Desativado 1.1.0
Automatize o gerenciamento de contas CMA_0026 - Automatize o gerenciamento de contas Manual, Desativado 1.1.0
Gerenciar contas de sistema e de administrador CMA_0368 - Gerenciar contas de sistema e de administrador Manual, Desativado 1.1.0
Monitore o acesso em toda a organização CMA_0376 - Monitorar o acesso em toda a organização Manual, Desativado 1.1.0
Notificar quando a conta não for necessária CMA_0383 - Notificar quando a conta não for necessária Manual, Desativado 1.1.0

Logout de inatividade

ID: FedRAMP Moderado AC-2 (5) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Definir e aplicar a política de log de inatividade CMA_C1017 - Definir e aplicar a política de log de inatividade Manual, Desativado 1.1.0

Esquemas baseados em funções

ID: FedRAMP Moderado AC-2 (7) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft AuditIfNotExists, desativado 1.0.0
Funções privilegiadas de auditoria CMA_0019 - Funções privilegiadas de auditoria Manual, Desativado 1.1.0
Auditar o uso de funções RBAC personalizadas Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças Auditoria, Desativado 1.0.1
Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth Auditoria, Negar, Desativado 1.1.0
Monitorar a atividade da conta CMA_0377 - Monitore a atividade da conta Manual, Desativado 1.1.0
Monitorar atribuição de função privilegiada CMA_0378 - Monitorar atribuição de função privilegiada Manual, Desativado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 - Restringir o acesso a contas privilegiadas Manual, Desativado 1.1.0
Revogar funções privilegiadas conforme apropriado CMA_0483 - Revogar funções privilegiadas conforme apropriado Manual, Desativado 1.1.0
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric Auditoria, Negar, Desativado 1.1.0
Usar o gerenciamento privilegiado de identidades CMA_0533 - Use o gerenciamento privilegiado de identidades Manual, Desativado 1.1.0

Restrições ao uso de grupos/contas compartilhados

ID: FedRAMP Moderado AC-2 (9) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Definir e impor condições para contas compartilhadas e de grupo CMA_0117 - Definir e impor condições para contas compartilhadas e de grupo Manual, Desativado 1.1.0

Encerramento de Credenciais de Conta Compartilhada / de Grupo

ID: FedRAMP Moderado AC-2 (10) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Encerrar credenciais de conta controladas pelo cliente CMA_C1022 - Encerrar credenciais de conta controladas pelo cliente Manual, Desativado 1.1.0

Monitorização de Conta / Utilização Atípica

ID: FedRAMP AC-2 moderado (12) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, desativado 6.0.0-pré-visualização
O Azure Defender for App Service deve estar habilitado O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. AuditIfNotExists, desativado 1.0.3
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for Key Vault deve ser habilitado O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. AuditIfNotExists, desativado 1.0.3
O Azure Defender for Resource Manager deve estar habilitado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . AuditIfNotExists, desativado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desativado 1.0.3
Azure Defender para SQL servidores em máquinas deve ser habilitado O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas Audite cada instância gerenciada SQL sem segurança de dados avançada. AuditIfNotExists, desativado 1.0.2
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações AuditIfNotExists, desativado 3.0.0
Microsoft Defender for Containers deve estar habilitado O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. AuditIfNotExists, desativado 1.0.0
O Microsoft Defender for Storage deve estar habilitado O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. AuditIfNotExists, desativado 1.0.0
Monitorar a atividade da conta CMA_0377 - Monitore a atividade da conta Manual, Desativado 1.1.0
Relatar comportamento atípico de contas de usuário CMA_C1025 - Relatar comportamento atípico de contas de usuário Manual, Desativado 1.1.0

Imposição de acesso

ID: FedRAMP Moderado AC-3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. AuditIfNotExists, desativado 1.0.0
Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. AuditIfNotExists, desativado 1.0.0
Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. AuditIfNotExists, desativado 1.0.0
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft AuditIfNotExists, desativado 1.0.0
Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada Usar uma identidade gerenciada para segurança de autenticação aprimorada AuditIfNotExists, desativado 3.0.0
Auditar máquinas Linux que têm contas sem senhas Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que têm contas sem senhas AuditIfNotExists, desativado 3.1.0
A autenticação em máquinas Linux deve exigir chaves SSH Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, desativado 3.2.0
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth Auditoria, Negar, Desativado 1.1.0
Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. deployIfNotExists 3.1.0
Impor acesso lógico CMA_0245 - Impor acesso lógico Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0
Os aplicativos de função devem usar identidade gerenciada Usar uma identidade gerenciada para segurança de autenticação aprimorada AuditIfNotExists, desativado 3.0.0
Exigir aprovação para a criação de conta CMA_0431 - Requer aprovação para a criação de conta Manual, Desativado 1.1.0
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desativado 1.1.0
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric Auditoria, Negar, Desativado 1.1.0
As contas de armazenamento devem ser migradas para novos recursos do Azure Resource Manager Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança Auditoria, Negar, Desativado 1.0.0
As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager Use o novo Azure Resource Manager para suas máquinas virtuais para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança Auditoria, Negar, Desativado 1.0.0

Aplicação do fluxo de informações

ID: FedRAMP Moderado AC-4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Preterido]: os serviços de Pesquisa Cognitiva do Azure devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Desativado 1.0.1-preterido
[Preterido]: Serviços Cognitivos devem usar link privado O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Auditoria, Desativado 3.0.1-preterido
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte AuditIfNotExists, desativado 3.0.0-Pré-visualização
[Pré-visualização]: O acesso público à conta de armazenamento não deve ser permitido O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. auditoria, auditoria, negar, negar, desativado, desativado 3.1.0-Pré-visualização
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. AuditIfNotExists, desativado 3.0.0
Os serviços de gerenciamento de API devem usar uma rede virtual A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que não seja da Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. Auditoria, Negar, Desativado 1.0.2
A configuração do aplicativo deve usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, desativado 1.0.2
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. AuditIfNotExists, desativado 2.0.0
Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. Auditoria, Desativado 2.0.1
Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço Azure AI. Auditoria, Negar, Desativado 3.2.0
A API do Azure para FHIR deve usar o link privado A API do Azure para FHIR deve ter pelo menos uma conexão de ponto de extremidade privada aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privadas por meio de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. Auditoria, Desativado 1.0.0
O Cache Redis do Azure deve usar o link privado Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, desativado 1.0.0
O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Desativado 1.0.0
Os serviços da Pesquisa Cognitiva do Azure devem desativar o acesso à rede pública Desabilitar o acesso à rede pública melhora a segurança, garantindo que seu serviço de Pesquisa Cognitiva do Azure não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do seu serviço de Pesquisa. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Desativado 1.0.0
As contas do Azure Cosmos DB devem ter regras de firewall As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra IP definida com o filtro de rede virtual ativado são consideradas compatíveis. As contas que desativam o acesso público também são consideradas compatíveis. Auditoria, Negar, Desativado 2.1.0
O Azure Data Factory deve usar o link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, desativado 1.0.0
Os domínios da Grade de Eventos do Azure devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Desativado 1.0.2
Os tópicos da Grade de Eventos do Azure devem usar o link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Desativado 1.0.2
O Azure File Sync deve usar o link privado A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. AuditIfNotExists, desativado 1.0.0
O Azure Key Vault deve ter firewall ativado Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security Auditoria, Negar, Desativado 3.2.1
Os Cofres de Chaves do Azure devem usar o link privado O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. [parâmetros(«audit_effect»)] 1.2.1
Os espaços de trabalho do Azure Machine Learning devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Auditoria, Desativado 1.0.0
Os namespaces do Barramento de Serviço do Azure devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, desativado 1.0.0
O Serviço Azure SignalR deve usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Auditoria, Desativado 1.0.0
Os espaços de trabalho do Azure Synapse devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Auditoria, Desativado 1.0.1
O Serviço Azure Web PubSub deve usar o link privado O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu Serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Auditoria, Desativado 1.0.0
Os registos de contentores não devem permitir o acesso irrestrito à rede Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de terminais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registro não tiver regras de rede configuradas, ele aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. Auditoria, Negar, Desativado 2.0.0
Os registos de contentores devem utilizar a ligação privada O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. Auditoria, Desativado 1.0.1
Controlar o fluxo de informações CMA_0079 - Controlar o fluxo de informações Manual, Desativado 1.1.0
As contas do CosmosDB devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Auditoria, Desativado 1.0.0
Os recursos de acesso ao disco devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, desativado 1.0.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desativado 1.1.0
Os namespaces do Hub de Eventos devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, desativado 1.0.0
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desativado 3.0.0
As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Auditoria, Desativado 1.0.0
O encaminhamento de IP em sua máquina virtual deve ser desabilitado Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. AuditIfNotExists, desativado 3.0.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações AuditIfNotExists, desativado 3.0.0
As portas de gerenciamento devem ser fechadas em suas máquinas virtuais As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. AuditIfNotExists, desativado 3.0.0
As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desativado 3.0.0
As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. Auditoria, Desativado 1.1.0
Ponto de extremidade privado deve ser habilitado para servidores MariaDB As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. AuditIfNotExists, desativado 1.0.2
Ponto de extremidade privado deve ser habilitado para servidores MySQL As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. AuditIfNotExists, desativado 1.0.2
Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. AuditIfNotExists, desativado 1.0.2
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. Auditoria, Negar, Desativado 1.1.0
O acesso à rede pública deve ser desativado para servidores MariaDB Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Auditoria, Negar, Desativado 2.0.0
O acesso à rede pública deve ser desativado para servidores MySQL Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MySQL só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Auditoria, Negar, Desativado 2.0.0
O acesso à rede pública deve ser desabilitado para servidores PostgreSQL Desabilite a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para PostgreSQL só possa ser acessado a partir de um ponto de extremidade privado. Esta configuração desativa o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os inícios de sessão que correspondam a regras de firewall baseadas em IP ou rede virtual. Auditoria, Negar, Desativado 2.0.1
As contas de armazenamento devem restringir o acesso à rede O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública Auditoria, Negar, Desativado 1.1.1
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. Auditoria, Negar, Desativado 1.0.1
As contas de armazenamento devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, desativado 2.0.0
As sub-redes devem estar associadas a um Grupo de Segurança de Rede Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. AuditIfNotExists, desativado 3.0.0
Os modelos do Construtor de Imagens de VM devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditar, Desabilitar, Negar 1.1.0

Separação Física/Lógica dos Fluxos de Informação

ID: FedRAMP Moderado AC-4 (21) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar o fluxo de informações CMA_0079 - Controlar o fluxo de informações Manual, Desativado 1.1.0
Estabeleça padrões de configuração de firewall e roteador CMA_0272 - Estabelecer padrões de configuração de firewall e roteador Manual, Desativado 1.1.0
Estabelecer segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão Manual, Desativado 1.1.0
Identificar e gerir os intercâmbios de informações a jusante CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante Manual, Desativado 1.1.0

Separação de funções

ID: FedRAMP Moderado AC-5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Definir autorizações de acesso para suportar a separação de funções CMA_0116 - Definir autorizações de acesso para suportar a separação de funções Manual, Desativado 1.1.0
Documento de separação de funções CMA_0204 - Documento de separação de funções Manual, Desativado 1.1.0
Deveres distintos dos indivíduos CMA_0492 - Deveres distintos dos indivíduos Manual, Desativado 1.1.0
Deve haver mais de um proprietário atribuído à sua assinatura É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. AuditIfNotExists, desativado 3.0.0

Privilégio mínimo

ID: FedRAMP Moderado AC-6 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um máximo de 3 proprietários devem ser designados para a sua subscrição Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. AuditIfNotExists, desativado 3.0.0
Auditar o uso de funções RBAC personalizadas Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças Auditoria, Desativado 1.0.1
Projetar um modelo de controle de acesso CMA_0129 - Projetar um modelo de controle de acesso Manual, Desativado 1.1.0
Empregar acesso com privilégios mínimos CMA_0212 - Empregar acesso com privilégios mínimos Manual, Desativado 1.1.0

Autorizar o acesso a funções de segurança

ID: FedRAMP Moderado AC-6 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar o acesso a funções e informações de segurança CMA_0022 - Autorizar o acesso a funções e informações de segurança Manual, Desativado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 - Autorizar e gerir o acesso Manual, Desativado 1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias Manual, Desativado 1.1.0

Contas privilegiadas

ID: FedRAMP Moderado AC-6 (5) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Restringir o acesso a contas privilegiadas CMA_0446 - Restringir o acesso a contas privilegiadas Manual, Desativado 1.1.0

Auditando o uso de funções privilegiadas

ID: FedRAMP Moderado AC-6 (9) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Funções privilegiadas de auditoria CMA_0019 - Funções privilegiadas de auditoria Manual, Desativado 1.1.0
Conduzir uma análise de texto completo de comandos privilegiados registrados CMA_0056 - Realizar uma análise de texto completo de comandos privilegiados registrados Manual, Desativado 1.1.0
Monitorar atribuição de função privilegiada CMA_0378 - Monitorar atribuição de função privilegiada Manual, Desativado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 - Restringir o acesso a contas privilegiadas Manual, Desativado 1.1.0
Revogar funções privilegiadas conforme apropriado CMA_0483 - Revogar funções privilegiadas conforme apropriado Manual, Desativado 1.1.0
Usar o gerenciamento privilegiado de identidades CMA_0533 - Use o gerenciamento privilegiado de identidades Manual, Desativado 1.1.0

Tentativas de logon malsucedidas

ID: FedRAMP Moderado AC-7 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Impor um limite de tentativas consecutivas de login com falha CMA_C1044 - Impor um limite de tentativas de login falhadas consecutivas Manual, Desativado 1.1.0

Controle de sessão simultânea

ID: FedRAMP Moderado AC-10 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Definir e impor o limite de sessões simultâneas CMA_C1050 - Definir e impor o limite de sessões simultâneas Manual, Desativado 1.1.0

Encerramento da sessão

ID: FedRAMP Moderado AC-12 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Encerrar sessão de usuário automaticamente CMA_C1054 - Encerrar sessão de usuário automaticamente Manual, Desativado 1.1.0

Ações permitidas sem identificação ou autenticação

ID: FedRAMP Moderado AC-14 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Identificar ações permitidas sem autenticação CMA_0295 - Identificar ações permitidas sem autenticação Manual, Desativado 1.1.0

Acesso Remoto

ID: FedRAMP Moderado AC-17 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Preterido]: os serviços de Pesquisa Cognitiva do Azure devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Desativado 1.0.1-preterido
[Preterido]: Serviços Cognitivos devem usar link privado O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Auditoria, Desativado 3.0.1-preterido
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
A configuração do aplicativo deve usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, desativado 1.0.2
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. AuditIfNotExists, desativado 2.0.0
Auditar máquinas Linux que permitem conexões remotas de contas sem senhas Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que permitem conexões remotas de contas sem senhas AuditIfNotExists, desativado 3.1.0
Autorizar acesso remoto CMA_0024 - Autorizar acesso remoto Manual, Desativado 1.1.0
A API do Azure para FHIR deve usar o link privado A API do Azure para FHIR deve ter pelo menos uma conexão de ponto de extremidade privada aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privadas por meio de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. Auditoria, Desativado 1.0.0
O Cache Redis do Azure deve usar o link privado Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, desativado 1.0.0
O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Desativado 1.0.0
O Azure Data Factory deve usar o link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, desativado 1.0.0
Os domínios da Grade de Eventos do Azure devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Desativado 1.0.2
Os tópicos da Grade de Eventos do Azure devem usar o link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Desativado 1.0.2
O Azure File Sync deve usar o link privado A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. AuditIfNotExists, desativado 1.0.0
Os Cofres de Chaves do Azure devem usar o link privado O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. [parâmetros(«audit_effect»)] 1.2.1
Os espaços de trabalho do Azure Machine Learning devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Auditoria, Desativado 1.0.0
Os namespaces do Barramento de Serviço do Azure devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, desativado 1.0.0
O Serviço Azure SignalR deve usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Auditoria, Desativado 1.0.0
Azure Spring Cloud deve usar injeção de rede As instâncias do Azure Spring Cloud devem usar a injeção de rede virtual para as seguintes finalidades: 1. Isole o Azure Spring Cloud da Internet. 2. Habilite o Azure Spring Cloud para interagir com sistemas em data centers locais ou com o serviço do Azure em outras redes virtuais. 3. Capacite os clientes para controlar as comunicações de rede de entrada e saída para o Azure Spring Cloud. Auditar, Desabilitar, Negar 1.2.0
Os espaços de trabalho do Azure Synapse devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Auditoria, Desativado 1.0.1
O Serviço Azure Web PubSub deve usar o link privado O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu Serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Auditoria, Desativado 1.0.0
Os registos de contentores devem utilizar a ligação privada O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. Auditoria, Desativado 1.0.1
As contas do CosmosDB devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Auditoria, Desativado 1.0.0
Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. deployIfNotExists 3.1.0
Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Os recursos de acesso ao disco devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, desativado 1.0.0
Formação em mobilidade documental CMA_0191 - Formação em mobilidade documental Manual, Desativado 1.1.0
Documentar diretrizes de acesso remoto CMA_0196 - Documentar diretrizes de acesso remoto Manual, Desativado 1.1.0
Os namespaces do Hub de Eventos devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, desativado 1.0.0
Os aplicativos de função devem ter a depuração remota desativada A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. AuditIfNotExists, desativado 2.0.0
Implementar controles para proteger locais de trabalho alternativos CMA_0315 - Implementar controles para proteger locais de trabalho alternativos Manual, Desativado 1.1.0
As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Auditoria, Desativado 1.0.0
As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. Auditoria, Desativado 1.1.0
Ponto de extremidade privado deve ser habilitado para servidores MariaDB As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. AuditIfNotExists, desativado 1.0.2
Ponto de extremidade privado deve ser habilitado para servidores MySQL As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. AuditIfNotExists, desativado 1.0.2
Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. AuditIfNotExists, desativado 1.0.2
Fornecer treinamento de privacidade CMA_0415 - Fornecer treinamento de privacidade Manual, Desativado 1.1.0
As contas de armazenamento devem restringir o acesso à rede O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública Auditoria, Negar, Desativado 1.1.1
As contas de armazenamento devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, desativado 2.0.0
Os modelos do Construtor de Imagens de VM devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditar, Desabilitar, Negar 1.1.0

Monitorização/Controlo Automatizado

ID: FedRAMP Moderado AC-17 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Preterido]: os serviços de Pesquisa Cognitiva do Azure devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Desativado 1.0.1-preterido
[Preterido]: Serviços Cognitivos devem usar link privado O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Auditoria, Desativado 3.0.1-preterido
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
A configuração do aplicativo deve usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, desativado 1.0.2
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. AuditIfNotExists, desativado 2.0.0
Auditar máquinas Linux que permitem conexões remotas de contas sem senhas Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que permitem conexões remotas de contas sem senhas AuditIfNotExists, desativado 3.1.0
A API do Azure para FHIR deve usar o link privado A API do Azure para FHIR deve ter pelo menos uma conexão de ponto de extremidade privada aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privadas por meio de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. Auditoria, Desativado 1.0.0
O Cache Redis do Azure deve usar o link privado Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, desativado 1.0.0
O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Desativado 1.0.0
O Azure Data Factory deve usar o link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, desativado 1.0.0
Os domínios da Grade de Eventos do Azure devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Desativado 1.0.2
Os tópicos da Grade de Eventos do Azure devem usar o link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Desativado 1.0.2
O Azure File Sync deve usar o link privado A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. AuditIfNotExists, desativado 1.0.0
Os Cofres de Chaves do Azure devem usar o link privado O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. [parâmetros(«audit_effect»)] 1.2.1
Os espaços de trabalho do Azure Machine Learning devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Auditoria, Desativado 1.0.0
Os namespaces do Barramento de Serviço do Azure devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, desativado 1.0.0
O Serviço Azure SignalR deve usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Auditoria, Desativado 1.0.0
Azure Spring Cloud deve usar injeção de rede As instâncias do Azure Spring Cloud devem usar a injeção de rede virtual para as seguintes finalidades: 1. Isole o Azure Spring Cloud da Internet. 2. Habilite o Azure Spring Cloud para interagir com sistemas em data centers locais ou com o serviço do Azure em outras redes virtuais. 3. Capacite os clientes para controlar as comunicações de rede de entrada e saída para o Azure Spring Cloud. Auditar, Desabilitar, Negar 1.2.0
Os espaços de trabalho do Azure Synapse devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Auditoria, Desativado 1.0.1
O Serviço Azure Web PubSub deve usar o link privado O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu Serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Auditoria, Desativado 1.0.0
Os registos de contentores devem utilizar a ligação privada O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. Auditoria, Desativado 1.0.1
As contas do CosmosDB devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Auditoria, Desativado 1.0.0
Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. deployIfNotExists 3.1.0
Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Os recursos de acesso ao disco devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, desativado 1.0.0
Os namespaces do Hub de Eventos devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, desativado 1.0.0
Os aplicativos de função devem ter a depuração remota desativada A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. AuditIfNotExists, desativado 2.0.0
As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Auditoria, Desativado 1.0.0
Monitore o acesso em toda a organização CMA_0376 - Monitorar o acesso em toda a organização Manual, Desativado 1.1.0
As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. Auditoria, Desativado 1.1.0
Ponto de extremidade privado deve ser habilitado para servidores MariaDB As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. AuditIfNotExists, desativado 1.0.2
Ponto de extremidade privado deve ser habilitado para servidores MySQL As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. AuditIfNotExists, desativado 1.0.2
Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. AuditIfNotExists, desativado 1.0.2
As contas de armazenamento devem restringir o acesso à rede O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública Auditoria, Negar, Desativado 1.1.1
As contas de armazenamento devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, desativado 2.0.0
Os modelos do Construtor de Imagens de VM devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditar, Desabilitar, Negar 1.1.0

