Detalhes da iniciativa interna de Conformidade Regulatória de Controles de Sistema e Organização (SOC) 2 (Azure Government)
O artigo a seguir detalha como a definição de iniciativa interna de Conformidade Regulatória da Política do Azure mapeia para domínios e controles de conformidade em Controles de Sistema e Organização (SOC) 2 (Azure Government). Para obter mais informações sobre esse padrão de conformidade, consulte Controles de sistema e organização (SOC) 2. Para compreender a Propriedade, reveja o tipo de política e a Responsabilidade partilhada na nuvem.
Os mapeamentos a seguir são para os controles SOC (System and Organization Controls) 2 . Muitos dos controles são implementados com uma definição de iniciativa de Política do Azure. Para rever a definição completa da iniciativa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione a definição de iniciativa interna de Conformidade Regulatória SOC 2 Tipo 2 .
Importante
Cada controle abaixo está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle, no entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias definições de política, o que não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre domínios de conformidade, controles e definições de Política do Azure para esse padrão de conformidade podem mudar ao longo do tempo. Para visualizar o histórico de alterações, consulte o Histórico de confirmação do GitHub.
Critérios adicionais de disponibilidade
Gestão da capacidade
ID: SOC 2 Tipo 2 A1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Conduzir o planejamento de capacidade | CMA_C1252 - Conduzir o planejamento de capacidade | Manual, Desativado | 1.1.0 |
Proteções ambientais, software, processos de backup de dados e infraestrutura de recuperação
ID: SOC 2 Tipo 2 A1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Backup do Azure deve ser habilitado para Máquinas Virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desativado | 3.0.0 |
| Utilize iluminação de emergência automática | CMA_0209 - Utilizar iluminação de emergência automática | Manual, Desativado | 1.1.0 |
| Estabelecer um local de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desativado | 1.1.0 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| Implementar uma metodologia de teste de penetração | CMA_0306 - Implementar uma metodologia de testes de penetração | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
| Instalar um sistema de alarme | CMA_0338 - Instalar um sistema de alarme | Manual, Desativado | 1.1.0 |
| Recupere e reconstitua recursos após qualquer interrupção | CMA_C1295 - Recuperar e reconstituir recursos após qualquer interrupção | Manual, Desativado | 1.1.1 |
| Executar ataques de simulação | CMA_0486 - Executar ataques de simulação | Manual, Desativado | 1.1.0 |
| Armazene separadamente as informações de backup | CMA_C1293 - Armazene separadamente as informações de backup | Manual, Desativado | 1.1.0 |
| Transferir informações de backup para um local de armazenamento alternativo | CMA_C1294 - Transfira informações de backup para um local de armazenamento alternativo | Manual, Desativado | 1.1.0 |
Testes do plano de recuperação
ID: SOC 2 Tipo 2 A1.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
| Iniciar o plano de contingência testando ações corretivas | CMA_C1263 - Iniciar o plano de contingência testando ações corretivas | Manual, Desativado | 1.1.0 |
| Rever os resultados dos testes dos planos de contingência | CMA_C1262 - Rever os resultados dos testes dos planos de contingência | Manual, Desativado | 1.1.0 |
| Testar a continuidade de negócios e o plano de recuperação de desastres | CMA_0509 - Testar a continuidade de negócios e o plano de recuperação de desastres | Manual, Desativado | 1.1.0 |
Critérios adicionais de confidencialidade
Proteção de informações confidenciais
ID: SOC 2 Tipo 2 C1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
| Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
Eliminação de informações confidenciais
ID: SOC 2 Tipo 2 C1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
| Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
Ambiente de Controlo
Princípio 1 do COSO
ID: SOC 2 Tipo 2 CC1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de uso aceitável | CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável | Manual, Desativado | 1.1.0 |
| Desenvolver a política de código de conduta da organização | CMA_0159 - Desenvolver a política de código de conduta da organização | Manual, Desativado | 1.1.0 |
| Documentar a aceitação dos requisitos de privacidade pelo pessoal | CMA_0193 - Documentar a aceitação dos requisitos de privacidade pelo pessoal | Manual, Desativado | 1.1.0 |
| Aplicar regras de comportamento e acordos de acesso | CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
| Proibir práticas desleais | CMA_0396 - Proibir as práticas desleais | Manual, Desativado | 1.1.0 |
| Rever e assinar regras de comportamento revistas | CMA_0465 - Rever e assinar regras de comportamento revistas | Manual, Desativado | 1.1.0 |
| Atualizar regras de comportamento e acordos de acesso | CMA_0521 - Atualizar regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
| Atualizar regras de comportamento e acordos de acesso a cada 3 anos | CMA_0522 - Atualizar regras de comportamento e acordos de acesso a cada 3 anos | Manual, Desativado | 1.1.0 |
Princípio COSO 2
ID: SOC 2 Tipo 2 CC1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Nomear um responsável superior pela segurança da informação | CMA_C1733 - Nomear um responsável superior pela segurança da informação | Manual, Desativado | 1.1.0 |
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
Princípio 3 do COSO
ID: SOC 2 Tipo 2 CC1.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Nomear um responsável superior pela segurança da informação | CMA_C1733 - Nomear um responsável superior pela segurança da informação | Manual, Desativado | 1.1.0 |
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
Princípio 4 do COSO
ID: SOC 2 Tipo 2 CC1.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento periódico de segurança baseado em funções | CMA_C1095 - Fornecer treinamento periódico de segurança baseado em funções | Manual, Desativado | 1.1.0 |
| Fornecer treinamento periódico de conscientização sobre segurança | CMA_C1091 - Fornecer treinamento periódico de conscientização sobre segurança | Manual, Desativado | 1.1.0 |
| Fornecer exercícios práticos baseados em funções | CMA_C1096 - Fornecer exercícios práticos baseados em funções | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 - Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desativado | 1.1.0 |
Princípio 5 do COSO
ID: SOC 2 Tipo 2 CC1.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de uso aceitável | CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável | Manual, Desativado | 1.1.0 |