Proteção de Confidencialidade / Integridade Usando Criptografia

ID: FedRAMP Moderado AC-17 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Notificar os usuários sobre o logon ou acesso ao sistema CMA_0382 - Notificar os usuários sobre o logon ou acesso ao sistema Manual, Desativado 1.1.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0

Pontos de controle de acesso gerenciados

ID: FedRAMP Moderado AC-17 (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Encaminhar o tráfego através de pontos de acesso de rede gerenciados CMA_0484 - Encaminhe o tráfego através de pontos de acesso de rede gerenciados Manual, Desativado 1.1.0

Comandos Privilegiados / Acesso

ID: FedRAMP Moderado AC-17 (4) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar acesso remoto CMA_0024 - Autorizar acesso remoto Manual, Desativado 1.1.0
Autorizar o acesso remoto a comandos privilegiados CMA_C1064 - Autorizar o acesso remoto a comandos privilegiados Manual, Desativado 1.1.0
Documentar diretrizes de acesso remoto CMA_0196 - Documentar diretrizes de acesso remoto Manual, Desativado 1.1.0
Implementar controles para proteger locais de trabalho alternativos CMA_0315 - Implementar controles para proteger locais de trabalho alternativos Manual, Desativado 1.1.0
Fornecer treinamento de privacidade CMA_0415 - Fornecer treinamento de privacidade Manual, Desativado 1.1.0

Desconectar / Desativar Acesso

ID: FedRAMP Moderado AC-17 (9) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Fornecer capacidade para desconectar ou desabilitar o acesso remoto CMA_C1066 - Fornecer capacidade para desconectar ou desativar o acesso remoto Manual, Desativado 1.1.0

Acesso sem fio

ID: FedRAMP Moderado AC-18 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Documentar e implementar diretrizes de acesso sem fio CMA_0190 - Documentar e implementar diretrizes de acesso sem fio Manual, Desativado 1.1.0
Proteja o acesso sem fio CMA_0411 - Proteja o acesso sem fio Manual, Desativado 1.1.0

Autenticação e criptografia

ID: FedRAMP Moderado AC-18 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Documentar e implementar diretrizes de acesso sem fio CMA_0190 - Documentar e implementar diretrizes de acesso sem fio Manual, Desativado 1.1.0
Identificar e autenticar dispositivos de rede CMA_0296 - Identificar e autenticar dispositivos de rede Manual, Desativado 1.1.0
Proteja o acesso sem fio CMA_0411 - Proteja o acesso sem fio Manual, Desativado 1.1.0

Controle de acesso para dispositivos móveis

ID: FedRAMP Moderado AC-19 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Definir requisitos de dispositivos móveis CMA_0122 - Definir requisitos de dispositivos móveis Manual, Desativado 1.1.0

Criptografia completa baseada em dispositivo / contêiner

ID: FedRAMP Moderado AC-19 (5) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Definir requisitos de dispositivos móveis CMA_0122 - Definir requisitos de dispositivos móveis Manual, Desativado 1.1.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0

Utilização de Sistemas de Informação Externos

ID: FedRAMP Moderado AC-20 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer termos e condições de acesso aos recursos CMA_C1076 - Estabelecer termos e condições de acesso aos recursos Manual, Desativado 1.1.0
Estabelecer termos e condições para o processamento de recursos CMA_C1077 - Estabelecer termos e condições para o processamento de recursos Manual, Desativado 1.1.0

Limites de Utilização Autorizada

ID: FedRAMP Moderado AC-20 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Verificar os controlos de segurança dos sistemas de informação externos CMA_0541 - Verificar os controlos de segurança dos sistemas de informação externos Manual, Desativado 1.1.0

Dispositivos de armazenamento portáteis

ID: FedRAMP Moderado AC-20 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB Manual, Desativado 1.1.0
Controlar a utilização de dispositivos de armazenamento portáteis CMA_0083 - Controlar a utilização de dispositivos de armazenamento portáteis Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0

Partilha de informações

ID: FedRAMP Moderado AC-21 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Automatize as decisões de compartilhamento de informações CMA_0028 - Automatize as decisões de compartilhamento de informações Manual, Desativado 1.1.0
Facilitar a partilha de informações CMA_0284 - Facilitar a partilha de informações Manual, Desativado 1.1.0

Conteúdo acessível ao público

ID: FedRAMP Moderado AC-22 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Designar pessoal autorizado para publicar informações acessíveis ao público CMA_C1083 - Designar pessoal autorizado para publicar informações acessíveis ao público Manual, Desativado 1.1.0
Rever o conteúdo antes de publicar informações acessíveis ao público CMA_C1085 - Revise o conteúdo antes de publicar informações acessíveis publicamente Manual, Desativado 1.1.0
Rever conteúdo acessível ao público para obter informações não públicas CMA_C1086 - Rever conteúdo acessível ao público para informação não pública Manual, Desativado 1.1.0
Formar o pessoal em matéria de divulgação de informações confidenciais CMA_C1084 - Formar o pessoal em matéria de divulgação de informações não públicas Manual, Desativado 1.1.0

Sensibilização e Formação

Política e procedimentos de sensibilização e formação em matéria de segurança

ID: FedRAMP Moderado AT-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Atividades de formação em segurança e privacidade de documentos CMA_0198 - Atividades de formação em segurança documental e privacidade Manual, Desativado 1.1.0
Atualizar políticas de segurança da informação CMA_0518 - Atualizar as políticas de segurança da informação Manual, Desativado 1.1.0

Formação de Sensibilização para a Segurança

ID: FedRAMP Moderado AT-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Fornecer treinamento periódico de conscientização sobre segurança CMA_C1091 - Fornecer treinamento periódico de conscientização sobre segurança Manual, Desativado 1.1.0
Fornecer treinamento de segurança para novos usuários CMA_0419 - Fornecer treinamento de segurança para novos usuários Manual, Desativado 1.1.0
Fornecer treinamento atualizado de conscientização sobre segurança CMA_C1090 - Fornecer treinamento atualizado de conscientização sobre segurança Manual, Desativado 1.1.0

Ameaça interna

ID: FedRAMP Moderado AT-2 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Fornecer treinamento de conscientização de segurança para ameaças internas CMA_0417 - Fornecer treinamento de conscientização de segurança para ameaças internas Manual, Desativado 1.1.0

Treinamento de segurança baseado em funções

ID: FedRAMP Moderado AT-3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Fornecer treinamento periódico de segurança baseado em funções CMA_C1095 - Fornecer treinamento periódico de segurança baseado em funções Manual, Desativado 1.1.0
Fornecer treinamento de segurança baseado em funções CMA_C1094 - Fornecer treinamento de segurança baseado em funções Manual, Desativado 1.1.0
Fornecer treinamento de segurança antes de fornecer acesso CMA_0418 - Fornecer treinamento de segurança antes de fornecer acesso Manual, Desativado 1.1.0

Registos de Formação em Segurança

ID: FedRAMP Moderado AT-4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Atividades de formação em segurança e privacidade de documentos CMA_0198 - Atividades de formação em segurança documental e privacidade Manual, Desativado 1.1.0
Monitore a conclusão do treinamento de segurança e privacidade CMA_0379 - Monitorar a conclusão do treinamento de segurança e privacidade Manual, Desativado 1.1.0
Reter registros de treinamento CMA_0456 - Reter registos de formação Manual, Desativado 1.1.0

Auditoria e prestação de contas

Política e Procedimentos de Auditoria e Prestação de Contas

ID: FedRAMP Moderado AU-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Desenvolver políticas e procedimentos de auditoria e prestação de contas CMA_0154 - Desenvolver políticas e procedimentos de auditoria e prestação de contas Manual, Desativado 1.1.0
Desenvolver políticas e procedimentos de segurança da informação CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação Manual, Desativado 1.1.0
Governar políticas e procedimentos CMA_0292 - Governar políticas e procedimentos Manual, Desativado 1.1.0
Atualizar políticas de segurança da informação CMA_0518 - Atualizar as políticas de segurança da informação Manual, Desativado 1.1.0

Eventos de Auditoria

ID: FedRAMP Moderado AU-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Determinar eventos auditáveis CMA_0137 - Determinar eventos auditáveis Manual, Desativado 1.1.0

Avaliações e atualizações

ID: FedRAMP Moderado AU-2 (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Rever e atualizar os eventos definidos em AU-02 CMA_C1106 - Rever e atualizar os eventos definidos em AU-02 Manual, Desativado 1.1.0

Conteúdo dos registos de auditoria

ID: FedRAMP Moderado AU-3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Determinar eventos auditáveis CMA_0137 - Determinar eventos auditáveis Manual, Desativado 1.1.0

Informações adicionais de auditoria

ID: FedRAMP Moderado AU-3 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Configurar recursos de Auditoria do Azure CMA_C1108 - Configurar os recursos de Auditoria do Azure Manual, Desativado 1.1.1

Auditar a capacidade de armazenamento

ID: FedRAMP Moderado AU-4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Governar e monitorar as atividades de processamento de auditoria CMA_0289 - Governar e monitorar as atividades de processamento de auditoria Manual, Desativado 1.1.0

Resposta a falhas de processamento de auditoria

ID: FedRAMP Moderado AU-5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Governar e monitorar as atividades de processamento de auditoria CMA_0289 - Governar e monitorar as atividades de processamento de auditoria Manual, Desativado 1.1.0

Revisão, análise e relatórios de auditoria

ID: FedRAMP Moderado AU-6 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, desativado 6.0.0-pré-visualização
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desativado 1.0.2-Pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desativado 1.0.2-Pré-visualização
O Azure Defender for App Service deve estar habilitado O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. AuditIfNotExists, desativado 1.0.3
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for Key Vault deve ser habilitado O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. AuditIfNotExists, desativado 1.0.3
O Azure Defender for Resource Manager deve estar habilitado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . AuditIfNotExists, desativado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desativado 1.0.3
Azure Defender para SQL servidores em máquinas deve ser habilitado O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos Audite servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desativado 2.0.1
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas Audite cada instância gerenciada SQL sem segurança de dados avançada. AuditIfNotExists, desativado 1.0.2
Correlacione registros de auditoria CMA_0087 - Correlacionar registos de auditoria Manual, Desativado 1.1.0
Estabelecer requisitos para revisão de auditoria e relatórios CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios Manual, Desativado 1.1.0
Integre a revisão, análise e emissão de relatórios de auditoria CMA_0339 - Integre a revisão, análise e relatórios de auditoria Manual, Desativado 1.1.0
Integre a segurança de aplicativos na nuvem com um siem CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem Manual, Desativado 1.1.0
Microsoft Defender for Containers deve estar habilitado O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. AuditIfNotExists, desativado 1.0.0
O Microsoft Defender for Storage deve estar habilitado O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. AuditIfNotExists, desativado 1.0.0
O Inspetor de Rede deve estar ativado O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. AuditIfNotExists, desativado 3.0.0
Revisar logs de provisionamento de conta CMA_0460 - Revisar logs de provisionamento de conta Manual, Desativado 1.1.0
Revise as atribuições do administrador semanalmente CMA_0461 - Revisar as atribuições do administrador semanalmente Manual, Desativado 1.1.0
Rever os dados de auditoria CMA_0466 - Rever os dados de auditoria Manual, Desativado 1.1.0
Revise a visão geral do relatório de identidade na nuvem CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem Manual, Desativado 1.1.0
Rever eventos de acesso controlado a pastas CMA_0471 - Revisar eventos de acesso controlado a pastas Manual, Desativado 1.1.0
Rever a atividade de ficheiros e pastas CMA_0473 - Revisar a atividade de arquivos e pastas Manual, Desativado 1.1.0
Revisar as alterações do grupo de funções semanalmente CMA_0476 - Revisar as mudanças do grupo de funções semanalmente Manual, Desativado 1.1.0

Integração de Processos

ID: FedRAMP Moderado AU-6 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Correlacione registros de auditoria CMA_0087 - Correlacionar registos de auditoria Manual, Desativado 1.1.0
Estabelecer requisitos para revisão de auditoria e relatórios CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios Manual, Desativado 1.1.0
Integre a revisão, análise e emissão de relatórios de auditoria CMA_0339 - Integre a revisão, análise e relatórios de auditoria Manual, Desativado 1.1.0
Integre a segurança de aplicativos na nuvem com um siem CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem Manual, Desativado 1.1.0
Revisar logs de provisionamento de conta CMA_0460 - Revisar logs de provisionamento de conta Manual, Desativado 1.1.0
Revise as atribuições do administrador semanalmente CMA_0461 - Revisar as atribuições do administrador semanalmente Manual, Desativado 1.1.0
Rever os dados de auditoria CMA_0466 - Rever os dados de auditoria Manual, Desativado 1.1.0
Revise a visão geral do relatório de identidade na nuvem CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem Manual, Desativado 1.1.0
Rever eventos de acesso controlado a pastas CMA_0471 - Revisar eventos de acesso controlado a pastas Manual, Desativado 1.1.0
Rever a atividade de ficheiros e pastas CMA_0473 - Revisar a atividade de arquivos e pastas Manual, Desativado 1.1.0
Revisar as alterações do grupo de funções semanalmente CMA_0476 - Revisar as mudanças do grupo de funções semanalmente Manual, Desativado 1.1.0

Correlacione repositórios de auditoria

ID: FedRAMP Moderado AU-6 (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Correlacione registros de auditoria CMA_0087 - Correlacionar registos de auditoria Manual, Desativado 1.1.0
Integre a segurança de aplicativos na nuvem com um siem CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem Manual, Desativado 1.1.0

Redução de auditoria e geração de relatórios

ID: FedRAMP Moderado AU-7 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Garantir que os registros de auditoria não sejam alterados CMA_C1125 - Garantir que os registos de auditoria não são alterados Manual, Desativado 1.1.0
Fornecer recursos de revisão, análise e emissão de relatórios de auditoria CMA_C1124 - Fornecer recursos de revisão, análise e emissão de relatórios de auditoria Manual, Desativado 1.1.0

Tratamento informatizado

ID: FedRAMP Moderado AU-7 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Fornecer capacidade para processar registros de auditoria controlados pelo cliente CMA_C1126 - Fornecer capacidade para processar registros de auditoria controlados pelo cliente Manual, Desativado 1.1.0

Carimbos de data/hora

ID: FedRAMP Moderado AU-8 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Usar relógios do sistema para registros de auditoria CMA_0535 - Usar relógios do sistema para registros de auditoria Manual, Desativado 1.1.0

Sincronização com fonte de tempo autoritativa

ID: FedRAMP Moderado AU-8 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Usar relógios do sistema para registros de auditoria CMA_0535 - Usar relógios do sistema para registros de auditoria Manual, Desativado 1.1.0

Proteção das informações de auditoria

ID: FedRAMP Moderado AU-9 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Habilitar autorização dupla ou conjunta CMA_0226 - Permitir autorização dupla ou conjunta Manual, Desativado 1.1.0
Proteger as informações de auditoria CMA_0401 - Proteger as informações de auditoria Manual, Desativado 1.1.0

Backup de auditoria em sistemas/componentes físicos separados

ID: FedRAMP Moderado AU-9 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabeleça políticas e procedimentos de backup CMA_0268 - Estabelecer políticas e procedimentos de backup Manual, Desativado 1.1.0

Acesso por subconjunto de usuários privilegiados

ID: FedRAMP Moderado AU-9 (4) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Proteger as informações de auditoria CMA_0401 - Proteger as informações de auditoria Manual, Desativado 1.1.0

Retenção de registros de auditoria

ID: FedRAMP Moderado AU-11 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Aderir aos períodos de retenção definidos CMA_0004 - Respeitar os períodos de retenção definidos Manual, Desativado 1.1.0
Manter políticas e procedimentos de segurança CMA_0454 - Reter políticas e procedimentos de segurança Manual, Desativado 1.1.0
Reter dados de usuários encerrados CMA_0455 - Reter dados de usuários encerrados Manual, Desativado 1.1.0
Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou superior Para fins de investigação de incidentes, recomendamos definir a retenção de dados para a auditoria do SQL Server para o destino da conta de armazenamento para pelo menos 90 dias. Confirme se você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Isso às vezes é necessário para a conformidade com as normas regulamentares. AuditIfNotExists, desativado 3.0.0

Geração de auditoria

ID: FedRAMP Moderado AU-12 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, desativado 6.0.0-pré-visualização
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc Esta política audita máquinas Linux Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desativado 1.0.1-Pré-visualização
[Preview]: A extensão do Log Analytics deve ser instalada em suas máquinas Windows Azure Arc Esta política audita máquinas Windows Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desativado 1.0.1-Pré-visualização
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desativado 1.0.2-Pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desativado 1.0.2-Pré-visualização
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. AuditIfNotExists, desativado 2.0.1
Funções privilegiadas de auditoria CMA_0019 - Funções privilegiadas de auditoria Manual, Desativado 1.1.0
Auditar o status da conta de usuário CMA_0020 - Auditar o status da conta de usuário Manual, Desativado 1.1.0
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desativado 2.0.0
O Azure Defender for App Service deve estar habilitado O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. AuditIfNotExists, desativado 1.0.3
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for Key Vault deve ser habilitado O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. AuditIfNotExists, desativado 1.0.3
O Azure Defender for Resource Manager deve estar habilitado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . AuditIfNotExists, desativado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desativado 1.0.3
Azure Defender para SQL servidores em máquinas deve ser habilitado O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos Audite servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desativado 2.0.1
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas Audite cada instância gerenciada SQL sem segurança de dados avançada. AuditIfNotExists, desativado 1.0.2
Determinar eventos auditáveis CMA_0137 - Determinar eventos auditáveis Manual, Desativado 1.1.0
A extensão Configuração do Convidado deve ser instalada em suas máquinas Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, desativado 1.0.3
Microsoft Defender for Containers deve estar habilitado O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. AuditIfNotExists, desativado 1.0.0
O Microsoft Defender for Storage deve estar habilitado O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. AuditIfNotExists, desativado 1.0.0
O Inspetor de Rede deve estar ativado O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. AuditIfNotExists, desativado 3.0.0
Os logs de recursos no Repositório Azure Data Lake devem ser habilitados Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, desativado 5.0.0
Os logs de recursos no Azure Stream Analytics devem ser habilitados Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, desativado 5.0.0
Os logs de recursos em contas em lote devem ser habilitados Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, desativado 5.0.0
Os logs de recursos no Data Lake Analytics devem ser habilitados Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, desativado 5.0.0
Os logs de recursos no Hub de Eventos devem ser habilitados Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, desativado 5.0.0
Os logs de recursos no Hub IoT devem ser habilitados Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, desativado 3.1.0
Os logs de recursos no Cofre da Chave devem ser habilitados Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desativado 5.0.0
Os logs de recursos em aplicativos lógicos devem ser habilitados Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, desativado 5.1.0
Os logs de recursos nos serviços de Pesquisa devem ser habilitados Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, desativado 5.0.0
Os logs de recursos no Service Bus devem ser habilitados Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida AuditIfNotExists, desativado 5.0.0
Rever os dados de auditoria CMA_0466 - Rever os dados de auditoria Manual, Desativado 1.1.0
A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, desativado 1.0.1

Avaliação de Segurança e Autorização

Política e procedimentos de autorização e avaliação de segurança

ID: FedRAMP Moderado CA-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Rever as políticas e procedimentos de avaliação de segurança e autorização CMA_C1143 - Rever as políticas e procedimentos de avaliação de segurança e autorização Manual, Desativado 1.1.0

Avaliações de Segurança

ID: FedRAMP Moderado CA-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Avaliar os controlos de segurança CMA_C1145 - Avaliar os Controlos de Segurança Manual, Desativado 1.1.0
Forneça resultados de avaliação de segurança CMA_C1147 - Fornecer resultados de avaliação de segurança Manual, Desativado 1.1.0
Desenvolver um plano de avaliação de segurança CMA_C1144 - Desenvolver plano de avaliação de segurança Manual, Desativado 1.1.0
Produzir relatório de avaliação de segurança CMA_C1146 - Produzir relatório de avaliação de segurança Manual, Desativado 1.1.0

Avaliadores Independentes

ID: FedRAMP CA-2 moderado (1) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Empregar avaliadores independentes para conduzir avaliações de controle de segurança CMA_C1148 - Empregar avaliadores independentes para realizar avaliações de controle de segurança Manual, Desativado 1.1.0

Avaliações Especializadas

ID: FedRAMP CA-2 moderado (2) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Selecionar testes adicionais para avaliações de controle de segurança CMA_C1149 - Selecione testes adicionais para avaliações de controle de segurança Manual, Desativado 1.1.0

Organizações Externas

ID: FedRAMP CA-2 moderado (3) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Aceitar os resultados da avaliação CMA_C1150 - Aceitar os resultados da avaliação Manual, Desativado 1.1.0

Interconexões do sistema

ID: FedRAMP Moderado CA-3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Exigir acordos de segurança de interconexão CMA_C1151 - Exigir acordos de segurança de interligação Manual, Desativado 1.1.0
Atualizar contratos de segurança de interconexão CMA_0519 - Atualizar os acordos de segurança de interconexão Manual, Desativado 1.1.0

Conexões não classificadas do sistema de segurança nacional

ID: FedRAMP CA-3 moderado (3) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar a proteção de limites do sistema CMA_0328 - Implementar a proteção de limites do sistema Manual, Desativado 1.1.0

Restrições em conexões externas do sistema

ID: FedRAMP CA-3 moderado (5) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Empregar restrições em interconexões externas do sistema CMA_C1155 - Aplicar restrições às interconexões externas do sistema Manual, Desativado 1.1.0

Plano de ação e marcos

ID: FedRAMP Moderado CA-5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Desenvolver POA&M CMA_C1156 - Desenvolver POA&M Manual, Desativado 1.1.0
Atualizar itens POA&M CMA_C1157 - Atualizar itens POA&M Manual, Desativado 1.1.0

Autorização de Segurança

ID: FedRAMP Moderado CA-6 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Atribuir um funcionário de autorização (AO) CMA_C1158 - Atribuir um funcionário de autorização (AO) Manual, Desativado 1.1.0
Garantir que os recursos sejam autorizados CMA_C1159 - Garantir que os recursos são autorizados Manual, Desativado 1.1.0
Atualizar a autorização de segurança CMA_C1160 - Atualizar a autorização de segurança Manual, Desativado 1.1.0

Monitorização Contínua

ID: FedRAMP Moderado CA-7 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Configurar a lista de permissões de deteção CMA_0068 - Configurar a lista branca de deteção Manual, Desativado 1.1.0
Ligue sensores para solução de segurança de endpoint CMA_0514 - Ligue sensores para solução de segurança de endpoint Manual, Desativado 1.1.0
Passar por uma revisão de segurança independente CMA_0515 - Passar por uma revisão de segurança independente Manual, Desativado 1.1.0

Avaliação independente

ID: FedRAMP Moderado CA-7 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Empregar avaliadores independentes para monitoramento contínuo CMA_C1168 - Empregar avaliadores independentes para monitoramento contínuo Manual, Desativado 1.1.0

Agente de Penetração Independente ou Equipa

ID: FedRAMP CA-8 moderado (1) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Empregar equipe independente para testes de penetração CMA_C1171 - Empregar equipe independente para testes de penetração Manual, Desativado 1.1.0

Conexões internas do sistema

ID: FedRAMP Moderado CA-9 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas CMA_0053 - Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas Manual, Desativado 1.1.0

Gestão da Configuração

Política e procedimentos de gerenciamento de configuração

ID: FedRAMP Moderado CM-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração Manual, Desativado 1.1.0

Configuração de linha de base

ID: FedRAMP Moderado CM-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Configurar ações para dispositivos não compatíveis CMA_0062 - Configurar ações para dispositivos não compatíveis Manual, Desativado 1.1.0
Desenvolver e manter configurações de linha de base CMA_0153 - Desenvolver e manter configurações de linha de base Manual, Desativado 1.1.0
Impor definições de configuração de segurança CMA_0249 - Impor definições de configuração de segurança Manual, Desativado 1.1.0
Estabelecer uma placa de controle de configuração CMA_0254 - Estabelecer uma placa de controle de configuração Manual, Desativado 1.1.0
Estabelecer e documentar um plano de gerenciamento de configuração CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração Manual, Desativado 1.1.0
Implementar uma ferramenta automatizada de gerenciamento de configuração CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração Manual, Desativado 1.1.0

Suporte de automação para precisão / moeda

ID: FedRAMP Moderado CM-2 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Configurar ações para dispositivos não compatíveis CMA_0062 - Configurar ações para dispositivos não compatíveis Manual, Desativado 1.1.0
Desenvolver e manter configurações de linha de base CMA_0153 - Desenvolver e manter configurações de linha de base Manual, Desativado 1.1.0
Impor definições de configuração de segurança CMA_0249 - Impor definições de configuração de segurança Manual, Desativado 1.1.0
Estabelecer uma placa de controle de configuração CMA_0254 - Estabelecer uma placa de controle de configuração Manual, Desativado 1.1.0
Estabelecer e documentar um plano de gerenciamento de configuração CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração Manual, Desativado 1.1.0
Implementar uma ferramenta automatizada de gerenciamento de configuração CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração Manual, Desativado 1.1.0

Retenção de configurações anteriores

ID: FedRAMP Moderado CM-2 (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Manter versões anteriores das configurações de linha de base CMA_C1181 - Manter versões anteriores das configurações de linha de base Manual, Desativado 1.1.0

Configurar sistemas, componentes ou dispositivos para áreas de alto risco

ID: FedRAMP Moderado CM-2 (7) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Garantir salvaguardas de segurança não necessárias quando as pessoas regressam CMA_C1183 - Garantir salvaguardas de segurança não necessárias quando as pessoas regressam Manual, Desativado 1.1.0
Não permitir que os sistemas de informação acompanhem os indivíduos CMA_C1182 - Não permitir que os sistemas de informação acompanhem os indivíduos Manual, Desativado 1.1.0

Controlo de alterações de configuração

ID: FedRAMP Moderado CM-3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Realizar uma análise de impacto na segurança CMA_0057 - Realizar uma análise de impacto na segurança Manual, Desativado 1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades Manual, Desativado 1.1.0
Estabelecer uma estratégia de gestão de riscos CMA_0258 - Estabelecer uma estratégia de gestão de riscos Manual, Desativado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 - Estabelecer e documentar processos de controlo de alterações Manual, Desativado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desativado 1.1.0
Realizar uma avaliação de impacto na privacidade CMA_0387 - Realizar uma avaliação de impacto na privacidade Manual, Desativado 1.1.0
Realizar uma avaliação de risco CMA_0388 - Realizar uma avaliação de risco Manual, Desativado 1.1.0
Realizar auditoria para controle de alterações de configuração CMA_0390 - Realizar auditoria para controle de alterações de configuração Manual, Desativado 1.1.0

Análise de impacto na segurança

ID: FedRAMP Moderado CM-4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Realizar uma análise de impacto na segurança CMA_0057 - Realizar uma análise de impacto na segurança Manual, Desativado 1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades Manual, Desativado 1.1.0
Estabelecer uma estratégia de gestão de riscos CMA_0258 - Estabelecer uma estratégia de gestão de riscos Manual, Desativado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 - Estabelecer e documentar processos de controlo de alterações Manual, Desativado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desativado 1.1.0
Realizar uma avaliação de impacto na privacidade CMA_0387 - Realizar uma avaliação de impacto na privacidade Manual, Desativado 1.1.0
Realizar uma avaliação de risco CMA_0388 - Realizar uma avaliação de risco Manual, Desativado 1.1.0
Realizar auditoria para controle de alterações de configuração CMA_0390 - Realizar auditoria para controle de alterações de configuração Manual, Desativado 1.1.0

Restrições de acesso para alteração

ID: FedRAMP Moderado CM-5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer e documentar processos de controle de alterações CMA_0265 - Estabelecer e documentar processos de controlo de alterações Manual, Desativado 1.1.0

Aplicação / auditoria de acesso automatizado

ID: FedRAMP Moderado CM-5 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Aplicar e auditar restrições de acesso CMA_C1203 - Aplicar e auditar restrições de acesso Manual, Desativado 1.1.0

Componentes assinados

ID: FedRAMP Moderado CM-5 (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Restringir a instalação não autorizada de software e firmware CMA_C1205 - Restringir a instalação não autorizada de software e firmware Manual, Desativado 1.1.0

Limitar a produção/privilégios operacionais

ID: FedRAMP Moderado CM-5 (5) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Limitar privilégios para fazer alterações no ambiente de produção CMA_C1206 - Limitar privilégios para fazer alterações no ambiente de produção Manual, Desativado 1.1.0
Rever e reavaliar privilégios CMA_C1207 - Rever e reavaliar privilégios Manual, Desativado 1.1.0

Definições de configuração

ID: FedRAMP Moderado CM-6 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Preterido]: Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitados Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente clientes com certificados válidos poderão acessar o aplicativo. Esta política foi substituída por uma nova política com o mesmo nome porque Http 2.0 não suporta certificados de cliente. Auditoria, Desativado 3.1.0-preterido
Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. AuditIfNotExists, desativado 1.0.0
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. AuditIfNotExists, desativado 2.0.0
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. AuditIfNotExists, desativado 2.0.0
O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters O Complemento de Política do Azure para o serviço Kubernetes (AKS) estende o Gatekeeper v3, um webhook de controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. Auditoria, Desativado 1.0.2
Impor definições de configuração de segurança CMA_0249 - Impor definições de configuração de segurança Manual, Desativado 1.1.0
Os aplicativos de função devem ter a depuração remota desativada A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. AuditIfNotExists, desativado 2.0.0
Os aplicativos de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. AuditIfNotExists, desativado 2.0.0
Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados Imponha limites de recursos de CPU e memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 9.3.0
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host Bloqueie os contêineres de pod de compartilhar o namespace de ID de processo do host e o namespace IPC do host em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 5.2.0
Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor Os contêineres só devem usar perfis AppArmor permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 6.2.0
Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos Restrinja os recursos para reduzir a superfície de ataque de contêineres em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 6.2.0
Os contêineres de cluster do Kubernetes só devem usar imagens permitidas Use imagens de registros confiáveis para reduzir o risco de exposição do cluster Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 9.3.0
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura Execute contêineres com um sistema de arquivos raiz somente leitura para proteger contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 6.3.0
Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos Limite as montagens de volume do pod HostPath aos caminhos de host permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 6.2.0
Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados Controle os IDs de usuário, grupo primário, grupo suplementar e grupo do sistema de arquivos que pods e contêineres podem usar para executar em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 6.2.0
Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas Restrinja o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 6.2.0
Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas Restrinja os serviços para escutar apenas nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 8.2.0
O cluster do Kubernetes não deve permitir contêineres privilegiados Não permita a criação de contêineres privilegiados em um cluster do Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 9.2.0
Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner Não permita que contêineres sejam executados com escalonamento de privilégios para enraizar em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 7.2.0
As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. AuditIfNotExists, desativado 2.2.0
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0
As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. AuditIfNotExists, desativado 2.0.0

Gestão Central Automatizada / Aplicação / Verificação

ID: FedRAMP Moderado CM-6 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Impor definições de configuração de segurança CMA_0249 - Impor definições de configuração de segurança Manual, Desativado 1.1.0
Controlar a conformidade dos fornecedores de serviços na nuvem CMA_0290 - Controlar a conformidade dos fornecedores de serviços na nuvem Manual, Desativado 1.1.0
Exibir e configurar dados de diagnóstico do sistema CMA_0544 - Exibir e configurar dados de diagnóstico do sistema Manual, Desativado 1.1.0

Menos funcionalidade

ID: FedRAMP Moderado CM-7 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desativado 1.0.3

Inventário de componentes do sistema de informação

ID: FedRAMP Moderado CM-8 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Criar um inventário de dados CMA_0096 - Criar um inventário de dados Manual, Desativado 1.1.0
Manter registos do tratamento de dados pessoais CMA_0353 - Manter registos do tratamento de dados pessoais Manual, Desativado 1.1.0

Atualizações durante instalações / remoções

ID: FedRAMP Moderado CM-8 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Criar um inventário de dados CMA_0096 - Criar um inventário de dados Manual, Desativado 1.1.0
Manter registos do tratamento de dados pessoais CMA_0353 - Manter registos do tratamento de dados pessoais Manual, Desativado 1.1.0

Deteção automatizada de componentes não autorizados

ID: FedRAMP Moderado CM-8 (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Habilitar a deteção de dispositivos de rede CMA_0220 - Permitir a deteção de dispositivos de rede Manual, Desativado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização Manual, Desativado 1.1.0

Plano de gerenciamento de configuração

ID: FedRAMP Moderado CM-9 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Criar proteção de plano de configuração CMA_C1233 - Criar proteção de plano de configuração Manual, Desativado 1.1.0
Desenvolver e manter configurações de linha de base CMA_0153 - Desenvolver e manter configurações de linha de base Manual, Desativado 1.1.0
Desenvolver plano de identificação de item de configuração CMA_C1231 - Desenvolver plano de identificação de itens de configuração Manual, Desativado 1.1.0
Desenvolver plano de gerenciamento de configuração CMA_C1232 - Desenvolver plano de gerenciamento de configuração Manual, Desativado 1.1.0
Estabelecer e documentar um plano de gerenciamento de configuração CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração Manual, Desativado 1.1.0
Implementar uma ferramenta automatizada de gerenciamento de configuração CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração Manual, Desativado 1.1.0

Restrições de uso de software

ID: FedRAMP Moderado CM-10 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Exigir o cumprimento dos direitos de propriedade intelectual CMA_0432 - Exigir o cumprimento dos direitos de propriedade intelectual Manual, Desativado 1.1.0
Rastreie o uso da licença de software CMA_C1235 - Rastreie o uso da licença de software Manual, Desativado 1.1.0

Software de código aberto

ID: FedRAMP Moderado CM-10 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Restringir o uso de software de código aberto CMA_C1237 - Restringir o uso de software de código aberto Manual, Desativado 1.1.0

Planos de Contingência

Política e Procedimentos de Planeamento de Contingência

ID: FedRAMP Moderado CP-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Rever e atualizar políticas e procedimentos de planeamento de contingência CMA_C1243 - Rever e atualizar políticas e procedimentos de planeamento de contingência Manual, Desativado 1.1.0

Plano de Contingência

ID: FedRAMP Moderado CP-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Comunicar alterações ao plano de contingência CMA_C1249 - Comunicar alterações ao plano de contingência Manual, Desativado 1.1.0
Coordenar planos de contingência com planos relacionados CMA_0086 - Coordenar planos de contingência com planos relacionados Manual, Desativado 1.1.0
Desenvolver e documentar um plano de continuidade de negócios e recuperação de desastres CMA_0146 - Desenvolver e documentar um plano de continuidade de negócios e recuperação de desastres Manual, Desativado 1.1.0
Desenvolver um plano de contingência CMA_C1244 - Elaborar plano de contingência Manual, Desativado 1.1.0
Desenvolver políticas e procedimentos de planeamento de contingência CMA_0156 - Desenvolver políticas e procedimentos de planeamento de contingência Manual, Desativado 1.1.0
Distribuir políticas e procedimentos CMA_0185 - Distribuir políticas e procedimentos Manual, Desativado 1.1.0
Rever o plano de contingência CMA_C1247 - Revisão do plano de contingência Manual, Desativado 1.1.0
Atualizar plano de contingência CMA_C1248 - Atualizar o plano de contingência Manual, Desativado 1.1.0

ID: FedRAMP Moderado CP-2 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Coordenar planos de contingência com planos relacionados CMA_0086 - Coordenar planos de contingência com planos relacionados Manual, Desativado 1.1.0

Planeamento da Capacidade

ID: FedRAMP Moderado CP-2 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Conduzir o planejamento de capacidade CMA_C1252 - Conduzir o planejamento de capacidade Manual, Desativado 1.1.0

Retomar Missões Essenciais / Funções Empresariais

ID: FedRAMP Moderado CP-2 (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Plano de retomada de funções essenciais do negócio CMA_C1253 - Plano de retomada de funções essenciais do negócio Manual, Desativado 1.1.0

Identificar ativos críticos

ID: FedRAMP Moderado CP-2 (8) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Realizar uma avaliação de impacto nos negócios e uma avaliação de criticidade do aplicativo CMA_0386 - Realizar uma avaliação de impacto nos negócios e uma avaliação de criticidade do aplicativo Manual, Desativado 1.1.0

Formação de Contingência

ID: FedRAMP Moderado CP-3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Fornecer treinamento de contingência CMA_0412 - Fornecer formação em contingência Manual, Desativado 1.1.0

Testes de planos de contingência

ID: FedRAMP Moderado CP-4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Iniciar o plano de contingência testando ações corretivas CMA_C1263 - Iniciar o plano de contingência testando ações corretivas Manual, Desativado 1.1.0
Rever os resultados dos testes dos planos de contingência CMA_C1262 - Rever os resultados dos testes dos planos de contingência Manual, Desativado 1.1.0
Testar a continuidade de negócios e o plano de recuperação de desastres CMA_0509 - Testar a continuidade de negócios e o plano de recuperação de desastres Manual, Desativado 1.1.0

ID: FedRAMP Moderado CP-4 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Coordenar planos de contingência com planos relacionados CMA_0086 - Coordenar planos de contingência com planos relacionados Manual, Desativado 1.1.0

Local de armazenamento alternativo

ID: FedRAMP Moderado CP-6 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Garantir que as proteções alternativas do local de armazenamento sejam equivalentes às do local principal CMA_C1268 - Garantir que as proteções alternativas do local de armazenamento sejam equivalentes às do local principal Manual, Desativado 1.1.0
Estabeleça um local de armazenamento alternativo para armazenar e recuperar informações de backup CMA_C1267 - Estabeleça um local de armazenamento alternativo para armazenar e recuperar informações de backup Manual, Desativado 1.1.0
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Desativado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Desativado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Desativado 1.0.1
O armazenamento com redundância geográfica deve ser habilitado para contas de armazenamento Use redundância geográfica para criar aplicativos altamente disponíveis Auditoria, Desativado 1.0.0
O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure Esta política audita qualquer Banco de Dados SQL do Azure com backup com redundância geográfica de longo prazo não habilitado. AuditIfNotExists, desativado 2.0.0

Separação do local primário

ID: FedRAMP Moderado CP-6 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Crie locais de armazenamento alternativos e primários separados CMA_C1269 - Crie locais de armazenamento alternativos e primários separados Manual, Desativado 1.1.0
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Desativado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Desativado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Desativado 1.0.1
O armazenamento com redundância geográfica deve ser habilitado para contas de armazenamento Use redundância geográfica para criar aplicativos altamente disponíveis Auditoria, Desativado 1.0.0
O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure Esta política audita qualquer Banco de Dados SQL do Azure com backup com redundância geográfica de longo prazo não habilitado. AuditIfNotExists, desativado 2.0.0

Acessibilidade

ID: FedRAMP Moderado CP-6 (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Identificar e mitigar possíveis problemas em locais de armazenamento alternativos CMA_C1271 - Identificar e mitigar possíveis problemas em locais de armazenamento alternativos Manual, Desativado 1.1.0

Local de processamento alternativo

ID: FedRAMP Moderado CP-7 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Auditar máquinas virtuais sem recuperação de desastres configurada Audite máquinas virtuais que não tenham a recuperação de desastres configurada. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Estabelecer um local de processamento alternativo CMA_0262 - Estabelecer um local de processamento alternativo Manual, Desativado 1.1.0

Separação do local primário

ID: FedRAMP Moderado CP-7 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer um local de processamento alternativo CMA_0262 - Estabelecer um local de processamento alternativo Manual, Desativado 1.1.0

Acessibilidade

ID: FedRAMP Moderado CP-7 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer um local de processamento alternativo CMA_0262 - Estabelecer um local de processamento alternativo Manual, Desativado 1.1.0

Prioridade de Serviço

ID: FedRAMP Moderado CP-7 (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer um local de processamento alternativo CMA_0262 - Estabelecer um local de processamento alternativo Manual, Desativado 1.1.0
Estabelecer requisitos para os fornecedores de serviços Internet CMA_0278 - Estabelecer requisitos para os fornecedores de serviços Internet Manual, Desativado 1.1.0

Prioridade da prestação de serviços

ID: FedRAMP Moderado CP-8 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer requisitos para os fornecedores de serviços Internet CMA_0278 - Estabelecer requisitos para os fornecedores de serviços Internet Manual, Desativado 1.1.0

Backup do sistema de informações

ID: FedRAMP Moderado CP-9 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Backup do Azure deve ser habilitado para Máquinas Virtuais Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. AuditIfNotExists, desativado 3.0.0
Realizar backup da documentação do sistema de informação CMA_C1289 - Realizar backup da documentação do sistema de informação Manual, Desativado 1.1.0
Estabeleça políticas e procedimentos de backup CMA_0268 - Estabelecer políticas e procedimentos de backup Manual, Desativado 1.1.0
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Desativado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Desativado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. Auditoria, Desativado 1.0.1
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
Os cofres de chaves devem ter a proteção contra exclusão ativada A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra limpeza e a exclusão suave. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão suave habilitada por padrão. Auditoria, Negar, Desativado 2.1.0
Os cofres de chaves devem ter a exclusão suave ativada A exclusão de um cofre de chaves sem a exclusão automática habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão suave permite que você recupere um cofre de chaves excluído acidentalmente por um período de retenção configurável. Auditoria, Negar, Desativado 3.0.0

Armazenamento separado para informações críticas

ID: FedRAMP Moderado CP-9 (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Armazene separadamente as informações de backup CMA_C1293 - Armazene separadamente as informações de backup Manual, Desativado 1.1.0