| Aplicar regras de comportamento e acordos de acesso | CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
| Implementar um processo formal de sanções | CMA_0317 - Implementar um processo formal de sanções | Manual, Desativado | 1.1.0 |
| Notificar o pessoal sobre sanções | CMA_0380 - Notificar o pessoal sobre sanções | Manual, Desativado | 1.1.0 |
Comunicação e Informação
Princípio COSO 13
ID: SOC 2 Tipo 2 CC2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
| Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
Princípio COSO 14
ID: SOC 2 Tipo 2 CC2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de uso aceitável | CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável | Manual, Desativado | 1.1.0 |
| A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
| A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.0.0 |
| Aplicar regras de comportamento e acordos de acesso | CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
| Fornecer treinamento periódico de segurança baseado em funções | CMA_C1095 - Fornecer treinamento periódico de segurança baseado em funções | Manual, Desativado | 1.1.0 |
| Fornecer treinamento periódico de conscientização sobre segurança | CMA_C1091 - Fornecer treinamento periódico de conscientização sobre segurança | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 - Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desativado | 1.1.0 |
| As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
Princípio COSO 15
ID: SOC 2 Tipo 2 CC2.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir as funções dos transformadores | CMA_0127 - Definir as funções dos transformadores | Manual, Desativado | 1.1.0 |
| Forneça resultados de avaliação de segurança | CMA_C1147 - Fornecer resultados de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
| A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.0.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança de pessoal de terceiros | CMA_C1529 - Estabelecer requisitos de segurança de pessoal de terceiros | Manual, Desativado | 1.1.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
| Produzir relatório de avaliação de segurança | CMA_C1146 - Produzir relatório de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
| Exigir que provedores terceirizados cumpram as políticas e procedimentos de segurança pessoal | CMA_C1530 - Exigir que fornecedores terceirizados cumpram as políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desativado | 1.1.0 |
| As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
Avaliação de Riscos
Princípio 6 do COSO
ID: SOC 2 Tipo 2 CC3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Categorizar informações | CMA_0052 - Categorizar informações | Manual, Desativado | 1.1.0 |
| Determinar as necessidades de proteção de informações | CMA_C1750 - Determinar as necessidades de proteção de informações | Manual, Desativado | 1.1.0 |
| Desenvolver sistemas de classificação de empresas | CMA_0155 - Desenvolver sistemas de classificação de empresas | Manual, Desativado | 1.1.0 |
| Desenvolver SSP que atenda aos critérios | CMA_C1492 - Desenvolver SSP que atenda aos critérios | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
Princípio 7 do COSO
ID: SOC 2 Tipo 2 CC3.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Categorizar informações | CMA_0052 - Categorizar informações | Manual, Desativado | 1.1.0 |
| Determinar as necessidades de proteção de informações | CMA_C1750 - Determinar as necessidades de proteção de informações | Manual, Desativado | 1.1.0 |
| Desenvolver sistemas de classificação de empresas | CMA_0155 - Desenvolver sistemas de classificação de empresas | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
| Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
| A avaliação de vulnerabilidade deve ser habilitada na Instância Gerenciada SQL | Audite cada Instância Gerenciada do SQL que não tenha verificações recorrentes de avaliação de vulnerabilidades habilitadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 1.0.1 |
| A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL | Audite os servidores SQL do Azure que não têm a avaliação de vulnerabilidades configurada corretamente. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 3.0.0 |
Princípio 8 do COSO
ID: SOC 2 Tipo 2 CC3.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Princípio 9 do COSO
ID: SOC 2 Tipo 2 CC3.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar o risco em relações com terceiros | CMA_0014 - Avaliar o risco nas relações com terceiros | Manual, Desativado | 1.1.0 |
| Definir requisitos para o fornecimento de bens e serviços | CMA_0126 - Definir requisitos para o fornecimento de bens e serviços | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Estabelecer políticas para a gestão de riscos da cadeia de valor | CMA_0275 - Estabelecer políticas para a gestão de riscos da cadeia de abastecimento | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Atividades de Monitorização
Princípio COSO 16
ID: SOC 2 Tipo 2 CC4.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de avaliação de segurança | CMA_C1144 - Desenvolver plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Selecionar testes adicionais para avaliações de controle de segurança | CMA_C1149 - Selecione testes adicionais para avaliações de controle de segurança | Manual, Desativado | 1.1.0 |
Princípio COSO 17
ID: SOC 2 Tipo 2 CC4.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Forneça resultados de avaliação de segurança | CMA_C1147 - Fornecer resultados de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Produzir relatório de avaliação de segurança | CMA_C1146 - Produzir relatório de avaliação de segurança | Manual, Desativado | 1.1.0 |
Atividades de Controlo
Princípio COSO 10
ID: SOC 2 Tipo 2 CC5.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Princípio 11 do COSO
ID: SOC 2 Tipo 2 CC5.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
| Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Empregar acesso com privilégios mínimos | CMA_0212 - Empregar acesso com privilégios mínimos | Manual, Desativado | 1.1.0 |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
Princípio COSO 12
ID: SOC 2 Tipo 2 CC5.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar a lista de permissões de deteção | CMA_0068 - Configurar a lista branca de deteção | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Ligue sensores para solução de segurança de endpoint | CMA_0514 - Ligue sensores para solução de segurança de endpoint | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
Controles de acesso lógicos e físicos
Software, infraestrutura e arquiteturas de segurança de acesso lógico