Recuperação e Reconstituição do Sistema de Informação

ID: FedRAMP Moderado CP-10 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Recupere e reconstitua recursos após qualquer interrupção CMA_C1295 - Recuperar e reconstituir recursos após qualquer interrupção Manual, Desativado 1.1.1

Recuperação de transações

ID: FedRAMP Moderado CP-10 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar recuperação baseada em transações CMA_C1296 - Implementar recuperação baseada em transações Manual, Desativado 1.1.0

Identificação e autenticação

Política e procedimentos de identificação e autenticação

ID: FedRAMP Moderado IA-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Rever e atualizar políticas e procedimentos de identificação e autenticação CMA_C1299 - Rever e atualizar políticas e procedimentos de identificação e autenticação Manual, Desativado 1.1.0

Identificação e autenticação (usuários organizacionais)

ID: FedRAMP Moderada IA-2 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. AuditIfNotExists, desativado 1.0.0
Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. AuditIfNotExists, desativado 1.0.0
Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. AuditIfNotExists, desativado 1.0.0
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft AuditIfNotExists, desativado 1.0.0
Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada Usar uma identidade gerenciada para segurança de autenticação aprimorada AuditIfNotExists, desativado 3.0.0
Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth Auditoria, Negar, Desativado 1.1.0
Impor a exclusividade do usuário CMA_0250 - Reforçar a exclusividade do utilizador Manual, Desativado 1.1.0
Os aplicativos de função devem usar identidade gerenciada Usar uma identidade gerenciada para segurança de autenticação aprimorada AuditIfNotExists, desativado 3.0.0
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric Auditoria, Negar, Desativado 1.1.0
Suporte a credenciais de verificação pessoal emitidas por autoridades legais CMA_0507 - Apoiar credenciais de verificação pessoal emitidas por autoridades legais Manual, Desativado 1.1.0

Acesso de rede a contas privilegiadas

ID: FedRAMP Moderado IA-2 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. AuditIfNotExists, desativado 1.0.0
Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. AuditIfNotExists, desativado 1.0.0
Adotar mecanismos de autenticação biométrica CMA_0005 - Adotar mecanismos de autenticação biométrica Manual, Desativado 1.1.0

Acesso de rede a contas não privilegiadas

ID: FedRAMP Moderado IA-2 (2) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. AuditIfNotExists, desativado 1.0.0
Adotar mecanismos de autenticação biométrica CMA_0005 - Adotar mecanismos de autenticação biométrica Manual, Desativado 1.1.0

Acesso local a contas privilegiadas

ID: FedRAMP Moderado IA-2 (3) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Adotar mecanismos de autenticação biométrica CMA_0005 - Adotar mecanismos de autenticação biométrica Manual, Desativado 1.1.0

Autenticação de grupo

ID: FedRAMP Moderado IA-2 (5) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Exigir o uso de autenticadores individuais CMA_C1305 - Exigir o uso de autenticadores individuais Manual, Desativado 1.1.0

Acesso Remoto - Dispositivo separado

ID: FedRAMP Moderado IA-2 (11) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Adotar mecanismos de autenticação biométrica CMA_0005 - Adotar mecanismos de autenticação biométrica Manual, Desativado 1.1.0
Identificar e autenticar dispositivos de rede CMA_0296 - Identificar e autenticar dispositivos de rede Manual, Desativado 1.1.0

Aceitação de credenciais Piv

ID: FedRAMP Moderado IA-2 (12) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Suporte a credenciais de verificação pessoal emitidas por autoridades legais CMA_0507 - Apoiar credenciais de verificação pessoal emitidas por autoridades legais Manual, Desativado 1.1.0

Gestão de Identificadores

ID: FedRAMP Moderada IA-4 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft AuditIfNotExists, desativado 1.0.0
Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada Usar uma identidade gerenciada para segurança de autenticação aprimorada AuditIfNotExists, desativado 3.0.0
Atribuir identificadores do sistema CMA_0018 - Atribuir identificadores do sistema Manual, Desativado 1.1.0
Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth Auditoria, Negar, Desativado 1.1.0
Os aplicativos de função devem usar identidade gerenciada Usar uma identidade gerenciada para segurança de autenticação aprimorada AuditIfNotExists, desativado 3.0.0
Impedir a reutilização do identificador durante o período de tempo definido CMA_C1314 - Impedir a reutilização do identificador durante o período de tempo definido Manual, Desativado 1.1.0
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric Auditoria, Negar, Desativado 1.1.0

Identificar o status do usuário

ID: FedRAMP Moderado IA-4 (4) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Identificar o status de usuários individuais CMA_C1316 - Identificar o status de usuários individuais Manual, Desativado 1.1.0

Gerenciamento de autenticador

ID: FedRAMP Moderado IA-5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 AuditIfNotExists, desativado 3.1.0
Auditar máquinas Windows que não armazenam senhas usando criptografia reversível Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não armazenam senhas usando criptografia reversível AuditIfNotExists, desativado 2.0.0
A autenticação em máquinas Linux deve exigir chaves SSH Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, desativado 3.2.0
Os certificados devem ter o período de validade máximo especificado Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo que um certificado pode ser válido em seu cofre de chaves. auditoria, auditoria, negar, negar, desativado, desativado 2.2.1
Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. deployIfNotExists 3.1.0
Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Estabelecer tipos e processos de autenticador CMA_0267 - Estabelecer tipos e processos de autenticadores Manual, Desativado 1.1.0
Estabelecer procedimentos para a distribuição inicial do autenticador CMA_0276 - Estabelecer procedimentos para a distribuição inicial do autenticador Manual, Desativado 1.1.0
Implementar treinamento para proteger autenticadores CMA_0329 - Implementar treinamento para proteger autenticadores Manual, Desativado 1.1.0
As chaves do Cofre da Chave devem ter uma data de expiração As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas. Auditoria, Negar, Desativado 1.0.2
Os segredos do Cofre de Chaves devem ter uma data de validade Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um atacante em potencial mais tempo para comprometê-los. É uma prática de segurança recomendada definir datas de validade em segredos. Auditoria, Negar, Desativado 1.0.2
Gerencie o tempo de vida e a reutilização do autenticador CMA_0355 - Gerencie o tempo de vida e a reutilização do autenticador Manual, Desativado 1.1.0
Gerenciar autenticadores CMA_C1321 - Gerenciar autenticadores Manual, Desativado 1.1.0
Atualizar autenticadores CMA_0425 - Atualizar autenticadores Manual, Desativado 1.1.0
Reemitir autenticadores para grupos e contas alterados CMA_0426 - Reemitir autenticadores para grupos e contas alterados Manual, Desativado 1.1.0
Verificar a identidade antes de distribuir autenticadores CMA_0538 - Verificar a identidade antes de distribuir autenticadores Manual, Desativado 1.1.0

Autenticação baseada em senha

ID: FedRAMP Moderado IA-5 (1) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. modificar 4.1.0
Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 AuditIfNotExists, desativado 3.1.0
Auditar máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 AuditIfNotExists, desativado 2.1.0
Auditar máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias. O valor padrão para a idade máxima da senha é 70 dias AuditIfNotExists, desativado 2.1.0
Auditar máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias. O valor padrão para a idade mínima da senha é de 1 dia AuditIfNotExists, desativado 2.1.0
Auditar máquinas Windows que não têm a configuração de complexidade de senha habilitada Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a configuração de complexidade de senha habilitada AuditIfNotExists, desativado 2.0.0
Auditar máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres. O valor padrão para o comprimento mínimo da senha é de 14 caracteres AuditIfNotExists, desativado 2.1.0
Auditar máquinas Windows que não armazenam senhas usando criptografia reversível Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não armazenam senhas usando criptografia reversível AuditIfNotExists, desativado 2.0.0
Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. deployIfNotExists 3.1.0
Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Documentar os requisitos de segurança nos contratos de aquisição CMA_0203 - Documentar requisitos de segurança em contratos de aquisição Manual, Desativado 1.1.0
Estabelecer uma política de senha CMA_0256 - Estabeleça uma política de senha Manual, Desativado 1.1.0
Implementar parâmetros para verificadores secretos memorizados CMA_0321 - Implementar parâmetros para verificadores secretos memorizados Manual, Desativado 1.1.0
Proteja senhas com criptografia CMA_0408 - Proteja senhas com criptografia Manual, Desativado 1.1.0

Autenticação baseada em Pki

ID: FedRAMP Moderado IA-5 (2) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Vincular autenticadores e identidades dinamicamente CMA_0035 - Vincular autenticadores e identidades dinamicamente Manual, Desativado 1.1.0
Estabelecer tipos e processos de autenticador CMA_0267 - Estabelecer tipos e processos de autenticadores Manual, Desativado 1.1.0
Estabelecer parâmetros para pesquisar autenticadores e verificadores secretos CMA_0274 - Estabelecer parâmetros para pesquisar autenticadores e verificadores secretos Manual, Desativado 1.1.0
Estabelecer procedimentos para a distribuição inicial do autenticador CMA_0276 - Estabelecer procedimentos para a distribuição inicial do autenticador Manual, Desativado 1.1.0
Mapear identidades autenticadas para indivíduos CMA_0372 - Mapear identidades autenticadas para indivíduos Manual, Desativado 1.1.0
Restringir o acesso a chaves privadas CMA_0445 - Restringir o acesso a chaves privadas Manual, Desativado 1.1.0
Verificar a identidade antes de distribuir autenticadores CMA_0538 - Verificar a identidade antes de distribuir autenticadores Manual, Desativado 1.1.0

Registo Presencial ou de Terceiros Fidedignos

ID: FedRAMP Moderado IA-5 (3) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Distribuir autenticadores CMA_0184 - Distribuir autenticadores Manual, Desativado 1.1.0

Suporte automatizado para determinação da força da senha

ID: FedRAMP Moderado IA-5 (4) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Documentar os requisitos de segurança nos contratos de aquisição CMA_0203 - Documentar requisitos de segurança em contratos de aquisição Manual, Desativado 1.1.0
Estabelecer uma política de senha CMA_0256 - Estabeleça uma política de senha Manual, Desativado 1.1.0
Implementar parâmetros para verificadores secretos memorizados CMA_0321 - Implementar parâmetros para verificadores secretos memorizados Manual, Desativado 1.1.0

Proteção de autenticadores

ID: FedRAMP Moderado IA-5 (6) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Garantir que os usuários autorizados protejam os autenticadores fornecidos CMA_C1339 - Garantir que os usuários autorizados protejam os autenticadores fornecidos Manual, Desativado 1.1.0

Sem autenticadores estáticos não criptografados incorporados

ID: FedRAMP Moderado IA-5 (7) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Verifique se não há autenticadores estáticos não criptografados CMA_C1340 - Certifique-se de que não há autenticadores estáticos não criptografados Manual, Desativado 1.1.0

Autenticação baseada em token de hardware

ID: FedRAMP Moderado IA-5 (11) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Satisfazer os requisitos de qualidade do token CMA_0487 - Satisfazer os requisitos de qualidade do token Manual, Desativado 1.1.0

Feedback do autenticador

ID: FedRAMP Moderada IA-6 Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Informações de feedback obscuras durante o processo de autenticação CMA_C1344 - Informações de feedback obscuras durante o processo de autenticação Manual, Desativado 1.1.0

Autenticação de módulo criptográfico

ID: FedRAMP Moderado IA-7 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autenticar no módulo criptográfico CMA_0021 - Autenticar no módulo criptográfico Manual, Desativado 1.1.0

Identificação e autenticação (usuários não organizacionais)

ID: FedRAMP Moderado IA-8 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Identificar e autenticar usuários não organizacionais CMA_C1346 - Identificar e autenticar usuários não organizacionais Manual, Desativado 1.1.0

Aceitação de credenciais Piv de outras agências

ID: FedRAMP Moderado IA-8 (1) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Aceitar credenciais PIV CMA_C1347 - Aceitar credenciais PIV Manual, Desativado 1.1.0

Aceitação de credenciais de terceiros

ID: FedRAMP Moderado IA-8 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Aceitar apenas credenciais de terceiros aprovadas pela FICAM CMA_C1348 - Aceite apenas credenciais de terceiros aprovadas pela FICAM Manual, Desativado 1.1.0

Uso de produtos aprovados pela Ficam

ID: FedRAMP Moderado IA-8 (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Empregar recursos aprovados pela FICAM para aceitar credenciais de terceiros CMA_C1349 - Empregar recursos aprovados pela FICAM para aceitar credenciais de terceiros Manual, Desativado 1.1.0

Uso de perfis emitidos pela Ficam

ID: FedRAMP Moderado IA-8 (4) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Em conformidade com os perfis emitidos pela FICAM CMA_C1350 - Em conformidade com os perfis emitidos pela FICAM Manual, Desativado 1.1.0

Resposta ao Incidente

Política e procedimentos de resposta a incidentes

ID: FedRAMP Moderado IR-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Rever e atualizar políticas e procedimentos de resposta a incidentes CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes Manual, Desativado 1.1.0

Treinamento de resposta a incidentes

ID: FedRAMP Moderado IR-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Fornecer treinamento de derramamento de informações CMA_0413 - Fornecer treinamento de derramamento de informações Manual, Desativado 1.1.0

Testes de resposta a incidentes

ID: FedRAMP Moderado IR-3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Realizar testes de resposta a incidentes CMA_0060 - Realizar testes de resposta a incidentes Manual, Desativado 1.1.0
Estabeleça um programa de segurança da informação CMA_0263 - Estabelecer um programa de segurança da informação Manual, Desativado 1.1.0
Executar ataques de simulação CMA_0486 - Executar ataques de simulação Manual, Desativado 1.1.0

ID: FedRAMP IR-3 moderado (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Realizar testes de resposta a incidentes CMA_0060 - Realizar testes de resposta a incidentes Manual, Desativado 1.1.0
Estabeleça um programa de segurança da informação CMA_0263 - Estabelecer um programa de segurança da informação Manual, Desativado 1.1.0
Executar ataques de simulação CMA_0486 - Executar ataques de simulação Manual, Desativado 1.1.0

Tratamento de Incidentes

ID: FedRAMP Moderado IR-4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Avaliar eventos de segurança da informação CMA_0013 - Avaliar eventos de segurança da informação Manual, Desativado 1.1.0
O Azure Defender for App Service deve estar habilitado O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. AuditIfNotExists, desativado 1.0.3
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for Key Vault deve ser habilitado O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. AuditIfNotExists, desativado 1.0.3
O Azure Defender for Resource Manager deve estar habilitado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . AuditIfNotExists, desativado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desativado 1.0.3
Azure Defender para SQL servidores em máquinas deve ser habilitado O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos Audite servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desativado 2.0.1
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas Audite cada instância gerenciada SQL sem segurança de dados avançada. AuditIfNotExists, desativado 1.0.2
Coordenar planos de contingência com planos relacionados CMA_0086 - Coordenar planos de contingência com planos relacionados Manual, Desativado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Desenvolver proteções de segurança CMA_0161 - Desenvolver salvaguardas de segurança Manual, Desativado 1.1.0
A notificação por e-mail para alertas de alta gravidade deve ser ativada Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. AuditIfNotExists, desativado 1.2.0
A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. AuditIfNotExists, desativado 2.1.0
Ativar a proteção de rede CMA_0238 - Ativar a proteção de rede Manual, Desativado 1.1.0
Erradicar a informação contaminada CMA_0253 - Erradicar a informação contaminada Manual, Desativado 1.1.0
Executar ações em resposta a vazamentos de informações CMA_0281 - Executar ações em resposta a vazamentos de informações Manual, Desativado 1.1.0
Implementar o tratamento de incidentes CMA_0318 - Implementar o tratamento de incidentes Manual, Desativado 1.1.0
Manter o plano de resposta a incidentes CMA_0352 - Manter o plano de resposta a incidentes Manual, Desativado 1.1.0
Microsoft Defender for Containers deve estar habilitado O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. AuditIfNotExists, desativado 1.0.0
O Microsoft Defender for Storage deve estar habilitado O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. AuditIfNotExists, desativado 1.0.0
Realizar uma análise de tendência sobre ameaças CMA_0389 - Realizar uma análise de tendência sobre ameaças Manual, Desativado 1.1.0
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. AuditIfNotExists, desativado 1.0.1
Exibir e investigar usuários restritos CMA_0545 - Ver e investigar utilizadores restritos Manual, Desativado 1.1.0

Processos automatizados de tratamento de incidentes

ID: FedRAMP IR-4 moderado (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Ativar a proteção de rede CMA_0238 - Ativar a proteção de rede Manual, Desativado 1.1.0
Implementar o tratamento de incidentes CMA_0318 - Implementar o tratamento de incidentes Manual, Desativado 1.1.0

Monitorização de Incidentes

ID: FedRAMP Moderado IR-5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Defender for App Service deve estar habilitado O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. AuditIfNotExists, desativado 1.0.3
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for Key Vault deve ser habilitado O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. AuditIfNotExists, desativado 1.0.3
O Azure Defender for Resource Manager deve estar habilitado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . AuditIfNotExists, desativado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desativado 1.0.3
Azure Defender para SQL servidores em máquinas deve ser habilitado O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos Audite servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desativado 2.0.1
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas Audite cada instância gerenciada SQL sem segurança de dados avançada. AuditIfNotExists, desativado 1.0.2
A notificação por e-mail para alertas de alta gravidade deve ser ativada Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. AuditIfNotExists, desativado 1.2.0
A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. AuditIfNotExists, desativado 2.1.0
Microsoft Defender for Containers deve estar habilitado O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. AuditIfNotExists, desativado 1.0.0
O Microsoft Defender for Storage deve estar habilitado O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. AuditIfNotExists, desativado 1.0.0
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. AuditIfNotExists, desativado 1.0.1

Relatórios automatizados

ID: FedRAMP IR-6 moderado (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Operações de segurança de documentos CMA_0202 - Operações de segurança documental Manual, Desativado 1.1.0

Assistência de Resposta a Incidentes

ID: FedRAMP Moderado IR-7 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Operações de segurança de documentos CMA_0202 - Operações de segurança documental Manual, Desativado 1.1.0

Suporte de automação para disponibilidade de informações / suporte

ID: FedRAMP IR-7 moderado (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Ativar a proteção de rede CMA_0238 - Ativar a proteção de rede Manual, Desativado 1.1.0
Erradicar a informação contaminada CMA_0253 - Erradicar a informação contaminada Manual, Desativado 1.1.0
Executar ações em resposta a vazamentos de informações CMA_0281 - Executar ações em resposta a vazamentos de informações Manual, Desativado 1.1.0
Implementar o tratamento de incidentes CMA_0318 - Implementar o tratamento de incidentes Manual, Desativado 1.1.0
Realizar uma análise de tendência sobre ameaças CMA_0389 - Realizar uma análise de tendência sobre ameaças Manual, Desativado 1.1.0
Exibir e investigar usuários restritos CMA_0545 - Ver e investigar utilizadores restritos Manual, Desativado 1.1.0

Coordenação com fornecedores externos

ID: FedRAMP IR-7 moderado (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer relação entre a capacidade de resposta a incidentes e fornecedores externos CMA_C1376 - Estabelecer relações entre a capacidade de resposta a incidentes e fornecedores externos Manual, Desativado 1.1.0
Identificar o pessoal de resposta a incidentes CMA_0301 - Identificar o pessoal de resposta a incidentes Manual, Desativado 1.1.0

Plano de Resposta a Incidentes

ID: FedRAMP Moderado IR-8 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Avaliar eventos de segurança da informação CMA_0013 - Avaliar eventos de segurança da informação Manual, Desativado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Implementar o tratamento de incidentes CMA_0318 - Implementar o tratamento de incidentes Manual, Desativado 1.1.0
Manter registros de violação de dados CMA_0351 - Manter registos de violação de dados Manual, Desativado 1.1.0
Manter o plano de resposta a incidentes CMA_0352 - Manter o plano de resposta a incidentes Manual, Desativado 1.1.0
Proteja o plano de resposta a incidentes CMA_0405 - Proteger o plano de resposta a incidentes Manual, Desativado 1.1.0

Resposta a derrames de informação

ID: FedRAMP Moderado IR-9 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Pessoal de alerta sobre derrames de informação CMA_0007 - Pessoal de alerta sobre derrames de informação Manual, Desativado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Erradicar a informação contaminada CMA_0253 - Erradicar a informação contaminada Manual, Desativado 1.1.0
Executar ações em resposta a vazamentos de informações CMA_0281 - Executar ações em resposta a vazamentos de informações Manual, Desativado 1.1.0
Identificar sistemas e componentes contaminados CMA_0300 - Identificar sistemas e componentes contaminados Manual, Desativado 1.1.0
Identificar informações derramadas CMA_0303 - Identificar informações derramadas Manual, Desativado 1.1.0
Isolar derrames de informação CMA_0346 - Isolar derrames de informação Manual, Desativado 1.1.0

Pessoal Responsável

ID: FedRAMP IR-9 moderado (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Identificar o pessoal de resposta a incidentes CMA_0301 - Identificar o pessoal de resposta a incidentes Manual, Desativado 1.1.0

Formação

ID: FedRAMP IR-9 moderado (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Fornecer treinamento de derramamento de informações CMA_0413 - Fornecer treinamento de derramamento de informações Manual, Desativado 1.1.0

Operações pós-derramamento

ID: FedRAMP IR-9 moderado (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Desenvolver procedimentos de resposta a derrames CMA_0162 - Desenvolver procedimentos de resposta a derrames Manual, Desativado 1.1.0

Exposição a pessoal não autorizado

ID: FedRAMP IR-9 moderado (4) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Desenvolver proteções de segurança CMA_0161 - Desenvolver salvaguardas de segurança Manual, Desativado 1.1.0

Manutenção

Política e Procedimentos de Manutenção do Sistema

ID: FedRAMP Moderado MA-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos de manutenção do sistema CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema Manual, Desativado 1.1.0

Manutenção Controlada

ID: FedRAMP Moderado MA-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar as atividades de manutenção e reparação CMA_0080 - Controlar as atividades de manutenção e reparação Manual, Desativado 1.1.0
Empregar um mecanismo de higienização de mídia CMA_0208 - Empregar um mecanismo de higienização de mídia Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
Gerencie atividades de manutenção e diagnóstico não locais CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais Manual, Desativado 1.1.0

Ferramentas de Manutenção

ID: FedRAMP Moderado MA-3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar as atividades de manutenção e reparação CMA_0080 - Controlar as atividades de manutenção e reparação Manual, Desativado 1.1.0
Gerencie atividades de manutenção e diagnóstico não locais CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais Manual, Desativado 1.1.0

Inspecionar ferramentas

ID: FedRAMP Moderado MA-3 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar as atividades de manutenção e reparação CMA_0080 - Controlar as atividades de manutenção e reparação Manual, Desativado 1.1.0
Gerencie atividades de manutenção e diagnóstico não locais CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais Manual, Desativado 1.1.0

Inspecionar Mídia

ID: FedRAMP Moderado MA-3 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar as atividades de manutenção e reparação CMA_0080 - Controlar as atividades de manutenção e reparação Manual, Desativado 1.1.0
Gerencie atividades de manutenção e diagnóstico não locais CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais Manual, Desativado 1.1.0

Impedir a remoção não autorizada

ID: FedRAMP Moderado MA-3 (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar as atividades de manutenção e reparação CMA_0080 - Controlar as atividades de manutenção e reparação Manual, Desativado 1.1.0
Empregar um mecanismo de higienização de mídia CMA_0208 - Empregar um mecanismo de higienização de mídia Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
Gerencie atividades de manutenção e diagnóstico não locais CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais Manual, Desativado 1.1.0

Manutenção não local

ID: FedRAMP Moderado MA-4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Gerencie atividades de manutenção e diagnóstico não locais CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais Manual, Desativado 1.1.0

Manutenção não local de documentos

ID: FedRAMP Moderado MA-4 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Gerencie atividades de manutenção e diagnóstico não locais CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais Manual, Desativado 1.1.0

Pessoal de Manutenção

ID: FedRAMP Moderado MA-5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Designar pessoal para supervisionar as atividades de manutenção não autorizadas CMA_C1422 - Designar pessoal para supervisionar as atividades de manutenção não autorizadas Manual, Desativado 1.1.0
Manter a lista de pessoal de manutenção remoto autorizado CMA_C1420 - Manter lista de pessoal de manutenção remoto autorizado Manual, Desativado 1.1.0
Gerir o pessoal de manutenção CMA_C1421 - Gerir o pessoal de manutenção Manual, Desativado 1.1.0

Indivíduos sem acesso adequado

ID: FedRAMP Moderado MA-5 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Empregar um mecanismo de higienização de mídia CMA_0208 - Empregar um mecanismo de higienização de mídia Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0

Manutenção atempada

ID: FedRAMP Moderado MA-6 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Fornecer suporte de manutenção em tempo hábil CMA_C1425 - Fornecer suporte de manutenção em tempo hábil Manual, Desativado 1.1.0

Proteção dos meios de comunicação social

Política e procedimentos de proteção dos meios de comunicação social

ID: FedRAMP Moderado MP-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos de proteção de mídia CMA_C1427 - Rever e atualizar políticas e procedimentos de proteção de mídia Manual, Desativado 1.1.0

Acesso à Mídia

ID: FedRAMP Moderado MP-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0

Marcação de mídia

ID: FedRAMP Moderado MP-3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0

Armazenamento de mídia

ID: FedRAMP Moderado MP-4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Empregar um mecanismo de higienização de mídia CMA_0208 - Empregar um mecanismo de higienização de mídia Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0

Transporte de Mídia

ID: FedRAMP Moderado MP-5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
Gerir o transporte de ativos CMA_0370 - Gerir o transporte de ativos Manual, Desativado 1.1.0

Proteção criptográfica

ID: FedRAMP MP-5 moderado (4) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
Gerir o transporte de ativos CMA_0370 - Gerir o transporte de ativos Manual, Desativado 1.1.0

Higienização de Mídia

ID: FedRAMP Moderado MP-6 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Empregar um mecanismo de higienização de mídia CMA_0208 - Empregar um mecanismo de higienização de mídia Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0

Testes de Equipamentos

ID: FedRAMP MP-6 moderado (2) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Empregar um mecanismo de higienização de mídia CMA_0208 - Empregar um mecanismo de higienização de mídia Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0

Utilização dos meios de comunicação social

ID: FedRAMP Moderado MP-7 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB Manual, Desativado 1.1.0
Controlar a utilização de dispositivos de armazenamento portáteis CMA_0083 - Controlar a utilização de dispositivos de armazenamento portáteis Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
Restringir o uso de mídia CMA_0450 - Restringir o uso de mídia Manual, Desativado 1.1.0

Proibir Uso Sem Proprietário

ID: FedRAMP MP-7 moderado (1) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB Manual, Desativado 1.1.0
Controlar a utilização de dispositivos de armazenamento portáteis CMA_0083 - Controlar a utilização de dispositivos de armazenamento portáteis Manual, Desativado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
Restringir o uso de mídia CMA_0450 - Restringir o uso de mídia Manual, Desativado 1.1.0

Proteção Física e Ambiental

Política e Procedimentos de Proteção Física e Ambiental

ID: FedRAMP Moderado PE-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Rever e atualizar políticas e procedimentos físicos e ambientais CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais Manual, Desativado 1.1.0

Autorizações de acesso físico

ID: FedRAMP Moderado PE-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 - Controle o acesso físico Manual, Desativado 1.1.0

Controlo de Acesso Físico

ID: FedRAMP Moderado PE-3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 - Controle o acesso físico Manual, Desativado 1.1.0
Definir um processo de gerenciamento de chaves físicas CMA_0115 - Definir um processo de gestão de chaves físicas Manual, Desativado 1.1.0
Estabelecer e manter um inventário de ativos CMA_0266 - Estabelecer e manter um inventário de ativos Manual, Desativado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desativado 1.1.0

Controle de acesso para meio de transmissão

ID: FedRAMP Moderado PE-4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 - Controle o acesso físico Manual, Desativado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desativado 1.1.0

Controle de acesso para dispositivos de saída

ID: FedRAMP Moderado PE-5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 - Controle o acesso físico Manual, Desativado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desativado 1.1.0
Gerencie a entrada, saída, processamento e armazenamento de dados CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados Manual, Desativado 1.1.0

Alarmes de Intrusão / Equipamentos de Vigilância

ID: FedRAMP PE-6 moderado (1) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Instalar um sistema de alarme CMA_0338 - Instalar um sistema de alarme Manual, Desativado 1.1.0
Gerencie um sistema de câmera de vigilância seguro CMA_0354 - Gerencie um sistema de câmera de vigilância seguro Manual, Desativado 1.1.0

Registos de Acesso de Visitantes

ID: FedRAMP Moderado PE-8 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 - Controle o acesso físico Manual, Desativado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desativado 1.1.0

Iluminação de emergência

ID: FedRAMP Moderado PE-12 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Utilize iluminação de emergência automática CMA_0209 - Utilizar iluminação de emergência automática Manual, Desativado 1.1.0

Proteção Contra Incêndios

ID: FedRAMP Moderado PE-13 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desativado 1.1.0

Dispositivos / Sistemas de Supressão

ID: FedRAMP PE-13 moderado (2) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desativado 1.1.0

Supressão Automática de Incêndios

ID: FedRAMP PE-13 moderado (3) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desativado 1.1.0

Controles de temperatura e umidade

ID: FedRAMP Moderado PE-14 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desativado 1.1.0

Monitorização com Alarmes / Notificações

ID: FedRAMP PE-14 moderado (2) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desativado 1.1.0
Instalar um sistema de alarme CMA_0338 - Instalar um sistema de alarme Manual, Desativado 1.1.0

Proteção contra danos causados pela água

ID: FedRAMP Moderado PE-15 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desativado 1.1.0

Entrega E Remoção

ID: FedRAMP Moderado PE-16 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Definir requisitos para o gerenciamento de ativos CMA_0125 - Definir requisitos para a gestão de ativos Manual, Desativado 1.1.0
Gerir o transporte de ativos CMA_0370 - Gerir o transporte de ativos Manual, Desativado 1.1.0

Local de Trabalho Alternativo

ID: FedRAMP Moderado PE-17 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar controles para proteger locais de trabalho alternativos CMA_0315 - Implementar controles para proteger locais de trabalho alternativos Manual, Desativado 1.1.0

Planeamento

Política e procedimentos de planejamento de segurança

ID: FedRAMP Moderado PL-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos de planejamento CMA_C1491 - Rever e atualizar políticas e procedimentos de planeamento Manual, Desativado 1.1.0

Plano de Segurança do Sistema

ID: FedRAMP Moderado PL-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Desenvolver e estabelecer um plano de segurança do sistema CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema Manual, Desativado 1.1.0
Desenvolver políticas e procedimentos de segurança da informação CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação Manual, Desativado 1.1.0
Desenvolver SSP que atenda aos critérios CMA_C1492 - Desenvolver SSP que atenda aos critérios Manual, Desativado 1.1.0
Estabeleça um programa de privacidade CMA_0257 - Estabelecer um programa de privacidade Manual, Desativado 1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados Manual, Desativado 1.1.0
Implementar princípios de engenharia de segurança de sistemas de informação CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação Manual, Desativado 1.1.0

Planear/coordenar com outras entidades organizacionais

ID: FedRAMP PL-2 moderado (3) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Desenvolver e estabelecer um plano de segurança do sistema CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema Manual, Desativado 1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados Manual, Desativado 1.1.0
Implementar princípios de engenharia de segurança de sistemas de informação CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação Manual, Desativado 1.1.0

Regras de Comportamento

ID: FedRAMP Moderado PL-4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Desenvolver políticas e procedimentos de uso aceitável CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável Manual, Desativado 1.1.0
Desenvolver a política de código de conduta da organização CMA_0159 - Desenvolver a política de código de conduta da organização Manual, Desativado 1.1.0
Documentar a aceitação dos requisitos de privacidade pelo pessoal CMA_0193 - Documentar a aceitação dos requisitos de privacidade pelo pessoal Manual, Desativado 1.1.0
Aplicar regras de comportamento e acordos de acesso CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso Manual, Desativado 1.1.0
Proibir práticas desleais CMA_0396 - Proibir as práticas desleais Manual, Desativado 1.1.0
Rever e assinar regras de comportamento revistas CMA_0465 - Rever e assinar regras de comportamento revistas Manual, Desativado 1.1.0
Atualizar políticas de segurança da informação CMA_0518 - Atualizar as políticas de segurança da informação Manual, Desativado 1.1.0
Atualizar regras de comportamento e acordos de acesso CMA_0521 - Atualizar regras de comportamento e acordos de acesso Manual, Desativado 1.1.0
Atualizar regras de comportamento e acordos de acesso a cada 3 anos CMA_0522 - Atualizar regras de comportamento e acordos de acesso a cada 3 anos Manual, Desativado 1.1.0

Restrições de redes sociais e redes sociais

ID: FedRAMP Moderado PL-4 (1) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Desenvolver políticas e procedimentos de uso aceitável CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável Manual, Desativado 1.1.0

Arquitetura de Segurança da Informação

ID: FedRAMP Moderado PL-8 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Desenvolver um conceito de operações (CONOPS) CMA_0141 - Desenvolver um conceito de operações (CONOPS) Manual, Desativado 1.1.0
Revisar e atualizar a arquitetura de segurança da informação CMA_C1504 - Rever e atualizar a arquitetura de segurança da informação Manual, Desativado 1.1.0

Segurança Pessoal

Política e Procedimentos de Segurança Pessoal

ID: FedRAMP Moderado PS-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Rever e atualizar políticas e procedimentos de segurança pessoal CMA_C1507 - Rever e atualizar políticas e procedimentos de segurança pessoal Manual, Desativado 1.1.0

Designação do Risco de Posição

ID: FedRAMP Moderado PS-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Atribuir designações de risco CMA_0016 - Atribuir designações de risco Manual, Desativado 1.1.0

Triagem de pessoal

ID: FedRAMP Moderado PS-3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Pessoal claro com acesso a informações classificadas CMA_0054 - Pessoal claro com acesso a informação classificada Manual, Desativado 1.1.0
Implementar a triagem de pessoal CMA_0322 - Implementar a triagem de pessoal Manual, Desativado 1.1.0
Retriagem de indivíduos em uma frequência definida CMA_C1512 - Retriagem de indivíduos em uma frequência definida Manual, Desativado 1.1.0

Informações com medidas especiais de proteção

ID: FedRAMP PS-3 moderado (3) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Proteja informações especiais CMA_0409 - Proteja informações especiais Manual, Desativado 1.1.0

Rescisão de Pessoal

ID: FedRAMP Moderado PS-4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Conduzir entrevista de saída após a rescisão CMA_0058 - Conduzir entrevista de saída após a rescisão Manual, Desativado 1.1.0
Desativar autenticadores após a rescisão CMA_0169 - Desativar autenticadores após a rescisão Manual, Desativado 1.1.0
Notificar após a rescisão ou transferência CMA_0381 - Notificar após a rescisão ou transferência Manual, Desativado 1.1.0
Proteja e impeça o roubo de dados de funcionários que saem CMA_0398 - Proteja e impeça o roubo de dados da saída de funcionários Manual, Desativado 1.1.0
Reter dados de usuários encerrados CMA_0455 - Reter dados de usuários encerrados Manual, Desativado 1.1.0

Transferência de Pessoal

ID: FedRAMP Moderado PS-5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Iniciar ações de transferência ou reatribuição CMA_0333 - Iniciar ações de transferência ou reatribuição Manual, Desativado 1.1.0
Modificar autorizações de acesso após transferência de pessoal CMA_0374 - Modificar as autorizações de acesso após a transferência de pessoal Manual, Desativado 1.1.0
Notificar após a rescisão ou transferência CMA_0381 - Notificar após a rescisão ou transferência Manual, Desativado 1.1.0
Reavaliar o acesso após a transferência de pessoal CMA_0424 - Reavaliar o acesso após a transferência de pessoal Manual, Desativado 1.1.0

Acordos de Acesso

ID: FedRAMP Moderado PS-6 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Documentar contratos de acesso organizacional CMA_0192 - Documentar acordos de acesso organizacional Manual, Desativado 1.1.0
Aplicar regras de comportamento e acordos de acesso CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso Manual, Desativado 1.1.0
Garantir que os acordos de acesso sejam assinados ou renunciados em tempo hábil CMA_C1528 - Garantir que os acordos de acesso sejam assinados ou renunciados em tempo hábil Manual, Desativado 1.1.0
Exigir que os usuários assinem o contrato de acesso CMA_0440 - Exigir que os usuários assinem o contrato de acesso Manual, Desativado 1.1.0
Atualizar contratos de acesso organizacional CMA_0520 - Atualizar acordos de acesso organizacional Manual, Desativado 1.1.0

Segurança de pessoal de terceiros

ID: FedRAMP Moderado PS-7 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Documentar requisitos de segurança de pessoal de terceiros CMA_C1531 - Documentar requisitos de segurança de pessoal de terceiros Manual, Desativado 1.1.0
Estabelecer requisitos de segurança de pessoal de terceiros CMA_C1529 - Estabelecer requisitos de segurança de pessoal de terceiros Manual, Desativado 1.1.0
Monitore a conformidade de provedores terceirizados CMA_C1533 - Monitorar a conformidade de provedores terceirizados Manual, Desativado 1.1.0
Exigir notificação de transferência ou rescisão de pessoal de terceiros CMA_C1532 - Exigir notificação de transferência ou rescisão de pessoal de terceiros Manual, Desativado 1.1.0
Exigir que provedores terceirizados cumpram as políticas e procedimentos de segurança pessoal CMA_C1530 - Exigir que fornecedores terceirizados cumpram as políticas e procedimentos de segurança pessoal Manual, Desativado 1.1.0

Sanções contra o pessoal

ID: FedRAMP Moderado PS-8 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar um processo formal de sanções CMA_0317 - Implementar um processo formal de sanções Manual, Desativado 1.1.0
Notificar o pessoal sobre sanções CMA_0380 - Notificar o pessoal sobre sanções Manual, Desativado 1.1.0

Avaliação de Riscos

Política e Procedimentos de Avaliação de Riscos

ID: FedRAMP Moderado RA-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Rever e atualizar as políticas e procedimentos de avaliação de riscos CMA_C1537 - Rever e atualizar as políticas e procedimentos de avaliação de riscos Manual, Desativado 1.1.0

Categorização de Segurança

ID: FedRAMP Moderado RA-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Categorizar informações CMA_0052 - Categorizar informações Manual, Desativado 1.1.0
Desenvolver sistemas de classificação de empresas CMA_0155 - Desenvolver sistemas de classificação de empresas Manual, Desativado 1.1.0
Garantir que a categorização de segurança seja aprovada CMA_C1540 - Garantir que a categorização de segurança seja aprovada Manual, Desativado 1.1.0
Revisar a atividade e a análise de rótulos CMA_0474 - Revisar a atividade e a análise de rótulos Manual, Desativado 1.1.0

Avaliação de Riscos

ID: FedRAMP Moderado RA-3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Realizar Avaliação de Risco CMA_C1543 - Realizar Avaliação de Risco Manual, Desativado 1.1.0
Realizar a avaliação de riscos e distribuir os seus resultados CMA_C1544 - Realizar a avaliação de riscos e distribuir os seus resultados Manual, Desativado 1.1.0
Realizar avaliações de risco e documentar seus resultados CMA_C1542 - Realizar a avaliação de riscos e documentar os seus resultados Manual, Desativado 1.1.0
Realizar uma avaliação de risco CMA_0388 - Realizar uma avaliação de risco Manual, Desativado 1.1.0

Análise de vulnerabilidades

ID: FedRAMP Moderado RA-5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. AuditIfNotExists, desativado 3.0.0
O Azure Defender for App Service deve estar habilitado O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. AuditIfNotExists, desativado 1.0.3
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for Key Vault deve ser habilitado O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. AuditIfNotExists, desativado 1.0.3
O Azure Defender for Resource Manager deve estar habilitado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . AuditIfNotExists, desativado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desativado 1.0.3
Azure Defender para SQL servidores em máquinas deve ser habilitado O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos Audite servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desativado 2.0.1
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas Audite cada instância gerenciada SQL sem segurança de dados avançada. AuditIfNotExists, desativado 1.0.2
Microsoft Defender for Containers deve estar habilitado O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. AuditIfNotExists, desativado 1.0.0
O Microsoft Defender for Storage deve estar habilitado O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. AuditIfNotExists, desativado 1.0.0
Executar verificações de vulnerabilidade CMA_0393 - Executar verificações de vulnerabilidade Manual, Desativado 1.1.0
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. AuditIfNotExists, desativado 4.1.0
Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas A avaliação de vulnerabilidade do SQL verifica seu banco de dados em busca de vulnerabilidades de segurança e expõe quaisquer desvios das práticas recomendadas, como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança do seu banco de dados. AuditIfNotExists, desativado 1.0.0
As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desativado 3.1.0
A avaliação de vulnerabilidade deve ser habilitada na Instância Gerenciada SQL Audite cada Instância Gerenciada do SQL que não tenha verificações recorrentes de avaliação de vulnerabilidades habilitadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. AuditIfNotExists, desativado 1.0.1
A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL Audite os servidores SQL do Azure que não têm a avaliação de vulnerabilidades configurada corretamente. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. AuditIfNotExists, desativado 3.0.0
A avaliação de vulnerabilidades deve ser ativada em seus espaços de trabalho Synapse Descubra, rastreie e corrija possíveis vulnerabilidades configurando verificações recorrentes de avaliação de vulnerabilidades SQL em seus espaços de trabalho Synapse. AuditIfNotExists, desativado 1.0.0

Capacidade da ferramenta de atualização

ID: FedRAMP RA-5 moderado (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Executar verificações de vulnerabilidade CMA_0393 - Executar verificações de vulnerabilidade Manual, Desativado 1.1.0
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0

Atualização por frequência / Antes de nova varredura / Quando identificado

ID: FedRAMP RA-5 moderado (2) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Executar verificações de vulnerabilidade CMA_0393 - Executar verificações de vulnerabilidade Manual, Desativado 1.1.0
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0

Amplitude / Profundidade de Cobertura

ID: FedRAMP RA-5 moderado (3) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Executar verificações de vulnerabilidade CMA_0393 - Executar verificações de vulnerabilidade Manual, Desativado 1.1.0
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0

Acesso Privilegiado

ID: FedRAMP RA-5 moderado (5) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades CMA_C1555 - Implementar acesso privilegiado para executar atividades de verificação de vulnerabilidades Manual, Desativado 1.1.0