ID: SOC 2 Tipo 2 CC6.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| A autenticação em máquinas Linux deve exigir chaves SSH | Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desativado | 2.4.0 |
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
| As variáveis de conta de automação devem ser criptografadas | É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais | Auditoria, Negar, Desativado | 1.1.0 |
| Os recursos dos Serviços de IA do Azure devem criptografar dados em repouso com uma chave gerenciada pelo cliente (CMK) | O uso de chaves gerenciadas pelo cliente para criptografar dados em repouso fornece mais controle sobre o ciclo de vida da chave, incluindo rotação e gerenciamento. Isso é particularmente relevante para organizações com requisitos de conformidade relacionados. Isso não é avaliado por padrão e só deve ser aplicado quando exigido por requisitos de conformidade ou de política restritiva. Se não estiverem habilitados, os dados serão criptografados usando chaves gerenciadas pela plataforma. Para implementar isso, atualize o parâmetro 'Effect' na Política de Segurança para o escopo aplicável. | Auditoria, Negar, Desativado | 2.2.0 |
| As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Os espaços de trabalho do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente | Gerencie a criptografia no restante dos dados do espaço de trabalho do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. | Auditoria, Negar, Desativado | 1.1.0 |
| Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. | Auditoria, Negar, Desativado | 1.1.2 |
| Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Criar um inventário de dados | CMA_0096 - Criar um inventário de dados | Manual, Desativado | 1.1.0 |
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
| Documentar diretrizes de acesso remoto | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
| Empregar acesso com privilégios mínimos | CMA_0212 - Empregar acesso com privilégios mínimos | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
| Estabelecer um procedimento de gestão de fugas de dados | CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados | Manual, Desativado | 1.1.0 |
| Estabeleça padrões de configuração de firewall e roteador | CMA_0272 - Estabelecer padrões de configuração de firewall e roteador | Manual, Desativado | 1.1.0 |
| Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desativado | 1.1.0 |
| Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 5.0.0 |
| Os aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos de função devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.0.1 |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Identificar e gerir os intercâmbios de informações a jusante | CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
| As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Os cofres de chaves devem ter a proteção contra exclusão ativada | A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra limpeza e a exclusão suave. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão suave habilitada por padrão. | Auditoria, Negar, Desativado | 2.1.0 |
| Os cofres de chaves devem ter a exclusão suave ativada | A exclusão de um cofre de chaves sem a exclusão automática habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão suave permite que você recupere um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Auditoria, Negar, Desativado | 3.0.0 |
| Os clusters Kubernetes devem ser acessíveis somente por HTTPS | O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc | auditoria, auditoria, negar, negar, desativado, desativado | 9.1.0 |
| Manter registos do tratamento de dados pessoais | CMA_0353 - Manter registos do tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| Notificar os usuários sobre o logon ou acesso ao sistema | CMA_0382 - Notificar os usuários sobre o logon ou acesso ao sistema | Manual, Desativado | 1.1.0 |
| Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas | Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 1.0.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
| A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
| Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Assinar e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente | Auditoria, Negar, Desativado | 1.1.0 |
| As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.0 |
| Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.1 |
| A conta de armazenamento que contém o contêiner com registros de atividades deve ser criptografada com BYOK | Esta política audita se a conta de armazenamento que contém o contêiner com logs de atividade está criptografada com BYOK. A política só funciona se a conta de armazenamento estiver na mesma assinatura que os logs de atividade por design. Mais informações sobre a criptografia do Armazenamento do Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. | AuditIfNotExists, desativado | 1.0.0 |
| As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de arquivos e blob com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditoria, Desativado | 1.0.3 |
| As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
| Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
| A criptografia de dados transparente em bancos de dados SQL deve ser habilitada | A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desativado | 2.0.0 |
| As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 3.0.1 |
Provisionamento e remoção de acesso
ID: SOC 2 Tipo 2 CC6.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atribuir gerentes de conta | CMA_0015 - Atribuir gerentes de conta | Manual, Desativado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
| Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Privilégios de acesso a documentos | CMA_0186 - Privilégios de acesso a documentos | Manual, Desativado | 1.1.0 |
| Estabelecer condições para a participação em funções | CMA_0269 - Estabelecer condições para a participação em funções | Manual, Desativado | 1.1.0 |
| Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Rever contas de utilizador | CMA_0480 - Rever contas de utilizador | Manual, Desativado | 1.1.0 |
Acesso baseado em Rol e menor privilégio
ID: SOC 2 Tipo 2 CC6.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
| Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
| Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
| Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
| Empregar acesso com privilégios mínimos | CMA_0212 - Empregar acesso com privilégios mínimos | Manual, Desativado | 1.1.0 |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Monitorar atribuição de função privilegiada | CMA_0378 - Monitorar atribuição de função privilegiada | Manual, Desativado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Rever contas de utilizador | CMA_0480 - Rever contas de utilizador | Manual, Desativado | 1.1.0 |