Análises de tendências automatizadas

ID: FedRAMP RA-5 moderado (6) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Observar e comunicar falhas de segurança CMA_0384 - Observar e comunicar falhas de segurança Manual, Desativado 1.1.0
Realizar uma análise de tendência sobre ameaças CMA_0389 - Realizar uma análise de tendência sobre ameaças Manual, Desativado 1.1.0
Executar modelagem de ameaças CMA_0392 - Executar modelagem de ameaças Manual, Desativado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 - Executar verificações de vulnerabilidade Manual, Desativado 1.1.0
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0

Revisar registros históricos de auditoria

ID: FedRAMP RA-5 moderado (8) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Funções privilegiadas de auditoria CMA_0019 - Funções privilegiadas de auditoria Manual, Desativado 1.1.0
Auditar o status da conta de usuário CMA_0020 - Auditar o status da conta de usuário Manual, Desativado 1.1.0
Correlacione registros de auditoria CMA_0087 - Correlacionar registos de auditoria Manual, Desativado 1.1.0
Determinar eventos auditáveis CMA_0137 - Determinar eventos auditáveis Manual, Desativado 1.1.0
Estabelecer requisitos para revisão de auditoria e relatórios CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios Manual, Desativado 1.1.0
Integre a revisão, análise e emissão de relatórios de auditoria CMA_0339 - Integre a revisão, análise e relatórios de auditoria Manual, Desativado 1.1.0
Integre a segurança de aplicativos na nuvem com um siem CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem Manual, Desativado 1.1.0
Revisar logs de provisionamento de conta CMA_0460 - Revisar logs de provisionamento de conta Manual, Desativado 1.1.0
Revise as atribuições do administrador semanalmente CMA_0461 - Revisar as atribuições do administrador semanalmente Manual, Desativado 1.1.0
Rever os dados de auditoria CMA_0466 - Rever os dados de auditoria Manual, Desativado 1.1.0
Revise a visão geral do relatório de identidade na nuvem CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem Manual, Desativado 1.1.0
Rever eventos de acesso controlado a pastas CMA_0471 - Revisar eventos de acesso controlado a pastas Manual, Desativado 1.1.0
Rever eventos de proteção de exploração CMA_0472 - Analisar eventos de proteção de exploração Manual, Desativado 1.1.0
Rever a atividade de ficheiros e pastas CMA_0473 - Revisar a atividade de arquivos e pastas Manual, Desativado 1.1.0
Revisar as alterações do grupo de funções semanalmente CMA_0476 - Revisar as mudanças do grupo de funções semanalmente Manual, Desativado 1.1.0

Aquisição de Sistemas e Serviços

Política e Procedimentos de Aquisição de Sistemas e Serviços

ID: FedRAMP Moderado SA-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços CMA_C1560 - Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços Manual, Desativado 1.1.0

Alocação de recursos

ID: FedRAMP Moderado SA-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Alinhe os objetivos de negócios e as metas de TI CMA_0008 - Alinhar objetivos de negócios e metas de TI Manual, Desativado 1.1.0
Alocar recursos na determinação dos requisitos do sistema de informações CMA_C1561 - Alocar recursos na determinação dos requisitos do sistema de informação Manual, Desativado 1.1.0
Estabelecer um item de linha discreto na documentação de orçamento CMA_C1563 - Estabelecer um item de linha discreto na documentação de orçamento Manual, Desativado 1.1.0
Estabeleça um programa de privacidade CMA_0257 - Estabelecer um programa de privacidade Manual, Desativado 1.1.0
Governar a alocação de recursos CMA_0293 - Governar a afetação de recursos Manual, Desativado 1.1.0
Garantir o compromisso da liderança CMA_0489 - Garantir o compromisso da liderança Manual, Desativado 1.1.0

Ciclo de Vida de Desenvolvimento do Sistema

ID: FedRAMP Moderado SA-3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Definir funções e responsabilidades de segurança da informação CMA_C1565 - Definir funções e responsabilidades de segurança da informação Manual, Desativado 1.1.0
Identificar indivíduos com funções e responsabilidades de segurança CMA_C1566 - Identificar indivíduos com funções e responsabilidades de segurança Manual, Desativado 1.1.1
Integre o processo de gerenciamento de riscos ao SDLC CMA_C1567 - Integrar o processo de gestão de riscos no SDLC Manual, Desativado 1.1.0

Processo de Aquisição

ID: FedRAMP Moderado SA-4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Determinar as obrigações contratuais do fornecedor CMA_0140 - Determinar as obrigações contratuais do fornecedor Manual, Desativado 1.1.0
Critérios de aceitação do contrato de aquisição de documentos CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos Manual, Desativado 1.1.0
Proteção documental de dados pessoais em contratos de aquisição CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição Manual, Desativado 1.1.0
Proteção de documentos de informações de segurança em contratos de aquisição CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição Manual, Desativado 1.1.0
Documentar os requisitos para a utilização de dados partilhados em contratos CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos Manual, Desativado 1.1.0
Documentar os requisitos de garantia de segurança nos contratos de aquisição CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desativado 1.1.0
Documentar os requisitos de documentação de segurança no contrato de aquisição CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desativado 1.1.0
Requisitos funcionais de segurança documental em contratos de aquisição CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição Manual, Desativado 1.1.0
Documentar os requisitos de segurança nos contratos de aquisição CMA_0203 - Documentar requisitos de segurança em contratos de aquisição Manual, Desativado 1.1.0
Documentar o ambiente do sistema de informação nos contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição Manual, Desativado 1.1.0
Documentar a proteção dos dados do titular do cartão em contratos com terceiros CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros Manual, Desativado 1.1.0

Propriedades funcionais dos controles de segurança

ID: FedRAMP Moderado SA-4 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Obter propriedades funcionais dos controles de segurança CMA_C1575 - Obter propriedades funcionais dos controlos de segurança Manual, Desativado 1.1.0

Informações de projeto/implementação para controles de segurança

ID: FedRAMP Moderado SA-4 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Obter informações de projeto e implementação para os controles de segurança CMA_C1576 - Obter informações de projeto e implementação para os controles de segurança Manual, Desativado 1.1.1

Plano de Monitorização Contínua

ID: FedRAMP Moderado SA-4 (8) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Obter um plano de monitoramento contínuo para controles de segurança CMA_C1577 - Obter um plano de monitorização contínua dos controlos de segurança Manual, Desativado 1.1.0

Funções / Portas / Protocolos / Serviços em Uso

ID: FedRAMP Moderado SA-4 (9) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Exigir que o desenvolvedor identifique portas, protocolos e serviços SDLC CMA_C1578 - Exigir que o desenvolvedor identifique portas, protocolos e serviços SDLC Manual, Desativado 1.1.0

Uso de produtos Piv aprovados

ID: FedRAMP SA-4 moderado (10) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Empregar tecnologia aprovada pelo FIPS 201 para PIV CMA_C1579 - Empregar tecnologia aprovada pelo FIPS 201 para PIV Manual, Desativado 1.1.0

Documentação do Sistema de Informação

ID: FedRAMP Moderado SA-5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Distribuir a documentação do sistema de informação CMA_C1584 - Distribuir a documentação do sistema de informação Manual, Desativado 1.1.0
Documentar ações definidas pelo cliente CMA_C1582 - Documentar ações definidas pelo cliente Manual, Desativado 1.1.0
Obter documentação do administrador CMA_C1580 - Obter documentação do administrador Manual, Desativado 1.1.0
Obter documentação da função de segurança do usuário CMA_C1581 - Obter documentação da função de segurança do usuário Manual, Desativado 1.1.0
Proteja a documentação do administrador e do usuário CMA_C1583 - Proteja a documentação do administrador e do usuário Manual, Desativado 1.1.0

Serviços de Sistemas de Informação Externos

ID: FedRAMP Moderado SA-9 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Definir e documentar a supervisão governamental CMA_C1587 - Definir e documentar a supervisão governamental Manual, Desativado 1.1.0
Exigir que os prestadores de serviços externos cumpram os requisitos de segurança CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança Manual, Desativado 1.1.0
Analisar a conformidade do provedor de serviços de nuvem com políticas e contratos CMA_0469 - Analisar a conformidade do fornecedor de serviços na nuvem com políticas e acordos Manual, Desativado 1.1.0
Passar por uma revisão de segurança independente CMA_0515 - Passar por uma revisão de segurança independente Manual, Desativado 1.1.0

Avaliações de Risco / Aprovações Organizacionais

ID: FedRAMP Moderado SA-9 (1) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Avaliar o risco em relações com terceiros CMA_0014 - Avaliar o risco nas relações com terceiros Manual, Desativado 1.1.0
Obter aprovações para aquisições e terceirização CMA_C1590 - Obter aprovações para aquisições e outsourcing Manual, Desativado 1.1.0

Identificação de Funções / Portas / Protocolos / Serviços

ID: FedRAMP Moderado SA-9 (2) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Identificar fornecedores de serviços externos CMA_C1591 - Identificar prestadores de serviços externos Manual, Desativado 1.1.0

Interesses consistentes de consumidores e fornecedores

ID: FedRAMP Moderado SA-9 (4) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Garantir que os fornecedores externos satisfaçam consistentemente os interesses dos clientes CMA_C1592 - Garantir que os fornecedores externos satisfaçam consistentemente os interesses dos clientes Manual, Desativado 1.1.0

Local de processamento, armazenamento e serviço

ID: FedRAMP Moderado SA-9 (5) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Restringir a localização do processamento, armazenamento e serviços de informações CMA_C1593 - Restringir a localização do processamento, armazenamento e serviços de informações Manual, Desativado 1.1.0

Gerenciamento de configuração do desenvolvedor

ID: FedRAMP Moderado SA-10 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Resolver vulnerabilidades de codificação CMA_0003 - Resolver vulnerabilidades de codificação Manual, Desativado 1.1.0
Desenvolver e documentar requisitos de segurança de aplicativos CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos Manual, Desativado 1.1.0
Documentar o ambiente do sistema de informação nos contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição Manual, Desativado 1.1.0
Estabeleça um programa seguro de desenvolvimento de software CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro Manual, Desativado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 - Executar verificações de vulnerabilidade Manual, Desativado 1.1.0
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial Manual, Desativado 1.1.0
Exigir que os desenvolvedores implementem apenas as alterações aprovadas CMA_C1596 - Exigir que os desenvolvedores implementem apenas as alterações aprovadas Manual, Desativado 1.1.0
Exigir que os desenvolvedores gerenciem a integridade das alterações CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade das alterações Manual, Desativado 1.1.0

Verificação de Integridade de Software/Firmware

ID: FedRAMP Moderado SA-10 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Verificar a integridade do software, firmware e informações CMA_0542 - Verificar a integridade do software, firmware e informação Manual, Desativado 1.1.0

Testes e avaliação de segurança do desenvolvedor

ID: FedRAMP Moderado SA-11 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Executar verificações de vulnerabilidade CMA_0393 - Executar verificações de vulnerabilidade Manual, Desativado 1.1.0
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0
Exigir que os desenvolvedores apresentem provas da execução do plano de avaliação de segurança CMA_C1602 - Exigir que os desenvolvedores apresentem provas da execução do plano de avaliação de segurança Manual, Desativado 1.1.0

Proteção de Sistemas e Comunicações

Política e Procedimentos de Proteção de Sistemas e Comunicações

ID: FedRAMP Moderado SC-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações Manual, Desativado 1.1.0

Particionamento de aplicativos

ID: FedRAMP Moderado SC-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar acesso remoto CMA_0024 - Autorizar acesso remoto Manual, Desativado 1.1.0
Funcionalidade separada de gerenciamento de usuários e sistemas de informação CMA_0493 - Separe a funcionalidade de gestão do utilizador e do sistema de informação Manual, Desativado 1.1.0
Usar máquinas dedicadas para tarefas administrativas CMA_0527 - Use máquinas dedicadas para tarefas administrativas Manual, Desativado 1.1.0

Proteção contra negação de serviço

ID: FedRAMP Moderado SC-5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
A Proteção contra DDoS do Azure deve ser habilitada A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público. AuditIfNotExists, desativado 3.0.1
O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Auditoria, Negar, Desativado 1.0.2
Desenvolver e documentar um plano de resposta a DDoS CMA_0147 - Desenvolver e documentar um plano de resposta a DDoS Manual, Desativado 1.1.0
O encaminhamento de IP em sua máquina virtual deve ser desabilitado Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. AuditIfNotExists, desativado 3.0.0
O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Auditoria, Negar, Desativado 2.0.0

Disponibilidade do Recurso

ID: FedRAMP Moderado SC-6 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Governar a alocação de recursos CMA_0293 - Governar a afetação de recursos Manual, Desativado 1.1.0
Gerencie a disponibilidade e a capacidade CMA_0356 - Gerencie disponibilidade e capacidade Manual, Desativado 1.1.0
Garantir o compromisso da liderança CMA_0489 - Garantir o compromisso da liderança Manual, Desativado 1.1.0

Proteção de Fronteiras

ID: FedRAMP Moderado SC-7 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Preterido]: os serviços de Pesquisa Cognitiva do Azure devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Desativado 1.0.1-preterido
[Preterido]: Serviços Cognitivos devem usar link privado O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Auditoria, Desativado 3.0.1-preterido
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte AuditIfNotExists, desativado 3.0.0-Pré-visualização
[Pré-visualização]: O acesso público à conta de armazenamento não deve ser permitido O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. auditoria, auditoria, negar, negar, desativado, desativado 3.1.0-Pré-visualização
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. AuditIfNotExists, desativado 3.0.0
Os serviços de gerenciamento de API devem usar uma rede virtual A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que não seja da Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. Auditoria, Negar, Desativado 1.0.2
A configuração do aplicativo deve usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, desativado 1.0.2
Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. Auditoria, Desativado 2.0.1
Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço Azure AI. Auditoria, Negar, Desativado 3.2.0
A API do Azure para FHIR deve usar o link privado A API do Azure para FHIR deve ter pelo menos uma conexão de ponto de extremidade privada aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privadas por meio de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. Auditoria, Desativado 1.0.0
O Cache Redis do Azure deve usar o link privado Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, desativado 1.0.0
O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Desativado 1.0.0
Os serviços da Pesquisa Cognitiva do Azure devem desativar o acesso à rede pública Desabilitar o acesso à rede pública melhora a segurança, garantindo que seu serviço de Pesquisa Cognitiva do Azure não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do seu serviço de Pesquisa. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Desativado 1.0.0
As contas do Azure Cosmos DB devem ter regras de firewall As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra IP definida com o filtro de rede virtual ativado são consideradas compatíveis. As contas que desativam o acesso público também são consideradas compatíveis. Auditoria, Negar, Desativado 2.1.0
O Azure Data Factory deve usar o link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, desativado 1.0.0
Os domínios da Grade de Eventos do Azure devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Desativado 1.0.2
Os tópicos da Grade de Eventos do Azure devem usar o link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Desativado 1.0.2
O Azure File Sync deve usar o link privado A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. AuditIfNotExists, desativado 1.0.0
O Azure Key Vault deve ter firewall ativado Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security Auditoria, Negar, Desativado 3.2.1
Os Cofres de Chaves do Azure devem usar o link privado O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. [parâmetros(«audit_effect»)] 1.2.1
Os espaços de trabalho do Azure Machine Learning devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Auditoria, Desativado 1.0.0
Os namespaces do Barramento de Serviço do Azure devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, desativado 1.0.0
O Serviço Azure SignalR deve usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Auditoria, Desativado 1.0.0
Os espaços de trabalho do Azure Synapse devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Auditoria, Desativado 1.0.1
O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Auditoria, Negar, Desativado 1.0.2
O Serviço Azure Web PubSub deve usar o link privado O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu Serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Auditoria, Desativado 1.0.0
Os registos de contentores não devem permitir o acesso irrestrito à rede Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de terminais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registro não tiver regras de rede configuradas, ele aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. Auditoria, Negar, Desativado 2.0.0
Os registos de contentores devem utilizar a ligação privada O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. Auditoria, Desativado 1.0.1
As contas do CosmosDB devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Auditoria, Desativado 1.0.0
Os recursos de acesso ao disco devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, desativado 1.0.0
Os namespaces do Hub de Eventos devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, desativado 1.0.0
Implementar a proteção de limites do sistema CMA_0328 - Implementar a proteção de limites do sistema Manual, Desativado 1.1.0
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desativado 3.0.0
As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Auditoria, Desativado 1.0.0
O encaminhamento de IP em sua máquina virtual deve ser desabilitado Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. AuditIfNotExists, desativado 3.0.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações AuditIfNotExists, desativado 3.0.0
As portas de gerenciamento devem ser fechadas em suas máquinas virtuais As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. AuditIfNotExists, desativado 3.0.0
As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desativado 3.0.0
As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. Auditoria, Desativado 1.1.0
Ponto de extremidade privado deve ser habilitado para servidores MariaDB As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. AuditIfNotExists, desativado 1.0.2
Ponto de extremidade privado deve ser habilitado para servidores MySQL As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. AuditIfNotExists, desativado 1.0.2
Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. AuditIfNotExists, desativado 1.0.2
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. Auditoria, Negar, Desativado 1.1.0
O acesso à rede pública deve ser desativado para servidores MariaDB Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Auditoria, Negar, Desativado 2.0.0
O acesso à rede pública deve ser desativado para servidores MySQL Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MySQL só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Auditoria, Negar, Desativado 2.0.0
O acesso à rede pública deve ser desabilitado para servidores PostgreSQL Desabilite a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para PostgreSQL só possa ser acessado a partir de um ponto de extremidade privado. Esta configuração desativa o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os inícios de sessão que correspondam a regras de firewall baseadas em IP ou rede virtual. Auditoria, Negar, Desativado 2.0.1
As contas de armazenamento devem restringir o acesso à rede O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública Auditoria, Negar, Desativado 1.1.1
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. Auditoria, Negar, Desativado 1.0.1
As contas de armazenamento devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, desativado 2.0.0
As sub-redes devem estar associadas a um Grupo de Segurança de Rede Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. AuditIfNotExists, desativado 3.0.0
Os modelos do Construtor de Imagens de VM devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditar, Desabilitar, Negar 1.1.0
O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Auditoria, Negar, Desativado 2.0.0

Pontos de Acesso

ID: FedRAMP Moderado SC-7 (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Preterido]: os serviços de Pesquisa Cognitiva do Azure devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Desativado 1.0.1-preterido
[Preterido]: Serviços Cognitivos devem usar link privado O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Auditoria, Desativado 3.0.1-preterido
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte AuditIfNotExists, desativado 3.0.0-Pré-visualização
[Pré-visualização]: O acesso público à conta de armazenamento não deve ser permitido O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. auditoria, auditoria, negar, negar, desativado, desativado 3.1.0-Pré-visualização
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. AuditIfNotExists, desativado 3.0.0
Os serviços de gerenciamento de API devem usar uma rede virtual A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que não seja da Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. Auditoria, Negar, Desativado 1.0.2
A configuração do aplicativo deve usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, desativado 1.0.2
Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. Auditoria, Desativado 2.0.1
Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço Azure AI. Auditoria, Negar, Desativado 3.2.0
A API do Azure para FHIR deve usar o link privado A API do Azure para FHIR deve ter pelo menos uma conexão de ponto de extremidade privada aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privadas por meio de links privados. Para mais informações, visite: https://aka.ms/fhir-privatelink. Auditoria, Desativado 1.0.0
O Cache Redis do Azure deve usar o link privado Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, desativado 1.0.0
O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Desativado 1.0.0
Os serviços da Pesquisa Cognitiva do Azure devem desativar o acesso à rede pública Desabilitar o acesso à rede pública melhora a segurança, garantindo que seu serviço de Pesquisa Cognitiva do Azure não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do seu serviço de Pesquisa. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Auditoria, Negar, Desativado 1.0.0
As contas do Azure Cosmos DB devem ter regras de firewall As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra IP definida com o filtro de rede virtual ativado são consideradas compatíveis. As contas que desativam o acesso público também são consideradas compatíveis. Auditoria, Negar, Desativado 2.1.0
O Azure Data Factory deve usar o link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, desativado 1.0.0
Os domínios da Grade de Eventos do Azure devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Desativado 1.0.2
Os tópicos da Grade de Eventos do Azure devem usar o link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Auditoria, Desativado 1.0.2
O Azure File Sync deve usar o link privado A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. AuditIfNotExists, desativado 1.0.0
O Azure Key Vault deve ter firewall ativado Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security Auditoria, Negar, Desativado 3.2.1
Os Cofres de Chaves do Azure devem usar o link privado O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. [parâmetros(«audit_effect»)] 1.2.1
Os espaços de trabalho do Azure Machine Learning devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Auditoria, Desativado 1.0.0
Os namespaces do Barramento de Serviço do Azure devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, desativado 1.0.0
O Serviço Azure SignalR deve usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Auditoria, Desativado 1.0.0
Os espaços de trabalho do Azure Synapse devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Auditoria, Desativado 1.0.1
O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Auditoria, Negar, Desativado 1.0.2
O Serviço Azure Web PubSub deve usar o link privado O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu Serviço Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Auditoria, Desativado 1.0.0
Os registos de contentores não devem permitir o acesso irrestrito à rede Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de terminais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registro não tiver regras de rede configuradas, ele aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. Auditoria, Negar, Desativado 2.0.0
Os registos de contentores devem utilizar a ligação privada O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. Auditoria, Desativado 1.0.1
As contas do CosmosDB devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Auditoria, Desativado 1.0.0
Os recursos de acesso ao disco devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, desativado 1.0.0
Os namespaces do Hub de Eventos devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, desativado 1.0.0
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desativado 3.0.0
As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Auditoria, Desativado 1.0.0
O encaminhamento de IP em sua máquina virtual deve ser desabilitado Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. AuditIfNotExists, desativado 3.0.0
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações AuditIfNotExists, desativado 3.0.0
As portas de gerenciamento devem ser fechadas em suas máquinas virtuais As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. AuditIfNotExists, desativado 3.0.0
As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desativado 3.0.0
As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. Auditoria, Desativado 1.1.0
Ponto de extremidade privado deve ser habilitado para servidores MariaDB As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. AuditIfNotExists, desativado 1.0.2
Ponto de extremidade privado deve ser habilitado para servidores MySQL As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. AuditIfNotExists, desativado 1.0.2
Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. AuditIfNotExists, desativado 1.0.2
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. Auditoria, Negar, Desativado 1.1.0
O acesso à rede pública deve ser desativado para servidores MariaDB Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Auditoria, Negar, Desativado 2.0.0
O acesso à rede pública deve ser desativado para servidores MySQL Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MySQL só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. Auditoria, Negar, Desativado 2.0.0
O acesso à rede pública deve ser desabilitado para servidores PostgreSQL Desabilite a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para PostgreSQL só possa ser acessado a partir de um ponto de extremidade privado. Esta configuração desativa o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os inícios de sessão que correspondam a regras de firewall baseadas em IP ou rede virtual. Auditoria, Negar, Desativado 2.0.1
As contas de armazenamento devem restringir o acesso à rede O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública Auditoria, Negar, Desativado 1.1.1
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. Auditoria, Negar, Desativado 1.0.1
As contas de armazenamento devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, desativado 2.0.0
As sub-redes devem estar associadas a um Grupo de Segurança de Rede Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. AuditIfNotExists, desativado 3.0.0
Os modelos do Construtor de Imagens de VM devem usar link privado O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditar, Desabilitar, Negar 1.1.0
O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Auditoria, Negar, Desativado 2.0.0

Serviços de Telecomunicações Externas

ID: FedRAMP Moderado SC-7 (4) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar interface gerenciada para cada serviço externo CMA_C1626 - Implementar interface gerenciada para cada serviço externo Manual, Desativado 1.1.0
Implementar a proteção de limites do sistema CMA_0328 - Implementar a proteção de limites do sistema Manual, Desativado 1.1.0
Proteja a interface para sistemas externos CMA_0491 - Proteger a interface para sistemas externos Manual, Desativado 1.1.0

Impedir tunelamento dividido para dispositivos remotos

ID: FedRAMP Moderado SC-7 (7) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Impedir o túnel dividido para dispositivos remotos CMA_C1632 - Evitar tunelamento dividido para dispositivos remotos Manual, Desativado 1.1.0

Rotear tráfego para servidores proxy autenticados

ID: FedRAMP Moderado SC-7 (8) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Encaminhar o tráfego através da rede proxy autenticada CMA_C1633 - Encaminhar o tráfego através da rede proxy autenticada Manual, Desativado 1.1.0

Proteção baseada em host

ID: FedRAMP Moderado SC-7 (12) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar a proteção de limites do sistema CMA_0328 - Implementar a proteção de limites do sistema Manual, Desativado 1.1.0

Isolamento de ferramentas de segurança / mecanismos / componentes de suporte

ID: FedRAMP Moderado SC-7 (13) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Isolar sistemas SecurID, sistemas de Gestão de Incidentes de Segurança CMA_C1636 - Isolar sistemas SecurID, sistemas de Gestão de Incidentes de Segurança Manual, Desativado 1.1.0

Falha Segura

ID: FedRAMP Moderado SC-7 (18) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar a proteção de limites do sistema CMA_0328 - Implementar a proteção de limites do sistema Manual, Desativado 1.1.0
Gerencie transferências entre componentes do sistema em espera e ativos CMA_0371 - Gerencie transferências entre componentes ativos e em espera do sistema Manual, Desativado 1.1.0

Confidencialidade e integridade da transmissão

ID: FedRAMP Moderado SC-8 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. Auditar, Desabilitar, Negar 4.0.0
Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS Habilite a imposição de FTPS para maior segurança. AuditIfNotExists, desativado 3.0.0
Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 2.0.1
Os clusters do Azure HDInsight devem usar criptografia em trânsito para criptografar a comunicação entre nós de cluster do Azure HDInsight Os dados podem ser adulterados durante a transmissão entre nós de cluster do Azure HDInsight. Habilitar a criptografia em trânsito resolve problemas de uso indevido e adulteração durante essa transmissão. Auditoria, Negar, Desativado 1.0.0
Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. Auditoria, Desativado 1.0.1
Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. Auditoria, Desativado 1.0.1
Os aplicativos de função só devem ser acessíveis por HTTPS O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. Auditar, Desabilitar, Negar 5.0.0
Os aplicativos de função devem exigir apenas FTPS Habilite a imposição de FTPS para maior segurança. AuditIfNotExists, desativado 3.0.0
Os aplicativos de função devem usar a versão TLS mais recente Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 2.0.1
Os clusters Kubernetes devem ser acessíveis somente por HTTPS O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc auditoria, auditoria, negar, negar, desativado, desativado 8.2.0
Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão Auditoria, Negar, Desativado 1.0.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Proteja senhas com criptografia CMA_0408 - Proteja senhas com criptografia Manual, Desativado 1.1.0
A transferência segura para contas de armazenamento deve ser ativada Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão Auditoria, Negar, Desativado 2.0.0
As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. AuditIfNotExists, desativado 4.1.1

Proteção física criptográfica ou alternativa

ID: FedRAMP Moderado SC-8 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. Auditar, Desabilitar, Negar 4.0.0
Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS Habilite a imposição de FTPS para maior segurança. AuditIfNotExists, desativado 3.0.0
Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 2.0.1
Os clusters do Azure HDInsight devem usar criptografia em trânsito para criptografar a comunicação entre nós de cluster do Azure HDInsight Os dados podem ser adulterados durante a transmissão entre nós de cluster do Azure HDInsight. Habilitar a criptografia em trânsito resolve problemas de uso indevido e adulteração durante essa transmissão. Auditoria, Negar, Desativado 1.0.0
Configurar estações de trabalho para verificar certificados digitais CMA_0073 - Configurar estações de trabalho para verificar certificados digitais Manual, Desativado 1.1.0
Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. Auditoria, Desativado 1.0.1
Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. Auditoria, Desativado 1.0.1
Os aplicativos de função só devem ser acessíveis por HTTPS O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. Auditar, Desabilitar, Negar 5.0.0
Os aplicativos de função devem exigir apenas FTPS Habilite a imposição de FTPS para maior segurança. AuditIfNotExists, desativado 3.0.0
Os aplicativos de função devem usar a versão TLS mais recente Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 2.0.1
Os clusters Kubernetes devem ser acessíveis somente por HTTPS O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc auditoria, auditoria, negar, negar, desativado, desativado 8.2.0
Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão Auditoria, Negar, Desativado 1.0.0
A transferência segura para contas de armazenamento deve ser ativada Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão Auditoria, Negar, Desativado 2.0.0
As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. AuditIfNotExists, desativado 4.1.1

Desconexão de rede

ID: FedRAMP Moderado SC-10 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Reautenticar ou encerrar uma sessão de usuário CMA_0421 - Reautenticar ou encerrar uma sessão de usuário Manual, Desativado 1.1.0

Estabelecimento e gerenciamento de chaves criptográficas

ID: FedRAMP Moderado SC-12 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Os cofres dos Serviços de Recuperação do Azure devem utilizar chaves geridas pelo cliente para encriptar dados de cópia de segurança Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos dados de backup. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/AB-CmkEncryption. Auditoria, Negar, Desativado 1.0.0-pré-visualização
[Visualização]: os dados do serviço de provisionamento de dispositivos do Hub IoT devem ser criptografados usando chaves gerenciadas pelo cliente (CMK) Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do serviço de provisionamento de dispositivos do Hub IoT. Os dados são automaticamente criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. As CMKs permitem que os dados sejam criptografados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Saiba mais sobre a criptografia CMK em https://aka.ms/dps/CMK. Auditoria, Negar, Desativado 1.0.0-pré-visualização
Os recursos dos Serviços de IA do Azure devem criptografar dados em repouso com uma chave gerenciada pelo cliente (CMK) O uso de chaves gerenciadas pelo cliente para criptografar dados em repouso fornece mais controle sobre o ciclo de vida da chave, incluindo rotação e gerenciamento. Isso é particularmente relevante para organizações com requisitos de conformidade relacionados. Isso não é avaliado por padrão e só deve ser aplicado quando exigido por requisitos de conformidade ou de política restritiva. Se não estiverem habilitados, os dados serão criptografados usando chaves gerenciadas pela plataforma. Para implementar isso, atualize o parâmetro 'Effect' na Política de Segurança para o escopo aplicável. Auditoria, Negar, Desativado 2.2.0
A API do Azure para FHIR deve usar uma chave gerenciada pelo cliente para criptografar dados em repouso Use uma chave gerenciada pelo cliente para controlar a criptografia em repouso dos dados armazenados na API do Azure para FHIR quando isso for um requisito regulatório ou de conformidade. As chaves gerenciadas pelo cliente também oferecem criptografia dupla, adicionando uma segunda camada de criptografia à padrão feita com chaves gerenciadas por serviço. auditoria, Auditoria, desativado, Desativado 1.1.0
As contas de Automação do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de suas Contas de Automação do Azure. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/automation-cmk. Auditoria, Negar, Desativado 1.0.0
A conta do Lote do Azure deve usar chaves gerenciadas pelo cliente para criptografar dados Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos dados da sua conta Batch. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/Batch-CMK. Auditoria, Negar, Desativado 1.0.1
O grupo de contêineres da Instância de Contêiner do Azure deve usar a chave gerenciada pelo cliente para criptografia Proteja seus contêineres com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. Auditar, Desabilitar, Negar 1.0.0
As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. auditoria, auditoria, negar, negar, desativado, desativado 1.1.0
Os trabalhos do Azure Data Box devem usar uma chave gerenciada pelo cliente para criptografar a senha de desbloqueio do dispositivo Use uma chave gerenciada pelo cliente para controlar a criptografia da senha de desbloqueio do dispositivo para o Azure Data Box. As chaves gerenciadas pelo cliente também ajudam a gerenciar o acesso à senha de desbloqueio do dispositivo pelo serviço Data Box, a fim de preparar o dispositivo e copiar dados de forma automatizada. Os dados no próprio dispositivo já estão criptografados em repouso com criptografia de 256 bits Advanced Encryption Standard e a senha de desbloqueio do dispositivo é criptografada por padrão com uma chave gerenciada pela Microsoft. Auditoria, Negar, Desativado 1.0.0
A criptografia do Azure Data Explorer em repouso deve usar uma chave gerenciada pelo cliente Habilitar a criptografia em repouso usando uma chave gerenciada pelo cliente em seu cluster do Azure Data Explorer fornece controle adicional sobre a chave que está sendo usada pela criptografia em repouso. Esse recurso geralmente é aplicável a clientes com requisitos especiais de conformidade e requer um Cofre de Chaves para gerenciar as chaves. Auditoria, Negar, Desativado 1.0.0
As fábricas de dados do Azure devem ser criptografadas com uma chave gerenciada pelo cliente Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do Azure Data Factory. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/adf-cmk. Auditoria, Negar, Desativado 1.0.1
Os clusters do Azure HDInsight devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus clusters do Azure HDInsight. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/hdi.cmk. Auditoria, Negar, Desativado 1.0.1
Os clusters do Azure HDInsight devem usar criptografia no host para criptografar dados em repouso Habilitar a criptografia no host ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Quando você habilita a criptografia no host, os dados armazenados no host da VM são criptografados em repouso e fluem criptografados para o serviço de armazenamento. Auditoria, Negar, Desativado 1.0.0
Os espaços de trabalho do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente Gerencie a criptografia no restante dos dados do espaço de trabalho do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. Auditoria, Negar, Desativado 1.1.0
Os clusters do Azure Monitor Logs devem ser criptografados com chave gerenciada pelo cliente Crie o cluster de logs do Azure Monitor com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados de log são criptografados com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulamentar. A chave gerida pelo cliente no Azure Monitor dá-lhe mais controlo sobre o acesso aos seus dados, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. auditoria, auditoria, negar, negar, desativado, desativado 1.1.0
Os trabalhos do Azure Stream Analytics devem usar chaves gerenciadas pelo cliente para criptografar dados Use chaves gerenciadas pelo cliente quando quiser armazenar com segurança quaisquer metadados e ativos de dados privados de seus trabalhos do Stream Analytics em sua conta de armazenamento. Isso lhe dá controle total sobre como seus dados do Stream Analytics são criptografados. auditoria, auditoria, negar, negar, desativado, desativado 1.1.0
Os espaços de trabalho do Azure Synapse devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso Use chaves gerenciadas pelo cliente para controlar a criptografia em repouso dos dados armazenados nos espaços de trabalho do Azure Synapse. As chaves gerenciadas pelo cliente oferecem criptografia dupla adicionando uma segunda camada de criptografia sobre a criptografia padrão com chaves gerenciadas por serviço. Auditoria, Negar, Desativado 1.0.0
O Serviço de Bot deve ser criptografado com uma chave gerenciada pelo cliente O Serviço de Bot do Azure criptografa automaticamente seu recurso para proteger seus dados e cumprir os compromissos organizacionais de segurança e conformidade. Por padrão, as chaves de criptografia gerenciadas pela Microsoft são usadas. Para maior flexibilidade na gestão de chaves ou no controlo do acesso à sua subscrição, selecione chaves geridas pelo cliente, também conhecidas como traga a sua própria chave (BYOK). Saiba mais sobre a criptografia do Serviço de Bot do Azure: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. auditoria, auditoria, negar, negar, desativado, desativado 1.1.0
Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente A encriptação do SO e dos discos de dados utilizando chaves geridas pelo cliente proporciona mais controlo e maior flexibilidade na gestão de chaves. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. Auditoria, Negar, Desativado 1.0.1
Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. Auditoria, Negar, Desativado 1.1.2
Definir um processo de gerenciamento de chaves físicas CMA_0115 - Definir um processo de gestão de chaves físicas Manual, Desativado 1.1.0
Definir cryptographic use CMA_0120 - Definir uso criptográfico Manual, Desativado 1.1.0
Definir requisitos organizacionais para gerenciamento de chaves criptográficas CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas Manual, Desativado 1.1.0
Determinar requisitos de asserção CMA_0136 - Determinar os requisitos de asserção Manual, Desativado 1.1.0
Os namespaces do Hub de Eventos devem usar uma chave gerenciada pelo cliente para criptografia Os Hubs de Eventos do Azure dão suporte à opção de criptografar dados em repouso com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite atribuir, girar, desabilitar e revogar o acesso às chaves que o Hub de Eventos usará para criptografar dados em seu namespace. Observe que o Hub de Eventos só oferece suporte à criptografia com chaves gerenciadas pelo cliente para namespaces em clusters dedicados. Auditoria, Desativado 1.0.0
As contas de cache HPC devem usar a chave gerenciada pelo cliente para criptografia Gerencie a criptografia em repouso do Cache HPC do Azure com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Auditar, Desabilitar, Negar 2.0.0
Emitir certificados de chave pública CMA_0347 - Emitir certificados de chave pública Manual, Desativado 1.1.0
O Ambiente do Serviço de Integração de Aplicativos Lógicos deve ser criptografado com chaves gerenciadas pelo cliente Implante no Integration Service Environment para gerenciar a criptografia no restante dos dados dos Aplicativos Lógicos usando chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Auditoria, Negar, Desativado 1.0.0
Gerenciar chaves criptográficas simétricas CMA_0367 - Gerenciar chaves criptográficas simétricas Manual, Desativado 1.1.0
Os discos gerenciados devem ser duplamente criptografados com chaves gerenciadas pela plataforma e gerenciadas pelo cliente Os clientes sensíveis à alta segurança que estão preocupados com o risco associado a qualquer algoritmo de criptografia específico, implementação ou chave comprometida podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar criptografia dupla. Saiba mais em https://aka.ms/disks-doubleEncryption. Auditoria, Negar, Desativado 1.0.0
Os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores MySQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. AuditIfNotExists, desativado 1.0.4
OS e discos de dados devem ser criptografados com uma chave gerenciada pelo cliente Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus discos gerenciados. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pela plataforma, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/disks-cmk. Auditoria, Negar, Desativado 3.0.0
Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. AuditIfNotExists, desativado 1.0.4
Restringir o acesso a chaves privadas CMA_0445 - Restringir o acesso a chaves privadas Manual, Desativado 1.1.0
As consultas salvas no Azure Monitor devem ser salvas na conta de armazenamento do cliente para criptografia de logs Vincule a conta de armazenamento ao espaço de trabalho do Log Analytics para proteger consultas salvas com criptografia de conta de armazenamento. As chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulatória e para ter mais controle sobre o acesso às suas consultas salvas no Azure Monitor. Para obter mais detalhes sobre o acima, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. auditoria, auditoria, negar, negar, desativado, desativado 1.1.0
Os namespaces Premium do Service Bus devem usar uma chave gerenciada pelo cliente para criptografia O Barramento de Serviço do Azure dá suporte à opção de criptografar dados em repouso com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite atribuir, girar, desabilitar e revogar o acesso às chaves que o Service Bus usará para criptografar dados em seu namespace. Observe que o Service Bus só oferece suporte à criptografia com chaves gerenciadas pelo cliente para namespaces premium. Auditoria, Desativado 1.0.0
As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. Auditoria, Negar, Desativado 2.0.0
Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. Auditoria, Negar, Desativado 2.0.1
Os escopos de criptografia de conta de armazenamento devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos escopos de criptografia da conta de armazenamento. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do cofre de chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre os escopos de criptografia de conta de armazenamento em https://aka.ms/encryption-scopes-overview. Auditoria, Negar, Desativado 1.0.0
As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografia Proteja sua conta de armazenamento de arquivos e blob com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. Auditoria, Desativado 1.0.3

Chaves simétricas

ID: FedRAMP Moderado SC-12 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Produzir, controlar e distribuir chaves criptográficas simétricas CMA_C1645 - Produzir, controlar e distribuir chaves criptográficas simétricas Manual, Desativado 1.1.0

Chaves assimétricas

ID: FedRAMP Moderado SC-12 (3) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Produzir, controlar e distribuir chaves criptográficas assimétricas CMA_C1646 - Produzir, controlar e distribuir chaves criptográficas assimétricas Manual, Desativado 1.1.0

Proteção criptográfica

ID: FedRAMP Moderado SC-13 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Definir cryptographic use CMA_0120 - Definir uso criptográfico Manual, Desativado 1.1.0

Dispositivos de computação colaborativa

ID: FedRAMP Moderado SC-15 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Notificar explicitamente o uso de dispositivos de computação colaborativa CMA_C1649 - Notificar explicitamente o uso de dispositivos de computação colaborativa Manual, Desativado 1.1.1
Proibir a ativação remota de dispositivos de computação colaborativa CMA_C1648 - Proibir a ativação remota de dispositivos de computação colaborativa Manual, Desativado 1.1.0

Certificados de infraestrutura de chave pública

ID: FedRAMP Moderado SC-17 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Emitir certificados de chave pública CMA_0347 - Emitir certificados de chave pública Manual, Desativado 1.1.0

Código Móvel

ID: FedRAMP Moderado SC-18 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar, monitorar e controlar o uso de tecnologias de código móvel CMA_C1653 - Autorizar, monitorar e controlar o uso de tecnologias de código móvel Manual, Desativado 1.1.0
Definir tecnologias de código móvel aceitáveis e inaceitáveis CMA_C1651 - Definir tecnologias de código móvel aceitáveis e inaceitáveis Manual, Desativado 1.1.0
Estabelecer restrições de uso para tecnologias de código móvel CMA_C1652 - Estabelecer restrições de uso para tecnologias de código móvel Manual, Desativado 1.1.0

Voz sobre Protocolo Internet

ID: FedRAMP Moderado SC-19 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar, monitorar e controlar voip CMA_0025 - Autorizar, monitorar e controlar voip Manual, Desativado 1.1.0
Estabelecer restrições de uso de voip CMA_0280 - Estabelecer restrições de uso de voip Manual, Desativado 1.1.0

Serviço de Resolução de Nome/Endereço Seguro (Fonte Autorizada)

ID: FedRAMP Moderado SC-20 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar um serviço de nome/endereço tolerante a falhas CMA_0305 - Implementar um serviço de nome/endereço tolerante a falhas Manual, Desativado 1.1.0
Fornecer serviços seguros de resolução de nomes e endereços CMA_0416 - Fornecer serviços seguros de resolução de nomes e endereços Manual, Desativado 1.1.0