| Rever os privilégios de utilizador | CMA_C1039 - Rever os privilégios do utilizador | Manual, Desativado | 1.1.0 |
| Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
| O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. | Auditoria, Desativado | 1.0.4 |
| Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
| Usar o gerenciamento privilegiado de identidades | CMA_0533 - Use o gerenciamento privilegiado de identidades | Manual, Desativado | 1.1.0 |
Acesso físico restrito
ID: SOC 2 Tipo 2 CC6.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
Proteções lógicas e físicas sobre ativos físicos
ID: SOC 2 Tipo 2 CC6.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Medidas de segurança contra ameaças fora dos limites do sistema
ID: SOC 2 Tipo 2 CC6.6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| A autenticação em máquinas Linux deve exigir chaves SSH | Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desativado | 2.4.0 |
| Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
| O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
| Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
| Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
| Documentar diretrizes de acesso remoto | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
| Estabeleça padrões de configuração de firewall e roteador | CMA_0272 - Estabelecer padrões de configuração de firewall e roteador | Manual, Desativado | 1.1.0 |
| Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desativado | 1.1.0 |
| Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 5.0.0 |
| Os aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos de função devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.0.1 |
| Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
| Identificar e gerir os intercâmbios de informações a jusante | CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
| Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
| As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
| Os clusters Kubernetes devem ser acessíveis somente por HTTPS | O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc | auditoria, auditoria, negar, negar, desativado, desativado | 9.1.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| Notificar os usuários sobre o logon ou acesso ao sistema | CMA_0382 - Notificar os usuários sobre o logon ou acesso ao sistema | Manual, Desativado | 1.1.0 |
| Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas | Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 1.0.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
| A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
| As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
| O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
| As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 3.0.1 |
Restringir a circulação de informações a utilizadores autorizados
ID: SOC 2 Tipo 2 CC6.7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
| Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
| Definir requisitos de dispositivos móveis | CMA_0122 - Definir requisitos de dispositivos móveis | Manual, Desativado | 1.1.0 |
| Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
| Estabeleça padrões de configuração de firewall e roteador | CMA_0272 - Estabelecer padrões de configuração de firewall e roteador | Manual, Desativado | 1.1.0 |
| Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desativado | 1.1.0 |
| Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 5.0.0 |
| Os aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos de função devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.0.1 |
| Identificar e gerir os intercâmbios de informações a jusante | CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| Os clusters Kubernetes devem ser acessíveis somente por HTTPS | O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc | auditoria, auditoria, negar, negar, desativado, desativado | 9.1.0 |
| Gerir o transporte de ativos | CMA_0370 - Gerir o transporte de ativos | Manual, Desativado | 1.1.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas | Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 1.0.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
| A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
| As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
| As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 3.0.1 |
Impedir ou detetar contra software não autorizado ou mal-intencionado
ID: SOC 2 Tipo 2 CC6.8 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente clientes com certificados válidos poderão acessar o aplicativo. Esta política foi substituída por uma nova política com o mesmo nome porque Http 2.0 não suporta certificados de cliente. | Auditoria, Desativado | 3.1.0-preterido |
| Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
| Auditar VMs que não usam discos gerenciados | Esta política audita VMs que não utilizam discos geridos | auditoria | 1.0.0 |
| O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters | O Complemento de Política do Azure para o serviço Kubernetes (AKS) estende o Gatekeeper v3, um webhook de controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. | Auditoria, Desativado | 1.0.2 |
| Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
| Os aplicativos de função devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos de função devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
| A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.2 |
| Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados | Imponha limites de recursos de CPU e memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 10.2.0 |
| Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host | Bloqueie os contêineres de pod de compartilhar o namespace de ID de processo do host e o namespace IPC do host em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.1.0 |
| Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor | Os contêineres só devem usar perfis AppArmor permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.1 |
| Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos | Restrinja os recursos para reduzir a superfície de ataque de contêineres em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.0 |
| Os contêineres de cluster do Kubernetes só devem usar imagens permitidas | Use imagens de registros confiáveis para reduzir o risco de exposição do cluster Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 10.2.0 |
| Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para proteger contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.0 |
| Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos | Limite as montagens de volume do pod HostPath aos caminhos de host permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.1 |
| Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados | Controle os IDs de usuário, grupo primário, grupo suplementar e grupo do sistema de arquivos que pods e contêineres podem usar para executar em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.1 |
| Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas | Restrinja o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.0 |
| Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas | Restrinja os serviços para escutar apenas nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.1.0 |
| O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres privilegiados em um cluster do Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 10.1.0 |
| Os clusters Kubernetes devem desativar as credenciais de API de montagem automática | Desative as credenciais de API de montagem automática para impedir que um recurso de Pod potencialmente comprometido execute comandos de API em clusters Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.1.0 |
| Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner | Não permita que contêineres sejam executados com escalonamento de privilégios para enraizar em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 8.1.0 |
| Os clusters Kubernetes não devem conceder recursos de segurança CAP_SYS_ADMIN | Para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.1.0 |
| Os clusters Kubernetes não devem usar o namespace padrão | Impeça o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.1.0 |
| As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 1.5.0 |
| Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
| Somente extensões de VM aprovadas devem ser instaladas | Esta política rege as extensões de máquina virtual que não são aprovadas. | Auditoria, Negar, Desativado | 1.0.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
| Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
| As contas de armazenamento devem permitir o acesso a partir de serviços confiáveis da Microsoft | Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes às quais não é possível conceder acesso através de regras de rede. Para ajudar esse tipo de serviço a funcionar como pretendido, permita que o conjunto de serviços confiáveis da Microsoft ignore as regras de rede. Esses serviços usarão autenticação forte para acessar a conta de armazenamento. | Auditoria, Negar, Desativado | 1.0.0 |
| Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
| Verificar a integridade do software, firmware e informações | CMA_0542 - Verificar a integridade do software, firmware e informação | Manual, Desativado | 1.1.0 |
| Exibir e configurar dados de diagnóstico do sistema | CMA_0544 - Exibir e configurar dados de diagnóstico do sistema | Manual, Desativado | 1.1.0 |
| A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
| As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 1.0.0 |
Operações do Sistema
Deteção e monitorização de novas vulnerabilidades
ID: SOC 2 Tipo 2 CC7.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar ações para dispositivos não compatíveis | CMA_0062 - Configurar ações para dispositivos não compatíveis | Manual, Desativado | 1.1.0 |
| Desenvolver e manter configurações de linha de base | CMA_0153 - Desenvolver e manter configurações de linha de base | Manual, Desativado | 1.1.0 |
| Habilitar a deteção de dispositivos de rede | CMA_0220 - Permitir a deteção de dispositivos de rede | Manual, Desativado | 1.1.0 |
| Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
| Estabelecer uma placa de controle de configuração | CMA_0254 - Estabelecer uma placa de controle de configuração | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Implementar uma ferramenta automatizada de gerenciamento de configuração | CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
| Verificar a integridade do software, firmware e informações | CMA_0542 - Verificar a integridade do software, firmware e informação | Manual, Desativado | 1.1.0 |
| Exibir e configurar dados de diagnóstico do sistema | CMA_0544 - Exibir e configurar dados de diagnóstico do sistema | Manual, Desativado | 1.1.0 |
| A avaliação de vulnerabilidade deve ser habilitada na Instância Gerenciada SQL | Audite cada Instância Gerenciada do SQL que não tenha verificações recorrentes de avaliação de vulnerabilidades habilitadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 1.0.1 |
| A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL | Audite os servidores SQL do Azure que não têm a avaliação de vulnerabilidades configurada corretamente. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 3.0.0 |
Monitorar componentes do sistema quanto a comportamentos anômalos
ID: SOC 2 Tipo 2 CC7.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 4.0.1-Pré-visualização |
| Deve existir um alerta de registo de atividades para operações administrativas específicas | Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 1.0.0 |
| Deve existir um alerta de registo de atividades para operações de Política específicas | Esta política audita operações de política específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 3.0.0 |
| Deve existir um alerta de registo de atividades para operações de segurança específicas | Esta política audita operações de segurança específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 1.0.0 |
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
| O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
| Detetar serviços de rede que não foram autorizados ou aprovados | CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados | Manual, Desativado | 1.1.0 |
| Governar e monitorar as atividades de processamento de auditoria | CMA_0289 - Governar e monitorar as atividades de processamento de auditoria | Manual, Desativado | 1.1.0 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender for Storage (Classic) deve estar habilitado | O Microsoft Defender for Storage (Classic) fornece deteções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desativado | 1.0.4 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). | AuditIfNotExists, desativado | 1.1.1 |
Deteção de incidentes de segurança
ID: SOC 2 Tipo 2 CC7.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Rever e atualizar políticas e procedimentos de resposta a incidentes | CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes | Manual, Desativado | 1.1.0 |
Resposta a incidentes de segurança
ID: SOC 2 Tipo 2 CC7.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar eventos de segurança da informação | CMA_0013 - Avaliar eventos de segurança da informação | Manual, Desativado | 1.1.0 |
| Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Desenvolver proteções de segurança | CMA_0161 - Desenvolver salvaguardas de segurança | Manual, Desativado | 1.1.0 |
| A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
| A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.0.0 |
| Ativar a proteção de rede | CMA_0238 - Ativar a proteção de rede | Manual, Desativado | 1.1.0 |
| Erradicar a informação contaminada | CMA_0253 - Erradicar a informação contaminada | Manual, Desativado | 1.1.0 |
| Executar ações em resposta a vazamentos de informações | CMA_0281 - Executar ações em resposta a vazamentos de informações | Manual, Desativado | 1.1.0 |
| Identificar classes de incidentes e ações tomadas | CMA_C1365 - Identificar classes de incidentes e ações tomadas | Manual, Desativado | 1.1.0 |
| Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
| Incluir reconfiguração dinâmica de recursos implantados pelo cliente | CMA_C1364 - Incluir a reconfiguração dinâmica dos recursos implantados pelo cliente | Manual, Desativado | 1.1.0 |
| Manter o plano de resposta a incidentes | CMA_0352 - Manter o plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
| Exibir e investigar usuários restritos | CMA_0545 - Ver e investigar utilizadores restritos | Manual, Desativado | 1.1.0 |
Recuperação de incidentes de segurança identificados
ID: SOC 2 Tipo 2 CC7.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar eventos de segurança da informação | CMA_0013 - Avaliar eventos de segurança da informação | Manual, Desativado | 1.1.0 |
| Realizar testes de resposta a incidentes | CMA_0060 - Realizar testes de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
| Coordenar com organizações externas para alcançar a perspetiva transversal da organização | CMA_C1368 - Coordenar com organizações externas para alcançar uma perspetiva transversal à organização | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Desenvolver proteções de segurança | CMA_0161 - Desenvolver salvaguardas de segurança | Manual, Desativado | 1.1.0 |
| A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
| A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.0.0 |
| Ativar a proteção de rede | CMA_0238 - Ativar a proteção de rede | Manual, Desativado | 1.1.0 |
| Erradicar a informação contaminada | CMA_0253 - Erradicar a informação contaminada | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Executar ações em resposta a vazamentos de informações | CMA_0281 - Executar ações em resposta a vazamentos de informações | Manual, Desativado | 1.1.0 |
| Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
| Manter o plano de resposta a incidentes | CMA_0352 - Manter o plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| Executar ataques de simulação | CMA_0486 - Executar ataques de simulação | Manual, Desativado | 1.1.0 |
| As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
| Exibir e investigar usuários restritos | CMA_0545 - Ver e investigar utilizadores restritos | Manual, Desativado | 1.1.0 |
Gestão de Alterações
Alterações na infraestrutura, nos dados e no software
ID: SOC 2 Tipo 2 CC8.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente clientes com certificados válidos poderão acessar o aplicativo. Esta política foi substituída por uma nova política com o mesmo nome porque Http 2.0 não suporta certificados de cliente. | Auditoria, Desativado | 3.1.0-preterido |
| Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
| Auditar VMs que não usam discos gerenciados | Esta política audita VMs que não utilizam discos geridos | auditoria | 1.0.0 |
| O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters | O Complemento de Política do Azure para o serviço Kubernetes (AKS) estende o Gatekeeper v3, um webhook de controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. | Auditoria, Desativado | 1.0.2 |
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Configurar ações para dispositivos não compatíveis | CMA_0062 - Configurar ações para dispositivos não compatíveis | Manual, Desativado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desativado | 1.1.0 |
| Desenvolver e manter configurações de linha de base | CMA_0153 - Desenvolver e manter configurações de linha de base | Manual, Desativado | 1.1.0 |
| Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
| Estabelecer uma placa de controle de configuração | CMA_0254 - Estabelecer uma placa de controle de configuração | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Os aplicativos de função devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos de função devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
| A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.2 |
| Implementar uma ferramenta automatizada de gerenciamento de configuração | CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados | Imponha limites de recursos de CPU e memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 10.2.0 |
| Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host | Bloqueie os contêineres de pod de compartilhar o namespace de ID de processo do host e o namespace IPC do host em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.1.0 |
| Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor | Os contêineres só devem usar perfis AppArmor permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.1 |
| Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos | Restrinja os recursos para reduzir a superfície de ataque de contêineres em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.0 |
| Os contêineres de cluster do Kubernetes só devem usar imagens permitidas | Use imagens de registros confiáveis para reduzir o risco de exposição do cluster Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 10.2.0 |
| Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para proteger contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.0 |
| Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos | Limite as montagens de volume do pod HostPath aos caminhos de host permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.1 |
| Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados | Controle os IDs de usuário, grupo primário, grupo suplementar e grupo do sistema de arquivos que pods e contêineres podem usar para executar em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.1 |
| Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas | Restrinja o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.0 |
| Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas | Restrinja os serviços para escutar apenas nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.1.0 |
| O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres privilegiados em um cluster do Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 10.1.0 |
| Os clusters Kubernetes devem desativar as credenciais de API de montagem automática | Desative as credenciais de API de montagem automática para impedir que um recurso de Pod potencialmente comprometido execute comandos de API em clusters Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.1.0 |
| Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner | Não permita que contêineres sejam executados com escalonamento de privilégios para enraizar em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 8.1.0 |
| Os clusters Kubernetes não devem conceder recursos de segurança CAP_SYS_ADMIN | Para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.1.0 |
| Os clusters Kubernetes não devem usar o namespace padrão | Impeça o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.1.0 |
| As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 1.5.0 |
| Somente extensões de VM aprovadas devem ser instaladas | Esta política rege as extensões de máquina virtual que não são aprovadas. | Auditoria, Negar, Desativado | 1.0.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| As contas de armazenamento devem permitir o acesso a partir de serviços confiáveis da Microsoft | Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes às quais não é possível conceder acesso através de regras de rede. Para ajudar esse tipo de serviço a funcionar como pretendido, permita que o conjunto de serviços confiáveis da Microsoft ignore as regras de rede. Esses serviços usarão autenticação forte para acessar a conta de armazenamento. | Auditoria, Negar, Desativado | 1.0.0 |
| A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
| As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 1.0.0 |
Mitigação de riscos
Atividades de mitigação de riscos
ID: SOC 2 Tipo 2 CC9.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar as necessidades de proteção de informações | CMA_C1750 - Determinar as necessidades de proteção de informações | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Gestão de riscos de fornecedores e parceiros de negócios
ID: SOC 2 Tipo 2 CC9.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar o risco em relações com terceiros | CMA_0014 - Avaliar o risco nas relações com terceiros | Manual, Desativado | 1.1.0 |
| Definir requisitos para o fornecimento de bens e serviços | CMA_0126 - Definir requisitos para o fornecimento de bens e serviços | Manual, Desativado | 1.1.0 |
| Definir as funções dos transformadores | CMA_0127 - Definir as funções dos transformadores | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Estabelecer políticas para a gestão de riscos da cadeia de valor | CMA_0275 - Estabelecer políticas para a gestão de riscos da cadeia de abastecimento | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança de pessoal de terceiros | CMA_C1529 - Estabelecer requisitos de segurança de pessoal de terceiros | Manual, Desativado | 1.1.0 |
| Monitore a conformidade de provedores terceirizados | CMA_C1533 - Monitorar a conformidade de provedores terceirizados | Manual, Desativado | 1.1.0 |
| Registrar divulgações de PII a terceiros | CMA_0422 - Registro de divulgações de PII a terceiros | Manual, Desativado | 1.1.0 |
| Exigir que provedores terceirizados cumpram as políticas e procedimentos de segurança pessoal | CMA_C1530 - Exigir que fornecedores terceirizados cumpram as políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
| Treinar a equipe sobre o compartilhamento de PII e suas consequências | CMA_C1871 - Treinar a equipe sobre o compartilhamento de PII e suas consequências | Manual, Desativado | 1.1.0 |
Critérios adicionais de privacidade
Aviso de privacidade
ID: SOC 2 Tipo 2 P1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar e distribuir uma política de privacidade | CMA_0188 - Documentar e distribuir uma política de privacidade | Manual, Desativado | 1.1.0 |
| Garantir que as informações do programa de privacidade estejam disponíveis publicamente | CMA_C1867 - Garantir que as informações do programa de privacidade estejam disponíveis publicamente | Manual, Desativado | 1.1.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade ao público e aos indivíduos | CMA_C1861 - Fornecer aviso de privacidade ao público e aos indivíduos | Manual, Desativado | 1.1.0 |
Consentimento de privacidade
ID: SOC 2 Tipo 2 P2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar a aceitação dos requisitos de privacidade pelo pessoal | CMA_0193 - Documentar a aceitação dos requisitos de privacidade pelo pessoal | Manual, Desativado | 1.1.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Obter consentimento antes da recolha ou tratamento de dados pessoais | CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
Recolha consistente de informações pessoais
ID: SOC 2 Tipo 2 P3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar a autoridade legal para coletar PII | CMA_C1800 - Determinar a autoridade legal para coletar PII | Manual, Desativado | 1.1.0 |
| Processo documental para garantir a integridade das PII | CMA_C1827 - Processo documental para garantir a integridade das PII | Manual, Desativado | 1.1.0 |
| Avaliar e rever regularmente as participações em PII | CMA_C1832 - Avaliar e rever regularmente as participações em PII | Manual, Desativado | 1.1.0 |
| Obter consentimento antes da recolha ou tratamento de dados pessoais | CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
Informações pessoais consentimento explícito
ID: SOC 2 Tipo 2 P3.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Coletar PII diretamente do indivíduo | CMA_C1822 - Coletar PII diretamente do indivíduo | Manual, Desativado | 1.1.0 |
| Obter consentimento antes da recolha ou tratamento de dados pessoais | CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
Uso de informações pessoais
ID: SOC 2 Tipo 2 P4.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 - Documentar a base jurídica para o processamento de informações pessoais | Manual, Desativado | 1.1.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Obter consentimento antes da recolha ou tratamento de dados pessoais | CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desativado | 1.1.0 |
Retenção de informações pessoais
ID: SOC 2 Tipo 2 P4.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
| Processo documental para garantir a integridade das PII | CMA_C1827 - Processo documental para garantir a integridade das PII | Manual, Desativado | 1.1.0 |
Eliminação de informações pessoais
ID: SOC 2 Tipo 2 P4.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar revisão de disposição | CMA_0391 - Realizar revisão de disposição | Manual, Desativado | 1.1.0 |
| Verificar se os dados pessoais são apagados no final do processamento | CMA_0540 - Verificar se os dados pessoais são apagados no final do tratamento | Manual, Desativado | 1.1.0 |
Acesso a informações pessoais
ID: SOC 2 Tipo 2 P5.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar métodos para solicitações de consumidores | CMA_0319 - Implementar métodos para solicitações de consumidores | Manual, Desativado | 1.1.0 |
| Publicar regras e regulamentos que acessam os registros da Lei de Privacidade | CMA_C1847 - Publicar regras e regulamentos acessando os registros da Lei de Privacidade | Manual, Desativado | 1.1.0 |
Correção de informações pessoais
ID: SOC 2 Tipo 2 P5.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Responder a pedidos de retificação | CMA_0442 - Responder a pedidos de retificação | Manual, Desativado | 1.1.0 |
Divulgação de informações pessoais por terceiros
ID: SOC 2 Tipo 2 P6.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir as funções dos transformadores | CMA_0127 - Definir as funções dos transformadores | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de privacidade para contratantes e prestadores de serviços | CMA_C1810 - Estabelecer requisitos de privacidade para contratantes e prestadores de serviços | Manual, Desativado | 1.1.0 |
| Registrar divulgações de PII a terceiros | CMA_0422 - Registro de divulgações de PII a terceiros | Manual, Desativado | 1.1.0 |
| Treinar a equipe sobre o compartilhamento de PII e suas consequências | CMA_C1871 - Treinar a equipe sobre o compartilhamento de PII e suas consequências | Manual, Desativado | 1.1.0 |
Divulgação autorizada de registro de informações pessoais
ID: SOC 2 Tipo 2 P6.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Manter uma contabilidade precisa das divulgações de informações | CMA_C1818 - Manter a contabilidade precisa das divulgações de informações | Manual, Desativado | 1.1.0 |
Divulgação não autorizada de registro de informações pessoais
ID: SOC 2 Tipo 2 P6.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Manter uma contabilidade precisa das divulgações de informações | CMA_C1818 - Manter a contabilidade precisa das divulgações de informações | Manual, Desativado | 1.1.0 |
Contratos com terceiros
ID: SOC 2 Tipo 2 P6.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir as funções dos transformadores | CMA_0127 - Definir as funções dos transformadores | Manual, Desativado | 1.1.0 |
Notificação de divulgação não autorizada de terceiros
ID: SOC 2 Tipo 2 P6.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Segurança da informação e proteção de dados pessoais | CMA_0332 - Segurança da informação e proteção de dados pessoais | Manual, Desativado | 1.1.0 |
Notificação de incidentes de privacidade
ID: SOC 2 Tipo 2 P6.6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Segurança da informação e proteção de dados pessoais | CMA_0332 - Segurança da informação e proteção de dados pessoais | Manual, Desativado | 1.1.0 |
Contabilização da divulgação de informações pessoais
ID: SOC 2 Tipo 2 P6.7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Manter uma contabilidade precisa das divulgações de informações | CMA_C1818 - Manter a contabilidade precisa das divulgações de informações | Manual, Desativado | 1.1.0 |
| Disponibilizar a contabilização das divulgações mediante solicitação | CMA_C1820 - Disponibilizar a contabilização das divulgações mediante solicitação | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desativado | 1.1.0 |
Qualidade da informação pessoal
ID: SOC 2 Tipo 2 P7.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Confirmar a qualidade e integridade das PII | CMA_C1821 - Confirmar a qualidade e integridade das PII | Manual, Desativado | 1.1.0 |
| Emitir diretrizes para garantir a qualidade e integridade dos dados | CMA_C1824 - Emitir diretrizes para garantir a qualidade e integridade dos dados | Manual, Desativado | 1.1.0 |
| Verificar PII imprecisas ou desatualizadas | CMA_C1823 - Verificar PII imprecisas ou desatualizadas | Manual, Desativado | 1.1.0 |
Gestão de reclamações de privacidade e gestão de conformidade
ID: SOC 2 Tipo 2 P8.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar e implementar procedimentos de reclamação de privacidade | CMA_0189 - Documentar e implementar procedimentos de reclamação de privacidade | Manual, Desativado | 1.1.0 |
| Avaliar e rever regularmente as participações em PII | CMA_C1832 - Avaliar e rever regularmente as participações em PII | Manual, Desativado | 1.1.0 |
| Segurança da informação e proteção de dados pessoais | CMA_0332 - Segurança da informação e proteção de dados pessoais | Manual, Desativado | 1.1.0 |
| Responda a reclamações, preocupações ou perguntas em tempo hábil | CMA_C1853 - Responda a reclamações, preocupações ou perguntas em tempo hábil | Manual, Desativado | 1.1.0 |
| Treinar a equipe sobre o compartilhamento de PII e suas consequências | CMA_C1871 - Treinar a equipe sobre o compartilhamento de PII e suas consequências | Manual, Desativado | 1.1.0 |
Critérios adicionais para a integridade do processamento
Definições de processamento de dados
ID: SOC 2 Tipo 2 PI1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desativado | 1.1.0 |
Entradas do sistema sobre completude e precisão
ID: SOC 2 Tipo 2 PI1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar validação de entrada de informações | CMA_C1723 - Realizar validação de entrada de informações | Manual, Desativado | 1.1.0 |
Processamento do sistema
ID: SOC 2 Tipo 2 PI1.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Gerar mensagens de erro | CMA_C1724 - Gerar mensagens de erro | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
| Executar validação de entrada de informações | CMA_C1723 - Realizar validação de entrada de informações | Manual, Desativado | 1.1.0 |
| Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
A saída do sistema é completa, precisa e oportuna
ID: SOC 2 Tipo 2 PI1.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
| Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
Armazene entradas e saídas de forma completa, precisa e oportuna
ID: SOC 2 Tipo 2 PI1.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Backup do Azure deve ser habilitado para Máquinas Virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desativado | 3.0.0 |
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Estabeleça políticas e procedimentos de backup | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desativado | 1.1.0 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
| Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
| Armazene separadamente as informações de backup | CMA_C1293 - Armazene separadamente as informações de backup | Manual, Desativado | 1.1.0 |
Próximos passos
Artigos adicionais sobre a Política do Azure:
- Visão geral da conformidade regulamentar.
- Consulte a estrutura de definição da iniciativa.
- Analise outros exemplos em Exemplos de Política do Azure.
- Veja Compreender os efeitos do Policy.
- Saiba como corrigir recursos não compatíveis.