Serviço de Resolução de Nome/Endereço Seguro (Resolvedor Recursivo ou de Cache)

ID: FedRAMP Moderado SC-21 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar um serviço de nome/endereço tolerante a falhas CMA_0305 - Implementar um serviço de nome/endereço tolerante a falhas Manual, Desativado 1.1.0
Verificar a integridade do software, firmware e informações CMA_0542 - Verificar a integridade do software, firmware e informação Manual, Desativado 1.1.0

Arquitetura e provisionamento para serviço de resolução de nome/endereço

ID: FedRAMP Moderado SC-22 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Implementar um serviço de nome/endereço tolerante a falhas CMA_0305 - Implementar um serviço de nome/endereço tolerante a falhas Manual, Desativado 1.1.0

Autenticidade da sessão

ID: FedRAMP Moderado SC-23 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Configurar estações de trabalho para verificar certificados digitais CMA_0073 - Configurar estações de trabalho para verificar certificados digitais Manual, Desativado 1.1.0
Impor identificadores de sessão exclusivos aleatórios CMA_0247 - Impor identificadores de sessão únicos aleatórios Manual, Desativado 1.1.0

Proteção de informações em repouso

ID: FedRAMP Moderado SC-28 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada Definir InternalEncryption como true criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interna entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Auditoria, Desativado 1.0.1
As variáveis de conta de automação devem ser criptografadas É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais Auditoria, Negar, Desativado 1.1.0
Os trabalhos do Azure Data Box devem habilitar a criptografia dupla para dados em repouso no dispositivo Habilite uma segunda camada de criptografia baseada em software para dados em repouso no dispositivo. O dispositivo já está protegido através da encriptação Advanced Encryption Standard de 256 bits para dados em repouso. Esta opção adiciona uma segunda camada de encriptação de dados. Auditoria, Negar, Desativado 1.0.0
Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) Para garantir que a criptografia de dados segura seja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Esta opção é ativada por padrão quando suportada na região, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. auditoria, auditoria, negar, negar, desativado, desativado 1.1.0
Os dispositivos do Azure Stack Edge devem usar criptografia dupla Para proteger os dados em repouso no dispositivo, certifique-se de que está duplamente encriptado, que o acesso aos dados é controlado e, uma vez que o dispositivo é desativado, os dados são apagados com segurança dos discos de dados. A criptografia dupla é o uso de duas camadas de criptografia: criptografia BitLocker XTS-AES de 256 bits nos volumes de dados e criptografia interna dos discos rígidos. Saiba mais na documentação de visão geral de segurança para o dispositivo Stack Edge específico. auditoria, auditoria, negar, negar, desativado, desativado 1.1.0
A criptografia de disco deve ser habilitada no Azure Data Explorer Habilitar a criptografia de disco ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Auditoria, Negar, Desativado 2.0.0
A criptografia dupla deve ser habilitada no Azure Data Explorer Habilitar a criptografia dupla ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Quando a criptografia dupla é habilitada, os dados na conta de armazenamento são criptografados duas vezes, uma no nível de serviço e outra no nível de infraestrutura, usando dois algoritmos de criptografia diferentes e duas chaves diferentes. Auditoria, Negar, Desativado 2.0.0
Estabelecer um procedimento de gestão de fugas de dados CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados Manual, Desativado 1.1.0
A criptografia de infraestrutura deve ser habilitada para o Banco de Dados do Azure para servidores MySQL Habilite a criptografia de infraestrutura para o Banco de Dados do Azure para servidores MySQL para ter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas pela Microsoft compatíveis com FIPS 140-2. Auditoria, Negar, Desativado 1.0.0
A criptografia de infraestrutura deve ser habilitada para o Banco de Dados do Azure para servidores PostgreSQL Habilite a criptografia de infraestrutura para o Banco de Dados do Azure para servidores PostgreSQL para ter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas pela Microsoft compatíveis com FIPS 140-2 Auditoria, Negar, Desativado 1.0.0
Proteja informações especiais CMA_0409 - Proteja informações especiais Manual, Desativado 1.1.0
Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign O Service Fabric fornece três níveis de proteção (Nenhum, Assinar e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente Auditoria, Negar, Desativado 1.1.0
As contas de armazenamento devem ter criptografia de infraestrutura Habilite a criptografia de infraestrutura para obter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. Auditoria, Negar, Desativado 1.0.0
Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host Para melhorar a segurança dos dados, os dados armazenados no host da máquina virtual (VM) das VMs dos nós do Serviço Kubernetes do Azure devem ser criptografados em repouso. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. Auditoria, Negar, Desativado 1.0.1
A criptografia de dados transparente em bancos de dados SQL deve ser habilitada A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desativado 2.0.0
Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento da máquina virtual. A criptografia no host permite a criptografia em repouso para seus caches de disco temporário e SO/disco de dados. Os discos temporários e efêmeros do sistema operacional são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está ativada. Os caches de disco de SO/dados são criptografados em repouso com chave gerenciada pelo cliente ou gerenciada pela plataforma, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. Auditoria, Negar, Desativado 1.0.0

Proteção criptográfica

ID: FedRAMP Moderado SC-28 (1) Propriedade: Compartilhada

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada Definir InternalEncryption como true criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interna entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Auditoria, Desativado 1.0.1
As variáveis de conta de automação devem ser criptografadas É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais Auditoria, Negar, Desativado 1.1.0
Os trabalhos do Azure Data Box devem habilitar a criptografia dupla para dados em repouso no dispositivo Habilite uma segunda camada de criptografia baseada em software para dados em repouso no dispositivo. O dispositivo já está protegido através da encriptação Advanced Encryption Standard de 256 bits para dados em repouso. Esta opção adiciona uma segunda camada de encriptação de dados. Auditoria, Negar, Desativado 1.0.0
Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) Para garantir que a criptografia de dados segura seja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Esta opção é ativada por padrão quando suportada na região, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. auditoria, auditoria, negar, negar, desativado, desativado 1.1.0
Os dispositivos do Azure Stack Edge devem usar criptografia dupla Para proteger os dados em repouso no dispositivo, certifique-se de que está duplamente encriptado, que o acesso aos dados é controlado e, uma vez que o dispositivo é desativado, os dados são apagados com segurança dos discos de dados. A criptografia dupla é o uso de duas camadas de criptografia: criptografia BitLocker XTS-AES de 256 bits nos volumes de dados e criptografia interna dos discos rígidos. Saiba mais na documentação de visão geral de segurança para o dispositivo Stack Edge específico. auditoria, auditoria, negar, negar, desativado, desativado 1.1.0
A criptografia de disco deve ser habilitada no Azure Data Explorer Habilitar a criptografia de disco ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Auditoria, Negar, Desativado 2.0.0
A criptografia dupla deve ser habilitada no Azure Data Explorer Habilitar a criptografia dupla ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Quando a criptografia dupla é habilitada, os dados na conta de armazenamento são criptografados duas vezes, uma no nível de serviço e outra no nível de infraestrutura, usando dois algoritmos de criptografia diferentes e duas chaves diferentes. Auditoria, Negar, Desativado 2.0.0
Implementar controles para proteger todas as mídias CMA_0314 - Implementar controles para proteger todas as mídias Manual, Desativado 1.1.0
A criptografia de infraestrutura deve ser habilitada para o Banco de Dados do Azure para servidores MySQL Habilite a criptografia de infraestrutura para o Banco de Dados do Azure para servidores MySQL para ter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas pela Microsoft compatíveis com FIPS 140-2. Auditoria, Negar, Desativado 1.0.0
A criptografia de infraestrutura deve ser habilitada para o Banco de Dados do Azure para servidores PostgreSQL Habilite a criptografia de infraestrutura para o Banco de Dados do Azure para servidores PostgreSQL para ter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas pela Microsoft compatíveis com FIPS 140-2 Auditoria, Negar, Desativado 1.0.0
Proteja os dados em trânsito usando criptografia CMA_0403 - Proteja os dados em trânsito usando criptografia Manual, Desativado 1.1.0
Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign O Service Fabric fornece três níveis de proteção (Nenhum, Assinar e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente Auditoria, Negar, Desativado 1.1.0
As contas de armazenamento devem ter criptografia de infraestrutura Habilite a criptografia de infraestrutura para obter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. Auditoria, Negar, Desativado 1.0.0
Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host Para melhorar a segurança dos dados, os dados armazenados no host da máquina virtual (VM) das VMs dos nós do Serviço Kubernetes do Azure devem ser criptografados em repouso. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. Auditoria, Negar, Desativado 1.0.1
A criptografia de dados transparente em bancos de dados SQL deve ser habilitada A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desativado 2.0.0
Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento da máquina virtual. A criptografia no host permite a criptografia em repouso para seus caches de disco temporário e SO/disco de dados. Os discos temporários e efêmeros do sistema operacional são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está ativada. Os caches de disco de SO/dados são criptografados em repouso com chave gerenciada pelo cliente ou gerenciada pela plataforma, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. Auditoria, Negar, Desativado 1.0.0

Isolamento de processos

ID: FedRAMP Moderado SC-39 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Manter domínios de execução separados para processos em execução CMA_C1665 - Manter domínios de execução separados para processos em execução Manual, Desativado 1.1.0

Integridade do Sistema e da Informação

Política e Procedimentos de Integridade de Sistemas e Informações

ID: FedRAMP Moderado SI-1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Revisar e atualizar políticas e procedimentos de integridade das informações CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade da informação Manual, Desativado 1.1.0

Remediação de falhas

ID: FedRAMP Moderado SI-2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. AuditIfNotExists, desativado 3.0.0
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 4.0.0
O Azure Defender for App Service deve estar habilitado O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. AuditIfNotExists, desativado 1.0.3
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for Key Vault deve ser habilitado O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. AuditIfNotExists, desativado 1.0.3
O Azure Defender for Resource Manager deve estar habilitado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . AuditIfNotExists, desativado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desativado 1.0.3
Azure Defender para SQL servidores em máquinas deve ser habilitado O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
Os aplicativos de função devem usar a 'Versão HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desativado 4.0.0
Incorporar a correção de falhas no gerenciamento de configuração CMA_C1671 - Incorporar a correção de falhas no gerenciamento de configuração Manual, Desativado 1.1.0
Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes Atualize seu cluster de serviço do Kubernetes para uma versão posterior do Kubernetes para proteger contra vulnerabilidades conhecidas na sua versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ do Kubernetes Auditoria, Desativado 1.0.2
Microsoft Defender for Containers deve estar habilitado O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. AuditIfNotExists, desativado 1.0.0
O Microsoft Defender for Storage deve estar habilitado O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. AuditIfNotExists, desativado 1.0.0
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. AuditIfNotExists, desativado 4.1.0
As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desativado 3.1.0

Status de correção automatizada de falhas

ID: FedRAMP Moderado SI-2 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Automatize a correção de falhas CMA_0027 - Automatize a correção de falhas Manual, Desativado 1.1.0
Remediar falhas no sistema de informação CMA_0427 - Remediar falhas no sistema de informação Manual, Desativado 1.1.0

Tempo para corrigir falhas / benchmarks para ações corretivas

ID: FedRAMP Moderado SI-2 (3) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Estabelecer parâmetros de referência para a correção de falhas CMA_C1675 - Estabelecer parâmetros de referência para a correção de falhas Manual, Desativado 1.1.0
Meça o tempo entre a identificação de falhas e a correção de falhas CMA_C1674 - Meça o tempo entre a identificação de falhas e a correção de falhas Manual, Desativado 1.1.0

Proteção de código malicioso

ID: FedRAMP Moderado SI-3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desativado 1.0.3
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB Manual, Desativado 1.1.0
Gerenciar gateways CMA_0363 - Gerenciar gateways Manual, Desativado 1.1.0
Realizar uma análise de tendência sobre ameaças CMA_0389 - Realizar uma análise de tendência sobre ameaças Manual, Desativado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 - Executar verificações de vulnerabilidade Manual, Desativado 1.1.0
Revise o relatório de deteções de malware semanalmente CMA_0475 - Revise o relatório de deteções de malware semanalmente Manual, Desativado 1.1.0
Revise o status de proteção contra ameaças semanalmente CMA_0479 - Revise o status de proteção contra ameaças semanalmente Manual, Desativado 1.1.0
Atualizar definições de antivírus CMA_0517 - Atualizar definições de antivírus Manual, Desativado 1.1.0
O Windows Defender Exploit Guard deve ser ativado nas suas máquinas O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). AuditIfNotExists, desativado 2.0.0

Administração Central

ID: FedRAMP Moderado SI-3 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desativado 1.0.3
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB Manual, Desativado 1.1.0
Gerenciar gateways CMA_0363 - Gerenciar gateways Manual, Desativado 1.1.0
Realizar uma análise de tendência sobre ameaças CMA_0389 - Realizar uma análise de tendência sobre ameaças Manual, Desativado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 - Executar verificações de vulnerabilidade Manual, Desativado 1.1.0
Revise o relatório de deteções de malware semanalmente CMA_0475 - Revise o relatório de deteções de malware semanalmente Manual, Desativado 1.1.0
Atualizar definições de antivírus CMA_0517 - Atualizar definições de antivírus Manual, Desativado 1.1.0
O Windows Defender Exploit Guard deve ser ativado nas suas máquinas O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). AuditIfNotExists, desativado 2.0.0

Atualizações Automáticas

ID: FedRAMP Moderado SI-3 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB Manual, Desativado 1.1.0
Gerenciar gateways CMA_0363 - Gerenciar gateways Manual, Desativado 1.1.0
Realizar uma análise de tendência sobre ameaças CMA_0389 - Realizar uma análise de tendência sobre ameaças Manual, Desativado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 - Executar verificações de vulnerabilidade Manual, Desativado 1.1.0
Revise o relatório de deteções de malware semanalmente CMA_0475 - Revise o relatório de deteções de malware semanalmente Manual, Desativado 1.1.0
Atualizar definições de antivírus CMA_0517 - Atualizar definições de antivírus Manual, Desativado 1.1.0

Deteção não baseada em assinatura

ID: FedRAMP Moderado SI-3 (7) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB Manual, Desativado 1.1.0
Gerenciar gateways CMA_0363 - Gerenciar gateways Manual, Desativado 1.1.0
Realizar uma análise de tendência sobre ameaças CMA_0389 - Realizar uma análise de tendência sobre ameaças Manual, Desativado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 - Executar verificações de vulnerabilidade Manual, Desativado 1.1.0
Revise o relatório de deteções de malware semanalmente CMA_0475 - Revise o relatório de deteções de malware semanalmente Manual, Desativado 1.1.0
Atualizar definições de antivírus CMA_0517 - Atualizar definições de antivírus Manual, Desativado 1.1.0

Monitorização do Sistema de Informação

ID: FedRAMP Moderado SI-4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte AuditIfNotExists, desativado 3.0.0-Pré-visualização
[Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, desativado 6.0.0-pré-visualização
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc Esta política audita máquinas Linux Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desativado 1.0.1-Pré-visualização
[Preview]: A extensão do Log Analytics deve ser instalada em suas máquinas Windows Azure Arc Esta política audita máquinas Windows Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desativado 1.0.1-Pré-visualização
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desativado 1.0.2-Pré-visualização
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desativado 1.0.2-Pré-visualização
O Azure Defender for App Service deve estar habilitado O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. AuditIfNotExists, desativado 1.0.3
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for Key Vault deve ser habilitado O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. AuditIfNotExists, desativado 1.0.3
O Azure Defender for Resource Manager deve estar habilitado O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . AuditIfNotExists, desativado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desativado 1.0.3
Azure Defender para SQL servidores em máquinas deve ser habilitado O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desativado 1.0.2
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos Audite servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desativado 2.0.1
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas Audite cada instância gerenciada SQL sem segurança de dados avançada. AuditIfNotExists, desativado 1.0.2
A extensão Configuração do Convidado deve ser instalada em suas máquinas Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, desativado 1.0.3
Microsoft Defender for Containers deve estar habilitado O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. AuditIfNotExists, desativado 1.0.0
O Microsoft Defender for Storage deve estar habilitado O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. AuditIfNotExists, desativado 1.0.0
O Inspetor de Rede deve estar ativado O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. AuditIfNotExists, desativado 3.0.0
Obter parecer jurídico para monitorizar as atividades do sistema CMA_C1688 - Obter parecer jurídico para acompanhamento das atividades do sistema Manual, Desativado 1.1.0
Realizar uma análise de tendência sobre ameaças CMA_0389 - Realizar uma análise de tendência sobre ameaças Manual, Desativado 1.1.0
Fornecer informações de monitoramento, conforme necessário CMA_C1689 - Fornecer informações de monitoramento, conforme necessário Manual, Desativado 1.1.0
A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, desativado 1.0.1

Ferramentas automatizadas para análise em tempo real

ID: FedRAMP Moderado SI-4 (2) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Operações de segurança de documentos CMA_0202 - Operações de segurança documental Manual, Desativado 1.1.0
Ligue sensores para solução de segurança de endpoint CMA_0514 - Ligue sensores para solução de segurança de endpoint Manual, Desativado 1.1.0

Tráfego de comunicações de entrada e saída

ID: FedRAMP Moderado SI-4 (4) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Autorizar, monitorar e controlar voip CMA_0025 - Autorizar, monitorar e controlar voip Manual, Desativado 1.1.0
Implementar a proteção de limites do sistema CMA_0328 - Implementar a proteção de limites do sistema Manual, Desativado 1.1.0
Gerenciar gateways CMA_0363 - Gerenciar gateways Manual, Desativado 1.1.0
Encaminhar o tráfego através de pontos de acesso de rede gerenciados CMA_0484 - Encaminhe o tráfego através de pontos de acesso de rede gerenciados Manual, Desativado 1.1.0

Alertas gerados pelo sistema

ID: FedRAMP Moderado SI-4 (5) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Pessoal de alerta sobre derrames de informação CMA_0007 - Pessoal de alerta sobre derrames de informação Manual, Desativado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 - Desenvolver um plano de resposta a incidentes Manual, Desativado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização Manual, Desativado 1.1.0

Deteção de intrusão sem fio

ID: FedRAMP Moderado SI-4 (14) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Documente os controles de segurança de acesso sem fio CMA_C1695 - Documente os controles de segurança de acesso sem fio Manual, Desativado 1.1.0

Alertas, avisos e diretivas de segurança

ID: FedRAMP Moderado SI-5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Disseminar alertas de segurança para o pessoal CMA_C1705 - Divulgar alertas de segurança ao pessoal Manual, Desativado 1.1.0
Estabeleça um programa de inteligência contra ameaças CMA_0260 - Estabelecer um programa de inteligência de ameaças Manual, Desativado 1.1.0
Gerar alertas internos de segurança CMA_C1704 - Gerar alertas internos de segurança Manual, Desativado 1.1.0
Implementar diretivas de segurança CMA_C1706 - Implementar diretivas de segurança Manual, Desativado 1.1.0

Verificação da função de segurança

ID: FedRAMP Moderado SI-6 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Criar ações alternativas para anomalias identificadas CMA_C1711 - Criar ações alternativas para anomalias identificadas Manual, Desativado 1.1.0
Notificar o pessoal de qualquer falha nos testes de verificação de segurança CMA_C1710 - Notificar o pessoal de qualquer falha nos testes de verificação de segurança Manual, Desativado 1.1.0
Executar a verificação da função de segurança com uma frequência definida CMA_C1709 - Realizar a verificação da função de segurança com uma frequência definida Manual, Desativado 1.1.0
Verificar funções de segurança CMA_C1708 - Verificar funções de segurança Manual, Desativado 1.1.0

Software, firmware e integridade da informação

ID: FedRAMP Moderado SI-7 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Verificar a integridade do software, firmware e informações CMA_0542 - Verificar a integridade do software, firmware e informação Manual, Desativado 1.1.0

Verificações de integridade

ID: FedRAMP Moderado SI-7 (1) Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Verificar a integridade do software, firmware e informações CMA_0542 - Verificar a integridade do software, firmware e informação Manual, Desativado 1.1.0
Exibir e configurar dados de diagnóstico do sistema CMA_0544 - Exibir e configurar dados de diagnóstico do sistema Manual, Desativado 1.1.0

Validação de entrada de informações

ID: FedRAMP Moderado SI-10 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Executar validação de entrada de informações CMA_C1723 - Realizar validação de entrada de informações Manual, Desativado 1.1.0

Processamento de Erros

ID: FedRAMP Moderado SI-11 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Gerar mensagens de erro CMA_C1724 - Gerar mensagens de erro Manual, Desativado 1.1.0
Revelar mensagens de erro CMA_C1725 - Revelar mensagens de erro Manual, Desativado 1.1.0

Tratamento e retenção de informações

ID: FedRAMP Moderado SI-12 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 - Controle o acesso físico Manual, Desativado 1.1.0
Gerencie a entrada, saída, processamento e armazenamento de dados CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados Manual, Desativado 1.1.0
Revisar a atividade e a análise de rótulos CMA_0474 - Revisar a atividade e a análise de rótulos Manual, Desativado 1.1.0

Proteção de memória

ID: FedRAMP Moderado SI-16 Propriedade: Compartilhado

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desativado 1.0.3
O Windows Defender Exploit Guard deve ser ativado nas suas máquinas O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). AuditIfNotExists, desativado 2.0.0

Próximos passos

Artigos adicionais sobre a Política do Azure: